Política de dispositivos móviles y BYOD - PYME

La Política de dispositivos móviles y BYOD (P34S) está elaborada específicamente para PYMES, garantizando que las organizaciones sin personal dedicado de TI o seguridad puedan implementar controles robustos y certificables para endpoints móviles. Su estructura clara asigna la rendición de cuentas al Director General (DG), sustituyendo los roles tradicionales de TI o CISO por una supervisión práctica y accesible adecuada al contexto de las PYMES. El objetivo principal de la política es crear protecciones aplicables allí donde se acceda, trate o almacene información corporativa o de clientes, independientemente de si los dispositivos son corporativos o de propiedad personal. Establece salvaguardas técnicas y procedimentales de línea base, como exigir cifrado del dispositivo, bloqueos de pantalla y antivirus, manteniendo políticas fáciles de usar adecuadas para personal no experto. El alcance es integral y se aplica a todo el personal y a los proveedores terceros de servicios que utilicen dispositivos móviles (incluidos smartphones, tablets o portátiles) con fines empresariales, independientemente de la ubicación o la titularidad del dispositivo. Los requisitos estrictos de gobernanza exigen que todos los dispositivos BYOD estén registrados, aprobados y cuenten con aplicaciones de seguridad, con registros de dispositivos registrados y acuerdos de usuario que sustentan la rendición de cuentas. La privacidad se protege cuidadosamente: la empresa gestiona únicamente los datos empresariales en los dispositivos personales y respeta los límites del usuario, alineándose con requisitos legales como GDPR. La política aplica un amplio conjunto de controles: los dispositivos corporativos y personales deben contar con software de seguridad actualizado, autenticación sólida, cifrado, y no deben utilizar servicios en la nube no autorizados para datos corporativos. Se exige a los usuarios BYOD firmar acuerdos e instalar aplicaciones de seguridad o controles equivalentes a MDM según sea necesario. El DG (o el personal designado) es responsable de aprobar dispositivos, mantener el inventario de activos, realizar revisiones de incidentes y garantizar la aplicación y el cumplimiento de la política, incluso para proveedores de TI terceros. La gestión de incidentes es pragmática y rápida, exigiendo que los dispositivos perdidos o comprometidos se notifiquen en el plazo de una hora, lo que desencadena una evaluación inmediata del borrado remoto y el restablecimiento de credenciales. Se describe un proceso claro tanto para la gestión de excepciones, mediante un registro de excepciones de BYOD y la aprobación del DG, como para la aplicación y el cumplimiento: revisiones periódicas, auditorías y consecuencias por incumplimientos, incluida la revocación de acceso, advertencias formales y, si es necesario, medidas contractuales o legales. Como política que referencia explícitamente la Cláusula 5.1 (Liderazgo y compromiso) y la Cláusula 8.1 (Planificación y control operativos) de ISO/IEC 27001:2022, junto con NIST, GDPR, NIS2 y DORA, este documento garantiza que las PYMES cumplan los requisitos esenciales de certificación incluso en escenarios de trabajo remoto e híbrido. El Director General es responsable de las revisiones anuales, de las actualizaciones tras incidentes o cambios normativos, y de garantizar que todos los usuarios sean notificados y formados. En conjunto, la política está estrechamente integrada con documentos de políticas para PYMES relacionados, creando un marco completo para gestionar riesgos de dispositivos y garantizar una seguridad móvil auditable, legal y confiable para clientes en organizaciones más pequeñas.