Llegamos a ustedes gracias a:



Reportajes y análisis

Administración de móviles: Dando sentido a sus opciones

Seguridad BYOD

[20/11/2014] Los smartphones, las tabletas, las redes sociales, y los servicios cloud son populares e increíblemente útiles -y un riesgo para la seguridad. En estos días, el foco de la seguridad se encuentra en los dispositivos móviles, al ser usados para trabajar con información corporativa; pero la variedad de plataformas, el hecho que son propiedad de los empleados, y una desigual capacidad de seguridad, significan un verdadero reto -algunas veces, un reto imposible- de manejarlos en la misma forma que una PC corporativa.

El asunto no es tanto la posibilidad de hackerarlos. Fuera del malware, del que se dispone fácilmente en la Google Play de Android, los dispositivos móviles están más asegurados de los hackers que las PC. En cambio, el tema es el uso inapropiado de la información, donde los empleados inadvertidamente delatan a sus contactos, avergüenzan a personas, violan un número de regulaciones de privacidad, y descuidan obligaciones de cumplimiento. La mayoría de gente lo hace inadvertidamente, algunos lo hacen a propósito -lo que importa es que lo hacen.

Esto pone a las organizaciones en una posición incómoda. Encuesta tras encuesta se demuestra que usuarios tecnológicamente empoderados son más felices y productivos, entonces los negocios quieren aprovechar ese beneficio. Pero quieren también mantener resguardados sus secretos y cumplir con las regulaciones. Las buenas noticias son que, aunque los métodos y herramientas sean aún nuevas, existen acercamientos probados y conocidos para reducir esos riesgos, sin deshabilitar el beneficio de los consumidores.

Para los dispositivos móviles, estas herramientas caen en varias categorías: prevención de pérdida de datos, administración de los datos móviles y administración de las aplicaciones móviles.

Prevención de pérdida de datos

Muchas organizaciones han invertido millones de dólares en herramientas de prevención de pérdida de datos (DLP, por sus siglas en inglés), que clasifica los derechos de acceso a los datos a través de análisis de texto y metataggin, después monitorean el flujo de información (tales como los contenidos de emails) para buscar tipos de datos problemáticos (tales como números de seguridad social o files etiquetados como secretos de la corporación). Las herramientas DLP están usualmente listas para alertar a TI -o a los usuarios- sobre posibles problemas, pero también pueden ser programadas para bloquear primero la información y realizar luego las preguntas.

Las herramientas DLP requieren un significativo esfuerzo en crear las reglas (generalmente asociadas a los roles de usuario) y después etiquetando información a través de la empresa, y DLP requiere maniobrar todo el flujo de información a través de servidores DLP para asegurar que sea analizada.

Las herramientas de DLP no son nuevas, pero su uso en flujo de información de móviles sí lo es. Hay varios acercamientos para DLP en móviles:

* Realizando routing a todo el tráfico de móviles a través de un servidor corporativo DLP, como ofrece Symantec.

* Proveyendo una app móvil para acceder a repositorios corporativos de información como Sharepoint; la app honra los permisos instalados para los archivos de esos repositorios. Citrix Systems ofrece dicha herramienta para Sharepoint y por supuesto muchos proveedores de almacenamiento cloud (como Accellion, Box, Dropbox y YouSendIt) ofrecen servicios de almacenamiento cloud administrado por TI.

* Incorporando la administración de contenido en las mismas apps, a través de APIs de compañías como Good Technology, MobileIron y SAP Sybase. Un área de tecnología relacionada llamada administración de aplicaciones móviles típicamente también alcanza a ser administración de contenido.

Administración de dispositivos móviles

Si el año 2010 fue el año en el que elfenómeno "trae-tu propio-dispositivo (BYOD, por sus siglas en inglés) se volvió legítimo, 2011 fue el año en el que las herramientas de administración de dispositivo móviles (MDM, por sus siglas en inglés) se aceptaron como la herramienta que permitió un BYOD seguro. No es de sorprender entonces que hoy en día una docena de proveedores ofrezcan herramientas MDM.

Hoy en día, las herramientas MDM son utilizadas en servicios financieros, defensa, gobierno y ambientes médicos -los ambientes más preocupados por la seguridad informativa.Pero MDM no es nuevo; las empresas las han estado usando por años bajo la forma de BlackBerry Enterprise Server (BES) para administrar el acceso a derechos y permisos de dispositivo de mensajería de Blackberry. Microsoft Exchange, el servidor de email más utilizado, también soporta un número moderado de políticas a través de su protocolo Exchange ActiveSync (EAS).

Las políticas de EAS pueden requerir un dispositivo encriptado, tener una contraseña complicada, o deshabilitar la cámara. TI maneja esas políticas en Exchange/Office 365, System Center 2012 de Microsoft, o la versión corporativa del Google Apps, así como en herramientas MDM.Ese servidor de correo se amarra a un servidor de identidad corporativa (usualmente Active Directory de Microsoft) para determinar qué políticas aplican a qué usuario. Si el dispositivo no cumple con las reglas asociadas a su usuario, se le negará todo o parte del acceso a ese dispositivo.

