Llegamos a ustedes gracias a:



Reportajes y análisis

MDM: ¿Parte de la solución de seguridad móvil?

[09/04/2012] Una buena noticia para las empresas: los dispositivos móviles están llenos de energía. Un nuevo iPhone es 100 veces más ligero, 100 veces más rápido y 10 veces más barato que las pesadas notebooks de principios de los 80.
Lo que es una buena noticia para las empresas es también una mala noticia para CISO. Los dispositivos móviles pueden almacenar gran cantidad de datos, las aplicaciones son de gran alcance, y sus velocidades de red están aumentando siempre. Y, oh sí, los usuarios están trayendo sus propios dispositivos, descargando sus propias aplicaciones, navegando por la web desde cualquier conexión que elijan, todos con poco o ningún control directo de la empresa.
Para ayudar a que los dispositivos móviles sean más manejables, las empresas están cada vez mirando hacia las aplicaciones y servicios de administración de dispositivos móviles (MDM). Y MDM puede ayudar con los problemas de seguridad -pero, ¿cuánto? Los expertos dicen que esta herramienta puede reducir absolutamente el riesgo móvil. Pero también dicen que confiar solo en un programa de seguridad MDM es como sentarse en un taburete con una sola pierna.
Manía móvil
Según Forrester Research, existen más de 40 fabricantes en el mercado de MDM, que ofrecen software con características fundamentales, como la gestión de la configuración, solución de problemas y soporte, inventario, control remoto y capacidades para entregar informes. El mercado está creciendo: la firma de investigación IDC señala que el mercado de MDM vendió unos 265 millones de dólares en el 2009, creciendo a más del 9% anual. La firma espera que esa tasa de crecimiento aumente a más del 10% ciento el próximo año.
Estas aplicaciones reducen el riesgo al ser capaces de detectar y borrar los datos de forma remota, y mediante la aplicación de políticas de contraseña y cifrado. "Tiene sentido usar MDM y hacer cumplir las políticas de seguridad de una manera más automatizada", indica Pete Lindstrom, director de investigación de Spire Security.
"Con la expansión de dispositivos móviles, y el incremento del valor de las aplicaciones y los datos en los dispositivos, más empresas van a querer administrar la configuración de los dispositivos, qué tipo de dispositivos son y dónde están siendo utilizados -muchas de las cosas a esperar en las capacidades tradicionales de gestión de activos", agrega.
Sin embargo, así como las aplicaciones tradicionales de gestión de activos ayudaron a crear un cierto nivel de seguridad y control sobre las computadoras portátiles y los sistemas de los teletrabajadores, sin duda se quedaron cortas en la gestión de todo lo necesario para mantener los sistemas y los datos seguros. MDM no será diferente.
Vaya más allá del dispositivo
"No puede centrarse solo en el dispositivo y esperar tener un alto nivel de seguridad", indica Rafal Los, jefe de seguridad de software de HP Software Worldwide.
"Hay que mirar el sistema de manera integral. Esto incluye la infraestructura, las aplicaciones, la cantidad de datos que se utilizan y a los que se tiene acceso", argumenta Los. "Eso incluye mirar no solo la seguridad inherente de las aplicaciones en el dispositivo, sino también los servidores de aplicaciones y bases de datos a los que se conectan", añade Los.
La seguridad de las aplicaciones ha sido una plaga desde antes de la web, ya sea que la aplicación resida en un dispositivo de servidor, de escritorio, portátil, web o móvil. Y es un área crucial donde las herramientas de MDM no juegan un gran papel más allá de colocar parches en los dispositivos de alto riesgo. Considere la posible falta de privacidad en Skype para Android, que fue descubierto la pasada primavera: los mensajes instantáneos de Skype no se almacenan de forma segura, por lo que una aplicación maliciosa o cualquier persona con acceso al dispositivo podría ver el contenido de los mensajes. Ese incidente no fue aislado, y muchas otras vulnerabilidades de aplicaciones móviles, incluyendo una debilidad en una aplicación móvil de Citibank -se han identificado desde entonces.
BYOD lo cambia todo
"La seguridad móvil se trata más acerca de los datos y la aplicación que del propio dispositivo. Esto es especialmente cierto ahora, con la tendencia de llevar su propio dispositivo al trabajo (BYOD)", indica Lindstrom.
Brian Katz, director de movilidad en la empresa del cuidado de la salud Sanofi, está de acuerdo. "Cuando ve las aplicaciones móviles de gestión de dispositivos de hoy en día, fueron construidas a la sombra de así es como hacemos TI hoy en día. Miran la gestión de dispositivos de la misma manera que las empresas han tenido controladas a las computadoras portátiles y de escritorio durante años", comenta Katz.
"Eso significa que MDM funciona mejor cuando es el dueño del dispositivo. Cuando lo aprovisiona. Cuando usted borrar todo el dispositivo. Cuando puede decidir lo que quiere hacer con él. Pero con BYOD, no se aplica nada de eso", agrega. "No es propietario del dispositivo, por lo que no puede dictar todo lo que se hace en el mismo".
Debido a que la empresa no posee el dispositivo, es más dependiente de la política -y de confiar en que los empleados manipulen el teléfono o tablet con cuidado. "Pero eso es muy difícil con los dispositivos de pequeño tamaño, incluso con los dispositivos propiedad de la empresa", señala Lindstrom. "Las empresas anticipan (y toleran) el hecho de que habrá un uso más personal de estos dispositivos, así como espera que estén con el empleado en todo momento".
"Tiene que pensar en MDM en términos de legalidad. Por ejemplo, una gran cantidad de MDM proporciona a los equipos de operaciones y a los empleados de TI, la capacidad para realizar un seguimiento de las coordenadas del teléfono. En algunos países hay leyes de privacidad que prohíben esto. Es probable que a la corporación no se le permita seguirlo. Tiene que fijarse si eso necesita ser activado o desactivado de forma predeterminada, y cómo se está manejando para asegurarse de que no romper las leyes referidas a la privacidad", señala Katz.
Para hacerle frente a esos problemas de privacidad, y poder centrarse más en los datos y aplicaciones propietarias, más empresas están recurriendo a gestión de aplicaciones móviles (MAM), que permite a las organizaciones poder administrar aplicaciones y datos específicos, sin tener que preocuparse de todo el dispositivo o los datos personales de un empleado. "Este enfoque hace BYOD sea mucho más fácil de manejar en una organización, ya que MAM tiene las mismas características que MDM, pero se acercan a una base de aplicación por aplicación", indica Katz.
Esta capacidad hace que sea más sencillo limpiar solo los datos de la empresa, y establecer los requisitos de contraseña que afecten solo a las aplicaciones empresariales. Es por eso que él piensa que la industria se alejará de MDM y se irá hacia el MAM, "que le ayudará a mover el enfoque de seguridad desde el dispositivo a los datos y las aplicaciones -donde pertenece", finaliza Katz.
George V. Hulme, CSO (EE.UU)