Saltar al contenido

La prueba del IRS de la política de BYOD para los empleados

Por Jason Bramwell, Escritor del personal

El IRS está probando un programa que permitiría a los empleados acceder al correo electrónico del trabajo y a otros servicios en sus teléfonos inteligentes personales, pero según un informe publicado por el Inspector General del Tesoro para la Administración Tributaria (TIGTA), el programa del IRS «traiga su propio dispositivo» (BYOD) debería ser rentable y se necesita un análisis completo de costo-beneficio.

La prueba del IRS de la política de BYOD para los empleados
La prueba del IRS de la política de BYOD para los empleados

BYOD es una tendencia popular en la informática móvil que permite a los usuarios acceder a los recursos de la red en sus dispositivos móviles personales, como teléfonos inteligentes y tabletas. Si bien BYOD tiene el potencial de proporcionar a las organizaciones ahorros en los costos, mayor productividad y mejor satisfacción de los empleados, los dispositivos móviles a menudo necesitan protección adicional debido a las amenazas de robo de identidad y exposición al malware.

Para su informe, Better Cost-Benefit Analysis and Security Measures Are Needed for the Bring Your Own Device Pilot , TIGTA evaluó los costos, la administración y la seguridad del IRS para su esfuerzo BYOD.

El IRS compró 1.000 licencias de software de gestión de dispositivos móviles en junio de 2012 para su uso por parte de los empleados con iPhones, iPads y teléfonos inteligentes Android de propiedad personal. En mayo de 2013, se utilizaron 519 licencias, todas menos dos para iPhone y iPads.

El TIGTA descubrió que el organismo ha puesto en práctica varias medidas dignas de mención para su proyecto piloto BYOD, entre ellas la adopción de un enfoque gradual y la consideración de la seguridad. Sin embargo, aunque el IRS ha gastado más de 900.000 dólares en movilidad, la agencia no ha desarrollado un análisis completo de costo-beneficio para justificar plenamente la aplicación del concepto BYOD. El documento de la Casa Blanca sobre el BYOD Toolkit establece que el BYOD debe ser rentable, y un análisis de costo-beneficio es esencial.

«Aunque el IRS preparó un simple análisis de costos que comparaba el costo estimado de BYOD con el costo de los programas existentes de BlackBerry y de teléfonos celulares del IRS antes de iniciar el piloto de BYOD, el análisis no se actualizó con información completa sobre las suposiciones y los costos», declaró TIGTA en el informe. «En consecuencia, a medida que el piloto se expandió, los gerentes del IRS confiaron en las suposiciones y proyecciones de costos originales del análisis, que no proporcionaron una base suficiente para la toma de decisiones informadas».

En el análisis inicial se sobreestimó el número de usuarios de teléfonos inteligentes existentes. El análisis de enero de 2013 del IRS se basó en 5.000 usuarios de BlackBerry y 15.000 de teléfonos celulares. Sin embargo, en febrero de 2013, el IRS le dijo a TIGTA que tiene unos 4.300 usuarios de BlackBerry y unos 10.500 de teléfonos celulares.

El análisis inicial también asumió que todos los empleados con teléfonos celulares o smartphones proporcionados por el IRS elegirían participar en BYOD. Sin embargo, casi la mitad de las licencias de software de gestión de dispositivos móviles compradas por el IRS para su uso en la prueba no se están utilizando.

Además, todavía es necesario prestar más atención a las preocupaciones de seguridad relacionadas con los 460 usuarios que participan en el programa piloto de BYOD. El IRS permite a los dispositivos de BYOD acceder a los recursos de la red del IRS además de proporcionar acceso al correo electrónico, aumentando el riesgo de que la privacidad y los datos de los contribuyentes puedan verse comprometidos.

El IRS también permite que los dispositivos basados en el sistema operativo Android participen en el piloto de BYOD, aunque estos dispositivos están más sujetos a malware que los dispositivos de Apple probados en fases anteriores. Los registros de auditoría y la formación también deben ser mejorados, según TIGTA.

«El IRS estima que ha gastado más de 900.000 dólares en sus esfuerzos de movilidad por fases, incluyendo el piloto BYOD», según el informe. «Aunque existen algunos problemas con su análisis, el IRS estimó que un programa completamente desplegado podría costar unos 3,9 millones de dólares para su puesta en marcha y unos 2,2 millones de dólares adicionales al año en costos continuos para hasta 20.000 usuarios. Esto se compara favorablemente con la estimación del IRS de unos 7,6 millones de dólares en costos anuales para 20.000 usuarios en el programa existente».

El TIGTA hizo las siguientes cinco recomendaciones al Director de Tecnología del IRS, Terence Milholland:

  1. Asegurarse de que se complete un análisis de costo-beneficio para BYOD que cumpla con las directrices federales.
  2. Asegurarse de que los usuarios de BYOD sólo puedan acceder a las funciones de correo electrónico.
  3. Tome medidas adicionales antes de admitir los dispositivos Androides en el piloto de BYOD.
  4. Retener y revisar los rastros de auditoría en cumplimiento de las políticas existentes.
  5. Proporcionar capacitación periódica a los participantes de BYOD sobre las amenazas y las prácticas de seguridad recomendadas específicas de BYOD.

El IRS estuvo de acuerdo con cuatro de las cinco recomendaciones y propuso algunas medidas correctivas que tiene previsto adoptar sólo si se amplía el piloto de BYOD o se identifica la financiación. El IRS no estuvo de acuerdo con la recomendación de aplazar la admisión de dispositivos Androides en el programa piloto hasta que se complete una evaluación de los riesgos de seguridad.

El TIGTA sostiene que algunas de las medidas correctivas propuestas por el IRS son inadecuadas porque dependen de la expansión del BYOD o de una financiación adicional.

«El demostrador de la tecnología BYOD explora todas las posibilidades de las opciones de los dispositivos móviles para los empleados del IRS», escribió Milholland en respuesta al informe. «Consideramos que algunas de las recomendaciones del [informe TIGTA] son más apropiadas para un programa BYOD en producción. Mientras BYOD permanezca en un modo exploratorio, continuaremos evaluando los pros y los contras de la tecnología con la debida diligencia a la seguridad de los datos y la rentabilidad».

Artículo relacionado:

  • 5 consejos para prevenir las violaciones de seguridad de BYOD en su empresa