Los 10 “imprescindibles” para asegurar la movilidad en la

Anuncio
Los 10 “imprescindibles” para asegurar la movilidad empresarial
Informe
Los 10
“imprescindibles”
para asegurar
la movilidad en
la empresa
Marco de seguridad y
lista de comprobación
www.citrix.es
Los 10 “imprescindibles” para asegurar la movilidad empresarial
Informe
Convertirse en una empresa en movilidad significa nuevas
oportunidades para su organización. Los empleados son más
felices y más productivos cuando tienen acceso móvil a su
correo electrónico, aplicaciones y datos desde sus tabletas y
smartphones. Las empresas que llevan a cabo sus negocios
apoyándose en soluciones de movilidad pueden obtener
importantes ventajas competitivas y un crecimiento superior.
En una encuesta reciente, Aberdeen descubrió que las mejores empresas son tres veces más
propensas que las demás a unir el flujo de trabajo empresarial a los dispositivos móviles de
los usuarios’.1 Sin embargo, según casi todos los estudios de los analistas, la seguridad es el
principal escollo tanto para la movilidad en la empresa como para los programas “Traiga su
Propio Dispositivo” (BYOD). La revista CSO informó recientemente que el 17 por ciento de las
empresas ya han experimentado un fallo en la movilidad.2
Aspectos sobre la seguridad de los dispositivos móviles
Mientras las preocupaciones en materia de seguridad móvil van desde la aplicación de un
código de seguridad hasta un dispositivo cifrado, la violación de datos y la pérdida de los
mismos, se encuentran en la parte superior de la lista de los responsables de implementar
los programas de movilidad. Según el experto de seguridad empresarial Jack Gold, las
organizaciones perderán entre tres y cuatro veces tantos smartphones como notebooks cada
año. Gold (retóricamente) nos pregunta “¿con 32 o 64 GB de memoria, cuántos archivos
contiene un smartphone o tablet perdido?”3. A un coste estimado de más de $250 por archivo
extraviado4 una filtración de datos puede ser costosa. De hecho, algunas investigaciones
calculan el coste de una brecha en la movilidad en más de 400.000 dólares para una empresa
y más de 100.000 dólares para un pequeño negocio,5 y en algunos casos, estos costes pueden
llegar a ser de varios millones.6 Esta preocupación se reproduce al tiempo que un número
cada vez mayor de smartphones y tablets no sólo se conectan a la red de la empresa sino que
también acceden a un número creciente de aplicaciones de negocio y repositorios de contenido.
Además de los datos, los departamentos de TI de las empresas y los servicios de seguridad
están preocupados por los riesgos de la apertura de la red interna a una gran diversidad de
dispositivos móviles. En muchos casos, los teléfonos inteligentes y las tabletas no son regulados
ni controlados, lo que significa que las amenazas se pueden introducir a la red y afectar
negativamente al cumplimiento de las normativas vigentes dentro de una organización. Hay tres
factores principales que inciden en el problema de la seguridad de las empresa.
1. Explosión de dispositivos móviles y aplicaciones
Con el Centro de Normativas de Gestión de Entornos de Telecomunicaciones informando
que el 78 por ciento de las organizaciones permiten el uso de dispositivos móviles propiedad
de los empleados en el entorno del negocio 7 y los departamentos de TI de las empresas
gastando un total de 16 billones de dólares durante el 2013 8 en tabletas Apple® iPad®, los
dispositivos móviles en la empresa no solo se han disparado en volumen, sino que también se
han extendido más allá de los despachos de los ejecutivos hasta los empleados de más bajo
rango. Además, independientemente de si los dispositivos móviles son propiedad de la empresa
o propiedad del empleado, el número de aplicaciones en estos dispositivos es cada vez mayor.
Asymco, empresa de análisis de movilidad, informó de una media de 60 aplicaciones por
dispositivo iOS®.9 Dado que más de la mitad de las organizaciones son compatibles con más
de un tipo de dispositivo, 10 la exposición de la red corporativa a aplicaciones potencialmente
malintencionadas y que no cumplen la normativa vigente es inmensa. Aunque estos hechos
apuntan a un riesgo de malware, consideremos la opinión del Wall Street Journal en el artículo
www.citrix.es
2
Los 10 “imprescindibles” para asegurar la movilidad empresarial
Informe
“Sus aplicaciones le vigilan”: de 101 aplicaciones móviles estudiadas, 56 transmite el número
de identificación del dispositivo, 47 transmite datos de ubicación y cinco transmiten información
personal desde el dispositivo a un servidor de un tercero.11 Incluso aunque el estudio se centró
en aplicaciones de consumidor, apunta al hecho de que los dispositivos y la red corporativa son
vulnerables a las aplicaciones que se instalan en los dispositivos. Aunque ellas no se consideren
maliciosas, las aplicaciones pueden acceder, recoger y transmitir datos sensibles en contra de la
política corporativa y de forma que pueden saltarse los mecanismos de vigilancia tradicional de
la seguridad de la empresa.
