Llegamos a ustedes gracias a:



Reportajes y análisis

iOS vs. Android vs. BlackBerry vs. Windows Phone

En el campo de la seguridad móvil

[20/10/2015] Hace mucho tiempo el iPhone y la iPad de Apple desplazaron al BlackBerry como el estándar corporativo para dispositivos móviles, excepto en los entornos de mayor seguridad. A principios de este año, Google -cuya plataforma Android reina fuera del mundo de la empresa- se tomó en serio la gestión móvil con un nuevo esfuerzo llamado Android para el Trabajo. Y Samsung aumentó su juego con una nueva versión de su suite de seguridad de Android, Knox.

Ahora tenemos Android 6.0 Marshmallow e iOS 9, los cuales ofrecen mejoras a sus respectivas capacidades existentes de gestión de móviles, particularmente en las áreas de gestión de aplicaciones.

¿Qué hay de nuevo en iOS 9?

Lanzado a mediados de septiembre, iOS 9 de Apple tiene pocas políticas nuevas para la gestión de los iPhones, iPads e iPod Touch. Pero hay una útil: Con el uso de una herramienta de gestión de dispositivos móviles (MDM, por sus siglas en inglés), los administradores de TI pueden ahora forzar actualizaciones iOS, así como organizar su despliegue a través de dispositivos supervisados, emitidos por la empresa, bajo el completo control de TI.

También hay nuevas políticas en iOS 9 para controlar si los dispositivos pueden moverse en las redes celulares, para activar o desactivar la grabación de la pantalla, y para controlar si se puede utilizar la función Mail Drop de Apple con el fin de enviar archivos adjuntos de gran tamaño. (Mail Drop almacena los documentos en iCloud y le envía al destinatario un enlace para que pueda descargar el archivo adjunto si es que no utiliza un dispositivo de Apple; los usuarios de dispositivos de Apple ven el archivo adjunto normal en su correo electrónico, incluso si excede el límite de tamaño de su servidor de correo electrónico, ya que Apple Mail vuelve a unir el archivo automáticamente detrás de escena.)

Solo para los dispositivos supervisados, hay nuevos controles sobre el emparejamiento de Apple Watch, el uso de la librería de fotos de iCloud, atajos de teclado, las descargas automáticas de aplicaciones y noticias de configuración de aplicaciones, así como sobre la capacidad de los usuarios para cambiar el nombre del dispositivo, la contraseña y fondo de pantalla. Esas políticas supervisadas están diseñadas principalmente para dispositivos de uso común, como en las escuelas o en los minoristas.

Los cambios más importantes de Apple en el manejo de iOS 9 se enfocan en su programa de inscripción de dispositivos, DEP por sus siglas en inglés, y los servicios del programa de compra de volumen, VPP por sus siglas en inglés. DEP es el servicio para gestionar flotas de dispositivos iOS supervisados y aplicaciones predeterminadas; y VPP es el programa para gestionar aplicaciones corporativas de la App Store a través de esa flota de dispositivos.

iOS 9 adopta el enfoque de OS X para la gestión de aplicaciones, por lo cual TI puede asociar una aplicación específica a cualquier número de dispositivos y/o usuarios, en lugar de gestionar aplicaciones de cada dispositivo o usuario de forma independiente. Apple también ha simplificado la forma en que DEP cataloga aplicaciones, por lo que puede crear una biblioteca de aplicaciones sin tener que sondear todos los dispositivos cada vez. Las aplicaciones ahora se pueden instalar en los dispositivos supervisados, incluso si la App Store está desactivada en esos dispositivos, y las aplicaciones internas se pueden instalar en silencio, sin confirmación del usuario.

¿Qué hay de nuevo en Android 6.0 Marshmallow?

