BYOD Bring your own device: Lleva tu propio dispositivo Whitepaper WWW.TRC.ES / WHITEPAPER / BRING YOUR OWN DEVICE 1 ¿Qué es el BYOD? Bring your own device o “lleva tu propio dispositivo”, es una política empresarial que permite a los empleados de una empresa acceder a información corporativa a través de sus dispositivos móviles personales (teléfonos inteligentes, tabletas, portátiles, etc). Con esta tecnología se da al trabajador la capacidad de seleccionar la forma, el momento y las herramientas a usar para hacer sus tareas. Entre las razones que han llevado a las corporaciones a adoptar Byod están: el mayor rendimiento de sus empleados y su mayor satisfacción laboral, el ahorro previsto de gasto y disminución de los presupuestos de TI. *Ahorro de costes: La empresa no tiene que comprar el hardware (los empleados adquieren los dispositivos que anteriormente les proporcionaba la compañía). Se ahorran costes de soporte: se implementa la asistencia a través de comunidades, wikis, foros y demás opciones de asistencia simplificada. Disminuyen los costes de telecomunicaciones: al migrar algunos usuarios móviles de planes de datos corporativos a planes autofinanciados, las compañías pueden recortar gastos en telecomunicaciones. *Mejora de la productividad, ligada a una mayor satisfacción de los empleados al utilizar dispositivos familiares para ellos y elegidos en función de sus gustos y afinidades. Debido al auge de los smartphones y las tabletas, cada vez son más los trabajadores que quieren utilizar sus dispositivos propios para acceder a los recursos corporativos. De hecho, hay estudios que demuestran que quienes los usan están más satisfechos y son mucho más productivos. En Estados Unidos los trabajadores “BYOD” gastan 81 minutos de su propio tiempo, por semana para utilizar sus smartphones o tabletas para tareas laborales. El ascenso indetenible del Byod es tal que, según un estudio de Cisco, para el año 2014, la cantidad promedio de dispositivos conectados por cada trabajador alcanzará el 3,3. Al lado de las ventajas de BYOD aparece también el riesgo más patente: la seguridad de la información confidencial de las empresas y el reto de proporcionar el soporte TI para varias plataformas móviles. WWW.TRC.ES / WHITEPAPER / BRING YOUR OWN DEVICE 2 TECNOLOGÍAS DEL BYOD Para aplicar BYOD se utiliza MDM (por sus siglas en inglés Mobile Device Management). Se trata de un software centralizado que permite asegurar, monitorizar y administrar cualquier tipo de dispositivo móvil, independientemente de su modelo y sistema operativo. Esto se realiza mediante la instalación de un agente en el propio dispositivo móvil, que permite acciones como la instalación de aplicaciones a distancia, geolocalización, sincronización de archivos, etc. Y, sobre todo, dos acciones: bloqueo y borrado remoto del dispositivo, en caso de pérdida o robo. El MDM ayuda a las empresas a gestionar la transición hacia un entorno de computación y comunicaciones móviles más complejo al ofrecer seguridad, servicios de red y gestión de software y hardware a través de distintas plataformas. Trabaja también con la mayoría de los líderes en soluciones VPN que permiten la encriptación IP en los accesos a los recursos de la empresa (tanto con Wi-Fi como con redes móviles públicas). El principal modelo de entrega del servicio es local. También puede ofrecerse en forma de software como servicio (SaaS) o a través de la nube. Los productos de sincronización e intercambio de archivos empresariales (EFSS por sus siglas en inglés) mejoran la productividad y facilitan la colaboración de los empleados móviles que utilizan varios dispositivos, como teléfonos inteligentes y tabletas, además de PC. FUNCIONES DEL MDM Gestión de dispositivos móviles (MDM) • Mejora la visibilidad y el control con visión instantánea del cumplimiento de normativas, el inventario, la protección y el estado de seguridad de los dispositivos. • Permite al personal de TI realizar de forma remota acciones de registro y rastreo de los dispositivos, así distribuir o