EST UDIO ESPECIAL La Importancia de la Seguridad en Soluciones de Mo vilidad Co rporat iva Av Eng. Luiz Carlos Berrini 1645, 8° andar, 04571-000 Brooklin Novo, São Paulo SP Brazil. Tel: 55 11 5508-3400 Fax: 55 11 5508 3444 Alexandre Campos Silva Vinicius Caetano OPINIÓN DE IDC El concepto de movilidad está cada vez más presente en la vida personal y profesional de la gente. Los smartphones reúnen las funcionalidades de una computadora y la facilidad y movilidad de un teléfono celular. Estudios de IDC revelan que actualmente las empresas invierten cada vez más en soluciones de movilidad corporativa con objeto de aumentar la productividad, pero sin dejar a un lado la seguridad. El tema seguridad tiene alta prioridad en la agenda de CIOs y directores de tecnología de la información cuando éstos evalúan inversiones en soluciones de movilidad corporativa. La necesidad de seguridad acompaña la evolución de los smartphones. Al tener más capacidad de almacenamiento y procesamiento, información estratégica podría perderse o podría ser extraída de manera ilegal a través de hackers en el caso de que un smartphone se pierda, sea robado o se encuentre desprotegido. La seguridad en el ámbito de la movilidad corporativa, tiene que estar presente en las funcionalidades de seguridad de los smartphones, en los sistemas operativos, en la autenticación de usuarios, en la criptografía de la información que circula por la red móvil, en la gestión y control de los recursos de los smartphones. Así como en la integración de la solución y de la arquitectura de TI/Telecom que ya existente en las organizaciones tales como servidores de correo electrónico y aplicaciones de misión crítica utilizadas desde un smartphone. Además, es fundamental que una solución de movilidad corporativa no sólo atienda a las demandas del negocio y sea fácil de usar, sino que también cumpla con las normas, regulaciones, políticas de seguridad de TI y con el gobierno corporativo establecido por las empresas. IDC recomienda que al momento de realizar cualquier inversión en movilidad corporativa es importante analizar los siguientes aspectos: Buscar una solución avalada por certificaciones internacionales de seguridad es un criterio que se debe tener en cuenta a la hora de decidir sobre la inversión en estas tecnologías. Verificar los aspectos de seguridad del smartphone, tales como la criptografía, transmisión de datos y mensajes de correo electrónico. Información de llenado: Febrero 2009, IDC Brasil #BR19043, Volumen: 1 Brazil: Mobile Phones 2008: Estudio Especial Buscar una solución que ofrezca funcionalidad para la gestión de smartphones y que permita cumplir con los requerimientos de seguridad, regulaciones locales e internacionales así como con el gobierno corporativo de TI. Buscar una solución de fácil integración con la infraestructura de TI que cuente con políticas de seguridad y con una integración con las aplicaciones de negocios existentes en la empresa, tales como correo electrónico, ERP, CRM, entre otras aplicaciones. Buscar smartphones que soporten el desarrollo de aplicaciones en lenguajes de programación compatibles en su empresa. #BR19043 ©2009 IDC México ÍNDICE DE CONTENIDO PÁG. L a Pl a t a f o rm a Bl a c k b er r y 6 Gobierno Corporativo, Regulaciones y la Administración de Dispositivos Móviles ................................. 6 Certificaciones Internacionales de Seguridad....................................................................................... 8 Los paquetes BlackBerry .................................................................................................................... 10 Conclusión IDC................................................................................................................................... 11 ©2009 IDC México #BR19043 ÍNDICE DE GRÁFICOS PÁG. 1 Intención de inversión en soluciones móviles ........................................................................... 7 2 ¿Cuál es su proveedor de smartphones?................................................................................. 