65S iC / N º104 / ABR I L 2013

BYOD está impulsado por el nego­cio, “que quiere llevar al mundo de la movilidad sus procesos” para ganar competitividad. Está impulsado por el usuario, “que quiere utilizar sus disposi­tivos personales de última generación para acceder a los recursos corporativos donde está la información sensible del negocio”; está impulsado por los depar­tamentos Financieros de las organizaciones para reducir “aparentemente” los costes derivados de la adquisición, mantenimien­to y renovación por parte de la empresa de estos nuevos activos tecnológicos; está impulsado por Recursos Humanos, empleando me­canismos de subvención ”mensualizada” proporcio­nados por la empresa, “deduciendo una cantidad mensual en la nómina” para la adquisición de los últimos dispositivos inteligentes, indicando efusivamente las ventajosas deducciones económicas que obtendrán los empleados en su declara­ción de IRPF y siendo muy conscientes de que esta práctica de no discernir entre el mundo personal y el profesional redundará en un incremento de la disponibilidad y, por ende, de la productividad del em­pleado como mínimo en un 20% al cabo de un año –precisamente, en el periodo vacacional de los empleados es cuando más se nota este fenómeno por el estrés que se genera el propio empleado al no

estar conectado con clientes y proveedores en un entorno tan agresivo y competitivo como el actual, donde la disponibilidad tiene que ser total–. Luego, para obtener esa mayor productividad, satisfacción del

implementar para preparar la correspon­diente declaración de aplicabilidad en la organización, regulando y normalizando “según escenarios y perfiles de los usua­rios” este nuevo y delicado fenómeno de­nominado BYOD (Bring Your Own Device) y evitar que la improvisación lo convierta en BYOD (Bring Your Own Disaster) con resultados inesperados nada deseables y consecuencias irreversibles para entidades y modelos de negocio.

REFLEXIONES Y PREGUNTAS ANTE EL FENÓMENO BYOD

Así pues, algunas de las reflexiones que deberíamos hacernos sobre BYOD y que se intentan responder en este artículo serían las siguientes:

• ¿Qué está demandando el nego­cio?

• ¿Quién tiene que definir una estra­tegia para implantar BYOD?

• ¿Cómo definir una estrategia BYOD en la organización?

• ¿Cómo concienciar al usuario BYOD sobre la adopción de unas mínimas polí­ticas de seguridad?

• ¿Cómo controlar la fuga de infor­mación en BYOD?

• ¿Cómo borrar legalmente infor­mación en un dispositivo que no es de nuestra pro­piedad?

• ¿Es cierto que BYOD incrementa la producti­vidad y la experiencia del usuario?

• ¿Es verdad que BYOD reduce los costes para la empresa?

• ¿Qué puedo monitori­zar en un dispositivo BYOD sin vulnerar el derecho a la intimidad del usuario?

• ¿Cómo educar al usuario BYOD en unas buenas prácticas con sus dispositivos personales?

• ¿Debería el empleado firmar un documento/formulario electrónico acep­tando la política BYOD definida en la empresa?

• ¿Qué disciplinas como MAC, MDM, MDP, MAM, MDS… hay que implemen­tar?

• ¿Qué tipo de servicio en nube pública, privada, híbrida vs instalación OnPremise (local) tendría que adoptar en mi organización?

• ¿Qué modelo económico tendría que adoptar en estos tiempos de presupuestos restrictivos?

• ¿Necesito un servicio de consulto­ría tecnológica y legal al margen de los

La gestión segura de la información en movilidad ante el fenómeno

BYOD: ¿Bring Your Own Device = Bring Your Own Disaster?

El fenómeno BYOD (Bring Your Own Device), que es la incorporación de los disposi-tivos personales de los empleados a los sistemas de información corporativos de TI de nuestras organizaciones, ha llegado para quedarse, “no es una moda pasajera” y hay que estar preparados para asumir y controlar todas las amenazas que trae consigo. Al respecto de este nuevo y delicado fenómeno que responde al acrónimo

BYOD, hay que evitar que la improvisación lo convierta en BYOD (Bring Your Own Disaster), con resultados inesperados nada deseables y consecuencias irreversibles para nuestras organizaciones y modelos de negocio.

Javier Saro Luna / Javier Fernández Martín

usuario, incremento de la competitividad y aparente reducción de costes, entre otros factores, los departamentos de TI de las organizaciones tendrán que soportar un impacto considerable en las infraestructu­ras tecnológicas que sustentan los servicios y la información crítica.

Para ello, es recomendable revisar y actualizar detalladamente el SGSI corpo­rativo (Sistema de Gestión de Seguridad de la Información) ISO/IEC 2700x con el objeto de definir una política empresarial clara de cara al fenómeno BYOD, realizan­do el correspondiente análisis de riesgos, gestionando los mismos, seleccionando los objetivos de control y los controles a

66 ABR I L 2013 / N º104 / S iC

servicios de integración para abordar el fenómeno BYOD?

• ¿Qué jugadores tecnológicos y combinaciones de los mismos son los adecuados para mi organización, según la pirámide de servicio que quiero ofrecer?

ALGUNOS DATOS A TENER EN CUENTA

La movilidad está cambiando nuestra forma de vivir y de trabajar, y es funda­mental respetar la experiencia del usuario. Así, en 2014 el 89% de las organizaciones permitirán el uso de dispositivos perso­nales (BYOD). La media de dispositivos por usuario será de entre dos y tres.

En 2015 tendremos más de mil millones de smartphones que gestio­nar y ‘securizar’, entre los cuales muchos serán dispo­sitivos particulares de los usuarios y tendremos que adaptarnos y adaptarlos al fenómeno BYOD.

Menos del 9% de las empresas conoce con precisión qué dispositivos están conectados a su red (luego no son cons­cientes de las amenazas que traen esos activos no controlados).

El 60% de las compañías ha sufrido algún problema serio derivado de los dispositivos que se han conectado a la red corporativa con una inadecuada política de seguridad, al ser la misma inexistente o no estar actualizada de forma apropiada para soportar el fenómeno BYOD.

Hemos incorporado las amenazas de los ordenadores y portátiles habituales a los dispositivos móviles (son tan potentes como los primeros) por lo que tienen que ser tratados como una extensión de los endpoints habituales y gestionados de una forma centralizada, distinguiendo claramente cuando el dispositivo está proporcionado por la empresa (“luego está plataformado”) del dispositivo par­ticular BYOD, donde la gestión podría no existir, ser muy ligera/existir y siempre contando con la autorización expresa del usuario por medio de un formulario electrónico/documento proporcionado y verificado por Recursos Humanos/Legal, definiendo claramente las responsabili­dades de ambas partes, los escenarios de intervención desde la organización con usuarios internos y externos (partners), como, por ejemplo, una configuración, una provisión de un Sandbox (“caja de arena”, un repositorio de trabajo aislado,

virtualizado y cifrado) para separar el espacio profesional del personal, donde residirán, digamos, un escritorio remoto, el correo seguro, un navegador seguro, unas aplicaciones empresariales y los datos corporativos autorizados.

