La gestión segura de la información en

La gestión segura de la información
en movilidad ante el fenómeno
BYOD: ¿Bring Your Own Device =
Bring Your Own Disaster?
El fenómeno BYOD (Bring Your Own Device), que es la incorporación de los dispositivos personales de los empleados a los sistemas de información corporativos de TI
de nuestras organizaciones, ha llegado para quedarse, “no es una moda pasajera”
y hay que estar preparados para asumir y controlar todas las amenazas que trae
consigo. Al respecto de este nuevo y delicado fenómeno que responde al acrónimo
BYOD, hay que evitar que la improvisación lo
convierta en BYOD (Bring Your Own Disaster),
con resultados inesperados nada deseables
y consecuencias irreversibles para nuestras
organizaciones y modelos de negocio.
Javier Saro Luna / Javier Fernández Martín
BYOD está impulsado por el nego­
cio, “que quiere llevar al mundo de la
movilidad sus procesos” para ganar
competitividad. Está impulsado por el
usuario, “que quiere utilizar sus disposi­
tivos personales de última
generación para acceder a
los recursos corporativos
donde está la información
sensible del negocio”; está
impulsado por los depar­
tamentos Financieros de
las organizaciones para
reducir “aparentemente”
los costes derivados de la
adquisición, mantenimien­
to y renovación por parte de
la empresa de estos nuevos
activos tecnológicos; está
impulsado por Recursos
Humanos, empleando me­
canismos de subvención
”mensualizada” proporcio­
nados por la empresa, “deduciendo una
cantidad mensual en la nómina” para la
adquisición de los últimos dispositivos
inteligentes, indicando efusivamente las
ventajosas deducciones económicas que
obtendrán los empleados en su declara­
ción de IRPF y siendo muy conscientes de
que esta práctica de no discernir entre el
mundo personal y el profesional redundará
en un incremento de la disponibilidad y,
por ende, de la productividad del em­
pleado como mínimo en un 20% al cabo
de un año –precisamente, en el periodo
vacacional de los empleados es cuando
más se nota este fenómeno por el estrés
que se genera el propio empleado al no
SiC
/ Nº104 / ABRIL 2013
estar conectado con clientes y proveedores
en un entorno tan agresivo y competitivo
como el actual, donde la disponibilidad
tiene que ser total–. Luego, para obtener
esa mayor productividad, satisfacción del
usuario, incremento de la competitividad
y aparente reducción de costes, entre otros
factores, los departamentos de TI de las
organizaciones tendrán que soportar un
impacto considerable en las infraestructu­
ras tecnológicas que sustentan los servicios
y la información crítica.
Para ello, es recomendable revisar y
actualizar detalladamente el SGSI corpo­
rativo (Sistema de Gestión de Seguridad
de la Información) ISO/IEC 2700x con el
objeto de definir una política empresarial
clara de cara al fenómeno BYOD, realizan­
do el correspondiente análisis de riesgos,
gestionando los mismos, seleccionando
los objetivos de control y los controles a
implementar para preparar la correspon­
diente declaración de aplicabilidad en la
organización, regulando y normalizando
“según escenarios y perfiles de los usua­
rios” este nuevo y delicado fenómeno de­
nominado BYOD (Bring Your Own Device)
y evitar que la improvisación lo convierta
en BYOD (Bring Your Own Disaster) con
resultados inesperados nada deseables y
consecuencias irreversibles para entidades
y modelos de negocio.
REFLEXIONES Y PREGUNTAS
ANTE EL FENÓMENO BYOD
Así pues, algunas de las reflexiones
que deberíamos hacernos sobre BYOD y
que se intentan responder en este artículo
serían las siguientes:
• ¿Qué está demandando el nego­
cio?
• ¿Quién tiene que definir una estra­
tegia para implantar BYOD?
• ¿Cómo definir una estrategia BYOD
en la organización?
• ¿Cómo concienciar al usuario BYOD
sobre la adopción de unas mínimas polí­
ticas de seguridad?
• ¿Cómo controlar la fuga de infor­
mación en BYOD?
• ¿Cómo borrar legalmente infor­
mación en un dispositivo
que no es de nuestra pro­
piedad?
• ¿Es cierto que BYOD
incrementa la producti­
vidad y la experiencia del
usuario?
• ¿Es verdad que BYOD
reduce los costes para la
empresa?
• ¿Qué puedo monitori­
zar en un dispositivo BYOD
sin vulnerar el derecho a la
intimidad del usuario?
• ¿Cómo educar al
usuario BYOD en unas
buenas prácticas con sus
dispositivos personales?
• ¿Debería el empleado firmar un
documento/formulario electrónico acep­
tando la política BYOD definida en la
empresa?
• ¿Qué disciplinas como MAC, MDM,
MDP, MAM, MDS… hay que implemen­
tar?
• ¿Qué tipo de servicio en nube
pública, privada, híbrida vs instalación
OnPremise (local) tendría que adoptar en
mi organización?
• ¿Qué modelo económico tendría que
adoptar en estos tiempos de presupuestos
restrictivos?
• ¿Necesito un servicio de consulto­
ría tecnológica y legal al margen de los
65
servicios de integración para abordar el
fenómeno BYOD?
• ¿Qué jugadores tecnológicos y
combinaciones de los mismos son los
adecuados para mi organización, según la
pirámide de servicio que quiero ofrecer?
ALGUNOS DATOS A TENER
EN CUENTA
La movilidad está cambiando nuestra
forma de vivir y de trabajar, y es funda­
mental respetar la experiencia del usuario.
Así, en 2014 el 89% de las organizaciones
permitirán el uso de dispositivos perso­
nales (BYOD). La media de dispositivos
por usuario será de entre
dos y tres.
En 2015 tendremos
más de mil millones de
smartphones que gestio­
nar y ‘securizar’, entre los
cuales muchos serán dispo­
sitivos particulares de los
usuarios y tendremos que
adaptarnos y adaptarlos al
fenómeno BYOD.
Menos del 9% de las
empresas conoce con
precisión qué dispositivos
están conectados a su
red (luego no son cons­
cientes de las amenazas
que traen esos activos no
controlados).
El 60% de las compañías ha sufrido
algún problema serio derivado de los
dispositivos que se han conectado a la red
corporativa con una inadecuada política
de seguridad, al ser la misma inexistente
o no estar actualizada de forma apropiada
para soportar el fenómeno BYOD.
Hemos incorporado las amenazas de
los ordenadores y portátiles habituales a
los dispositivos móviles (son tan potentes
como los primeros) por lo que tienen que
ser tratados como una extensión de los
endpoints habituales y gestionados de
una forma centralizada, distinguiendo
claramente cuando el dispositivo está
proporcionado por la empresa (“luego
está plataformado”) del dispositivo par­
ticular BYOD, donde la gestión podría no
existir, ser muy ligera/existir y siempre
contando con la autorización expresa
del usuario por medio de un formulario
electrónico/documento proporcionado y
verificado por Recursos Humanos/Legal,
definiendo claramente las responsabili­
dades de ambas partes, los escenarios de
intervención desde la organización con
usuarios internos y externos (partners),
como, por ejemplo, una configuración,
una provisión de un Sandbox (“caja de
arena”, un repositorio de trabajo aislado,
66
virtualizado y cifrado) para separar el
espacio profesional del personal, donde
residirán, digamos, un escritorio remoto,
el correo seguro, un navegador seguro,
unas aplicaciones empresariales y los datos
corporativos autorizados.
