Cómo abordar el cumplimiento para móviles en un entorno empresarial

¿Qué requisitos de cumplimiento móvil son comunes en la empresa?

Los dispositivos móviles –especialmente en un escenario BYOD– crean desafíos de cumplimiento únicos porque los trabajadores móviles tienen el mismo acceso a los datos corporativos usando una aplicación móvil que en su PC corporativa. Estos desafíos solo aumentan con el GDPR, que afecta a la mayoría de las organizaciones, incluso si no tienen su sede en la UE. El GDPR tiene varios requisitos clave de divulgación y control. Son los siguientes:

• Proporcionar aviso sobre cualquier recopilación de datos de identificación personal.
• Notificar al público sobre cualquier violación de datos.
• Obtener el consentimiento de cualquier persona cuyos datos se estén recabando.
• Seguir los requisitos de mantenimiento de registros sobre cómo se almacenan y utilizan los datos.
• Permitir que las personas cuyos datos se recopilan vean, modifiquen y eliminen cualquier información sobre ellas mismas.

Las regulaciones federales, estatales y locales actuales de EE. UU. no llegan tan lejos como GDPR en la mayoría de las situaciones, pero EE. UU. podría expandirse a un nivel similar de severidad regulatoria en el futuro cercano. Las mejores prácticas dictan que TI debe cumplir con los criterios más estrictos en toda su organización para estar preparada para el futuro, evitar sanciones importantes por incumplimiento y evitar reacciones negativas de los clientes.

¿Por qué es tan difícil gestionar el cumplimiento de normas móviles?

Las violaciones de datos de dispositivos móviles pueden ser particularmente problemáticas porque muchas organizaciones no tienen las capacidades de monitoreo adecuadas para determinar si los dispositivos han sido violados en primer lugar.

Casi la mitad de las empresas encuestadas en el Índice de seguridad móvil de Verizon de 2022 dijeron que se habían sufrido un compromiso relacionado con un dispositivo móvil en los últimos 12 meses. Las empresas con presencia global tenían aún más probabilidades de verse afectadas. Más de tres de cada cinco (61 %) se habían visto afectadas, en comparación con el 43 % de las organizaciones con sólo presencia local.

Obviamente, existe una brecha importante en el conocimiento empresarial sobre los incidentes de seguridad móvil.

Muchas organizaciones no están seguras de qué datos almacenan los usuarios en sus dispositivos móviles. Este es un desafío importante desde la perspectiva del cumplimiento móvil y podría causar un desastre para cualquier organización auditada.

¿Qué puede hacer TI para cumplir con las regulaciones de cumplimiento móvil?

A continuación se presentan algunas estrategias que los departamentos de TI pueden implementar para preparar mejor una flota de dispositivos móviles para seguir cumpliendo:

Establecer y hacer cumplir una política móvil en toda la organización

Para cumplir con las principales regulaciones y abordar la amenaza de incidentes de seguridad móvil, TI debe establecer una política móvil completamente examinada para toda la organización. Esta política debe definir claramente qué información los usuarios pueden almacenar localmente, como listas de clientes y datos personales, cuándo y cómo los usuarios pueden operar sus dispositivos móviles, a qué sistemas corporativos pueden conectarse y niveles de requisitos de inicio de sesión, como biometría, inicio de sesión único y cifrado.

Hacer cumplir estas políticas requiere que una organización implemente una herramienta de administración de dispositivos móviles (MDM) , administración de movilidad empresarial (EMM) o administración unificada de terminales (UEM) de un proveedor como Microsoft, Kandji o Jamf. Sin un paquete de gestión de movilidad eficaz, los equipos de TI no pueden establecer políticas adecuadas y monitorear el uso y el flujo de datos lo suficientemente bien como para mantener el cumplimiento de todas las regulaciones requeridas.

Es probable que los departamentos de TI de industrias altamente reguladas ya estén conscientes de lo que se requiere en su campo. En algunos casos, TI mantendrá sus propios sistemas para garantizar el cumplimiento y, en algunos casos, las organizaciones subcontratarán la gestión de la movilidad a un tercero, como un proveedor de servicios gestionados de movilidad (MSP) que esté bien versado en cuestiones de cumplimiento.

Implementar una estrategia de seguridad móvil efectiva en toda la flota de dispositivos

Los dispositivos móviles corren un mayor riesgo de robo, pérdida o compromiso en escenarios de trabajo híbrido y remoto, poniendo así en riesgo los datos corporativos confidenciales. Utilice una plataforma MDM para proporcionar un nivel estándar de cifrado, autenticación segura y capacidades de borrado remoto.

