Control del BYOD y sus aspectos legales. Cómo regularlo
Juanjo Martínez Pagan, Director de la Comisión de Seguridad y Calidad de Autelsi repartió el debate en la mesa redonda del IV Encuentro TIC, centrada en los aspectos de seguridad que implica un fenómeno como el BYOD, en el que los empleados utilizan sus dispositivos personales en el ámbito profesional y abría el diálogo con la cuestión que siempre surge cuando se habla de seguridad ¿abrir el perímetro sin comprometerla? Formaron parte de este debate Vicente Pérez, Director de Canal de Sophos; Jose Novet, Director de la División de Soluciones Empresariales de Econocom España y Sergio De Lama, Ingeniero Pre Venta de Écija.
Vicente Pérez, Sophos: Nuestro enfoque del BYOD es tecnológico. Nosotros ofrecemos seguridad para la protección del usuario, el perímetro y de los datos. En la parte de protección de los dispositivos móviles, surge la problemática de la gestión de los terminales. Otro aspecto a considerar es qué departamento debe liderar los problemas que surgen de la implantación de un proyecto de movilidad/BYOD: micro informática; sistemas; networking… Además nos encontramos con el asunto del personal humano, y la parte de gestión de los dispositivos. Por tanto, nos enfrentamos a un problema complejo donde no está claro hacia donde vamos a ir, quién lo va a gestionar, si vamos a disponer de más personal para llevarlo a cabo… Sophos ha buscado soluciones a esa problemática: el dispositivo en el fondo da igual; la herramienta que lo gestione debe diferenciar el tipo de dispositivos. Sophos no diferencia dar seguridad a un PC que otro dispositivo, se trata de proteger al usuario. Las herramientas que se utilicen deben ser flexibles y sencillas de implementar e utilizar. En el caso de los departamentos implicados, creemos que deben involucrarse todos: TI, RRHH, finanzas…
Jose Novet, Director Soluciones Empresa Econocom: Debemos considerar otro riesgo, el de los siniestros. En caso de avería, el usuario no se puede quedar 24 sin dispositivo, por lo tanto BYOD supone un problema en la gestión de siniestros. Nosotros pensamos que la realidad del mercado es un poco diferente y más que BYOD se impone el “choose your own device” y que tiene en cuenta que los usuarios son muy avanzados, se adelantan a las empresas en el uso de los últimos dispositivos. Se trata de que se homologuen unos dispositivos por parte de la empresa y los usuarios eligen. Vicente Pérez, Sophos: Lo más habitual que estamos viendo es más el “choose your own device” que el BYOD, aunque nosotros somos capaces de dar cobertura a ambas posibilidades; desde un aspecto tecnológico son posibles las dos.
Juanjo Martínez Pagán: ¿Cuáles son las principales tecnologías para securizar y controlar este nuevo entorno?
Vicente Pérez, Sophos: El control del dispositivo mediante sistemas MDM (Mobile Device Management) es importante a ala hora de la seguridad, inventariado de los dispositivos, desplegar configuraciones de forma centralizada… pero la gestión o es suficiente, hay que proteger la información. También es fundamental las aplicaciones, hay muchas para este tipo de dispositivos, hay que controlarlas dentro del ámbito corporativo, y por supuesto otras amenazas como el malware, que es capaz de tomar el control del dispositivo. Igualmente, no hay que perder de vista la usabilidad, que no sea un quebradero de cabeza para el usuario porque podría llegar a ser contraproducente.
José Novet, Econocom: Hay que tener una visión amplía, no solo se deben utilizar herramientas MDM, que puede valer para un departamento, pero se puede quedar cojo. Asimismo hay que recodar conceptos como pensar grande pero empezar pequeño. Se debe empezar por un pequeño proyecto pensando en lo que mañana se va a necesitar, antes de ir hacia algo más grande.
Sergio De Lama, Ecija: Desde el punto de vista legal, marco legislativo está muy avanzado, no es necesario retocarlo para proteger este tipo de entornos. La legislación actual defiende a ambas partes. La firma de un contrato es la mejor manera para que no se llegue a problemas. Hay que recalcar el peso RRHH versus tecnología en la puesta en marcha de una solución BYOD. No es un proyecto de tecnología únicamente y no debe abordarse por separado: buscar un equilibrio entre todas las áreas, aunque haya una cabeza visible.
Vicente Pérez, Sophos: Nuestro papel es hacer llegar ese contrato de una manera cómoda al cliente, ofrecer herramientas que obliguen al usuario al leerlo antes de seguir adelante, para evitar problemas futuros.
Jose Novet, Econocom: Como integradores, nosotros ofrecemos servicios avanzados frente al que ofrecen los operadores, que básicamente venden dispositivos. Hoy en día vemos era que hay muchas mas cosas que entran en juego, hay que tener la vista más amplia y, a través de una integración, tener en cuenta no solo la elección del dispositivo, también temas de seguridad, como la información que va a controlarse en la empresa; cómo se pueden incorporar las aplicaciones en estos dispositivos, etc.
Juanjo Martínez Pagán, Autelsi: Para finalizar, y a modo de resumen, ¿cuáles serían las consideraciones principales desde el punto de vista de seguridad?
Sergio De Lama, Ecija: firma contrato, formación y concienciación.
Vicente Pérez, Sophos: aspecto legal, aspecto tecnológico y tener en cuenta la usabilidad de la herramienta.
José Novet, Econocom: definir una verdadera estrategia de empresa, tener en cuenta los aspectos tecnológicos, van a generar otro tipo de proyectos en la empresa, portabilidad de las aplicaciones y el tema de la seguridad legal y de gestión.