17 julio 2013

Seguridad en entornos de movilidad

¿Y si cambio el portátil corporativo por mi Tablet? 

Últimamente todo el mundo habla de Bring Your Own Device (trae tu propio dispositivo, en inglés) como una de las modas que está revolucionando los entornos corporativos. De hecho, está suponiendo un importante impacto (y también un pequeño desconcierto) en las empresas, porque extiende los límites operacionales de la organización fuera del entorno TIC y los responsables de TI tienen que tomar medidas, y hacerlo de forma urgente.

El desafío es poder atender un entorno tremendamente heterogéneo, dando soporte multidispositivo y multisistema operativo,  preservando la seguridad de la información corporativa y estableciendo políticas y normas que dicten cómo utilizar esos dispositivos dentro de la organización (y respetando los derechos del propietario del dispositivo !!!???).

Como en cualquier entorno de movilidad corporativo,  además de utilizar soluciones de antivirus, bloqueo, borrado remoto, ubicación por GPS, etc., es necesario que entendamos y securicemos todo el circuito end-to-end de acceso y de uso de la información.



Y si se trata de dispositivos BYOD, como añadido hay que  entender las diferencias entre éstos y los corporativos, y definir estrategias y políticas específicas para nuestra organización. En este sentido, hay dos grandes tendencias radicalmente opuestas (y entre este blanco y negro muchos niveles de grises):
La política del todo (“todos a bordo”) conlleva aplicar exactamente el mismo tipo de políticas, normas de uso y soluciones tecnológicas a los dispositivos corporativos que a los “BYOD”. Esta estrategia tiene ventajas de gestión, ya que se pueden aplicar las  mismas soluciones de MDM, antivirus, NAC, infraestructura de acceso y cifrado de las comunicaciones, entre otras. Pero también tiene bastantes desventajas para el propietario: ya no voy a poder acceder a todas las apps, markets y servicios en la nube que quiera, por la política de uso de mi compañía, ni navegar por donde quiera, porque habrá un control de navegación. Además, en caso de pérdida o robo se puede llegar a borrar todos los datos, tanto corporativos como personales, aunque si bien es cierto que tecnologías como Knox prometen acabar con este problema.

La tendencia opuesta es aplicar la política de la parte. Es decir,  viajas en mi barco, pero poco y solo a donde yo digo. Consiste en gestionar la seguridad BYOD aplicación a aplicación, generando aplicaciones seguras. Algunas de los elementos de seguridad que se utilizan en estas aplicaciones seguras son: biometría para la autenticación de usuario, VPN propia solo para la aplicación, no copy&paste fuera de la aplicación, políticas de uso horario y temporal, sandbox cifrado, etc. Todas ellas se pueden ejecutar para acceder a servicios corporativos concretos y con requisitos de seguridad distintos uno a uno. Desde un punto de vista puro de seguridad, lógicamente no es lo mismo securizar la aplicación individual que securizar el dispositivo y además las aplicaciones, ésta también es una vía legítima que puede resolver parcialmente el problema, al menos hasta que la separación efectiva y segura de entornos corporativo y personal en el mismo dispositivo esté suficientemente probada y madura para su aplicación  práctica.

Y la pregunta es: ¿Cuál de las dos estrategias es la mejor? Dependerá totalmente de las necesidades y cultura  de cada organización (sí, la cultura puede influir y mucho). Al final los responsables de TI necesitarán dar respuesta al usuario de una forma segura, cómoda y con usabilidad, donde no siempre el todo o nada, es válido.


-------------------------------------------------

Contribución gracias a Manuel Sampedro

5 comments :

Jose dijo...

Vaya forma de decir ·piensa las consecuencias antes de los cambios· más larga.


Realmente no aporta nada. Lo ideal sería dar algunas ideas concretas, por ejemplo: Tiempos de bloqueo, pantallas de privacidad, contraseñas, protocolos de borrado remoto de datos, cifrar los dispositivos, etc.


En el tema del cifrado de dispositivos, con android tengo una cosa negativa que decir: No me parece normal que cada vez que quieras desbloquear el dispositivo debas meter la clave, lo normal sería una clave segura para encender el dispositivo y otra más fácil de poner: un patrón, un PIN, etc con un límite de intentos bajo (3, por ejemplo) para desbloquear ¿que te olvidas o metes mal el patrón? Pues a meter la clave larga.


Es una pena que, al menos android, no haya pensado en esto.

SB dijo...

Pero qué coño dices.


En Android, desde su versión 2.2 (la más antigua que yo he usado), si varias veces mal el PIN, te pone un límite de tiempo.


Si vuelves a equivocarte, te bloquea el terminal y te pide la clave de tu cuenta de google asociada.

Román Ramírez dijo...

Este post es un poquito "escueto". Entre otras cosas, se podrían comentar temas tales como las diferencias de marco regulador entre España y EEUU (origen de la moda Byod), se puede hablar de soluciones de seguridad (que al correr prácticamente todas en userspace tienen limitaciones en el control, existiendo ya diversas otras herramientas que "engañan" a los MDM), podría hablar de MAM, podría hablar de enrollment y verificación de, al menos, certificados corportativos... ¿sobre z-scaler y servicios de proxy en modelos SaaS que permitan "proteger" los dispositivos cuando están fuera del perímetro...

Sniffador dijo...

leo este post con esta cara: .___.


No, en serio. No sé leer.

Manolo Sampedro dijo...

Naturalmente que es "escueto", porque en poco más de 3000 caracteres
no se puede tratar un tema que da para escribir un libro. La idea era
poner encima de la mesa las dos grandes tendencias estratégicas que
están siguiendo ahora las grandes corporaciones (el blanco y el negro).

En
cuanto al ciclo de vida del usuario (enrolado, identificación,
autenticación, autorización, bloqueo y baja) también podemos hablar
largo y tendido sobre las tendencias y tecnologías que hay ahora en uso
masivamente y las que están apareciendo: Adicionalmente al sistema de
gestión de la identidad, que bajo mi humilde punto de vista es necesario
para dar soporte a todo el proceso sin morir en el intento, podemos
hablar de un tecnologías de PIN, certificados y patrones como los más
conocidas por el usuario final, pero en entornos de alta seguridad y con
una configuración multifactor se están usando además patrones
biométricos, desde los más clásicos como huella digital, facial en 2D o
reconocimiento vocal hasta otros más avanzados como reconocimiento de
iris.

También podiamos hablar sobre esquemas y estrategias de
"protección" de dispositivos fuera del perímetro, o de cómo hay
tecnologías / soluciones de mercado cuyo "core" corre en "systemspace",
pero más que una contestación a tu comentario esto se va a parecer a
otro post.

Te agradezco tu comentario, me parece inteligente y constructivo.Un saludo