2. Aumento de los niveles de acceso móvil
Personas de todos los niveles de la organización tienen un gran deseo de proveer a los
empleados con los dispositivos móviles y de acceso móvil a las aplicaciones y los datos
corporativos. Las organizaciones también se movilizan horizontalmente, a través de sus líneas
de negocio. De acuerdo con una encuesta de Citrix®, más de las tres cuartas partes de las
organizaciones implementarán aplicaciones móviles para su uso en la línea de negocio en 2013,
y más de la mitad de las mismas, serán de vital importancia.
Además, el 80 por ciento de las organizaciones están desarrollando aplicaciones
personalizadas.12 Esto va desde cadenas de restaurantes equipando a sus clientes y personal
de cocina con tabletas iPad hasta líneas aéreas que ofrecen a sus tripulaciones el conjunto
completo de información del vuelo (“flight bag”) con los manuales de los aviones, planes de
vuelo y documentos sobre normativas vigentes en su Samsung Galaxy Tabs. Dicho acceso móvil
a la información nos promete una tremenda espectativa, pero también significa que los datos de
la empresa y el acceso a la red estarán en las manos de un mayor número de usuarios a través
de un creciente número de dispositivos, lo cual multiplica el riesgo.
3. Proliferación de herramientas de intercambio de archivos al estilo del consumidor
Mientras que la solución de seguridad para la movilidad en la empresa de la que oímos hablar,
se centra frecuentemente en bloquear o borrar la información contenida en un dispositivo
perdido o robado, la mayor amenaza es compartir los datos sin control. Con millones de
usuarios que comparten los datos a través de un interminable tapiz de extremos conectados
en la nube, el riesgo de filtración de datos empequeñece el escenario de pérdida / robo de
dispositivo. Las herramientas de intercambio de archivos tipo consumidor son particularmente
preocupantes debido al efecto multiplicador: los datos guardados fuera de la red de la empresa
no sólo se comparten con un dispositivo, si no con todos los dispositivos que se conectan
de forma viral a través de la herramienta. Según el informe de Citrix “ Citrix Mobile Device
Management Cloud Report”, algunas de las aplicaciones más comúnmente implementadas,
tales como Dropbox y Evernote, están también entre las más frecuentemente añadidas a la
lista negra de las compañías, lo que simultáneamente habla de su utilidad por un lado y de sus
riesgos para el negocio por el otro.13
www.citrix.es
3
Los 10 “imprescindibles” para asegurar la movilidad empresarial
Informe
Marco de seguridad móvil de extremo a extremo
Los profesionales de seguridad de las TI están recurriendo en gran medida a la gestión de
dispositivos móviles (MDM) o a soluciones de gestión de la movilidad empresarial. Sin embargo,
la gama de desafíos sobre la movilidad enumerados anteriormente requiere un marco de
seguridad nuevo y más amplio – uno que va más allá de las capacidades básicas del bloqueo y
borrado y que se encuentra en las soluciones MDM. Las organizaciones de hoy necesitan una
solución que les proporcione herramientas para, de manera proactiva, supervisar, controlar y
proteger a la empresa de principio a fin – por medio de dispositivos, aplicaciones, datos y de la
red.
www.citrix.es
4
Los 10 “imprescindibles” para asegurar la movilidad empresarial
Informe
Los 10 “imprescindibles” para la movilidad empresarial
A continuación se presentan las diez preguntas que las empresas deben hacer a
cualquier proveedor de movilidad para la empresa.
Pregunta
Razonamiento
1
¿Puedo
administrar
cualquier
programa BYO
o dispositivo
corporativo?
Muchas empresas requieren la administración de dispositivos básicos. Necesitan
configurar de forma centralizada elementos de seguridad en los dispositivo tales
como contraseñas y cifrado y detectar y bloquear dispositivos no compatibles, como
por ejemplo aquéllos que han sido liberados o se tienen instaladas aplicaciones que
están en la lista negra. Requieren la capacidad de restablecer los dispositivos cuando
se han perdido o han sido robados, o cuando un usuario se va de la organización.
Debido a que un creciente número de organizaciones tiene dispositivos propiedad del
usuario (BYO) y dispositivos corporativos en su entorno, la solución debe permitir a TI
designar la propiedad fácilmente y establecer políticas y prácticas en consecuencia
2
¿Puedo asegurar
y gestionar
cualquier
aplicación web o
móvil?
Las aplicaciones son diversas y no comparten los marcos de seguridad. TI necesita
asegurar de forma centralizada cualquier aplicación móvil o web o intranet, aplicando
políticas de acceso, una conectividad segura y controles de datos para ellas durante
o incluso después del proceso de desarrollo.
3
¿Puedo dar a
mis usuarios
alternativas
seguras a sus
“killer apps”
aplicaciones de
productividad sin
comprometer la
experiencia del
usuario?