9 #BR19043 ©2009 IDC Brasil LA PL AT AFORMA BL ACKBERRY Gobierno Corporativo, Regulaciones y la Administración de Dispositivos Móviles Cada vez más se pide que las áreas de tecnologías de la información ofrezcan el mejor y más eficiente servicio a las áreas de negocio en las empresas. Mantener los servicios de TI disponibles y con tiempo de respuesta adecuado permite a la empresa ofrecer un mejor servicio a sus clientes. Pero además de soportar las áreas de negocio, el área de TI también participa de manera activa en los proyectos de gobierno corporativo. Estudios de IDC revelan que las empresas invierten cada vez más en proyectos de gobierno corporativo de TI para la revisión y mejora de los procesos de TI, así como en inversiones de software para hacer una mejor gestión de su infraestructura tecnológica. Entre 2005 y 2008 el mercado de software de gestión de redes y de infraestructura tuvo un crecimiento anual compuesto del 13,9% (CAGR). Los proyectos de gobierno corporativo de TI por lo general tienen como objetivo: Mejorar la calidad de los servicios que provee el área de TI; Cumplir con las normas y políticas de seguridad de TI; Cumplir con los requerimientos de las regulaciones locales e internacionales. En este ámbito, la gestión de la infraestructura tecnológica de las empresas no abarca tan sólo las computadoras de escritorio o notebooks que utilizan los empleados, sino también la gestión de los teléfonos celulares y smartphones; este último proceso se le conoce como “Mobile Device Management”. El Mobile Device Management de BlackBerry permite la gestión de la base instalada de smartphones y cumple con los requerimientos de las regulaciones y gobernabilidad de las empresas. A continuación se muestran algunos beneficios de esta solución: Borrar los datos de los smartphones en el caso de que se pierdan o sea robado; Controlar y definir cuáles smartphones tienen permiso para realizar determinadas actividades, tales como envío de correos electrónicos, acceso a Internet o a determinadas aplicaciones corporativas; Controlar el acceso a Internet y a la Intranet, según la política de acceso de la empresa; Bloquear recursos de los smartphones, como cámara fotográfica, red bluetooth. ©2009 IDC Brasil #BR19043 Wi-Fi o 5 La plataforma BlackBerry se destaca por ofrecer la gestión de infraestructura de TI así como las funcionalidades anteriormente mencionadas, entre las 416 funcionalidades de políticas de seguridad de TI existentes en la plataforma BlackBerry. Incluso con todos estos recursos de seguridad, es importante recordar que la experiencia del usuario no se ve afectada. La plataforma BlackBerry utiliza una tecnología propia de transmisión de datos que compacta toda la información que se envía a los smartphones. Así el tiempo de descarga se reduce ya que el volumen de datos en circulación es menor, por consiguiente la duración de la batería se maximiza. La alta compactación de los datos también es un aspecto relevante de la solución, eso explica el hecho de que BlackBerry sea la plataforma típicamente elegida por profesionales que viajan con frecuencia y, por lo tanto, utilizan datos bajo la modalidad de roaming por encontrase fuera de su localidad. Los correos electrónicos se entregan en forma push, es decir, todo correo electrónico que se recibe es activamente entregado en su smartphone, sin que se necesite tener una transmisión de datos constante para verificar si hay un correo electrónico por llegar. Además, IDC considera importante la integración de una solución de movilidad corporativa con la infraestructura de TI existente. Otro aspecto relevante de la solución BlackBerry es que permite desarrollar aplicaciones móviles con el lenguaje Java y con su propio kit de desarrollo MDS, facilitando la integración con aplicaciones de misión crítica, como el ERP y la solución de CRM. En la figura 1, se puede observar la intención de inversión en diferentes soluciones de movilidad corporativa por parte de las empresas, entre las que destacan las inversiones en soluciones de correo electrónico inalámbricas, smartphones y aplicaciones hechas a la medida. 