1

Windows 10 con EMM: kit de herramientas de TCO

MKT-11239 ES v1.2

2

Índice

Resumen ejecutivo: los dispositivos móviles revolucionan a los equipos de sobremesa

Evolución de la arquitectura de Windows 10

El valor real de EMM

Modelo de TCO para Windows 10 con EMM

Licencias de hardware y software

Operaciones del departamento informático

Soporte técnico

Tiempo de inactividad de los empleados (indirecto)

Manual de estrategia para la transición

Conclusión

Anexo: hoja de cálculo de TCO

3

5

6

7

8

11

12

13

14

15

16

415 East Middlefield Road

Mountain View, CA 94043 (EE. UU.)

info@mobileiron.com

www.mobileiron.com

Tel.: +1.877.819.3451

Fax :+1.650.919.8006

3

Los dispositivos móviles revolucionan a los equipos de sobremesa

Durante más de 20 años, el PC de sobremesa dominó la informática corporativa y fue la principal herramienta de productividad para los trabajadores del conocimiento. En la actualidad, este predominio está experimentando un cambio, motivado por las preferencias de los empleados hacia experiencias móviles y sistemas operativos modernos. Esta nueva generación de informática ha dado lugar a un modelo potente y ágil de seguridad y gestión, conocido como administración de movilidad en empresas (Enterprise Mobility Management, EMM). Con Windows 10, Microsoft ha rediseñado la arquitectura del sistema operativo Windows para adaptarlo a EMM.

Gartner define EMM como «el sistema operativo para la empresa digital».1 Gartner también ha recomendado que, para ciertos casos, «EMM sea la primera opción para administrar Windows 10» porque ofrece «una administración básicamente más eficiente, cubre casos de uso sin precedentes y ofrece una mejor experiencia de usuario en los casos de uso existentes».2

Y este es el motivo: con el aumento de la informática móvil, los empleados ya no utilizan un PC bloqueado en la red corporativa para hacer su trabajo. En su lugar, utilizan numerosos dispositivos diferentes, algunos de ellos propiedad de la empresa y otros de su propiedad. Estos dispositivos ejecutan una amplia gama de aplicaciones móviles y se conectan en redes que quedan fuera del control de los departamentos informáticos. Las herramientas de administración de clientes heredadas de Windows, como System Center Configuration Manager (SCCM) de Microsoft, LANDESK y Symantec IT Management Suite (anteriormente llamado Altiris), son demasiado manuales e inflexibles para los entornos informáticos modernos, dado que están basadas en la instalación y administración de una compleja imagen de sistema en el PC.

La era del PC unido al dominio está llegando a su fin.

2 «EMM Should Be Your First Choice for Managing Windows 10 and Mac OS X», de Andrew Garver, 15-18 de agosto de 2016,

Gartner, Inc., Gartner Catalyst Conference

1 http://blogs.gartner.com/manjunath-bhat/2016/06/14/why-is-enterprise-mobility-management-emm-so-difficult-to-get-right/

3

4

Con Windows 10, Microsoft está cubriendo la necesidad de una mayor flexibilidad en la seguridad y administración de la empresa. Windows 10 es revolucionario porque permite a los departamentos informáticos migrar los PC desde las CMT a las soluciones modernas de EMM como MobileIron. EMM traslada el paradigma heredado de PC de imágenes codificadas a políticas basadas en contextos. Una de las ventajas de esta migración es la reducción en hasta un 80 % del coste total de propiedad (TCO) de un PC.

Los ahorros variarán según la organización; por este motivo el presente documento ofrece un marco de TOC y una hoja de cálculo detallada para que los profesionales informáticos puedan calcular el potencial ahorro para su entorno de implementación particular.

Equipo de sobremesa con CMT

de equipos de sobremesa

con EMM (ahorro

potencial)

Smartphone con EMM

Cargos de voz y datos

TCO anual

TCO anual

Coste total de propiedad (TCO) anual

5

Evolución de la arquitectura de Windows 10

En 1994, Microsoft lanzó Systems Management Server (SMS) v1, que evolucionó hasta transformarse en System Center Configuration Manager (SCCM) y llegó a convertirse en el modelo dominante para asegurar y administrar PCs durante las siguientes dos décadas.

Los departamentos informáticos crearon una imagen del sistema que se instalaba en los PC antes de entregarlos a los empleados. Esta imagen consistía en el sistema operativo como tal, junto con todas las aplicaciones y configuraciones para el empleado aprobadas por el departamento informático. El resultado era un PC completamente bloqueado, preconfigurado y controlado de un extremo a otro por el departamento informático. Era seguro siempre y cuando el empleado no hiciera ningún cambio adicional ni se modificara ninguna aplicación en el PC.

que un usuario descargaba una aplicación, siempre había alguna posibilidad de que se pudiera poner en riesgo el sistema subyacente Si se eliminaba la aplicación, podía seguir dejando elementos no deseados que podían ralentizar el rendimiento, crear inestabilidades en el sistema y obstruir la raíz de cualquier problema. En una empresa con cientos o miles de PCs, todas estas ligeras variaciones del sistema aumentaban tanto la complejidad de la prevención de pérdida de datos como el coste de la solución de problemas.

