Este documento describe cómo la virtualización de escritorio puede ayudar a las organizaciones a abordar los desafíos de seguridad y cumplimiento regulatorio. Al almacenar los escritorios virtuales de los usuarios en un centro de datos seguro en lugar de en dispositivos portátiles, se reducen los riesgos de robo de datos y pérdida de equipos. Además, es más fácil para los administradores aplicar actualizaciones de seguridad, respaldar datos y monitorear el cumplimiento de políticas. La virtualización
Superar la seguridad y el cumplimiento con la virtualización del escritorio
1. Superar la seguridad y el cumplimiento
con la virtualización de escritorio
Las estrictas regulaciones de hoy ejemplo, en 2010 los organismos militares y de gobierno
No son solo instituciones financieras que están luchando expusieron equivocadamente los datos personales de miles
con los problemas de cumplimiento. Las organizaciones de ciudadanos involucrados en por lo menos 104 incidentes,
del sector público como la atención médica, la educación hasta 90 en el 2009, de acuerdo con un estudio realizado por
y las oficinas del gobierno enfrentan el desafío de un el Centro de Recursos de Identificación de Robos.1
montón de regulaciones federales, que incluyen la Ley de
Portabilidad y Responsabilidad de Seguros de Salud (Health Proteger la información en el centro de datos tiene sus
Insurance and Portability and Accountability Act, HIPAA) y la desafíos, pero estos aumentan cuando se tienen que
Ley de Tecnología de la Información Médica para la Salud proteger laptops y computadoras de escritorio de usuarios
Económica y Clínica (Health Information Technology for finales. La mayor parte de la información más actual de
Economic and Clinical Health, HITECH), la Ley Federal de una organización a menudo reside en estos dispositivos,
Administración de la Seguridad de la Información (Federal los cuales no tan solo se alojan afuera del centro de datos
Information Security Management Act, FSMA) y la Ley Federal más seguro, sino también viajan a través del país o del
de Derechos de Educación y Privacidad (Federal Educational mundo con sus usuarios móviles, junto con unidades de
Rights and Privacy Act, FERPA). Los estados individuales y las almacenamiento portátiles USB y teléfonos inteligentes.
industrias pueden complementar estas regulaciones con sus Los dispositivos portátiles con frecuencia se pierden o los
propios estándares. roban, y mantenerlos actualizados con mejoras y parches
de seguridad puede ser difícil si no están siempre conectados
En el exterior, las empresas deben lidiar con regulaciones de a la red corporativa. Los traslados, las incorporaciones y los
privacidad creadas para coaliciones multinacionales, como cambios se pueden tardar días o incluso semanas, lo que
la Directiva de Protección de Datos de la Unión Europea expone los datos confidenciales a un uso no autorizado por
y por países individuales, como la Ley de Protección de la parte del personal interno, exempleados o terceras partes
Información Personal de Japón. malintencionadas.
Cada una de estas regulaciones tiene su propio conjunto Muchas de las organizaciones actuales tienen una gran
de estándares y requisitos, pero casi todos los casos apuntan variedad de sistemas cliente de usuarios y dispositivos
hacia proteger al ciudadano privado, al estudiante y la móviles, lo que exige que TI administre y mantenga
información del paciente de un acceso no autorizado y de numerosos tipos de imágenes de sistema cliente en un
robos malintencionados. El cumplimiento regulatorio se estado de cumplimiento. Muchas de las organizaciones
complica aún más con el gran volumen de información de TI aprovechan las máquinas y las herramientas virtuales,
digital que se debe proteger, gracias a los registros de salud como Symantec Ghost para administrar el cumplimiento de
electrónicos y las reglas de retención que exigen que la la imagen, pero estas herramientas aumentan la complejidad
información electrónica (incluidos los mensajes de correo y los gastos de administración.
electrónico, las transcripciones de mensajería, los faxes, los
documentos y las imágenes) se archive por décadas o por También existe el problema del error del usuario.
más tiempo. Los empleados poco capacitados o descuidados pueden
descargar archivos o aplicaciones cuestionable, deshabilitar
Aparte del cumplimiento, las infracciones de datos contraseñas, buscar formas de eludir las políticas de seguridad
importantes a menudo pasan a ser de dominio público, y descuidar el respaldo de sus datos, lo que lleva a poner en
lo que puede resultar vergonzoso, provocar daño económico riesgo la protección de los datos.