Estos servidores también permiten a TI asegurar de forma remota o borrar los contenidos de dispositivos perdidos o robados.

El iOS de Apple, las versiones recientes de Android de Google, Windows Phone 8.x y Blackberry OS 10, soportan un número substancial de políticas EAS, como lo hace el cliente de correo Outlook de Microsoft para PC Windows, Mac y el cliente Mail para Mac OSX de Apple.En contraste, las plataformas móviles de Windows Phone 7 de Microsoft, versiones pre 3.0 de Android de Google, y el difunto WebOs de HP soportan un set muy limitado de políticas EAS.

La mayoría de proveedores MDM van más allá de lo que Exchange y otros servidores proveen, añadiendo acceso donde las políticas EAS no son aplicables a un sistema operativo móvil que pueda respaldar. Por ejemplo, iOs de Apple tiene una política que permite a TI deshabilitar el servicio de sincronización de archivos de iCloud

Algunos proveedores MDM van más allá que explotar políticas extras en varias plataformas móviles, como detectar una versión modificada de un sistema operativo. Para hacerlo, los usuarios ejecutan su app móvil y las aplicaciones dentro de ésta. Cualquier cosa dentro del container de la app puede tener todo lo que aplica en políticas especiales de los proveedores MDM, dándole a TI una zona segura en el dispositivo del usuario. (Estas apps pueden configurarse para no compartir información fuera de la zona segura. Esencialmente, la información corporativa del resto del dispositivo). Algunos proveedores MDM proveen capacidades para habilitar soporte de help desk para usuarios móviles y para controlar los gastos de telecom, así como alertar a los empleados cuando estén haciendo uso de roaming internacional.

El reto para los proveedores MDM y TI por igual se debe a que debido a que las diferentes plataformas móviles tienen diferentes capacidades, es imposible tener un acercamiento de administración uniforme para todos los dispositivos.Los proveedores MDM manejan el difícil trabajo de mantenerse actualizados con todas las capacidades de las plataformas conforme éstas cambian, pero TI aún tiene que lidiar con la realidad de tener que ser algo flexibles en sus requerimientos de políticas para soportar al menos los dispositivos del tipo business-class más populares . Y existe una arruga que viene con mantener dispositivos iOS: Apple requiere que los negocios obtengan su propia credencial Apple Push Notification Service (APNS) de Apple para habilitar la administración MDM; este certificado le da a la herramienta MDM permiso para acceder a dispositivos iOS a través de la notificación de servidores Apple en su nombre.

Administración de aplicaciones móviles

El área menos establecida para administrar acceso a la información móvil es la administración de las aplicaciones móviles (MAM, por sus siglas en inglés), que actualmente comprende varios tipos de servicios:

* Distribución de apps a través de tiendas corporativas. Esto se enfoca típicamente en una Web y apps nativas, pero también pueden conectarse a las tiendas públicas de apps.

* Asegurar el desarrollo de apps para añadir seguridad y controles de permiso para contenido de apps hechas en casa, y acceso a los recursos de la red corporativa. Existe típicamente una consola de administración para TI para actuar en aquellos controles incrustados.

* Administración de contenido de apps, como restringir las habilidades de las apps para compartir contenido con otras apps. Estas también se concentran en apps realizadas internamente, aunque pueden ser usadas en algunos casos por desarrolladoresde apps comerciales con una herramienta de administración. Un proveedor en esta categoría, Nukona (ahora parte de Symantec), toma un acercamiento inusual de envolver permisos alrededor de apps, en vez de requerir el código interno de las apps para implementar políticas. Es una especie de acercamiento de envolvimiento DLP. Los otros proveedores confían en políticas especificadas dentro del código de la app.

* Asegurar contenedores de apps, que crean una partición separada, contenedor de apps, o una máquina virtual para segregar al menos algunas apps corporativas y data de apps y data personales. Este enfoque permite un uso más libre a través de las apps en contenedor, que las técnicas que aseguran la data dentro de apps específicas. Este enfoque difiere del uso de la virtualización del desktop (VDI, por su siglas en inglés) para presentar una aplicación remota en una ventana; tales aplicaciones (como por ejemplo, Citrix Receiver y VMware View) tienen poco o ningún acceso a información o capacidades en el dispositivo móvil mismo, más allá del teclado y emulación de acceso al mouse.

La dificultad en los acercamientos actuales de MAM es que son específicos para cada aplicación. Eso favorece el uso de aplicaciones desarrolladas internamente. Pero una variedad de proveedores están trabajando con desarrolladores comerciales para incrustar su tecnología. Las varias API MAM se encuentran también conectadas con herramientas de administración móvil específicas, así como para trabajar en general, todas las apps que le importan a TI necesitarán implementar la mismo API, y TI tendría que comprometerse a una herramienta específica de administración.

Con el tiempo podremos ver más y más de las apps que los usuarios instalan por si mismos para trabajar con los datos del negocio que soporta esa app, y las capacidades de administración de contenido, para acceder vía un MDM u otra herramienta que el negocio ya tenga instalada o quepueda conectarse a dicha herramienta de administración existente.

Galen Gruman, Infoworld (EE.UU.)