Cuestiones entorno al bring your own device: ¿bring your own privacy? ¿bring your own problems? o ¿bring your own solutions?

Publicado en Microsoft, 16 de febrero de 2015.

Recientemente leía diferentes informaciones sobre la tendencia, cada vez más extendida, en el ámbito empresarial, denominada “bring your own device”. Con su implantación en el ámbito empresarial se pretende busca una mayor flexibilidad laboral, permitiendo al propio empleado utilizar sus propios medios informáticos (teléfonos móviles, tabletas o equipos informáticos entre otros), además de reducir costes en la inversión de la compra de los mismos.

Una tendencia rompedora con la concepción tradicional de la utilización de medios de las empresas, que si bien tiene muchos puntos a favor, además del propio carácter innovador que aporta, muestra ciertas zonas de grises o de inseguridad que se deben tener en cuenta.

En este sentido, esta tendencia presenta algunos riesgos a evaluar a la hora de su implantación en el ámbito empresarial: riesgos para la información confidencial de la organización, el riesgo de que personas no autorizadas puedan utilizar los dispositivos propiedad de los empleados y cometer infracciones con la información contenida en ellos sin que jamás lo sepa la empresa o hasta que, quizás, se haya hecho un mal uso de ellos. Daños en cuanto a la responsabilidad general ante los clientes, así como de cara a las relaciones públicas, debido a la pérdida o uso inapropiado de información personal por la falta de seguridad en el correo electrónico, documentos, llamadas telefónicas y mensajes de texto. Riesgos en relación con la integridad de los datos y la red provocados por el malware y los dispositivos manipulados o el riesgo de incumplir las obligaciones de conservar la información susceptible de ser prueba jurídica.

A estos riesgos deben añadirse ciertas dificultades con las que la empresa puede encontrarse en su implantación: dificultad de controlar el personal que accede al correo de empresa, si bien es cierto que es el empleado quien se lo instala en su dispositivo móvil, la problemática redunda en que, si este, no tiene habilitado un sistema de contraseña, y el dispositivo se perdiera, por ejemplo, aquel que lo encontrará podría acceder al correo corporativo, enviar mails, o leer información confidencial tanto de la empresa como de los clientes.

Dificultad de controlar la información en casos conflictivos, aunque queda un registro de envío de correos electrónicos, el empleado puede dejar el correo guardado en borrador y descargarse la información fuera de su puesto de trabajo o almacenarla en el disco virtual, y acceder desde cualquier otra ubicación, lo que facilita las fugas de información.

Al configurar el correo corporativo en medios personales puede darse dos situaciones: la descarga de archivos en el dispositivo personal del empleado al visualizar un documento, por lo que la información puede ser archivada automáticamente en otras aplicaciones. La segunda situación es la utilización de la cuenta corporativa y el almacenamiento de información por otras aplicaciones que utilizan cuentas de correo electrónico.

Dependiendo de la configuración que realice el empleado y si determina el correo corporativo como cuenta predeterminada, cada vez que su dispositivo necesite enviar un correo o rellenar un formulario, puede darse el caso de que se utilice el mail de empresa por defecto.

La empresa debe proteger la información, no sólo aquella que tiene carácter confidencial, amparada por la Ley Orgánica 15/1999 de 13 de diciembre de protección de datos de carácter personal y Reglamento de desarrollo), sino también la propia información corporativa, procedimientos y circulares internas.

En materia de protección de datos, se deberá hacer referencia en el plan de seguridad, de aquellos empleados que accedan a la información de forma externa, una interpretación más extensiva de la salida de soportes, podría afectar a la información contenida en medios personales responsabilidad de la empresa.

Los dispositivos personales habitualmente se comparten con la familia y amigos; también pueden incluir otras aplicaciones o ítems menos seguros que pueden derivar a una pérdida de control sobre los datos pues, la información podría ser replicada en múltiples lugares.

Se debería revisar los procedimientos de actuación en caso de incidencias, y dar difusión del mismo entre los empleados, previniendo posibles riesgos y marcando las pautas a seguir en caso de incidencia.

Los empleados deberían firmar un nuevo documento, bajo su propia responsabilidad, en relación a la utilización del correo corporativo en medios personales, donde garanticen y asuman la adopción de medidas de seguridad, que eviten riesgos para la empresa y posibles sanciones en materia de protección de datos, así como fugas de información.

Aunque actualmente la jurisprudencia europea reconoce a las empresas la posibilidad de acceder a todos sus dispositivos, cuando los empleados han sido debidamente informados sobre la política de seguridad y privacidad implantada. No obstante, es posible que este principio no sea aplicable en el caso de BYOD ya que, las consecuencias podrían ser diferentes, pues estamos hablando de dispositivos personales.