jueves, 20 de marzo de 2014

IT shadow (I) : BYOD – Seis Prácticas de seguridad


Ya sea que su organización tenga una Política Bring Your Own Device (BYOD) establecida o no, no es menos cierto que los usuarios (empleados, estudiantes)  ya están trayendo sus propios dispositivos bien sea a la oficina o instalaciones de trabajo. Mientras que los teléfonos inteligentes y las tabletas son los sospechosos de siempre, la " consumerización " de TI se extiende a ordenadores portátiles personales e incluso los ordenadores de casa.

Las empresas que se resistían a esta tendencia se están dando cuenta de que hay muchos beneficios al dejar que los empleados  utilicen sus propios ordenadores portátiles y dispositivos de mano, incluido el reducido costo y aumento de la productividad de los usuarios.

Retos de seguridad relacionados a programas BYOD:

  • ¿Puede TI gestionar y dar soporte eficazmente a dispositivos de propiedad auto- configurados por los empleados y contratistas?
  • ¿Cómo se proporcionará a estos empleados y contratistas acceso seguro a las redes corporativas, aplicaciones y datos utilizando los “endpoints”?
  • ¿Cómo proteger los datos corporativos y aplicaciones de malware y acceso no autorizado a través de los “endpoints”?
  • ¿Se puede aislar con eficacia las aplicaciones y los datos personales y de la empresa en el mismo dispositivo? 



Consideraciones
Descripción
Empleados
Interés en BYOD
Porcentaje de empleados interesados en adoptar BYOD
Porcentaje de empleados que utilizan dispositivos personales para trabajar hoy por hoy
Expectativas
Identificar las expectativas alrededor del BYOD (dispositivos o plataformas específicas)
Derechos actuales
Usuarios que tienen derecho actualmente a los dispositivos propiedad de las empresas. ¿Por qué?
¿Cuáles son los costos (hardware, software, servicios, etc)?
Procesos

Gestión de dispositivos
Procesos implementados para la gestión de dispositivos (backup, gestión de software/aplicaciones)
Gestión de dispositivos perdidos o robados (bloqueo/borrado remoto)
Tecnología
Seguridad
¿Cuáles son las políticas y prácticas actuales de seguridad en la actualidad?  (gestión centralizada de datos locales, cifrado y  copia de seguridad)
¿En qué medida las prácticas de seguridad existentes pueden limitar las oportunidades BYOD?
Herramientas
¿Qué herramientas / soluciones se utilizan hoy en día para la gestión de dispositivos?
¿Cuáles son los costos? (hardware, software, servicios, apoyo)?


Riesgos del BYOD

Que los usuarios consulten el correo electrónico y el calendario desde su propio teléfono o tableta es una cosa, pero trabajar con aplicaciones críticas de negocio es otra.
Con los dispositivos personales, la fuga de datos (data leakage) es una preocupación importante. Muchos de estos dispositivos almacenan datos en la nube, donde los datos se pueden duplicar fácilmente entre las aplicaciones y otros dispositivos.

Además, debido a sus características de tamaño y forma, los teléfonos inteligentes y las tabletas pueden ser fácilmente perdidos o robados o colocados en lugares no custodiados apropiadamente,  creando la oportunidad a usuarios malintencionados.

Dispositivos personales no administrados accediendo a aplicaciones empresariales introducen el riesgo añadido de “endpoints” de no confianza en la red interna. Para minimizar el riesgo de infección por malware o la fuga de datos, las empresas deben establecer políticas sobre quién tiene permiso de acceso a qué datos y aplicaciones corporativas a través de la red.

Tabla resumen de riesgos

Tipo de riesgo
Riesgo
Internos
Los empleados pueden estar insatisfechos por la limitada selección de dispositivos compatibles.
Las organizaciones pueden estar expuestas a problemas de responsabilidad derivados de uso de los dispositivos o las implicaciones que plantean los reembolsos (ayudas para la compra de dispositivos) proporcionados a los empleados.
Costos incrementales por dar soporte a demasiados dispositivos con procesos de soporte ineficientes.
Uso no adecuados de los dispositivos por parte de los empleados pueden originar riesgos de seguridad adicionales.

 Externos
Los competidores pueden tener ventajas de productividad si su programa BYOD no está definido y ejecutado adecuadamente.
La organización puede estar expuesta a riesgos regulatorios que resultan de las violaciones de datos personales, pérdida de información, etc.
Mal manejo de la información personal puede convertirse rápidamente en conocimiento público e impactar en la reputación.
El aumento del nivel de diversidad y complejidad de los dispositivos puede impactar en las capacidades técnicas para la gestión de estos dispositivos.

Seis prácticas de seguridad

1. Establecer políticas y expectativas claras

  • Su política debe cubrir por lo menos los siguientes aspectos:
  • Opciones del dispositivo
  • Participación
  • Condiciones de uso
  • Cancelación
  • E-discovery/Forensics
  • Soporte

2. Crear un espacio de trabajo separado seguro
Los beneficios de la contenerización para entornos BYOD / PC son:
  • Cumplimiento de las políticas.
  • Borrado remoto de datos.
  • Separación de datos y aplicaciones personales y de trabajo.
  • Cifrado de datos.
  • Gestión de contenedores vs gestión de múltiples dispositivos.
  • Única consola para gestionar las políticas en función del perfil del usuario.

3. Proteger la red
  • Segmentar y asegurar la red para que coincida con la estrategia BYOD / PC.
  • Los empleados que usan dispositivos personales sólo deben tener acceso a la red de invitados.
  • Sólo deben aceptarse conexiones desde aplicaciones que se ejecutan en los espacios de trabajo seguros.

4. Hacer cumplir las políticas de contraseñas 
  • Utilizar el enfoque de espacios seguros, para hacer cumplir las políticas de acceso específicas del espacio.
  • Utilizar  autenticación de dos factores.
  • Establecer políticas de contraseñas no demasiado complejas.

5. Direccionar los mandatos de cumplimiento y gestión de riesgos
  • Minimizar los riesgos de negocio asociados a la instalación de aplicaciones y datos corporativos en los dispositivos que no son propiedad de la compañía.
  • Implementar funcionalidades de eliminar los datos corporativos en un ordenador o un dispositivo que se pierde o es robado, o cuando un empleado o contratista deja el negocio.
  • Implementar acuerdos BYOD firmados por los empleados, proveedores, etc.
  • Mantener los datos empresariales y aplicaciones claramente segregados en el dispositivo personal.

6. Comenzar con un grupo piloto
  • Iniciar la iniciativa de BYOD / PC, con un grupo limitado dentro de la empresa.  
  • Trabajar con un grupo reducido permite identificar diversos aspectos de tipo legal, de aplicación, seguridad y de usuario que puedan surgir.
  • Considerar el grupo de  o proveedores como marco de prueba donde puede " exigir " la práctica BYOD / PC.
  • Una vez que se haya ejecutado el piloto y resuelto cualquier problema, se debe iniciar el despliegue de las políticas BYOD / PC a otros grupos.

No hay comentarios: