Sergey Nivens - Fotolia
Por que uma política de segurança móvel é uma política corporativa essencial
Uma política de segurança de dispositivos móveis bem definida que eduque os funcionários sobre o uso adequado do BYOD pode ajudar a vedar vulnerabilidades em redes corporativas e reforçar a defesa contra ameaças.
Uma política de segurança móvel desempenha um papel fundamental para garantir que o ambiente de trabalho de uma organização esteja adequadamente protegido contra violações de dados e outros incidentes de segurança, definindo todos os potenciais fatores de risco para os funcionários. Mas as políticas de segurança móvel são mais do que simplesmente fornecer contratos legais e materiais educativos a cada funcionário. E isso envolve mais do que apenas acesso a recursos corporativos e o que é permitido e proibido em dispositivos móveis usados em uma organização.
À medida que os ataques cibernéticos visam cada vez mais dispositivos móveis, a necessidade de atualizar as políticas de segurança de gestão de dispositivos móveis é mais importante do que nunca. Então, o que os departamentos de TI devem saber sobre a aplicação de políticas móveis e o que devem incluir se precisarem atualizar a política de segurança móvel existente?
O que são políticas de BYOD e dispositivos de segurança móvel?
As políticas corporativas de TI podem abordar vários problemas de tecnologia e uso para os funcionários, incluindo uso da internet, retenção de dados, política de mobilidade corporativa, política BYOD, política de uso de mídia social e gerenciamento de mudanças. A TI normalmente é responsável por definir quais políticas de segurança são necessárias, mas o RH também desempenha um papel fundamental ao destacar políticas tecnológicas adicionais necessárias.
A ausência de uma política de segurança móvel pode levar a incidentes de segurança e outros problemas potencialmente dispendiosos que podem levar a violações de dados se os funcionários não estiverem conscientes dos riscos que advêm do uso indevido de tecnologias. Incidentes como a partilha de dados protegidos de informações de saúde de um paciente com utilizadores não autorizados através de mensagens de texto ou numa aplicação de redes sociais são uma clara violação das regras da HIPAA e podem ter graves consequências jurídicas e financeiras.
O que essas políticas devem incluir?
As políticas de segurança móvel e BYOD estão recebendo muito mais atenção da TI corporativa devido às crescentes preocupações com o uso de smartphones. Como resultado, a TI é forçada a ajustar as políticas corporativas existentes para se adaptar às ameaças e ao cenário tecnológico em constante mudança. Em geral, as políticas de segurança móvel e BYOD devem incluir os seguintes documentos:
- política de uso aceitável de dispositivos móveis;
- Políticas BYOD, CYOD (escolha seu próprio dispositivo), COPE (propriedade corporativa, habilitada pessoalmente) e COBO (propriedade corporativa, somente empresa); e
- política de segurança móvel.
Exemplo de modelo de política de segurança móvel e BYOD
O conteúdo dos documentos de política de segurança móvel e BYOD pode variar dependendo dos requisitos da organização e da estratégia de segurança do dispositivo móvel. Um modelo típico de política BYOD deve conter diversas seções personalizadas pela TI.
Breve introdução da política. Destaque o propósito da política, o que ela cobre e as consequências do não cumprimento dos seus requisitos. Por exemplo: " A Empresa Exemplo concede a seus funcionários e funcionários a oportunidade de comprar ou usar seus smartphones pessoais e outros dispositivos móveis no trabalho e para fins de trabalho, para sua conveniência. A Empresa Exemplo reserva-se o direito de revogar o privilégio concedido ao uso de dispositivos pessoais no trabalho . e para atividades relacionadas ao trabalho se o usuário violar e não cumprir os procedimentos e políticas descritos."
Uso aceitável. Descrever o que se espera dos funcionários quando eles usam seus dispositivos para interagir com dados corporativos ou se conectar à rede, incluindo:
- Os usuários devem manter sempre seus aplicativos atualizados ao acessar conteúdos e recursos de trabalho.
- O dispositivo móvel deve ter proteções básicas, como senhas, e a criptografia deve estar habilitada.
- Os funcionários não devem acessar sites ou conteúdos considerados ilícitos, proprietários ou ilegais.
- Os funcionários não devem usar seus dispositivos para tarefas relacionadas ao trabalho durante atividades como dirigir ou operar máquinas ou para hospedar e compartilhar conteúdo na rede corporativa.
Restrições do dispositivo e requisitos de segurança. Incluir requisitos relacionados às ferramentas de gerenciamento de aplicativos móveis para garantir que os aplicativos e dados corporativos estejam adequadamente protegidos no dispositivo. O documento também pode abordar as configurações de segurança esperadas exigidas pela TI para permitir que o dispositivo seja usado para atividades relacionadas ao trabalho e interaja com dados corporativos. Esses detalhes específicos podem incluir o seguinte:
- Garanta que os funcionários mantenham o dispositivo atualizado com o firmware e sistema operacional mais recentes e adotem proteções antivírus em seus dispositivos móveis.
- Exija que os funcionários usem senhas fortes em seus dispositivos com o número mínimo de caracteres.
- Proibir que os funcionários instalem software ilegal ou pirateado em um dispositivo móvel usado para acessar dados da empresa.
Dispositivos aprovados e suporte de TI disponíveis. A TI normalmente permite apenas os dispositivos considerados seguros e que atendem aos requisitos de conformidade da política corporativa. Uma lista de modelos de dispositivos e sistemas operacionais aprovados pode ser incluída. A TI normalmente transfere o suporte telefônico fora dos aplicativos de negócios usados para conectar o tráfego da rede corporativa ao fornecedor do dispositivo móvel. Mas as expectativas de apoio devem ser claras para os funcionários.
Isenções de responsabilidade e responsabilidades. Descreva os riscos que os funcionários podem enfrentar ao usar seus dispositivos pessoais para atividades relacionadas ao trabalho. Enfatize que os funcionários podem enfrentar ações disciplinares, incluindo demissão, se não cumprirem a política de segurança móvel da empresa.
BYOD versus dispositivos de propriedade corporativa. Controles mais rígidos são aplicados aos dispositivos CYOD, COBO e COPE usados pelos funcionários em comparação ao BYOD. Inclua as ramificações do uso de dispositivos de propriedade corporativa em termos de gerenciamento e controle de dispositivos móveis, restrições de acesso a aplicativos e conteúdo e responsabilidades de custos dos funcionários se o dispositivo for danificado.
Como implementar e aplicar uma política de dispositivos de segurança móvel
BYOD e outras políticas de segurança móvel ajudam a promover práticas recomendadas para funcionários que dependem de dispositivos móveis para se conectarem a dados corporativos. Estas políticas também podem ajudar as empresas a aumentar a produtividade e reduzir custos.
Na maioria das organizações, as políticas e documentos corporativos são revisados com os funcionários durante o processo de integração. Mas como as questões de BYOD não se aplicam a todos os funcionários, a TI deve acompanhar os registros dos usuários e planejar atualizações oportunas na política de segurança móvel da empresa.
