Política de Dispositivos Móveis e BYOD

A Política de Dispositivos Móveis e BYOD (P34) fornece um quadro de governação robusto para a utilização segura de dispositivos móveis e de dispositivos pessoais em toda a organização. O seu objetivo principal é salvaguardar a confidencialidade, integridade e disponibilidade dos dados da organização acedidos ou tratados através de endpoints como smartphones, tablets, portáteis e outros dispositivos portáteis, incluindo cenários de dispositivos da empresa e BYOD (Traga o Seu Próprio Dispositivo (BYOD)). O âmbito da política é abrangente, aplicando-se a todos os trabalhadores, prestadores de serviços, estagiários e prestadores terceiros que acedam a recursos corporativos através de endpoints móveis. Abrange uma ampla variedade de dispositivos, desde smartphones, tablets e portáteis até dispositivos inteligentes híbridos e dispositivos vestíveis, e especifica que a conformidade é exigida independentemente do modelo de propriedade. O acesso abrangido inclui VPNs, ambientes de trabalho remotos, aplicações em nuvem, correio eletrónico, ferramentas de comunicação e plataformas de sincronização de ficheiros, abordando assim as realidades variadas, híbridas e de trabalho remoto da empresa moderna. Os principais objetivos incluem a minimização de data leakage, a aplicação padronizada de controlos de segurança e o suporte ao alinhamento regulamentar (como ISO/IEC 27001, GDPR e DORA). Para o efeito, a política prescreve requisitos técnicos e procedimentais como integração obrigatória em Mobile Device Management (MDM), cifragem do dispositivo, controlos de autenticação (incluindo autenticação multifator obrigatória), aplicação de listas de permissões de aplicações e monitorização contínua da conformidade em tempo real. Também restringe práticas que aumentam o risco, como a utilização de dispositivos com jailbreak/root ou aplicações instaladas por sideload. O documento especifica papéis e responsabilidades claros para as partes interessadas, incluindo o Diretor de Segurança da Informação (CISO)/Líder de Segurança de TI para a tutela da política e gestão de incidentes; administradores de TI/MDM para provisionamento de acessos, aplicação e monitorização; Recursos Humanos (RH) e Jurídico para privacidade, consentimento e supervisão disciplinar; superior hierárquico direto para conformidade local; e utilizadores finais para adesão diária e notificação. O acesso BYOD está condicionado ao consentimento do utilizador relativamente a controlos tecnológicos e à monitorização organizacional de partições de trabalho, com fortes salvaguardas para a privacidade pessoal. Os requisitos de governação determinam integração rigorosa de dispositivos, monitorização contínua, contentores seguros para dados corporativos, registo de auditoria de acessos e um processo estruturado para aprovações, exceções e mitigação de riscos. A política fornece mecanismos para exceções, exigindo documentação formal, revisão de risco e controlos compensatórios quando necessário. A aplicação é suportada por penalizações definidas para incumprimento, registo de auditoria de incidentes e a autoridade para apagamento remoto e suspensão de acesso. A atualidade e eficácia da política são mantidas através de revalidação anual e atualizações intercalares motivadas por fatores regulamentares, tecnológicos ou operacionais. Por fim, a P34 está estreitamente integrada com políticas organizacionais relacionadas (por exemplo, Política de Segurança da Informação, Política de Trabalho Remoto, Política de Classificação e Tratamento da Informação, Política de Registo e Monitorização e Política de Resposta a Incidentes (P30)), garantindo que todos os aspetos da segurança móvel e BYOD são abordados como parte de um SGSI mais amplo. Esta abordagem holística assegura produtividade operacional, mantendo a conformidade com normas e regulamentos de referência.