¿Qué pasa con las aplicaciones de productividad “killer apps” que los usuarios
móviles necesitan para realizar su trabajo, tales como correo electrónico, web y
acceso a datos? La posición por defecto de los usuarios es utilizar la aplicación
nativa o la aplicación a la que están acostumbrados. Pero ¿qué pasa si las
empresas pudieran proporcionar a los usuarios un espacio aislado (sandbox),
pero impresionante, alternativo al cliente nativo de correo electrónico, navegador y
herramientas de intercambio de archivos que conozcan y que sean las que quieren?
4
¿Puedo ofrecer
movilidad de
forma segura
y proteger la
privacidad del
usuario?
Mientras que muchas organizaciones deciden resolver sus desafíos de movilidad
con una solución de gestión de la movilidad empresarial de serie (full-stack), las
organizaciones sujetas a normas de privacidad estrictas pueden optar por un
enfoque de menor peso. Esto podría significar implementar sólo un cliente de
correo electrónico o aplicación seguras al dispositivo. La solución debe ser lo
suficientemente flexible como para permitir ambos escenarios o una mezcla de
ambos, por ejemplo una empresa global que quiere administrar dispositivos para sus
empleados de Estados Unidos pero sólo ofrecen un cliente de correo electrónico en
un espacio aislado (sandbox) para su personal alemán.
5
¿Puedo dar a mis
usuarios un SSO
y proporcionar
cualquier
aplicación
existente en
cualquier
dispositivo?
Single sign-on (SSO) es una de las pocas características de seguridad que ofrece
algo para todos. TI puede proporcionar y eliminar aplicaciones más fácilmente y
garantizar que el acceso a las aplicaciones móviles para los empleados cesados se
desactiven inmediatamente. Los usuarios obtienen un acceso sencillo sin necesidad
de autenticarse en una pantalla pequeña. Esto es un “imprescindible” para cualquier
empresa. Si la empresa es verdaderamente móvil, lo más probable es que TI tendrá
que aportar no sólo aplicaciones móviles, si no también web, SaaS, Windows y
aplicaciones de centro de datos también. Es necesario que estén disponibles en un
solo lugar: una tienda de aplicaciones.
6
¿Puedo
proporcionar
acceso a la
red según el
escenario?
Con la amplia variedad de dispositivos móviles que acceden a la red, TI debe definir
políticas integrales de acceso y control mediante análisis de punto final y roles de
usuario para determinar qué aplicaciones y datos puede entregar y qué nivel de
acceso a los contenidos debe autorizar.
7
¿Puedo permitir
a mis usuarios
acceder a sus
contenidos al
mismo tiempo
que protejo los
datos?
Los usuarios móviles necesitan tener acceso a contenidos corporativos, pero existe
una escasez de herramientas que permitan a TI gestionar este acceso y controlar
los datos. Si el contenido reside en Microsoft® SharePoint® o en una aplicación de
intercambio de datos & sincronización, IT debe ser capaz de establecer y hacer
cumplir las políticas que dictan lo que los usuarios pueden y no pueden hacer con el
contenido, archivar, enviar por email, copiar/pegar, etc.
www.citrix.es
5
Los 10 “imprescindibles” para asegurar la movilidad empresarial
Informe
8
¿Puedo
ser flexible
proporcionando
la seguridad
adecuada para
cada situación?
Similar a la difícil tarea de establecer un equilibrio entre seguridad y privacidad está
la necesidad de aplicar la seguridad adecuada para cada situación. TI necesita
soluciones flexibles que admitan un "bueno-mejor-el mejor" enfoque de la seguridad,
desarrollando el equilibrio correcto entre la seguridad y la facilidad de uso.
9
¿Puedo integrar
movilidad en los
dispositivos de TI
existentes?
TI comprende los riesgos de seguridad de los contenedores de tecnología. Las
soluciones de movilidad empresarial deben “encajar” en el entorno informático
existente. Esto significa la integración directa con directorios empresariales,
infraestructura de clave pública, correo electrónico corporativo, tecnologías de
acceso tales como WiFi y VPN y escritorios y aplicaciones virtuales. También supone
la integración con soluciones de gestión de eventos de seguridad de la información y
sistemas de gestión de registros para que TI pueda informar sobre la movilidad junto
con otras infraestructuras empresariales.
10
¿Su arquitectura
es segura,
escalable y
es altamente
disponible?
Las soluciones de gestión de la movilidad en la empresa deben ser de categoría
empresarial. Esto significa que están diseñadas para mantener los datos
confidenciales del usuario detrás del firewall, y no expuestos a internet. Esto significa
que las organizaciones pueden hacer crecer sus implementaciones sin aumentar la
complejidad. También significa que las configuraciones de alta disponibilidad estándar
de la industria aseguran un consistente failover y failback (conmutación por error y
conmutación por recuperación) del sistema si fallara la tecnología.
Seguridad móvil de extremo a extremo
Las organizaciones que persiguen la movilidad de categoría empresarial necesitan mirar más
allá de MDM y considerar la seguridad de la movilidad de extremo a extremo en todos los
dispositivos, aplicaciones, redes y datos.
