Llegamos a ustedes gracias a:



Reportajes y análisis

BYOD: Pequeños dispositivos, gran seguridad

[01/08/2012] Los analistas tienen un término para ello: BYOD o "traiga su propio dispositivo". Los administradores de TI tienen su propio término para ello: problemas.
Una vez, los dispositivos móviles se proporcionaban -y administraban- exclusivamente por el departamento de TI de la empresa. Con la ampliación del mercado de dispositivos móviles -y los teléfonos inteligentes y tablets como productos de consumo- ¿se puede culpar a alguien por querer utilizar el suyo para el trabajo?
Toda la cuestión de cómo proteger esos dispositivos es un estímulo para la innovación y la controversia. La buena noticia: la más reciente ola de dispositivos móviles para el consumidor revela que los fabricantes de dispositivos son conscientes de este problema, y le están dedicando más atención a la adición de funciones de seguridad empresarial. La mala noticia: todavía hay muchos dispositivos en circulación, sin esa seguridad.
Los problemas de la seguridad del dispositivo
El problema más común con los dispositivos de consumo en la empresa es cómo asegurar los datos sensibles. De hecho, el proceso es engorroso.
Leslie Fiering, vicepresidente de investigación de Gartner que cubre la informática móvil, señala: "en el pasado, al usuario se le brindaba un dispositivo de la empresa, y se podía asumir que había seguridad de punto final. Pero ahora ya no podemos hacer suposiciones sobre el dispositivo del usuario".
En su opinión, la empresa tiene que hacer dos cosas para lograr la seguridad adecuada del dispositivo. La primera consiste en realizar un control de acceso a la red "que no solo comprueba las credenciales del usuario, sino que también interroga a los dispositivos, '¿Es usted un dispositivo de confianza? '"
Cuando la gente trae sus propios teléfonos y tablets, explica, "ya no se puede asumir que la seguridad reside allí".
Eso nos lleva a la segunda cuestión que Fiering señala: averigüe qué dispositivos tienen el privilegio de tener acceso a los datos fuera de línea. "Dado que los datos del usuario no pueden combinarse con los datos de la empresa, empezamos a pensar en términos de contenedores que sean a prueba de fugas, que separen los datos de la empresa de los datos del usuario. "Un dispositivo sin privilegios se puede desviar a un segmento de red diferente o permitírsele leer los datos solo como navegador, sin almacenamiento local persistente.
Los dispositivos que son tanto para uso personal como empresarial también se convierten en casos de prueba para la intimidad. Frank Sickinger, vicepresidente de ventas empresariales de T-Mobile, lo resume de esta manera: "si está viendo a BYOD desde la perspectiva de la empresa o del fabricante del dispositivo, uno de los principales desafíos es ocuparse de la seguridad y el equilibrio de la información de la empresa, y de la privacidad del empleado".
Muchos caminos llevan a la seguridad
Las formas en que los fabricantes de dispositivos, y proveedores de software de administración de dispositivos móviles (MDM) de terceros, han enfocado la aplicación de la seguridad de la empresa en los teléfonos y las tablets, son tan diversas como los propios dispositivos. Es un reflejo de la complejidad del problema y las diversas formas inteligentes de resolverlo.
El primero es el enfoque de "contenedor" o "caja de arena". En este modelo, "nada puede entrar o salir sin permiso expreso de la política del grupo (que rige al dispositivo), señala Fiering. Esto cubre todos los tipos de entrada y salida: "Si quiere conectarse a un proyector para mostrar las diapositivas de PowerPoint, tiene que haber autorización expresa para mostrar la salida de video".
Un proveedor común de este tipo de soluciones es Good Technology, cuya tecnología puede ser utilizada por los desarrolladores para crear nuevas aplicaciones seguras, o en asociación con los fabricantes de dispositivos para proporcionar diferentes tipos de seguridad local.
"Este enfoque puede resultar desagradable para los dispositivos móviles", añade Fiering -lo que significa que puede ser irritante para el usuario que de repente necesite un permiso para trabajar con su propio dispositivo-, "pero funciona lo suficientemente bien para hacer el trabajo; y con el tiempo, a medida que haya mayor competencia (entre este tipo de aplicaciones), veremos que esta área mejorará".
