Ir al contenido principal

22. Política BYOD | “Trae tu dispositivo”

👉 Esta actividad te ayuda a cumplir los siguientes controles:

  • ISO 27001 en su versión 2013: A.5.1.1, A.6.2.1

  • ISO 27001 en su versión 2022: A.5.1, A.8.1

¿Para qué me sirve esta actividad? 📚

💡 Una modalidad BYOD (Bring Your Own Device, por sus siglas en inglés), permite a tus colaboradores trabajar desde sus equipos personales.

Esta actividad te ayudará a definir todas las medidas de seguridad pertinentes que dichos colaboradores deben aplicar a sus equipos para proteger la información de la empresa.

¿Qué tengo que hacer? 🚀

Antes de comenzar esta política, es muy importante recordar que al no ser equipos propiedad de la empresa, evidentemente no podrás controlar totalmente su configuración y uso, por lo que debes analizar si es una práctica que deseas implementar y/o que puedes mantener, y si es adecuada para tus operaciones 👀.

Ahora bien, si optas por sí permitir esta modalidad, lo primero que te sugerimos hacer es definir las características que debe tener el equipo personal del colaborador para que pueda trabajar eficientemente con él, por ejemplo:

  • Velocidad de procesamiento.

  • Capacidad de almacenamiento.

  • Sistema operativo compatible, etcétera.

Para documentar esta política, debes establecer los controles y lineamientos de seguridad necesarios que tus colaboradores deben aplicar, como por ejemplo:

  • Uso de VPNs.

  • Instalación de un antivirus, antimalware y firewall.

  • Generación de copias de seguridad periódicas (siguiendo los procedimientos establecidos por la empresa).

  • Cuentas separadas para actividades personales y laborales.

  • Inicios de sesión seguros con usuario y contraseña.

  • Actualización de los sistemas, entre otros.

Adicionalmente, te sugerimos definir actividades no permitidas para asegurar el buen uso de los equipos, y sobre todo, de la información de la empresa que están manipulando con ellos, como por ejemplo:

  • Descargar software sin licencia y/o aplicaciones no autorizadas.

  • Compartir el dispositivo con terceros.

  • Almacenar contenido ilícito.

  • Conectarse a redes públicas, etcétera.

Sabemos que definir qué pueden o no pueden hacer los colaboradores con sus equipos personales puede ser complicado, por lo que será muy importante establecer cuáles serán los controles mínimos necesarios para dar cumplimiento a los requisitos normativos.

Luego, debes comunicarles esta política a tus colaboradores de la forma más clara posible, explicando el objetivo y concientizando sobre los riesgos asociados que pueden ocurrir si no la cumplen.

Si utilizas nuestro módulo de Dispositivos, debes complementar esta política para garantizar la protección de la información y asegurar la claridad con tus colaboradores, por lo que te recomendamos leer nuestro artículo donde te explicamos qué debes hacer ✨.

Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu política fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • ¡Lo ideal es que estos equipos también sean inventariados! Indica dentro de la descripción del activo que son equipos en modalidad BYOD, calcula su criticidad e identifica sus riesgos asociados. Esto será de gran valor para tu SGSI.

  • Analiza bien si realmente puedes permitir esta modalidad dentro de tu empresa, de forma que puedas mantener el cumplimiento normativo y la eficiencia de tus operaciones.

  • Toma en cuenta cualquier dispositivo móvil que sea propiedad del colaborador y que sea usado para funciones del trabajo, como por ejemplo laptops, celulares, tabletas, etcétera.

FAQs ❔

Consulta las preguntas frecuentes sobre esta actividad en el siguiente artículo.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
3. Política de Comité de Seguridad de la Información
23. Política de Escritorios Limpios
39. Política de Tratamiento de la Información
FAQs - 22. Política de BYOD
22. Política de Antivirus
¿Ha quedado contestada tu pregunta?