Tener una política coherente y segura tiene que ser el primer paso para implementar BYOD. Los departamentos de TI ya saben que perdieron esa lucha contra los usuarios y que a medida que vaya pasando el tiempo tendrán que soportar más de sus dispositivos. Pero eso no exime a los encargados de TI de responder a las necesidades de la empresa. Una política BYOD tiene que minimizar los riesgos de seguridad, potenciar el negocio y traer un retorno sobre la inversión.

Para cumplir esas metas, el USA Today publicó una serie de consejos para tener una buena política BYOD. Lo primero que se debe tener en cuenta es la estrategia. Hay que pensar en cómo se van a asegurar los dispositivos que estén fuera el perímetro de la empresa. Es allí donde se corre más riesgo. También es necesario tener en cuenta los tipos de equipos que se van a soportar. Es diferente un celular a una tableta, y ambos son totalmente diferentes a un portátil.

Desde el lado de la información, los encargados de la tecnología en la empresa tienen que definir el tipo de datos a los que se puede acceder por medio de los móviles. Por ejemplo, no tiene mucho sentido que un dispositivo pequeño se pueda ingresar al último diseño de un carro, un archivo que además seguramente no podrá correr. Eso seguramente podrá detectarse como una intrusión.

Cubriendo todos estos puntos, también está la obligación de la política con los objetivos del negocio. No tiene ningún sentido intentar que los dispositivos del usuario sean útiles para trabajar si no se tiene flexibilidad, pues al final ellos no van a querer perder control sobre sus propios equipos. Por lo tanto, la estrategia tiene que mezclar las necesidades del negocio con la seguridad.

La implementación de la estrategia dependerá de una planeación juiciosa. Hay que fijar metas y seguir un cronograma. Además, como dice Aaron Rhodes –consultor de seguridad en Neohapsis– en el USA Today, “hay que separar un poco de tiempo para la investigación”. Por ejemplo, si se va a implementar un administrador de dispositivos o de aplicaciones, sería ideal analizar de antemano la integración con la infraestructura actual de TI de la organización.

Todos los gerentes de TI sabrán que los usuarios hacen hasta lo imposible para ingresar a páginas restringidas. Con los dispositivos móviles, esta situación empeora sustancialmente, ya que se puede instalar todo tipo de aplicaciones. Por eso hay que publicar y difundir un documento con reglas claras y aplicables. De esta manera, los usuarios sabrán perfectamente qué se puede hacer y qué no. Además, al cometer una falla, no podrán defenderse con el clásico ‘no sabía’.

Para reforzar las políticas, es necesario educar a los empleados. Muchos de los usuarios finales no saben que el uso indebido de los teléfonos –o cualquier otro dispositivo móvil– puede tener serias implicaciones para la seguridad de la empresa. Hay que tener especial cuidado con los celulares ‘jailbroken’ o ‘rooteados’, ya que son más susceptibles al código malicioso. Una pequeña clase que explique los usos adecuados de los equipos puede evitar un gran dolor de cabeza en el futuro.

Finalmente, hay que asegurarse de que se estén cumpliendo las políticas de la empresa. No tiene mucho sentido ponerse a crear una estrategia, planearla, ejecutarla y socializarla, para después dejarla quieta. Uno de los trabajos de TI es garantizar que día tras día las reglas se sigan.