Llegamos a ustedes gracias a:



Reportajes y análisis

Mejor gestión BYOD

Las zonas de trabajo para los smartphones

[26/11/2012] Anthony Perkins quiere que los empleados de BNY Mellon lleven sus teléfonos inteligentes personales al trabajo y los utilicen en lugar de los BlackBerries de la empresa para acceder al correo electrónico, aplicaciones y datos de la empresa.
Pero hay un inconveniente: No todos los empleados se sienten cómodos con la idea de tener sus teléfonos personales bloqueados y controlados con tanta fuerza como los BlackBerries que Perkins quiere eliminar. Ahí es donde la noción de contenedores entra en juego.
Una estrategia de BYOD (traiga su propio dispositivo) es un buen negocio, señala Perkins, CIO de BNY Mellon Wealth Management. Reduce el tiempo y los gastos involucrados con el mantenimiento y la gestión de BlackBerries que son propiedad de la empresa. "Nos gustaría estar en el negocio de gestión de software, no de hardware. En el mundo de RIM, se administra el hardware", señala, refiriéndose al fabricante de BlackBerry, Research In Motion.
En el lado negativo, los dispositivos móviles más populares de la actualidad han sido desarrollados para el mercado de consumo, y las herramientas de terceros no ofrecen el mismo grado de control sobre los dispositivos de los usuarios que RIM tiene sobre los Blackberry. RIM controla el diseño y arquitectura del cliente BlackBerry, y ha sido especialmente sensible a las necesidades de los clientes corporativos.
Debido a que las aplicaciones y datos corporativos a menudo se mezclan con el contenido personal del usuario, las herramientas de gestión de dispositivos móviles (MDM) tienden a ser muy estrictas cuando se trata de administrar los recursos corporativos en los teléfonos de los usuarios. A menudo, las políticas de uso se aplican a todo el dispositivo, con lo que abarcan tanto las aplicaciones y datos personales como profesionales. Los usuarios pueden no estar dispuestos a ceder el control de sus teléfonos personales a cambio del privilegio de usarlos para los negocios.
Para evitar tal resistencia, Perkins se está pasando a la contenerización, una clase emergente de tecnología de gestión que excava una zona separada y cifrado dentro del smartphone del usuario donde pueden residir algunas aplicaciones y datos corporativos. En virtud de tal disposición, los controles de políticas se aplican solo a lo que hay en el contenedor, en lugar de a todo el dispositivo.
Las herramientas de contenerización suelen complementar el software MDM, y un creciente número de proveedores de MDM están incorporando tal funcionalidad.
Pero así como es importante un contenedor para proteger los datos corporativos, no tiene por qué impedir que los datos personales se pierdan en un borrado desde el departamento de TI si el teléfono se pierde o es robado. Algunos departamentos de TI reconocen que algunos usuarios pueden no saber cómo realizar una debida copia de sus datos y aplicaciones personales, y están ayudando a establecer sistemas de copia de seguridad.
Ryan Terry, CIO de división y jefe de seguridad del sistema de salud de los hospitales universitarios de Shaker heights, Ohio, se ha pasado hacia la contenerización porque ve que el uso de herramientas tradicionales de MDM para controlar todo el dispositivo es algo tendencioso. El hospital tiene que ver que sus aplicaciones o datos sean transmitidos de forma segura a los médicos, sin interferir con la capacidad de los usuarios para acceder a sus aplicaciones y datos personales. "No podemos darnos el lujo de borrar cosas de naturaleza personal o impedir su capacidad de utilizar su activo personal", señala.
Alex Yohn, director asistente de tecnología en la universidad de West Virginia, también es cauteloso. "Yo no quiero que mi personal haga ajustes en el lado personal que luego podría volverse en nuestra contra", como la eliminación accidental de datos o realizar cambios de configuración que afecten el desempeño de las aplicaciones personales de los usuarios, comenta.
Para las compañías de industrias altamente reguladas que requieren fuertes políticas de seguridad y estrictos mandatos de cumplimiento, los contenedores pueden ser especialmente útiles para hacer que la experiencia BYOD sea más agradable para los usuarios, afirman los líderes de TI.
Elija su contenedor
Los proveedores ofrecen, en esencia, tres enfoques diferentes de contenerización: la creación de un espacio de cifrado o carpeta, en la que se pueden poner las aplicaciones y los datos; la creación de una "aplicación de contenedor" que crea una burbuja de seguridad alrededor de cada aplicación corporativa y sus datos asociados; y el uso de hipervisores móviles, que crean todo un teléfono móvil virtual en el dispositivo del usuario, que es estrictamente para uso empresarial.