Sobre el mismo se podrá realizar una
geolocalización, un bloqueo/un borrado
de los datos corporativos “wipe parcial”
por la pérdida/sustracción del mismo res­
petando el resto de los datos personales
del dispositivo del usuario particular. Por
supuesto, también formando al usuario
por si desea realizarlo él mismo desde el
portal de AutoServicio (siempre que sea
empleado de la organización, porque en
caso de que no lo sea/tenga un compor­
tamiento desleal, será la empresa la que
realizará el proceso comentado).
El malware para las principales plata­
formas de movilidad Android e IOS y en
especial sobre el primero, se ha multiplica­
do por 40 en un sólo año y el fenómeno
acaba de comenzar porque el negocio
demanda cada vez más aplicativos corpo­
rativos sobre estas plataformas, lo que las
hará objetivo de los próximos ataques de
nueva generación por las organizaciones
e industrias del cibercrimen.
De forma inminente nuevos jugadores
como Firefox, Ubuntu y Microsoft expe­
rimentarán un crecimiento exponencial
en esta área, tanto en la provisión de
dispositivos corporativos como por la
adopción particular de los usuarios ante
el fenómeno BYOD. En consecuencia, los
departamentos de TI tendrán un mayor
número de plataformas sobre las que
aplicar las políticas correspondientes de
acceso a la información corporativa.
En este escenario se recomienda cierto
rigor en la selección de unos buenos so­
cios tecnológicos a la hora de afrontar el
fenómeno BYOD, tanto desde el punto de
vista consultivo, como en el de la selección
e integración de tecnologías (y combina­
ciones de las mismas), para finalmente
determinar la elección del proveedor de
servicios (si se está planteando un modelo
gestionado para cubrir de forma integral
las necesidades de la organización).
UNA INTRODUCCIÓN A BYOD
Procede a continuación responder a
las preguntas antes planteadas:
¿Qué está demandando
el negocio?
El negocio está solicitando llevar
sus procesos a los nuevos escenarios de
movilidad, tanto en dispositivos corpo­
rativos proporcionados
por la organización (pla­
taformados y controlados
por el departamento de TI
mediante tecnologías de
MDM (Mobile Device Management) y MDP (Mobile
Device Protection) entre
otras, como en los disposi­
tivos proporcionados por
los usuarios adoptando
BYOD (en principio sin
gestión/con una gestión
ligera y autorizada por el
usuario mediante el co­
rrespondiente formulario/
documento de aceptación
de políticas). Entonces el
negocio nos solicita soportar (Gestión
de pagos por NFC / Monedero, códigos
QR, API´s de pago, control de acceso,
Vending, softtokens para la autentica­
ción fuerte vía VPN/SSL/IPsec, firma de
documentos con certificados X.509.v3,
firma biométrica reconocida, integración
de workflows humanos, integración en
equipamiento industrial, médico y mi­
litar, comunicaciones unificadas, VoIP,
acceso a repositorios empresariales como
SharePoint, SAP y otros con mecanismos
de entrada única SSO, incorporación de
Redes Sociales Empresariales “cerradas
en círculos de confianza”, grabación de
llamadas, SMS’s, correos, calendarios,
contactos, agendas, etc.), integrando
todo con la lógica del negocio y sus
procesos asociados.
Son innumerables los aplicativos
nuevos que se podrían mencionar. Lo que
está claro es que el negocio lo demanda y
existen ejemplos nítidos donde la oficina
ya está en el dispositivo –“con todo lo que
necesita el empleado para desarrollar su
trabajo”–, donde se tiene que proporcio­
nar una seguridad y un cumplimiento de
extremo a extremo sobre los dispositivos,
las aplicaciones, la red y los datos. De
los fabricantes se hará referencia más
adelante.
ABRIL 2013 / Nº104 /
SiC
¿Quién tiene que definir
una estrategia para implantar
BYOD?
La estrategia para implantar BYOD
debe ser definida por un comité inter­
disciplinar de la organización con repre­
sentación de los usuarios junto con los
departamentos afectados, como son:
Comunicaciones, Redes, Sistemas, Seguri­
dad (especialmente), Finanzas y Recursos
Humanos y Legal, entre otros.
¿Cómo definir una estrategia
BYOD en la organización?
Siguiendo un plan que estará alineado
con el correspondiente SGSI (Sistema de
Gestión de la Seguridad de la información)
de la organización para la definición clara
de los objetivos y la gestión
de los riesgos asociados,
aplicando los objetivos
de control y los controles
a implementar para ob­
tener la declaración de
aplicabilidad apoyada por
la dirección y comunicada
a la organización, la cual
habrá de ser expresamente
aceptada y firmada por el
usuario. Por ejemplo, se
recomienda la figura de un
consultor, de un integrador
y de un auditor ISO 27001/2
(entre otras) para apoyar a
la organización en tareas
como la definición de las
necesidades, la elaboración
de los posibles escenarios de aplicación,
diseño, implementación, soporte y audi­
toría para comprobar que efectivamente
se han cumplido los objetivos inicialmente
previstos en el proyecto. Evidentemente
también se recomienda una segregación
entre los agentes intervinientes en el pro­
yecto (consultor, integrador y auditor) al
objeto de garantizar los niveles adecuados
de calidad, independencia y éxito de la
estrategia BYOD en la organización.
¿Cómo concienciar al usuario
BYOD sobre la adopción de
unas mínimas políticas de
seguridad?
Es importante que el usuario perciba
a los agentes intervinientes como aliados
y no como intrusos que van a monitorizar
y auditar su actividad diaria sobre su/s
dispositivo/s personales, que él emplea
para acceder a los recursos habituales
del negocio, entre los que se encuentran
(navegación segura, correo corporativo,
intranet, aplicaciones empresariales, es­
SiC
/ Nº104 / ABRIL 2013
critorios remotos, entornos virtualizados,
etc., conforme a sus permisos y contexto
de conexión. Todo ello lo proporcionará
la inteligencia de la red, con el fabricante
que corresponda para determinar ¿quién?,
¿qué?, ¿desde dónde?, ¿cuándo?, ¿cómo?
y ¿por qué?
Asimismo hay que educar al usuario
en la adopción de buenas prácticas, tales
como:
– Fortificar la contraseña.
– Realizar copias de seguridad de
contactos, aplicaciones, datos, SMS´s,
logs de llamadas, bootmarks, etc.
– Habilitar un bloqueo por inactividad
del terminal.
– Utilizar un AV local/en la nube para
analizar las aplicaciones maliciosas antes
de la descarga, durante la instalación y
durante la ejecución de las aplicaciones.
– Utilizar un cortafuegos personal en
el dispositivo, especialmente útil cuando
las aplicaciones tratan de obtener infor­
mación como:
• Intentar realizar un seguimiento de
la ubicación del usuario.
• Intentar tener acceso a la informa­
ción de identidad leyendo el número de
serie, número de móvil y otros datos del
terminal.
