Llegamos a ustedes gracias a:



Reportajes y análisis

El paisaje de la gestión móvil

Los dispositivos, aplicaciones e información son los problemas interrelacionados a abordar.

[20/02/2014] Los smartphones, tabletas, redes sociales, y servicios en la nube son muy populares, muy útiles -y un riesgo de seguridad. En estos días, el enfoque de seguridad está en los dispositivos móviles, ya que tienden a ser muy utilizados para trabajar con información corporativa, pero la variedad de plataformas, el hecho de que muchos son de propiedad de los empleados, y las capacidades de seguridad desiguales hacen que sea un verdadero -a veces imposible- desafío para gestionarlos de la misma manera que la PC corporativa.
La cuestión no tiene que ver tanto con el hacking; aparte del malware fácilmente disponible en el mercado de Google Play para Android, los dispositivos móviles son más seguros que las PC para los piratas informáticos. En cambio, el tema es el uso inapropiado de la información, cuando los empleados la divulgan inadvertidamente sobre contactos, avergüenzan a la gente, violan cualquier número de regulaciones de privacidad, y son negligentes con las obligaciones de cumplimiento. La mayoría de la gente lo hace por error, mientras que algunas personas lo hacen deliberadamente, lo que importa es que lo hacen.
Eso pone a las organizaciones en una posición incómoda. Encuesta tras encuesta muestra que los usuarios tecnológicamente habilitados son más felices y más productivos, por lo que las empresas quieren aprovechar ese beneficio. Pero también tienen que proteger sus secretos y cumplir con las regulaciones. La buena noticia es que, aunque los métodos y herramientas aún son nuevas, se conocen enfoques de eficacia demostrada para reducir esos riesgos sin desactivar el beneficio de la consumerización.
Para dispositivos móviles, estas herramientas se dividen en varias categorías amplias: la prevención de pérdida de datos, gestión de datos del móvil y gestión de aplicación móvil. Este informe le guiará a través de cada categoría y se explican las cuestiones clave y los proveedores.
Prevención de pérdida de datos
Muchas organizaciones ya han invertido millones de dólares en herramientas de prevención de pérdida de datos (DLP, por sus siglas en inglés), que clasifican los derechos de acceso a datos a través del análisis de texto y metaetiquetas; a continuación, controlan el flujo de la información (como el contenido del correo electrónico) para buscar datos problemáticos -por ejemplo- números de seguro social o archivos etiquetados como secretos corporativos. Las herramientas de DLP se fijan generalmente para alertar a TI o a los usuarios sobre posibles problemas, pero también pueden ser programados para bloquear la información primero y preguntar después.
Las herramientas de DLP requieren un esfuerzo en la creación de las reglas de política de información (generalmente asociadas a los roles de usuario), luego etiqueta la información a través de la empresa, y DLP requerirá que toda la información fluya a través de servidores de DLP para asegurarse de que sea analizada.
Las herramientas de DLP no son nuevas, pero su uso en un flujo de información móvil sí lo es. Existen varios enfoques para el DLP móvil:
* Rootear todo el tráfico móvil a través de un servidor DLP corporativo, como ofrece Symantec.
* Proporcionar una aplicación móvil para el acceso a repositorios de información corporativos como SharePoint; tal aplicación honra los permisos definidos para archivos en los repositorios. Citrix Zenprise ofrece una herramienta para SharePoint, y, por supuesto, muchos proveedores de almacenamiento en la nube (como Accellion, Box, Dropbox y YouSendIt (ahora Hightail) ofrecen servicios de almacenamiento en la nube que pueden ser administrados por TI.
* Reunir la gestión de contenidos en las mismas aplicaciones mediante la adopción de API de compañías como Good Technology, MobileIron y SAP Sybase. Un área relacionada con la tecnología llamada gestión de aplicaciones móviles, normalmente, también mete la mano en la gestión de contenidos.
Administración de dispositivos móviles
Si el 2010 fue el año en que el fenómeno 'traiga su propio dispositivo' (BYOD) se legitimó, el 2011 también fue el año en que las herramientas de gestión de dispositivos móviles (MDM, por sus siglas en inglés) fueron aceptadas como una forma de permitir el BYOD seguro. No es ninguna sorpresa que decenas de proveedores ahora ofrezcan herramientas MDM.
