Debido al incremento de la utilización por los empleados de dispositivos personales para fines corporativos, el desarrollo de políticas de uso de estos dispositivos constituye una práctica recomendable con el fin de mitigar los riesgos asociados con la seguridad de la información de la compañía.
Las políticas BYOD permiten establecer normas dirigidas a empleados que utilicen sus dispositivos personales con fines corporativos, con el propósito de dar a conocer ciertos requisitos de seguridad técnica y organizativa, y evitar así, la pérdida de la información empresarial o que ésta pueda ser accedida por terceros no autorizados. Tratándose de dispositivos personales, es importante destacar que su uso empresarial requiere el consentimiento de los empleados.
En particular, estas normas pueden regular, entre otros aspectos, la obligatoriedad de establecer contraseñas para acceder al dispositivo y la necesidad de instalar antivirus y antispyware. También pueden establecer las circunstancias (entre otras, la instalación de software de seguridad o la realización de investigaciones) en las que los empleados deben proporcionar al empresario acceso a sus dispositivos, y en qué casos la compañía eliminará la información empresarial almacenada en el dispositivo para garantizar su seguridad (por ejemplo, si se supera el número de intentos fallidos al introducir la contraseña en el dispositivo o en caso de largos periodos de inactividad). Resulta conveniente regular asimismo, los procedimientos que deben seguirse en caso de pérdida o robo del dispositivo, así como qué garantías deben adoptarse en caso de que el dispositivo se comparta con otras personas ajenas a la compañía.
Por otro lado, el empresario puede prever en estas políticas la realización de controles sobre dichos dispositivos. Dichos controles deben respetar en todo caso los derechos fundamentales de intimidad y secreto de las comunicaciones, razón por la cual deberán adoptarse medidas técnicas (por ejemplo, separando la información personal de la empresarial mediante carpetas de seguridad) u organizativas que limiten el acceso del empresario a la información personal almacenada en el dispositivo. Cabe tener en cuenta que es necesario informar previamente a los trabajadores de que va a existir dicho control y mediante qué medios se va a realizar.
La ventaja de adoptar estas políticas es que las empresas garantizan la seguridad de la información de la compañía en dispositivos que no son de su titularidad, disminuyendo los riesgos por la comisión de conductas ilícitas o contrarias a las prácticas empresariales y reforzando su imagen corporativa en el mercado.
La adopción de estas políticas es una práctica cada vez más extendida en las empresas de nuestro país. Su implementación se hace altamente aconsejable ya que cada vez existe un mayor número de empleados que opta por usar sus propios dispositivos en el ámbito empresarial
Judit Barnola. Senior Associate, Spain
Roger Segarra. Lawyer, Spain
- Por Osborne Clarke
- 02/12/2013