El gran cambio en Android Marshmallow es que adopta el enfoque de iOS para los permisos de aplicaciones. Eso significa que los usuarios ahora pueden cambiar los permisos de las aplicaciones cuando lo deseen, no solo escogerlos a la hora de la instalación. Muchos usuarios no sabían lo que significaban todos esos permisos; además, tenían que aceptar todos o ninguno. Ahora, los usuarios pueden ir a la configuración de la aplicación para ver qué permisos utiliza cada aplicación y revocar o permitir cada permiso de forma independiente.

Mejor aún, TI también puede gestionar estos permisos de aplicaciones de forma granular para aplicaciones que residen en Android para el trabajo u otro contenedor administrado (para despliegues BYOD) o dispositivos emitidos por la empresa totalmente gestionados (supervisados), señala Imran Ansari, director de producto de Android en el proveedor de MDM, Soti.

Otros refinamientos en la política de Android Marshmallow son similares a iOS 9 en su naturaleza gradual. Por ejemplo, las nuevas políticas permiten que TI fuerce a que la pantalla de un dispositivo permanezca encendida, o que una conexión Wi-Fi permanezca activa mientras el dispositivo está enchufado. Ansari dice que esta función será de interés para TI en implementaciones de cara al público, como para los quioscos, terminales de pago, sistemas de pedidos y sistemas de registro de ingresos.

Android Marshmallow también permite que los administradores deshabiliten el uso de un SmartWatch como token de autenticación, de este modo un SmartWatch no puede ser utilizado para eludir el requisito de contraseña. Y permite que TI fuerce la instalación de actualizaciones del sistema operativo en cuanto estén disponibles, así como retrasar las actualizaciones por hasta 30 días, por lo que TI primero puede probar las aplicaciones en una nueva versión del sistema operativo.

Finalmente, Android Marshmallow ofrece nuevas políticas para controlar si los usuarios pueden arrancar su dispositivo de forma segura (arrancar en modo seguro puede pasar por alto los controles de MDM) y si los detalles de las notificaciones pueden aparecer en la pantalla de un SmartWatch, para mantener la información de la compañía en secreto.

Lo que Android para el trabajo hace y no hace

El mayor cambio en la gestión de Android, sin embargo, llegó en febrero pasado con el lanzamiento de Android para el trabajo como parte de una actualización de Android 5 Lollipop. Esa tecnología añade nuevas capacidades de seguridad y administración, además de la capacidad de hacer despliegues corporativos de aplicaciones Android desde la Play Store.

Los contenedores de Android para el trabajo -que ejecutan aplicaciones de negocios en un espacio de trabajo gestionado por separado dentro de su dispositivo- forman parte del sistema operativo Android 5 Lollipop y Android 6 Marshmallow, y soportan cualquier tienda de aplicaciones de Google Play. Pero Android 3.0 Ice Cream Sandwich a través 4.4 KitKat requiere que los usuarios instalen la aplicación Android para el trabajo, que puede ejecutar solo aplicaciones que tienen implementadas las API de Android para el trabajo.

De cualquier manera, es necesario un servidor de administración móvil compatible para manejar las políticas que rigen a las aplicaciones que se ejecutan en el contenedor, como el uso de VPN reforzado o restricciones de copiar y pegar. Los proveedores de gestión de móviles que soportan Android para el trabajo incluyen BlackBerry, Citrix Systems, Google, IBM, MobileIron, SAP, Soti y VMware AirWatch.

Lo que Android para el trabajo solo aborda parcialmente es el problema de malware entre aplicaciones de Android, ya sea debido a la alta incidencia de malware que reside en la Google Play Store como para el sistema de archivos comunes en Android, el cual permite que el malware infecte aplicaciones a través de los archivos de datos. Por ejemplo, los federales han dicho que el spyware de clase industrial usado en las amenazas avanzadas persistentes ha entrado en el mercado de Google Play. Con Android para el trabajo, los administradores de TI pueden evitar que los usuarios instalen aplicaciones no aprobadas desde Play Store en el espacio de trabajo de la empresa para proteger mejor el entorno corporativo.