El modelo tradicional de PC requería que los dispositivos se unieran a un dominio regido por Objetos de Directiva de Grupo (GPO), que controlaban lo que los empleados podían y no podían hacer en un PC. Con esto, se daba por hecho que los dispositivos eran propiedad de la empresa, estaban basados en Windows y conectados a una LAN persistente. Pero la empresa actual ya no funciona así. Los empleados de hoy en día trabajan en cualquier dispositivo en una gran variedad de entornos: su hogar, aeropuertos, cafeterías, hoteles, etc. El enfoque tradicional ya no puede seguir admitiendo este estilo de trabajo, porque los dispositivos móviles no siempre están en la LAN y, a menudo, son propiedad del empleado y no de la empresa. Suelen ser dispositivos de uso mixto que están profundamente integrados en cualquier aspecto de la vida personal y profesional del empleado.

Para hacer frente a esta realidad, Microsoft ha revolucionado la arquitectura de Windows dejando atrás las CMT y admitiendo la EMM. Como evidencia adicional del cambio creciente a EMM, Gartner retiró el Magic Quadrant for Client Management Tools en marzo de 2016. Gartner declaró haber tomado esta decisión debido al estancamiento de la innovación en el mercado y a una evolución general del sector hacia enfoques más modernos.3

3 «Gartner Retires the Magic Quadrant for Client Management Tools», de Rich Doheny, Terrence Cosgrove, 29 de marzo de 2016, Gartner, Inc. https://www.gartner.com/doc/3267732/gartner-retires-magic-quadrant-client

La arquitectura tradicional de Windows era especialmente vulnerable, y tanto el sistema de archivos como el sistema operativo podían ponerse en riesgo fácilmente. Para mitigar este riesgo, el departamento informático tenía que instalar, como parte de la imagen, varios agentes de seguridad adicionales para supervisar amenazas y corregirlas según fuera necesario. Mantener la seguridad de los datos del PC era un desafío constante. Cada vez

Sistema dearchivos abiertos Kernel del sistema

operativo desprotegido

Primitivas de administraciónno confiables

Aislamiento de aplicaciones

Kernel del sistema operativo protegido

Primitivas de administración confiables (EMM)

6

El valor real de EMM

Las soluciones de EMM proporcionan una forma eficiente y flexible de agrupar servicios para los empleados y asegurar los datos corporativos en los sistemas operativos modernos. La transición a EMM representa un cambio inmenso en la forma de administrar y segurizar los equipos de sobremesa de ahora en adelante. Tal y como lo describe InfoWorld, «los departamentos informáticos deben comenzar a planificar ya el momento en que los PC se administren y seguricen como dispositivos móviles, y las aplicaciones de sobremesa se desarrollen e implementen como aplicaciones móviles».4

El modelo de EMM ofrece varias ventajas:

4 http://www.infoworld.com/article/3120505/computers/your-pc-is-simply-another-mobile-device.html

Menor coste:

EMM elimina los procesos exhaustivos de CMT para administrar imágenes y aprovisionar dispositivos. EMM funciona de forma inalámbrica y no requiere queel departamento informático configure manualmente ningún dispositivo. Además de contar con un soporte técnico y procesos de solución de problemas más simples, la EMM reduce el TCO de los PC.

BYOD seguro:

EMM establece un límite de datos entre la información profesional y personal en un PC, lo que seguriza la primera sin poner en riesgo la privacidad de la segunda. Esta separación de datos personales y profesionales es esencial para posibilitar los programas de tipo bring-your-own-device (BYOD). Las CMT no se puede utilizar para PC personales porque requieren la instalación de una imagen del sistema corporativo en todos los dispositivos.

Política en tiempo real:

EMM permite actualizar las políticas y mantener el cumplimiento aunque el PC esté en una red externa. Las CMT requieren que el PC se una al dominio, y puede depender del inicio de sesión del usuario o de la activación de la VPN para que las políticas se actualicen.

Mejor experiencia de usuario:

EMM favorece el “autoservicio” y otorga más control y opciones al empleado. Es mucho menos intrusiva que las CMT y, además, el departamento informático nunca tiene que tocar físicamente el dispositivo.A diferencia de las CMT, la EMM ofrece también una experiencia de usuario uniforme en diferentes sistemas operativos, como Android, iOS y Windows 10.

7

Modelo de TCO para Windows 10 con EMM

Una solución de EMM como la de MobileIron puede permitir al departamento informático realizar funciones de seguridad y administración en un equipo de sobremesa por una parte del coste en que el departamento informático incurre actualmente utilizando CMT tradicionales. En esta sección se describe un modelo comparativo de costes en hardware, software, operaciones del departamento informático y el soporte técnico. Si bien todas las organizaciones tecnológicas tienen su propia estructura de costes, este modelo y la hoja de cálculo de TCO que hay al final de este documento pueden ofrecer un punto de partida para el análisis personalizado.

Como la transición de Windows 10 a EMM solo está empezando, la mayoría de las organizaciones todavía no tienen datos sobre costes de experiencias reales. No obstante, durante los últimos años, Gartner ha publicado análisis de TCO que ofrecen ya algunas pautas.

TCO publicados para PC y smartphones

De acuerdo con una investigación de Gartner, el TCO anual de un smartphone completamente administrado por EMM es casi un 80 % inferior al TCO anual de un equipo de sobremesa completamente administrado con CMT.

El TCO anual de un equipo de sobremesa es $31265 y el TCO anual de un smartphone es $679.6 Si añadimos cargos por voz y datos, que no son relevantes para los equipos de sobremesa, el TCO anual de un smartphone aumenta a $1339, cantidad que sigue siendo casi un 60 % inferior al TCO anual de un equipo de sobremesa.