Sobre el mismo se podrá realizar una geolocalización, un bloqueo/un borrado de los datos corporativos “wipe parcial” por la pérdida/sustracción del mismo res­petando el resto de los datos personales del dispositivo del usuario particular. Por supuesto, también formando al usuario por si desea realizarlo él mismo desde el portal de AutoServicio (siempre que sea empleado de la organización, porque en

determinar la elección del proveedor de servicios (si se está planteando un modelo gestionado para cubrir de forma integral las necesidades de la organización).

UNA INTRODUCCIÓN A BYOD

Procede a continuación responder a las preguntas antes planteadas:

¿Qué está demandando el negocio?

El negocio está solicitando llevar sus procesos a los nuevos escenarios de movilidad, tanto en dispositivos corpo­

rativos proporcionados por la organización (pla­taformados y controlados por el departamento de TI mediante tecnologías de MDM (Mobile Device Ma-nagement) y MDP (Mobile Device Protection) entre otras, como en los disposi­tivos proporcionados por los usuarios adoptando BYOD (en principio sin gestión/con una gestión ligera y autorizada por el usuario mediante el co­rrespondiente formulario/documento de aceptación de políticas). Entonces el

negocio nos solicita soportar (Gestión de pagos por NFC / Monedero, códigos QR, API´s de pago, control de acceso, Vending, softtokens para la autentica­ción fuerte vía VPN/SSL/IPsec, firma de documentos con certificados X.509.v3, firma biométrica reconocida, integración de workflows humanos, integración en equipamiento industrial, médico y mi­litar, comunicaciones unificadas, VoIP, acceso a repositorios empresariales como SharePoint, SAP y otros con mecanismos de entrada única SSO, incorporación de Redes Sociales Empresariales “cerradas en círculos de confianza”, grabación de llamadas, SMS’s, correos, calendarios, contactos, agendas, etc.), integrando todo con la lógica del negocio y sus procesos asociados.

Son innumerables los aplicativos nuevos que se podrían mencionar. Lo que está claro es que el negocio lo demanda y existen ejemplos nítidos donde la oficina ya está en el dispositivo –“con todo lo que necesita el empleado para desarrollar su trabajo”–, donde se tiene que proporcio­nar una seguridad y un cumplimiento de extremo a extremo sobre los dispositivos, las aplicaciones, la red y los datos. De los fabricantes se hará referencia más adelante.

caso de que no lo sea/tenga un compor­tamiento desleal, será la empresa la que realizará el proceso comentado).

El malware para las principales plata­formas de movilidad Android e IOS y en especial sobre el primero, se ha multiplica­do por 40 en un sólo año y el fenómeno acaba de comenzar porque el negocio demanda cada vez más aplicativos corpo­rativos sobre estas plataformas, lo que las hará objetivo de los próximos ataques de nueva generación por las organizaciones e industrias del cibercrimen.

De forma inminente nuevos jugadores como Firefox, Ubuntu y Microsoft expe­rimentarán un crecimiento exponencial en esta área, tanto en la provisión de dispositivos corporativos como por la adopción particular de los usuarios ante el fenómeno BYOD. En consecuencia, los departamentos de TI tendrán un mayor número de plataformas sobre las que aplicar las políticas correspondientes de acceso a la información corporativa.

En este escenario se recomienda cierto rigor en la selección de unos buenos so­cios tecnológicos a la hora de afrontar el fenómeno BYOD, tanto desde el punto de vista consultivo, como en el de la selección e integración de tecnologías (y combina­ciones de las mismas), para finalmente

67S iC / N º104 / ABR I L 2013

¿Quién tiene que definir una estrategia para implantar BYOD?

La estrategia para implantar BYOD debe ser definida por un comité inter­disciplinar de la organización con repre­sentación de los usuarios junto con los departamentos afectados, como son: Comunicaciones, Redes, Sistemas, Seguri­dad (especialmente), Finanzas y Recursos Humanos y Legal, entre otros.

¿Cómo definir una estrategia BYOD en la organización?

Siguiendo un plan que estará alineado con el correspondiente SGSI (Sistema de Gestión de la Seguridad de la información) de la organización para la definición clara de los objetivos y la gestión de los riesgos asociados, aplicando los objetivos de control y los controles a implementar para ob­tener la declaración de aplicabilidad apoyada por la dirección y comunicada a la organización, la cual habrá de ser expresamente aceptada y firmada por el usuario. Por ejemplo, se recomienda la figura de un consultor, de un integrador y de un auditor ISO 27001/2 (entre otras) para apoyar a la organización en tareas como la definición de las necesidades, la elaboración de los posibles escenarios de aplicación, diseño, implementación, soporte y audi­toría para comprobar que efectivamente se han cumplido los objetivos inicialmente previstos en el proyecto. Evidentemente también se recomienda una segregación entre los agentes intervinientes en el pro­yecto (consultor, integrador y auditor) al objeto de garantizar los niveles adecuados de calidad, independencia y éxito de la estrategia BYOD en la organización.

¿Cómo concienciar al usuario BYOD sobre la adopción de unas mínimas políticas de seguridad?

Es importante que el usuario perciba a los agentes intervinientes como aliados y no como intrusos que van a monitorizar y auditar su actividad diaria sobre su/s dispositivo/s personales, que él emplea para acceder a los recursos habituales del negocio, entre los que se encuentran (navegación segura, correo corporativo, intranet, aplicaciones empresariales, es­

critorios remotos, entornos virtualizados, etc., conforme a sus permisos y contexto de conexión. Todo ello lo proporcionará la inteligencia de la red, con el fabricante que corresponda para determinar ¿quién?, ¿qué?, ¿desde dónde?, ¿cuándo?, ¿cómo? y ¿por qué?

Asimismo hay que educar al usuario en la adopción de buenas prácticas, tales como:

– Fortificar la contraseña.– Realizar copias de seguridad de

contactos, aplicaciones, datos, SMS´s, logs de llamadas, bootmarks, etc.

– Habilitar un bloqueo por inactividad del terminal.

– Utilizar un AV local/en la nube para analizar las aplicaciones maliciosas antes de la descarga, durante la instalación y durante la ejecución de las aplicaciones.

lario electrónico/documento físico de aceptación de unas mínimas políticas de seguridad para tener acceso a los recursos corporativos”; y sabemos, por experiencia, que muchos la vulnerarán a lo largo del tiempo.

– Proporcionar aplicaciones del control del consumo de datos (especialmente útil en entornos de itinerancia, donde depen­diendo del perfil del usuario otorgaremos ciertos derechos de consumo con el control de los umbrales correspondientes para evitar sorpresas desagradables).

