Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013
description
Transcript of Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013
![Page 1: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/1.jpg)
El Reto del BYOD Seguro: Luces y
SombrasJosé Miguel CardonaSocio y Director de Proyectos de Consultoría de DNBCISA, CISM, CISSP, CRISC, AMBCI, LA ISO 27001, LA ISO [email protected]
![Page 2: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/2.jpg)
Introducción
Fuente: www.dilbert.com
- Mordac, necesito acceder a datos de la compañía desde mi Ipad.
- ¡Si te ayudo, todos los empleados de la empresa querrán lo mismo!
- ¿Querrán hacer sus trabajos más eficientemente?- No puedo animar esa clase de cosas.
VIÑETA
![Page 3: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/3.jpg)
Introducción
Fuente: www.dilbert.com
- ¡Alto proveedor! No puedes llevarte tu portátil fuera del edificio con datos en él.
- ¡Debes entregar tu portátil a TI para que puedan machacarlo a polvo!
- Eso es una locura. Tengo los mismos datos en mi cabeza.- Esto nos lleva a la parte incómoda.
VIÑETA
![Page 4: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/4.jpg)
Un posible Escenario
• Empresa mediana de ámbito multinacional
• Varias delegaciones comerciales por todo el mundo.
• Gran dedicación de tareas comerciales, de representación y distribución con alto porcentaje de dedicación en viajes (nacional e internacional).
• El ERP corporativo (accesible vía VPN), el correo electrónico y la mensajería instantánea son herramientas clave de trabajo.
• Casi todos los empleados usan móviles o tabletas corporativas
• Elevada rotación por obsolescencia de estos dispositivos
![Page 5: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/5.jpg)
Decisión Estratégica: BYOD
• Se plantea desde Dirección estudiar la estrategia BYOD a nivel corporativo
![Page 6: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/6.jpg)
Decisión Estratégica: BYOD
• El Departamento Financiero hace un estudio del coste siendo claramente favorable.
• RRHH considera que la productividad se incrementará en un 20% con las soluciones de movilidad
![Page 7: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/7.jpg)
Decisión Estratégica: BYOD
• Para el Dep. TIC no hay excesivas diferencias a la hora configurar los dispositivos bien sean propiedad de los empleados o de la empresa. Supone prácticamente la misma dedicación…..
y podrán cambiar las Blackberry por iPhones ☺
![Page 8: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/8.jpg)
Se “implanta” BYOD…
• Se permite el acceso a la Wifi corporativa a los dispositivos detodos los empleados.
• Se da acceso remoto vía VPN al personal que viaja y que justifique necesidad de trabajo remoto.
• El Departamento TI inventaría los dispositivos y registra el empleado propietario.
• El Departamento TI o los propios usuarios sincronizan las cuentas de correo corporativo en los dispositivos
Y a trabajar!!......(en un mundo ideal)
![Page 9: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/9.jpg)
Algunos datos tras un año…
• En efecto la productividad se incrementó
• Se redujeron los costes de los activos fijos e indirectos derivados de los dispositivos móviles
• Se recibieron varias felicitaciones por parte de los clientes por la reactividad en resolución de problemas.
• Algunas operaciones internacionales importantes se cerraron por disponibilidad pese a desfases horarios intempestivos.
![Page 10: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/10.jpg)
Algunos datos tras un año…
• Se descubrió que había muchos más dispositivos de los inicialmente registrados conectados a la red corporativa
![Page 11: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/11.jpg)
Algunos datos tras un año…
• Varios dispositivos se perdieron o fueron robados conteniendo información empresarial.
![Page 12: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/12.jpg)
Algunos datos tras un año…
• Se produjo una fuga de datos en el departamento Comercial por acceso a correos electrónicos por parte de un competidor tras un descuido en un congreso.
![Page 13: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/13.jpg)
Algunos datos tras un año…
• Un ex-empleado denunció a la compañía por intrusión en su privacidad cuando el Departamento de TI procedió al borrado de su smart-phone previo abandono de la empresa.
