MDM, la lucha por el control no intrusivo

La movilidad ha traído nuevos modelos de gestión en los equipos de trabajo de las empresas. El uso de terminales remotos, los cambios continuos de localización geográfica o incluso los medios de conexión con las redes corporativas han hecho que las compañías tengan que adaptar sus controles a la itinerancia que supone el uso de los dispositivos móviles.

Movilidad de equipos

Los smartphones, las tabletas o los PC portátiles se han convertido en herramientas de uso cotidiano con las que se accede a recursos corporativos, en ocasiones críticos, que contienen información muy relevante para el funcionamiento de una compañía.

En estas circunstancias, controlar dónde se encuentran, quién accede a ellos o cómo se utilizan son fundamentales para la seguridad de una organización. Si uno de estos dispositivos es robado o simplemente se pierde, el impacto en la seguridad de la información de una compañía puede llegar a ser muy importante. 

Ni que decir tiene que existen otras situaciones que también pueden llegar a ser motivo de preocupación como, por ejemplo, la detección de errores o vulnerabilidades en las aplicaciones instaladas. 

Hacer que los dispositivos regresen a las oficinas centrales o delegar en los usuarios para que sean ellos los que ejecuten proactivamente determinados tipos de tareas de actualización no son una opción real, segura y viable.

Acceso remoto a dispositivos móviles

Por todo ello, disponer de mecanismos que permitan de forma remota acceder a los dispositivos móviles corporativos resulta de vital importancia.  Ahora bien, ¿qué entendemos por acceder de forma remota a estos dispositivos móviles?, ¿es factible acceder al contenido del dispositivo?, ¿es lícito monitorizar la geolocalización de los dispositivos?, ¿se puede legalmente supervisar las actividades de los usuarios?

Muchas de estas preguntas pueden parecer que bordean la privacidad de los usuarios, sin embargo, resultan legítimas si previamente se ha notificado a los empleados sobre el uso y control de dispositivos corporativos que la compañía puede ejercer cuando les cede equipos que son de su propiedad.

Hay que tener claro que cuando las organizaciones suministran dispositivos móviles, es necesario informar a los usuarios sobre el tipo de tratamiento de datos que se llevará a cabo. Esto forma parte de una política de uso aceptable de los dispositivos móviles, que establece las normas para su uso profesional. Esto debe incluir por defecto la cumplimentación de las leyes de privacidad vigentes.

Así pues, asumida esa realidad, la siguiente pregunta que una compañía puede hacerse es ¿cómo se ejerce ese control?

MDM – Mobile Device Management

Las herramientas MDM – Mobile Device Management— son la base para la gestión de los dispositivos móviles. Con ellas es posible rastrear dispositivos, por ejemplo, a través del seguimiento GPS, detectar y notificar dispositivos en riesgo, bloquear o limpiar su contenido de forma remota, etc. También se puede gestionar la instalación y actualización de sistemas operativos y aplicaciones, incluso encapsular su uso en entornos acotados.

Adicionalmente se pueden incorporar mecanismos para la gestión de identidad y acceso (IAM) forzando, por ejemplo, la aplicación de políticas concretas de gestión de contraseñas. Incluso, llegado el caso, se podrán activar mecanismos de seguridad en los dispositivos tales como software antivirus, control de acceso de red, respuesta a incidentes, filtrado de URL o servicios de seguridad en la nube.

Cada una de estas funciones dota a los departamentos de TI de una flexibilidad que hace de su operativa diaria una tarea más sencilla y uniformizada.

“Out of band”, el último nivel de control

Las políticas de seguridad de la organización pueden así ser implantadas en los dispositivos móviles de forma global atendiendo a las singularidades de los usuarios y los roles que estos desempeñan. Entre las preguntas que la política de seguridad de una compañía debe responder se encuentran algunas como: ¿es necesario que los dispositivos tengan un código de acceso habilitado?, ¿se permite que los usuarios se conecten a redes wifi externas?, ¿qué hacer con las cámaras de los dispositivos, se deben inhabilitar?, ¿se tiene que limitar el uso de los dispositivos fuera de localizaciones geográficas concretas?, ¿pueden los empleados utilizar sus propios dispositivos personales (BYOD), en qué condiciones?… Incluso una última pregunta: ¿se puede hacer algo cuando el dispositivo está apagado o simplemente no responde a las tareas habituales?

Esta última cuestión no resulta trivial, ya que afecta a los propios fabricantes de dispositivos e implica prácticamente un control absoluto sobre el equipo. De hecho, afecta a funcionalidades críticas de los sistemas que son gestionadas desde servicios del fabricante. 

Por ejemplo, Intel proporciona su solución Intel vPro para este tipo de situaciones. Apple, por su parte, ofrece servicios LOM (Lights Out Management) para el encendido y apagado de sus equipos utilizando mecanismos de comprobación basados en certificados digitales. 

Cada una de estas soluciones y funcionalidades son básicas si se quiere tener un control total sobre los dispositivos móviles corporativos. De hecho, pueden ser integradas dentro de una solución MDM.

Gestión MDM, simplemente gestión 

La gestión segura de dispositivos móviles de una compañía puede marcar la diferencia a la hora de determinar los riesgos que esta asume frente a la posibilidad de sufrir algún tipo de ciberataque.

Permitir que dispositivos móviles no controlados se conecten a los servicios de información de una organización puede estar fuera de toda consideración. Aun así, obligar a que un equipo, sobre todo si no es propiedad de la compañía, pueda ser controlado y monitorizado por su personal de seguridad resultará en una estrategia posiblemente intrusiva. Por eso, la decisión sobre cómo afrontar correctamente esta decisión forma parte de la política de seguridad de la compañía.

Actualmente las soluciones MDM disponibles en el mercado tienen un foco especial en aquellos equipos móviles que resultan de uso más cotidiano. Se trata de equipos que están basados en sistemas operativos como Apple iOS iPhone, Android, Microsoft Windows, macOS o Chrome OS.

Sea en forma de smartphone, de tableta o de PC portátil, estamos ante dispositivos que suponen más del 90% de los equipos de una organización. Un riesgo nada despreciable en términos de superficie de ataque. Por eso, gestionarlos de forma segura es una necesidad para cualquier compañía, incluso aunque en ocasiones suponga establecer mecanismos de control que generen controversias.

Firmado: Juanjo Galán, Business Strategy de All4Sec

La entrada MDM, la lucha por el control no intrusivo es original de MuySeguridad. Seguridad informática.