Por el contrario, iOS utiliza sandboxing rígido para mantener el acceso de aplicaciones a otras aplicaciones, y restringe severamente la posibilidad de compartir documentos con el fin de bloquear malware. BlackBerry y Windows Phone tienen pequeñas bibliotecas de aplicaciones y un enfoque semiporoso de sandboxing, por lo que el malware no ha sido un problema para ellos hasta la fecha -aunque se ha conocido de brotes de malware para BlackBerry en el pasado.

Android para trabajo tampoco hace que el cifrado sea por defecto en los dispositivos Android existentes. (Muchos de los modelos, especialmente los más baratos, no tienen la potencia para manejar el cifrado.)

Google prometió en octubre pasado que Android 5 Lollipop permitiría cifrado por defecto en todos los nuevos dispositivos. (El estado de cifrado de dispositivos mejorados no ha cambiado.) Pero no hay requisito para que los dispositivos utilicen un chip criptográfico, de tal modo que los usuarios puedan ver grandes éxitos de rendimiento. La publicación hermana de InfoWorld, Greenbot, encontró que la propia Nexus de Google 6 se pone lenta con el cifrado, por ejemplo.

De particular preocupación para TI es el hecho de que Google ha dado marcha atrás silenciosamente con en su promesa de que los nuevos dispositivos Lollipop se cifran de forma predeterminada. De hecho, varios nuevos dispositivos Lollipop no lo hacen. El nuevo Marshmallow Android tampoco hace cumplir este cifrado prometido.

Por el contrario, los dispositivos iOS han estado cifrados por defecto (sin opción de deshabilitar esta característica) desde el 2010, y los dispositivos BlackBerry han estado cifrados por lo menos durante una década -ambos tienen el chip criptográfico necesario para evitar problemas en el rendimiento. Pero los dispositivos Windows Phone 8.1 vienen con el cifrado desactivado por defecto, y un administrador debe habilitarlo. (Windows 8.1 es la primera versión de la plataforma móvil de Microsoft que soporta el cifrado del dispositivo.) No está claro si el próximo Windows Phone 10 permitirá el cifrado por defecto.

Knox apunta a los usuarios de Android con dispositivos emitidos por la empresa

Anunciado hace dos años, Knox de Samsung ha tenido un lanzamiento difícil y ahora compite con Android para el trabajo de Google. Pero la compañía se ha apegado al producto, revelando silenciosamente Knox 2.4 en febrero y continuando con cambios más pequeños esta primavera.

Knox solo funciona con teléfonos inteligentes y tabletas seleccionadas de Samsung, ya que se integra directamente con el hardware de una manera similar a como hace BlackBerry con sus propios smartphones y el servidor de administración BES. Por lo tanto, Knox es una opción realista solo para las empresas que emiten dispositivos compatibles de Samsung para sus empleados.

Para estas empresas, Knox 2.4 y posteriores proporcionan integración de contraseña de Active Directory para su espacio de trabajo seguro, inscripción robusta de los dispositivos a través del aire, y la capacidad de realizar un seguimiento de los negocios de los usuarios y el uso de datos personales.

La administración de dispositivos móviles se ha estabilizado en esencia

Android para el trabajo se produce justo después de los esfuerzos de Microsoft para mejorar la seguridad de Windows Phone, que históricamente ha tenido capacidad de gestión y seguridad débiles. Windows Phone 8.1, lanzado el pasado otoño, finalmente le dio un nivel razonable de capacidades básicas a la plataforma de teléfonos inteligentes de Microsoft, aunque muy por detrás de lo que proporcionan otras plataformas móviles.