– Proporcionar una serie de aplicacio­nes gratuitas / bajo coste para incrementar la seguridad del dispositivo BYOD (lo que redundará indirectamente en la seguridad de nuestra organización).

– Formar al usuario en las capacidades de los portales de autoservicio para dar de

alta y de baja el dispositivo de su propiedad, la geolo­calización, la notificación de mensajes, el bloqueo y el borrado del dispositivo en caso de pérdida/robo.

– Explicación clara de la política BYOD en la orga­nización, indicando lo que hacemos, por qué lo hacemos y cuándo lo hacemos. Por supuesto, comentando tam­bién lo que no hacemos (no geolocalizamos sin la expresa autorización del usuario porque lo podrá hacer él en el portal de autoservicio, no monitorizamos un dispositivo particular, no recolectamos

logs, etc). En realidad, si empleamos una política de SandBox/otra aproximación protegiendo sólo las aplicaciones para no interferir la experiencia del usuario, sólo deberíamos intervenir ante causas de fuerza mayor. Evidentemente NO aplicaremos todo lo que se puede hacer con un MDM (Mobile Device Management), tal como lo haríamos con un dispositivo corporativo.

¿Cómo controlar la fuga de información en BYOD?

Parece de sentido común que si se dispone de una política para prevenir la fuga de información en los puntos finales corporativos (servidores, PC’s, portátiles y smartphones) de la organización, se tendrá que exportar esa política hacia los entornos BYOD para proteger la informa­ción como elemento crítico del negocio. Como la primera recomendación de no tener información crítica del negocio en los entornos BYOD no se cumplirá, el deber es protegerla y para ello existen varias aproximaciones:

– Utilizar un cortafuegos personal en el dispositivo, especialmente útil cuando las aplicaciones tratan de obtener infor­mación como:

• Intentar realizar un seguimiento de la ubicación del usuario.

• Intentar tener acceso a la informa­ción de identidad leyendo el número de serie, número de móvil y otros datos del terminal.

• Tener acceso a los mensajes SMS y MMS.

• Acceder a las Listas de Contactos.• Acceder a las páginas web, entre

otras muchas cosas.– Concienciar sobre NO rootear/realizar

un Jailbreak del dispositivo, explicando las razones por las cuales en caso de detectar ese estado del activo procederemos, por ejemplo, a no autorizar el acceso al correo corporativo, a la navegación por Internet, bloqueando/borrando los repositorios corporativos “Sandbox” existentes en el dispositivo, ante la flagrante vulneración de la política, “porque se supone que el usuario anteriormente firmó un formu­

68 ABR I L 2013 / N º104 / S iC

• Trabajar con entornos virtualizados con escritorios remotos donde no será posible (con las políticas adecuadas) transferir información hacia el exterior, y, en especial, a los múltiples repositorios en la nube tipo Box, Dropbox, ZBox, Google Drive, SkyDrive existentes (si se permite, se recomienda cifrar la información desde el origen para evitar la fuga de información en repositorios donde no se tenga ningún control, al margen de que es muy probable que en entor­nos internacionales se estará vulnerando la legislación vigente del país de origen con respecto al tratamiento de la información).

• Implementar una Sand­box (“caja de arena”), espa­cio virtualizado, cifrado y ‘securizado’ donde se eje­cutarán de un modo seguro las diferentes aplicaciones como la navegación segura, el acceso al correo, calenda­rio, agenda, contactos, do­cumentos, repositorios cor­porativos como SharePoint, SAP, Comunicaciones Unificadas y otros, para otorgar acceso a los datos sensibles de la organización (con el inconveniente de que la modificación del interfaz afecta a la experiencia del usuario).

• Implementar una ‘securización’ por aplicación (es una aproximación interesan­te) porque no afecta a la experiencia del usuario; ahora bien, obligará a trabajar en la autenticación y autorización del usuario por cada aplicación implementada (aquí será muy interesante la estrategia de en­trada única –single sign on– y una política general de Gestión de Identidades­GIDM para cubrir todo el ciclo de provisión/deprovisión de aplicaciones y derechos de los usuarios sobre las mismas). Esta aproximación será adoptada por muchas organizaciones.

Sin embargo, no todos los jugadores tecnológicos están preparados para ofre­cer esta aproximación de forma correcta, por lo que es recomendable tomarse el tiempo que corresponda para poder determinar su alcance a fin de cubrir la problemática específica.

¿Cómo borrar legalmente información en un dispositivo que no es de nuestra propiedad?

El usuario tiene que aceptar de forma explícita la adopción de las políticas de seguridad definidas por Recursos Huma­nos/Legal y el resto de los departamentos mediante el mecanismo correspondiente

para tener una cobertura legal a la hora de borrar la información del negocio re­sidente en el dispositivo de su propiedad. Bien por la pérdida/robo del mismo (en caso de que no lo pueda hacer el propio usuario con el portal de autoprovisión) bien porque la relación laboral con el usuario/partner ha finalizado y nos ve­mos obligados a borrar la información sensible de la organización, bien porque

– Políticas sobre aplicaciones en Dis­positivo, Empresa & Cloud.

– Políticas sobre aplicaciones y escri­torios Virtualizados (VDI)

– Políticas de acceso a los entornos de Comunicaciones Unificadas (VoIP, IM).

– Políticas de DLP (Prevención de fuga de datos).

– Políticas de IRM (Information Rights Management).

– Políticas de Correlación de Eventos y Monitoriza­ción.

– Políticas sobre el Cen­tro de Atención de Usuarios (CAU) y Soporte Remoto.

– Políticas de Cumpli­miento Normativo/Legislati­vo (LOPD, SOX, HIPPA), etc.

Si bien es cierto que bien implementadas se ob­tendrán reducciones en el medio plazo y que siempre dependerá de los servicios que se vayan a ofrecer a los usuarios internos y externos (imaginemos agentes co­merciales que no son de la

organización pero que tienen que acceder temporalmente a recursos corporativos). Luego se trata de orquestar la estrategia de TI de forma estructurada, ordenando una pirámide de servicios que se van a ofrecer.

¿Qué puedo monitorizar en un dispositivo BYOD sin vulnerar el derecho a la intimidad de usuario?

La repuesta sería sólo lo que indique la Política de Seguridad aprobada en la organización, comunicada, aceptada y firmada por los usuarios al incorporarse al programa BYOD. Fundamentalmente, la autenticación del dispositivo/s, la autenti­cación del usuario y la monitorización de los servicios básicos con especial atención a determinar si el estado de integridad del dispositivo ha cambiado (NO permitir dispositivos Rooteados/Jailbroken por el peligro que supone para nuestros ser­vicios de TI). Cuidado con excederse en este aspecto.

¿Debería el empleado firmar un documento/formulario electrónico aceptando la política BYOD definida en la empresa?