cancelar servicios en los mismos. • Permite definir políticas en varios dispositivos y en grupos para aplicar los requisitos de seguridad. Seguridad de dispositivos móviles • Bloquea el malware y las web maliciosas con la mejor tecnología antimalware y de reputación Web. • Detecta los ataques que se introducen a través de aplicaciones, puertos y servicios de la red mediante un cortafuegos y un sistema de detección de intrusiones. • Supervisa, bloquea y registra las llamadas, SMS y MMS enviados y recibidos según la política de usuarios. • Mejora la visibilidad y el control de dispositivos iOS con una nueva aplicación iOS para Trend Micro Mobile Security. Mas recientemente se habla de Enterprise Data Management, una tentencia que se refiere a la gestión total de los datos de las empresas. WWW.TRC.ES / WHITEPAPER / BRING YOUR OWN DEVICE 3 PREVISIONES Una encuesta de la consultora Gartner entre directores de información (CIO) revela que: * El 81% de las personas laboralmente activas en el mundo utilizan algún tipo de dispositivo personal en el trabajo. Los más utilizados en este sistema son los smartphones (81%), seguidos de las tabletas (56%) y los ordenadores portátiles (37%). * En el año 2016, el 38% de las empresas dejará de proporcionar dispositivos móviles a sus empleados, afianzando la tendencia del BYOD. * Sólo el 22% de los CIO afirmaron destinar recursos de negocio hacia la implementación de esta opción para sus empresas. Una investigación realizada por Acronis en colaboración con el Ponemon Institute, reúne datos de más de 4300 profesionales de TI de ocho países diferentes y confirma que: * Casi el 80% de las organizaciones no han educado todavía a sus empleados sobre el BYOD. Se espera que el número de usuarios aumente hasta los 406 millones en 2016. * En promedio, las iniciativas de movilidad consumirán un 20% de los presupuestos de TI en 2014, en comparación con el 17% del año 2012. * El 75% de los encuestados espera que la cantidad de dispositivos pertenecientes a los empleados que se conectan a las redes de la empresa pase de ser “moderada” a “significativa” durante los próximos dos años. * El 41% de los encuestados indicó que la mayoría de los smartphones que se conectan a la red de la empresa pertenecen a los empleados. WWW.TRC.ES / WHITEPAPER / BRING YOUR OWN DEVICE 4 PREVISIONES Según un informe de Forrester Research: * Siete de cada 10 empresas de todo el mundo ya han adoptado alguna modalidad de BYOD. * El 44% de los trabajadores utiliza 3 o más dispositivos por motivos laborales cada día. En un sondeo realizado por Vason Bourne para VMWare se concluyó qué: *Un tercio (39%) de los empleados europeos se plantearía incluso dejar su empleo si se les dijera que no pueden utilizar su dispositivo móvil para trabajar. La encuesta revela además que las principales peticiones de los empleados a los responsables de TI acerca de dispositivos móviles y acceso a aplicaciones para un trabajo efectivo son: acceso a correo electrónico en dispositivos móviles (60%), Intranet de la empresa (45%), red privada virtual (39%) y alojamiento de archivos (22%). * El 62% de los jefes de TI cree que se almacena la información de la empresa en dispositivos particulares y casi la mitad (49%) sospecha que la información podría ser confidencial. * La mayoría (64%) de los empleados de oficinas europeas no cree que su organización les proporcione las herramientas y aplicaciones móviles que necesitan para ser productivos y eficientes, ni políticas de movilidad que aporten flexibilidad para trabajar con eficacia cuando se desplazan (63%). * Los departamentos de TI no pueden cubrir las necesidades de los empleados. De hecho, el estudio europeo desvela que casi la mitad de los responsables de TI (47%) no cree que su departamento pueda cubrir las necesidades de la plantilla de la empresa en cuanto a móviles. WWW.TRC.ES / WHITEPAPER / BRING YOUR OWN DEVICE 5 AMENAZAS Y VULNERABILIDADES Un estudio realizado por la firma BAE Systems Detica muestra los inconvenientes del BYOD más señalados por empleados y