6 #BR19043 ©2009 IDC Brasil Intención de Inversión en Soluciones de Móviles GRÁFICO 1 Intención de inversión en soluciones móviles Wireless Email 53 Smartphones 51 Desarrollos a la medida 36 Integración de VOIP 35 Automatización de la fuerza de ventas 25 Aplicaciones de servicio en campo 18 CRM Móvil 13 ERP Móvil 9 Otros 4 0 10 20 30 (%) 40 50 60 Fuente: IDC, CIS - Focus Group with CIOs, 2008 Certificaciones Internacionales de Seguridad A nivel global, las certificaciones de seguridad son emitidas tanto por organizaciones públicas como por organizaciones privadas que establecen estrictos criterios de seguridad para avalar las soluciones que les son sometidas para certificación. Tener una solución de movilidad corporativa avalada por estas certificaciones internacionales de seguridad es un criterio importante que se debe tener en cuenta a la hora de decidir sobre las inversiones en estas tecnologías. ©2009 IDC Brasil #BR19043 7 Para algunos países, las certificaciones internacionales son suficientes para que los gobiernos puedan utilizar las soluciones de movilidad. Para otros países, además de las certificaciones internacionales, es necesario que los mismos gobiernos aprueben las soluciones antes que éstas se puedan adoptar en las oficinas e instituciones públicas. Los principales fabricantes mundiales buscan certificaciones internacionales de seguridad. Mencionamos abajo algunas de las certificaciones internacionales y aprobaciones en pruebas de seguridad que obtuvo la plataforma BlackBerry. Estas certificaciones fueron aprobadas por instituciones públicas internacionales: Programa de validación del módulo de criptografía, más conocido como FIPS 140-2 en los Estados Unidos. Programa de seguridad CAPS (CAPS Security Program) realizado en Reino Unido por CESG – Communications Electronic Security Group, que es la Autoridad de Seguridad Nacional Técnica de Reino Unido. Programa CCES – Common Criteria Evaluation Scheme. Esta evaluación de seguridad de tecnología de la información es reconocida por 25 países como Alemania, Australia, Canadá, Francia, Estados Unidos y Reino Unido. Los criterios que establece CCES evalúan la seguridad de la criptografía y de toda la solución. Programa de seguridad: Fraunhofer-SIT Security Assessment. Esta evaluación es realizada por una organización de seguridad de TI que está entre las más respetadas en Alemania y en Europa. Las certificaciones internacionales anteriormente mencionadas avalan la seguridad de los componentes de la solución BlackBerry. En la plataforma BlackBerry, el mismo sistema operativo impide que programas maliciosos ejecuten acciones que pondrían en riesgo la seguridad de la información del smartphone. La seguridad es una de las principales razones que hacen de la plataforma BlackBerry, la solución líder en adopción entre las principales empresas brasileñas, según se ve en la figura 2. 8 #BR19043 ©2009 IDC Brasil GRÁFICO 2 ¿Cuál es su proveedor de smartphones? Otros 9 Competidor D 7 Competidor C 14 Competidor B 15 Competidor A 16 BlackBerry 38 0 5 10 15 20 (%) 25 30 35 40 Fuente: IDC, CIS - Focus Group with CIOs, 2008 Los paquetes BlackBerry Los beneficios de seguridad que ofrecen las soluciones BlackBerry se pueden contratar en tres distintos paquetes: BES BPS BIS El primer paquete es el BES, o BlackBerry Enterprise Server. Es el paquete para empresas con un número ilimitado de usuarios que tienen servidor propio de correo electrónico. El BES incluye un software para instalarse en el centro de datos de la empresa o en un servidor específico para ese fin, conocido como servidor BES. El BES ofrece herramientas para administrar todos los smartphones de la compañía, lo que se conoce también como Mobile Device Management. Esa solución permite asegurar que todos los smartphones siguen rigurosamente las políticas de TI de la empresa. Más de 416 políticas de TI se pueden enviar a todos los smartphones de la empresa, maximizando la protección de la información. Estas políticas de seguridad se pueden alterar y replicar inmediatamente a todos los smartphones de la empresa. El BES ofrece, además, el MDS, que es un kit de desarrollo de aplicaciones para la plataforma BlackBerry. Otro paquete para uso empresarial es el BPS, BlackBerry Professional Software, un paquete diseñado para empresas más pequeñas, con hasta 30 usuarios, teniendo en ©2009 IDC Brasil #BR19043 9 cuenta que esa solución también requiere que la empresa tenga servidor de correo electrónico propio. Sin embargo, a diferencia del BES, el BPS se puede instalar en el mismo servidor de correo