Los dispositivos BlackBerry han ofrecido durante mucho tiempo controles para la gestión de dispositivos móviles (MDM, por sus siglas en inglés) en el sistema operativo y las aplicaciones empaquetadas clave para gestionar los permisos de usuario. iOS añadió tales capacidades en el 2010. Android le siguió uno años más tarde, y en el otoño del 2014, Windows 8.1 fue el último sistema operativo móvil importante en proporcionar un sólido conjunto de APIs de administración de dispositivos. (Los dispositivos BlackBerry también proporcionan una red segura y chip anti suplantación de dispositivo, que no tienen los competidores y son las razones clave por las que los entornos de alta seguridad aún confían en BlackBerry.)

Con el mercado de los dispositivos BlackBerry desapareciendo rápidamente, BlackBerry se ha centrado en la remodelación de su herramienta BES -que antes era exclusiva para BlackBerry - en una herramienta unificada de gestión móvil, BlackBerry Enterprise Service (BES) 12, para la gestión de dispositivos iOS, Android y Windows Phone 8- todo ampliamente soportado por otras herramientas de MDM -además de su actual BlackBerry 10 y los dispositivos BlackBerry 5 y 7. Pero BES12 ha fracasado en el mercado, lo que ha llevado a que BlackBerry compre al viejo proveedor de MDM, Good Technology.

Del mismo modo iOS, Android, Windows Phone 8 y BlackBerry 10 soportan las políticas de Microsoft Exchange ActiveSync (EAS), que proporcionan la gestión básica multiplataforma para entornos de seguridad menos rigurosos que TI puede administrar desde un servidor de Exchange, Office 365, Google en el Trabajo, Lotus Notes o Microsoft System Center, así como desde cualquier servidor MDM. La Tabla 1 muestra que las políticas son compatibles con cada plataforma móvil importante.

Apple Google Samsung BlackBerry Microsoft
Política IOS 7, 8, 9 Android 4,5,6 Android 5 + Knox BlackBerry 10 Windows Phone 8, 8.1
Permitir el cifrado del dispositivo
Requerir cifrado del dispositivo Sí [1] MDM
Tarjeta de almacenamiento encriptada N/A
Longitud mínima de la contraseña
Número mínimo de caracteres complejos (contraseña)
Historial de contraseñas
Umbral de limpieza del dispositivo
Desactivar almacenamiento extraíble MDM No MDM MDM No
Desactivar cámara MDM No
Desactivar mensajes de texto SMS No No MDM MDM No
Desactivar Wi-Fi MDM No MDM MDM Sí [2]
Desactivar Bluetooth MDM No MDM MDM No
Desactivar IrDA N/A No No No No
Requiere sincronización manual en itinerancia No MDM No
Permitir el uso compartido de Internet desde el dispositivo MDM No MDM MDM MDM
Permitir el uso compartido del escritorio del dispositivo MDM No MDM No No
Desactivar el acceso a archivos adjuntos MDM No
Desactivar correo electrónico P0P/IMAP4 MDM No MDM No
Permitir correo electrónico de los consumidores No No MDM No
Permitir navegador MDM MDM No MDM
Configurar formatos de mensaje (HTML o texto plano) No No MDM No No
Incluir elementos pasados de correo electrónico (días) No MDM
Truncamiento del tamaño de cuerpo de correo electrónico (KB) No No MDM No Sí [2]
Truncamiento del tamaño del cuerpo de correo electrónico HTML No No MDM No Sí [2]
Incluir elementos pasados del calendario (días) No MDM No
Requerir mensajes firmados S/MINE No MDM MDM Sí [2]
Requerir algoritmos firmados S/MINE No MDM MDM Sí [2]
No MDM MDM Sí [2]
Requerir algoritmos cifrados S/MINE No MDM MDM Sí [2]
Permitir negociación de cifrado de algoritmo S/MINE No MDM MDM Sí [2]
Permitir certs livianos S/MINE No No MDM Sí [2]

Tabla 1: Comparación de soporte de políticas de Exchange ActiveSync (EAS)
[1] Áreas de almacenamiento solamente. [2] Windows Phone 8.1 solamente.
("MDM" significa que se requiere un servidor de administración de dispositivos móviles por separado)

La gestión del contenido y las aplicaciones es donde se centra ahora la seguridad móvil

En estos días, el enfoque de los proveedores de gestión de móviles es el contenido y la seguridad de la aplicación, ya que la gestión de dispositivos está casi resuelta. Las APIs IOS7 de Apple fueron las primeras en abordar el tema a nivel de plataforma, proporcionando APIs estándar para que las aplicaciones gestionen su uso y contenido.

