Los 10 “imprescindibles” para asegurar la movilidad empresarial Informe Los 10 “imprescindibles” para asegurar la movilidad en la empresa Marco de seguridad y lista de comprobación www.citrix.es Los 10 “imprescindibles” para asegurar la movilidad empresarial Informe Convertirse en una empresa en movilidad significa nuevas oportunidades para su organización. Los empleados son más felices y más productivos cuando tienen acceso móvil a su correo electrónico, aplicaciones y datos desde sus tabletas y smartphones. Las empresas que llevan a cabo sus negocios apoyándose en soluciones de movilidad pueden obtener importantes ventajas competitivas y un crecimiento superior. En una encuesta reciente, Aberdeen descubrió que las mejores empresas son tres veces más propensas que las demás a unir el flujo de trabajo empresarial a los dispositivos móviles de los usuarios’.1 Sin embargo, según casi todos los estudios de los analistas, la seguridad es el principal escollo tanto para la movilidad en la empresa como para los programas “Traiga su Propio Dispositivo” (BYOD). La revista CSO informó recientemente que el 17 por ciento de las empresas ya han experimentado un fallo en la movilidad.2 Aspectos sobre la seguridad de los dispositivos móviles Mientras las preocupaciones en materia de seguridad móvil van desde la aplicación de un código de seguridad hasta un dispositivo cifrado, la violación de datos y la pérdida de los mismos, se encuentran en la parte superior de la lista de los responsables de implementar los programas de movilidad. Según el experto de seguridad empresarial Jack Gold, las organizaciones perderán entre tres y cuatro veces tantos smartphones como notebooks cada año. Gold (retóricamente) nos pregunta “¿con 32 o 64 GB de memoria, cuántos archivos contiene un smartphone o tablet perdido?”3. A un coste estimado de más de $250 por archivo extraviado4 una filtración de datos puede ser costosa. De hecho, algunas investigaciones calculan el coste de una brecha en la movilidad en más de 400.000 dólares para una empresa y más de 100.000 dólares para un pequeño negocio,5 y en algunos casos, estos costes pueden llegar a ser de varios millones.6 Esta preocupación se reproduce al tiempo que un número cada vez mayor de smartphones y tablets no sólo se conectan a la red de la empresa sino que también acceden a un número creciente de aplicaciones de negocio y repositorios de contenido. Además de los datos, los departamentos de TI de las empresas y los servicios de seguridad están preocupados por los riesgos de la apertura de la red interna a una gran diversidad de dispositivos móviles. En muchos casos, los teléfonos inteligentes y las tabletas no son regulados ni controlados, lo que significa que las amenazas se pueden introducir a la red y afectar negativamente al cumplimiento de las normativas vigentes dentro de una organización. Hay tres factores principales que inciden en el problema de la seguridad de las empresa. 1. Explosión de dispositivos móviles y aplicaciones Con el Centro de Normativas de Gestión de Entornos de Telecomunicaciones informando que el 78 por ciento de las organizaciones permiten el uso de dispositivos móviles propiedad de los empleados en el entorno del negocio 7 y los departamentos de TI de las empresas gastando un total de 16 billones de dólares durante el 2013 8 en tabletas Apple® iPad®, los dispositivos móviles en la empresa no solo se han disparado en volumen, sino que también se han extendido más allá de los despachos de los ejecutivos hasta los empleados de más bajo rango. Además, independientemente de si los dispositivos móviles son propiedad de la empresa o propiedad del empleado, el número de aplicaciones en estos dispositivos es cada vez mayor. Asymco, empresa de análisis de movilidad, informó de una media de 60 aplicaciones por dispositivo iOS®.9 Dado que más de la mitad de las organizaciones son compatibles con más de un tipo de dispositivo, 10 la exposición de la red corporativa a aplicaciones potencialmente malintencionadas y que no cumplen la normativa vigente es inmensa. Aunque estos hechos apuntan a un riesgo de malware, consideremos la opinión del Wall Street Journal en el artículo www.citrix.es 2 Los 10 “imprescindibles” para asegurar la movilidad empresarial Informe “Sus aplicaciones le vigilan”: de 101 aplicaciones móviles estudiadas, 56 transmite el número de identificación del dispositivo, 47 transmite datos de ubicación y cinco transmiten información personal desde el dispositivo a un servidor de un tercero.11 Incluso aunque el estudio se centró en aplicaciones de consumidor, apunta al hecho de que los dispositivos y la red corporativa son vulnerables a las aplicaciones que se instalan en los dispositivos. Aunque ellas no se consideren maliciosas, las aplicaciones pueden acceder, recoger y transmitir datos sensibles en contra de la política corporativa y de forma que pueden saltarse los mecanismos de vigilancia tradicional de la seguridad de la empresa. 2. Aumento de los niveles de acceso móvil Personas de todos los niveles de la organización tienen un gran deseo de proveer a los empleados con los dispositivos móviles y de acceso móvil a las aplicaciones y los datos corporativos. Las organizaciones también se movilizan horizontalmente, a través de sus líneas de negocio. De acuerdo con una encuesta de Citrix®, más de las tres cuartas partes de las organizaciones implementarán aplicaciones móviles para su uso en la línea de negocio en 2013, y más de la mitad de las mismas, serán de vital importancia. Además, el 80 por ciento de las organizaciones están desarrollando aplicaciones personalizadas.12 Esto va desde cadenas de restaurantes equipando a sus clientes y personal de cocina con tabletas iPad hasta líneas aéreas que ofrecen a sus tripulaciones el conjunto completo de información del vuelo (“flight bag”) con los manuales de los aviones, planes de vuelo y documentos sobre normativas vigentes en su Samsung Galaxy Tabs. Dicho acceso móvil a la información nos promete una tremenda espectativa, pero también significa que los datos de la empresa y el acceso a la red estarán en las manos de un mayor número de usuarios a través de un creciente número de dispositivos, lo cual multiplica el riesgo. 3. Proliferación de herramientas de intercambio de archivos al estilo del consumidor Mientras que la solución de seguridad para la movilidad en la empresa de la que oímos hablar, se centra frecuentemente en bloquear o borrar la información contenida en un dispositivo perdido o robado, la mayor amenaza es compartir los datos sin control. Con millones de usuarios que comparten los datos a través de un interminable tapiz de extremos conectados en la nube, el riesgo de filtración de datos empequeñece el escenario de pérdida / robo de dispositivo. Las herramientas de intercambio de archivos tipo consumidor son particularmente preocupantes debido al efecto multiplicador: los datos guardados fuera de la red de la empresa no sólo se comparten con un dispositivo, si no con todos los dispositivos que se conectan de forma viral a través de la herramienta. Según el informe de Citrix “ Citrix Mobile Device Management Cloud Report”, algunas de las aplicaciones más comúnmente implementadas, tales como Dropbox y Evernote, están también entre las más frecuentemente añadidas a la lista negra de las compañías, lo que simultáneamente habla de su utilidad por un lado y de sus riesgos para el negocio por el otro.13 www.citrix.es 3 Los 10 “imprescindibles” para asegurar la movilidad empresarial Informe Marco de seguridad móvil de extremo a extremo Los profesionales de seguridad de las TI están recurriendo en gran medida a la gestión de dispositivos móviles (MDM) o a soluciones de gestión de la movilidad empresarial. Sin embargo, la gama de desafíos sobre la movilidad enumerados anteriormente requiere un marco de seguridad nuevo y más amplio – uno que va más allá de las capacidades básicas del bloqueo y borrado y que se encuentra en las soluciones MDM. Las organizaciones de hoy necesitan una solución que les proporcione herramientas para, de manera proactiva, supervisar, controlar y proteger a la empresa de principio a fin – por medio de dispositivos, aplicaciones, datos y de la red. www.citrix.es 4 Los 10 “imprescindibles” para asegurar la movilidad empresarial Informe Los 10 “imprescindibles” para la movilidad empresarial A continuación se presentan las diez preguntas