Guía de Implementación del Marco de Ciberseguridad 5.0

OR.5 Pautar el uso de dispositivos móviles

Requisito OR.5Pautar el uso de dispositivos móviles
ObjetivoGarantizar la seguridad de la información de la organización en caso de utilizarse dispositivos móviles (al menos celulares, portables, tabletas) para uso laboral. Proteger la información de la organización, almacenada o accesible desde dispositivos móviles y evitar que éstos sean causa de distribución de software malicioso dentro de la organización o sean el origen de accesos no autorizados.
Controles

Nivel 1

  • OR.5-1: se mantiene un inventario actualizado de los dispositivos móviles de la organización.
  • OR.5-2: estos activos cuentan con al menos un factor de autenticación para acceder a la información.
  • OR.5-3: existen pautas que regulan el uso de los dispositivos móviles.

Nivel 2

  • OR-5-4: las pautas de uso son comunicadas al personal y partes interesadas.
  • OR.5-5: los dispositivos de la organización cumplen con requisitos de seguridad como: antimalware, cifrado de disco, bloqueo, versión mínima de sistema operativo.

Nivel 3

  • OR.5-6: los equipos móviles cuentan con un sistema de borrado del dispositivo en caso de extravío o robo.
  • OR.5-7: los dispositivos personales que se conectan a los servicios de la organización deben estar autorizados, registrados y sujetos a requisitos de seguridad.
  • OR.5-8: existe una política formalmente aprobada de uso aceptable de dispositivos móviles.

Nivel 4

  • OR.5-9: se revisa y actualiza la política de uso de los dispositivos móviles periódicamente o ante cambios tecnológicos o normativos.
  • OR.5-10: se revisan y actualizan los procedimientos asociados al correcto uso de los dispositivos móviles.
Guía de implementaciónSe debe definir una política para el uso de dispositivos móviles que contemple, por ejemplo: gestión del inventario de los dispositivos móviles, medidas de protección física, pauta para uso y conexión fuera de las instalaciones de la organización, software permitido y versión, modo de conexión a los sistemas de información de la organización, métodos de control de acceso, uso de criptografía, medidas de protección contra software malicioso, bloqueo remoto de los dispositivos, respaldos, inventario de servicios y aplicaciones Web a los que puede accederse mediante los dispositivos móviles.
Instituciones de saludPolítica de dispositivos móviles 
Donde se indique específicamente si se podrá o no acceder a sistemas de historias clínicas desde dispositivos móviles y, en caso afirmativo, definir desde qué tipos de dispositivos se podrá acceder a estos sistemas. Asimismo, se deben establecer en la política las medidas de seguridad pertinentes para este tipo de dispositivos.
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Política de dispositivos móviles.
  • Procedimiento, manuales y/o instructivos para asegurar el adecuado uso de los dispositivos móviles.
  • Inventario de dispositivos móviles propiedad de la organización.
  • Inventario de dispositivos móviles personales pero que se conectan a algún servicio de la organización.
  • Registros de revisión periódica de la política (minutas, actas, correos, formularios, otros).
  • Registro de difusión de la política de uso de dispositivos móviles.
Normativa asociadaNo aplica

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay