Controlando la anarquía móvil
Los trabajadores móviles requieren hoy laptops inalámbricos, dispositivos móviles, teléfonos inteligentes. También tienden a multiplicarse dentro de las empresas los teléfonos con cámara, los tablet PC, las conexiones Wi-Fi de banda ancha para teletrabajadores, los escáneres de mano y dispositivos RFID, y un nuevo tipo de teléfonos híbridos Wi-Fi y celulares. No existe control posible en la demanda de dispositivos móviles dentro de las empresas. Todo el mundo quiere un portátil o un dispositivo de mano Wi-Fi que le permita enviar un correo electrónico a sus colegas mientras se encuentra en la sala del aeropuerto, por ejemplo, o acceder a aplicaciones críticas de ventas de la red corporativa cuando visita a un cliente.
Esta proliferación de dispositivos móviles se ve acompañada por una tendencia hacia terminales cada vez más complejos. Lo último son los teléfonos inteligentes, dispositivos convergentes que combinan funciones de teléfono móvil y de dispositivo de mano. En el peor de los casos, estos dispositivos se ambicionan solo como símbolo de status. En el mejor, como medio de incrementar la agilidad en el trabajo y mejorar la productividad. Y puesto que, además, todos estos nuevos aparatos han llegado a ser relativamente baratos, ¿cómo pueden negarse los responsables de TIC a introducirlos en la empresa?
Sin embargo, es una necesidad mantener bajo control el entorno TIC, y estos dispositivos móviles e inalámbricos, con todo su potencial y encanto, introducen inevitablemente un componente de anarquía. Llevan los datos fuera de los muros de la empresa, y la fosa que se había cavado alrededor del castillo digital corporativo –los cortafuegos y antivirus para entornos cableados, tan eficientes para proteger los puestos de trabajo– dejan de ser efectivos. Es preciso, por tanto, crear políticas y estándares de seguridad, y los mecanismos necesarios para hacer que se cumplan. En la realidad, como asegura Accenture, los CIO sólo pueden intentar alinear sus políticas con los usuarios o imponerse. Y si se imponen, los usuarios encontrarán maneras de utilizar los terminales, incluso comprándolos por su cuenta, y lo harán de manera aún más incontrolable –por desconocida– para los responsables de TIC.
Estrategia de gestión
En resumen, lo que los CIO necesitan desesperadamente es una estrategia para gestionar los dispositivos móviles e inalámbricos y normalizar su uso dentro de la organización. El desarrollo de una buena estrategia en este sentido exige identificar si realmente existe una necesidad de negocio que justifique un determinado dispositivo; segmentar los empleados por funciones dentro de la empresa, según el tipo de trabajo realizado; elaborar una lista con los dispositivos que el departamento de TI soportará y los no autorizados; y, finalmente, idear un plan de formación y entrenamiento para usuarios y personal de helpdesk, así como reforzar mediante diversas medidas los mecanismos que asegurarán la aplicación de las políticas de seguridad a nivel de dispositivo.
Si se intenta seguir adelante sin un plan de este tipo, se acabará en un auténtico caos de seguridad y privacidad. Cada día se multiplican los ejemplos que lo corroboran. Los incidentes de laptops perdidos y robados subrayan la importancia de securizar estos dispositivos con algo más que una contraseña. Sirva como ejemplo el caso ocurrido en Estados Unidos en abril de 2005, cuando el portátil de un analista financiero de MCI desapareció y con él los nombres y números de la Seguridad Social de 16.500 empleados de la compañía.
Por el contrario, si los CIO pueden mantener una política clara y visible, hacerla respetar y que los usuarios se impliquen en el proceso desde el principio hasta el fin, la seguridad de los dispositivos vendrá por sí misma. Y es que, según Ovum, al menos entre un 70 y un 80% de la adhesión a las políticas de seguridad corporativa dependerá de la aplicación de esas políticas por parte de cada empleado. Por tanto, nada debe imponerse por mero decreto, sino mediante un plan de formación y concienciación que no escatime esfuerzos.
Mediante la planificación, la gestión de riesgos y la formación se consigue mantener el control sobre el uso de este tipo de terminales en la organización, facilitando al mismo tiempo a los empleados la suficiente flexibilidad para realizar de manera más eficiente su trabajo.
Costes vs. beneficios
Antes de empezar a evaluar un dispositivo móvil e inalámbrico, debe preguntarse si existe una necesidad real de negocio que justifique su introducción. Es necesario analizar el beneficio que la persona concreta que lo utilizará obtendrá con la nueva herramienta y compararlo con el coste añadido que supondrá acomodar la herramienta dentro de la organización. Y en este sentido es bueno mostrarse duro en la estrategia de adhesión a los estándares de dispositivos móviles. Los usuarios han de saber que si un nuevo aparato no está directamente relacionado con la introducción de mejoras en la base de clientes o productos de la compañía, no será aceptado. Y no sólo tiene que introducir de manera evidente una ventaja. Si, además, el coste del dispositivo o el riesgo que genera no es igualado o superado por los beneficios, los responsables de tecnología no deberían admitirlo.
En realidad, como señala Burton Group en un informe reciente, esta regla no es diferente a la que se suele aplicar en el caso de los PC de sobremesa o los portátiles. Los CIO deben utilizar los mismos análisis y requerimientos con los terminales móviles y wireless. En el informe, la consultora advierte que los dispositivos handhelds resultan caros para las empresas, tanto en términos de coste directo de adquisición como de los costes añadidos que supone introducir mecanismos específicos de protección para securizarlos, en cuanto a capacidades de encriptación y autenticación. “Ciertamente, el uso de hand- helds puede incrementar la productividad, pero también el riesgo al que se expone la organización”.
Así, ¿qué dispositivos pueden arriesgarse a desplegar los CIO? Claramente, cuentan con una diversidad de opciones entre la que habrán de decidir cuál funcionará mejor (en su organización, e incluso en cada empleado) y qué capacidades se necesitan, qué características de seguridad resultan críticas y dónde residen los potenciales costes ocultos de cada solución.
Es deseable, aunque no siempre posible, crear una arquitectura tecnológica homogénea. El primer paso que da la mayoría de las empresas para introducir la movilidad es ofrecer una solución de correo electrónico inalámbrico, muy frecuentemente basado en terminales BlackBerry. Pero el proceso no es tan sencillo. Lo que suele ocurrir a continuación es que un grupo determinado dentro de la compañ