y problemas legales para las organizaciones objetivo. Por
1 http://www.idtheftcenter.org/artman2/uploads/1/ITRC_Breach_Stats_Report_20101229.pdf
1
2. Ventajas de la virtualización de escritorio Bloquear o administrar el acceso a los puertos USB. Es más
Las organizaciones que buscan abordar los desafíos de fácil configurar y aplicar las políticas y medidas de seguridad,
seguridad y cumplimiento deben considerar seriamente como el cifrado de datos o el bloqueo de los puertos USB,
la virtualización de escritorio. Similar a la virtualización de en los sistemas virtuales. Esta política evita que los usuarios
un servidor, la virtualización de escritorio abstrae el entorno copien datos a la memoria de USB o a otro dispositivo portátil.
informático de la computadora o laptop de un usuario,
incluidos los sistemas operativos, las preferencias del usuario, Evitar las descargas malintencionadas. TI puede monitorear
las aplicaciones y el almacenamiento de datos, desde el los cambios en el sistema con mayor facilidad en el centro
hardware del usuario físico. Si bien los usuarios pueden de datos, de manera que si un usuario infringe las políticas de
estar usando sus laptops o computadoras para trabajar, descarga, TI puede revertir rápidamente los sistemas virtuales
los recursos y las aplicaciones que usan se pueden almacenar vulnerados a su estado anterior y seguro.
de forma segura en un servidor centralizado y acceder a este
por medio de una red corporativa o Internet. Respaldar los escritorios virtuales. En lugar de contar con
que los usuarios poco confiables respalden cada dispositivo
¿Cómo pueden aprovechar las organizaciones la cliente individual cuando tengan tiempo, y si tienen tiempo,
virtualización de una computadora de escritorio para TI puede simplemente respaldar todos los escritorios virtuales
asegurar las aplicaciones y los datos del usuario? de usuario basados en servidor de una sola vez en un
almacenamiento remoto o adjunto en red y recuperarlos
Virtualizar los escritorios en el centro de datos. Una vez rápidamente cuando sea necesario. Si roban o se daña
que aloje las imágenes de escritorio del usuario en el centro una laptop o una computadora, aún se puede acceder
de datos, solucionará el problema más común producto del a la información del usuario en el centro de datos y se
robo de datos y de laptops. Dado que la imagen y los datos puede asignar rápidamente a otra computadora o laptop.
de escritorio no se almacenan realmente en la computadora
física, el robo o la pérdida no expone directamente las Actualizar el software de seguridad. Los usuarios
aplicaciones o los datos a los ladrones u otros usuarios no que trabajan durante los viajes o en el hogar en sus
autorizados. TI puede bloquear fácilmente el acceso al centro dispositivos personales tienen más probabilidades de
de datos desde el dispositivo comprometido. infectar sus dispositivos con virus, gusanos y otros malware
que cuando trabajan en la oficina. Cuando almacena
Otra ventaja implica aprovechar la seguridad física superior escritorios virtualizados en el centro de datos, es más fácil
del centro de datos y poner los escritorios virtuales dentro aplicar actualizaciones de seguridad a través de los sistemas
a un alcance más fácil de TI. Los administradores pueden virtuales para prevenir las infecciones de malware. Si existe
gestionar el acceso e implementar traslados, adiciones, una infección, puede ejecutar escaneos de seguridad y tratar
cambios, parches y actualizaciones con mayor facilidad potenciales problemas sin temor a que un dispositivo remoto
en los escritorios virtuales que cuando los dispositivos se pueda descargar malware e infectar su entorno cuando se
encuentran muy dispersos. conecte nuevamente.
La centralización de los escritorios virtuales y las laptops Centralizar el acceso Web y SaaS. Debido a que todos
en el centro de datos hace que sea más fácil adoptar otras los usuarios acceden a los sistemas virtuales en el centro
prácticas óptimas para la seguridad: de datos, puede aplicar un punto seguro único de acceso
a la Web y a las aplicaciones de software como servicio.
Crear plantillas reforzadas. Es fácil implementar y mantener
configuraciones estándar de imágenes de escritorio Virtualizar a sus contratistas. Si quiere proteger los datos
reforzadas en los sistemas virtuales centralizados mediante confidenciales cuando trabaja con contratistas o empleados
herramientas de plantilla de imágenes. Puede incluso temporales, entrégueles un escritorio virtual seguro en el
enlazar las imágenes maestras con las imágenes de laptop servidor. Pueden usar sus propios dispositivos de hardware
y computadora personalizadas de forma individual para que y usted puede aplicar cualquier medida de seguridad que
pueda instalar nuevos parches de seguridad y cambios en sea necesaria, incluido el cifrado, el bloqueo y el borrado de
la política con una simple actualización en la configuración datos confidenciales o la eliminación de los usuarios de forma
de la imagen. Además, las tecnologías de aprovisionamiento inmediata cuando sea necesario.
recientes le permiten crear catálogos de instantáneas del
sistema que se pueden volver a usar y derivar en caso de
auditorias de seguridad y de cumplimiento.
2