Siempre (ya se comentó anteriormen­te). En muchas ocasiones basta con la aceptación de las condiciones del formu­lario electrónico mediante un botón de

se ha violado una política de seguridad importante, etc.

¿Es cierto que BYOD incrementa la productividad y la experiencia del usuario?

La respuesta es SÍ (siempre que se pla­nifique y se implante de la forma adecuada como antes se ha descrito).

¿Es verdad que BYOD reduce los costes para la empresa?

La respuesta es NO, inicialmente, puesto que tensiona todas las tecnologías de TI existentes en la empresa, y por citar algunas se destacan:

– Mecanismos de autenticación de dispositivos (el usuario puede emplear más de uno) y autenticación de usuarios e integración con AD y otros repositorios.

– Políticas de Single Sign On (SSO) & Gestión de Identidades (GIDM).

– Políticas WiFi y AP´s– Políticas de NAC/NAP/NAM/802.1x.– Políticas de VPN/Radius, PKI, ACL’s.– Políticas de autenticación fuerte con

tokens y softokens.– Políticas de Cortafuegos/IDS.– Políticas de Cortafuegos de apli­

cación.– Políticas de Antivirus & Anti­Spam.– Políticas de Acceso al Correo Cor­

porativo.– Políticas de Acceso a los Portales y

SGBD internas.

69S iC / N º104 / ABR I L 2013

verificación y un checkbox de aceptación con la posibilidad de leer/imprimir la política cuando al usuario se le provisiona el aplica­tivo correspondiente desde el repositorio empresarial/lo baja el mismo desde otros tipos como Google Play (entornos Android) AppleStore (entornos IOS) y otros.

¿Qué tipo de servicio en nube pública, privada, híbrida vs instalación OnPremise (local) tendría que adoptar en mi organización?

La respuesta es: depende de las nece­sidades de la organización y de la cultura interna de seguridad existente. Se conocen todo tipo de casos y cada empresa es completamente diferente. Hay clientes que emplearán directamente la nube multitenant (multiem­presa) de fabricante con dos modelos de gestión:

A.­ Gestionando los dispo­sitivos y sus políticas por sus propios departamentos de TI con la correspondiente trans­ferencia de conocimiento.

B.­ Delegando la gestión de los dispositivos y sus políticas a un proveedor de servicios en modalidad 8x5/24x7.

Nota: En ocasiones ya implementaron un modelo de MDM (Mobile Device Manage-ment) para los dispositivos cor-porativos y ahora lo extienden para los entornos BYOD (Bring Your Own Device) mediante la provisión de portales de auto-servicio y otros mecanismos.

Otras compañías prefieren un modelo de nube privada (para ellos) con la ventaja de personalizar el servicio para su organi­zación, incorporando otras disciplinas tec­nológicas ya existentes en la organización, como los accesos VPN/SSL /IPSec persona­lizados, los mecanismos de autenticación fuerte con tokens / softokens existentes, la integración con entornos de NAC/802.1x, la incorporación de tecnologías de PKI y certificados X.509.V3, tecnologías de Voz sobre IP y el resto de Comunicaciones Unificadas, integración con repositorios internos de CRM /ERP, tecnologías de DLP, IRM, Workflows y un largo etc.

El tercer modelo es el más conservador adoptando una implementación “OnPre­mise” en casa del cliente, facilitando la integración de las tecnologías existentes donde se realiza una correcta transferencia de conocimiento para dar independencia a la organización en la gestión y evolución

de la solución.El cuarto modelo, que es el Híbrido,

es el resultado de las combinaciones de servicios en nubes públicas y privadas e incluso con modelos OnPremise. Se dan regularmente en la interacción con ser­vicios del tipo Office365, GoogleApps, SalesForce y otros.

¿Qué modelo económico tendría que adoptar en estos tiempos de presupuestos restrictivos?

Es recomendable huir del modelo de inversión y buscar un proveedor de servicios que soporte la modalidad del pago mensual por uso desde el primer dispositivo. Es la tendencia y lo más re­

ganización, pero conviene ser cuidadosos a la hora de adoptar el fenómeno BYOD respetando el plan definido en el SGSI. Gestionar BYOD no es gestionar disposi­tivos corporativos con un MDM (Mobile Device Management)/‘securizar’ con un MDP (Mobile Data Protection) como si se tratase de dispositivos con la definición y la aplicación de políticas que si se ha­cen a la ligera pueden resultar intrusivas en este entorno y vulnerar los legítimos derechos de un usuario con respecto a su privacidad. Esto podría llevar a situa­ciones muy comprometidas, arriesgando la reputación corporativa y pudiendo afrontar responsabilidades legales con la Agencia Española de Protección de Datos y, por supuesto, poner en contra a los sindicatos representados en la empresa,

por poner un ejemplo. Por ello es recomendable planificar el servicio y acotar los escenarios y perfiles objeto de la política BYOD también desde el punto de vista legal y normativo.

¿Qué disciplinas como MAC, MDM, MDP, MAM, MDS… tengo que implementar?

En primer lugar, procede comentar los términos:

MDM (Mobile Device Management)

Es la disciplina de los juga­dores de gestión del ciclo de vida de los dispositivos móviles. Hay dos tendencias claras:

A. Con caja de arena (San­dBox): Afaria, Good Technology, etc.

A.1 Estos jugadores trabajan con un repositorio cifrado (normalmente en AES 256) donde se ejecuta el correo, la navega­ción segura y las aplicaciones corporativas. Este espacio está aislado del área personal en el dispositivo y se emplea para el acceso al ámbito corporativo (al margen de si el dispositivo está proporcionado por la empresa o es de ámbito particular y, como es lógico, las políticas de ambos entornos serán diferentes. Es una solución muy demandada y tiene bastantes referencias (es obligatoria en ámbitos de información sensible como área de gobierno y entornos militares por cumplimiento normativo). En este caso el usuario/administrador tiene un portal para bloquear, geolocalizar y borrar el dispositivo perdido. Todo esto se puede combinar (si se desea) con capacidades de gestión (inventario hardware, inventario software, información del operador, infor­mación del IMEI, IMSI, configuración de

clamado por el mercado (especialmente en este momento económico tan delicado donde se quieren “adelgazar” los balances y evitar tensiones de tesorería). También se recomienda que el servicio se preste desde un SOC (Centro de Operaciones de Seguridad), donde están implementados los correspondientes modelos del servi­cio con plenas garantías respecto a los niveles de disponibilidad, escalabilidad, continuidad, seguridad bajo niveles de acuerdo de servicio establecidos previa­mente (SLA´s) (especialmente interesante en modelos de Nube Pública/Privada y modelos Híbridos).

¿Necesito un servicio de Consultoría tecnológica y legal al margen de los servicios de integración para abordar el fenómeno de BYOD?