La gestión de dispositivos de propiedad corporativa facilita la implementación de una estrategia eficaz. Gestionar el cumplimiento de los puntos finales BYOD se vuelve más desafiante debido a la diversidad de configuraciones, sistemas operativos móviles y versiones de aplicaciones en los dispositivos de los usuarios. La única forma de anticiparse a estos desafíos es dedicar más tiempo a crear una estructura de soporte para BYOD, comenzando con los requisitos de los dispositivos regidos por políticas de MDM para ayudar a garantizar el cumplimiento móvil mediante la autorización de los dispositivos.

Instituir un plan de cumplimiento para usuarios móviles

Las organizaciones sin un plan de cumplimiento interno para usuarios móviles deben instalar uno, buscar orientación de un grupo de consultoría familiarizado con los temas de cumplimiento o subcontratar completamente el cumplimiento a un tercero especializado en movilidad empresarial. Estos son algunos ejemplos notables de violaciones de datos móviles y fallas de cumplimiento:

• Se descubrió que Zoom compartía datos personales de los usuarios con Facebook sin el consentimiento del usuario, violando las regulaciones HIPAA. En 2021, Zoom pagó 85 millones de dólares por no cumplir con las regulaciones de HIPAA. Las acusaciones incluyeron que Zoom compartió información personal de los usuarios con Facebook y Google sin el consentimiento del usuario y mintió sobre sus prácticas de cifrado.
• WhatsApp recibió una multa de 267 millones de dólares en 2021 por violar el GDPR en relación con una actualización del 25 de mayo de 2018 de sus Términos de Servicio.
• Bank of America, Barclays y Morgan Stanley se encuentran entre los bancos que han revelado acuerdos para pagar hasta 200 millones de dólares debido al uso de aplicaciones de mensajería no aprobadas por parte de sus empleados.

Además, el Fiscal General del Estado de California anunció una investigación, en enero de 2023, centrada en el cumplimiento de las aplicaciones móviles. Enviaron cartas a empresas de las industrias minorista, de viajes y de servicios alimentarios que supuestamente no cumplían con la CCPA, en particular, solicitudes de exclusión voluntaria de los consumidores o consumidores que quieren detener la venta de sus datos.

Supervise y actualice periódicamente el software y los dispositivos

Así como los equipos de TI deben monitorear y actualizar el software, las PC y los servidores que componen la red corporativa, TI debe extender una estrategia similar a los terminales y software de propiedad corporativa y BYOD que interactúan con la infraestructura de TI y los sistemas back-end para garantizar la seguridad y cumplimiento.

Una publicación de PCI DSS titulada “Pautas de Seguridad de Aceptación de Pagos Móviles de PCI” es un excelente ejemplo de un organismo de estándares de cumplimiento que publica mejores prácticas útiles para el cumplimiento de normas móviles.

Mantener registros precisos

Administrar el ciclo de vida del dispositivo móvil con sus registros precisos es una necesidad para cumplir con las regulaciones de cumplimiento móvil. Los registros incluyen el seguimiento de qué dispositivos proporciona una organización a los empleados, qué empleados tienen acceso a datos corporativos confidenciales y qué medidas de seguridad existen en los dispositivos de los empleados.

Ofrecer formación continua en seguridad móvil a todos los usuarios

El trabajo híbrido y remoto requiere que las organizaciones reconsideren cómo educan a sus usuarios sobre el cumplimiento y la seguridad móvil. La seguridad de los dispositivos móviles ya no puede ser un módulo en un curso de capacitación en concientización sobre seguridad en línea que es superficial y no tiene en cuenta los detalles específicos de la organización, lo que lleva a los empleados a repasar el curso para poder enviar un certificado en PDF por correo electrónico a su gerente.

La formación en seguridad móvil en la era del trabajo híbrido y remoto requiere lo siguiente:

• Capacitación dedicada a dispositivos móviles desde el momento de la incorporación de los empleados y que se centra en la seguridad y el cumplimiento.
• Publicación y difusión de documentación y ayudas laborales centradas en la seguridad móvil a través de canales como Notion u otras plataformas centralizadas.
• La seguridad móvil pasa a formar parte de las reuniones de equipo y de los canales de comunicación asincrónicos como Slack.
• La capacitación en seguridad móvil "justo a tiempo" a medida que surgen nuevas amenazas en la industria o cuando cambia la estrategia de seguridad móvil es un seguimiento necesario.

Tome en serio el cumplimiento de normas móviles

Es probable que los dispositivos móviles de algunas organizaciones hayan sido hackeados sin que su equipo de seguridad lo sepa. Es imperativo que todas las organizaciones, no sólo las reguladas, tomen en serio el cumplimiento de las normas móviles y lo inculquen en toda la organización a nivel cultural.

TI y la administración deben garantizar que toda la flota de dispositivos móviles sea tan compatible como su base instalada de PC. No hacerlo podría resultar en multas importantes, pérdida de clientes, relaciones públicas negativas y, en algunos casos, que los ejecutivos vayan a la cárcel.