Desafíos y requisitos de la seguridad de los dispositivos móviles
Gestión centralizada de seguridad del dispositivo
Necesito configurar los dispositivos y hacer cumplir las políticas. Muchas empresas
necesitan configurar los componentes de seguridad del dispositivo tales como contraseñas y
encriptación, así como hacer cumplir la política, de forma centralizada. A medida que los estilos
de trabajo en movilidad constituyen la corriente principal, el creciente número de dispositivos
y usuarios que acceden a la red desde más de un dispositivo está generando una necesidad
urgente de administrar centralizadamente los dispositivos y hacer cumplir las políticas de
seguridad basadas en funciones. Cuando los dispositivos se extravían o son robados o el
usuario abandona la compañía, los datos corporativos contenidos en éstos necesitan ser
bloqueados o borrados de forma centralizada por razones de seguridad y de cumplimiento
normativo.
Fragmentación de plataformas de dispositivos móviles
¡Ayuda! ¡No hay dos dispositivos iguales! Sus empleados exigen libertad de elección de
los dispositivos, y para muchas organizaciones, es una estrategia atractiva. Puede ser que les
ayude a atraer y retener el talento o a ahorrar en costes de dispositivos. Pero a diferencia de los
problemas estándar, los PCs bloqueados o los dispositivos de mano de BlackBerry® controlados
de forma estricta y los dispositivos móviles en las empresas de hoy en día son diversos, tienen
distintos niveles de vulnerabilidad y no ofrecen una manera coherente para TI de gestionar incluso las políticas de seguridad más básicas. Según Aberdeen Research, la media de la mejor
empresa soporta 3,3 plataformas móviles,14 incluyendo iOS, Android®, Windows® y BlackBerry.
La fragmentación representa un reto único desde el punto de vista de las TI, incluyendo cómo
controlar, aprovisionar, apoyar y asegurar múltiples aplicaciones en las diferentes plataformas,
o garantizar que los empleados tengan instalados parches y actualizaciones de seguridad
adecuadas del SO.
www.citrix.es
6
Los 10 “imprescindibles” para asegurar la movilidad empresarial
Informe
BYO contra dispositivos propiedad de la compañía
Tengo un programa BYOD y ahora estoy implementando una iniciativa corporativa
para el uso del iPad. Las organizaciones gestionan cada vez más dispositivos BYO junto con
dispositivos propiedad de la compañía. Necesitan designar la propiedad de una forma precisa
y que cumpla con la normativa vigente, gestionar cada tipo según sus políticas y procesos e
informar sobre ellos de forma permanente.
Requisitos de seguridad de dispositivos móviles
De acuerdo con el marco de seguridad anterior, a continuación le mostramos un conjunto de
requisitos orientados al dispositivo para soluciones de movilidad empresarial.
Seguimiento
Control
Protección
• Auditoria e informes sobre
dispositivos según el tipo
de propiedad - BYO o
empresarial
• Implementar las políticas de
forma similar a través de las
distintas plataformas de los
dispositivos y SOs
• Permitir un autoservicio
para el usuario de
dispositivos extraviados o
perdidos
• Informe sobre los detalles
del dispositivo (tipo, SO,
versión, integridad del
dispositivo, etc.)
• Impulsar la seguridad
corporativa y las políticas
de cumplimiento normativo
(Ej., contraseñas) en todos
los dispositivos
• Localización, bloqueo y
borrado de dispositivos
extraviados o sustraídos
• Inventario de aplicaciones
instaladas
• Determinar el uso del
dispositivo (.j., el dispositivo
está en itinerancia)
• Ver la ubicación del
dispositivo (y tomar
medidas en el caso de que
un usuario haya quitado
el dispositivo de una
ubicación geográfica)
• Determinar si el dispositivo
cumple la normativa
vigente (Ej., si ha sido
liberado, si las aplicaciones
se encuentran en la lista
negra)
• Borrado o borrado selectivo
de dispositivos una vez que
el usuario haya abandonado
• Auditoria de los dispositivos
la organización
a intervalos preconfigurados
para asegurar que ninguna
política impuesta por TI
haya sido desactivada
• Bloqueo del acceso a la
red de cualquier dispositivo
que no cumpla la normativa
vigente
• Establecer políticas de
seguridad para evitar que
los empleados tengan
acceso a los recursos de
los dispositivos o a las
aplicaciones
Requisitos y desafíos de seguridad de las aplicaciones móviles
Cualquier aplicación en cualquier dispositivo
Necesito realizar un seguimiento y administrar todas las aplicaciones que los usuarios
desean hacer móviles. A los usuarios les gustan sus aplicaciones y desean utilizarlas para
llevar a cabo su trabajo. Las líneas de negocio están desarrollando aplicaciones para sus
empleados. Sin embargo es necesario que TI gestione todas ellas – aprovisionar de forma
centralizada las aplicaciones móviles, web, SaaS, Windows y del centro de datos y facilitar a los
usuarios que puedan acceder a ellas desde un lugar.
