everythingpossible - stock.adobe
Cómo crear una política de seguridad para dispositivos móviles
Independientemente de que su empresa permita BYOD, una política de seguridad del dispositivo móvil es muy útil. Pero usted tiene que planificarla, definirla y aplicarla con cuidado.
Ha llegado la hora de que las organizaciones que todavía no han educado a sus empleados en lo relacionado a la seguridad de los dispositivos móviles lo hagan, empezando con la elaboración de una política integral.
Una buena política de seguridad para dispositivos móviles define la manera en que los empleados pueden usar smartphones y tabletas para actividades relacionadas con la empresa. Las compañías deben dejar claros a sus empleados los riesgos asociados con estos dispositivos y hacerles saber que tienen una responsabilidad a la hora de mitigar esos riesgos. La política de seguridad para móviles de su compañía debería describir el alcance de esa responsabilidad y jugar un rol clave en la estrategia general de protección de información sensible y propiedad intelectual.
Planificación de una política de seguridad para dispositivos móviles
Si está usted pensando en implementar un política de seguridad para dispositivos móviles, en primer lugar debe asegurarse de que dicha política defina qué es lo que pueden hacer los empleados, lo que puede hacer la compañía y las acciones que tomará la compañía en determinadas circunstancias.
Dado que algunos dispositivos móviles pertenecen a los empleados y otros a la empresa, es posible que necesite dos políticas para abordar ambos tipos de usuarios. En algunos casos su capacidad para controlar los dispositivos operados por los empleados estará limitada, dependiendo de quién sea el propietario. Por tanto, quizás decida establecer controles más estrictos sobre el uso de dispositivos pertenecientes a los usuarios que sobre los que pertenecen a la empresa. Al mismo tiempo, es difícil controlar la descarga de aplicaciones y otras acciones que los empleados pueden realizar con sus dispositivos personales.
El contenido de la política de seguridad de dispositivos móviles dependerá de las necesidades específicas de su organización. A la hora de diseñar su política considere la posibilidad de incluir las siguientes secciones:
- Declaración sobre la política: Una introducción en la que se explica el propósito de la política y sus razones. Incluya una breve descripción de las cuestiones que regula y los recursos que protege.
- Alcance: A qué personas y dispositivos se aplica. La política puede ser de aplicación sólo a los empleados autorizados para usar dispositivos propiedad de la empresa; o podría abarcar a todos los empleados y a sus dispositivos personales. Esta sección debería también detallar si hay personas o dispositivos exentos de las normas establecidas en la política.
- Definiciones: Cualquier término que podría necesitar definición, como contraseña, bloqueo, encriptación o, incluso, dispositivo móvil.
- Reglas y pautas a seguir: Esta sección cubre las reglas que rigen el uso de los dispositivos por parte de los empleados, detalla los recursos de la empresa a los que pueden acceder, cómo se debe transmitir y almacenar la información, etc. Esta sección es el eje fundamental del documento.
- Ejecución: Detalles específicos sobre las consecuencias del no cumplimiento. Defina las medidas que puede adoptar la organización en cada caso: por ejemplo, confiscación o inspección del dispositivo.
- Contactos: Personas de contacto en caso de necesitar asistencia y/o de tener que notificar la pérdida o robo del dispositivo.
- Aprobación: Informe a los usuarios de quién aprobó la política. Cuanto más arriba en la jerarquía de la compañía estén esas personas, más peso tendrá la política. El personal de la empresa debe asumir que la seguridad de los dispositivos móviles es un asunto serio y que todos deben adherirse a las normas establecidas.
La inclusión de estas u otras secciones dependerá de los requisitos que exija la empresa. Su objetivo debe ser elaborar una política de seguridad lo más amplia y completa posible sin que los empleados se vean abrumados con páginas y páginas de letra pequeña.
Defina su política de seguridad de dispositivos móviles
La sección más importante de la política de seguridad es la dedicada a las reglas y pautas a seguir. Esta sección debe ser lo suficientemente completa como para cubrir todos los aspectos relacionados con el uso de dispositivos móviles, incluyendo la definición de los dispositivos y las plataformas que pueden usarse o no para realizar actividades relacionadas con el trabajo. Por ejemplo, la política puede especificar que sólo se permiten dispositivos pertenecientes a la empresa. O podría incluir un listado de versiones de sistemas operativos y modelos de dispositivos autorizados para los empleados. Los dispositivos autorizados podrían depender de si se usa o no software de gestión, en cuyo caso el acceso quedaría limitado exclusivamente a los dispositivos que usted puede controlar.
La política de seguridad de dispositivos móviles debería abordar también las cuestiones relacionadas con la conectividad. ¿Deben realizarse todas las conexiones a la red corporativa a través de una red virtual privada? Es más, ¿se permitirá el acceso remoto? Debe quedar absolutamente claro cuáles son los recursos a los que se puede acceder con los dispositivos móviles y cómo hacerlo.
¿Qué es una política BYOD? Cómo establecer una política BYOD
Otra cuestión a tratar es el manejo de la transferencia y el almacenamiento de información sensible. Especifique con claridad qué tipo de información pueden transferir los usuarios entre dispositivos móviles, lo que pueden guardar en los dispositivos o en la nube, y si deben encriptar los datos en tránsito o en reposo.
También debería dejar claras las aplicaciones requeridas, las no autorizadas y las opcionales. Por ejemplo, su empresa podría requerir a los usuarios que instalen un cliente de gestión y que todas las aplicaciones que se descarguen provengan de la tienda de aplicaciones de una empresa autorizada. Asimismo, la política debería establecer si los usuarios están autorizados para actualizar apps y/o sistemas operativos, si pueden descargarse add-ons para el navegador y si deben instalar algún software de seguridad.
Recuerde abordar también las cuestiones relacionadas con la política de contraseñas, los ajustes de borrado remoto y la participación en un sistema centralizado de gestión de dispositivos. Además, deberá detallar qué pasos debe dar el usuario en caso de robo o pérdida del dispositivo, si el usuario sospecha que el dispositivo ha sufrido un ataque informático o si va a viajar fuera del país. Asimismo, la política debería señalar los casos en que los empleados tienen que remitirse a otros documentos o recibir alguna capacitación o formación especial.
La política de seguridad de dispositivos móviles es sólo una parte del programa completo de educación de los empleados, pero constituye una pieza fundamental del mismo. Por eso, los empleados a quienes se aplica deberían tener siempre acceso a la misma para que puedan leerla y aceptarla. Sólo entonces podrá usted dedicarse a otros aspectos de la seguridad y lograr el nivel de protección que su negocio necesita.