Por lo tanto, las organizaciones pueden llegar a ahorrar hasta un 80 % a medida que los equipos de sobremesa se pasan de Windows 7 a Windows 10 y el modelo de seguridad y administración pasa de CMT a EMM.

Análisis de Gartner: TCO de equipos de sobremesa administrados por CMT5 y smartphones administrados por EMM6

Coste anualEquipo de sobremesa

totalmente administrado

Smartphone totalmente

administradoDescripción

Costes directos totales

$1.539 $245

($905 con voz/datos)

Esto representa el coste anual de hardware, software y mano de obra de administrar un PC o smartphone. Los smartphones tiene un coste anual adicional de $660 para datos y voz móviles, para los cuales no existe equivalente en PC. Se se añade dicho coste, el TCO anual del smartphone aumenta de $245 a $905.

Costes totales indirectos

$1.587 $434 Este es el coste anual del tiempo de inactividad por usuario final. Este coste puede fluctuar dependiendo de los salarios individuales (el tiempo de inactividad de ejecutivos mejor pagados, por ejemplo, costará más dinero). Los costes indirectos del PC son superiores porque las soluciones de CMT requieren uso táctil manual por parte del departamento informático mientras que el aprovisionamiento y mantenimiento de smartphones suele hacerse por el aire y mediante el autoservicio por parte del empleado.

Coste total de propiedad

$3.126 $679

($1339 con voz/datos)

El TCO anual del smartphone es un 78 % inferior al TCO anual del PC.

Incluso incluyendo los cargos móviles de voz y datos, el TCO anual de un smartphone es un 57 % inferior al TCO anual de un PC.

5 «Desktop Total Cost of Ownership: 2013 Update», de Federica Troni y Michael Silver, 14 de marzo de 2013, Gartner, Inc. http://www.gartner.com/document/2371417

6 «Use TCO to Assess Choice in Devices, Support Policies and Management Approaches», de Federica Troni y Michael Silver, 4 de noviembre de 2014, Gartner, Inc. http://www.gartner.com/document/2898217

8

El rango de ahorro potencial es amplio y variará según la organización. Si se alcanza incluso parte del potencial se logrará un considerable ahorro que podría aplicarse a las iniciativas informáticas estratégicas, como la modernización de aplicaciones o la transformación de la empresa.

Además, existirá una inversión de tiempo y recursos de transición antes de que pueda alcanzarse el valor completo del estado final de Windows 10 con EMM. El manual de estrategia para la transición que aparece al final de este documento incluye consideraciones sobre migración para pasar de CMT a EMM.

Componentes del TCO para Windows 10 con EMM

En esta sección se describen los principales costes asociados a la seguridad y la administración en un entorno CMT comparado con la seguridad y administración en un entorno EMM. Estos costes están divididos en cuatro categorías:

1. Licencias de hardware y software2. Operaciones del departamento informático3. Soporte técnico4. Tiempo de inactividad de los empleados (indirecto)

Los tres primeros son costes directos. El cuarto es un coste indirecto pero relevante para el análisis, ya que el modelo de EMM requiere mucho menos trabajo manual táctil por parte del departamento informático. Como resultado, el empleado raramente, o nunca, tiene que dejar su dispositivo al departamento informático para que le hagan instalaciones o reparaciones.

El objetivo de esta sección es ayudar a cada organización a que defina su estado final creíble para el TCO del PC en cada uno de estos cuatro componentes de los costes.

1. Licencias de hardware y software

Hardware

• Los costes de hardware para el extremo serán uniformes en los modelos de CMT y EMM porque ambos sistemas reconocen los mismos PC de Windows 10. El modelo de EMM requerirá menos hardware del servidor back-end y el modelo de CMT requerirá menos ancho de banda para la distribución del software.

Software

• Modelo de CMT: además de la inversión en la solución de CMT, la seguridad y administración de PC tradicionales también requieren licencias para varios componentes de software secundarios, como el cifrado, antimalware, RVP, prevención de pérdida de datos (DPL) con reconocimiento de contenido, aislamiento de aplicaciones, infraestructura de escritorio virtual (VDI), agentes de revisión y agentes de copia de seguridad.

• Modelo de EMM: como MobileIron controla funciones integradas de Windows 10, muchos componentes de software secundarios tradicionales dejarán de ser necesarios porque estarán integrados en la solución MobileIron, dentro de Windows, y no serán técnicamente posibles o serán reemplazados por otros controles compensatorios. La EMM, como plataforma, se ha convertido en un elemento central para la seguridad de la empresa. De hecho, uno de los supuestos de planificación estratégica de Gartner es que «desde ahora hasta el 2020, las funciones de seguridad combinadas de plataformas móviles y soluciones EMM cubrirán el 80 % de los requisitos de seguridad móvil de las empresas».7 Windows 10 es otra muestra de que la EMM se está convirtiendo en el centro de las políticas de la seguridad corporativa.

7 «When and How to Go Beyond EMM to Ensure Secure Enterprise Mobility», de Manjunath Bhat, Dionisio Zumerle, 10 de junio de 2016, Gartner, Inc. http://www.gartner.com/document/3343519

9

Software tradicional (estado inicial) Software moderno y controles de compensación (estado final)

Herramientas de administración del cliente (CMT, «Client Management Tools»)

MobileIron + Windows 10

MobileIron se integra con Windows 10 para aprovisionar y configurar servicios de extremos a través de controles basados en políticas y una app store corporativa. MobileIron Bridge amplía estas funciones para los administradores pueden implementar configuraciones pormenorizadas de tipo GPO, editar y administrar el registro, ofrecer aplicaciones Win32 que no sean MSI a través de una app store corporativa, y visualizar y administrar el sistema de archivos sin necesidad de que el PC se una al dominio. MobileIron Bridge cubre la carencia de GPO entre los sistemas tradicionales de CMT y EMM para acelerar la migración de CMT a EMM.

