Gestión de la Seguridad de la Información corporativa en dispositivos móviles

En este artículo vamos a hacer un breve repaso de las necesidades de seguridad de los dispositivos móviles (tabletas, teléfonos móviles inteligentes…) cuando se usan en el contexto empresarial, tanto en el caso de dispositivos propiedad de la empresa, como en el caso de escenarios de uso de dispositivos particulares de los empleados (modelo BYOD, Bring your Own Device). Repasaremos también las distintas funcionalidades que ofrecen las soluciones de Gestión de Dispositivos Móviles o MDM (Mobile Management Device), para satisfacer estas necesidades.

Los dispositivos móviles tienen un perfil de riesgo algo distinto del de otros activos tecnológicos. Este perfil depende en gran medida de las características de los mismos:

• Son dispositivos que por su pequeño tamaño pueden perderse o sustraerse con facilidad.

• Tienen acceso inalámbrico a Internet y acceso a la red de telefonía móvil

• Capacidad de establecer comunicaciones por Bluetooth o NFC con otros dispositivos próximos.

• Sistema de posicionamiento global GPS

• Cámaras de fotos, video y micrófono incorporadas

• Alta capacidad de almacenamiento

• Un sistema operativo casi al mismo nivel que el de un ordenador doméstico.

• Extensiva disponibilidad de aplicaciones de terceros que pueden ser instaladas por parte del usuario

• Capacidad de usar el dispositivo como almacenamiento removible, para almacenar datos de otros dispositivos y de volcar los datos a otros dispositivos

Perfil de Riesgo y estrategias de control

Antes de establecer una política de seguridad para el uso corporativo de estos dispositivos y de seleccionar una solución MDM, conviene realizar un análisis de riesgos, para perfilar cuáles son las amenazas relevantes para nuestra organización. La siguiente tabla puede ser puede ser de utilidad para este análisis:

Factor de Riesgo Estrategias de control
En el caso de dispositivos particulares propiedad  del empleado (BYOD), el dispositivo no es confiable ya que en principio no se tiene control sobre las aplicaciones instaladas, la seguridad del sistema operativo, los usuarios que manejan el terminal y el tipo de uso que hacen del mismo.  En algunas organizaciones, la estrategia más adecuada es la evitación, no permitiendo el  uso de dispositivos particulares. En aquellas organizaciones que quieran explotar los beneficios del BYOD, además de la implantación de una política de uso, la organización facilitará soluciones tipo sandbox, que permiten crear un espacio restringido seguro para las aplicaciones y datos corporativos, aislándolos del resto del dispositivo.
Por su naturaleza, los dispositivos móviles pueden ser perdidos o robados con mayor facilidad que otro tipo de activos de información, con el consiguiente riesgo de acceso a la información corporativa por parte de terceros no autorizados. La primera medida básica es el establecimiento de mecanismos de autenticación como filtro inicial antes de poder acceder al dispositivo y al contenido almacenado. Otras opciones en relación con la prevención del acceso a la información almacenada van desde configurar el dispositivo para que en él no se pueda almacenar información, hasta el establecimiento de cifrado de la información almacenada. 
La proliferación de aplicaciones de terceros disponibles para ser ejecutadas en dispositivos móviles y la facilidad para su adquisición e instalación, hace que aumente la probabilidad de que se instale código malicioso en el terminal, con riesgo para la confidencialidad de la información.   Entre las diferentes alternativas: Prohibición de  aplicaciones de terceros (por ejemplo, imposibilitando su descarga e instalación) o establecimiento de una  “lista blanca” de las aplicaciones de terceros permitidas. Instalación de soluciones tipo sandbox, que permiten crear un espacio restringido seguro para las aplicaciones y datos corporativos, aislándolos del resto del dispositivo.

 

Establecimiento de restricciones (o denegación) de  la navegación por Internet desde el dispositivo.

 

Al hacer uso de redes no confiables (como por ejemplo Internet), la transmisión de información corporativa puede ser accedida por personas no autorizadas. Uso de cifrado de las comunicaciones y de certificados a nivel del servidor y el terminal, de modo que se haga una autenticación mutua antes de establecer la conexión. 
Al conectarlo a un sistema externo no confiable (ejemplo, un ordenador personal) el dispositivo externo puede ser usado como un disco duro en el que se podría copiar información desde o hacia el sistema externo. El riesgo es la pérdida de confidencialidad de la información o la instalación.   Implantar restricciones para restringir los sistemas con los que el dispositivo se puede sincronizar. Restringir la navegación a servicios de almacenamiento en la nube.

Soluciones de Mobile Device Management (MDM)

Este tipo de soluciones están orientados al control centralizado por parte de la organización del uso de dispositivos móviles, tanto propiedad de la organización, como del empleado, en el caso de escenarios BYOD.

Las funcionalidades principales de este tipo de soluciones son:

Forzado de la política de seguridad del dispositivo: Cuando el dispositivo intenta conectarse, la solución MDM evalúa el grado en que la configuración del dispositivo se ajusta a la política establecida, pudiendo forzar en este momento la configuración del dispositivo. Entre las restricciones más comunes de la política de seguridad están:

• Establecer restricciones de acceso por parte de las aplicaciones a elementos como la cámara de fotos, el interfaz USB, el almacenamiento de datos, el interfaz Bluetooth, el GPS…

• Establecer restricciones en el acceso a determinadas aplicaciones (por ejemplo, el navegador nativo del dispositivo).

• Gestión de los interfaces inalámbricos de redes.

Autenticación: Entre las características relativas a la autenticación se pueden citar:

• Forzar la necesidad de autenticación para acceder al dispositivo; por ejemplo mediante la introducción de un par usuario-contraseña.

• Forzado de las características de seguridad de la contraseña, entre otras: longitud mínima, bloqueo tras varios intentos fallidos, necesidad de cambiar la contraseña tras un periodo de tiempo, necesidad de que las contraseñas sean de cierta complejidad…

• Gestión remota de la contraseña por parte de un administrador. Útil cuando el usuario olvida la contraseña de acceso.

• Establecimiento del bloqueo automático del dispositivo tras un periodo pre-determinado de inactividad, de modo que sea necesario introducir el usuario-contraseña para desbloquearlo.

Gestión de aplicaciones:

• Restricciones con respecto a las aplicaciones que pueden o no ser instaladas (mediante listas blancas o negras).

• Gestión remota de aplicaciones (instalación, actualización, desinstalación).

• Establecimiento de un repositorio de aplicaciones corporativas y aplicaciones de terceros autorizadas, de modo que estas pueden descargarse con seguridad de este “market” corporativo.

• Firma digital de las aplicaciones corporativas, de modo que se pueda asegurar que el código no ha sido manipulado.

Seguridad de los datos almacenados y en tránsito: Permite establecer:

• Encriptación de las comunicaciones del dispositivo con la red corporativa; por ejemplo, mediante el establecimiento de una VPN.

• Forzar el cifrado de los datos almacenados en el dispositivo (incluidos los soportes removibles).

• Capacidad de borrado en remoto del dispositivo en caso de notificación de pérdida o robo del mismo.

• Capacidad de borrado seguro de la información corporativa del dispositivo, tras varios intentos erróneos de autenticación.

Con esto damos por finalizado este post. En artículos posteriores haremos una comparativa de las distintas opciones que hay en el mercado de soluciones MDM. Un fuerte abrazo y gracias.

Deja un comentario