Es curioso cómo el tema de los costes, que a priori puede parecer uno de los aspectos más objetivos, matemáticos y cuantificables en una empresa, puede dar pie a tal variedad de interpretaciones y puntos de vista, a veces incluso contrarios, cuando los datos de partida deberían ser siempre los mismos. Esto es lo primero que me vino a la cabeza cuando leí
esta noticia, hace ya unos días, sobre la posibilidad que ofrecen algunas empresas de que los empleados compren y mantengan sus propios PCs.
La verdad es que la idea, desde el punto de vista de la seguridad, me parece demasiado atrevida. Pero ni siquiera hace falta recurrir a estos argumentos para cuestionarla, basta con pensar un poco en costes indirectos. Es cierto que si los propios empleados compran y mantienen sus equipos, no hay que dedicar ni un céntimo del presupuesto corporativo para atención al usuario ni para adquisición y/o mantenimiento de equipos. Ahora bien, si la condición indispensable (tal y como afirma el artículo) es migrar las aplicaciones a un entorno web... qué coste tienen estos proyectos? Probablemente sea significativo. Ciertamente es un coste puntual, pero puede que no sea despreciable, y que la rentabilidad del cambio de estrategia se retrase unos años.
Además del coste de la migración... ¿Qué garantías de rendimiento puede ofrecer la compañía? En general, el uso de los equipos es un factor determinante para el rendimiento del personal, y por el momento a nadie se le exigen conocimientos de administración de sistemas para acceder a un puesto que no sea de este área. Si los equipos funcionan mal, la única forma de asegurar que los empleados pueden arreglarlos (y que sigan siendo productivos) es habilitar un programa de formación técnica para todos los empleados. Y eso tiene un coste.
Por otra parte... qué aplicaciones van a utilizar los usuarios para desarrollar su trabajo? Son todas freeware? Y si no es así, quién corre con los gastos derivados de las licencias? La empresa o el empleado? Hay muchos programas informáticos cuyo coste en licencias no es precisamente bajo. Y no todos los productos son capaces de funcionar vía web.
Por otra parte, una vez que todos los equipos están accediendo a los sistemas de la organización, hay que asegurar la interoperabilidad. Y si el entorno es heterogéneo, puede ser algo complicado...
Ya desde el punto de vista de la seguridad... qué políticas de usuario puede aplicar la compañía? Se puede forzar una longitud mínima de contraseña, por ejemplo, si el usuario puede administrar su propia máquina? Se puede forzar la navegación a través de proxy, si el usuario puede modificar su configuración de red? Porque debe poder hacerlo, si queremos que administre su propio equipo...
En resumidas cuentas, creo que la iniciativa en términos generales es bastante desacertada. Sobre todo, porque no se tienen en cuenta costes indirectos derivados de esa decisión, ni perjuicios colaterales que puedan surgir. Y desde el punto de vista de la seguridad, difícilmente se pueden establecer muchos controles corporativos si los usuarios tienen que tener por propia política de empresa la capacidad de saltárselos. Que de proponer un abanico de opciones para elegir el equipo de trabajo, a dar una libertad completa en su selección, el salto es enorme. Y no tiene red.