Prevención de riesgos jurídicos en el uso corporativo de dispositivos personales

1. La privatización de los dispositivos móviles

Si hasta ahora los CIOs y los CISOs tenían que lidiar con el uso privado de los dispositivos corporativos por parte de los usuarios, ahora tienen que hacer frente al uso corporativo de los dispositivos privados, mucho más potentes y versátiles que los que la empresa pone a su disposición.

¿Qué genera más riesgo para una empresa? ¿Que el usuario instale la aplicación de Facebook en la BlackBerry corporativa o que sus hijos jueguen con el iPhone o el iPad privado con aplicaciones y datos corporativos?

La conclusión a la que han llegado muchas empresas es que el mayor riesgo radica en que el usuario corporativo no haga ni una cosa ni otra, es decir, que esté desconectado de la empresa y desaproveche el potencial de sus aplicaciones y comunicaciones para su trabajo. Por ello un buen número de empresas han decidido aceptar que el usuario utilice su propio dispositivo móvil para fines corporativos.

Esta es la tendencia que se esconde tras las siglas BYOD (Bring Your Own Device), que invitan al usuario a llevar su propio dispositivo móvil a la empresa. Esta estrategia se suma a otra que recibe el nombre de “consumerización” y que consiste en que la empresa integra como propios dispositivos diseñados para el consumidor final.

2. La entrada de los nativos digitales en las empresas

Las empresas son conscientes de que será muy difícil eliminar los hábitos de comunicación, multitarea, mensajería instantánea, trabajo en grupo y networking adquiridos por los nativos digitales, intentando que se adapten a aplicaciones que consideran obsoletas y aburridas.

Pero lo más difícil será pedirles que se olviden de sus preciados smartphones. La primera pregunta que harán cuando reciban su dispositivo móvil corporativo será: ¿Dónde están mi Facebook y mis amigos?

Las empresas tendrán que aceptar que sus usuarios tengan dos dispositivos móviles o apostar por la alternativa de integrar las aplicaciones corporativas en los smartphones privados de los usuarios. Y si la empresa no los seduce con sus aplicaciones, los usuarios pueden llegar a comunicarse más entre ellos con redes y entornos externos que con el correo corporativo.

Cisco ha reconocido recientemente que el secreto está en los contenidos y en la aplicaciones que entusiasman a los usuarios de las redes digitales. En julio de 2010 lanzó Cius, un tablet destinado a usos corporativos que cumplía los estándares de seguridad más habituales en las empresas y ofrecía compatibilidad con los protocolos de videoconferencia y los entornos de colaboración corporativos. Antes de cumplir los dos años de vida, Cisco anunció la retirada de este tablet del mercado, siguiendo el mismo camino que han seguido o seguirán otros fabricantes de dispositivos móviles que no responden al criterio dominante de consumo de contenidos, uso aplicaciones y acceso a redes sociales.

Ante la irrupción de los Android, los iPhone y los iPad en los entornos corporativos, la conclusión parece ser que, si la empresa no ayuda a sus usuarios a tratar datos corporativos en estos dispositivos con la debida seguridad, acabarán tratándolos igualmente de forma no segura creando situaciones de riesgo.

3. Normas técnicas y de seguridad

Una de las primeras medidas que deberán adoptar las empresas será incluir en sus políticas, los requisitos técnicos y de seguridad que deberán cumplir los dispositivos privados que alojen aplicaciones y datos corporativos. Estos cambios tendrán que reproducirse en las normas y procedimientos y en el documento de seguridad, dado que estamos hablando de terminales que tendrán acceso a ficheros con datos personales. La empresa deberá destinar un capítulo específico en estos documentos para los dispositivos privados.

También tendrá que regular el procedimiento de homologación de los distintos modelos de tablets y smartphones que existen en el mercado, la actualización periódica de la lista de dispositivos homologados por la empresa y las personas autorizadas para realizar esta función.

Deberán instalarse en los dispositivos certificados electrónicos que los identifiquen y autentifiquen dentro de la red corporativa, ayudando a gestionar la identidad y los privilegios de cada usuario y aplicación móvil. Ello permitirá, y de hecho ya permite, el uso de firma electrónica en el caso de directivos que deben autorizar constantemente operaciones y transacciones que antes les exigían una firma manuscrita.

La configuración remota deberá permitir alterar parámetros básicos como la longitud de las contraseñas, su nivel de complejidad o robustez y la exigencia de un salvapantallas con contraseña, entre otras.

