Según el Barómetro Europeo de Viajes de Empresas 2018 elaborado por American Express Global Business Travel, a nivel europeo, la seguridad del viajero vuelve a situarse como la principal prioridad para las empresas, seguida por la eficiencia y productividad del viajero, el control de costes y la medición de la satisfacción del viajero.
Los participantes en el estudio coinciden en destacar la importancia que está adquiriendo la tecnología móvil para garantizar todas estas prioridades.
Los dispositivos móviles, como son los smartphones, portátiles, tablets y los dispositivos integrados en la ropa o wereables, como son los smartwatches, pulseras o gafas inteligentes junto con la mejora en el ancho de banda de las conexiones inalámbricas a internet, han impactado de manera muy significativa en la forma de trabajar, permitiéndonos trabajar desde cualquier sitio.
El dispositivo móvil es un elemento esencial en la vida diaria para compañías y viajeros. Presta apoyo y facilita los procesos al viajero. Además de la reserva propiamente dicha, es un canal utilizado para recibir alertas, información antes, durante y después del viaje, comunicarse en casos de emergencia, localizar al viajero en cualquier momento, realizar modificaciones en el viaje, llevar a cabo el check-in, realizar pagos, etc.
Trabajar con dispositivos móviles conlleva una serie de riesgos importantes para la seguridad, por ejemplo: pérdida o robo de información, el mal uso que se pueda hacer de los dispositivos, robo de dispositivos, robo de credenciales, utilización de sistemas de conexión no seguros, etc.
En este contexto, el BYOD (Bring Your Own Device) se ha convertido en una práctica habitual, que consiste en hacer uso de dispositivos personales en el ámbito corporativo. Los dispositivos personales no tienen la configuración de seguridad de la empresa, y esto puede suponer una falta total de control sobre ese dispositivo.
Algunos de los riesgos asociados a esta práctica:
- Cuando un dispositivo personal con documentos corporativos se conecta a una red externa no segura podría dar acceso a terceras personas a la información corporativa almacenada en el mismo.
- Instalar aplicaciones otorga permisos de acceso a diferentes partes del dispositivo personal donde podría haber información sensible de la organización.
- Dispositivos personales sin medidas de seguridad (contraseña, patrón o huella para acceder o si no han cifrado su contenido) podrían permitir a cualquiera acceder a todo su contenido.
- Hacer uso indiscriminado de las opciones de «recordar contraseñas» puede provocar que cualquiera que se haga con el dispositivo, tenga acceso a todas las credenciales almacenadas.
- En el caso que un dispositivo personal carezca de antivirus o política de actualizaciones podría infectarse y convertirse en víctima de ataques y accesos no autorizados.
Es evidente que es necesaria una política de BYOD que defina los requisitos que se tienen que cumplir a la hora de utilizar los dispositivos personales en el ámbito corporativo. Además de incentivar, concienciar y formar a los empleados, habrá que definir los aspectos organizativos y normativos, y también los aspectos técnicos.
La empresa tiene que hacer todo lo posible por involucrar y concienciar a sus empleados de la importancia de un uso correcto de dispositivos personales, establecer una política de formación (cursos, charlas…) e incentivar su cumplimiento. Sin su colaboración, el resto de medidas de seguridad no van a ser efectivas. El usuario es el punto más importante en la cadena de seguridad de las empresas. Por muchas medidas técnicas que implantemos, por muchos procedimientos que desarrollemos, el usuario es quién gestiona la información con sus dispositivos. Es fundamental que el empleado que acceda a los recursos de la empresa con sus dispositivos móviles, independientemente si son personales o corporativos, esté concienciado y formado en materia de ciberseguridad. No basta con que el dispositivo esté personalizado y securizado según las preferencias personales del usuario, sino que debe cumplir una serie de requisitos que hagan su uso compatible con las políticas de seguridad de la empresa
La empresa tiene que definir las normas y procedimientos en cuanto al uso de BYOD, especificando las condiciones en las que se permite su uso, cómo se accede a la información, configuración mínima de seguridad necesaria, etc. Se ha de limitar la instalación de aplicaciones así como, prohibir el uso de dispositivos manipulados que permiten la instalación de aplicaciones que no provengan de repositorios oficiales. Es muy importante limitar el acceso a redes desconocidas, indicando que preferentemente se conecten a través de las redes 3G o 4G. En ningún caso se permitirán conexiones a través de redes wifi abiertas. Por último, tiene que establecer el proceso que hay que seguir para entregar o eliminar la información de estos dispositivos cuando el empleado abandona la organización.
La empresa tiene que incorporar los dispositivos BYOD a los requisitos de seguridad que aplican a los dispositivos móviles de uso exclusivamente corporativo. Ha de contar con los mecanismos de gestión necesarios para el cumplimiento y seguimiento de las políticas de seguridad establecidas, comprobando que se hace un uso correcto y seguro de estos dispositivos.
Entre los aspectos técnicos, la empresa tendrá establecer las medidas de control necesarias para poder acceder a la red corporativa (autenticación, doble factor, etc.). En este caso se podría proveer a los empleados de acceso mediante VPN (red privada virtual, en inglés Virtual Private Network), que garantiza un cifrado de las comunicaciones.
Un tema que genera mucho debate es el de la geolocalización. Aunque la mayoría de los dispositivos móviles actuales permiten habilitar de forma selectiva el geoposicionamiento, según las preferencias y necesidades del usuario, es recomendable deshabilitar esta funcionalidad siempre que su uso no sea estrictamente necesario. A la hora de instalar aplicaciones, hay que tener precaución con aquellas que piden acceso a la función de geoposicionamiento del dispositivo, habilitando esta función solamente en caso necesario. Sin embargo, puede ser interesante para la empresa el mantener el geoposicionamiento activado para ayudar a localizar al viajero, recuperar un dispositivo robado o extraviado, etc. En cualquier caso, hay que tener en cuenta que la utilización del servicio de geolocalización puede implicar la violación de la privacidad del empleado, por lo que antes de activar este servicio, se debe informar al empleado y se debe firmar un acuerdo de consentimiento
La información de la geolocalización es muy útil para determinadas áreas de nuestras empresas y en concreto, en el ámbito del TM para localizar viajeros, flotas de vehículos, etc. En estos casos, donde se pueda hacer un seguimiento de los dispositivos o de los viajeros, deberemos incluir un procedimiento en la política de seguridad de la empresa e informar a los empleados de ello, haciéndoles firmar un acuerdo de consentimiento. Debemos ser especialmente cuidadosos en el caso de los BYOD al ser dispositivos privados, ya que corremos el riesgo de monitorizar y controlar las actividades de carácter personal del empleado.
Hasta ahora las leyes españolas no han regulado el que se puedan localizar empleados incluso fuera del horario laboral. Según estudios realizados al respecto, la mayoría de empleados continúan trabajando después de finalizar su jornada de trabajo. Además, algunos empresarios utilizan de forma errónea la opción de localizar empleados y éstos se sienten continuamente conectados con el trabajo y a disposición del jefe. Esto supone que los trabajadores puedan desarrollar el Síndrome del Desgaste Profesional o Burnout y ser menos productivos. Por este motivo, es recomendable usar la localización y control de empleados con responsabilidad.
Mar Rodríguez
Coordinadora de Viajes FeB / Travel Manager FeB