Hoy en día, las herramientas MDM están desplegadas en los servicios financieros, la defensa, el gobierno y ambientes médicos -las industrias más preocupadas por la seguridad de la información. Pero MDM no es nuevo, las empresas han estado utilizándolo durante años en forma de BlackBerry Enterprise Server (BES) para gestionar los derechos de acceso y permisos de los dispositivos de mensajería BlackBerry. Microsoft Exchange, el servidor de correo electrónico más utilizado, también es compatible con un conjunto modesto de las políticas a través de su protocolo Exchange ActiveSync (EAS).
Las políticas de EAS pueden requerir ser encriptadas en un dispositivo, tener una contraseña compleja o desactivar su cámara. TI gestiona las políticas de Exchange o la versión corporativa de Google Apps; las mismas capacidades que pronto estarán disponibles en System Center 2012 de Microsoft. Ése servidor de correo electrónico se une a un servidor de identidad corporativa (por lo general de Active Directory de Microsoft) para determinar qué políticas se aplican a cada usuario. Si un dispositivo no cumple con las reglas asociadas a su usuario, se le niegan algunos o todos los accesos. Estos servidores también permiten que TI bloquee o limpie remotamente el contenido de un dispositivo perdido o robado.
iOS de Apple, el difunto Windows Mobile, algunas versiones de Android, y algunas versiones de la desaparecida plataforma móvil de Nokia, Symbian, admiten un número importante de políticas de EAS, como lo hace el cliente de correo electrónico de Outlook de Microsoft para Windows PC y Mac, y el cliente de correo de Apple para Mac OS X . Por el contrario, Windows Phone de Microsoft 8, y las nuevas versiones de Android son compatibles con un conjunto muy limitado de las políticas de EAS. (Los dispositivos BlackBerry trabajan con el producto BES y, a través de conectores, en menor medida con Microsoft Exchange y Google Apps. Los dispositivos BlackBerry 10 también soportan EAS).
La mayoría de los productos de proveedores de MDM van más allá de lo que Exchange y otros servidores de correo electrónico ofrecen, añadiendo el acceso a las políticas que no son EAS y que puedan ser soportadas por el sistema operativo móvil. Por ejemplo, el iOS de Apple tiene una política que le permite a TI desactivar el servicio de sincronización de archivos de iCloud.
Algunos proveedores de MDM van más allá de la explotación de las políticas extra en varias plataformas móviles, como detectar una versión modificada (jailbreak) del sistema operativo. Para ello, el usuario ejecuta su aplicación móvil y las aplicaciones que la componen. Cualquier cosa contenida en esa aplicación puede tener aplicadas todas esas políticas especiales de los proveedores de MDM, lo que supone una zona de seguridad en el dispositivo del usuario. (Estas aplicaciones pueden configurarse para no compartir información fuera de la zona de seguridad, esencialmente separando la información corporativa del resto del dispositivo). Algunos proveedores de MDM también proporcionan capacidades para habilitar el soporte de mesa de ayuda para usuarios móviles y controlar el gasto de telecomunicaciones, tales como alertar a los empleados cuando están en roaming internacional.
El reto para los proveedores de MDM y de TI, por igual, es que debido a que las diferentes plataformas móviles tienen capacidades diferentes, es imposible tener un enfoque de gestión uniforme para todos los dispositivos. Los proveedores de MDM tienen el duro trabajo de mantenerse al día con todas las capacidades de las plataformas a medida que cambian, pero todavía tienen que enfrentar la realidad que implica tener que ser un poco flexibles en sus requisitos de política para apoyar, al menos, al tipo de dispositivo más popular. Esa es la arruga que viene con el soporte a los dispositivos iOS: Apple exige que las empresas obtengan su propia credencial del servicio Apple Push Notification (APNS) para permitir la gestión MDM; este certificado permite que la herramienta MDM acceda a los dispositivos iOS a través de servidores de notificación de Apple en nombre de usted.