• Tener acceso a los mensajes SMS
y MMS.
• Acceder a las Listas de Contactos.
• Acceder a las páginas web, entre
otras muchas cosas.
– Concienciar sobre NO rootear/realizar
un Jailbreak del dispositivo, explicando las
razones por las cuales en caso de detectar
ese estado del activo procederemos, por
ejemplo, a no autorizar el acceso al correo
corporativo, a la navegación por Internet,
bloqueando/borrando los repositorios
corporativos “Sandbox” existentes en el
dispositivo, ante la flagrante vulneración
de la política, “porque se supone que el
usuario anteriormente firmó un formu­
lario electrónico/documento físico de
aceptación de unas mínimas políticas de
seguridad para tener acceso a los recursos
corporativos”; y sabemos, por experiencia,
que muchos la vulnerarán a lo largo del
tiempo.
– Proporcionar aplicaciones del control
del consumo de datos (especialmente útil
en entornos de itinerancia, donde depen­
diendo del perfil del usuario otorgaremos
ciertos derechos de consumo con el control
de los umbrales correspondientes para
evitar sorpresas desagradables).
– Proporcionar una serie de aplicacio­
nes gratuitas / bajo coste para incrementar
la seguridad del dispositivo BYOD (lo que
redundará indirectamente en la seguridad
de nuestra organización).
– Formar al usuario en las capacidades
de los portales de autoservicio para dar de
alta y de baja el dispositivo
de su propiedad, la geolo­
calización, la notificación
de mensajes, el bloqueo y
el borrado del dispositivo en
caso de pérdida/robo.
– Explicación clara de la
política BYOD en la orga­
nización, indicando lo que
hacemos, por qué lo hacemos
y cuándo lo hacemos. Por
supuesto, comentando tam­
bién lo que no hacemos (no
geolocalizamos sin la expresa
autorización del usuario
porque lo podrá hacer él en
el portal de autoservicio, no
monitorizamos un dispositivo
particular, no recolectamos
logs, etc). En realidad, si empleamos una
política de SandBox/otra aproximación
protegiendo sólo las aplicaciones para no
interferir la experiencia del usuario, sólo
deberíamos intervenir ante causas de fuerza
mayor. Evidentemente NO aplicaremos todo
lo que se puede hacer con un MDM (Mobile
Device Management), tal como lo haríamos
con un dispositivo corporativo.
¿Cómo controlar la fuga
de información en BYOD?
Parece de sentido común que si se
dispone de una política para prevenir la
fuga de información en los puntos finales
corporativos (servidores, PC’s, portátiles
y smartphones) de la organización, se
tendrá que exportar esa política hacia los
entornos BYOD para proteger la informa­
ción como elemento crítico del negocio.
Como la primera recomendación de no
tener información crítica del negocio en
los entornos BYOD no se cumplirá, el deber
es protegerla y para ello existen varias
aproximaciones:
67
• Trabajar con entornos virtualizados
con escritorios remotos donde no será
posible (con las políticas adecuadas)
transferir información hacia el exterior, y,
en especial, a los múltiples repositorios en
la nube tipo Box, Dropbox, ZBox, Google
Drive, SkyDrive existentes (si se permite, se
recomienda cifrar la información desde el
origen para evitar la fuga de información
en repositorios donde no se tenga ningún
control, al margen de que es
muy probable que en entor­
nos internacionales se estará
vulnerando la legislación
vigente del país de origen
con respecto al tratamiento
de la información).
• Implementar una Sand­
box (“caja de arena”), espa­
cio virtualizado, cifrado y
‘securizado’ donde se eje­
cutarán de un modo seguro
las diferentes aplicaciones
como la navegación segura,
el acceso al correo, calenda­
rio, agenda, contactos, do­
cumentos, repositorios cor­
porativos como SharePoint,
SAP, Comunicaciones Unificadas y otros,
para otorgar acceso a los datos sensibles
de la organización (con el inconveniente
de que la modificación del interfaz afecta
a la experiencia del usuario).
• Implementar una ‘securización’ por
aplicación (es una aproximación interesan­
te) porque no afecta a la experiencia del
usuario; ahora bien, obligará a trabajar en
la autenticación y autorización del usuario
por cada aplicación implementada (aquí
será muy interesante la estrategia de en­
trada única –single sign on– y una política
general de Gestión de Identidades-GIDM
para cubrir todo el ciclo de provisión/
deprovisión de aplicaciones y derechos
de los usuarios sobre las mismas). Esta
aproximación será adoptada por muchas
organizaciones.
Sin embargo, no todos los jugadores
tecnológicos están preparados para ofre­
cer esta aproximación de forma correcta,
por lo que es recomendable tomarse
el tiempo que corresponda para poder
determinar su alcance a fin de cubrir la
problemática específica.
¿Cómo borrar legalmente
información en un dispositivo
que no es de nuestra
propiedad?
El usuario tiene que aceptar de forma
explícita la adopción de las políticas de
seguridad definidas por Recursos Huma­
nos/Legal y el resto de los departamentos
mediante el mecanismo correspondiente
68
para tener una cobertura legal a la hora
de borrar la información del negocio re­
sidente en el dispositivo de su propiedad.
Bien por la pérdida/robo del mismo (en
caso de que no lo pueda hacer el propio
usuario con el portal de autoprovisión)
bien porque la relación laboral con el
usuario/partner ha finalizado y nos ve­
mos obligados a borrar la información
sensible de la organización, bien porque
se ha violado una política de seguridad
importante, etc.
¿Es cierto que BYOD
incrementa la productividad
y la experiencia del usuario?
La respuesta es SÍ (siempre que se pla­
nifique y se implante de la forma adecuada
como antes se ha descrito).
¿Es verdad que BYOD reduce los
costes para la empresa?
La respuesta es NO, inicialmente,
puesto que tensiona todas las tecnologías
de TI existentes en la empresa, y por citar
algunas se destacan:
– Mecanismos de autenticación de
dispositivos (el usuario puede emplear
más de uno) y autenticación de usuarios e
integración con AD y otros repositorios.
– Políticas de Single Sign On (SSO) &
Gestión de Identidades (GIDM).
– Políticas WiFi y AP´s
– Políticas de NAC/NAP/NAM/802.1x.
– Políticas de VPN/Radius, PKI, ACL’s.
– Políticas de autenticación fuerte con
tokens y softokens.
– Políticas de Cortafuegos/IDS.
– Políticas de Cortafuegos de apli­
cación.
– Políticas de Antivirus & Anti-Spam.
– Políticas de Acceso al Correo Cor­
porativo.
– Políticas de Acceso a los Portales y
SGBD internas.
– Políticas sobre aplicaciones en Dis­
positivo, Empresa & Cloud.
– Políticas sobre aplicaciones y escri­
torios Virtualizados (VDI)
– Políticas de acceso a los entornos de
Comunicaciones Unificadas (VoIP, IM).
– Políticas de DLP (Prevención de fuga
de datos).
– Políticas de IRM (Information Rights
Management).
– Políticas de Correlación
de Eventos y Monitoriza­
ción.
– Políticas sobre el Cen­
tro de Atención de Usuarios
(CAU) y Soporte Remoto.