Dependerá del presupuesto de la or­

70 ABR I L 2013 / N º104 / S iC

correo, VPN, APN, itinerancia, provisión de certificados, etc).

B.­ Acceso al dispositivo por ActivSync (con y sin protección): MobileIron (Sentry), Airwatch, Famoc, Fiberlink, Symantec, Citrix (Zenprise), McAfee, etc.

B.1 Estos jugadores no tienen caja de arena en el sentido estricto de la palabra pero suelen tener un “repositorio corpo­rativo seguro” para ‘securizar’ y gestionar la seguridad de las Aplicaciones, como un Content Locker, Secure Container, etc. Están muy orientados a la gestión del dis­positivo corporativo vía MDM y en algunos casos BYOD. Junto con las capacidades habituales de inventario hw, sw, configuración correo, VPN, IMEI, IMSI, APN, existen capacidades muy potentes de provi­sión de certificados, for­tificación de contraseñas, aplicación de todo tipo de políticas, distribución de software, backup/restau­ración de contactos, ca­lendarios, sms, ficheros, etc. También se ofrecen capacidades de control remoto (entre otras). In­cluso hay fabricantes que nadan entre dos aguas y tienen variantes de las mencionadas

MDP (Mobile Device Protection)

Es la disciplina de la gestión de la segu­ridad del activo. Por ejemplo, el cifrado AES 256 del teléfono, la incorporación de un cliente de acceso VPN/SSL (Cisco, Juniper Fortinet, Huawei, SonicWall, Enterasys y otros), la incorporación de un antivirus (Symantec, F­Secure, Karspersky, McAfee, Trend Micro, Avast) para analizar una apli­cación en la nube antes de su descarga en el dispositivo, durante la instalación y la ejecución; o la inclusión de un mecanismo de autenticación fuerte con un softoken (Swivel, Vasco, RSA, ActivIdentity, SafeNet, CA y otros). Muchas de estas capacidades provienen de la evolución de los juga­dores de la protección del puesto (antes mencionados).

Nota: Normalmente estas capacidades no las tienen/las tienen parcialmente los jugadores de MDM (en algún caso la acti-vación del cifrado de las tarjetas MicroSD de los teléfonos móviles/smartphones de última generación y cifrado integral del dispositivo). Con respecto a la protección del dispositivo hay que comentar la im-portancia de la integración de la nueva tecnología de Samsung con Knox para

diferenciar entre el mundo corporativo y el mundo personal (muy similar a la tec-nología de Blackberry con Balance).

MDS (Mobile Data Security)

Es la disciplina de la gestión de la seguridad del dato, comenzando con el Device Control (control de puertos físicos y lógicos con McAfee, Symantec, Safend y otros, y en este caso con Android –Mini USB, WiFi, BlueTooth, ActivSync y otros–) para evitar la transferencia no controlada de información entre dispositivos. Es la incorporación de un cliente de DLP (Pre­

corporativos, la incapacidad de trabajar con extensiones .dwg (Autocad), .mpp (Project), .vsd (Visio), entre otras muchas características a considerar.

Nota: en otras tecnologías también cabe encontrar términos como Mobile Content Management, que aglutinan muchas de estas funcionalidades, entre otros términos.

MAM (Mobile Application Management)

Es la disciplina de gestión de las apli­caciones para tener listas blancas y listas negras, provisionar clientes de VDI (Virtual Desktop In-frastructure, tipo Citrix, View y otros) aplicar po­líticas de P2P y que, por ejemplo, un usuario no pueda subir a DropBox, Box o similar información sensible del negocio en claro (sin cifrar). Tunelizar aplicaciones, etc. Pro­porcionar Repositorios Empresariales donde residirán las aplicaciones que forman parte de los procesos del negocio que estarán ‘securizadas’ y correctamente gestiona­

das, entre otra muchas funcionalidades, distinguiendo el mundo personal del corporativo, etc.

MAC (Mobile Access Control)/NAC (Networks Access Control)

Es la disciplina de integración en la plataforma NAC (Network Access Con-trol) Control de Acceso a la Red (también conocida como MAC/MAM)/802.1x de Cisco, Enterasys, ForeScout, Juniper, Aruba, Portnox Access Layers y otros para autenticar al dispositivo en una rel­ación (1 a n) dado que un usuario puede tener varios dispositivos, determinar si es corporativo/particular, determinar su estado de salud y en caso de resultado desfavorable derivarlo a una VLAN de cuarentena con acceso restringido hasta que se aplique el remedio sobre el mismo (por ejemplo la actualización del antivirus o la instalación de un programa) y que pase a una VLAN de producción (pudi­endo ejecutar el mismo los aplicativos que le correspondan según su perfil de autorización en el servicio de directorio X.500 correspondiente como el Directorio Activo, OpenLDAP, SunOne Directory, IBM Directory y otros).

vención de fuga de datos) con McAfee, Symantec, RSA, WebSense, Trend Micro, Sophos y otros en el dispositivo para auditar y prevenir la fuga de información sensible. Por ejemplo, si se quiere tener constancia de que el documento (clientes.docx) salió copiado por el canal correo, por la web, se subió a Facebook o a WhatsApp o se transfirió por mensajería instantánea por tal usuario tal día a la hora x.

Es la incorporación de la disciplina de IRM (Information Rights Management) con Gigatrust, Adobe, Check Point (Liquid Machines), Prot­On, RightsWatch, Micro­soft y otros, en la Gestión de los Derechos Digitales sobre estas plataformas para no perder el control del documento y determinar si se puede abrir, modificar, imprimir, que se elimine en dos días, tener una auditoría de quién, cuándo, cómo se tiene acceso a esa información sensible. Respecto al tema de IRM en dispositivos móviles es recomendable abordar pruebas de concepto puesto que están en plena maduración y es posible encontrarse con tecnologías que no soportan por ejemplo la integración con entornos Blackberry (sólo Android e IOS), la insuficiente integración con SharePoint, SAP Portal y otros portales

71S iC / N º104 / ABR I L 2013

En otro orden de cosas, es preciso comentar que se observa la tendencia de la inclusión en los fabricantes de MDM de la interacción con los repositorios centralizados tipo SharePoint, SAP Portal y similares para integrar las capacidades de seguridad, en especial en referencia a la mitigación de las fugas de información (DLP) y la gestión de los derechos digitales (IRM), junto con la firma electrónica e incluso firma biométrica en los disposi­tivos móviles y particularmente en las tabletas (ejemplo de lo que demanda el negocio).

Esto es independiente de si el cliente solicita el servicio en modalidad:

• Nube pública• Nube privada• Nube híbrida• Modelo On-Premi-

se (en su casa)Todo ello gestionado

en formato 24x7x365/8x5 por el proveedor ISP/por el cliente con la tecnología alojada en un SOC con los correspondientes ser­vicios de Consultoría e Integración. Buscando la correcta prestación del servicio:

GNS = (Gestión + Seguridad + Negocio)

Nota: Cabe precisar que hay variaciones en la terminología y que los fabricantes cada vez incorporan nuevos términos que consolidan la pirámide anterior.