directivos. Una de las principales trabas es la falta de costumbre que tienen los usuarios de actualizar sus equipos personales. En este sentido, sólo el 34% de los consultados dijo ser estricto con este requisito. El 30% de los profesionales afirmó que deberían ser ellos mismos los responsables en caso de robo o pérdida del dispositivo. El 44% consideró que debería tratarse de una responsabilidad compartida con la organización. Finalmente, sólo el 13% señaló que la responsabilidad sobre la seguridad de los dispositivos debe ser de forma exclusiva de la compañía para la que trabajan, ya que consideran que tienen derecho a tener control absoluto sobre ellos. En una encuesta desarrollada por la empresa Fortinet12, y realizada en más de quince países, entre ellos España, se encontró que cerca del 42% de los encuestados indicaron la pérdida de datos y la llegada de software malicioso a sus redes a consecuencia del BYOD. Otro asunto que debe considerarse es que los usuarios actualizan sus dispositivos más rápido de lo que los administradores son capaces de asimilar. Es un sector complejo y cambiante en donde conviven plataformas y fabricantes en una carrera constante por lanzar novedades cada vez más potentes y más capaces. Hay que prestar atención a las capacidades de la empresa frente a las del empleado, en cuanto a la adquisición de tecnología y dispositivos. También puede surgir la interrogante de qué hacer cuándo un empleado se va de la empresa. Es difícil saber la cantidad de información corporativa que tiene en sus dispositivos. En la mayoría de los casos, los trabajadores se llevan ciertos datos, bien en su email o los contactos, o los objetivos de la empresa. Es necesario tomar medidas y analizar posibles escenarios si el personal deja la compañía. WWW.TRC.ES / WHITEPAPER / BRING YOUR OWN DEVICE 6 RECOMENDACIONES *Todos los dispositivos deben estar protegidos mediante la implementación de las políticas BYOD y procedimientos adecuados. Es indispensable invertir y renovar los equipos para ejecutar la administración de BYOD y la red. Es necesario contar con plataformas de administración de redes con soporte para todo tipo de dispositivos, de manera que la información de la empresa no pueda ser vista desde el exterior de la red local y no queden así vulnerables a intrusiones o ataques informáticos a través de Internet. * Las políticas sobre la información deben acompañarse con un sistema de credenciales de acceso que coadyuven en la securización. *Una estrategia BYOD implica analizar los costos, los riesgos e involucrar a los recursos humanos y la gestión jurídica. *Es imprescindible crear un ecosistema gestionado de convivencia de las aplicaciones corporativas y las extra corporativas. *Realizar auditorías específicas para monitorizar cómo estos nuevos elementos afectan a la red. Los sistemas de redes autodefinidas por software o SDN (Software Defined Networks, por sus siglas en inglés) permitirán reconocer los roles de cada usuario y/o dispositivo que accede a la red, mecanismos de automatización para que la red se reconfigure por sí sola respondiendo a actividades identificadas, crearán una administración y aplicación automática de perfiles de seguridad. *Las empresas deben encontrar el equilibrio entre acoger y promocionar una cultura de trabajo flexible y proteger la propiedad intelectual y los datos de clientes. El departamento de tecnología debería aceptar una amplia lista de dispositivos que se puedan conectar a la red corporativa. Debe indicar qué dispositivos y sistemas operativos va a apoyar y cuáles no. WWW.TRC.ES / WHITEPAPER / BRING YOUR OWN DEVICE 7 RECOMENDACIONES *Los administradores de IT deben considerar aspectos como aplicaciones corporativas que fueron estandarizadas, seguridad de la información y protecciones contra amenazas informáticas. *Tener un control de todos los dispositivos que se conecten a la red de la empresa. Para ello existen soluciones del tipo “Endpoint Protection Platforms” (auditoría de hardware y software, gestión de parches y vulnerabilidades, control