Seguridad de las aplicaciones centralizada y consistente
¿Cómo mantener un nivel de seguridad coherente en este entorno de “aplicación
gratuita para todos”? Con miles de aplicaciones móviles a controlar, IT está perdiendo la
batalla de asegurar de una manera coherente y centralizada las aplicaciones y las intranets. Las
organizaciones deben lidiar con una serie de usos y aplicaciones de terceros, ninguno de los
cuales utiliza un marco de desarrollo común, tiene funciones de seguridad comunes, tiene la
misma metodología de autenticación o accede a los datos de la misma manera. ¡Sin embargo es
necesario que TI aplique un conjunto de políticas comunes a cada una de estas aplicaciones!
www.citrix.es
7
Los 10 “imprescindibles” para asegurar la movilidad empresarial
Informe
Seguridad de las aplicaciones de productividad “killer apps”
Lo que mis usuarios quieren realmente es su correo electrónico, utilización de la web
y sus documentos. La mayoría de los usuarios necesita un conjunto básico “killer apps” o
aplicaciones “imprescindibles” móviles – siendo típicamente email, web y acceso a los datos. TI
necesita asegurarse de que dichas aplicaciones son seguras, pero al día de hoy no es así. TI ya
no puede manejar una posible fuga de datos por el correo electrónico, un acceso sin garantía
a la intranet o que un usuario cargue datos financieros no públicos de la Corporación en una
herramienta de consumo de archivos de uso compartido. Sin embargo, los usuarios esperan
una fantástica experiencia nativa y tienen poca tolerancia hacia cualquier otra experiencia inferior.
Lo que se necesita es un conjunto de alternativas aceptables seguras a las aplicaciones “killer
apps”.
Protección de la privacidad del usuario
No se trata sólo de la seguridad de la empresa, si no de la privacidad de los usuarios
también. Soluciones completas de gestión de la movilidad empresarial son incluidas como
características básicas, tales como la capacidad de localizar por GPS un dispositivo o ver las
aplicaciones instaladas en los dispositivos de los usuarios. Aunque esas capacidades pueden
ser deshabilitadas en muchas soluciones, algunas organizaciones ni siquiera quieren plantearse
la violación de la privacidad. Las organizaciones con mayor preocupación por la privacidad del
usuario o sujetas a normativas de seguridad, necesitan una forma de proporcionar el acceso a
la información empresarial a los usuarios móviles sin necesidad de gestionar todo el dispositivo.
Por ejemplo, una organización puede desear proporcionar un cliente de email en “sandbox” a
los usuarios para que puedan acceder al correo electrónico de la empresa, no requiriendo una
administración del dispositivo a gran escala.
Identidad Federada y SSO
Hacer el acceso sencillo para mí… y para mis usuarios. Las organizaciones que están
llevando a cabo proyectos de estilo de trabajo en movilidad, ofrecen una multitud de aplicaciones a los usuarios. Dada la diversidad de aplicaciones y tipos de aplicación, es difícil para
TI proporcionar acceso basándose en la función. Es más, todavía es más difícil aún hacer un
seguimiento de todas las aplicaciones que TI necesita eliminar una vez que un usuario ha dejado
la organización. Esto es especialmente cierto para aplicaciones SaaS, las cuales son olvidadas
frecuentemente ya que las credenciales de utilización son gestionadas de forma independiente
y la aplicación probablemente este fuera de la línea de visión de TI. Por parte del usuario,
es difícil acceder a estas aplicaciones individualmente cada vez que se necesita. Con dos
aplicaciones no hay problema. Con cinco es realmente aburrido. Con diez tienes a los usuarios
manifestándose en las calles.
www.citrix.es
8
Los 10 “imprescindibles” para asegurar la movilidad empresarial
Informe
Requisitos de seguridad de las aplicaciones móviles
De acuerdo con nuestro marco de seguridad, a continuación mostramos una serie de requisitos
para aplicaciones orientadas a soluciones de movilidad empresarial
Seguimiento
Control
Protección
• Tener un inventario
de las aplicaciones
móviles instaladas en los
dispositivos
• Garantizar la disponibilidad
de cualquier aplicación
– móvil , web, SaaS,
Windows, o del centro
de datos – a cualquier
dispositivo vía una tienda
unificada de aplicaciones
• Proporcionar aplicaciones
seguras y conectividad en
la intranet sin una VPN al
máximo rendimiento (fullbore)
• Asegurar – e informar a
efectos de cumplimiento
normativa – que los
privilegios de acceso de los
usuarios a las aplicaciones
son totalmente eliminados
cuando los usuarios
abandonan la organización
• Asegurar las aplicaciones
personalizadas o de
terceros de manera
centralizada y aplicar
controles de políticas
granulares durante y
después del desarrollo
• Proporcionar impactantes
alternativas, si bien
en espacios aislados,
a las aplicaciones de
productividad “killer apps”
• Controlar el acceso de los
usuarios a aplicaciones
con SSO en todos los tipos
de aplicaciones
• Proteger los datos
corporativos confidenciales
con controles de datos
consistentes de dentro de
la aplicación
• Evitar que los usuarios
accedan a las aplicaciones
y los datos después de
abandonar la organización.