ALGUNAS OBSERVACIONES SOBRE LAS TECNOLOGÍAS

El objetivo de las siguientes observa­ciones es dar una pequeña orientación al lector, puesto que resulta imposible en la extensión acotada de este artículo evaluar y emitir un juicio objetivo y exhaustivo sobre cada una de las tecnologías impli­cadas en este entorno del mundo BYOD.

En todo caso se recomienda al lector que repase el nº 96 de la revista SIC –páginas 68 a 74– del artículo titulado “La gestión segura de la movilidad”. El citado texto explica muy bien algunas de las cosas que se tendrían que pedir a un fabricante.

Si bien es cierto que el cuadrante de MDM ha cambiado e incluso hay jugadores con destacadas referencias que han des­aparecido del cuadrante de Gartner, se han producido compras como, por ejemplo, la adquisición de Zenprise por parte de Citrix (este último incorpora toda su ex­

periencia en el mundo de la virtualización de escritorios y aplicaciones y un excelente Security Container –a la altura de otros jugadores– con la provisión de tecnologías como WorkWeb (navegación segura) Wor­kmail (correo­e, calendario y contactos), ShareFile (Follow­me Data), GotoMeeting (herramientas de colaboración), Podio (red social corporativa). Good sigue siendo un gran referente para aquellos clientes que quieren adoptar una tecnología rápida y eficiente de SandBox “pura”, sobre todo porque ha solventado sus problemas de compatibilidad con los aplicativos en la nube, como Office 365, Google Apps, SalesForce y otros “excepto por el precio desproporcionado” de la licencia perpetua y su correspondiente mantenimiento, que no ayuda a los proveedores de servicios e

con Android. Los jugadores que vienen del mundo MDP tienen la ventaja de aportar una consola centralizada y un único agente para muchas de sus disciplinas. Una men­ción a Sophos, que ha acertado de lleno con su política de implementar una licencia única de punto final, y que licencia por usuario y no por dispositivo (independien­temente del número de estos), logrando una solución interesante; y aunque no incorpora de forma estricta un Sandbox, se puede determinar si podemos trabajar con su visión de repositorios corporativos / incorporar otra solución complementaria del mercado (por ejemplo, Fixmo, que sería válido para este y otros jugadores). También merece la pena comentar que pa­rece una solución muy equilibrada. Otros jugadores están realizando esfuerzos des­

tacables, y entre ellos se encuentra Trend Micro, con una magnífica suite con una interesante relación calidad precio (precisamente BlackBe­rry les ha elegido como solución anti­malware y la gestión de los pro­blemas de la privacidad con aplicaciones de terceros). También es recomendable revisar la visión de Kaspersky, que ha ampliado su portafolio de solventes productos.

Respecto a los líderes del cuadrante de Gartner de MDM (Mobile Device Management), destaca MobileIron como número uno indiscutible en la teoría y en la práctica, con respecto al número de referencias nacionales e internaciona­les con su excepcional tecnología; pero el número dos, Airwatch, es el que está haciendo más ruido en el mercado y pro­vocando una verdadera guerra de precios a la baja. Ambos jugadores han anunciado acuerdos con Samsung para incorporar la tecnología Knox para separar el mundo corporativo del personal desde el terminal (muy similar a la tecnología de Blackberry con Balance y que se puede ver en sus nuevos dispositivos Z10). En relación a Fi­berLink, ni está ni se le espera, porque sólo tiene solución de MDM en la nube y apenas dispone de referencias en el mercado na­cional, luego vemos el producto limitado. Precisamente por este motivo jugadores del entorno MAC (Mobile Access Control)/NAC (Network Access Control)/NAM (Net-work Access Management)/802.1x como Cisco, Enterasys, Huawey, Dell SonicWall y ForeScout, han anunciado acuerdos de interacción/integración (según los casos) con los principales líderes de MDM, los

integradores cuando quieren ofertar un modelo de pago mensual por uso (muy demandado por los clientes).

Respecto a Symantec (aparece en los dos cuadrantes mencionados), es, sin lugar a dudas, uno de los fabricantes que más darán que hablar en esa visión global que hemos estado comentando, aplicando toda su experiencia en la ges­tión y ‘securización’ de los endpoints y en su integración con las plataformas existentes (por ejemplo con System Center Configuration Manager). Tiene tecnologías para cubrir prácticamente toda la pirámide y su aproximación de ‘securización’ por aplicación se aleja de la rigidez del Sandbox tradicional que ataca la experiencia del usuario. Se les augura muchas futuras referencias con tecnología no traumática tanto para los dispositivos personales como los particulares. Respecto a McAfee, cabe mencionar que ha logrado destacados clientes con su tecnología de EMM “Enterprise Mobility Management”, pronto tendrá liberado un agente de DLP para las plataformas móviles y ha avanza­do mucho con su tecnología anti­malware sobre las plataformas móviles y en especial

72 ABR I L 2013 / N º104 / S iC

cinco primeros del cuadrante Gartner. En BYOD, el componente de autenticación del dispositivo y el usuario es fundamental y la aportación de la inteligencia de la red para contextualizar lo que puede/no puede hacer un usuario según su perfil y contexto de conexión es crítico (téngase muy presente) a la hora de seleccionar los jugadores más adecuados, porque sobre todo en BYOD se verá la interacción de las tecnologías de MDM y MAC (junto con otras como MDP, MAM y MDS).

Por ejemplo, la aproximación de Cisco (Mobility/BYOD) sobre la gestión unificada del acceso (una red, una gestión y una polí­tica) implementada en su solución de Cisco ISE para determinar Quién, Qué, Cómo, Dónde y Cuándo, es realmente poderosa. Este fabricante ya ha anunciado acuerdos con jugadores de MDM (MobileIron, Ai­rwatch, Citrix y Good). No podemos olvidar a ForeScout, que está ganando muchísimas referencias dentro del mundo del NAC (sobre todo en empresas medianas) por su excelente solución con una gestión y sencillez muy destacable, aunque creemos que su acuerdo con FiberLink como jugador de MDM no es adecuado y su reciente co­municado de integración con MobileIron y Airwatch animará a muchos clientes a combinar ambas tecnologías.

Por su parte, Enterasys es diferen­ciadora con su visión del mundo BYOD y su integración con su NAM (Network Access Management) interactuando con

los mundos del MDM, IPS, Mobile Device Management, Virtual Desktop Infras­tructure (VDI), Cortafuegos, Web Proxy, SIEM, aplicaciones corporativas, nube y su concepto de firma digital dentro de la empresa. Su clave: ser abierto a la in­tegración de otras tecnologías existentes en la organización.

