Javier Mínguez - Medidas del IVACE para impulsar la I+D, la innovación y la d...
Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013
1. El Reto del BYOD Seguro: Luces y
Sombras
José Miguel Cardona
Socio y Director de Proyectos de Consultoría de DNB
CISA, CISM, CISSP, CRISC, AMBCI, LA ISO 27001, LA ISO 20000
jmcardona@dnbcons.com
www.dnbcons.com
2. Introducción
Fuente: www.dilbert.com
- Mordac, necesito
acceder a datos de la
compañía desde mi
Ipad.
- ¡Si te ayudo, todos los
empleados de la
empresa querrán lo
mismo!
- ¿Querrán hacer sus
trabajos más
eficientemente?
- No puedo animar esa
clase de cosas.
VIÑETA
3. Introducción
Fuente: www.dilbert.com
- ¡Alto proveedor! No
puedes llevarte tu
portátil fuera del edificio
con datos en él.
- ¡Debes entregar tu
portátil a TI para que
puedan machacarlo a
polvo!
- Eso es una locura.
Tengo los mismos
datos en mi cabeza.
- Esto nos lleva a la
parte incómoda.
VIÑETA
4. Un posible Escenario
• Empresa mediana de ámbito multinacional
• Varias delegaciones comerciales por todo el mundo.
• Gran dedicación de tareas comerciales, de representación y
distribución con alto porcentaje de dedicación en viajes
(nacional e internacional).
• El ERP corporativo (accesible vía VPN), el correo electrónico y
la mensajería instantánea son herramientas clave de trabajo.
• Casi todos los empleados usan móviles o tabletas corporativas
• Elevada rotación por obsolescencia de estos dispositivos
6. Decisión Estratégica: BYOD
• El Departamento Financiero hace un estudio del coste siendo
claramente favorable.
• RRHH considera que la productividad se incrementará en un
20% con las soluciones de movilidad
7. Decisión Estratégica: BYOD
• Para el Dep. TIC no hay excesivas diferencias a la hora
configurar los dispositivos bien sean propiedad de los
empleados o de la empresa. Supone prácticamente la misma
dedicación…..
y podrán cambiar las Blackberry por iPhones ☺
8. Se “implanta” BYOD…
• Se permite el acceso a la Wifi corporativa a los dispositivos de
todos los empleados.
• Se da acceso remoto vía VPN al personal que viaja y que
justifique necesidad de trabajo remoto.
• El Departamento TI inventaría los dispositivos y registra el
empleado propietario.
• El Departamento TI o los propios usuarios sincronizan las
cuentas de correo corporativo en los dispositivos
Y a trabajar!!......(en un mundo ideal)
9. Algunos datos tras un año…
• En efecto la productividad se incrementó
• Se redujeron los costes de los activos fijos e indirectos
derivados de los dispositivos móviles
• Se recibieron varias felicitaciones por parte de los clientes por
la reactividad en resolución de problemas.
• Algunas operaciones internacionales importantes se cerraron
por disponibilidad pese a desfases horarios intempestivos.
10. Algunos datos tras un año…
• Se descubrió que había muchos más dispositivos de los
inicialmente registrados conectados a la red corporativa
11. Algunos datos tras un año…
• Varios dispositivos se perdieron o fueron robados
conteniendo información empresarial.
12. Algunos datos tras un año…
• Se produjo una fuga de datos en el departamento Comercial
por acceso a correos electrónicos por parte de un competidor
tras un descuido en un congreso.
13. Algunos datos tras un año…
• Un ex-empleado denunció a la compañía por intrusión en su
privacidad cuando el Departamento de TI procedió al borrado
de su smart-phone previo abandono de la empresa.
14. Algunos datos tras un año…
• Se sufrió una ola de phising y spam a toda la agenda de
contactos (incluyendo el directorio corporativo) por un rootkit
que se instaló en una aplicación no controlada (smart-phone
con jailbreak)
15. Algunos datos tras un año…
• Se incrementó significativamente el número de incidencias y
su complejidad relativas los dispositivos móviles del help-desk
corporativo (aumento de dedicación del personal a esa tarea)
16. Algunos datos tras un año…
• Se descubrió que algunos empleados habían renovado el
dispositivo móvil y los antiguos se cedieron a familiares o
incluso se vendieron!! (por supuesto, configurados con las
claves de acceso y conteniendo información de la empresa )
17. Qué se debería haber hecho
• Un análisis detallado de la situación de partida, análisis de
riesgos y seguridad, estudio de tecnologías disponibles en el
mercado y alineado con requisitos empresariales (GAP y Plan
de Acción)
• Implantación de las Medidas técnicas y Organizativas
• Implantación de las soluciones técnicas acorde a necesidades
y funcionalidades (MDM, MDP, MAM, MDS….)
19. Qué se debería haber hecho
• A nivel Legal:
• Política de Seguridad BYOD y movilidad (aceptada)
• Autorizaciones: reutilización, borrado, privacidad, LOPD…
20. Qué se debería haber hecho
• A nivel de Dispositivo (endpoint):
• Cifrado general
• Solución de sandbox o contenedores seguros (separación
lógica de entorno personal y empresarial)
• Definir una Baseline Corporativa: SSOOs, Apps.
permitidas y config. mínima de seguridad.
• Inventariado de dispositivos
21. Qué se debería haber hecho
• A nivel de red:
• Validación y Control de acceso a redes (NAC)
• Conexiones y transferencias cifradas (VPN)
• Protocolos de autenticación fuerte (PKI, tokens o
softtokens, etc.)
• Borrado (wipe) remoto
• Solución de monitorización remota
22. Qué se debería haber hecho
• A nivel de datos:
• Definir perfiles y niveles de acceso (IRM)
• Revocación de accesos
• Cifrado en origen (si almacenamiento remoto)
• Solución DLP (cliente end-point y/o centralizado)
• Borrado selectivo
• Copias de seguridad (remotas – nube o red corporativa)
23. Qué se debería haber hecho
• A nivel de usuario, concienciación en buenas prácticas:
• Autenticación por clave (con mínimo de complejidad) u
otros (biométrico, reconocimiento facial, etc.)
• Bloqueo por inactividad
• Directrices de copias de seguridad
• Antivirus y Firewall local
24. Qué se debería haber hecho
• A nivel de usuario, concienciación en buenas prácticas:
• No jailbreak ni instalar aplicaciones ilegales.
• Uso de aplicaciones de control del consumo
• Protocolos a seguir en caso de pérdida o robo
(geolocalización – previa autorización, borrado, baja, etc.)
• Procedimientos de Help-Desk y niveles de uso
25. Resumen
• El BYOD
• por naturaleza es beneficioso desde el punto de vista de
productividad y eficiencia.
• por naturaleza es inseguro.
• Es un fenómeno en auge y hay que aprovechar sus puntos
fuertes minimizando el riesgo que introduce.
• Su adopción supone afrontarlo como un proyecto global a
nivel corporativo
• Requiere de análisis, diseño e implantación (adecuado a
cada entidad y tamaño)
• Existen múltiples soluciones y posibilidades tecnológicas
pero ellas solas no resuelven todos los problemas.