El CIO debe resolver el problema de privacidad de BYOD

En California, los abogados de la firma Dowling Aaron le dieron un alias al CIO Darin Adcock, que había implantado un política de usuario de BYOD. Le llamaron “Gran Hermano”, en referencia al personaje de la novela de George Orwell, 1984. Ocurrió que entonces un ladrón rompió la ventana del Lexus de uno de los abogados y robó su iPhone 5. Y el Gran Hermano actuó inmediatamente y rápidamente limpió el teléfono de todos los datos y aplicaciones, ahorrando al abogado la amenaza de ver comprometida toda la información de sus cuentas bancarias, documentos y correos. La voz se corrió por toda la organización, y se acalló el apelativo y Adcock empezó a recibir comentarios de aprecio.

Las dos caras de BYOD: Flexibilidad frente a Seguridad Los sucesos en Dowling Aaron subrayan uno de los grandes retos en la saga continua entre CIO y empleados: BYOD tiene un problema de privacidad. Los empleados quieren aprovechar las capacidades de BYOD para hacer su vida en el trabajo más fácil, mientras los CIO tienen que tomar medidas para salvaguardar los datos corporativos.
La verdad es que muchos CIO añaden a sus programas de BYOD políticas de usuario draconianas que están claramente desbalanceadas a favor de los derechos corporativos de acceso y control de los dispositivos. Entonces la esperanzas de privacidad de los empleados se ven vulneradas y los empleados simplemente no tienen confianza en el departamento de TI y que éste tenga acceso a sus dispositivos personales.
Para empeorar las cosas, la capacidad de la tecnología de esquivar los derechos de privacidad está en la TV y en la mente de los ciudadanos estos días. Facebook, Microsoft, Apple y Yahoo están todos cuestionados por pasar información de los usuarios de forma secreta al gobierno americano.
El presidente Obama resumía el problema al defender los programas de espionaje de la Agencia Nacional de Seguridad (NSA): “Tenemos que encontrar formas donde el público tenga la garantía de que hay chequeos y equilibrios… y que sus llamadas telefónicas no están siendo escuchadas, sus mensajes de texto no se están monitorizando y sus emails no están siendo leídos por alguna forma de gran hermano en algún lugar.”
Dowling Aaron es un caso particularmente interesante, porque los empleados de la firma están bien versados en BYOD. Ellos a menudo asesoran a los clientes en políticas de empleo y salvaguarda de activos corporativos. Ahora están en el lado receptor de una de esas políticas de empleados.
Cabría pensar que ellos serían más enérgicos en los derechos de privacidad de los empleados en su propia compañía, pero ocurrió lo contrario. Uno de los asesores a la política de BYOD fue un abogado de Dowling Aaron especializado en HIPPA (Health Insurance Portability and Accountability Act). El solicitó que se tomaran medidas de seguridad más restrictivas.
“Si fuera por él, estaríamos haciendo escaneos de retina en nuestro trabajo diario” dice Adcock. “Y digo esto sólo medio en broma, porque probablemente lo querría”.
El impulso de una mayor seguridad BYOD tiene que empezar arriba. Muchos empleados son socios de la firma. Como firma de abogados han visto las torpezas que han cometido otras compañías, así que entendieron los peligros de 50 abogados llevando teléfonos y dispositivos con acceso a documentos de clientes sin protección de código de acceso ni capacidades de limpieza.

Politica BYOD
La primera iteración de la política de BYOD enfatiza el código de acceso y capacidades de limpieza. Requiere códigos de acceso con un mínimo de cinco dígitos cada cinco minutos de inactividad de la pantalla, junto con la capacidad de borrar totalmente un dispositivo perdido o robado, y borrar selectivamente dispositivos cuando los abogados abandonen la compañía. Esto último afecta sólo a las cuentas Active Sync para los contactos, email y calendario corporativos.
Adcock sabe que una política BYOD no puede empezar de forma muy agresiva. “Puedes ir un poco más allá una vez que los empleados se han acostumbrado y se encuentran cómodos” según él. “Si implantas 10 políticas de una vez, los empleados van a reaccionar y te llamarán Gran Hermano toda la vida”.
Requerimientos adicionales en la política de usuario de BYOD 2.0, incluirán medidas tales como asegurar que los abogados han actualizado el software anti-virus, no se permitirán documentos corporativos en los teléfonos y tabletas BYOD y se bloqueará el almacenamiento de documentos adjuntos en los correos.
Dowling Aaron no sigue la posición GPS ni lee textos ni emails personales. Adcock hace muy poca recolección y auditoría de datos a pesar de que el software de gestión de dispositivos portátiles que utiliza, AirWatch, puede suministrar gran cantidad de información. Monitoriza la memoria disponible en los dispositivos y aconseja a los abogados cuando alcanza ciertos límites.
Adcock ha tenido su cuota de conflictos con abogados díscolos. Un abogado por ejemplo, es un golfista que utiliza una aplicación de golf con GPS que se bloquea debido al requerimiento de los cinco minutos de inactividad de la pantalla. El abogado regularmente desactiva el código de acceso, que genera un aviso de irregularidad de AirWatch a Adcock.
Le diré, “déjame adivinar, estás jugando al golf de nuevo, asegúrate de que restableces el código de acceso nada más terminar” afirma Adcock.
Otras veces Adcock ha tenido que tomar acciones más drásticas, incluso una vez con uno de los socios de la firma. El abogado compartía su iPad con su familia y ellos le quitaban el código de acceso. Adcock envió un mensaje amistoso, pero la siguiente vez que ocurrió, siguiendo la política de BYOD tuvo que hacer una limpieza selectiva del iPad.  La alta dirección obligó al socio a que siguiera la política de BYOD en el futuro.
“Afortunadamente, los otros miembros del consejo son consecuentes” afirma Adcock. “Practicamos lo que predicamos porque sabemos que es una práctica sana”.