Huawei (un gran desconocido en el mercado nacional) está debutando con sus soluciones extremo a extremo para cubrir todo un abanico de soluciones en Identidad, Privacidad y Cumplimiento y, desde luego, se recomienda evaluar su tecnología, pues cubre todo el ciclo de vida del activo, si bien conviene puntualizar que han integrado tecnologías de Symantec en algunas de sus soluciones.

Dell SonicWall es otro de los jugado­res desconocidos que habrá que tener en cuenta (sobre todo si disponemos de tecnología de este fabricante) pro­veniente del mundo de los sistemas con su novedosa estrategia de Dell Software Group. Ciertamente animamos al lector a descubrir su estrategia BYOD de control de acceso granular, conectividad flexible y gestionabilidad. Del nuevo gigante cabría destacar su solución vWorkspacey Kace para el acceso a la información crítica del negocio.

Otras tecnologías BYOD que recomen­damos evaluar son las visiones de Aruba, Aerohive y Meru, sobre todo pensando en soluciones sencillas con una puesta

rápida en servicio (con sus lógicas limita­ciones, claro).

Como es imposible nombrar a todos los fabricantes involucrados en el tema que nos ocupa, rogamos al lector que nos disculpen los no referenciados.

¿Qué jugadores tecnológicos y combinaciones de los mismos son los adecuados para una organización, según la pirámide de servicio que quiero ofrecer?

No es fácil contestar a esa pregunta y la respuesta será que dependerá de lo que se quiera hacer en BYOD y de si se desea aprovechar lo existente o ser rupturistas. Lo que parece claro es que Gestión y Se­guridad tienen que converger, pero que en el caso de BYOD el componente de la seguridad tiene una importancia capital y la inteligencia de la red ayudará a mitigar los posibles riesgos que podrían amena­zar la integridad de nuestros sistemas de información.

Al margen del jugador/es selecciona­do/s, se recomienda combinarlos en una segunda fase con tecnologías de MDM (en la base de la pirámide) antes de ir escalando hacia la cima con temas muy básicos como:

– Despliegue sencillo de la solución de BYOD y Corporativos con enrolado de los dispositivos por el propio usuario/adminis­trador de la empresa si es requerido, vía

RECOMENDACIONES FINALES (continúa en la página siguiente)

1. Definición/revisión del SGSI ISO/IEC 27.00X concerniente a la política corporativa con BYOD y enlace con las políticas existentes para los dispositivos corporativos (si existiese, por ejemplo, políticas para los mismos por la adopción de tecnologías como MDM/MDP, entre otras.

2. Validación con todos los departamentos afectados (Comunicaciones, Redes, Sistemas, Seguridad, Usuarios y Recursos Humanos) de las po­líticas consensuadas, verificando con un Consultor, un Implementador y un Auditor ISO/IEC 2700x la idoneidad de las políticas seleccionadas (revisión con el departamento legal) para no vulnerar la LOPD y el derecho a la intimidad de los usuarios BYOD. Posterior comunicación por parte de Recursos Humanos a la organización, proporcionando formulario electrónico/documento físico que refleje derechos y responsabilidades por ambas partes. Contemplar plan de formación para los usuarios de los portales de autoprovisión para poder dar de alta/baja los dispositivos y poderlos geolocalizar, bloquear y borrar por parte de los usuarios (con los mecanismos de notificación a la empresa por si ellos mismos no lo pueden realizar).

3. Formar y motivar al usuario en buenas prácticas “especialmente en los entornos Android, que son muy abiertos” para que se bajen una apli­cación de anti­malware que verifique en la nube el aplicativo antes de descargarlo y analice el mismo durante la instalación y ejecución. Por ejemplo, Avast tiene coste cero para el usuario particular y muy bajo para el entorno corporativo, y los precios de Kaspersky, Symantec o McAfee son muy contenidos. También podrá verificar qué aplicaciones extraen información de identidad que podrían vulnerar su derecho a la intimidad. Adicionalmente, que se bajen una aplicación de backup personal para salvaguardar aplicaciones, datos, contactos, SMS´s y otros. Por ejemplo, es muy conocida la aplicación Super Backup para los entornos Android.

4. Analizar “con calma” la oferta de los diferentes fabricantes para determinar el modelo más efectivo para la organización. Desde la autenticación del dispositivo y el usuario vía la integración de las tecnologías MAC/NAC/NAM/802.1x, determinando cómo puede ayudar la inteligencia de la red para contextualizar la conexión y perfilar el usuario (¿Quién eres? ¿Desde dónde?¿Con qué dispositivo? ¿Qué quieres hacer? ¿Cuándo? ¿Por qué?), hasta la integración con “Sandbox” (“caja de arena”), sin gestión, ligeramente gestionada, gestionada. Sin Sanbox vía ActivSync con/sin Sentry. Aproximación de Secure Container, Aproximación de protección por aplicación, etc.

5. Bajo ningún concepto permitir dispositivos hackeados ,“rooteados”, “Jailbroken” por la amenaza que constituyen para salvaguardar la seguridad de los sistemas de información corporativos. Aplicar medi­das estrictas al usuario del tipo dejarle en cuarentena y no permitirle el acceso a los recursos corporativos, bloqueo de acceso a Sandbox/si es reincidente borrado de Sandbox y notificación a su responsable y Recursos Humanos, etc. Guardar evidencia en SIEM por si es necesario utilizarla en un futuro, por ejemplo en un litigio ante los tribunales de justicia. Verificación persistente del estado del dispositivo, “puesto que hay múltiples parches que engañan a los sistemas de gestión y seguridad” (en muchas ocasiones el usuario no actualiza la aplicación vía Google Play, AppleStore y repositorio corporativo). Forzar la actualización regu­larmente denegando el derecho de conexión en caso de que no se haga. Esto reforzará la seguridad de nuestros sistemas de información.

6. Asegurarnos de que si se permite al usuario almacenar información en la nube en repositorios tipo Dropbox, Box, ZBox, Google Drive, SkyDrive o similares, la información esté cifrada en el origen con el objeto de prevenir las fugas de información. Hay herramientas de DLP que permitirán conocer en su modo de monitorización qué se ha dejado en esos repositorios.

73S iC / N º104 / ABR I L 2013

Javier Saro Luna

Director de Ingeniería Preventa - TI y SeguridadJavier.saro@bt.com

Javier Fernández Martín

Arquitecto de Soluciones TI y Seguridad Javier.fernandezmartin@bt.com

BT GLOBAL SERVICES

SMS, Mail, o URL y provisión de usuarios internos (en la organización vía WiFi).

– Gestionar la seguridad del correo­e:• Protegiendo la infraestructura de la

organización con un gateway flexible• Generando listas blancas y negras

de los dispositivos (con sus listas de ex­cepciones).