Los terminales deben disponer de acceso mediante a VPN a los servidores de la empresa, con un nivel de cifrado que garantice el flujo información confidencial e incluso de datos personales de nivel alto. En el caso de cloud computing, deberá analizarse la conveniencia del uso de VPN o protocolos SSL.

También habrá que crear en los terminales áreas seguras o contenedores cifrados en los que se alojen los datos corporativos, añadiendo la posibilidad de borrarlos remotamente en el caso de que el dispositivo se pierda o el usuario cause baja en la empresa. Ello obligará a las empresas al uso de aplicaciones multiplataforma o de soluciones cloud, para evitar el mantenimiento remoto y el esfuerzo de integración de los distintos sistemas operativos, modelos y marcas de dispositivo.

4. Normas de uso

Especial atención merece la redacción de las normas que los usuarios deberán cumplir, ya que hasta ahora todas las normas aceptadas se referían a dispositivos que eran propiedad de la empresa y puede causar extrañeza al usuario tener que aceptar normas para el uso de dispositivos que son suyos. En cualquier caso, esta obligación puede verse como la contrapartida a la enorme ventaja de no tener que llevar dos dispositivos móviles encima y es coherente con el hecho de que, a pesar de tratarse de un equipo propio, puede alojar datos personales de clientes e información crítica de la empresa.

Estas normas deberán ser aceptadas antes de la instalación de las aplicaciones corporativas en el dispositivo privado, sin perjuicio de la eventual aceptación a través de correo electrónico, en el momento de la instalación o a través del tradicional popup que ya incorporan algunas empresas en los ordenadores portátiles y de sobremesa para aceptar las normas en el momento del login.

Entre las obligaciones del usuario figurará la no modificación de los parámetros de seguridad, el mantenimiento y actualización del sistema operativo y de las aplicaciones, las limitaciones de uso, la realización de copias de seguridad y el cumplimiento de la normativa de protección de datos, entre otras. Si la empresa ha apostado fuertemente por el cloud computing será posible simplificar algunas obligaciones ya que, salvo en el caso de aplicaciones con sincronización en local, como el correo electrónico, la agenda y los contactos, el dispositivo carecerá de datos corporativos críticos, como los alojados en el ERP de la empresa. Pero ello obligará a seguir dando importancia a la prevención de la ingeniería social, mediante recomendaciones y formación que reduzcan los riesgos de phishing, pharming y cualquier otro engaño orientado a la obtención de contraseñas.

Las normas de uso deberán alertar al usuario sobre los posibles ataques a su privacidad que puedan afectar también a datos corporativos. El usuario tendrá la obligación de extremar la precaución en la descarga de aplicaciones para impedir la entrada de malware que pueda vulnerar la seguridad del dispositivo en sus cuatro capas: la propia aplicación, el hardware, la red y el sistema operativo. Las normas deben prohibir por lo tanto el jailbreak del dispositivo, es decir, la retirada de las limitaciones del sistema operativo para utilizar kernels modificados que posibiliten descargar aplicaciones no homologadas y alterar las medidas de seguridad establecidas por la empresa.

También deberá tenerse en cuenta que si el usuario le deja el iPad a sus hijos para que jueguen es muy probable que naveguen por Internet con criterios de prudencia muy distintos a los del usuario principal, lo cual tendrá sus consecuencias en materia de cookies y publicidad basada en el comportamiento (por ejemplo, el usuario empezará a recibir publicidad de videojuegos), pero también en materia de aceptación de condiciones generales de contratación, spam, malware y otras imprudencias propias de la cibercandidez.

5. Inspección de dispositivos móviles y obtención de pruebas

Otra cuestión a tener en cuenta es el progresivo traslado de los actos desleales, las infracciones y los delitos a los dispositivos móviles. Si un usuario ha decidido suministrar información confidencial a un competidor ya no tiene que extraerla de la empresa mediante acciones que pueden ser rastreadas. Sólo tiene que mostrar los datos en la pantalla de su tablet al comprador de la información.

La movilidad de los usuarios y de la información puede comportar nuevas amenazas y oportunidades. Actualmente, la localización de la información ha pasado a ser irrelevante. Como decía Manuel Castells en 2001, la información ya no es un activo a almacenar sino un flujo a optimizar.

Las características actuales de la información son, a los efectos de este apartado, las siguientes:

1. Puede ser generada en cualquier lugar y momento
2. Puede encontrarse en cualquier lugar: en la nube, en la empresa o en los dispositivos móviles
3. Puede ser compartida y reutilizada con mayor facilidad

Debido a estas características, el control y los esfuerzos destinados a la prevención e investigación de delitos e infracciones ya no recaerá tanto en los dispositivos como en la propia información, esté donde esté.

