Header Ads Widget

Ticker

6/recent/ticker-posts

Fuerzas de seguridad móviles preguntas difíciles

Dado que los gobiernos consideran el rastreo de contactos de COVID-19 y sus implicaciones de privacidad, no es una mala idea que las empresas aprovechen la oportunidad para observar más de cerca sus acuerdos móviles con los empleados.


Dado que los gobiernos consideran el rastreo de contactos de COVID-19 y sus implicaciones de privacidad, no es una mala idea que las empresas aprovechen la oportunidad para observar más de cerca sus acuerdos móviles con los empleados. (Por cierto, esta semana, Apple lanzó su última actualización de iOS, que incluía dos actualizaciones de COVID-19, según Apple : "iOS 13.5 acelera el acceso al campo de código de acceso en dispositivos con Face ID cuando usa una cara enmascarar e introduce la API de notificación de exposición para admitir las aplicaciones de seguimiento de contactos COVID-19 de las autoridades de salud pública ").

Hoy en día, TI tiene que lidiar con prácticamente uno de dos escenarios móviles: BYOD. donde el empleado usa el dispositivo de propiedad personal del empleado para realizar negocios empresariales; y teléfonos propiedad de la empresa, que es lo contrario: un teléfono propiedad de la empresa donde el empleado, incluso si se le dice que no lo haga, usará el teléfono para asuntos personales y comerciales.

Cuando se trata de seguridad, cumplimiento y lo que TI o Seguridad tienen derecho a hacer, ninguno es demostrablemente mejor, a menos que esté dispuesto a poner derechos y restricciones por escrito y, esta es la parte difícil, hacerlos cumplir.

La mayor preocupación para cualquiera de los modos implica la limpieza remota. Cuando se sospecha que un dispositivo ha sido robado, se debe realizar una limpieza remota para reducir la posibilidad de que se roben los datos de la empresa o se libere un ataque. Esa pregunta se vuelve difícil cuando el dispositivo es propiedad del empleado. ¿Tiene la empresa el derecho de borrar y eliminar permanentemente cualquier dato personal, imágenes, mensajes, videos, etc.?

Volveremos a las eliminaciones de BYOD en un momento. Pero para los dispositivos corporativos, la eliminación parece ser mucho más fácil. Y sin embargo, no lo es. Muchas empresas alientan a los empleados a que no utilicen el dispositivo móvil de la empresa para otra cosa que no sea el trabajo, pero pocas lo ponen por escrito y enfatizan que es posible que la empresa tenga que borrar todo el contenido del teléfono en el caso de una emergencia de seguridad percibida, e insisten en que sea así. firmado antes de que se distribuya el teléfono.

Tanya Forsheit es abogada y presidenta del grupo de privacidad y seguridad de citas en el bufete de abogados Frankfurt Kurnit Klein & Selz. Forsheit sostiene que "no es realista usar un dispositivo de la empresa solo para negocios", pero que las empresas dudan en decirles directamente a los empleados lo que sucedería si guardaran información personal en el teléfono: 1) podría eliminarse y 2) podría ser visto por colegas de TI, seguridad, telecomunicaciones u otros departamentos.

"Muchas empresas no quieren decir eso y no han tenido la oportunidad de actualizar sus políticas", dijo Forsheit en una entrevista con Computerworld . "A menudo no hay ningún contrato que diga: 'Si usa un teléfono personal, estas son las reglas'".


Esto va más allá de la limpieza remota. ¿Qué pasa con las aplicaciones de listas blancas y negras? ¿Puede una empresa incluso realizar legítimamente esa solicitud en un dispositivo propiedad del empleado? La respuesta, "Sí, si algo pudiera dañar y poner en riesgo el acceso a mis datos corporativos", no necesariamente va a funcionar. Es un argumento mucho más fácil de hacer para un teléfono de propiedad corporativa, pero ¿qué puede hacer una empresa cuando los empleados descargan aplicaciones riesgosas en un dispositivo corporativo de todos modos? ¿Multa ellos? ¿Quitarme el teléfono? ¿Terminar su empleo? No lo amenaces a menos que estés preparado para hacerlo y mantente firme.

Forsheit sostiene que las particiones a menudo no son la respuesta: "Las particiones funcionan de alguna manera, no completamente, y eso a menudo se debe a un error humano".

El riesgo con los dispositivos propiedad de la empresa y el comportamiento inadecuado no es legal, lo que tiende a otorgar todos los derechos al propietario del dispositivo, pero es la retención. Y eso habla de acciones punitivas. Si su empresa despide a alguien porque descargó una aplicación de juego que no está en la lista blanca, ¿eso provocará una rebelión? Y si no castiga, ¿por qué alguien acataría sus reglas inconvenientes?

Los ejecutivos "no quieren alterar la cultura", dijo Forsheit.

No hay respuestas fáciles aquí, pero debe pensar en cuáles desea que sean sus reglas y acciones de cumplimiento. Y debe hacerlo ahora, antes de que ocurra un incidente.

Publicar un comentario

0 Comentarios