– Validando los dispositivos en base a múltiples parámetros como:

• Identificación del usuario del dispo­sitivo, correo­e.

• Número de serie, versión de S.O.• Validez del certificado del dispo­

sitivo.• Monitorización de su actividad (cui­

dado en este punto en BYOD vs dispositivos corporativos gestionados por un MDM).

• Fecha y hora de los intentos de sincronización.

• Versiones de ActiveSync.• Dirección IP del dispositivo.Después, por ejemplo, controlar la

navegación por Internet (si procede y según política de la empresa):

– Monitorizar y controlar la navegación web desde una aplicación corporativa para los usuarios (hay que recordar que se navega desde la infraestructura de la compañía, luego es legítimo).

– Si se estima, configurar URLs, web-sites permitidos y no autorizados.

– En entorno corporativo hacer un his­torial sobre la navegación para conocer ten­dencias, incrementar productividad, etc.

Respecto a la ‘securización’ del con­tenido (Sandbox, Content Locker, Secure Container, Corporate Workspace, etc.):

– Protección del acceso a través de mecanismos de autenticación fuerte (sof-tokens), si es posible. Cifrado FIPS 140­2 AES 256, detección de Tamper.

– Cifrar la transferencia de datos y almacenamiento en dispositivos con al­goritmos de primer nivel.

– Distribución automática de docu­mentos sobre los contenedores basada en el usuario, propietario del dispositivo y localización del mismo (contexto).

– Generación de políticas sobre el tra­tamiento de la información para guardar ficheros, abrirlos y manipularlos, compar­tirlos, enviarlos, etc.

– Lo ya comentado: borrado “Wipe parcial del dispositivo” de los datos corpo­rativos si el dispositivo es comprometido.

En referencia a capacidades multi-te-nant (multi­empresa y basada en roles) de las tecnologías:

– Elegir soluciones que den la facili­dad de poder crear instancias diferentes, porque la compañía (muy habitual en multinacionales) podría querer segmentar estas capacidades y segregarlas por orga­nizaciones y grupos diferentes de usuarios basándose en roles y visión empresarial (evidentemente se necesitará controlar de forma piramidal lo que hace cada administrador desde la raíz).

Respecto a la gestión de la configu­

ración (si coexistimos con dispositivos corporativos) al margen del BYOD por resumir mucho, es deseable tener una consola visual que permita:

– Configuración de contraseña, S/MIME Secure Email, Calendario, Contac­tos, VPN, WiFi y distribución sencilla de aplicaciones básica, software y actuali­zaciones de S.O. con entrega push/pull, con gestión de plantillas, imágenes y automatización, etc.

En relación con la gestión de aplica­ciones y contenido es deseable:

– Una distribución silenciosa y auto­matizada de paquetes.

– Controlar los repositorios públicos tipo (Android Google Play, Apple Store y similares).

RECOMENDACIONES FINALES (continuación)

7. Verificar el estado de los fabricantes sobre si soportan tecnologías de DLP en las diferentes plataformas y si son compatibles con las diferentes herramientas de IRM que existen en el mercado, dado que las reglas salientes de un DLP pueden ser las entrantes de un IRM, y nuestra expe­riencia –especialmente con estos últimos– es que están aún en fase de maduración. Si se elige algún fabricante de IRM, hay que realizar pruebas y más pruebas para determinar si se adaptan a nuestras necesidades a la hora de proteger nuestra información en movimiento sobre los dispositivos móviles.

8. Por descontado aconsejar al usuario BYOD que cifre sus dispositivos y, en especial, las tarjetas MicroSD presentes en sus terminales. Como es un dispositivo no gestionado, lo tiene que hacer él mismo, pero podemos notificarle con su consentimiento que, por ejemplo, no lo tiene cifrado y que tiene que cumplir unas mínimas políticas de seguridad antes de acceder a los recursos corporativos.

9. Es aconsejable la adopción de tecnologías de autenticación fuerte para el acceso a los recursos de la organización, en este caso con softokens de los diferentes jugadores del mercado: SafeNet, Swivel, ActivIdentity, Vasco, RSA, etc. Vía Gráficos de Turing, String de Seguridad vía SMS, Semilla en el dispositivo, etc. Es evidente que hay que verificar que el dispositivo no esté rooteado/jailbroken.

10. Incorporar las aplicaciones que solicita el negocio con prudencia (Firma­e, Firma Biométrica, workflows del negocio, control de accesos, plataformas de pago). Sólo cuando verifiquemos su estabilidad y rendimiento.

11. Verificar que las tecnología/s seleccionadas tienen un grado de integración básico/interactúan con las tecnologías ya existentes (Device, control, cifrado, NACy 802.1x, antivirus/anti­malware, cortafuegos, DLP, IRM, SIEM, CMDB, HelpDesk, etc.). Algunas compañías se sienten cómodas minimizando al máximo el número de agentes y consolas sobre el activo.

12. Aplicar un nivel de seguridad personalizado según el contexto de conexión y perfil del usuario, por ejemplo discriminando por AP de conexión WiFi con control de MAC. Registrando también toda la información de Bluetooth y punto de conexión, accesos VPN, VoIP/SIP, certificados, etc. Esto es crítico en los entornos BYOD, aprovechando la inteligencia de la red de los diferentes fabricantes (Cisco,Enterasys, Huawei,Juniper, Dell SonicWall, Aerohive, Meru, etc.).

13. En la auditoría de usuarios y procesos claves, integrar con correlación de eventos y generar cuadros de mando, y ser prudentes con los entornos BYOD vs corporativos para no vulnerar la LOPD y derechos de privacidad del usuario.

14. Buscar un buen proveedor de servicios si se está pensando en el modelo en la nube, que disponga de un SOC, que sea capaz de pasar a un modelo Híbrido e incluso OnPremise (local) si la política de la empresa cambia y, sobre todo, que ofrezca un modelo de pago por uso (no de inversión) desde el dispositivo 1 hasta el n. Sobre todo que hable del servicio y no de fabricantes, entendiendo la prestación del mismo y solicitando una PoC “Prueba de Concepto” acotada sin coste.

15. Si la compañía se lo puede permitir, contratar a una consultora que sea diferente de la empresa que realice la integración/preste el servicio. Redundará en nuestro beneficio y ofrecerá una visión objetiva de las funcionalidades de los diferentes fabricantes, más allá de fiarse de un cuadrante de Gartner, dado que se está buscando el equilibrio entre funcionalidad, seguridad y coste asociado.

16. Orientarse a los objetivos del negocio, proporcionándole nuevas herra­mientas que mejoren su eficiencia, su rentabilidad y la satisfacción de los usuarios sin perder de vista que los recursos económicos en estos momentos de crisis son limitados.

Referencias

• www.idc.com• www.gartner.com• www.forrester.com• www.revistasic.com (nº 96, sep. 2011)