Cómo crear una política de seguridad para dispositivos móviles, con plantilla

¿Qué son las políticas de seguridad para dispositivos móviles y BYOD?

Las políticas de TI corporativas pueden abordar varios temas tecnológicos y de uso para los empleados. Generalmente, TI es responsable de definir qué políticas de seguridad son necesarias, pero Recursos Humanos también juega un papel clave en destacar otras políticas tecnológicas importantes.

Algunos temas que las políticas de TI deberían cubrir incluyen:

• Uso de internet.
• Retención de datos.
• Movilidad corporativa.
• Programas BYOD.
• Uso de redes sociales.
• Gestión de cambios.

La ausencia de una política de seguridad móvil puede llevar a brechas de datos y otros problemas costosos si los empleados no son conscientes de los riesgos del uso inadecuado. Incidentes como compartir información protegida de salud de un paciente con usuarios no autorizados vía mensajes de texto o redes sociales constituyen una clara violación de las normas HIPAA, lo que puede derivar en graves consecuencias legales y financieras.

¿Qué deben incluir las políticas de seguridad móvil y BYOD?

Las políticas de seguridad móvil y BYOD están recibiendo más atención por parte de TI corporativa debido a las crecientes preocupaciones sobre el uso de teléfonos inteligentes. Por ello, los administradores deben ajustar las políticas corporativas existentes para adaptarse al cambiante panorama de amenazas.

En general, las políticas de seguridad móvil y BYOD deben incluir los siguientes documentos:

• Política de uso aceptable para dispositivos móviles.
• Políticas BYOD; “elige tu propio dispositivo” (CYOD); dispositivos propiedad de la empresa, pero habilitados para uso personal (COPE); y dispositivos propiedad de la empresa para uso exclusivo laboral (COBO).
• Política de seguridad móvil.

Además de estas políticas básicas, las organizaciones también pueden optar por incluir:

• Formulario de registro de dispositivos. Este formulario describe el proceso de registro de dispositivos en la gestión para permitir el acceso a datos y aplicaciones corporativas.
• Seguridad de la información. Esta política detalla los requisitos de seguridad de la información en los dispositivos.
• Capacitación y documentos de reconocimiento para empleados. Esta política describe la capacitación y los documentos que los empleados deben completar.
• Plan de respuesta a incidentes de seguridad. Este plan contiene instrucciones paso a paso para incidentes de ciberseguridad y proporciona la información de contacto de los administradores de seguridad.
• Auditorías. Esta política establece los procedimientos para auditorías que TI podría realizar para asegurar el cumplimiento de los dispositivos.
• Aplicación de la política. Esta política detalla las consecuencias de no cumplir con los estándares de seguridad móvil y las medidas disciplinarias que los administradores podrían tomar en tales casos.
• Uso y devolución de dispositivos móviles. Esta política establece el proceso para devolver dispositivos móviles cuando un empleado se retira, incluyendo el borrado remoto y la destrucción de datos para proteger información sensible.

Buenas prácticas para la política de seguridad de dispositivos móviles

Los smartphones y otros dispositivos móviles se han vuelto indispensables en las operaciones diarias de cualquier organización empresarial. A medida que esta tendencia difumina la línea entre el uso personal y profesional, una política robusta de seguridad para dispositivos móviles es imprescindible. Esta política protege los datos y la infraestructura de TI de la organización, educando a los usuarios finales sobre el uso aceptable y estableciendo estándares de gestión.

Al diseñar e implementar políticas de seguridad para dispositivos móviles, los administradores deben incluir buenas prácticas como la encriptación de datos, actualizaciones regulares de software y más.

Establecer políticas claras

La comunicación efectiva es vital al crear políticas de seguridad móvil, tanto para administradores, como para usuarios finales. Asegúrese de establecer directrices precisas que cubran todos los detalles relevantes y sean fáciles de entender para los usuarios. Esto debe incluir uso aceptable, requisitos de contraseñas, uso de aplicaciones y medidas de protección de datos.

En la mayoría de las organizaciones, los empleados revisan las políticas y documentos corporativos durante el proceso de incorporación. Por lo tanto, TI debe mantener un registro de las inscripciones de usuarios y mantener la política de seguridad móvil de la organización actualizada.

