La semana pasada publiqué una entrada sobre las principales amenazas de seguridad en el próximo año, con muy buena acogida. No habéis sido pocos los que, por medio del correo de la web, o mediante los canales sociales, os habéis puesto en contacto con un servidor para que os ofreciera alguna aclaración al respecto u os aconsejase sobre alguno de los puntos mencionados.
En especial, buena parte de las preguntas venían referidas al último punto, que acerté a denominarlo Consumerización y dispositivos móviles, y del que paradójicamente (quizás por tratarse de un tema relativamente nuevo), hay muy poca información disponible en internet.
Por ello, me veo en la obligación de ofreceros una entrada al respecto, en la que trataré los conceptos básicos del uso del smartphone como oficina de trabajo y la necesidad de implementar unos perfiles seguros para el acceso a datos sensibles de la empresa.
Índice de contenido
Consumerización y dispositivos móviles
Con la expansión de los dispositivos móviles inteligentes (véase ultrabooks, smartphones y tablets, e incluso cámaras o mp4 avanzados), se ha trasladado en algunos trabajos el uso de hardware y software propiamente de la empresa al del trabajador. Esto es debido principalmente al coste relativamente bajo de estos terminales en comparación a hace unos años, y la ventaja en comodidad y transparencia que conlleva tener acceso siempre que se precise a la información.
Lamentablemente, y aunque el equipo de IT de la empresa tenga relativamente bien administrado una directiva de seguridad para el uso de los datos de la compañía, todo se va al traste cuando tanto el software como el dispositivo usado son externos.
Incluso aún hoy en día veo con mucha frecuencia cómo la sección de logística, marketing, publicidad y ventas (cito estas por ser las que por lo general acaban lidiando con el cliente) usan smartphones o tablets cedidos por la empresa, y éstos no tienen siquiera un mínimo control de la seguridad.
En este sentido, existen dos modelos actuales:
- BYOD (Bring Ypour Own Device): Dispositivos personales que los trabajadores usan como oficina (ya sea en el día a día o como alternativa en el horario que están fuera del trabajo).
- Dispositivos de empresa: Dispositivos que la empresa otorga al trabajador para desempeñar su trabajo, aunque en la práctica acabe también siendo usado para fines personales.
En los dos casos, es de vital importancia que estos dispositivos cumplan un criterios mínimos de seguridad, ya que recordemos, se trata de dispositivos móviles (fácilmente sustraibles u olvidados en algún sitio) que manejan información confidencial (clientes, partners, logística, estrategias de mercado,…).
Para ello están las políticas corporativas, un informe (por lo general extenso), que define unas expectativas de seguridad según el caso (información consultada, puesto de trabajo,…).
La mejor forma de implementar estas políticas corporativas, es mediante un MDM.
¿Qué es un MDM?
MDM, o Mobile Device Management es un sistema de gestión de dispositivos móviles. Permite el control del terminal, tanto a nivel usuario, como protección en caso de robo. Se trata por tanto de una capa administrativa, que restringe el uso de determinadas funciones (si fuera necesario), instala de forma remota el software de gestión y seguridad según las características del perfil de configuración elegido, realiza controles y en caso de peligro, bloquea el dispositivo o incluso elimina la información confidencial.
Existen varias alternativas, según diferentes SO, aunque debido al predominio de los dispositivos móviles de Apple en la elección de los directivos de empresas (se calcula que alrededor del 73% de directivos tienen un iPhone y/o un iPad, quedando algo más del 20% para móviles de gama alta de Android), me centraré en las alternativas de éstos últimos.
MDM en iOS
iOS, el sistema operativo de los iPhones y los iPads, tiene de base un sistema de MDM que requiere, como es de esperar, de una configuración previa para hacerlo correr.
Es importante señalar que en muchos casos, la sección de IT de la empresa, o la compañía contratada para asesorar a la empresa, tiene que lidiar con el problema añadido que quien peor suele acabar usando los dispositivos de empresa suelen ser los directivos (que para colmo son los jefes, y por tanto, intocables). En este momento, es importante mostrarles la necesidad de cuidar y segurizar las aplicaciones y usos de sus teléfonos, ya que en muchos casos, son éstos quien acaban poniendo en peligro los datos y no los trabajadores más abajo en la cadena jerárquica (tienen por lo general más permisos de acceso, y querámoslo o no, tienden a ser más descuidados con los dispositivos).
Para configurarlo, tendremos que, política corporativa en mano, definir los perfiles de configuración de nuestra empresa.
¿Qué es un perfil de configuración?
Se trata de un fichero XML (en Apple es el fichero plist (XML property list) que se guarda en General Setting (en el iPhone)), pudiendo tener varios perfiles de datos diferentes. Como base, el propio smartphone trae unos predefinidos de serie, que seguramente necesiten de una configuración previa para adaptarse a las necesidades únicas de la empresa.
Para configurar un perfil, se puede usar el iPhone Configuration Utility (iPCU), que funciona tanto en Windows como en Mac.
Creación de un perfil: Metadatos
El archivo guarda datos como el nombre del perfil, identificador del perfil, nombre de la empresa, descripción, seguridad, contraseña,…
Sirve para que el administrador tenga una herramienta para controlar los dispositivos. Por supuesto, no se trata de una herramienta infalible, puesto que no hay manera de evitar que un trabajador haga un Jailbreak al terminal, y elimine por completo el sistema de gestión. Afortunadamente, en caso de que esto ocurriera, podemos configurarlo para que, de dejar de recibir datos del mismo, nos avise mediante mail al administrador (y éste a su vez puede hacer lo propio al encargado, suponiendo que no sea el mismo que ha hecho el jailbreak :)).
En la configuración, definiremos los servicios y permisos que puede o no usar un trabajador con X perfil de configuración mediante payloads, cargas o requisitos que estarán capados (política passcode, restricciones, wifi, VPN, correo, exchange,…)
El mayor pero es que para configurar masivamente cada terminal, solo funciona por USB (por tanto inservible para empresas medias/grandes), pero se puede usar wifi en el caso de que tengas un server OS (Mac server, Mac Mini, o Lion server si ya tienes un mac). Libertades que se permite Apple para obligarte a que tengas un server propio de la compañía (que seguramente no lo vayas a usar más que para eso).
De esta manera, y suponiendo que los perfiles creados cumplen el modelo de política corporativa correcto, podremos estar seguros que todos los terminales de la compañía cumplen los requisitos mínimos de seguridad, y podríamos, si nos viéramos en la forzosa situación de una potencial brecha, cortar por lo sano antes de que ello acarrease problemas mayores.
Referente a la seguridad del los smarphones de empresa.
Esta claro que pueden ver y controlar todo lo que hace el tlf, incluso localizar en lugar donde este el terminal.
Pero tengo una duda, ¿ si se utiliza el tlf como router y se conecta desde otro terminal podria navegar sin ser visto ?
Depende del acceso (del gobierno de identidades) que tengan implementado. En teoría con acceso completo, tendrías acceso a los paquetes que pasan por el smartphone, y por ende sí.
Otra cosa es que el MDM gestione este apartado, o simplemente se centre en gobernar el uso del teléfono en sí (aplicaciones, básicamente).
Buen post. ¡Enhorabuena!
Muchas gracias!