Protección de datos y Bring your own device (BYOD)

¿Cómo se puede conciliar el BYOD con los requisitos de protección de datos?

Cuando los empleados utilizan sus dispositivos personales, como teléfonos inteligentes u ordenadores portátiles, como herramientas de trabajo, la situación se complica para los empresarios. Por un lado, los empleados quieren trabajar en sus dispositivos habituales, pero por otro, la dirección está obligada a cumplir con la protección de datos. Sin embargo, este dilema entre la practicidad y el cumplimiento puede resolverse.

¿Traer tu propio dispositivo o traer tu propio desastre?

Entonces, ¿qué hay de crítico en que los empleados tengan datos de la empresa en sus dispositivos personales? Sencillamente, el empresario pierde el control sobre los datos de su propia empresa. Aunque a primera vista parece una buena idea permitir que los empleados utilicen sus dispositivos personales, si se analiza más detenidamente, lamentablemente no lo es. Con el BYOD (Bring your own device), los datos privados y los de la empresa se mezclan. Además, el riesgo de pérdida de datos aumenta, ya que los dispositivos se utilizan mucho más en el ámbito privado (por ejemplo, en fiestas, viajes, visitas privadas de amigos, actividades de ocio).

Dado que el empresario también es responsable del cumplimiento de los requisitos de protección de datos, debe adoptar las medidas de seguridad de datos adecuadas. Esto significa que debe proteger los datos de la empresa contra la pérdida o la destrucción. En este sentido, basta con que el empleado tenga acceso a su cuenta de correo electrónico y pueda descargar los archivos adjuntos (datos de clientes y empleados, datos de socios comerciales) en el dispositivo privado. Al mismo tiempo, sin embargo, el empleado tiene derecho a la confidencialidad de sus datos privados en su propio dispositivo. El empresario no puede limitarse a «cribarse» un smartphone que no sea de su propiedad de forma permanente para garantizar la seguridad de los datos. Al final, hay que utilizar reglas de juego de uso y soluciones técnicas para que el BYOD no se convierta en un desastre.

Protección de datos para dispositivos móviles

Las normas básicas de protección de datos (como la «DSGVO») no han cambiado demasiado para las estrategias de BYOD. No obstante, hay que considerar algunos cambios en la normativa ya existente. Los datos deben permanecer dentro de la esfera de control de los empresarios, lo que puede garantizarse si se establece una conexión de red privada virtual (VPN). Esto permitiría a los empleados ver los datos en los dispositivos móviles, pero no almacenarlos en ellos. Este método tiene la ventaja de que ningún dato de la empresa se vería afectado en caso de pérdida o destrucción del dispositivo. Sin embargo, también tiene una desventaja: la edición en modo offline no será posible. Especialmente para los equipos internacionales o los trabajadores sobre el terreno, el trabajo independiente de la ubicación es importante y esto incluye a menudo trabajar desde «la carretera» con pocas posibilidades de conexiones estables a Internet. Si esto ralentiza demasiado la productividad, habrá que considerar otras soluciones técnicas.

Otra opción son las áreas de almacenamiento cifradas en el propio dispositivo. Esto separa los datos de la empresa de los privados y evita que se mezclen. Si las aplicaciones propias de la empresa también funcionan en esta área de almacenamiento protegida, esto se conoce como el principio de «sandboxing«. De nuevo, no hay interacción entre el entorno protegido y el exterior de la caja de arena.  Si el sistema operativo de la empresa y las aplicaciones de la empresa funcionan por separado del área privada, estas soluciones se denominan «virtualizaciones». Esto también permite a la empresa influir en la actualización del sistema operativo y garantizar que siga siendo seguro. Si dos sistemas funcionan simultáneamente en el dispositivo, esto tendrá inevitablemente un impacto en los recursos de hardware y el rendimiento (palabra clave: rendimiento de la batería).

Protección de datos y Bring your own device (BYOD) 1En este contexto, hay que regular que los empleados adapten sus sistemas operativos a la seguridad de su empresa. En particular, la prohibición de modificar los sistemas operativos, como el «jailbreaking» de los dispositivos iOS o el «rooting» de los dispositivos Android. Además, piense en los requisitos de seguridad con los que los empleados pueden acceder a la zona segura. Los sensores biométricos, como las huellas dactilares, deben quedar fuera de la ecuación, ya que no son lo suficientemente fiables. La seguridad física del dispositivo puede definirse con más detalle mediante una política. Como medida complementaria y de apoyo, es útil la formación de concienciación de los empleados, que en última instancia se enfrentan al uso restringido de sus dispositivos privados.

Implementación de la estrategia BYOD

Cuanto mejor conozcan los empleados cómo deben comportarse en determinados casos, más seguro será el uso del BYOD. Entonces, ¿qué puntos deben regularse ahora?

  • Cobertura de costes en caso de adquisición o daño del dispositivo, pero también costes de uso de la tarjeta SIM para telefonía
  • Modelos de dispositivos, versiones de sistemas de software operativo y aplicaciones aprobadas (listas negras/blancas)
  • Normas de seguridad (por ejemplo, dejar el portátil en el coche, que los niños jueguen con el móvil, etc.)
  • Asistencia para el mantenimiento del dispositivo (configuración, actualizaciones)
  • Derechos y controles de acceso (borrado a distancia en caso de robo)
  • Obligación de notificar en caso de pérdida – ¡tenga en cuenta las 72 horas para notificar una violación de datos según la DSGVO (o normativa similar)!
  • Requisitos de seguridad para las contraseñas
  • Consecuencias en caso de violación de la política de uso (por ejemplo, cambio a un dispositivo de la empresa)
  • Devolución de los datos al dejar la empresa o al tomar una licencia Restricción de los derechos de acceso
  • Participación en cursos de formación para aumentar la conciencia de seguridad
  • Información sobre el secreto de los datos, para el cumplimiento de los secretos comerciales y empresariales
  • Complementar la estrategia BYOD en el registro de actividades de tratamiento
  • Realización de una evaluación de impacto de la protección de datos

Conclusión:

Está claro que la opción más sencilla supone dos dispositivos para uso privado y profesional, pero la realidad es diferente. En muchos casos, la implementación de una estrategia BYOD será costosa y compleja, pero si se implementa eficazmente, puede convertirse en una situación en la que todos salgan ganando, tanto los empleados como la empresa. Por un lado, los usuarios pueden trabajar con sus dispositivos habituales, mientras que el riesgo existente puede reducirse mediante un concepto de seguridad.

Mag. Karin Dietl ist selbständige Unternehmensberaterin und Spezialistin für Datenschutz-Compliance. Sie startete ihre Ausbildung als Textilchemikerin, absolvierte neben der Anwaltsprüfung mehrere Jahre in internationalen Wirtschaftskanzleien und beschäftigt sich seit 2010 mit der Digitalwirtschaft. Derzeit berät sie Unternehmen zu den Themen Informationssicherheit, Datenschutz, Risikomanagement sowie Digitaler Ethik und Corporate Digital Responsibility. Sie führt zudem Datenschutz-Audits durch und wird für Unternehmen als Datenschutzbeauftragte tätig. Darüber hinaus ist sie Fachvortragende bei Veranstaltungen und Autorin zahlreicher Fachpublikationen.

Los comentarios están cerrados.