Un enfoque relacionado es el uso de los controladores de acceso a la red para detectar el acceso móvil y aplicar las políticas de usuario. Por ejemplo, F5 Networks se ha asociado con varias empresas de gestión de datos maestros (AirWatch, MobileIron, SilverbackMDM y Citrix Zenprise) para permitir que sus respectivas herramientas de gestión trabajen juntas. Aruba Networks planea el lanzamiento de un agente controlador de red y de acceso al dispositivo móvil inteligente que supervise el acceso del dispositivo y pueda aplicarle políticas.
Gestión de aplicaciones móviles
La zona menos establecida para el control de acceso a la información móvil es la gestión de aplicaciones móviles (MAM, por sus siglas en inglés), que actualmente abarcan varios tipos de servicios:
* Distribución de la aplicación, como a través de las tiendas de aplicaciones corporativas. Estas por lo general se centran en la gestión de distribución y el permiso para la web de cosecha propia y las aplicaciones nativas, pero también puede proporcionarles a los usuarios enlaces a aplicaciones recomendadas en las tiendas de aplicaciones públicas. Algunas también pueden gestionar aplicaciones iOS nativas creadas por la empresa para su uso interno.
* Desarrollo de aplicaciones seguras, para aumentar la seguridad y el control de los permisos para el contenido de las aplicaciones de cosecha propia y el acceso a los recursos de la red corporativa. Hay típicamente una consola de administración que le permite a TI actuar sobre los controles integrados.
* Gestión de contenidos de las aplicaciones, como restringir las capacidades de compartir contenido autorizado con otras aplicaciones. Esto también se centra en aplicaciones de cosecha propia, aunque en algunos casos también puede ser utilizado por los desarrolladores de aplicaciones comerciales con una herramienta de gestión. Dos proveedores en esta categoría, Mocana y Symantec (a través de su adquisición de Nukona), adoptan un enfoque inusual de empaquetar permisos alrededor de las aplicaciones, en lugar de requerir el código interno de las aplicaciones para implementar políticas -es una especie de envoltorio DLP. Los otros proveedores se basan en políticas que están especificadas en el código de las aplicaciones.
* Contenedores de aplicaciones seguras, lo que crea una partición separada, contenedor de aplicaciones o máquina virtual para segregar al menos algunas aplicaciones corporativas, datos de las aplicaciones y datos personales. Este enfoque permite un uso más libre del contenido a través de aplicaciones en un recipiente que las técnicas que aseguran los datos dentro de aplicaciones específicas. Este enfoque difiere de la utilización de la infraestructura de escritorio virtual (VDI por sus siglas en inglés) para presentar una aplicación remota en una ventana; tales aplicaciones (Citrix Receiver y VMware View son ejemplos) tienen poco o ningún acceso a la información o a las capacidades en el propio dispositivo móvil, más allá del teclado y acceso emulado del mouse. Un enfoque relacionado es crear particiones separadas en el dispositivo móvil -una para aplicaciones personales y de datos, y la otra para aplicaciones y datos empresariales gestionados por TI.
La dificultad de los enfoques actuales de MAM es que por lo general son de aplicación específica. Eso favorece su uso para aplicaciones de desarrollo propio, pero una variedad de proveedores están trabajando con el desarrollador comercial para integrar su tecnología. Con el tiempo podremos ver más aplicaciones instaladas por el usuario que apoyen este tipo de capacidades de gestión de aplicaciones y contenidos, el acceso a través de MDM u otra herramienta que la empresa tenga o se pueda conectar. Pero los desarrolladores comerciales todavía tienen que escoger una API, y por lo tanto un solo proveedor; o utilizar múltiples API en sus aplicaciones, con la complejidad que eso conlleva.
Lo que realmente se necesita, por supuesto, es un conjunto de API de gestión de contenido que todas las aplicaciones puedan utilizar con cualquier herramienta de gestión -análogo al protocolo actual de Microsoft EAS para la administración de dispositivos. Al igual que en el caso de EAS, los vendedores podrían aumentar las políticas básicas con mejoras para las necesidades especiales de la aplicación, y los desarrolladores comerciales podrían decidir cuándo utilizar estas capacidades extendidas, como para llegar a mercados de alta seguridad.
Galen Gruman, InfoWorld (EE.UU.)