| Objetivo | Garantizar la seguridad de la información de la organización en caso de utilizarse dispositivos móviles (al menos celulares, portables, tabletas) para uso laboral. Proteger la información de la organización, almacenada o accesible desde dispositivos móviles y evitar que éstos sean causa de distribución de software malicioso dentro de la organización o sean el origen de accesos no autorizados. |
| Alcance | Cualquier organización |
| Referencia ISO 27001 | A.6.2.1 |
| Guía de implementación | Se debe definir una política para el uso de dispositivos móviles que contemple, por ejemplo: gestión del inventario de los dispositivos móviles, medidas de protección física, pauta para uso y conexión fuera de las instalaciones de la organización, software permitido y versión, modo de conexión a los sistemas de información de la organización, métodos de control de acceso, uso de criptografía, medidas de protección contra software malicioso, bloqueo remoto de los dispositivos, respaldos, inventario de servicios y aplicaciones Web a los que puede accederse mediante los dispositivos móviles. |
| Administración Central | - |
| Instituciones de salud | Debe definirse una política de dispositivos móviles donde se indique específicamente si se podrá o no acceder a sistemas de historias clínicas desde dispositivos móviles y, en caso afirmativo, definir desde qué tipos de dispositivos se podrá acceder a estos sistemas. Asimismo, se deben establecer en la política las medidas de seguridad pertinentes para este tipo de dispositivos. |
| Guía de evidencia para auditoría | - Política de dispositivos móviles.
- Procedimiento, manuales y/o instructivos para asegurar el adecuado uso de los dispositivos móviles.
- Inventario de dispositivos móviles propiedad de la organización.
- Inventario de dispositivos móviles personales pero que se conectan a algún servicio de la organización.
|
| Normativa asociada | N/A |