– Políticas de Cumpli­
miento Normativo/Legislati­
vo (LOPD, SOX, HIPPA), etc.
Si bien es cierto que
bien implementadas se ob­
tendrán reducciones en el
medio plazo y que siempre
dependerá de los servicios
que se vayan a ofrecer a los
usuarios internos y externos
(imaginemos agentes co­
merciales que no son de la
organización pero que tienen que acceder
temporalmente a recursos corporativos).
Luego se trata de orquestar la estrategia
de TI de forma estructurada, ordenando
una pirámide de servicios que se van a
ofrecer.
¿Qué puedo monitorizar en un
dispositivo BYOD sin vulnerar
el derecho a la intimidad de
usuario?
La repuesta sería sólo lo que indique
la Política de Seguridad aprobada en la
organización, comunicada, aceptada y
firmada por los usuarios al incorporarse
al programa BYOD. Fundamentalmente, la
autenticación del dispositivo/s, la autenti­
cación del usuario y la monitorización de
los servicios básicos con especial atención
a determinar si el estado de integridad
del dispositivo ha cambiado (NO permitir
dispositivos Rooteados/Jailbroken por el
peligro que supone para nuestros ser­
vicios de TI). Cuidado con excederse en
este aspecto.
¿Debería el empleado firmar
un documento/formulario
electrónico aceptando la
política BYOD definida en la
empresa?
Siempre (ya se comentó anteriormen­
te). En muchas ocasiones basta con la
aceptación de las condiciones del formu­
lario electrónico mediante un botón de
ABRIL 2013 / Nº104 /
SiC
verificación y un checkbox de aceptación
con la posibilidad de leer/imprimir la política
cuando al usuario se le provisiona el aplica­
tivo correspondiente desde el repositorio
empresarial/lo baja el mismo desde otros
tipos como Google Play (entornos Android)
AppleStore (entornos IOS) y otros.
¿Qué tipo de servicio en nube
pública, privada, híbrida vs
instalación OnPremise (local)
tendría que adoptar en mi
organización?
La respuesta es: depende de las nece­
sidades de la organización y de la cultura
interna de seguridad existente. Se conocen
todo tipo de casos y cada empresa es
completamente diferente. Hay clientes
que emplearán directamente
la nube multitenant (multiem­
presa) de fabricante con dos
modelos de gestión:
A.- Gestionando los dispo­
sitivos y sus políticas por sus
propios departamentos de TI
con la correspondiente trans­
ferencia de conocimiento.
B.- Delegando la gestión de
los dispositivos y sus políticas
a un proveedor de servicios en
modalidad 8x5/24x7.
Nota: En ocasiones ya
implementaron un modelo de
MDM (Mobile Device Management) para los dispositivos corporativos y ahora lo extienden
para los entornos BYOD (Bring
Your Own Device) mediante la
provisión de portales de autoservicio y otros mecanismos.
Otras compañías prefieren un modelo
de nube privada (para ellos) con la ventaja
de personalizar el servicio para su organi­
zación, incorporando otras disciplinas tec­
nológicas ya existentes en la organización,
como los accesos VPN/SSL /IPSec persona­
lizados, los mecanismos de autenticación
fuerte con tokens / softokens existentes, la
integración con entornos de NAC/802.1x,
la incorporación de tecnologías de PKI y
certificados X.509.V3, tecnologías de Voz
sobre IP y el resto de Comunicaciones
Unificadas, integración con repositorios
internos de CRM /ERP, tecnologías de DLP,
IRM, Workflows y un largo etc.
El tercer modelo es el más conservador
adoptando una implementación “OnPre­
mise” en casa del cliente, facilitando la
integración de las tecnologías existentes
donde se realiza una correcta transferencia
de conocimiento para dar independencia
a la organización en la gestión y evolución
SiC
/ Nº104 / ABRIL 2013
de la solución.
El cuarto modelo, que es el Híbrido,
es el resultado de las combinaciones de
servicios en nubes públicas y privadas e
incluso con modelos OnPremise. Se dan
regularmente en la interacción con ser­
vicios del tipo Office365, GoogleApps,
SalesForce y otros.
¿Qué modelo económico
tendría que adoptar en estos
tiempos de presupuestos
restrictivos?
Es recomendable huir del modelo
de inversión y buscar un proveedor de
servicios que soporte la modalidad del
pago mensual por uso desde el primer
dispositivo. Es la tendencia y lo más re­
ganización, pero conviene ser cuidadosos
a la hora de adoptar el fenómeno BYOD
respetando el plan definido en el SGSI.
Gestionar BYOD no es gestionar disposi­
tivos corporativos con un MDM (Mobile
Device Management)/‘securizar’ con un
MDP (Mobile Data Protection) como si se
tratase de dispositivos con la definición
y la aplicación de políticas que si se ha­
cen a la ligera pueden resultar intrusivas
en este entorno y vulnerar los legítimos
derechos de un usuario con respecto a
su privacidad. Esto podría llevar a situa­
ciones muy comprometidas, arriesgando
la reputación corporativa y pudiendo
afrontar responsabilidades legales con la
Agencia Española de Protección de Datos
y, por supuesto, poner en contra a los
sindicatos representados en la empresa,
por poner un ejemplo. Por ello
es recomendable planificar el
servicio y acotar los escenarios
y perfiles objeto de la política
BYOD también desde el punto
de vista legal y normativo.
¿Qué disciplinas como
MAC, MDM, MDP, MAM,
MDS… tengo que
implementar?
En primer lugar, procede
comentar los términos:
MDM (Mobile Device
Management)
clamado por el mercado (especialmente
en este momento económico tan delicado
donde se quieren “adelgazar” los balances
y evitar tensiones de tesorería). También
se recomienda que el servicio se preste
desde un SOC (Centro de Operaciones de
Seguridad), donde están implementados
los correspondientes modelos del servi­
cio con plenas garantías respecto a los
niveles de disponibilidad, escalabilidad,
continuidad, seguridad bajo niveles de
acuerdo de servicio establecidos previa­
mente (SLA´s) (especialmente interesante
en modelos de Nube Pública/Privada y
modelos Híbridos).
¿Necesito un servicio de
Consultoría tecnológica y legal
al margen de los servicios de
integración para abordar el
fenómeno de BYOD?
Dependerá del presupuesto de la or­
Es la disciplina de los juga­
dores de gestión del ciclo de
vida de los dispositivos móviles.
Hay dos tendencias claras:
A. Con caja de arena (San­
dBox): Afaria, Good Technology, etc.
A.1 Estos jugadores trabajan con un
repositorio cifrado (normalmente en AES
256) donde se ejecuta el correo, la navega­
ción segura y las aplicaciones corporativas.
Este espacio está aislado del área personal
en el dispositivo y se emplea para el acceso
al ámbito corporativo (al margen de si
el dispositivo está proporcionado por la
empresa o es de ámbito particular y, como
es lógico, las políticas de ambos entornos
serán diferentes. Es una solución muy
demandada y tiene bastantes referencias
(es obligatoria en ámbitos de información
sensible como área de gobierno y entornos
militares por cumplimiento normativo). En
este caso el usuario/administrador tiene un
portal para bloquear, geolocalizar y borrar
el dispositivo perdido. Todo esto se puede
combinar (si se desea) con capacidades de
gestión (inventario hardware, inventario
software, información del operador, infor­
mación del IMEI, IMSI, configuración de
69
correo, VPN, APN, itinerancia, provisión
de certificados, etc).
