Estándar de seguridad para dispositivos móviles

27 de agosto de 2013

Objetivo

Esta norma establece los requisitos mínimos para el uso seguro de dispositivos móviles y tabletas, incluidos iPhone, iPad, dispositivos Android y otros teléfonos inteligentes.

Descripción general

Los dispositivos móviles permiten realizar llamadas, enviar y recibir correos electrónicos, navegar por internet, almacenar y modificar documentos, acceder a datos de forma remota, grabar audio y vídeo, y funcionar como herramientas de navegación. La decisión de permitir o no el uso de dispositivos móviles debe basarse en una evaluación de los riesgos y los beneficios empresariales derivados de dicho acceso. Esta norma establece un conjunto mínimo de requisitos de seguridad para el uso de dispositivos móviles.

Alcance

Esta norma se aplica a dispositivos móviles y tabletas, incluyendo BlackBerry, iPhone, iPad, dispositivos Android y otros teléfonos inteligentes. Los portátiles y netbooks están cubiertos por la Norma de Protección de Datos para Portátiles Empresariales.

Esta norma se aplica a todas las agencias según lo define el Capítulo 8A, Sección 101 del Código de Iowa. Se recomienda a las agencias que no participan que sigan las directrices de esta y otras normas a nivel empresarial, así como que participen en programas de seguridad a nivel empresarial.

Definiciones

A continuación se definen algunos términos seleccionados que se utilizan en el Estándar de Dispositivos Móviles:

• Bluetooth : Tecnología de radio de baja potencia que permite que los dispositivos se emparejen y se conecten de forma inalámbrica.
• Dispositivo móvil : Dispositivo diseñado para admitir la informática móvil mediante un sistema operativo como iOS, Android, S40 OS, Windows y BlackBerry OS. Los dispositivos móviles incluyen tabletas, BlackBerrys, iPhones, iPads, dispositivos Android y otros teléfonos inteligentes.
• Comunicación de Campo Cercano (NFC) : Interfaz de red inalámbrica personal (WPAN) que no requiere infraestructura para funcionar. Los dispositivos comparten datos al tocarse o estar muy cerca unos de otros.
• Wi-Fi público no autenticado : Wi-Fi público gratuito que normalmente se ofrece en cafeterías, bibliotecas, áreas de descanso, aeropuertos y otros lugares públicos.
• Almacenamiento masivo USB : Dispositivos de almacenamiento que transfieren archivos a través del bus serie universal.

Elementos del estándar

Los siguientes elementos se aplican a todo el personal, contratistas, voluntarios y pasantes de la agencia que realicen actividades estatales en un dispositivo móvil.