Otro enfoque es convertir a todo el dispositivo en un entorno limitado a través de la virtualización -utilizar la tecnología de máquina virtual para compartimentar el dispositivo en "facetas" personales y de trabajo. Cada faceta ejecuta su propia máquina virtual en un hipervisor (también llamado un gestor de máquina virtual); ninguna faceta puede intercambiar información con otra. Esto hace que la vigilancia de un dispositivo personal sea menos problemática: la faceta de trabajo puede ser administrada (o borrada), independientemente de la faceta personal.
A principios de este año, LG presentó su teléfono LG Revolution, que utiliza software VMware Horizon Mobile para funcionar tanto como un dispositivo de trabajo, como uno de uso personal. Una compañía israelí, Cellrox, utiliza una versión modificada del kernel Android para lograr lo mismo mediante el uso de Android como hipervisor.
Así como es potente, este enfoque sigue siendo limitado. Debido a los requisitos de hardware, funciona bien solo en la más reciente generación de dispositivos móviles.
"Todavía no se han dado lanzamientos masivos de esa tecnología -es muy nueva, no ha estado ampliamente disponible", señala Stacy K. Crook, analista senior de investigación de las empresas móviles en IDC. Ella también se pregunta si la experiencia del usuario en un dispositivo será satisfactoria, dada la necesidad de avanzar y retroceder entre las facetas.
Y hay otro problema. "En este momento solo está disponible para los dispositivos Android", agrega Crook, "y desde una perspectiva de TI: ¿en mis dispositivos Android quiero tener una solución diferente a la de mis otros dispositivos?"
Un tercer enfoque, según Crook, es "la envoltura de la aplicación". "Esto es, aplicar una política para aplicaciones específicas", explica, "pero no las está poniendo en una caja de arena. En su lugar, tiene la habilidad en el lado del servidor para poner en práctica políticas en torno a las aplicaciones que rigen la forma en que éstas pueden interactuar con otras aplicaciones. Esto le permite revocar el acceso a esa aplicación en la demanda, o declarar que una aplicación determinada no puede interactuar con otras aplicaciones, o solo puede interactuar con una aplicación determinada". El enfoque exacto varía según el proveedor, señala la ejecutiva.
¿Qué están haciendo los proveedores para ayudar?
Los fabricantes de dispositivos son muy conscientes del movimiento BYOD. Han estado sumando una variedad de soluciones para ofrecer protección empresarial a los productos recientemente lanzados. De nuevo, los enfoques son tan diversos como las propias empresas.
El enfoque de Samsung ha sido el de colaborar con los proveedores de MDM de terceros -entre ellos MobileIron y Afaria SAP- para que sus productos puedan ser optimizados con el fin de que trabajen en el hardware de Samsung. Samsung lo llama SAFE (Samsung Aproved for Enterprise, o Aprobación de Samsung para la empresa), ya que incluye características de la empresa, tales como VPN móvil. John E. Girard, vicepresidente y analista del Info Security and Privacy Research de Gartner, señala que el uso de MDM de terceros es "la mejor apuesta" al agregar esas características. "Ellos hacen esto para ganarse la vida", añade.
Pero un problema con marcas como SAFE, según Crook, es que como los usuarios regulares casi nunca saben de estas cosas, no eligen conscientemente los dispositivos que la utilizan. "Los fabricantes de dispositivos de alguna forma tienen que apelar a TI primero y darles a conocer las tecnologías como SAFE. Como usuario final, si entro en una tienda y el vendedor me dice: "este dispositivo es certificado por SAFE, yo le diría '¿Qué?' TI tiene que ser el primero en decírselo al usuario final: 'tenemos un conjunto de dispositivos aprobados por Android que puede comprar'", continúa Crook. "'Si desea un teléfono Samsung, dígales que está buscando un dispositivo con certificación SAFE".
Girard señala que también es crítico este enfoque, ya que requiere negociaciones entre TI y los usuarios, y "la mayoría de los grupos de TI no están acostumbrados a negociar; están más acostumbrados a hacer lo que se les pide. He tratado con algunas empresas que tenían tremenda presión, tanto de la parte superior e inferior, solo para permitir que ingrese cualquier dispositivo". También tiende a correr en contra de las preferencias de los usuarios: "los usuarios quieren hacer sus propias elecciones personales", señala Girard, "y en la mayoría de los casos no quieren ser interferidos".
El enfoque de Nokia (con sus nuevos dispositivos) ha sido el de poner todos sus huevos en una canasta a través de la plataforma subyacente -Windows Phone-, y dejar que se haga la venta a usuarios finales y empresas.