• Proteger la privacidad de
los usuarios permitiendo
el acceso al email de la
empresa, a la intranet y a
las aplicaciones sin tener
que gestionar todo el
dispositivo
Requisitos y retos de seguridad de las redes móviles
Incapacidad para controlar el acceso
Tengo algunos usuarios móviles en la oficina con dispositivos compatibles, otros
con dispositivos liberados (jailbroken) y algunos con dispositivos desconocidos en
Starbucks. Cuando se refiere al acceso un tamaño no sirve para todos. Con la amplia gama de
dispositivos móviles que acceden a la red, TI necesita una forma de definir políticas integrales
de acceso y control mediante análisis de punto final y función del usuario para determinar qué
aplicaciones y datos ofrecerles y qué nivel acceso a contenidos proporcionarles.
Incapacidad para satisfacer las demandas de la red móvil
No estoy seguro de que mi red móvil pueda manejar el consumo, especialmente
durante los periodos de temporada alta. Aunque no directamente relacionada con la
seguridad, una consideración clave que afecta la seguridad móvil es la escalabilidad de la red
móvil. Cuantos más usuarios de la empresa acceden a la red a través de un número creciente
de dispositivos y las organizaciones despliegan un número creciente de aplicaciones móviles
críticas, TI debe ser capaz de ampliar para satisfacer los crecientes volúmenes de tráfico móvil y
ofrecer aplicaciones móviles con alto rendimiento.
www.citrix.es
9
Los 10 “imprescindibles” para asegurar la movilidad empresarial
Informe
Requisitos de seguridad de la red móvil
Según nuestro marco de seguridad, a continuación les mostramos un conjunto de requisitos
orientados a redes para soluciones de movilidad empresariales.
Seguimiento
Control
Protección
• Análisis de los terminales
móviles para saber el
estado de conformidad en
que se encuentran
• Controlar el acceso a la
red basándose en las
configuraciones de los
dispositivos, estado del
dispositivo, función de
usuario y otros factores,
tales como por ejemplo,
en qué red se encuentra el
usuario
• Proteger la red corporativa
de los ataques móviles tales
como malware
•Atender las demandas
de red móvil, incluyendo
el balanceo de cargas
de peticiones móviles y
garantizando la entrega de
aplicaciones móviles de alto
rendimiento
Requisitos y retos de seguridad de los datos móviles
El problema de Dropbox
Tengo un problema con Dropbox. Las herramientas de consumo de uso compartido de
archivos se han vuelto populares en las empresas porque son fáciles de usar y resuelven un
problema real: Cómo acceder a los últimos datos desde cualquier dispositivo. Mientras que son
útiles, estas aplicaciones también plantean un riesgo de fuga de datos de gran tamaño. Las
organizaciones no pueden controlar o proteger los datos en estas aplicaciones, y si bien podrían
incluir las aplicaciones en su lista negra, ese enfoque no resuelve el problema para los usuarios.
Las organizaciones necesitan una alternativa segura a estas herramientas que resuelva los
problemas de los usuarios mientras que permite a TI cifrar datos y controlar el acceso y uso a
través de políticas granulares de datos.
www.citrix.es
10
Los 10 “imprescindibles” para asegurar la movilidad empresarial
Informe
Los contenedores crean silos de datos
Las aplicaciones “Sandboxed” dificultan a mis usuarios el acceso al contenido que
necesitan. Los contenedores de datos o aplicaciones – Hasta la fecha la respuesta del sector
de la movilidad empresarial a la fuga de datos - plantea enormes desafíos sobre su uso. Muy a
menudo, los usuarios no pueden tener acceso a los documentos que necesitan en la aplicación
que quieren, y no pueden compartir contenido entre aplicaciones. Esto hace que la revisión del
contenido, edición y colaboración sea muy engorrosa o imposible.
Seguimiento
Control
Protección
• Seguimiento y alertas del
acceso del usuario móvil a
los datos
• Proporcionar seguimiento
de datos “follow me data”
para móviles
• Proteger los datos móviles
mediante encriptado tanto
en reposo como en tránsito
• Permitir a los usuarios
móviles sincronizar y
compartir de forma segura
datos desde y a los
dispositivos móviles
• Prevenir la perdida de datos
con un contenedor de
datos seguro y encriptado
• Establecer políticas de
control granular de datos
• Compartir los controles de
datos y permitir el acceso a
través de aplicaciones
• Protección de los datos
mediante borrado del
contenedor en caso
de abandono de la
organización o pérdida del
dispositivo por parte del
usuario o en base a otros
casos como dispositivos
liberados (jailbreak)
Requisitos y consideraciones adicionales de seguridad
Una seguridad adecuada para cada situación
En mi organización tengo empleados a tiempo completo y empleados externos. Todos
ellos no necesitan el mismo nivel de seguridad. Igual que en el caso de la privacidad del usuario,
TI tiene la flexibilidad de aplicar medidas de seguridad apropiadas para la situación actual. Las
organizaciones tienen distintos tipos de usuarios. Algunos son trabajadores especializados
que utilizan dispositivos preparados por las organizaciones para trabajar y para sus actividades
personales. Otros son empleados por turnos que comparten dispositivos con otros empleados.
