¿Existe un solo escenario BYOD?

Publicado el 15 Oct 2012

51604_31

Autor: José Carlos García, ingeniro de Soluciones de Enterasys Networks

Bring Your Own Devices o BYOD es uno de los temas TIC de los que más se ha hablado en los últimos meses, y uno de los que más se presta a malentendidos y “falsos mitos”, en parte porque al hablar de BYOD no todo el mundo se está refiriendo a la misma realidad. Bajo este acrónimo nos encontramos al menos con ocho escenarios distintos: puede tratarse de un dispositivo propiedad de la empresa o no (aunque el empleado lo use como dispositivo personal), puede tener acceso a la red LAN o no, a información corporativa una vez conectado a la LAN o no, etcétera.

El fenómeno BYOD y la llamada consumerización de las TI están aquí para quedarse. Antes de aplicar cualquier plan o estrategia BYOD y lanzarnos a desplegar todo tipo de tecnologías etiquetadas como “BYOD”, tenemos que tener muy claro qué tipo de escenario tenemos en nuestra empresa.

Primeros escenarios

El primer escenario es el más evidente. Dispositivos que son gestionados por la empresa, se conectan a la LAN y tienen acceso a los datos corporativos. Básicamente es el mismo escenario que teníamos anteriormente, con máquinas corporativas. Desde el punto de vista de la red y de la seguridad hay pocos cambios con respecto a lo que se viene haciendo desde hace años. La única diferencia es que no es la empresa la que compra el aparato, es el empleado el que lo paga. Utilizando mecanismos de control de acceso y de autenticación solucionamos el problema con este grupo de dispositivos. Podríamos denominar a este escenario “Buy” Your Own Device.

El segundo escenario no tendría tampoco complicación si no fuera en lo que respecta a la protección de datos. Puesto que no todos los datos son datos corporativos, es importante saber lo está saliendo fuera. En este caso nos puede ayudar un buen firewall como el de Palo Alto, un sistema de políticas y un sistema SIEM. Así conoceremos lo que está sucediendo en la red y con estos dispositivos y tomar medidas.

El tercero es aquel en el que dispositivos propiedad de la empresa y gestionados por la misma tienen acceso a los datos corporativos pero no a la red de la empresa. ¿En qué escenario ocurre eso? En aquél en que los dispositivos móviles acceden a recursos de la empresa “en la nube” utilizando redes públicas o particulares, o simplemente que acceden a su correo pasando a través del firewall corporativo (por ejemplo usando la plataforma BlackBerry Enterprise Server). En este caso, la mejor combinación es utilizar un sistema de gestión de dispositivos móviles (MDM) y una solución de gestión de identidades basada en cloud.

Si estos dispositivos no acceden a información corporativa, bastaría con usar MDM. Puesto que son equipos propiedad de la empresa y gestionados por ella, podemos implementar una política que exija instalar un software MDM y así podemos tener control un cierto control sobre el aparato.

Si la organización no gestiona

Veamos ahora el caso de dispositivos que no son gestionados por la organización. Aquí las cosas se ponen más difíciles.
El primero de estos escenarios es aquél en el que hay dispositivos que acceden a la LAN y a los datos corporativos pero que no son gestionados por la empresa. Puesto que no podemos gestionarlos, necesitamos utilizar un sistema de control de acceso basado en red que nos permita escanear de forma remota los equipos, para asegurarnos que cumple con las políticas de red, o simplemente denegarles la conexión. Puesto que se trata de datos corporativos, podemos usar una solución SSO para resolver este asunto.

¿Pero, y si no acceden a datos corporativos?¿Realmente podemos impedir a alguien que utilice su cuenta en Dropbox? Podemos hacerlo, puesto que están utilizando nuestra red. Quizá demasiado restrictivo. Para hacerlo, podemos utilizar un IPS o una herramienta de detección de aplicaciones, que nos alerte de la conexión y podamos deshabilitarla en el firewall o a nivel de puerto de switch.

Si no es un dispositivo corporativo ni tampoco usa nuestra red, el único punto de autenticación de que disponemos es a nivel de aplicación. Hay herramientas que nos permiten automatizar el proceso de aprovisionamiento de aplicaciones y de desconexión cuando el empleado ya ha terminado de utilizarla. La automatización es necesaria, porque si no, el proceso puede ser demasiado trabajoso y podernos dejar alguna sin cerrar.

El último escenario es el más peliagudo de gestionar. Es un dispositivo que no es de la empresa, que no accede a los datos corporativos y que no usa nuestra red. El mayor riesgo aquí es que alguien diga algo negativo de la empresa en los medios sociales 2.0. Aquí no tenemos ningún control, al menos desde un punto de vista técnico. Algunos dirán que esto no es un problema “BYOD”, pero en parte está relacionado, ya que a veces algunas compañías compran para sus empleados smartphones que no se usan realmente para el trabajo, o al menos gran parte de sus funcionalidades. Algunos fabricantes ofrecen appliances para protegerse de este riesgo, pero si estos equipos no usan mi red, esto no sirve para nada.

La huella digital

Como hemos visto, en algunos de estos contextos BYOD, es muy necesario contar con sistemas que permitan tener bajo control toda la flota de dispositivos móviles que acceden a la red corporativa. Un sistema de gestión de dispositivos móviles (MDM) nos permitirá entre otras cosas gestionar las aplicaciones móviles que corren en estos dispositivos (despliegue, actualización, bloqueo), gestionar inventarios (tanto de hardware como de software), políticas y seguridad (políticas corporativas, autenticación, encriptación, conexión a redes, conocidas y no conocidas) y gestionar servicios de telecomunicaciones.

A partir de la información proporcionada por el sistema MDM, se puede generar la llamada “huella digital” del dispositivo. Esta huella digital incluye una gran cantidad de información sobre el mismo: IMEI o código de identificación del dispositivo, tipo de acceso que está utilizando, identidad del dispositivo (física y virtual), sistema operativo y versión, tipo de dispositivo (tableta, smartphone, etcétera), lugar y momento del día en el que se conecta, aprovisionamiento de aplicaciones que está pidiendo, sistema de autenticación utilizado, “estado de salud” (antivirus instalado, parches, aplicaciones instaladas y nivel de riesgo potencial de cada una, etcétera) y recursos de red a los que está autorizado a acceder.

A partir de ahí es tarea del departamento de sistemas el diseñar las diferentes políticas a aplicar en cada uno de los casos. Por ejemplo, se puede establecer la política de que un dispositivo con una determinada aplicación instalada no puede acceder a la red, o sólo puede disponer de acceso Wi-Fi a Internet, como usuario invitado, sin acceso a la red corporativa. La operación conjunta de los sistemas de gestión de red que monitorizan y autorizan las conexiones de dispositivos a la red y los sistemas MDM que conocen el estado de cada dispositivo móvil conectado es fundamental y en muchos casos la única solución para concebir un sistema BYOD en entornos que manejen información crítica o confidencial.

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

Redacción

Artículos relacionados

Artículo 1 de 3