Apple hizo un gran salto en seguridad y administración móvil en el año 2013, cuando iOS 7 impulsó la gestión y la seguridad de Apple hacia nuevas áreas, incluida la gestión de aplicaciones y gestión de licencias. Los recientes iOS 8 e iOS 9 tienen solo unas pocas adiciones.

El enfoque de Apple es manejar directamente las aplicaciones y sus contenidos, lo que significa que los desarrolladores de aplicaciones deben implementar la API de un servidor de administración para poder trabajar con ellas. Además, iOS permite solo una instancia de una aplicación en un dispositivo, por lo que los usuarios no pueden instalar una copia gratuita y una copia de negocio gestionada por TI.

Apple no inventó la noción de aplicaciones gestionadas por APIs; en el 2011 varios emprendimientos ofrecían tecnología de gestión de aplicaciones móviles que requerían que los desarrolladores de aplicaciones implementen APIs y herramientas de gestión propietarias. Pero no fueron a ninguna parte. El enfoque de Apple en iOS 7 hace que la tecnología esté disponible para todas las aplicaciones y todos los servidores de administración, eliminando la barrera del lock-in.

Desde entonces, la mayoría de los vendedores han adoptado el enfoque de 'contenerización', que esencialmente divide aplicaciones gestionadas de TI, y los datos con los que trabajan, en un espacio de trabajo separado que no es accesible con aplicaciones personales del usuario. Los usuarios tienen que cambiar entre las dos áreas de trabajo, como si estuvieran usando dos dispositivos.

Durante años, varios proveedores como Divide han ofrecido estos contenedores para iOS y Android, pero requerían que las aplicaciones que se ejecutaban dentro de ellos estén vinculadas a sus APIs propietarias, que a su vez estaban atadas al servidor de gestión móvil de un proveedor específico. Por lo tanto, ganaron poca adopción.

En el 2013, Samsung anunció una tecnología de 'contenerización' llamada Knox para un puñado de sus teléfonos inteligentes Galaxy, y soportada por unos pocos servidores de administración móvil; también ganó muy poca adopción. Pero la compañía se encuentra renovando su esfuerzo Knox con la versión 2.4 lanzada el 10 de abril del 2015.

También en el 2013, BlackBerry introdujo BlackBerry Balance, el primer enfoque de contenerización a nivel de plataforma, para dispositivos BlackBerry 10. También cuenta con una aplicación de contenedor Balance, llamada Secure Work Space, para iOS y Android.

En la primavera del 2014, Google compró al proveedor de 'contenerización' Divide, y más tarde dijo que haría la parte de contenerización para Android -ahora Android para el trabajo que está disponible desde febrero del 2015.

Las políticas de contenedores difieren ampliamente de un recipiente a otro, lo que puede hacer difícil su manejo. Sin embargo, ahora que los servidores de gestión de móviles más populares son compatibles con las APIs de iOS y los contenedores de Android, los administradores de TI deben ser capaces de crear políticas coherentes que son en gran medida compatibles entre las dos plataformas -así como cuando utilizan las API de gestión de dispositivos extendida en iOS y Android.

Tenga en cuenta que BES12 de BlackBerry es compatible con algunas de las APIs de gestión de aplicación de iOS 7, por ejemplo, Citrix, MobileIron y VMware AirWatch. Entre las políticas de aplicaciones iOS 7 soportadas por BES12 están VPN, el modo de una sola aplicación, el inicio de sesión único, y el Plan de compra de volumen de Apple (su tienda de aplicaciones corporativas).

