Blog de Internet Security Auditors

Blog de Internet Security Auditors: BYOD: Bring Your Own Device (parte 2)

Escrito por Internet Security Auditors | Dec 23, 2014 5:00:00 AM
En el anterior artículo, se expuso la problemática que conlleva el BYOD, así como sus ventajas e inconvenientes. Dicha problemática no afecta únicamente al BYOD, también afecta a todos aquellos dispositivos móviles propiedad de la empresa, proporcionados a los trabajadores para llevar a cabo sus tareas. El objetivo de este artículo, es presentar el MDM ( Mobile Device Management) como principal solución al problema. Para ello se establecerá, en base a nuestra experiencia, el conjunto de funcionalidades principales que deberían incluirse  en una solución MDM. Posteriormente, se enumerará el conjunto de soluciones analizado,   existentes actualmente en el mercado, que integran en gran parte o en su totalidad las funcionalidades recomendadas.

MDM (Mobile Device Management)
Mobile Device Management es el término utilizado en la industria para denominar el proceso de administración de dispositivos móviles (portátiles, tablets, smartphones, PDAs, etc.) dentro de un entorno corporativo. Dicho proceso, generalmente se basa en una plataforma software centralizada.

Por un lado, dicha plataforma se caracteriza por la existencia de un conjunto de agentes. Cada agente, es una aplicación que debe instalarse en cada dispositivo móvil que se desea gestionar. Por otro lado, se encuentra el servidor central. La comunicación entre los agentes y el servidor es bidireccional. De forma periódica, los agentes envían información acerca de su estado al servidor. A su vez, el servidor puede solicitar bajo demanda información adicional, y además, puede ejecutar remotamente un conjunto de acciones sobre los agentes.

Funcionalidades y soluciones
En base a la experiencia de Internet Security Auditors en este tipo de tecnologías, a continuación se presenta el conjunto de funcionalidades principales, que deberían incluirse en una solución MDM:
  • Separación de entornos: Poder definir múltiples entornos aislados de aplicaciones y datos. Esta funcionalidad, permite establecer un entorno personal y otro corporativo, de forma que el usuario no vea afectados sus datos y aplicaciones ante cualquier cambio en el entorno corporativo (despliegue de aplicaciones, borrado remoto seguro, etc.).
  • Geolocalización: Poder localizar cada uno de los dispositivos gestionados. Esta funcionalidad, permite obtener la ubicación de los dispositivos perdidos o robados, con el objetivo de iniciar su proceso de recuperación, o bien iniciar otros procesos, cómo el borrado seguro de sus aplicaciones y datos corporativos.
  • Borrado seguro: Poder eliminar de forma segura las aplicaciones y datos corporativos, sin afectar a las aplicaciones y datos personales del usuario. Esta funcionalidad, permite reducir el potencial impacto derivado de la pérdida o robo del dispositivo, asegurando que el atacante no podrá obtener información sensible (calendarios, emails, contactos, etc.) del entorno corporativo. 
  • Gestión de políticas: Poder establecer y desplegar políticas, con el objetivo de configurar de forma segura los dispositivos gestionados, y así homogeneizar su nivel de seguridad. Entre ellas deberían incluirse: políticas de contraseñas, cifrado, aplicaciones autorizadas y no autorizadas, acceso VPN, etc.
    Además, poder gestionar los incumplimientos de las políticas. Ante un incumplimiento, debería ser posible impedir al usuario del dispositivo el acceso a los recursos corporativos (email, documentos, aplicaciones, etc.), y enviarle notificaciones con el objetivo de que aplique las medidas correctivas necesarias para el cumplimiento de la política.
  • Control remoto: Poder disponer en tiempo real de una interfaz gráfica e interactiva del dispositivo. Esta funcionalidad, permite a los administradores llevar a cabo tareas directamente sobre un dispositivo concreto. Es especialmente útil a la  hora de llevar a cabo tareas de soporte a usuarios. Además, en caso de robo o pérdida, permitiría analizar las acciones llevadas a cabo por el atacante sobre el dispositivo (en tiempo real y a posteriori), con el objetivo de identificarle y/o poder recuperar el dispositivo.
  • App Store corporativa: Poder distribuir, internamente a los empleados, aplicaciones de terceros y aplicaciones desarrolladas por la propia empresa. Esta funcionalidad, permite a la empresa establecer un control sobre las aplicaciones que utilizan sus empleados, realizando a su vez una mejor gestión (despliegue de actualizaciones, parches de seguridad, etc.). En este sentido, se podrían establecer conjuntos diferentes de aplicaciones disponibles, en función de los distintos roles de los empleados. De esta manera, cada empleado podría disponer de las herramientas que necesita, para llevar a cabo sus tareas desde el dispositivo móvil.
Actualmente, existen una gran cantidad de soluciones MDM en el mercado. Todas ellas se caracterizan por presentar un conjunto de funcionalidades comunes de gestión (despliegue de políticas, geolocalización, borrado seguro, etc.). Sin embargo, generalmente cada solución también presenta un conjunto de funcionalidades adicionales introducidas por el fabricante, con el objetivo de completarla integrando otro tipo de soluciones ( antimalware, DLP – Data Loss Prevention–, fortificación de aplicaciones y documentos, etc.) derivadas de sus actividades principales de negocio.

A continuación, se presenta el conjunto de soluciones analizadas que integran en gran parte o en su totalidad las funcionalidades principales recomendadas:
Conclusiones
En primer lugar, antes de tomar la decisión de implantar una política empresarial basada en BYOD, es necesario analizar sus ventajas e inconvenientes. Además, es necesario buscar una solución a dichos inconvenientes. En este caso, se debe seleccionar un conjunto de soluciones del mercado y posteriormente analizarlas. El objetivo es conocer cuáles de ellas pueden resolver los inconvenientes, ajustándose a su vez, a las necesidades y restricciones del entorno corporativo. Posteriormente, se debe evaluar para cada solución, el nivel de riesgo residual estimado tras su aplicación. Llegados a este punto, se podrá seleccionar la solución más adecuada en términos de negocio y de seguridad de la información. De esta forma se podrán explotar todas las ventajas del BYOD, realizando a su vez, una gestión efectiva del riesgo derivado de sus inconvenientes.
Autor: Carlos Antonio Sans
Departamento de Consultoría.