Mientras que la versión actual, de Windows Phone 7, todavía carece de las características empresariales clave como la encriptación del dispositivo, tiene la ventaja de ser manejable, y por lo tanto protegible, a través de Windows Server, que la gran mayoría de las empresas ya ejecutan de alguna forma. El recientemente anunciado Windows Phone 8 tendrá encriptación y una serie de otras características empresariales.
David Mason, jefe de marketing de producto para la movilidad empresarial de Nokia, describe a la recientemente lanzada línea de Nokia, Lumia (con Windows Phone 7), como una "oferta sin compromiso para las empresas y los usuarios regulares", tanto por sus características de diseño de hardware (por ejemplo, su pantalla de Gorilla Glass), como por el nuevo soporte de próxima gama de terceros para el dispositivo. "En gran medida nos centramos en impulsar la adopción en el mercado de consumo", señala, y afirma que esa facilidad de adopción, a su vez, también impulsa la adopción en la empresa. "Windows Phone es fácil de usar, así el usuario tenga 60 o 20 años".
Aparte de otros complementos MDM, una forma en que Lenovo ofrece seguridad para sus tablets con Android es a través de su Enterprise App Shop. Los usuarios corporativos pueden obtener aplicaciones para sus dispositivos solo de un repositorio totalmente asegurado y de gestión local, que proporciona compras corporativas por volumen, publicación de aplicaciones corporativas privadas, y varias opciones de autenticación y branding.
El jardín amurallado
Cualquier conversación con los fabricantes de dispositivos no estaría completa sin mencionar Apple. Su enfoque de la seguridad ha sido el "jardín amurallado" -un entorno cerrado que acepta un único software aprobado por Apple y que los usuarios nunca erradicarán de sus dispositivos. Esto lleva por un largo camino hasta la explicación de la apelación de Apple ante los administradores de TI: no es debido a la amplitud de opciones de gestión del dispositivo, sino porque el hardware de Apple cumple con lo que Girard llama "la prueba de la previsibilidad".
"Los departamentos de TI desean dispositivos que son predecibles", afirma, y el ecosistema de Apple anima a ello. "La mayoría de los usuarios de Apple no desbloquean (jailbreak) sus dispositivos y mantienen su sistema operativo al día, porque hay buenas razones para hacerlo. En primer lugar, las actualizaciones se obtienen directamente a través de Apple. En segundo lugar, no es difícil. En tercer lugar, si quiere las funciones más recientes (tanto para la seguridad y la funcionalidad), tiene que tener el último sistema operativo".
Por otro lado, Android, a pesar de su éxito con los fabricantes (y usuarios) de teléfonos y tablets, se ve como más difícil de asegurar debido a su naturaleza de parches.
Girard lo explica así: "Cuando compra un dispositivo Android, en realidad está comprando la versión de Android del fabricante del dispositivo. Los dispositivos que muestran el logotipo de Google pasaron por la prueba de compatibilidad de Google, pero aun así no hay garantía de que todo funcione de forma coherente. La compatibilidad oficial de Google no garantiza que el dispositivo tenga cifrado". Del mismo modo, señala, mientras que Google ofrece un cliente de Exchange para Android, el fabricante del dispositivo tiene que pagar la cuota de licencia a Microsoft para que implemente el cliente manualmente.
Además, afirma, el rooteo de los teléfonos Android crea un agujero de seguridad por sí mismo. Un dispositivo rooteado es el que, por definición, ha sido despojado de su protección más importante contra los ataques -la que evita que el usuario casual ejecute aplicaciones como administrador, en lugar de un usuario sin privilegios (y por lo tanto protegido).
Conclusiones
La explosión de dispositivos personales en el mundo de la empresa ha creado un mundo nuevo y extraño para todos, especialmente los fabricantes de dispositivos. Como dice Crook, los fabricantes de dispositivos ahora "tienen que estar más orientados a los consumidores y establecer relaciones con la empresa". Ella se mantiene optimista, sin embargo: "creo que está tomando un poco de tiempo, pero yo los veo por ahí tratando".
Si la carrera va a terminar con variantes del enfoque de jardín amurallado de Apple o con sistemas más granulares y flexibles, aún está en el aire. Pero nadie pone en duda que tenemos que complacer a ambos lados -TI y al usuario- para asegurar los aparatos que todos estamos acostumbrados a llevar a trabajar con nosotros.
Serdar Yegulalp, Computerworld (EE.UU.)