BES12 soporta algunas APIs de gestión de aplicaciones para dispositivos BlackBerry, pero las políticas disponibles varían ampliamente en función del tipo de aplicación administrada: Java, Android recopilado o compatible con Fire OS, BlackBerry 5 ó 7 nativo, o BlackBerry 10 nativo. Francamente, es un desastre.

Comparación de las capacidades de seguridad nativa y la gestión de APIs

Como se señaló anteriormente, las APIs de la plataforma varían ampliamente a través de los principales sistemas operativos móviles, y cada uno requiere una herramienta de gestión. La mayoría de las herramientas de MDM soportan múltiples sistemas operativos móviles, proporcionando una única consola para los administradores de TI.

Algunas también ofrecen aplicaciones cliente -básicamente, un contenedor exclusivo con aplicaciones propietarias de negocios y de las comunicaciones- que añaden capacidades que no se encuentran en las APIs nativas. La Tabla 2 muestra algunas de las características de gestión más solicitadas e implantados normalmente a través de las APIs.

Visita a la API de iOS. Apple, por ejemplo, tiene varias docenas de APIs para la gestión de dispositivos que utilizan perfiles de configuración instalados de forma remota, no solo para configurar varios ajustes de iOS (como preconfiguración VPN o puntos de acceso permitidos), sino también para manejar el comportamiento de aplicaciones (por ejemplo, no permitir el envío de mensajes corporativos a través de cuentas personales de correo). Las políticas relacionadas con la aplicación incluyen la capacidad para evitar la retirada de aplicaciones, bloquear a un usuario para una aplicación específica (por ejemplo, para el quiosco o el uso al por menor), y evitar que se compren aplicaciones de pago. Todos son parte de lo que iOS llama un ambiente supervisado, en el que el iPhone o la iPad se trata como un artefacto.

Las APIs de iOS para la gestión de aplicaciones incluyen Abrir en, VPNs por aplicación, copiado y pegado controlados a través de aplicaciones, y el inicio de sesión, así como una verdadera gestión de licencias e instalación individual de aplicación basada en el perfil. iOS 8 también tiene APIs para deshabilitar la capacidad de manos libres, sincronización de iCloud para aplicaciones gestionadas, copia de seguridad de los libros de la empresa, y las anotaciones en los libros de la empresa. Los dispositivos supervisados también tienen la capacidad de deshabilitar el borrado de todos los contenidos y ajustes, configuración de restricción, y presentación de los resultados Web de una búsqueda en Spotlight.

Soporte de iOS 8 por mensaje S/MIME y ambos IKEv2 y los VPNs que siempre están encendidos. iOS 9 añade varias características, como se describió anteriormente, tales como el control de la itinerancia móvil, el uso de MailDrop, y las actualizaciones de iOS.

Visita a la API de Android. Aunque Google no ha publicado detalles de la API de Android para el trabajo en su sitio para desarrolladores o de administradores de TI, Alexander Romero, ingeniero Android en MobileIron, me acompañó a través de ellas.

Para abordar el problema de malware para Android, Android en el trabajo puede dejar que TI restrinja el aprovisionamiento de aplicaciones para el área de trabajo de negocios solo a las aprobadas por TI. Eso significa que los usuarios no pueden instalar aplicaciones por sí mismos en el espacio de trabajo seguro si TI permite esta política. TI también puede instalar, actualizar y eliminar aplicaciones en el área de trabajo de negocios y sin intervención del usuario.

Hay políticas para desactivar la posibilidad de copiar y pegar desde el espacio de trabajo de negocios hacia el personal (pero no viceversa) y para evitar las capturas de pantalla tomadas en el espacio de trabajo de negocios. TI también puede determinar qué aplicaciones gestionadas de TI utilizan una VPN para el acceso, así como retraer la comunicación de las aplicaciones personales de la VPN corporativa.