Cifrado de disco y archivos

MobileIron + BitLocker

Microsoft BitLocker ya se está convirtiendo en el método de cifrado predeterminado para sistemas Windows. MobileIron proporciona el mecanismo de supervisión para determinar si está activado o no el cifrado y, además, proporciona el mecanismo de corrección para eliminar los datos corporativos si no está activado. En paralelo, las organizaciones pueden usar Microsoft BitLocker Administration (MBAM) para la implementación del cifrado, recuperación de claves y notificaciones. Algunas organizaciones con necesidades de administración de BitLocker sumamente sofisticadas podrían usar herramientas de terceros en lugar de MBAM.

Conjunto anti-malware MobileIron + servicios de detección de amenazas

Los conjuntos antimalware tradicionales basados en la firma no son necesarios en sistemas operativos aislados modernos porque la difusión de ataques basados en archivos está sumamente limitada por la colocación en contenedores de los datos nativos integrada en el sistema operativo. MobileIron comprueba la integridad del dispositivo y el sistema operativo con regularidad para garantizar que se identifican los casos de no cumplimiento y se aplican políticas adecuadas para corregirlos. No obstante, Gartner predice que, de ahora al 2018, entre el 5 y el 15 % de las organizaciones implementarán, además, un servicio detección de amenazas para identificar comportamientos anómalos y ataques de tipo día cero.8 MobileIron ofrece la aplicación de medidas y corrección cuando dichos servicios detectan estas amenazas. También puede ser útil que los conjuntos antimalware busquen comportamientos anómalos si hay aplicaciones heredadas Win32 en el dispositivo.

VPN del dispositivo MobileIron + Windows 10

La VPN en todo el dispositivo está siendo reemplazada por la VPN por aplicación. La separación de los datos personales y profesionales en la red es esencial para proteger la privacidad. MobileIron Tunnel proporciona un túnel seguro para las aplicaciones corporativas de modo que el departamento informático no precise infraestructuras de VPN separadas dedicadas.

Aislamiento de aplicaciones

MobileIron + Windows 10

Las aplicaciones modernas están aisladas de forma nativa en Windows 10, de modo que no hay necesidad de herramientas secundarias de aislamiento. No obstante, muchas realizaciones tendrán aplicaciones heredadas Win32. Desktop App Converter de Microsoft es un buen paso inicial para convertir aplicaciones tradicionales Win32 a aplicaciones de Universal Windows Platform (UWP). Esto resulta más seguro que ejecutar una aplicación no convertida, pero no tan seguro como una aplicación sin ningún código Win32. Otros controles de compensación adicionales en el período de transición podrían incluir poner en listas negras los vectores de ataque conocidos, ejecutar solo aplicaciones firmadas y utilizar, por el momento, un producto antimalware que busque comportamientos anómalos. El uso de listas blancas para las aplicaciones también puede aportar seguridad, pero a costa de una considerable pérdida de flexibilidad. MobileIron actúa además como motor de políticas para Windows Information Protection (WIP) con el fin de evitar el filtrado de datos de aplicaciones autorizadas a aplicaciones no autorizadas en el dispositivo.

8 «Market Guide for Mobile Threat Defense Solutions», de John Girard, Dionisio Zumerle, 28 de julio de 2016, Gartner, Inc. https://www.gartner.com/doc/3393617/market-guide-mobile-threat-defense

10

Software tradicional (estado inicial) Software moderno y controles de compensación (estado final)

DLP con reconocimiento de contenido

MobileIron + Windows 10

Las soluciones DLP compatibles con contenido inspeccionan el sistema de archivos de un dispositivo para identificar información confidencial, como números de tarjeta de crédito, de forma que las organizaciones puedan establecer políticas para mitigar el riesgo de perder dichos datos. Estas soluciones no son técnicamente factibles en sistemas operativos modernos reforzados y aislados como Windows 10 porque requieren que el sistema operativo permita que la aplicación busque el contenido de otras aplicaciones y el sistema general de archivos. El control de compensación consiste en establecer políticas DLP a través de MobileIron o a nivel de aplicación para evitar el uso compartido de datos no autorizados. Puede que algunas organizaciones sigan utilizando las soluciones DLP de red existentes para inspeccionar el tráfico que sale y entra de un dispositivo móvil con el fin de identificar datos confidenciales.

Infraestructura de escritorio virtual (VDI)

Aplicaciones modernas + Windows 10

La VDI es una tecnología de transición. Las soluciones VDI ejecutan la imagen de escritorio en un servidor, no en el mismo dispositivo, de modo que se puede acceder a las aplicaciones de forma remota sin ningún dato local en el PC. Esta tecnología tiene dos inconvenientes principales. Por un lado, es cara de implementar y, por otro, proporciona una mala experiencia del usuario porque la aplicación no está optimizada para una interfaz táctil moderna. Las aplicaciones deben modernizarse, no virtualizarse. De cualquier modo, la VDI puede seguir funcionando como mecanismo de transición para poner a disposición las aplicaciones heredadas en dispositivos modernos hasta que dichas aplicaciones se hayan modernizado, aunque puede que el streaming de aplicaciones sea un enfoque más efectivo.

Revisión MobileIron + Windows 10

Con MobileIron, el administrador puede ver qué revisiones del sistema operativo están disponibles, cuáles son aplicables a un dispositivo en concreto y decidir cuándo y cómo distribuirlas. Asimismo, MobileIron Bridge puede permitir al administrador hacer revsersiones cuando sea necesario. Algunos sistemas operativos son muy grandes y pueden afectar a la capacidad de la red, dependiendo de la distribución, de modo que es esencial tener una buena comprensión de la capacidad de la red a la hora de estructurar el lanzamiento.

Copia de seguridad Aplicaciones modernas + Windows 10

Llas aplicaciones modernas sincronizan datos con un servicio back-end, ya sea localmente o en la nube, de modo que muy pocos datos, o ninguno, residan solamente en el extremo. Las aplicaciones de correo electrónico y las aplicaciones de tipo Enterprise File Sync and Sharing (EFSS) ya funcionan de este modo, y este es el comportamiento que también seguirán prácticamente todas las aplicaciones corporativas modernas de terceros. Las copias de seguridad completas del dispositivo no son necesarias en el estado final y, al igual que en iOS, puede que ni siquiera sean posible a través de un servicio de terceros debido a la naturaleza aislada inherente de las aplicaciones.

11

2. Operaciones del departamento informático

Administración de plataformas CMT/EMM

• Deben administrarse ambos tipos de plataformas. MobileIron suele requerir 1-2 ETC por cada 10 000 dispositivos que administrar, mientras que los sistemas CMT suelen necesitar más. La mayoría de las organizaciones grandes ya tienen CMT instaladas para los PC y un sistema de EMM instalado para dispositivos móviles, de modo que este componente del coste debería ser relativamente fácil de calcular.

Administración de imágenes

• Modelo de CMT: con las CMT, el departamento informático debe crear, probar y mantener una imagen del sistema para implementar el sistema operativo y las aplicaciones y configuraciones autorizadas por la empresa. Se puede tardar 40-60 horas en crear y probar cada imagen. La imagen del sistema debe iniciarse manualmente al principio en cada nuevo PC, lo que puede requerir hasta una hora; después, el PC debe entregarse físicamente al empleado. Es posible que sea necesario trabajo adicional por parte del administrador y los empleados para configurar e instalar los certificados en el equipo. Normalmente, las imágenes se actualizan al menos dos veces al año. Las distribución y actualizaciones de configuración constantes de las imágenes pueden darse de forma inalámbrica, pero solo si el equipo está en la red corporativa.

• Modelo EMM: ccon MobileIron, no es necesario crear ninguna imagen del sistema. En lugar de ello, el departamento informático define políticas para configurar los dispositivos e implementa una app store corporativa. El departamento informático puede configurar y asegurar simultáneamente una gran cantidad de dispositivos mediante cualquier red inalámbrica. Los empleados pueden estar listos y funcionando con sus dispositivos en cuestión de pocos minutos, el lugar de días, sin necesidad de ninguna intervención por parte del departamento informático. Los certificados se pueden aprovisionar automáticamente, lo cual elimina la necesidad de interacción con los empleados. Las nuevas configuraciones, políticas

y cambios requieren un mínimo esfuerzo por parte del departamento informático. Se implementan automáticamente en el dispositivo y se mantienen transparentes para el empleado. Al hacer esto, el departamento informático solamente tiene que crear una configuración VPN por aplicación junto con un perfil de Protocolo de Inscripción de Certificados Simple (SCEP) en el servidor de MobileIron y, después, asignarlo a un grupo. Los dispositivos de todos los empleados de ese grupo se inscribirán automáticamente con los ajustes adecuados y con acceso a las aplicaciones correspondientes. Además, la VPN por aplicación se puede configurar para que se inicie automáticamente cuando se inicia la aplicación, para que encuentre su propio servidor y se autentique (utilizando certificados) sin que el empleado tenga que hacer nada.

Formación para empleados

• Modelo de CMT: todos los caminos conducen al departamento informático en el modelo de CMT. Los empleados tienen que saber cómo enviar tickets de incidencias, y disponen de muy poco control sobre sus PC.

• Modelo de EMM: con MobileIron, el autoservicio es la esencia del modelo de implementación. Los empleados se registran inscriben a sí mismos y, después, seleccionan sus aplicaciones, algo que requerirá de cierta formación.

Distribución de software

• Modelo de CMT: ccon las CMT, los administradores informáticos deben crear paquetes de distribución de aplicaciones y (en algunos casos) procedimientos de instalación personalizados para implementar las aplicaciones a los PC. Este proceso es laborioso y puede llevar de dos a cuatro días por aplicación, independientemente de cuantos PC reciba la aplicación. El tiempo necesario y la tasa de éxito dependerán de la complejidad de la aplicación, como por ejemplo9:

• ¿Requiere configuraciones especiales de base?• ¿Tiene dependencias en funciones del sistema

operativo u otras aplicaciones?• ¿Requiere un reinicio durante o después de

la instalación?• ¿Requiere múltiples pruebas para la revisión del

sistema y la integración?9 «Sample App Package Benchmarking», de Terrence Cosgrove, Gartner, Inc. (no publicado)