electrónico de la empresa usuaria. Tanto en el BES como en el BPS, todos los datos que circulan por el smartphone son encriptados con contraseñas únicas, una en el smartphone y otra en el servidor BES/BPS de la empresa. Es decir, ni siquiera BlackBerry tiene las contraseñas para descifrar los datos en circulación, por lo que el sistema es extremadamente seguro. A su vez, para el usuario personal o para pequeñas empresas, que no tienen servidor de correo electrónico, BlackBerry ofrece el paquete BIS, BlackBerry Internet Service, donde los datos circulan por un túnel de seguridad. Al igual que los paquetes BES y BPS, el BIS también tiene la facilidad del correo electrónico push y de la compactación de datos, lo que optimiza la experiencia de cualquier usuario con los smartphones. Los tres paquetes soportan el lenguaje Java para el desarrollo de aplicaciones. Independientemente del servicio elegido, todos los smartphones BlackBerry ofrecen seguridad no sólo para los mensajes, sino también para acceder a Internet y ejecutar con rapidez las aplicaciones de misión crítica de su empresa. En el smartphone, la misma plataforma impide que programas maliciosos ejecuten acciones que pondrían en riesgo la seguridad de la información del dispositivo. En la red, la plataforma BlackBerry cuenta con los NOCs (Network Operation Centers), que son los centros de seguridad para la solución. Todos los datos que circulan por los terminales BlackBerry pasan por uno de los NOCs BlackBerry, que detectan y filtran cualquier ataque o amenaza que puedan poner en riesgo la seguridad de la información de su empresa. Los NOCs aseguran la integridad de los datos, pero no acceden en éstos, es decir, no conocen el contenido de los mensajes. Conclusión IDC IDC considera que la solución BlackBerry es una excelente solución de movilidad corporativa, sobre todo porque atiende a las demandas de las empresas en términos de seguridad. La solución BlackBerry utiliza un fuerte nivel de criptografía, tiene un sistema operativo propio, que previene la contaminación por virus y malwares, además de contar con NOCs responsables de la integridad de los datos. El sistema utiliza una tecnología propia de transmisión de datos que compacta toda la información que se envía a los smartphones. Así, el tiempo de descarga se ve reducido, pues el volumen de datos que circulan es menor: por consiguiente la duración de la batería se maximiza. IDC entiende que parte de esa ventaja se debe al concepto de desarrollo interno adoptado por la empresa, ya que BlackBerry es la única que provee todo el software, middleware (BES, BPS o BIS) y NOC (centro de operaciones de redes). La seguridad forma parte de la plataforma BlackBerry y no se requiere ninguna solución adicional de terceros para complementar o incrementar los niveles de seguridad. 10 #BR19043 ©2009 IDC Brasil Resaltamos, además, los recursos de Mobile Device Management, con funcionalidades que le permiten al administrador de TI utilizar con el BES, 416 políticas de seguridad que facilitan el cumplimiento de los requerimientos de las regulaciones y del gobierno corporativo de TI. En la integración con la infraestructura de TI, el desarrollo de aplicaciones en Java es otro aspecto que colabora para la integración de las aplicaciones con los smartphones. Otro aspecto importante es que BlackBerry tiene paquetes específicos que atienden desde el usuario personal hasta grandes empresas, con un parque de miles de smartphones, lo que posibilita que empresas de todos los tamaños adopten la plataforma BlackBerry. Copyright Notice This IDC research document was published as part of an IDC continuous intelligence service, providing written research, analyst interactions, telebriefings, and conferences. Visit www.idc.com to learn more about IDC subscription and consulting services. To view a list of IDC offices worldwide, visit www.idc.com/offices. Please contact the IDC Hotline at 800.343.4952, ext. 7988 (or +1.508.988.7988) or [email protected] for information on applying the price of this document toward the purchase of an IDC service or for information on additional copies or Web rights. Copyright 2009 IDC. Reproduction is forbidden unless authorized. All rights reserved. ©2009 IDC Brasil #BR19043 11