Todos estos enfoques ofrecen un control más granular sobre las aplicaciones y datos corporativos en los dispositivos de los usuarios que cualquier estándar de seguridad que viene con los smartphones actualmente. Y con la contenerización, los usuarios no se limitan al uso de dispositivos que están en una lista aprobada de los teléfonos inteligentes que han sido certificados y probados por TI, porque las aplicaciones y datos corporativos residen dentro de una shell segura y encriptada.
Sin embargo, la necesidad de alternar entre los entornos de la empresa y personal puede ser percibido como un inconveniente y afectan la satisfacción general de los usuarios, señala Phillip Redman, analista de Gartner.
Ni Apple ni Google ofrecen tecnología de contenedores, y tampoco quisieron hacer comentarios para este artículo, pero cada compañía señaló recursos que pueden ser útiles (ver recuadro).
Las carpetas encriptadas
El enfoque de contenerización más maduro es el uso de un contenedor cifrado, basada en una carpeta, explica Redman. AntenaWatch tiene tal oferta, y Good Technology es uno de los primeros que ha adoptado la contenerización para toda la empresa, particularmente en las industrias reguladas.
Para obtener acceso móvil básico, BNY Mellon utiliza Good for Enterprise para crear un espacio encriptado en los teléfonos inteligentes en el que los usuarios pueden ejecutar el correo electrónico de Good y su cliente de calendario, además de poder utilizar un navegador seguro. "Es un contenedor seguro con una aplicación que puede enviar y recibir correo electrónico corporativo que está encriptado", señala Perkins. Todas las comunicaciones se realizan a través de la red del centro de operaciones de Good, que autentica a los usuarios móviles.
Good ha estado ofreciendo su correo electrónico y herramientas básicas de calendario durante varios años. El año pasado agregó la capacidad para que otras aplicaciones se ejecuten dentro de su espacio protegido mediante Good Dynamics Platform, pero cada aplicación debe ser modificada para funcionar en el entorno propietario de Good. Hasta el momento, alrededor de una docena de aplicaciones comerciales están disponibles, incluyendo QuickOffice, que normalmente se utiliza para leer y editar los archivos adjuntos de Microsoft Office.
Perkins está utilizando Good solo para el correo electrónico y el calendario -las "aplicaciones asesinas" para la mayoría de los empleados, señala- y accede a aplicaciones internas, basadas en navegador utilizando el navegador de Good.
Para los usuarios que necesitan tener acceso completo a la red corporativa, SharePoint y otros servicios, BNY Mellon utiliza MaaS360 Fiberlink, un sistema MDM basado en la nube que puede tomar control total del dispositivo de un usuario. MaaS360 monitorea lo que se escribe en y desde el sistema operativo, y bloquea el acceso a algunas aplicaciones personales, tales como Yahoo Mail y Gmail, cuando el dispositivo está accediendo a los recursos corporativos.
"Cuando está en nuestra red, es nuestro y podemos controlarlo", señala Perkins. Cuando se utiliza en modo personal, los individuos tienen control sobre qué aplicaciones pueden utilizar.
Es más, BNY Mellon puede limpiar dispositivos -incluyendo todas las aplicaciones y datos personales- que se pierden o son robados, aunque MaaS360 y la mayoría de otras herramientas importantes de MDM permiten borrados selectivos. Aduciendo preocupaciones de seguridad, Perkins se negó a decir cuántas veces la empresa ha tenido que limpiar los teléfonos.
En contraste, solo el recipiente corporativo es borrado en los dispositivos perdidos o robados que solo tienen acceso al correo electrónico y al calendario a través de la tecnología de Good.
Envoltura de aplicaciones
Un enfoque nuevo y más granular es encerrar las aplicaciones individuales en sus propias envolturas encriptadas o contenedores. Esto permite que los administradores adapten las políticas a cada aplicación. El mercado de las herramientas que soportan la envoltura de aplicación está dominado por pequeños proveedores con productos propios, entre ellos Mocana, Mobile Bitzer, OpenPeak y Nukona (que fue recientemente adquirida por Symantec).
Por su parte, RIM está trabajando en añadir esta capacidad a su software MDM, BlackBerry Mobile Fusion. (Fusion Mobile funciona con Android e iPhone, además de BlackBerries). Peter Devenyi, vicepresidente senior de software empresarial de RIM, dice que la oferta de la empresa será "una solución de contenedores donde se puede envolver una aplicación sin la necesidad de modificar el código fuente, por lo que puede funcionar como una aplicación empresarial y gestionarla como un activo corporativo".