Android Marshmallow añade, algunas políticas, tales como implementar las actualizaciones del sistema operativo para dispositivos administrados y para administrar los permisos de aplicaciones.

Google también dice que la aplicación Google Play Store ahora puede aprovisionar aplicaciones para los dispositivos Android a través de licencias de negocio por volumen, similar al enfoque de licencias por volumen que introdujo Apple en iOS 7. Llamada Google Play para el trabajo, la tienda de aplicaciones revisada soporta aplicaciones gratis y "pronto" soportará aplicaciones de pago.

Samsung tiene su propio conjunto de dispositivos de APIs para Android 4 llamado API SAFE, que permite a los administradores de TI desactivar cámaras, Bluetooth, tethering, grabación de voz, tarjetas SD y conexión Wi-Fi gratuita. Tiene que utilizar un dispositivo y servidor de administración compatible con SAFE para acceder a esas políticas adicionales. Las APIs SAFE fueron sustituidas por sus similares, las APIs Knox en Android 5.

Visita a la API de Windows Phone. En Windows Phone 8, Microsoft admite la posibilidad de revocar aplicaciones, restringir el reenvío de correo electrónico, inscribir o retirar dispositivos de forma remota, y actualizar aplicaciones aprovisionadas por la empresa de forma remota.

Una capacidad en Windows Phone 8 que no está disponible para otros sistemas operativos móviles es su integración con Active Directory. Esto significa que las herramientas compatibles con MDM pueden acceder a los grupos de Active Directory, a continuación, asignar políticas a los grupos en lugar de mantenerlos por separado en la herramienta MDM de Active Directory. La función reduce el riesgo de que los empleados no estén en los grupos correctos para las políticas que deben aplicar o que caigan en el olvido, cuando terminan en, por ejemplo, Active Directory, pero no en la base de datos de usuario de la herramienta MDM.

Microsoft utiliza un gestor central en Windows Phone 8 que se llama DM Client que contiene todos los perfiles corporativos y de usuarios relevantes (como el registro de Windows, en efecto), en lugar de depender de un conjunto de perfiles de configuración instalados por separado (como la carpeta del sistema OS X, en efecto).

Apple Google Samsung BlackBerry Microsoft
Capacidad iOS 7, 8, 9 Android 4, 5, 6 Android 5 + Knox 2.4 BlackBerry 10 + BES12 Windows Phone 8, 8.1
Cifrado/Encriptación AES 256, el usuario no tiene la opción de desactivarlo AES128, el usuario tiene la opción de desactivarlo, sólo algunos modelos admiten el cifrado AES 256, el usuario tiene la opción de desactivarlo, sólo los dispositivos Knox admiten el cifrado AES 256, el usuario tiene la opción de desactivarlo en el espacio de trabajo personal AES 256, el usuario no tiene la opción de desactivarlo
Certificación FIPS 140-2 Sí (nivel 1) No Algunos modelos (nivel 1) Sí (nivel 2) Sí (nivel 1)
Cifrado de datos en el aire
S/MIME No Sí [2]
VPN Sí [2]
Configurar VPN Sí [2]
VPN por aplicación Sí [3] Sí [2]
Restringir/bloquear tiendas de aplicaciones No
Licencia y aprovisionamientodel negocio Sí [3] Sí[3] No
Restringir/bloquear LANs inalámbricas No Sí [2]
Configurar los puntos de acceso permitidos Sí [2]
Aplicaciones firmadas requeridas No
Limpieza selectiva de aplicaciones y datos del negocio Sí [3] Sí [2]
Actualización remota de las aplicaciones del negocio Sí [3]
Arranque seguro Sí [1]
Contenedor de Active Directory NA No Sí [3] No No
Sandboxing de aplicaciones
Deshabilitar copiar y pegar Sí [2]
Desactivar sincronización y almacenamiento deiCloud/ Microsoft Account/Google Account No Sí [2]
Deshabilitar el roaming de datos Sí [4] No No
Deshabilitar el emparejamiento con SmartWatch Sí [4] Sí [5] NA NA

Tabla 1: Comparación de soporte de políticas de Exchange ActiveSync (EAS)
[1] Áreas de almacenamiento solamente. [2] Windows Phone 8.1 solamente.
("MDM" significa que se requiere un servidor de administración de dispositivos móviles por separado)

¿Cómo pensar en la administración de dispositivos móviles?

