Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013
description
Transcript of Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013
El Reto del BYOD Seguro: Luces y
SombrasJosé Miguel CardonaSocio y Director de Proyectos de Consultoría de DNBCISA, CISM, CISSP, CRISC, AMBCI, LA ISO 27001, LA ISO [email protected]
Introducción
Fuente: www.dilbert.com
- Mordac, necesito acceder a datos de la compañía desde mi Ipad.
- ¡Si te ayudo, todos los empleados de la empresa querrán lo mismo!
- ¿Querrán hacer sus trabajos más eficientemente?- No puedo animar esa clase de cosas.
VIÑETA
Introducción
Fuente: www.dilbert.com
- ¡Alto proveedor! No puedes llevarte tu portátil fuera del edificio con datos en él.
- ¡Debes entregar tu portátil a TI para que puedan machacarlo a polvo!
- Eso es una locura. Tengo los mismos datos en mi cabeza.- Esto nos lleva a la parte incómoda.
VIÑETA
Un posible Escenario
• Empresa mediana de ámbito multinacional
• Varias delegaciones comerciales por todo el mundo.
• Gran dedicación de tareas comerciales, de representación y distribución con alto porcentaje de dedicación en viajes (nacional e internacional).
• El ERP corporativo (accesible vía VPN), el correo electrónico y la mensajería instantánea son herramientas clave de trabajo.
• Casi todos los empleados usan móviles o tabletas corporativas
• Elevada rotación por obsolescencia de estos dispositivos
Decisión Estratégica: BYOD
• Se plantea desde Dirección estudiar la estrategia BYOD a nivel corporativo
Decisión Estratégica: BYOD
• El Departamento Financiero hace un estudio del coste siendo claramente favorable.
• RRHH considera que la productividad se incrementará en un 20% con las soluciones de movilidad
Decisión Estratégica: BYOD
• Para el Dep. TIC no hay excesivas diferencias a la hora configurar los dispositivos bien sean propiedad de los empleados o de la empresa. Supone prácticamente la misma dedicación…..
y podrán cambiar las Blackberry por iPhones ☺
Se “implanta” BYOD…
• Se permite el acceso a la Wifi corporativa a los dispositivos detodos los empleados.
• Se da acceso remoto vía VPN al personal que viaja y que justifique necesidad de trabajo remoto.
• El Departamento TI inventaría los dispositivos y registra el empleado propietario.
• El Departamento TI o los propios usuarios sincronizan las cuentas de correo corporativo en los dispositivos
Y a trabajar!!......(en un mundo ideal)
Algunos datos tras un año…
• En efecto la productividad se incrementó
• Se redujeron los costes de los activos fijos e indirectos derivados de los dispositivos móviles
• Se recibieron varias felicitaciones por parte de los clientes por la reactividad en resolución de problemas.
• Algunas operaciones internacionales importantes se cerraron por disponibilidad pese a desfases horarios intempestivos.
Algunos datos tras un año…
• Se descubrió que había muchos más dispositivos de los inicialmente registrados conectados a la red corporativa
Algunos datos tras un año…
• Varios dispositivos se perdieron o fueron robados conteniendo información empresarial.
Algunos datos tras un año…
• Se produjo una fuga de datos en el departamento Comercial por acceso a correos electrónicos por parte de un competidor tras un descuido en un congreso.
Algunos datos tras un año…
• Un ex-empleado denunció a la compañía por intrusión en su privacidad cuando el Departamento de TI procedió al borrado de su smart-phone previo abandono de la empresa.
Algunos datos tras un año…
• Se sufrió una ola de phising y spam a toda la agenda de contactos (incluyendo el directorio corporativo) por un rootkit que se instaló en una aplicación no controlada (smart-phone con jailbreak)
Algunos datos tras un año…
• Se incrementó significativamente el número de incidencias y su complejidad relativas los dispositivos móviles del help-desk corporativo (aumento de dedicación del personal a esa tarea)
Algunos datos tras un año…
• Se descubrió que algunos empleados habían renovado el dispositivo móvil y los antiguos se cedieron a familiares o incluso se vendieron!! (por supuesto, configurados con las
claves de acceso y conteniendo información de la empresa )
Qué se debería haber hecho
• Un análisis detallado de la situación de partida, análisis de riesgos y seguridad, estudio de tecnologías disponibles en el mercado y alineado con requisitos empresariales (GAP y Plan de Acción)
• Implantación de las Medidas técnicas y Organizativas
• Implantación de las soluciones técnicas acorde a necesidades y funcionalidades (MDM, MDP, MAM, MDS….)
Qué se debería haber hecho
Qué se debería haber hecho
• A nivel Legal:
• Política de Seguridad BYOD y movilidad (aceptada)
• Autorizaciones: reutilización, borrado, privacidad, LOPD…
Qué se debería haber hecho
• A nivel de Dispositivo (endpoint):
• Cifrado general
• Solución de sandbox o contenedores seguros (separación lógica de entorno personal y empresarial)
• Definir una Baseline Corporativa: SSOOs, Apps. permitidas y config. mínima de seguridad.
• Inventariado de dispositivos
Qué se debería haber hecho
• A nivel de red:
• Validación y Control de acceso a redes (NAC)
• Conexiones y transferencias cifradas (VPN)
• Protocolos de autenticación fuerte (PKI, tokens o
softtokens, etc.)
• Borrado (wipe) remoto
• Solución de monitorización remota
Qué se debería haber hecho
• A nivel de datos:
• Definir perfiles y niveles de acceso (IRM)
• Revocación de accesos
• Cifrado en origen (si almacenamiento remoto)
• Solución DLP (cliente end-point y/o centralizado)
• Borrado selectivo
• Copias de seguridad (remotas – nube o red corporativa)
Qué se debería haber hecho
• A nivel de usuario, concienciación en buenas prácticas:
• Autenticación por clave (con mínimo de complejidad) u
otros (biométrico, reconocimiento facial, etc.)
• Bloqueo por inactividad
• Directrices de copias de seguridad
• Antivirus y Firewall local
Qué se debería haber hecho
• A nivel de usuario, concienciación en buenas prácticas:
• No jailbreak ni instalar aplicaciones ilegales.
• Uso de aplicaciones de control del consumo
• Protocolos a seguir en caso de pérdida o robo
(geolocalización – previa autorización, borrado, baja, etc.)
• Procedimientos de Help-Desk y niveles de uso
Resumen
• El BYOD
• por naturaleza es beneficioso desde el punto de vista de productividad y eficiencia.
• por naturaleza es inseguro.
• Es un fenómeno en auge y hay que aprovechar sus puntos fuertes minimizando el riesgo que introduce.
• Su adopción supone afrontarlo como un proyecto global a nivel corporativo
• Requiere de análisis, diseño e implantación (adecuado a cada entidad y tamaño)
• Existen múltiples soluciones y posibilidades tecnológicas pero ellas solas no resuelven todos los problemas.
¡Muchas gracias!
Ruegos y Preguntas