B.- Acceso al dispositivo por ActivSync
(con y sin protección): MobileIron (Sentry),
Airwatch, Famoc, Fiberlink, Symantec,
Citrix (Zenprise), McAfee, etc.
B.1 Estos jugadores no tienen caja de
arena en el sentido estricto de la palabra
pero suelen tener un “repositorio corpo­
rativo seguro” para ‘securizar’ y gestionar
la seguridad de las Aplicaciones, como
un Content Locker, Secure Container, etc.
Están muy orientados a la gestión del dis­
positivo corporativo vía MDM y en algunos
casos BYOD. Junto con las capacidades
habituales de inventario
hw, sw, configuración
correo, VPN, IMEI, IMSI,
APN, existen capacidades
muy potentes de provi­
sión de certificados, for­
tificación de contraseñas,
aplicación de todo tipo de
políticas, distribución de
software, backup/restau­
ración de contactos, ca­
lendarios, sms, ficheros,
etc. También se ofrecen
capacidades de control
remoto (entre otras). In­
cluso hay fabricantes que
nadan entre dos aguas y
tienen variantes de las
mencionadas
diferenciar entre el mundo corporativo y
el mundo personal (muy similar a la tecnología de Blackberry con Balance).
MDP (Mobile Device Protection)
vención de fuga de datos) con McAfee,
Symantec, RSA, WebSense, Trend Micro,
Sophos y otros en el dispositivo para
auditar y prevenir la fuga de información
sensible. Por ejemplo, si se quiere tener
constancia de que el documento (clientes.
docx) salió copiado por el canal correo, por
la web, se subió a Facebook o a WhatsApp
o se transfirió por mensajería instantánea
por tal usuario tal día a la hora x.
Es la incorporación de la disciplina de
IRM (Information Rights Management)
con Gigatrust, Adobe, Check Point (Liquid
Machines), Prot-On, RightsWatch, Micro­
soft y otros, en la Gestión de los Derechos
Digitales sobre estas plataformas para
no perder el control del documento y
determinar si se puede abrir, modificar,
imprimir, que se elimine en dos días,
tener una auditoría de quién, cuándo,
cómo se tiene acceso a esa información
sensible. Respecto al tema de IRM en
dispositivos móviles es recomendable
abordar pruebas de concepto puesto
que están en plena maduración y es
posible encontrarse con tecnologías que
no soportan por ejemplo la integración
con entornos Blackberry (sólo Android
e IOS), la insuficiente integración con
SharePoint, SAP Portal y otros portales
Es la disciplina de la gestión de la segu­
ridad del activo. Por ejemplo, el cifrado AES
256 del teléfono, la incorporación de un
cliente de acceso VPN/SSL (Cisco, Juniper
Fortinet, Huawei, SonicWall, Enterasys y
otros), la incorporación de un antivirus
(Symantec, F-Secure, Karspersky, McAfee,
Trend Micro, Avast) para analizar una apli­
cación en la nube antes de su descarga en
el dispositivo, durante la instalación y la
ejecución; o la inclusión de un mecanismo
de autenticación fuerte con un softoken
(Swivel, Vasco, RSA, ActivIdentity, SafeNet,
CA y otros). Muchas de estas capacidades
provienen de la evolución de los juga­
dores de la protección del puesto (antes
mencionados).
Nota: Normalmente estas capacidades
no las tienen/las tienen parcialmente los
jugadores de MDM (en algún caso la activación del cifrado de las tarjetas MicroSD
de los teléfonos móviles/smartphones de
última generación y cifrado integral del
dispositivo). Con respecto a la protección
del dispositivo hay que comentar la importancia de la integración de la nueva
tecnología de Samsung con Knox para
70
MDS (Mobile Data Security)
Es la disciplina de la gestión de la
seguridad del dato, comenzando con el
Device Control (control de puertos físicos
y lógicos con McAfee, Symantec, Safend
y otros, y en este caso con Android –Mini
USB, WiFi, BlueTooth, ActivSync y otros–)
para evitar la transferencia no controlada
de información entre dispositivos. Es la
incorporación de un cliente de DLP (Pre­
corporativos, la incapacidad de trabajar
con extensiones .dwg (Autocad), .mpp
(Project), .vsd (Visio), entre otras muchas
características a considerar.
Nota: en otras tecnologías también
cabe encontrar términos como Mobile
Content Management, que aglutinan
muchas de estas funcionalidades, entre
otros términos.
MAM (Mobile Application
Management)
Es la disciplina de gestión de las apli­
caciones para tener listas
blancas y listas negras,
provisionar clientes de
VDI (Virtual Desktop Infrastructure, tipo Citrix,
View y otros) aplicar po­
líticas de P2P y que, por
ejemplo, un usuario no
pueda subir a DropBox,
Box o similar información
sensible del negocio en
claro (sin cifrar). Tunelizar
aplicaciones, etc. Pro­
porcionar Repositorios
Empresariales donde
residirán las aplicaciones
que forman parte de los
procesos del negocio que
estarán ‘securizadas’ y
correctamente gestiona­
das, entre otra muchas funcionalidades,
distinguiendo el mundo personal del
corporativo, etc.
MAC (Mobile Access Control)/
NAC (Networks Access Control)
Es la disciplina de integración en la
plataforma NAC (Network Access Control) Control de Acceso a la Red (también
conocida como MAC/MAM)/802.1x de
Cisco, Enterasys, ForeScout, Juniper,
Aruba, Portnox Access Layers y otros
para autenticar al dispositivo en una rel­
ación (1 a n) dado que un usuario puede
tener varios dispositivos, determinar si
es corporativo/particular, determinar su
estado de salud y en caso de resultado
desfavorable derivarlo a una VLAN de
cuarentena con acceso restringido hasta
que se aplique el remedio sobre el mismo
(por ejemplo la actualización del antivirus
o la instalación de un programa) y que
pase a una VLAN de producción (pudi­
endo ejecutar el mismo los aplicativos
que le correspondan según su perfil de
autorización en el servicio de directorio
X.500 correspondiente como el Directorio
Activo, OpenLDAP, SunOne Directory, IBM
Directory y otros).
ABRIL 2013 / Nº104 /
SiC
En otro orden de cosas, es preciso
comentar que se observa la tendencia de
la inclusión en los fabricantes de MDM
de la interacción con los repositorios
centralizados tipo SharePoint, SAP Portal
y similares para integrar las capacidades
de seguridad, en especial en referencia a
la mitigación de las fugas de información
(DLP) y la gestión de los derechos digitales
(IRM), junto con la firma electrónica e
incluso firma biométrica en los disposi­
tivos móviles y particularmente en las
tabletas (ejemplo de lo que demanda el
negocio).