1. Gestión centralizada : Los dispositivos móviles deberán gestionarse de forma centralizada. Los organismos deberán mantener una lista de los dispositivos autorizados para conectarse al sistema de correo electrónico estatal.
2. Contraseñas/PIN : Se deberán habilitar contraseñas/PIN para cada dispositivo. La contraseña/PIN deberá tener al menos 6 caracteres.
3. Borrar datos y desactivar el dispositivo : Los dispositivos se desactivarán después de 10 intentos fallidos de contraseña y se borrarán.
   1. Cuando se reporta como perdido o robado.
   2. Antes de desecharlo/devolverlo al proveedor.
4. Inactividad : El dispositivo se configurará para bloquearse después de 15 minutos o menos de inactividad.
5. Cifrado : Los datos se cifrarán utilizando el cifrado más robusto disponible para el dispositivo. El cifrado abarcará:
   1. Datos en tránsito,
   2. Datos en la memoria del dispositivo y
   3. Datos almacenados en una tarjeta de memoria conectada al dispositivo.
6. Bluetooth : Los dispositivos deberán desactivar Bluetooth de forma predeterminada, a menos que la agencia lo apruebe para su uso en modo manos libres. Si se habilita para el uso en modo manos libres, los dispositivos deberán:
   1. Desactivar el modo detectable.
   2. Solo se pueden usar dispositivos manos libres aprobados por la agencia que cumplan con este estándar.
7. Seguridad de los dispositivos . Todos los dispositivos móviles y sistemas de gestión deberán tener instalados los últimos parches de seguridad críticos. Los dispositivos no compatibles con vulnerabilidades críticas no deberán conectarse al sistema de correo electrónico estatal.
8. Política de uso : Las agencias deberán:
   1. Tener una política que cubra el uso de dispositivos móviles, incluidos los dispositivos personales, y
   2. Asegúrese de que el personal reciba y comprenda la política.
9. Capacitación : Los usuarios recibirán capacitación anual sobre seguridad, que abarcará el uso seguro de dispositivos móviles. Como mínimo, la capacitación deberá incluir contraseñas, phishing, malware y cómo reportar incidentes.
10. Dispositivos de propiedad personal : Los dispositivos de propiedad personal conectados a los sistemas de correo electrónico del estado o de la agencia deberán:
    1. Debe ser aprobado por la dirección de la agencia.
    2. Gestionarse de forma centralizada mediante el sistema de gestión de dispositivos móviles del ITE o de la agencia.
    3. Siga las instrucciones de configuración del sistema de gestión de dispositivos móviles.
    4. Cumplir con todos los requisitos establecidos en esta norma.
    5. Se eliminarán todos los datos estatales del dispositivo cuando este deje de utilizarse para asuntos estatales o cuando el empleado abandone la agencia.
    6. Cumpla con las políticas BYOD de la agencia/empresa.
        
11. Notificación : Los usuarios deberán notificar la pérdida, robo o extravío de sus dispositivos a: su agencia, el Servicio de Asistencia Técnica de TI y la Oficina de Seguridad de la Información. La notificación deberá realizarse lo antes posible, pero dentro de las 24 horas posteriores a la detección de la pérdida del dispositivo. La notificación deberá incluir:
    1. Nombre y contacto de la agencia,
    2. Fecha de robo/pérdida,
    3. Descripción del robo/pérdida y
    4. Descripción de la información almacenada en el dispositivo.
        
12. Aplicaciones de terceros : Los usuarios solo podrán instalar en su dispositivo aplicaciones de terceros aprobadas por la agencia.
13. Wi-Fi : Los dispositivos de la agencia no deberán conectarse a redes Wi-Fi públicas no autenticadas ni a redes que utilicen WEP y WPA.
14. Software malicioso : Los dispositivos deberán contar con protección contra software malicioso actualizada, si está disponible.
15. Protección física . Los usuarios de dispositivos móviles son responsables de su protección física. Los dispositivos móviles deben guardarse de forma segura cuando no se utilicen.
16. Sincronización/Almacenamiento:
    1. Los dispositivos emitidos por el estado no deberán sincronizarse con una computadora personal que no sea propiedad del estado.
    2. Los datos estatales no deberán sincronizarse con un sistema no aprobado por el estado.
    3. Los dispositivos no deben conectarse a estaciones/quioscos de carga públicos.
        
17. Servicios de localización : Los servicios de localización se desactivarán cuando se encuentre fuera de los Estados Unidos.
18. Comunicación de Campo Cercano : La Comunicación de Campo Cercano (NFC) estará desactivada por defecto a menos que la agencia lo apruebe.

Actualizaciones

Este documento se revisará al menos cada dos años y se actualizará según sea necesario.

Fecha de entrada en vigor

Esta norma entrará en vigor el 27 de agosto de 2013.

Aplicación

Esta norma se aplicará de conformidad con el Código Administrativo de Iowa 11—25.11(8A).

Diferencia

El Código Administrativo de Iowa, sección 11 - 25.11(2), contempla excepciones a las normas de seguridad. Las solicitudes de excepción a cualquiera de los requisitos de esta política deberán presentarse por escrito al Director de Seguridad de la Información antes de su implementación.