Un ejemplo claro de ello es la información que está en la nube. El cloud computing puede definir el escenario ideal de control e intervención, con un protocolo sencillo y unas medidas compatibles con el juicio de proporcionalidad. Sin embargo, la característica esencial de la dispersión hace difícil planificar que las pruebas de un delito estén en un entorno único y ordenado. Las pruebas pueden encontrarse en los servidores del proveedor, en los servidores del cliente, en los servidores del proveedor del cliente, en los servidores de la empresa y en los dispositivos de los usuarios. Por ello, habrá de actualizar los protocolos de investigación y obtención de pruebas para adaptarlos a este nuevo escenario, móvil, distribuido y cambiante.

El artículo 20 del Estatuto de los Trabajadores y la doctrina unificada del Tribunal Supremo permiten a la empresa aplicar su actividad de control a los recursos TIC corporativos utilizados por sus usuarios, pero habrá que ser muy prudentes en la extensión de este control a los dispositivos que son propiedad de los usuarios. La capacidad de control de la empresa deberá quedar limitada exclusivamente a las áreas, aplicaciones y contenedores de información corporativa, sin perjuicio del posible análisis forense de todo el contenido del terminal en el seno de una investigación judicial, o con el consentimiento del usuario.

La actividad de prevención y control de la empresa puede tener distintos niveles de proactividad, que van desde la simple conservación de logs hasta la captura secuencial de pantallas sin intervención humana. Esta actividad deberá ser informada a los usuarios y deberá ser proporcional, idónea y necesaria para las finalidades de control previstas en las normas internas y en el ordenamiento jurídico. Los últimos cambios legislativos, entre los que destaca la reforma del Código Penal para dar cabida a la responsabilidad penal de las personas jurídicas, así como las tendencias modernas en materia de seguridad, inspiradas por un criterio de “confianza cero” hacen prever un incremento del control de las empresas sobre sus usuarios y una mayor exigencia de información sobre dicho control.

6. Otras implicaciones jurídicas

Como epílogo a estas reflexiones sobre el uso de dispositivos privados en entornos corporativos cabe enumerar otras consecuencias de la consumerización y del BYOD.

- El cloud computing ofrece mayores garantías para la continuidad del trabajo del usuario, a pesar de que el terminal utilizado no sea de la empresa. Si el usuario ha hecho sus deberes, toda la información estará en el servidor y la baja del trabajador o la pérdida del terminal no impedirán que el trabajo pueda ser continuado por otro usuario. Ello obliga a informar previamente a los usuarios sobre esta posibilidad y a actualizar los protocolos orientados a garantizar la continuidad del trabajo.

- En algunas funciones basadas en la movilidad, las empresas han explotado la capacidad de saber la localización exacta del usuario en cada momento, e incluso de conocer en tiempo real lo que está haciendo. En el caso de dispositivos propios, los usuarios mantienen el control sobre el GPS y pueden gestionar los privilegios de acceso de cada aplicación a los datos de localización. Ello puede exigir la inclusión en las normas de uso de una obligación de permanecer localizables dentro del horario laboral. Esta obligación debe ir acompañada de la necesaria información sobre las posibles finalidades de la geolocalización: optimización de rutas, control de flotas, tracking del transporte de productos y pasajeros, control del absentismo laboral, detección de incumplimientos contractuales, etc.

- Las empresas van creando progresivamente manuales o guías donde recogen buenas prácticas en el uso de las redes sociales. El comportamiento de un usuario en las redes sociales puede cambiar en función de si el dispositivo utilizado es propio o de la empresa. Estos manuales deberán recordar que las obligaciones de confidencialidad respecto a información de la empresa y de sus clientes, no denigración de competidores, etc. no deben relajarse en ningún entorno.

- También hay que limitar la responsabilidad de la empresa respecto a los contenidos y aplicaciones que el usuario pueda alojar en la zona privada de su dispositivo personal. La empresa no tiene control sobre dicha área, pero el usuario debe ser consciente de que sus contenidos pueden llegar a ser asociados a la empresa, al coexistir con aplicaciones corporativas y al compartir una misma dirección IP. Puede ser recomendable pedir al usuario que respete en todo el dispositivo la normativa de propiedad intelectual e industrial y cualquier otra norma cuyo incumplimiento pueda generar responsabilidad para la empresa.