Esto es independiente de si el cliente
solicita el servicio en modalidad:
• Nube pública
• Nube privada
• Nube híbrida
• Modelo On-Premise (en su casa)
Todo ello gestionado
en formato 24x7x365/
8x5 por el proveedor
ISP/por el cliente con
la tecnología alojada
en un SOC con los
correspondientes ser­
vicios de Consultoría e
Integración. Buscando
la correcta prestación
del servicio:
GNS = (Gestión +
Seguridad + Negocio)
Nota: Cabe precisar
que hay variaciones
en la terminología y que los fabricantes
cada vez incorporan nuevos términos que
consolidan la pirámide anterior.
ALGUNAS OBSERVACIONES
SOBRE LAS TECNOLOGÍAS
El objetivo de las siguientes observa­
ciones es dar una pequeña orientación al
lector, puesto que resulta imposible en la
extensión acotada de este artículo evaluar
y emitir un juicio objetivo y exhaustivo
sobre cada una de las tecnologías impli­
cadas en este entorno del mundo BYOD.
En todo caso se recomienda al lector
que repase el nº 96 de la revista SIC
–páginas 68 a 74– del artículo titulado
“La gestión segura de la movilidad”. El
citado texto explica muy bien algunas de
las cosas que se tendrían que pedir a un
fabricante.
Si bien es cierto que el cuadrante de
MDM ha cambiado e incluso hay jugadores
con destacadas referencias que han des­
aparecido del cuadrante de Gartner, se han
producido compras como, por ejemplo,
la adquisición de Zenprise por parte de
Citrix (este último incorpora toda su ex­
SiC
/ Nº104 / ABRIL 2013
periencia en el mundo de la virtualización
de escritorios y aplicaciones y un excelente
Security Container –a la altura de otros
jugadores– con la provisión de tecnologías
como WorkWeb (navegación segura) Wor­
kmail (correo-e, calendario y contactos),
ShareFile (Follow-me Data), GotoMeeting
(herramientas de colaboración), Podio (red
social corporativa). Good sigue siendo un
gran referente para aquellos clientes que
quieren adoptar una tecnología rápida y
eficiente de SandBox “pura”, sobre todo
porque ha solventado sus problemas de
compatibilidad con los aplicativos en la
nube, como Office 365, Google Apps,
SalesForce y otros “excepto por el precio
desproporcionado” de la licencia perpetua
y su correspondiente mantenimiento, que
no ayuda a los proveedores de servicios e
integradores cuando quieren ofertar un
modelo de pago mensual por uso (muy
demandado por los clientes).
Respecto a Symantec (aparece en los
dos cuadrantes mencionados), es, sin
lugar a dudas, uno de los fabricantes
que más darán que hablar en esa visión
global que hemos estado comentando,
aplicando toda su experiencia en la ges­
tión y ‘securización’ de los endpoints y
en su integración con las plataformas
existentes (por ejemplo con System
Center Configuration Manager). Tiene
tecnologías para cubrir prácticamente
toda la pirámide y su aproximación de
‘securización’ por aplicación se aleja de la
rigidez del Sandbox tradicional que ataca
la experiencia del usuario. Se les augura
muchas futuras referencias con tecnología
no traumática tanto para los dispositivos
personales como los particulares. Respecto
a McAfee, cabe mencionar que ha logrado
destacados clientes con su tecnología de
EMM “Enterprise Mobility Management”,
pronto tendrá liberado un agente de DLP
para las plataformas móviles y ha avanza­
do mucho con su tecnología anti-malware
sobre las plataformas móviles y en especial
con Android. Los jugadores que vienen del
mundo MDP tienen la ventaja de aportar
una consola centralizada y un único agente
para muchas de sus disciplinas. Una men­
ción a Sophos, que ha acertado de lleno
con su política de implementar una licencia
única de punto final, y que licencia por
usuario y no por dispositivo (independien­
temente del número de estos), logrando
una solución interesante; y aunque no
incorpora de forma estricta un Sandbox,
se puede determinar si podemos trabajar
con su visión de repositorios corporativos
/ incorporar otra solución complementaria
del mercado (por ejemplo, Fixmo, que
sería válido para este y otros jugadores).
También merece la pena comentar que pa­
rece una solución muy equilibrada. Otros
jugadores están realizando esfuerzos des­
tacables, y entre ellos se
encuentra Trend Micro,
con una magnífica suite
con una interesante
relación calidad precio
(precisamente BlackBe­
rry les ha elegido como
solución anti-malware
y la gestión de los pro­
blemas de la privacidad
con aplicaciones de
terceros). También es
recomendable revisar
la visión de Kaspersky,
que ha ampliado su
portafolio de solventes
productos.
Respecto a los líderes
del cuadrante de Gartner de MDM (Mobile
Device Management), destaca Mobile­Iron
como número uno indiscutible en la teoría
y en la práctica, con respecto al número
de referencias nacionales e internaciona­
les con su excepcional tecnología; pero
el número dos, Airwatch, es el que está
haciendo más ruido en el mercado y pro­
vocando una verdadera guerra de precios
a la baja. Ambos jugadores han anunciado
acuerdos con Samsung para incorporar la
tecnología Knox para separar el mundo
corporativo del personal desde el terminal
(muy similar a la tecnología de Blackberry
con Balance y que se puede ver en sus
nuevos dispositivos Z10). En relación a Fi­
berLink, ni está ni se le espera, porque sólo
tiene solución de MDM en la nube y apenas
dispone de referencias en el mercado na­
cional, luego vemos el producto limitado.
Precisamente por este motivo jugadores
del entorno MAC (Mobile Access Control)/
NAC (Network Access Control)/NAM (Network Access Management)/802.1x como
Cisco, Enterasys, Huawey, Dell SonicWall
y ForeScout, han anunciado acuerdos de
interacción/integración (según los casos)
con los principales líderes de MDM, los
71
cinco primeros del cuadrante Gartner. En
BYOD, el componente de autenticación del
dispositivo y el usuario es fundamental
y la aportación de la inteligencia de la
red para contextualizar lo que puede/no
puede hacer un usuario según su perfil y
contexto de conexión es crítico (téngase
muy presente) a la hora de seleccionar los
jugadores más adecuados, porque sobre
todo en BYOD se verá la interacción de las
tecnologías de MDM y MAC (junto con
otras como MDP, MAM y MDS).
Por ejemplo, la aproximación de Cisco
(Mobility/BYOD) sobre la gestión unificada
del acceso (una red, una gestión y una polí­
tica) implementada en su solución de Cisco
ISE para determinar Quién, Qué, Cómo,
Dónde y Cuándo, es realmente poderosa.
Este fabricante ya ha anunciado acuerdos
con jugadores de MDM (Mobile­Iron, Ai­
rwatch, Citrix y Good). No podemos olvidar
a ForeScout, que está ganando muchísimas
referencias dentro del mundo del NAC
(sobre todo en empresas medianas) por
su excelente solución con una gestión y
sencillez muy destacable, aunque creemos
que su acuerdo con FiberLink como jugador
de MDM no es adecuado y su reciente co­
municado de integración con MobileIron
y Airwatch animará a muchos clientes a
combinar ambas tecnologías.
