1. Propósito
Establecer requisitos para gestionar y asegurar los dispositivos móviles que acceden a los datos, aplicaciones o recursos de red de [ORGANIZATION].
2. Alcance
Esta política se aplica a todos los dispositivos móviles (teléfonos inteligentes, tabletas y dispositivos informáticos portátiles) que acceden a los sistemas de información de [ORGANIZATION], ya sean propiedad de la organización o de propiedad personal (BYOD).
3. Política
3.1 Registro de Dispositivos Móviles
Todos los dispositivos móviles que accedan al correo electrónico, aplicaciones o datos de [ORGANIZACION] deberán registrarse en la solución de Gestión de Dispositivos Móviles (MDM) de [ORGANIZACION].
Los dispositivos personales (BYOD) deberán cumplir con los requisitos mínimos de seguridad y estar registrados en MDM antes de acceder a los recursos de [ORGANIZACION]. Los usuarios deberán reconocer el derecho de [ORGANIZACION] de gestionar y, si es necesario, borrar los datos corporativos de los dispositivos registrados.
Los dispositivos perdidos o robados deberán reportarse a [PERSONALIZAR: Mesa de Ayuda de TI/Equipo de Seguridad] dentro de [PERSONALIZAR: 4/8/24] horas de su descubrimiento.
3.2 Requisitos de Seguridad Móvil
Los dispositivos móviles registrados deberán tener los siguientes controles mínimos de seguridad aplicados mediante MDM: cifrado de dispositivo habilitado, bloqueo de pantalla con autenticación de [PERSONALIZAR: PIN de 6 dígitos/biométrica], bloqueo automático de pantalla después de [PERSONALIZAR: 2/5] minutos de inactividad, capacidad de borrado remoto y versión actual del sistema operativo (dentro de [PERSONALIZAR: una/dos] versión(es) principal(es) de la versión actual).
Los dispositivos con jailbreak o rooteados tienen prohibido acceder a los recursos de [ORGANIZACION].
Las aplicaciones móviles solo deberán instalarse desde tiendas de aplicaciones aprobadas (Apple App Store, Google Play Store) o el catálogo de aplicaciones empresariales de [ORGANIZACION].
Los datos corporativos en dispositivos móviles deberán almacenarse en contenedores gestionados que puedan borrarse independientemente sin afectar los datos personales.
3.3 Separación y Desvinculación
Al momento de la separación del empleado, los datos de [ORGANIZACION] deberán eliminarse de los dispositivos personales dentro de [PERSONALIZAR: 24/48] horas mediante el borrado corporativo de MDM.
Los dispositivos propiedad de la organización deberán recopilarse y borrarse durante el proceso de desvinculación.
El registro en MDM deberá revocarse inmediatamente al momento de la separación.
4. Cumplimiento
El cumplimiento de esta política es obligatorio para todo el personal dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, controles automatizados y revisión de la gerencia.
Las excepciones a esta política deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Equipo de Seguridad], y revisarse al menos anualmente.
5. Aplicacion
Las violaciones a esta política pueden resultar en acciones disciplinarias que incluyen hasta la terminación del empleo o contrato, y pueden resultar en sanciones civiles o penales cuando se haya violado la ley aplicable.
[ORGANIZACION] se reserva el derecho de auditar el cumplimiento de esta política en cualquier momento, con o sin previo aviso.
6. Revisión y Actualización
Esta política será revisada al menos anualmente por [PERSONALIZAR: CISO/Propietario de la Política] y actualizada según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios o estructura organizaciónal.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación de la Política
Aprobado Por
Cargo
Fecha
Control de Documentos