Implementar controles de autenticación y acceso

Controles de acceso estrictos como contraseñas fuertes y autenticación biométrica pueden ayudar a reducir el riesgo de acceso no autorizado a datos móviles sensibles. Además, TI debe usar herramientas de acceso condicional que aseguren que los dispositivos cumplan con criterios específicos, como estado del dispositivo, sistema operativo, ubicación y red. Estas herramientas también aplican requisitos de autenticación, como autenticación multifactor y políticas de contraseñas.

Inscripción de dispositivos en MDM

Utilice herramientas MDM para hacer cumplir de manera centralizada las políticas de seguridad, incluyendo el borrado remoto de dispositivos, la gestión de configuraciones y la distribución de aplicaciones para todos los dispositivos móviles en la organización.

Aplicar cifrado de datos

Como parte de MDM, es importante usar herramientas que impongan el cifrado en todos los puntos finales móviles en caso de pérdida o robo.

Habilitar capacidades de borrado remoto

Industrias como la sanitaria tienen regulaciones estrictas para proteger datos sensibles. Al crear políticas para dispositivos móviles, las organizaciones deben asegurarse de poder borrar y restablecer dispositivos remotamente en caso de pérdida, robo o salida de un empleado. Esto ayuda a mantener la información sensible fuera de manos equivocadas cuando el dispositivo ya no está bajo supervisión corporativa.

Realizar actualizaciones regulares

Para abordar vulnerabilidades conocidas y protegerse contra amenazas emergentes, TI debe garantizar que los dispositivos móviles reciban actualizaciones y parches de seguridad regulares. Esto aplica tanto para el sistema operativo, como para las aplicaciones instaladas. Las organizaciones pueden gestionar este proceso de forma centralizada a través de MDM para dispositivos propiedad de la empresa. También pueden incluir requisitos en su política para asegurar que los empleados mantengan actualizados los sistemas operativos de sus dispositivos. Esto garantizará el cumplimiento y la seguridad de los dispositivos.

Crear listas blancas y negras de aplicaciones

En años recientes, varias organizaciones han decidido bloquear aplicaciones específicas, como TikTok, debido a preocupaciones de datos. Esto ha llevado a que otras organizaciones cuestionen qué aplicaciones son aceptables en un dispositivo. Las organizaciones pueden no tener control total sobre las aplicaciones que los usuarios instalan en dispositivos, especialmente en BYOD. Sin embargo, deben revisar regularmente y desarrollar políticas que especifiquen qué aplicaciones son seguras y aceptables.

Proporcionar capacitación en concientización de seguridad

Los programas de capacitación y concientización pueden ayudar a educar a los empleados sobre los riesgos de seguridad móvil y cómo manejarlos. Muchos ciberataques dependen del error humano, por lo que los usuarios finales necesitan saber cómo identificar y responder a actividades sospechosas como mensajes de phishing y malware.

Una política de seguridad para dispositivos móviles no es simplemente un documento, sino un plan de acción para las organizaciones. Las directrices adecuadas pueden garantizar la seguridad de datos importantes sin obstaculizar la funcionalidad para los usuarios finales.

Directrices para políticas de seguridad móvil y BYOD

El contenido de los documentos de políticas de seguridad móvil y BYOD puede variar según los requisitos de la organización y la estrategia de seguridad de dispositivos. Una plantilla típica de política móvil debe contener varias secciones que TI puede editar y personalizar.

El primer paso es definir claramente el propósito y alcance de la política. Incluya detalles sobre el uso tanto de dispositivos propiedad de la empresa, como de los personales que tengan acceso a datos empresariales. Además, enfatice la importancia de las medidas de seguridad y los requisitos de cumplimiento.

Incluso si se permite a los empleados usar sus dispositivos móviles personales para fines laborales, debe ser obligatorio cumplir con la política, y el incumplimiento resultará en la revocación de este privilegio. La política debe cubrir todos los dispositivos que puedan acceder o almacenar datos corporativos, incluyendo laptops, tabletas y smartphones.

Los administradores pueden incluir las siguientes secciones para crear una política integral de seguridad móvil. Siga la política de ejemplo descargable como modelo de lo que debe contener este tipo de documento y las directrices importantes a cubrir.

Propósito y alcance

Resalte el propósito de la política, qué cubre y las consecuencias de no cumplir con sus requisitos. Establezca de forma amplia las directrices para acceder a datos corporativos tanto en dispositivos propiedad de la empresa como en los personales.