Por su parte, Enterasys es diferen­
ciadora con su visión del mundo BYOD
y su integración con su NAM (Network
Access Management) interactuando con
los mundos del MDM, IPS, Mobile Device
Management, Virtual Desktop Infras­
tructure (VDI), Cortafuegos, Web Proxy,
SIEM, aplicaciones corporativas, nube y
su concepto de firma digital dentro de
la empresa. Su clave: ser abierto a la in­
tegración de otras tecnologías existentes
en la organización.
Huawei (un gran desconocido en el
mercado nacional) está debutando con
sus soluciones extremo a extremo para
cubrir todo un abanico de soluciones en
Identidad, Privacidad y Cumplimiento y,
desde luego, se recomienda evaluar su
tecnología, pues cubre todo el ciclo de vida
del activo, si bien conviene puntualizar que
han integrado tecnologías de Symantec
en algunas de sus soluciones.
Dell SonicWall es otro de los jugado­
res desconocidos que habrá que tener
en cuenta (sobre todo si disponemos
de tecnología de este fabricante) pro­
veniente del mundo de los sistemas con
su novedosa estrategia de Dell Software
Group. Ciertamente animamos al lector a
descubrir su estrategia BYOD de control
de acceso granular, conectividad flexible y
gestionabilidad. Del nuevo gigante cabría
destacar su solución vWorkspacey Kace
para el acceso a la información crítica
del negocio.
Otras tecnologías BYOD que recomen­
damos evaluar son las visiones de Aruba,
Aerohive y Meru, sobre todo pensando
en soluciones sencillas con una puesta
rápida en servicio (con sus lógicas limita­
ciones, claro).
Como es imposible nombrar a todos
los fabricantes involucrados en el tema
que nos ocupa, rogamos al lector que nos
disculpen los no referenciados.
¿Qué jugadores tecnológicos y
combinaciones de los mismos
son los adecuados para una
organización, según la pirámide
de servicio que quiero ofrecer?
No es fácil contestar a esa pregunta y
la respuesta será que dependerá de lo que
se quiera hacer en BYOD y de si se desea
aprovechar lo existente o ser rupturistas.
Lo que parece claro es que Gestión y Se­
guridad tienen que converger, pero que
en el caso de BYOD el componente de la
seguridad tiene una importancia capital y
la inteligencia de la red ayudará a mitigar
los posibles riesgos que podrían amena­
zar la integridad de nuestros sistemas de
información.
Al margen del jugador/es selecciona­
do/s, se recomienda combinarlos en una
segunda fase con tecnologías de MDM
(en la base de la pirámide) antes de ir
escalando hacia la cima con temas muy
básicos como:
– Despliegue sencillo de la solución de
BYOD y Corporativos con enrolado de los
dispositivos por el propio usuario/adminis­
trador de la empresa si es requerido, vía
RECOMENDACIONES FINALES (continúa en la página siguiente)
1. Definición/revisión del SGSI ISO/IEC 27.00X concerniente a la política
corporativa con BYOD y enlace con las políticas existentes para los
dispositivos corporativos (si existiese, por ejemplo, políticas para los
mismos por la adopción de tecnologías como MDM/MDP, entre otras.
2. Validación con todos los departamentos afectados (Comunicaciones,
Redes, Sistemas, Seguridad, Usuarios y Recursos Humanos) de las po­
líticas consensuadas, verificando con un Consultor, un Implementador
y un Auditor ISO/IEC 2700x la idoneidad de las políticas seleccionadas
(revisión con el departamento legal) para no vulnerar la LOPD y el derecho
a la intimidad de los usuarios BYOD. Posterior comunicación por parte
de Recursos Humanos a la organización, proporcionando formulario
electrónico/documento físico que refleje derechos y responsabilidades
por ambas partes. Contemplar plan de formación para los usuarios de
los portales de autoprovisión para poder dar de alta/baja los dispositivos
y poderlos geolocalizar, bloquear y borrar por parte de los usuarios (con
los mecanismos de notificación a la empresa por si ellos mismos no lo
pueden realizar).
3. Formar y motivar al usuario en buenas prácticas “especialmente en los
entornos Android, que son muy abiertos” para que se bajen una apli­
cación de anti-malware que verifique en la nube el aplicativo antes de
descargarlo y analice el mismo durante la instalación y ejecución. Por
ejemplo, Avast tiene coste cero para el usuario particular y muy bajo
para el entorno corporativo, y los precios de Kaspersky, Symantec o
McAfee son muy contenidos. También podrá verificar qué aplicaciones
extraen información de identidad que podrían vulnerar su derecho a
la intimidad. Adicionalmente, que se bajen una aplicación de backup
personal para salvaguardar aplicaciones, datos, contactos, SMS´s y
otros. Por ejemplo, es muy conocida la aplicación Super Backup para
los entornos Android.
72
4. Analizar “con calma” la oferta de los diferentes fabricantes para determinar
el modelo más efectivo para la organización. Desde la autenticación del
dispositivo y el usuario vía la integración de las tecnologías MAC/NAC/
NAM/802.1x, determinando cómo puede ayudar la inteligencia de la
red para contextualizar la conexión y perfilar el usuario (¿Quién eres?
¿Desde dónde?¿Con qué dispositivo? ¿Qué quieres hacer? ¿Cuándo?
¿Por qué?), hasta la integración con “Sandbox” (“caja de arena”), sin
gestión, ligeramente gestionada, gestionada. Sin Sanbox vía ActivSync
con/sin Sentry. Aproximación de Secure Container, Aproximación de
protección por aplicación, etc.
5. Bajo ningún concepto permitir dispositivos hackeados ,“rooteados”,
“Jailbroken” por la amenaza que constituyen para salvaguardar la
seguridad de los sistemas de información corporativos. Aplicar medi­
das estrictas al usuario del tipo dejarle en cuarentena y no permitirle
el acceso a los recursos corporativos, bloqueo de acceso a Sandbox/si
es reincidente borrado de Sandbox y notificación a su responsable y
Recursos Humanos, etc. Guardar evidencia en SIEM por si es necesario
utilizarla en un futuro, por ejemplo en un litigio ante los tribunales de
justicia. Verificación persistente del estado del dispositivo, “puesto que
hay múltiples parches que engañan a los sistemas de gestión y seguridad”
(en muchas ocasiones el usuario no actualiza la aplicación vía Google
Play, AppleStore y repositorio corporativo). Forzar la actualización regu­
larmente denegando el derecho de conexión en caso de que no se haga.
Esto reforzará la seguridad de nuestros sistemas de información.
6. Asegurarnos de que si se permite al usuario almacenar información en la
nube en repositorios tipo Dropbox, Box, ZBox, Google Drive, SkyDrive o
similares, la información esté cifrada en el origen con el objeto de prevenir
las fugas de información. Hay herramientas de DLP que permitirán conocer
en su modo de monitorización qué se ha dejado en esos repositorios.
ABRIL 2013 / Nº104 /
SiC
SMS, Mail, o URL y provisión de usuarios
internos (en la organización vía WiFi).
– Gestionar la seguridad del correo-e:
• Protegiendo la infraestructura de la
organización con un gateway flexible
• Generando listas blancas y negras
de los dispositivos (con sus listas de ex­
cepciones).
– Validando los dispositivos en base a
múltiples parámetros como:
• Identificación del usuario del dispo­
sitivo, correo-e.
• Número de serie, versión de S.O.