de aplicaciones) que permiten tener inventariados todos los dispositivos. * Gestionar las contraseñas. Las políticas de contraseñas para dispositivos BYOD no deberían ser diferentes de los requisitos que se deben cumplir para establecer contraseñas seguras para los activos de TI tradicionales como ordenadores portátiles o equipos de escritorio. * Aplicar la política a una red segmentada: los datos confidenciales deben residir siempre en una red distinta a la que está abierta a invitados, contratistas u otras personas que no son empleados. *Asegurarse de que la política BYOD está en permanente comunicación con todos los empleados. * Las herramientas MDM (Mobile Device Management) son soluciones diseñadas para ayudar a las compañías en la administración de todo lo que tiene que ver con el ámbito móvil: dispositivos, aplicaciones y contenido. En cuanto al BYOD, los sistemas MDM aportan herramientas para gestionar toda la flota de dispositivos móviles, pertenezcan o no al empleado. * Cuidar al recurso humano. El talento joven tiene expectativas sobre cómo le gustaría que fuera su lugar de trabajo, y en muchas empresas para atraer ese talento se tiene que saber si la implementación del BYOD es sumamente restrictiva, lo que puede ahuyentar a algunas de esa personas promesa. *Concienciar al personal sobre los riesgos y consecuencias del robo o pérdida de los dispositivos móviles que provee la empresa. Advertir de la importancia de contar con protección es clave para que la seguridad sea eficaz. *Proteger las redes inalámbricas de la empresa. De lo contrario, se podría interceptar y robar la información de la compañía. *Cifrar los dispositivos en su totalidad o establecer una partición cifrada (aplicable sobre todo a dispositivos con sistema operativo Android). Así se dificulta el acceso al contenido por parte de terceros. *Utilizar anti malwares y antivirus de empresas reconocidas y con versiones completas, ya que las gratuitas carecen de funcionalidades importantes para el ámbito empresarial. *Descargar aplicaciones solo de fuentes conocidas y nunca de tiendas de terceros. De esta forma, se disminuye el riesgo de infección de malware. Además, es importante tener en cuenta que, por más que se actualice el sistema operativo de los dispositivos móviles, las aplicaciones continuarán teniendo acceso a la información personal y privada almacenada en los mismos. WWW.TRC.ES / WHITEPAPER / BRING YOUR OWN DEVICE 8 CONCLUSIÓN La implementación de BYOD se ha vuelto fundamental. No es un reto del mañana. Se trata de un fenómeno que las empresas deben afrontar ahora mismo y deben atender a dos retos: cómo ofrecer acceso seguro a los datos corporativos y cómo controlar la pérdida de datos. Los equipos de TI tienen que esforzarse por garantizar la seguridad de los datos y responder a un aumento sin precedentes de la solicitud de asistencia técnica a causa de dispositivos. Además se deben buscar soluciones para evitar la puesta en peligro de los datos y las pérdidas de información reiteradas. El BYOD ofrece unas oportunidades enormes para conseguir eficiencia y productividad. Los empleados trabajan más cómodos, hacen reportes de las horas, están más a gusto. La empresa ahorra en equipos y tecnología. Esto puede convertir al BYOD en un elemento extraordinario dentro de la planificación estrategia empresarial. WWW.TRC.ES / WHITEPAPER / BRING YOUR OWN DEVICE 9 RED DE OFICINAS DE TRC SEDE CENTRAL TRC MADRID Albasanz, 25 28037. Madrid [email protected] 91 627 01 00 TRC. CASTILLA-LEÓN TRC. CASTILLA-LA MANCHA TRC. GALICIA Parque Tec. del Boecillo Ed. Centro. Módulo 108. 47151 Boecillo. Valladolid. Parque Tec. de Guadalajara Av. de Buendía, 11. 19005 Guadalajara. Av. Monterreal, 13 36300 Baiona. Pontevedra. CastillayLeó[email protected] [email protected] [email protected] 983 54 82 64 / 66 986 35 81 05 LEVANTE T TRC. PAÍS VASCO Andrés Herranz (del. comercial) Arantza Osuna (del. comercial) [email protected] [email protected] 669 750 863 639 837 006 WWW.TRC.ES / WHITEPAPER / BRING YOUR OWN DEVICE 10