Uso aceptable

Describa las expectativas que deben cumplir los empleados al usar sus dispositivos para interactuar con datos corporativos o conectarse a la red corporativa. Esta sección puede incluir las siguientes estipulaciones:

• Los usuarios deben mantener siempre actualizadas sus aplicaciones al acceder a contenido y recursos laborales.
• El dispositivo móvil debe tener protecciones básicas como códigos de acceso, y los usuarios deben habilitar el cifrado.
• Los empleados no deben acceder a sitios web ni contenido considerado ilícito, propietario o ilegal.
• Los empleados no deben usar sus dispositivos para tareas laborales durante actividades como conducir o manejar maquinaria, ni para alojar y compartir contenido en la red corporativa.

Restricciones de dispositivos y requisitos de seguridad

Describa los requisitos relacionados con herramientas de gestión de aplicaciones para asegurar que las aplicaciones y datos corporativos estén protegidos en el dispositivo. Esta sección debe abordar las configuraciones de seguridad que TI debe implementar y las precauciones que los empleados deben tomar para asegurar que el dispositivo interactúe con datos corporativos. Los detalles específicos pueden incluir:

• Asegure que los empleados mantengan sus dispositivos actualizados con el firmware más reciente, parches del sistema operativo y protección antivirus.
• Exija que los empleados usen contraseñas fuertes en sus dispositivos con un número mínimo de caracteres.
• Prohiba a los empleados hacer jailbreak o instalar software ilegal o pirateado en dispositivos móviles usados para acceder a datos de la empresa.
• Enfatice que, en caso de pérdida, robo o cualquier incidente de seguridad que involucre un dispositivo móvil, los empleados deben notificar inmediatamente al departamento de TI.

Dispositivos aprobados y soporte de TI disponible

Una política de seguridad para dispositivos móviles puede incluir una lista de modelos de dispositivos y sistemas operativos aprobados. Esto asegura que solo dispositivos que cumplan con los requisitos de cumplimiento puedan interactuar con recursos corporativos.

Los dispositivos obsoletos y sin parches son más vulnerables a amenazas y pueden ser difíciles de gestionar. Por ejemplo, el acceso a recursos corporativos desde dispositivos iOS o Android puede afectar el enfoque de gestión de TI. Fuera de las aplicaciones empresariales, TI generalmente delega el soporte telefónico al proveedor del dispositivo móvil. Aun así, las organizaciones deben dejar claras las expectativas de soporte a los empleados.

Auditorías

Detalle cómo la organización puede realizar auditorías periódicas de los dispositivos para asegurar el cumplimiento con la política de seguridad.

Uso y devolución de dispositivos móviles

Cuando una empresa provee dispositivos móviles a sus empleados, es importante mantener un registro de quién recibió cada dispositivo. Esta política describe la responsabilidad del usuario de seguir las directrices corporativas. Las medidas que los usuarios deben tomar incluyen evitar robos o accesos no autorizados, inscribir el dispositivo en el sistema de gestión de la empresa y cumplir con todas las políticas.

Cuando un usuario ya no requiera el dispositivo o deje la empresa, debe devolver todos los dispositivos móviles propiedad de la empresa. La organización verificará que TI haya eliminado correctamente toda la información confidencial del dispositivo antes de reasignarlo conforme a la política.

Aplicación

Esta política describe a las personas responsables de hacer cumplir las políticas móviles de la organización y garantizar el cumplimiento. También detalla las posibles consecuencias del incumplimiento, como eliminación de datos corporativos, cuarentena del dispositivo, borrado remoto y restablecimiento. Debe incluir también cualquier acción disciplinaria que la organización pueda tomar contra los usuarios finales incumplidores.

BYOD vs. dispositivos propiedad de la empresa

Las organizaciones suelen imponer controles más estrictos en los dispositivos CYOD, COBO y COPE que en los BYOD. Detalle las consecuencias del uso de dispositivos corporativos en términos de MDM, restricciones en acceso a contenido y responsabilidad del empleado en caso de daño al dispositivo.

Nota del editor: Este artículo fue publicado originalmente en 2021 y actualizado en 2024 para mejorar la experiencia del lector.

Michael Goad es escritor independiente y arquitecto de soluciones con experiencia en movilidad empresarial.

Reda Chouffani dirige la consultora que cofundó, Biz Technology Solutions, Inc. Es consultor en informática sanitaria, experto en la nube y arquitecto de inteligencia empresarial que ayuda a clientes empresariales a optimizar el uso de la tecnología para agilizar operaciones y mejorar la productividad.