• Validez del certificado del dispo­
sitivo.
• Monitorización de su actividad (cui­
dado en este punto en BYOD vs dispositivos
corporativos gestionados por un MDM).
• Fecha y hora de los intentos de
sincronización.
• Versiones de ActiveSync.
• Dirección IP del dispositivo.
Después, por ejemplo, controlar la
navegación por Internet (si procede y
según política de la empresa):
– Monitorizar y controlar la navegación
web desde una aplicación corporativa
para los usuarios (hay que recordar que
se navega desde la infraestructura de la
compañía, luego es legítimo).
– Si se estima, configurar URLs, websites permitidos y no autorizados.
– En entorno corporativo hacer un his­
torial sobre la navegación para conocer ten­
dencias, incrementar productividad, etc.
Respecto a la ‘securización’ del con­
tenido (Sandbox, Content Locker, Secure
Container, Corporate Workspace, etc.):
– Protección del acceso a través de
mecanismos de autenticación fuerte (softokens), si es posible. Cifrado FIPS 140-2
AES 256, detección de Tamper.
– Cifrar la transferencia de datos y
almacenamiento en dispositivos con al­
goritmos de primer nivel.
– Distribución automática de docu­
mentos sobre los contenedores basada
en el usuario, propietario del dispositivo
y localización del mismo (contexto).
– Generación de políticas sobre el tra­
tamiento de la información para guardar
ficheros, abrirlos y manipularlos, compar­
tirlos, enviarlos, etc.
– Lo ya comentado: borrado “Wipe
parcial del dispositivo” de los datos corpo­
rativos si el dispositivo es comprometido.
En referencia a capacidades multi-tenant (multi-empresa y basada en roles)
de las tecnologías:
– Elegir soluciones que den la facili­
dad de poder crear instancias diferentes,
porque la compañía (muy habitual en
multinacionales) podría querer segmentar
estas capacidades y segregarlas por orga­
nizaciones y grupos diferentes de usuarios
basándose en roles y visión empresarial
(evidentemente se necesitará controlar
de forma piramidal lo que hace cada
administrador desde la raíz).
Respecto a la gestión de la configu­
ración (si coexistimos con dispositivos
corporativos) al margen del BYOD por
resumir mucho, es deseable tener una
consola visual que permita:
– Configuración de contraseña, S/
MIME Secure Email, Calendario, Contac­
tos, VPN, WiFi y distribución sencilla de
aplicaciones básica, software y actuali­
zaciones de S.O. con entrega push/pull,
con gestión de plantillas, imágenes y
automatización, etc.
En relación con la gestión de aplica­
ciones y contenido es deseable:
– Una distribución silenciosa y auto­
matizada de paquetes.
– Controlar los repositorios públicos
tipo (Android Google Play, Apple Store y
similares). 
Javier Saro Luna
Director de Ingeniería Preventa TI y Seguridad
[email protected]
Javier Fernández Martín
Arquitecto de Soluciones TI y Seguridad
[email protected]
BT GLOBAL SERVICES
Referencias
• www.idc.com
• www.gartner.com
• www.forrester.com
• www.revistasic.com (nº 96, sep. 2011)
RECOMENDACIONES FINALES (continuación)
7. Verificar el estado de los fabricantes sobre si soportan tecnologías de
DLP en las diferentes plataformas y si son compatibles con las diferentes
herramientas de IRM que existen en el mercado, dado que las reglas
salientes de un DLP pueden ser las entrantes de un IRM, y nuestra expe­
riencia –especialmente con estos últimos– es que están aún en fase de
maduración. Si se elige algún fabricante de IRM, hay que realizar pruebas
y más pruebas para determinar si se adaptan a nuestras necesidades
a la hora de proteger nuestra información en movimiento sobre los
dispositivos móviles.
8. Por descontado aconsejar al usuario BYOD que cifre sus dispositivos y, en
especial, las tarjetas MicroSD presentes en sus terminales. Como es un
dispositivo no gestionado, lo tiene que hacer él mismo, pero podemos
notificarle con su consentimiento que, por ejemplo, no lo tiene cifrado
y que tiene que cumplir unas mínimas políticas de seguridad antes de
acceder a los recursos corporativos.
9. Es aconsejable la adopción de tecnologías de autenticación fuerte para
el acceso a los recursos de la organización, en este caso con softokens
de los diferentes jugadores del mercado: SafeNet, Swivel, ActivIdentity,
Vasco, RSA, etc. Vía Gráficos de Turing, String de Seguridad vía SMS,
Semilla en el dispositivo, etc. Es evidente que hay que verificar que el
dispositivo no esté rooteado/jailbroken.
10.Incorporar las aplicaciones que solicita el negocio con prudencia (Firma-e,
Firma Biométrica, workflows del negocio, control de accesos, plataformas
de pago). Sólo cuando verifiquemos su estabilidad y rendimiento.
11.Verificar que las tecnología/s seleccionadas tienen un grado de integración
básico/interactúan con las tecnologías ya existentes (Device, control, cifrado,
NACy 802.1x, antivirus/anti-malware, cortafuegos, DLP, IRM, SIEM, CMDB,
HelpDesk, etc.). Algunas compañías se sienten cómodas minimizando al
máximo el número de agentes y consolas sobre el activo.
SiC
/ Nº104 / ABRIL 2013
12.Aplicar un nivel de seguridad personalizado según el contexto de conexión
y perfil del usuario, por ejemplo discriminando por AP de conexión
WiFi con control de MAC. Registrando también toda la información de
Bluetooth y punto de conexión, accesos VPN, VoIP/SIP, certificados, etc.
Esto es crítico en los entornos BYOD, aprovechando la inteligencia de la
red de los diferentes fabricantes (Cisco,Enterasys, Huawei,Juniper, Dell
SonicWall, Aerohive, Meru, etc.).
13.En la auditoría de usuarios y procesos claves, integrar con correlación de
eventos y generar cuadros de mando, y ser prudentes con los entornos
BYOD vs corporativos para no vulnerar la LOPD y derechos de privacidad
del usuario.
14.Buscar un buen proveedor de servicios si se está pensando en el modelo
en la nube, que disponga de un SOC, que sea capaz de pasar a un modelo
Híbrido e incluso OnPremise (local) si la política de la empresa cambia y,
sobre todo, que ofrezca un modelo de pago por uso (no de inversión)
desde el dispositivo 1 hasta el n. Sobre todo que hable del servicio y no
de fabricantes, entendiendo la prestación del mismo y solicitando una
PoC “Prueba de Concepto” acotada sin coste.
15.Si la compañía se lo puede permitir, contratar a una consultora que
sea diferente de la empresa que realice la integración/preste el servicio.
Redundará en nuestro beneficio y ofrecerá una visión objetiva de las
funcionalidades de los diferentes fabricantes, más allá de fiarse de un
cuadrante de Gartner, dado que se está buscando el equilibrio entre
funcionalidad, seguridad y coste asociado.
16.Orientarse a los objetivos del negocio, proporcionándole nuevas herra­
mientas que mejoren su eficiencia, su rentabilidad y la satisfacción de
los usuarios sin perder de vista que los recursos económicos en estos
momentos de crisis son limitados.
73