Con las herramientas de envoltura de aplicación, "se puede armar una muy completa suite de productividad que esté encriptada y se pueda controlar", señala Jeff Fugitt, vicepresidente de marketing del integrador móvil Vox Mobile. Pero la tecnología no ha sido ampliamente adoptada.
El analista de Forrester, Christian Kane describe a la envoltura de aplicación como un "VPN a nivel de aplicación" que le permite a los administradores establecer políticas para determinar la forma en que la aplicación podrá interactuar con el dispositivo del usuario o en la web, y a qué acceso tiene que remitir los recursos. También permite limpiezas remotas del recipiente, incluyendo la aplicación y los datos asociados.
"La envoltura de aplicaciones no está madura", y la existencia de arquitecturas que compiten en este naciente mercado está frenando su crecimiento, comenta Redman de Gartner. Pero, añade, la envoltura de aplicación eventualmente será más adoptada ampliamente cuando la tecnología se integra en las plataformas de MDM más grandes y establecidas.
La desventaja de la envoltura de aplicaciones es que cada aplicación debe ser modificada, lo que quiere decir que los administradores necesitan acceso al código binario de la aplicación. Esto significa que algunas aplicaciones que vienen preinstaladas en los teléfonos Android o iOS pueden no ser compatibles. Además, las implementaciones pueden trabajar mejor con los dispositivos Android que con iOS debido a los problemas para obtener el código binario de las aplicaciones vendidas a través de App Store de Apple. Por esta razón, las herramientas de embalaje no suelen trabajar con aplicaciones para el iPhone. Por ejemplo, Mocana Mobile App Protection no es compatible con el cliente de correo electrónico del iPhone -u otras aplicaciones integradas.
Los usuarios pueden obtener acceso al código binario de las aplicaciones iOS gratuitas, pero para productos de la App Store que se deben comprar, TI necesita un acuerdo para comprar directamente del proveedor sin pasar por la tienda de Apple.
Actualmente Apple se hace de la vista gorda sobre los usuarios que emplean envoltura de aplicación o que cambian aplicaciones compradas en su App Store, "pero según sus reglas, se supone que no debe hacer eso", señala Redman. "Ellos podrían reprimirlo y no permitirlo, aunque hasta ahora no lo han hecho". Apple no quiso hacer comentarios.
Hipervisores móviles
El tercer enfoque de contención es crear una máquina virtual que incluya su propia instancia del sistema operativo para móviles -un teléfono virtual en un teléfono. Para ello es necesario que el proveedor trabaje con los fabricantes de teléfonos inteligentes y las compañías operadoras para integrar y apoyar un hipervisor en el teléfono. Esta tecnología todavía no está disponible de forma general, pero los dispositivos que soportan un hipervisor pueden llegar a permitir que los usuarios separen la voz personal de la de negocios y datos.
VMware está desarrollando una oferta, llamada VMware Horizon, que dará soporte a Android e iOS, y funciona como un hipervisor de tipo 2, lo que significa que la máquina virtual se ejecuta como invitada en la parte superior de la instalación nativa del sistema operativo del dispositivo.
Tener un sistema operativo invitado ejecutándose en la parte superior de un sistema operativo anfitrión tiende a consumir más recursos que los hipervisores tipo 1 "bare metal" que se instalan directamente en el hardware del dispositivo móvil. También es considerado un método menos seguro, ya que el sistema operativo anfitrión podría verse comprometido, mediante la creación de una ruta de ataque en la máquina virtual.
Otro proveedor, Open Kernel Labs, ofrece un hipervisor de tipo 1 que llama "virtualización de defensa". La tecnología de Open Kernel se utiliza actualmente sobre todo por fabricantes de smartphones y chipsets que sirven a los militares. La compañía todavía tiene que entrar al mercado comercial, indica Redman.
El desarrollo de un hipervisor de tipo 1 que interactúa directamente con el hardware no es práctico, señala Ben Goodman, evangelista líder para VMware Horizon. "Nos mudamos a un hipervisor de tipo 2 debido a que la velocidad a la que los dispositivos móviles se están revisando hace que sea casi imposible mantenerse al día", agrega.
En cuanto a la seguridad, VMware está trabajando en un enfoque similar al estándar Trusted Platform Module del Trusted Computing Group Module. También está investigando la detección del jailbreak.