- En empresas multinacionales o en el caso de usuarios que viajen al extranjero, habrá que delimitar claramente las responsabilidades del usuario en relación al contrato que les une al operador, con el fin de evitar sorpresas por facturación adicional derivada de la itinerancia de datos.

Finalmente, y a pesar se ser algo ya mencionado en este artículo y presente en las medidas de los responsables de seguridad, es importante tener siempre a mano el “botón rojo”, es decir, la opción que va a permitir a la empresa desvincularse del dispositivo privado del usuario, borrando toda la información corporativa en el caso de pérdida, sustracción, baja del usuario en la empresa o mal uso del terminal.

Artículo publicado en e-Penteo

 


¿Por qué podría querer un iPad un abogado?

En mi caso personal, el hecho de pasar tres días a la semana en el despacho de Madrid y dos en el de Barcelona, me ha obligado a trabajar sin papeles y a tener todos los documentos en formato electrónico. 

Por ello, siempre he considerado poco eficiente tomar notas en papel en las reuniones, pero he seguido haciéndolo porque no he encontrado un medio cómodo y no invasivo para capturar y almacenar mis notas de forma electrónica. 

En una reunión de dos personas, la pantalla del portátil se convierte en una barrera vertical entre el cliente y tú. En una reunión con varias personas, si miras mucho la pantalla, da la impresión de que estás ausente del debate, leyendo correo electrónico o realizando otras funciones ajenas al objeto de la reunión. Aunque ello puede ser cierto a veces, también hay un componente cultural detrás de esa sospecha. El mismo componente cultural que hace que cuando la familia te ve leyendo el periódico en papel lo encuentre normal y en cambio, si te ve leyendo el periódico a través del ordenador o de la BlackBerry piense que eres un adicto al trabajo o a Internet.

Llevar los autos en el portátil para consultarlos en una vista judicial es ideal, pero tienes los mismos inconvenientes que en una reunión. A algunos magistrados no les gusta y en algunas salas no hay enchufes cerca de la mesa. 

La idea de un tablet, sea un iPad o el modelo de Microsoft, brinda la posibilidad de mantener un comportamiento muy similar al que adoptas cuando tomas notas en papel. Mi experiencia de tres años con un tablet PC con Windows XP fue muy positiva, pero tenía tres inconvenientes: el grosor del equipo, la aberración cromática causada por la pantalla táctil y los tiempos de arranque y recuperación. 

La experiencia de escribir en una hoja cuadriculada de OneNote no era la misma que la de escribir en una Moleskine, pero el resultado final era el mismo, y mucho más eficiente que escanear tus notas o volverlas a escribir en el ordenador. También era más ecológico. Dejé el tablet PC hace dos años para perderme en la amplitud de una pantalla de 17 pulgadas, a pesar de su mayor peso.

Las características ideales de un tablet, para el uso que yo le daría, serían las siguientes:

  1. Ligero.
  2. Fino.
  3. Rapidísimo.
  4. Con buena resolución de pantalla.
  5. Sin aberraciones cromáticas ni efecto moiré.
  6. Con un teclado virtual español de tamaño adecuado y con multipulsación.
  7. Que admita aplicaciones de reconocimiento de escritura manuscrita.
  8. Con 3G y WIFI.

En cualquier caso, un tablet de las características del iPad no sería, en mi caso, un sustituto del portátil, sino del papel. Es decir, un complemento ideal para reuniones, juicios, viajes y para todas aquellas situaciones en las que ahora seguimos prefiriendo acudir al papel antes que al portátil.

Caos, orden y perfección

A través de Fotografía Microsiervos he accedido a Armonía Fractal, un blog de fotografías aéreas de Doñana, en el que se ve cómo el agua y la vegetación generan formas muy parecidas a los fractales. La que más me ha impresionado ha sido ésta, ya que realmente parece un fractal.

Además de trasladar mi mente al apasionante mundo del orden en la naturaleza, el número áureo y la proporción áurea, he recordado las palabras que oí a un conferenciante en un congreso sobre seguridad informática: "El caos tiende a la perfección. Sólo tienes que dejar tu casa unas semanas sin barrer. Verás como la suciedad del suelo se va organizando en borlas esféricas. ¿Y no es la esfera la figura más perfecta?. El caos del universo también ha ido formando planetas esféricos…".  Es una teoría totalmente opuesta a la Ley de Murphy, que parece más adaptada a la mente humana, a pesar de la perfección que es capaz de manifestar el hombre al representar el orden del universo en la geometría.