No importa qué plataformas soporte, hay tres bandas de requisitos de gestión de TI para tener en cuenta, aconseja Ojas Rege, vicepresidente de estrategia del proveedor de MDM, MobileIron.

El primer conjunto de requisitos está alrededor de la configuración y protección de dispositivos perdidos o comprometidos. Eso normalmente requiere la aplicación de la contraseña, la aplicación del cifrado, bloqueo y limpieza remota, configuración de correo electrónico remoto, certificados de identidad, la configuración de la conectividad remota (como por Wi-Fi y VPN, aunque Rege dice que esta capacidad de configuración no es esencial si el uso es solo para correo electrónico y a través de redes celulares), y detección de sistemas operativos comprometidos (jailbreak, rooteados, o infectados con malware).

El segundo conjunto de requisitos está de alrededor de la prevención de pérdida de datos (DLP, por sus siglas en inglés), que cubre los controles de privacidad (como la ubicación del usuario), los controles de uso de la nube (como iCloud, Onedrive, y Google Docs), y controles de DLP de correo electrónico (por ejemplo, la capacidad de restringir reenvío de correo electrónico y proteger los archivos adjuntos). "Los entornos más regulados pueden requerir el No. 2, y estas políticas siguen siendo TBD para Windows Phone", señala Rege. Por el contrario, iOS, BlackBerry y Android han soportado la mayor parte de estas necesidades desde (respectivamente) iOS 4, BES 5, y Android 3, aunque algunos -por ejemplo, los que administran los reenvíos de correo electrónico- se manejan fuera del sistema operativo por aplicaciones cliente MDM como las de MobileIron.

El tercer conjunto de requisitos está alrededor de las aplicaciones, tales como el aprovisionamiento y la seguridad de los datos. Tanto Apple como Microsoft tienen mecanismos para hacer al menos la gestión básica de aplicaciones -iOS puede ocultar esencialmente una aplicación con el fin que ya no esté disponible para un usuario, y Windows Phone 8 puede actualizar aplicaciones corporativas de forma remota-, y tanto Google como Samsung ofrecen ahora esta capacidad dentro de sus contenedores garantizados.

Pero las capacidades de gestión de aplicaciones móviles (MAM, por sus siglas en inglés) en su mayoría dependen de los proveedores de gestión de móviles para su implementación y pueden variar ampliamente entre las herramientas de MDM, señala Rege.

Las cuatro plataformas proporcionan mecanismos para que las empresas desplieguen sus propias aplicaciones directamente a los usuarios, para que puedan implementar y administrar aplicaciones empresariales por separado de aquellas que los usuarios reciben de la tienda de aplicaciones. (Apple, Google, y ahora Samsung tienen licencias por volumen y mecanismos de distribución establecidos.) Las herramientas de gestión de móviles pueden conectar estos mecanismos a las políticas de grupo y a los controles de gestión de contenido.

Es obvio que iOS y BlackBerry OS tienen lo que se necesita para casi todas las necesidades de seguridad de cualquier negocio, incluso si no tiene mucho en el camino de las aplicaciones que haría que los usuarios la deseen. Android, especialmente con Android para el trabajo o Knox 2.4 o posterior en uso, es una plataforma convincente -y reduce el potencial de malware por lo menos en la parte asegurada del contenedor del dispositivo. Y Windows Phone, que ha estado durante mucho tiempo en la parte trasera, se hace cada vez más adecuado para los requisitos de seguridad de nivel medio.

Puede ver también