El rendimiento no será un problema, señala Goodman, prometiendo que "VMware Horizon está optimizado para funcionar extremadamente bien". Pero VMware se negó a dar los nombres de los primeros que podrían discutir el producto.
La empresa Israelí Cellrox ofrece su propio toque en la virtualización para dispositivos Android. La tecnología, llamada ThinVisor, fue desarrollado en la universidad de Columbia. No es ni un hipervisor de tipo 1 ni de tipo 2, sino "un nivel diferente de virtualización que reside en el sistema operativo y permite que varias instancias del sistema operativo utilicen el mismo núcleo", señala el CEO de Cellrox Omer Eiferman. El proveedor ofrece ThinVisor a los proveedores de servicios móviles, fabricantes de teléfonos inteligentes y grandes clientes empresariales.
Problemas y promesas
Un problema con la contenerización es que no todos los productos son compatibles con iOS, como los iPhones, que son los smartphones más comunes en las empresas. Mientras que Apple tiene una cuota del 22% del mercado de teléfonos inteligentes en todo el mundo, en comparación con 50% para los dispositivos Android, estas cifras se invierten en la empresa: El iPhone tiene el 60% de ese mercado, frente al 10% para los dispositivos Android, según Gartner.
El legendario secreto de Apple sobre las mejoras del sistema operativo significa que los proveedores de contenerización no reciben aviso previo y deben abrirse paso cada vez que el proveedor libera una actualización. El resultado final: Los usuarios pueden tener problemas para acceder a los sistemas corporativos si actualizan sus iPhones personales demasiado rápido. En los hospitales universitarios, señala Terry, "los cambios de iOS suelen causar interrupciones en el servicio mientras que los productos de Good Technology se modifican, prueban y son liberados".
La integración de directorios es otra área donde las herramientas se encuentran en evolución. "Nos gustaría ver una mayor integración con Active Directory y con PeopleSoft o cualquiera que sea la fuente de registro para el control de perfiles de usuario -idealmente, la integración más apretada podría desactivar automáticamente el acceso, o restringirlo, a las aplicaciones publicadas según la función del usuario", señala Terry. Hoy en día, las empresas pueden necesitar recurrir a integradores como Vox Mobile para proporcionar ese nivel de integración.
El uso de la contenerización también puede hacer que sea difícil proporcionar soporte técnico para los dispositivos personales de los usuarios si no tienen visibilidad sobre el rendimiento total del dispositivo, señala Steve Chong, gerente de mensajería y colaboración en el Union Bank, que utiliza Good for Enterprise. Señala que hay una serie de preguntas que son difíciles de responder con la contenerización: ¿El problema está relacionado con la intensidad de la señal? ¿El usuario se queda sin espacio de almacenamiento? ¿Hay una manera de que TI pueda acceder de forma remota al teléfono para diagnosticar problemas?
"Contar con agentes en el teléfono significa que tiene que estar constantemente encendido todo el tiempo para la recolección de datos, pero eso significa que va a consumir recursos del teléfono", añade Chong. Además, es "software que ahora tiene que ser gestionado y actualizado en los teléfonos de los usuarios".
Hoy en día, las organizaciones con programas de BYOD no están utilizando MDM o están utilizando herramientas básicas como Exchange ActiveSync de Microsoft, que permite el acceso móvil al correo electrónico y calendario de Exchange propiedad de los usuarios. "La siguiente fase es llegar a MDM. Entonces TI puede ver la seguridad y administración de aplicaciones", agrega Redman.
En CareerBuilder, un sitio web de puestos de trabajo y firma de personal, los empleados que desean utilizar sus propios teléfonos pueden conectarse a la empresa a través de ActiveSync, pero los datos descargados no se cifran a menos que el usuario lo haga a nivel de dispositivo. Además, no ofrece soporte para usuarios que se conectan con sus propios teléfonos inteligentes.
Los usuarios de CareerBuilder también pueden instalar, por sí mismos, aplicaciones para acceder a aplicaciones SaaS como Salesforce.com y Concur. "Estamos por defecto en eso", señala Roger Fugett, vicepresidente senior de TI. Sin embargo, con casi la mitad de los 2.600 empleados de la compañía utilizando sus propios dispositivos, Fugett dice que está tomando una mirada a los posibles riesgos y cómo mitigarlos. El uso de la contenerización y herramientas generales de MDM están en su radar.
Robert L. Mitchell, Computerworld (EE.UU.)