12

• Modelo de EMM: ccon MobileIron, el departamento informático administra y distribuye las aplicaciones a través de una app store corporativa. Las aplicaciones modernas de Windows hacen uso de la Universal Windows Platform (UWP) y no es necesario ningún empaquetado adicional para las aplicaciones UWP. Los empleados van a la app store corporativa de MobileIron para seleccionar e instalar las aplicaciones que desean. El proceso de instalación es mucho más sencillo para el empleado y las dependencias son mínimas, sin contar, quizás, la versión de sistema operativo. Cuando hay una versión nueva disponible de la aplicación, el departamento informático publica la actualización, que se instala automáticamente en el dispositivo. MobileIron también puede distribuir aplicaciones tradicionales Win32 empaquetadas como MSI, lo que facilita la distribución pero seguiría implicando la complejidad del empaquetado tradicional. Las organizaciones que deseen modernizar sus aplicaciones obtendrán los mayores ahorros de costes y ofrecerán el máximo valor y la mejor experiencia a sus empleados. En algunas aplicaciones puede que esto no sea posible a corto plazo, porque una aplicación Win32 puede resultar esencial para la empresa y quizá no sea tan sencilla de modernizar. En estos casos, el departamento informático tiene cuatro opciones para distribuir aplicaciones heredadas:

1. Utilizar MobileIron Bridge con un conjunto de procedimientos para implementar la aplicación Win32 que no sea MSI.

2. Utilizar uno de los muchos contenedores disponibles para convertir el tradicional «setup.exe» al formato de archivo MSI y, después, distribuir la versión MSI de la aplicación directamente a través de la app store corporativa de MobileIron.

3. Utilizar el Desktop App Converter de Microsoft para convertir aplicaciones Win32 en aplicaciones UWP sin necesidad de emplear a un desarrollador. Estas aplicaciones convertidas se pueden distribuir a través de MobileIron, como si fueran archivos MSI, y no dejarán ningún artefacto. Asimismo, pueden hacer uso de las notificaciones en tiempo real y otras ventajas de las aplicaciones UWP. Una vez que son aplicaciones UWP, las tareas constantes de empaquetado se reducen drásticamente.

4. Proporcionar acceso remoto a las aplicaciones heredadas a través de VDI (virtualized desktop) o mediante streaming de aplicaciones.

No obstante, la conversión de aplicaciones y el acceso remoto son sólo formas para solucionar el reto de las aplicaciones heredadas a corto plazo. La mejor respuesta a largo plazo es utilizar la migración a Windows 10 como catalizador para evaluar de forma crítica la cartera de aplicaciones heredadas existentes y determinar así qué aplicaciones Win32 se pueden modernizar y cuáles se deben retirar.

3. Soporte técnico

Personal de nivel 1/2/3

• Modelo de CMT: los costes del soporte técnico para implementaciones Windows tradicionales pueden ser altos, debido a la complejidad continua de la administración y a la variabilidad de los extremos. Las vulnerabilidades de los sistemas de archivos y las dependencias de los SO amplían la superficie de ataque del dispositivo y aumentan la complejidad de la solución de problemas. También es complicado analizar el motivo de raíz, pero las CMT sí ofrecen información detallada para contribuir a las actividades de solución de problemas. Las proporciones varían según la organización y los niveles de servicio, pero los extremos administrados por CMT requieren aproximadamente tres ETC por cada 1000 dispositivos.

• Modelo de EMM: con la EMM y los sistemas operativos modernos como Windows 10, la estabilidad del sistema debería ser superior y, según nuestra experiencia, los usuarios notifican menos incidentes que con los PC tradicionales. Al haber menos dependencias y vínculos entre la aplicación y el sistema operativo, se minimizan los problemas y se simplifica la solución de los mismos, de modo que la proporción técnico por dispositivo puede ser mucho menor que con las CMT. Los extremos administrados por EMM requieren aproximadamente un ETC de soporte por cada 1000 dispositivos.

13

Formación del personal de soporte

• Modelo de CMT: los problemas técnicos de los empleados pueden ser complejos y difíciles de solucionar. Para resolver los problemas de forma rápida y precisa, el personal de soporte requiere una comprensión relativamente compleja de la arquitectura subyacente de los sistemas operativos y aplicaciones.

• Modelo de EMM: según nuestra experiencia, suele ser más fácil analizar el motivo de raíz, ya que muchos subsistemas con SO modernos son cajas negras para minimizar las dependencias.

4. Tiempo de inactividad de los empleados (indirecto)

Tiempo sin dispositivos

• Modelo de CMT: con las CMT, los procesos del departamento informático son muy muy manuales y requieren que el empleado deje su ordenador portátil, a veces durante períodos prolongados de tiempo. Esto afecta a la productividad de los empleados.

• Modelo de EMM: con MobileIron, los procesos del departamento informático son poco táctiles y se hacen de forma inalámbrica. Por tanto, la solución de problemas y la logística de las reparaciones son más fáciles tanto para los empleados como para el departamento informático; además, el dispositivo no está casi nunca en el departamento informático.

14

Manual de estrategia para la transición

La sección anterior describía la diferencia de TCO entre el estado inicial de Windows con CMT(herramientas de administración del cliente) y el estado final de Windows con EMM. Pero las transiciones, independientemente de lo beneficiosas que sean a largo plazo, pueden resultar difíciles para una organización que no tenga un manual de estrategia estructurado. Hay varios factores que determinarán la rapidez con la que una organización puede pasar de las CMT a la EMM y lograr su objetivo de ahorro de costes:

• Adopción de Windows 10: el sistema heredado de CMT tendrá que ser funcional hasta que todos los usuarios de Windows migren a Windows 10. En la mayoría de las organizaciones, los nuevos dispositivos Windows 10, sobre todo las tabletas como Microsoft Surface o dispositivos similares de HP o Lenovo, serán el punto de partida para EMM. Incluso después de la migración, se podrían seguir utilizando las CMT para administrar servidores Windows «back-end».

