Apple y el nuevo programa “BYOD” (Bring Your Own Device), un MDM menos invasivo para la privacidad del usuario

Es bastante habitual que en algunas empresas, colegios, universidades, etc la gente lleve su propio dispositivo y quiera conectarlo a la red. Pero claro, a nadie le gusta que un técnico de IT tenga que manipular el ordenador y realizar cambios de administrador en el dispositivo, eso sin contar el posible problema de seguridad que esto puede acarrear. BYOD es el término anglosajón para definir esta práctica de llevar un dispositivo personal a este tipo de entornos, llamémosles, profesionales. 

Hasta ahora, Apple sólo ofrecía dos formas al equipo de IT para controlar los dispositivos iOS. Por un lado mediante un servicio de inscripciones o “enrollment“, y por otro mediante estas mismas técnicas de inscripciones pero con el añadido de procesos de configuración automáticos. En la WWDC de hace una semana, Apple ha anunciado el nuevo MDM (Mobile Device Management) para gestionar estas inscripciones la cual equilibra las necesidades del equipo de IT (enfocadas a proteger los datos corporativos, configuraciones e instalación de software) y por otro lado la privacidad de los datos.

Figura 1. Características principales del nuevo MDM. Fuente.

Este nuevo MDM tiene tres componentes, por un lado un Apple ID Cloud (identificará en todo momento al dispositivo y al usuario) el cual se genera junto al ID personal de usuario, una separación criptográfica entre los datos personales y laborales y finalmente un conjunto limitado de funcionalidades de administración del dispositivo por parte del equipo de IT. El Apple ID Cloud puede ser del tipo Apple School Manager (para educación) o Apple Business Manager (para empresas o corporativo). En el momento que finaliza el proceso de inscripción, todas las aplicaciones, accesos a recursos, etc se realizarán con este nuevo Apple ID Cloud generado.

De esta forma el usuario no podrá realizar ningún cambio en el comportamiento de ejecución de las aplicaciones, modificar los parámetros de configuración o acceder a carpetas a las cuales no esté autorizado previamente. La separación de datos la realiza creando un volumen APFS durante el proceso de inscripción, utilizando claves criptográficas las cuales se borrarán junto al volumen cuando le periodo de inscripción finalize, es decir, el dispositivo ya no esté autorizado a acceder a la red corporativa. 

Figura 2. Captura del proceso actual de subscripción MDM de Apple. Fuente.

Otra característica interesante de este nuevo modelo de inscripción es la gestión de tráfico de red a través de la VPN corporativa. Utilizando una aplicación dedicada para esta funcionalidad, todo el tráfico del correo, contactos, calendarios y cualquier otra aplicación instalada irá a través de la VPN siempre que el dominio coincida con el dominio de la organización o empresa. Es decir, todos los datos y accesos personales no pasarán a través de esa VPN, por lo que la organización no tendrá registro de ellos (aunque es más probable que incluso esos datos privados estén más seguros a través de este túnel cifrado). 

Un organismo o una empresa tiene todo el derecho de gestionar y asegurar sus redes, lo cual implica incluso el borrado de la información si lo ve necesario el equipo de IT. Esto sumado a la capacidad de gestionar la ubicación física del dispositivo y el acceso a los datos personales, hace que la implantación de un BYOD no fuera una tarea fácil en un entorno de Apple. Ahora parece que esto cambiará con esta nueva versión, algo que será beneficioso ya que hay muchas empresas y organismos que no pueden evitar que el usuario utilice su propio dispositivo en vez de uno corporativo. Esto sin mencionar los considerables ahorros en costes relacionados con la compra de hardware. En este enlace se encuentran todas las características del nuevo MDM.