Otros son subcontratados que utilizan sus propios dispositivos. La seguridad de la movilidad
no cumple con “un tamaño sirve para todos”. En la situación anterior, TI debe ser flexible
proporcionando un acceso “full-stack” (completo) de movilidad empresarial y seguridad para
los trabajadores especializados, mientras que sólo administra los dispositivos compartidos
y aprovisiona una o dos aplicaciones de trabajo específicas pero no un correo electrónico, y
proporciona solamente un cliente de correo electrónico a los contratistas.
TI también necesita flexibilidad para adoptar un enfoque de “bueno-mejor-el mejor” a la
seguridad basándose en el perfil de riesgo de la organización. Utilizando el correo electrónico
como ejemplo, una organización altamente regulada puede elegir un cliente de correo
electrónico en “sandbox” junto con rigurosos controles de datos. Una organización menos
regulada, pero que son conscientes de la seguridad puede optar por una experiencia de correo
electrónico nativo pero cifrar los archivos adjuntos del correo electrónico. Una organización
puede implementar correo electrónico nativo y borrar de forma sencilla el correo electrónico
corporativo en el caso de pérdida, robo del dispositivo o abandono de la organización por parte
del empleado.
www.citrix.es
11
Los 10 “imprescindibles” para asegurar la movilidad empresarial
Informe
Integración de la empresa
No me dé otro silo para administrar. TI entiende los riesgos de seguridad de la tecnología
de silos. Las soluciones de movilidad empresarial que no están integradas directamente con
el resto de TI crean desafíos de gestión y de seguridad. Por ejemplo, soluciones de movilidad
que no se integran directamente con LDAP, pero en cambio utilizan la caché de datos del
usuario de forma periódica, plantean el riesgo de que los empleados sean capaces de acceder
a aplicaciones empresariales y datos desde sus dispositivos móviles durante el período entre
que dejan la organización y la próxima vez que la solución sincroniza los datos de directorio.
Del mismo modo, las soluciones de movilidad que no se integran con SIEM y en herramientas
de administración de registros evitan que TI tenga una imagen completa de la seguridad o del
cumplimiento normativo.
Arquitectura de categoria empresarial
¿Qué sentido tienen las características de seguridad si los datos personales del
Director (CEO) están expuestos a Internet? Muchas soluciones de movilidad empresarial
no están diseñadas teniendo en mente la seguridad. En lugar de mantener los datos sensibles
detrás del firewall y el bróker de acceso a ella mediante un proxy en DMZ, utilizan el caché de
datos de usuario temporalmente en DMZ donde está expuesto a Internet. Además, muchas
soluciones no son ampliables para satisfacer las demandas de crecimiento de las poblaciones
móviles. Algunas soluciones requieren que TI gestione varias instancias de la misma solución
en silos separados. Igualmente, la alta disponibilidad es una característica necesaria que los
profesionales de TI esperan, aunque existen pocas soluciones que las proporcionen totalmente.
Algunas soluciones no tienen redundancia incorporada con clustering estándar de la industria
para un failover y failback sencillo. Según los estilos de trabajo en movilidad se van convirtiendo
en la corriente dominante y las aplicaciones se convierten cada vez más en misión crítica, la
preparación de las empresas para soluciones móviles es cada vez más importante para TI..
Requisitos adicionales
A continuación se muestran los requisitos adicionales de seguridad para soluciones en movilidad
de categoría empresarial.
Seguimiento
Control
Protección
• Integrar los datos móviles
con SIEM y herramientas
de gestión para una mejor
visibilidad de la seguridad
y de los informes sobre
cumplimiento normativo
• Implementar el nivel
adecuado de seguridad
para cada situación (por
ejemplo, correo electrónico
a los usuarios en sectores
altamente regulados,
seguridad de la aplicación
sin administración de
dispositivos para los
contratistas)
• Proteger la privacidad
manteniendo los datos de
usuario detrás del firewall
• Controlar el acceso en todo
momento con integración
directa con los directorios
de empresa
• Controlar el acceso
y habilitar SSO con
integración de PKI
• Proporcionar acceso a
correo electrónico con
una integración del correo
electrónico de la empresa
• Controlar el acceso
empresarial con una
integración directa con
soluciones VPN y WiFi
www.citrix.es
• Proteger a los usuarios
móviles en tiempo de
inactividad con un
estándar del sector de alta
disponibilidad
• Prueba de futuro de la
empresa en movilidad
mediante la implementación
de una solución
escalable que se adapta
al crecimiento de los
dispositivos móviles sin una
mayor complejidad
12
Los 10 “imprescindibles” para asegurar la movilidad empresarial
Informe
Conclusión
Mientras que la movilidad de la empresa ofrece oportunidades para sus usuarios y para la
organización, también implica riesgos. Las organizaciones pueden utilizar este documento como
un marco de seguridad móvil y como lista de verificación a la hora de evaluar a los distintos
proveedores de movilidad empresarial.
Acerca de Citrix Mobile Solutions Bundle
Citrix Mobile Solutions Bundle, que incluye el nuevo XenMobile MDM, es una solución de
gestión de la movilidad empresarial que permite una libertad completa y segura de dispositivos
móviles, aplicaciones y datos. Los empleados obtienen acceso rápido, con un solo clic a todos
sus móviles, web, centros de datos y aplicaciones de Windows desde una tienda unificada de
aplicaciones, incluyendo aplicaciones de productividad magníficas que se integran para ofrecer
una espléndida experiencia de usuario. La solución proporciona aprovisionamiento y control
basado en la identidad para todas las aplicaciones, los datos y los dispositivos, controles
basados en políticas, tales como la restricción de acceso a las aplicaciones solo a los usuarios
autorizados, cuenta automática de eliminación para los empleados cesados, y limpieza selectiva
de aplicaciones y datos almacenados en dispositivos perdidos, robados o que no cumplan con
la normativa vigente. Con Mobile Solutions Bundle, TI puede cumplir el deseo de los usuarios de
adoptar el dispositivo deseado mientras que previene la fuga de datos y protege la red interna de
amenazas móviles.
www.citrix.es
13
Los 10 “imprescindibles” para asegurar la movilidad empresarial
Informe
1. “Mobility in ERP 2011”, Kevin Prouty, Aberdeen, May 2011
2. “Global State of Information Security Survey”, CSO Magazine, 2012
3. “MDM is No Longer Enough”, Citrix webinar with enterprise security expert, Jack Gold, October 2011
4. “U.S. Cost of a Data Breach”, Ponemon Institute, March 2011
5. State of Mobility Survey, Symantec, February 2012
6. In 2010 the average cost of a data breach was $7.2 million. Doug Drinkwater, Feb. 10, 2012, TABTIMES.COM
7. marketwatch.com/story/ctemsr-research-78-of-enterprises-allow-bring-your-own-device-byod-2012-07-24?siteid=nbkh
8. “Global Tech Market Outlook for 2012 and 2013” Andrew Bartels, Forrester, January 6, 2012
9. “More Than 60 Apps Have Been Downloaded for Every iOS Device”, Asymco, January 16, 2011
10. “Market Overview: On-Premises Mobile Device Management Solutions”, Forrester, January 3, 2012
11. “Your Apps are Watching You”, The Wall Street Journal, section, December 17, 2010
12. ‘Mobile Gets a Promotion’ infographic, Citrix, October 2012
13. Citrix Mobile Device Management Cloud Report, Q3 2012
14. “The Need for Mobility Management”, Aberdeen blog, February 2010
Sede
International
Sede
Europea
Sede
Iberia
Citrix Online
Division
Citrix Systems, Inc.
851 West Cypress
Creek Road
Fort Lauderdale,
FL 33309, USA
+1 (800) 393 1888
+1 (954) 267 3000
Citrix Systems
International GmbH
Rheinweg 9
8200 Schaffhausen
Switzerland
+41 (0)52 6 35 77-00
Citrix Systems Iberia
Paseo de la Castellana,
135 Planta 17 B
Edificio Cuzco III
Madrid 28046, Spain
+34 (0)91 414 98 00
5385 Hollister Avenue
Santa Barbara,
CA 93111, USA
+1 (805) 690 6400
Acerca de Citrix
Citrix (Nasdaq:CTXS) transforma la forma de trabajo y colaboración en la empresa en la era cloud. Mediante tecnologías líderes en cloud,
colaboración, networking y virtualización, Citrix potencia en trabajo en movilidad y lo servicios cloud, haciendo que complejas labores
TI sean más sencillas y accesibles para 260,000 organizaciones. El 75 por ciento de los usuarios de Internet se benefician diariamente
de los productos Citrix que cuenta con más de 10.000 partners en 100 países. La facturación anual en 2012 fue de 2.59 billones de
dolares. Mayor información en www.citrix.com.
©2013 Citrix Systems, Inc. All rights reserved. Citrix® and XenMobile® are trademarks or registered trademarks of Citrix Systems, Inc.
and/or one or more of its subsidiaries, and may be registered in the United States Patent and Trademark Office and in other countries.
All other trademarks and registered trademarks are property of their respective owners.
0513/PDF
www.citrix.es
14
Descargar