Cada vez que oigo hablar del caos creado por la información, del exceso de datos que recibimos cada día y de todos los factores que han hecho que hablemos de la economía de la atención, recuerdo esas palabras y pienso en un universo de textos, fotografías, vídeos, recuerdos, sensaciones… que se encuentran en un desorden natural a la espera de ser ordenados, comprendidos o interpretados en el preciso momento en que ello sea necesario y de forma efímera. 

Para encontrar un lugar ideal para el observador habrá que alejarse de la información y dejar que se simplifique la visión, al revés de lo que sucede en un fractal de Mandelbrot: al acercarnos a un perfil sencillo de una figura geométrica, aparecen nuevas figuras que reproducen la anterior, y así sucesivamente hasta el infinito. 

Es algo parecido a lo que ocurre cuando navegas por Internet sin un mínimo de disciplina. Tu curiosidad te lleva por tantas bifurcaciones que al final estás ante contenidos que no tienen nada que ver con tu objetivo inicial. 

Los algoritmos utilizados hasta ahora para explorar el caos de la información en Internet se han basado en la popularidad de los contenidos, en la relevancia, la categorización… Teniendo en cuenta la naturaleza dinámica del caos, y la imposibilidad de que cualquier forma de orden de la información sea útil para todos, la alternativa ha sido siempre cambiar el factor de zoom y aplicar en cada caso la distancia focal apropiada, en función del nivel de detalle que necesitemos  y el tiempo del que dispongamos. Esto parece muy fácil y elemental, pero no somos capaces de hacerlo y dejamos que la necesidad inconsciente de ordenar el caos que nos rodea siga influyendo en nuestro nivel de estrés. Tal vez la felicidad consista en parte en la aceptación absoluta del caos.

La misma sensación da a veces navegar por los textos legislativos y por la jurisprudencia. La experiencia era dramática cuando no había bases de datos y tenías que enfrentarte a repertorios que ocupaban cientos de volúmenes. Además, sin una tabla de vigencias actualizada podías estar trabajando con un texto derogado total o parcialmente.

Las contradicciones que encontramos entre los preceptos, a pesar del orden y la capacidad organizativa que se presumen en el legislador, hacen preguntarse qué pasaría si añadiésemos en el proceso de creación de leyes un cierto factor de caos, dejándolo en manos de los destinatarios de la norma para ver si surgía un orden natural, un número áureo que lo acercase a la perfección. Sería algo parecido a una wiki ley que necesitaría un elemento coordinador de las numerosas aportaciones. ¿Triunfaría la proporción áurea de la naturaleza o la ley de la fatalidad del ser humano desligado de la naturaleza?.

Tal vez algo así es difícil de imaginar, dada la pluralidad de enfoques, perjudicados y beneficiarios de cada uno de los artículos de una hipotética wiki ley. El posible que el paso intermedio sea el uso de Internet para la consulta popular y para la recepción de comentarios sobre un proyecto de ley. La LSSI, el Reglamento de la LOPD y la LISI han sido leyes que han recibido innumerables aportaciones y críticas desde la red. Por desgracia, el legislador no siempre saca el máximo provecho del pensamiento distribuido, y al final, bien porque el trabajo legislativo no tiene tiempo para ser consistente, bien porque la ley nunca puede ser perfecta, el acabado final, el ajuste fino, queda en manos de los jueces.

Adicciones

Todavía faltan muchos años para que se incorporen en la cultura de nuestros congéneres algunos hábitos que en la actualidad todavía son sinónimo de adicción a las nuevas tecnologías. Por ejemplo, es un hábito tolerado socialmente leer el periódico durante el desayuno o el aperitivo de los domingos. Sin embargo, si uno decide leer el periódico a través de su PDA, es muy probable que cause extrañeza o incluso algún comentario relativo a la adicción al trabajo o a la BlackBerry. Lo mismo sucede si en vez de tomar notas en un papel durante una reunión lo haces en tu BB. Lo más seguro es que recibas miradas despreciativas por no prestar atención, cuando justamente lo que estás haciendo es asegurar que no se pierda el fruto de tu atención. A veces tienes que tomar notas en papel para demostrar respeto e interés hacia la persona que habla, aún a riesgo de perder las notas o de duplicar el trabajo. En el mismo desayuno, aperitivo o reunión todavía pueden manifestarse adicciones reales a la nicotina o a la cafeína con menos censura social.