![Page 14: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/14.jpg)
Algunos datos tras un año…
• Se sufrió una ola de phising y spam a toda la agenda de contactos (incluyendo el directorio corporativo) por un rootkit que se instaló en una aplicación no controlada (smart-phone con jailbreak)
![Page 15: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/15.jpg)
Algunos datos tras un año…
• Se incrementó significativamente el número de incidencias y su complejidad relativas los dispositivos móviles del help-desk corporativo (aumento de dedicación del personal a esa tarea)
![Page 16: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/16.jpg)
Algunos datos tras un año…
• Se descubrió que algunos empleados habían renovado el dispositivo móvil y los antiguos se cedieron a familiares o incluso se vendieron!! (por supuesto, configurados con las
claves de acceso y conteniendo información de la empresa )
![Page 17: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/17.jpg)
Qué se debería haber hecho
• Un análisis detallado de la situación de partida, análisis de riesgos y seguridad, estudio de tecnologías disponibles en el mercado y alineado con requisitos empresariales (GAP y Plan de Acción)
• Implantación de las Medidas técnicas y Organizativas
• Implantación de las soluciones técnicas acorde a necesidades y funcionalidades (MDM, MDP, MAM, MDS….)
![Page 18: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/18.jpg)
Qué se debería haber hecho
![Page 19: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/19.jpg)
Qué se debería haber hecho
• A nivel Legal:
• Política de Seguridad BYOD y movilidad (aceptada)
• Autorizaciones: reutilización, borrado, privacidad, LOPD…
![Page 20: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/20.jpg)
Qué se debería haber hecho
• A nivel de Dispositivo (endpoint):
• Cifrado general
• Solución de sandbox o contenedores seguros (separación lógica de entorno personal y empresarial)
• Definir una Baseline Corporativa: SSOOs, Apps. permitidas y config. mínima de seguridad.
• Inventariado de dispositivos
![Page 21: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/21.jpg)
Qué se debería haber hecho
• A nivel de red:
• Validación y Control de acceso a redes (NAC)
• Conexiones y transferencias cifradas (VPN)
• Protocolos de autenticación fuerte (PKI, tokens o
softtokens, etc.)
• Borrado (wipe) remoto
• Solución de monitorización remota
![Page 22: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/22.jpg)
Qué se debería haber hecho
• A nivel de datos:
• Definir perfiles y niveles de acceso (IRM)
• Revocación de accesos
• Cifrado en origen (si almacenamiento remoto)
• Solución DLP (cliente end-point y/o centralizado)
• Borrado selectivo
• Copias de seguridad (remotas – nube o red corporativa)
![Page 23: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/23.jpg)
Qué se debería haber hecho
• A nivel de usuario, concienciación en buenas prácticas:
• Autenticación por clave (con mínimo de complejidad) u
otros (biométrico, reconocimiento facial, etc.)
• Bloqueo por inactividad
• Directrices de copias de seguridad
• Antivirus y Firewall local
![Page 24: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/24.jpg)
Qué se debería haber hecho
• A nivel de usuario, concienciación en buenas prácticas:
• No jailbreak ni instalar aplicaciones ilegales.
• Uso de aplicaciones de control del consumo
• Protocolos a seguir en caso de pérdida o robo
(geolocalización – previa autorización, borrado, baja, etc.)
• Procedimientos de Help-Desk y niveles de uso
![Page 25: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/25.jpg)
Resumen
• El BYOD
• por naturaleza es beneficioso desde el punto de vista de productividad y eficiencia.
• por naturaleza es inseguro.
• Es un fenómeno en auge y hay que aprovechar sus puntos fuertes minimizando el riesgo que introduce.
• Su adopción supone afrontarlo como un proyecto global a nivel corporativo
• Requiere de análisis, diseño e implantación (adecuado a cada entidad y tamaño)
• Existen múltiples soluciones y posibilidades tecnológicas pero ellas solas no resuelven todos los problemas.
![Page 26: Jm. cardona el reto del byod seguro. luces y sombras semanainformatica.com 2013](https://reader034.fdocument.pub/reader034/viewer/2022052400/5596d18d1a28ab221e8b46f3/html5/thumbnails/26.jpg)
¡Muchas gracias!
Ruegos y Preguntas