• Complejidad de los GPO (Objetos de directiva de grupo, «Group Policy Objects»): las políticas de EMM son nuevas para Windows 10 y es posible que todavía no equivalgan al conjunto completo de GPO que una organización tenga implementado en los PC existentes. MobileIron Bridge cubre esta carencia en los GPO y permite al departamento informático aplicar estas mismas políticas pormenorizadas sin necesidad de tener CMT ni de que el PC se una al dominio. Sin embargo, la transición a EMM es un buen momento para reconsiderar la complejidad de los GPO existentes. Es posible que muchas políticas heredadas ya no sean necesarias. Incluso con el potencial de MobileIron Bridge, las organizaciones deberían seguir evaluando críticamente su infraestructura de políticas

para determinar qué es realmente necesario, en lugar de implementar políticas complejas simplemente porque eso es lo que hacían antes.

• Aplicaciones heredadas: cuantas menos aplicaciones heredadas Win32 haya en una organización, mejor será la experiencia del usuario en Windows 10 y más rápida será la migración a EMM. Menos de la mitad de las aplicaciones de una organización son ahora específicas para Windows 10, y la mayoría de las organizaciones aceptan que alejarse de las aplicaciones Win32 es algo inevitable.

Muchas otras siguen teniendo problemas con los recursos necesarios para modernizar sus aplicaciones. Existen varias opciones a corto plazo para facilitar la implementación de aplicaciones heredadas, como la conversión de aplicaciones a través de Desktop App Converter de Microsoft o el acceso remoto a través de VDI o streaming de aplicaciones. Estas opciones pueden resultar efectivas para compensar esta carencia, pero no deben considerarse una estrategia de aplicación a largo plazo. Solamente son un breve descanso en el camino esencial hacia la modernización de aplicaciones:

• Inercia organizativa: la EMM interrumpe las prácticas existentes de administración de equipos de sobremesa y silos organizativos. Puede que algunos CIO tengan que enfrentarse a un conflicto entre los equipos de sobremesa y móviles cuando se instauren las nuevas arquitecturas de seguridad y administración y los procesos operativos. La administración del cambio es un componente importante de la migración a EMM, y requerirá el apoyo de la dirección ejecutiva dentro de la organización.

10 «IBM’s Internal Apple Mac Savings Started With New Processes», de Michael A. Silver, Terrence Cosgrove, Rich Doheny, 4 de mayo de 2016, Gartner, Inc. https://www.gartner.com/doc/3306418/ibms-internal-apple-mac-savings

15

Conclusión

La transición a EMM es el cambio más importante en el ámbito de la seguridad y administración de Windows de los últimos 20 años. La pregunta no es si los PC corporativos de todo el mundo migrarán a EMM, sino cuándo. Según ha indicado InfoWorld, «quizá los beneficios de la EMM, combinados con las grandes tendencias de informática en la nube y desarrollo de aplicaciones del tipo MobileFirst, permitirá finalmente a los departamentos informáticos liberarse de todas esas deudas técnicas que amenazan con anclarlos al pasado. Así tendrá que ser, ya que todos los sistemas operativos, aplicaciones y protocolos están trabajando con objetivos que requieren actualizaciones periódicas. Los administradores de gestión móvil lo saben, por las actualizaciones anuales de las API de Apple y Google, y por el ritmo regular de actualizaciones de sistemas operativos y aplicaciones. Los administradores de equipos de sobremesa también deben prepararse para esta realidad».11

11 http://www.infoworld.com/article/3109247/microsoft-windows/why-and-how-you-should-manage-windows-pcs-like-iphones.html

12 http://www.infoworld.com/article/3120505/computers/your-pc-is-simply-another-mobile-device.html

Planificar la transición a EMM y calcular el potencial ahorro de costes requiere un detallado análisis de la infraestructura de seguridad y administración existentes en la organización. El modelo de TCO (Coste Total de Propiedad) y la hoja de cálculo de este documento podrán proporcionarle un buen punto de partida.

Pero, ¿dónde encaja esa transición entre las prioridades de una organización informática? ¿Cuándo debe iniciarse la planificación? InfoWorld tiene una recomendación: «empiece ahora, como muy tarde».1

Para saber cómo MobileIron puede ayudarle a administrar el TCO de sus PC, contacte con nosotros en globalsales@mobileiron.com.

COPYRIGHT © 2016 MOBILEIRON. TODOS LOS DERECHOS RESERVADOS.MobileIron es una marca comercial registrada de MobileIron, Inc. en Estados Unidos y/u otros países. Todas las demás marcas comerciales, nombres comerciales o logotipos son propiedad de sus respectivos propietarios y no significan ningún patrocinio o apoyo por parte de dichos propietarios.

16

Anexo: hoja de cálculo del TCO

Paso 1: cuantificar los costes reales actuales para su implementación en equipos de sobremesa de Windows 7 utilizando CMT.Paso 2: cuantificar los costes reales actuales para su implementación en dispositivos móviles iOS utilizando EMM.Paso 3: estimar, basándose en el contexto de este documento, el potencial coste de la implementación en equipos de sobremesa Windows 10 utilizando EMM.

