Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013

El Reto del BYOD Seguro: Luces y

SombrasJosé Miguel CardonaSocio y Director de Proyectos de Consultoría de DNBCISA, CISM, CISSP, CRISC, AMBCI, LA ISO 27001, LA ISO [email protected]

Introducción

Fuente: www.dilbert.com

- Mordac, necesito acceder a datos de la compañía desde mi Ipad.

- ¡Si te ayudo, todos los empleados de la empresa querrán lo mismo!

- ¿Querrán hacer sus trabajos más eficientemente?- No puedo animar esa clase de cosas.

VIÑETA

Introducción

Fuente: www.dilbert.com

- ¡Alto proveedor! No puedes llevarte tu portátil fuera del edificio con datos en él.

- ¡Debes entregar tu portátil a TI para que puedan machacarlo a polvo!

- Eso es una locura. Tengo los mismos datos en mi cabeza.- Esto nos lleva a la parte incómoda.

VIÑETA

Un posible Escenario

• Empresa mediana de ámbito multinacional

• Varias delegaciones comerciales por todo el mundo.

• Gran dedicación de tareas comerciales, de representación y distribución con alto porcentaje de dedicación en viajes (nacional e internacional).

• El ERP corporativo (accesible vía VPN), el correo electrónico y la mensajería instantánea son herramientas clave de trabajo.

• Casi todos los empleados usan móviles o tabletas corporativas

• Elevada rotación por obsolescencia de estos dispositivos

Decisión Estratégica: BYOD

• Se plantea desde Dirección estudiar la estrategia BYOD a nivel corporativo


• El Departamento Financiero hace un estudio del coste siendo claramente favorable.

• RRHH considera que la productividad se incrementará en un 20% con las soluciones de movilidad


• Para el Dep. TIC no hay excesivas diferencias a la hora configurar los dispositivos bien sean propiedad de los empleados o de la empresa. Supone prácticamente la misma dedicación…..

y podrán cambiar las Blackberry por iPhones ☺

Se “implanta” BYOD…

• Se permite el acceso a la Wifi corporativa a los dispositivos detodos los empleados.

• Se da acceso remoto vía VPN al personal que viaja y que justifique necesidad de trabajo remoto.

• El Departamento TI inventaría los dispositivos y registra el empleado propietario.

• El Departamento TI o los propios usuarios sincronizan las cuentas de correo corporativo en los dispositivos

Y a trabajar!!......(en un mundo ideal)

Algunos datos tras un año…

• En efecto la productividad se incrementó

• Se redujeron los costes de los activos fijos e indirectos derivados de los dispositivos móviles

• Se recibieron varias felicitaciones por parte de los clientes por la reactividad en resolución de problemas.

• Algunas operaciones internacionales importantes se cerraron por disponibilidad pese a desfases horarios intempestivos.


• Se descubrió que había muchos más dispositivos de los inicialmente registrados conectados a la red corporativa


• Varios dispositivos se perdieron o fueron robados conteniendo información empresarial.


• Se produjo una fuga de datos en el departamento Comercial por acceso a correos electrónicos por parte de un competidor tras un descuido en un congreso.


• Un ex-empleado denunció a la compañía por intrusión en su privacidad cuando el Departamento de TI procedió al borrado de su smart-phone previo abandono de la empresa.


• Se sufrió una ola de phising y spam a toda la agenda de contactos (incluyendo el directorio corporativo) por un rootkit que se instaló en una aplicación no controlada (smart-phone con jailbreak)


• Se incrementó significativamente el número de incidencias y su complejidad relativas los dispositivos móviles del help-desk corporativo (aumento de dedicación del personal a esa tarea)


• Se descubrió que algunos empleados habían renovado el dispositivo móvil y los antiguos se cedieron a familiares o incluso se vendieron!! (por supuesto, configurados con las

claves de acceso y conteniendo información de la empresa )

Qué se debería haber hecho

• Un análisis detallado de la situación de partida, análisis de riesgos y seguridad, estudio de tecnologías disponibles en el mercado y alineado con requisitos empresariales (GAP y Plan de Acción)

• Implantación de las Medidas técnicas y Organizativas

• Implantación de las soluciones técnicas acorde a necesidades y funcionalidades (MDM, MDP, MAM, MDS….)


• A nivel Legal:

• Política de Seguridad BYOD y movilidad (aceptada)

• Autorizaciones: reutilización, borrado, privacidad, LOPD…


• A nivel de Dispositivo (endpoint):

• Cifrado general

• Solución de sandbox o contenedores seguros (separación lógica de entorno personal y empresarial)

• Definir una Baseline Corporativa: SSOOs, Apps. permitidas y config. mínima de seguridad.

• Inventariado de dispositivos


• A nivel de red:

• Validación y Control de acceso a redes (NAC)

• Conexiones y transferencias cifradas (VPN)

• Protocolos de autenticación fuerte (PKI, tokens o

softtokens, etc.)

• Borrado (wipe) remoto

• Solución de monitorización remota


• A nivel de datos:

• Definir perfiles y niveles de acceso (IRM)

• Revocación de accesos

• Cifrado en origen (si almacenamiento remoto)

• Solución DLP (cliente end-point y/o centralizado)

• Borrado selectivo

• Copias de seguridad (remotas – nube o red corporativa)


• A nivel de usuario, concienciación en buenas prácticas:

• Autenticación por clave (con mínimo de complejidad) u

otros (biométrico, reconocimiento facial, etc.)

• Bloqueo por inactividad

• Directrices de copias de seguridad

• Antivirus y Firewall local


• A nivel de usuario, concienciación en buenas prácticas:

• No jailbreak ni instalar aplicaciones ilegales.

• Uso de aplicaciones de control del consumo

• Protocolos a seguir en caso de pérdida o robo

(geolocalización – previa autorización, borrado, baja, etc.)

• Procedimientos de Help-Desk y niveles de uso

Resumen

• El BYOD

• por naturaleza es beneficioso desde el punto de vista de productividad y eficiencia.

• por naturaleza es inseguro.

• Es un fenómeno en auge y hay que aprovechar sus puntos fuertes minimizando el riesgo que introduce.

• Su adopción supone afrontarlo como un proyecto global a nivel corporativo

• Requiere de análisis, diseño e implantación (adecuado a cada entidad y tamaño)

• Existen múltiples soluciones y posibilidades tecnológicas pero ellas solas no resuelven todos los problemas.

¡Muchas gracias!

Ruegos y Preguntas

Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013

Documents

Transcript of Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013