Bajo el paraguas de Bring Your Own Devices se esconden múltiples modelos de trabajo algunos de los cuales pasan por utilizar dispositivos ajenos a la empresa y difíciles de controlar.
Autor: José Carlos García, ingeniero de Soluciones de Enterasys Networks. Publicado por RedesTelecom 2012
Bring Your Own Devices o BYOD
es uno de los temas TIC de los que más se ha hablado en los últimos
meses, y uno de los que más se presta a malentendidos y “falsos mitos”,
en parte porque al hablar de BYOD no todo el mundo se está refiriendo a
la misma realidad. Bajo este acrónimo nos encontramos al menos con ocho
escenarios distintos: puede tratarse de un dispositivo propiedad de la
empresa o no (aunque el empleado lo use como dispositivo personal),
puede tener acceso a la red LAN o no, a información corporativa una vez
conectado a la LAN o no, etc.
El fenómeno BYOD y la llamada consumerización de las TI
están aquí para quedarse. Antes de aplicar cualquier plan o estrategia
BYOD y lanzarnos a desplegar todo tipo de tecnologías etiquetadas como
“BYOD”, tenemos que tener muy claro qué tipo de escenario tenemos en
nuestra empresa.
Primeros escenarios
El primer escenario es el más evidente. Dispositivos que son gestionados por la empresa, se conectan a la LAN y tienen acceso a los datos corporativos.
Básicamente es el mismo escenario que teníamos anteriormente, con
máquinas corporativas. Desde el punto de vista de la red y de la
seguridad hay pocos cambios con respecto a lo que se viene haciendo
desde hace años. La única diferencia es que no es la empresa la que
compra el aparato, es el empleado el que lo paga. Utilizando mecanismos
de control de acceso y de autenticación solucionamos el problema con
este grupo de dispositivos. Podríamos denominar a este escenario “Buy”
Your Own Device.
El segundo escenario no tendría tampoco complicación si no fuera en lo que respecta a la protección de datos.
Puesto que no todos los datos son datos corporativos, es importante
saber lo está saliendo fuera. En este caso nos puede ayudar un buen
firewall como el de Palo Alto, un sistema de políticas y un sistema
SIEM. Así conoceremos lo que está sucediendo en la red y con estos
dispositivos y tomar medidas.
El tercero es aquel
en el que dispositivos propiedad de la empresa y gestionados por la
misma tienen acceso a los datos corporativos pero no a la red de la
empresa. ¿En qué escenario ocurre eso? En aquél en que los dispositivos móviles acceden a recursos de la empresa “en la nube” utilizando
redes públicas o particulares, o simplemente que acceden a su correo
pasando a través del firewall corporativo (por ejemplo usando la
plataforma BlackBerry Enterprise Server). En este caso, la mejor
combinación es utilizar un sistema de gestión de dispositivos móviles
(MDM) y una solución de gestión de identidades basada en cloud.
Si estos dispositivos no acceden a información corporativa, bastaría con usar MDM.
Puesto que son equipos propiedad de la empresa y gestionados por ella,
podemos implementar una política que exija instalar un software MDM y
así podemos tener control un cierto control sobre el aparato.
Si la organización no gestiona
Veamos ahora el caso de dispositivos que no son gestionados por la organización. Aquí las cosas se ponen más difíciles.
El primero de estos escenarios es aquél en el que hay dispositivos que acceden a la LAN y a los datos corporativos pero que no son gestionados por la empresa. Puesto que no podemos gestionarlos, necesitamos utilizar un sistema de control de acceso basado en red que nos permita escanear de forma remota los equipos, para asegurarnos que cumple con las políticas de red, o simplemente denegarles la conexión. Puesto que se trata de datos corporativos, podemos usar una solución SSO para resolver este asunto.
El primero de estos escenarios es aquél en el que hay dispositivos que acceden a la LAN y a los datos corporativos pero que no son gestionados por la empresa. Puesto que no podemos gestionarlos, necesitamos utilizar un sistema de control de acceso basado en red que nos permita escanear de forma remota los equipos, para asegurarnos que cumple con las políticas de red, o simplemente denegarles la conexión. Puesto que se trata de datos corporativos, podemos usar una solución SSO para resolver este asunto.
¿Pero, y si no acceden a datos corporativos?¿Realmente podemos impedir a alguien que utilice su cuenta en Dropbox?
Podemos hacerlo, puesto que están utilizando nuestra red. Quizá
demasiado restrictivo. Para hacerlo, podemos utilizar un IPS o una
herramienta de detección de aplicaciones, que nos alerte de la conexión y
podamos deshabilitarl dicha conexión en el firewall o a nivel de puerto de switch.
Si
no es un dispositivo corporativo ni tampoco usa nuestra red, el único
punto de autenticación de que disponemos es a nivel de aplicación. Hay
herramientas que nos permiten automatizar el proceso de
aprovisionamiento de aplicaciones y de desconexión cuando el empleado ya
ha terminado de utilizarla. La automatización es necesaria, porque si no, el proceso puede ser demasiado trabajoso y podernos dejar alguna sin cerrar.
El
último escenario es el más peliagudo de gestionar. Es un dispositivo
que no es de la empresa, que no accede a los datos corporativos y que no
usa nuestra red. El mayor riesgo aquí es que alguien diga algo negativo
de la empresa en los medios sociales 2.0. Aquí no
tenemos ningún control, al menos desde un punto de vista técnico.
Algunos dirán que esto no es un problema “BYOD”, pero en parte está
relacionado, ya que a veces algunas compañías compran para sus empleados
smartphones que no se usan realmente para el trabajo, o al menos gran
parte de sus funcionalidades. Algunos fabricantes ofrecen appliances
para protegerse de este riesgo, pero si estos equipos no usan mi red,
esto no sirve para nada.
La huella digital
Como hemos visto, en algunos de estos contextos BYOD, es
muy necesario contar con sistemas que permitan tener bajo control toda
la flota de dispositivos móviles que acceden a la red corporativa.
Un sistema de gestión de dispositivos móviles (MDM) nos permitirá entre
otras cosas gestionar las aplicaciones móviles que corren en estos
dispositivos (despliegue, actualización, bloqueo), gestionar inventarios
(tanto de hardware como de software), políticas y seguridad (políticas
corporativas, autenticación, encriptación, conexión a redes, conocidas y
no conocidas) y gestionar servicios de telecomunicaciones.
A partir de la información proporcionada por el sistema MDM, se puede generar la llamada “huella digital” del dispositivo.
Esta huella digital incluye una gran cantidad de información sobre el
mismo: IMEI o código de identificación del dispositivo, tipo de acceso
que está utilizando, identidad del dispositivo (física y virtual),
sistema operativo y versión, tipo de dispositivo (tableta, smartphone,
etcétera), lugar y momento del día en el que se conecta,
aprovisionamiento de aplicaciones que está pidiendo, sistema de
autenticación utilizado, “estado de salud” (antivirus instalado,
parches, aplicaciones instaladas y nivel de riesgo potencial de cada
una, etcétera) y recursos de red a los que está autorizado a acceder.
A partir de ahí es tarea del departamento de sistemas el diseñar las diferentes políticas a aplicar en cada uno de los casos.
Por ejemplo, se puede establecer la política de que un dispositivo con
una determinada aplicación instalada no puede acceder a la red, o sólo
puede disponer de acceso Wi-Fi a Internet, como usuario invitado, sin
acceso a la red corporativa. La operación conjunta de los sistemas de
gestión de red que monitorizan y autorizan las conexiones de
dispositivos a la red y los sistemas MDM que conocen el estado de cada
dispositivo móvil conectado es fundamental y en muchos casos la única
solución para concebir un sistema BYOD en entornos que manejen
información crítica o confidencial.
No hay comentarios:
Publicar un comentario