Estado actual: Windows 7 con CMT

Estado final: Windows 10 con EMM

Estado actual: iOS con EMM

HARDWARE Coste anual de compra por dispositivo

• Coste de compra del dispositivo Específico para el dispositivo → Específico para el dispositivo ← Específico para el dispositivo

• Período de amortización (n.º de años) 3-4 años → 3-4 años ← 2-3 años

Coste anual del hardware por dispositivo Calcular → Calcular ← Calcular

SOFTWARE (seguridad y administración) Coste anual de las licencias por dispositivo

• Plataforma (CMT o EMM) Terceros → Terceros ← Terceros

• Cifrado de disco y archivos MBAM o tercero → MBAM o tercero ← N/A

• Conjunto anti-malware Terceros → Para aplicaciones de tipo día cero o heredadas ← Para día cero

• VPN del dispositivo Terceros → VPN por aplicación (EMM+) ← EMM+ (VPN por aplicación)

• Aislamiento de aplicaciones Terceros → Antimalware si las aplicaciones son heredadas ← N/A

• DLP con reconocimiento de contenido Terceros → N/A ← N/A

• Infraestructura de escritorio virtual (VDI) Terceros → De transición hasta las aplicaciones modernas ← De transición hasta las

aplicaciones modernas

• Revisión CMT+ → EMM+ ← N/A

• Copia de seguridad Terceros → Mínimo, como en las aplicaciones modernas ← N/A

• Otro software de seguridad y administración Específico de la empresa → Específico de la empresa ← Específico de la empresa

Coste anual del software por dispositivo Calcular → Calcular ← Calcular

OPERACIONES INFORMÁTICAS Coste laboral informático anual por dispositivo

Administración de plataformas CMT/EMM:

• Nº de ETC (equivalente a tiempo completo) 3-4 por cada 10 000 dispositivos → 1-2 por cada 10 000 dispositivos ← 1-2 por cada 10 000 dispositivos

• Coste anual por ETC Específico de la empresa → Específico de la empresa ← Específico de la empresa

Coste de administración de plataformas CMT/EMM total anual Calcular → Calcular ← Calcular

Administración de imágenes (creación y pruebas):

• Horas para crear y probar la nueva imagen 60 horas → N/A ← N/A

• Número de imágenes nuevas creadas por año Específico de la empresa → N/A ← N/A

• Total de horas/año para crear/probar imágenes nuevas Calcular → N/A ← N/A

• Coste por hora de la mano de obra Específico de la empresa → N/A ← N/A

Coste anual total de la creación y pruebas de las imágenes Calcular → N/A ← N/A

Administración de imágenes (implementación):

• Horas para instalar la imgen en el nuevo PC 1-2 horas → N/A ← N/A

• Número de PC nuevos implementados cada año 25 % de la flota → N/A ← N/A

• Total de horas/año para implementar las imágenes en los PC nuevos Calcular → N/A ← N/A

• Coste por hora de la mano de obra Específico de la empresa → N/A ← N/A

Coste anual total de la implementación de imágenes Calcular → N/A ← N/A

Formación para empleados

• Coste anual total de las sesiones de formación para empleados Específico de la empresa → Específico de la empresa ← Específico de la empresa

• Coste anual total de los materiales para la formación de empleados Específico de la empresa → Específico de la empresa ← Específico de la empresa

Coste de formación de empleados anual total Calcular → N/A ← N/A

Operaciones informáticas continúa en la siguiente página

17

Distribución de software:

• Horas para empaquetar una aplicación para su distribución 16-32 horas → N/A ← N/A

• Total de paquetes de aplicaciones al año Específico de la empresa → N/A ← N/A

• Total de horas al año para empaquetar aplicaciones para distribuirlas Calcular → N/A ← N/A

• Coste por hora de la mano de obra Específico de la empresa → N/A ← N/A

Coste anual total de distribución del software Calcular → N/A ← N/A

Coste anual total de operaciones informáticas Calcular → Calcular ← Calcular

Número de dispositivos administrados Específico de la empresa → Específico de la empresa ← Específico de la empresa

Coste de las operaciones informáticas anuales por dispositivo

Calcular → Calcular ← Calcular

SOPORTE TÉCNICO Coste laboral anual del soporte técnico por dispositivo

Personal de nivel 1/2/3:

• Nº de ETC (equivalente a tiempo completo) 3-4 ETC por cada 1000 dispositivos → Por determinar ← 1 ETC por cada 1000 dispositivos

• Coste anual por ETC Específico de la empresa → Específico de la empresa ← Específico de la empresa

Coste anual total del personal de nuvel 1/2/3 Calcular → N/A ← N/A

Formación del personal de soporte:

• Coste anual total de las sesiones de formación sobre soporte Específico de la empresa → Específico de la empresa ← Específico de la empresa

• Coste anual total de los materiales de formación sobre soporte Específico de la empresa → Específico de la empresa ← Específico de la empresa

Coste anual total de formación en soporte Calcular → Calcular ← Calcular

Coste anual total del soporte técnico Calcular → Calcular ← Calcular

Número de dispositivos administrados Específico de la empresa → Específico de la empresa ← Específico de la empresa

Coste anual del servicio de soporte técnico por dispositivo

Calcular → Calcular ← Calcular

TIEMPO DE INACTIVIDAD DE LOS EMPLEADOS (INDIRECTO) Coste laboral anual de la productividad perdida

• Número de horas por año sin dispositivo Específico de la empresa → Específico de la empresa ← Específico de la empresa

• Coste por hora de la mano de obra Específico de la empresa → Específico de la empresa ← Específico de la empresaCoste anual del tiempo de inactividad de los empleados por dispositivo

Calcular → Calcular ← Calcular

Coste anual total por dispositivo Calcular → Calcular ← Calcular

Continuación de Operaciones informáticas