que las empresas deben hacer a cualquier proveedor de movilidad para la empresa. Pregunta Razonamiento 1 ¿Puedo administrar cualquier programa BYO o dispositivo corporativo? Muchas empresas requieren la administración de dispositivos básicos. Necesitan configurar de forma centralizada elementos de seguridad en los dispositivo tales como contraseñas y cifrado y detectar y bloquear dispositivos no compatibles, como por ejemplo aquéllos que han sido liberados o se tienen instaladas aplicaciones que están en la lista negra. Requieren la capacidad de restablecer los dispositivos cuando se han perdido o han sido robados, o cuando un usuario se va de la organización. Debido a que un creciente número de organizaciones tiene dispositivos propiedad del usuario (BYO) y dispositivos corporativos en su entorno, la solución debe permitir a TI designar la propiedad fácilmente y establecer políticas y prácticas en consecuencia 2 ¿Puedo asegurar y gestionar cualquier aplicación web o móvil? Las aplicaciones son diversas y no comparten los marcos de seguridad. TI necesita asegurar de forma centralizada cualquier aplicación móvil o web o intranet, aplicando políticas de acceso, una conectividad segura y controles de datos para ellas durante o incluso después del proceso de desarrollo. 3 ¿Puedo dar a mis usuarios alternativas seguras a sus “killer apps” aplicaciones de productividad sin comprometer la experiencia del usuario? ¿Qué pasa con las aplicaciones de productividad “killer apps” que los usuarios móviles necesitan para realizar su trabajo, tales como correo electrónico, web y acceso a datos? La posición por defecto de los usuarios es utilizar la aplicación nativa o la aplicación a la que están acostumbrados. Pero ¿qué pasa si las empresas pudieran proporcionar a los usuarios un espacio aislado (sandbox), pero impresionante, alternativo al cliente nativo de correo electrónico, navegador y herramientas de intercambio de archivos que conozcan y que sean las que quieren? 4 ¿Puedo ofrecer movilidad de forma segura y proteger la privacidad del usuario? Mientras que muchas organizaciones deciden resolver sus desafíos de movilidad con una solución de gestión de la movilidad empresarial de serie (full-stack), las organizaciones sujetas a normas de privacidad estrictas pueden optar por un enfoque de menor peso. Esto podría significar implementar sólo un cliente de correo electrónico o aplicación seguras al dispositivo. La solución debe ser lo suficientemente flexible como para permitir ambos escenarios o una mezcla de ambos, por ejemplo una empresa global que quiere administrar dispositivos para sus empleados de Estados Unidos pero sólo ofrecen un cliente de correo electrónico en un espacio aislado (sandbox) para su personal alemán. 5 ¿Puedo dar a mis usuarios un SSO y proporcionar cualquier aplicación existente en cualquier dispositivo? Single sign-on (SSO) es una de las pocas características de seguridad que ofrece algo para todos. TI puede proporcionar y eliminar aplicaciones más fácilmente y garantizar que el acceso a las aplicaciones móviles para los empleados cesados se desactiven inmediatamente. Los usuarios obtienen un acceso sencillo sin necesidad de autenticarse en una pantalla pequeña. Esto es un “imprescindible” para cualquier empresa. Si la empresa es verdaderamente móvil, lo más probable es que TI tendrá que aportar no sólo aplicaciones móviles, si no también web, SaaS, Windows y aplicaciones de centro de datos también. Es necesario que estén disponibles en un solo lugar: una tienda de aplicaciones. 6 ¿Puedo proporcionar acceso a la red según el escenario? Con la amplia variedad de dispositivos móviles que acceden a la red, TI debe definir políticas integrales de acceso y control mediante análisis de punto final y roles de usuario para determinar qué aplicaciones y datos puede entregar y qué nivel de acceso a los contenidos debe autorizar. 7 ¿Puedo permitir a mis usuarios acceder a sus contenidos al mismo tiempo que protejo los datos? Los usuarios móviles necesitan tener acceso a contenidos corporativos, pero existe una escasez de herramientas que permitan a TI gestionar este acceso y controlar los datos. Si el contenido reside en Microsoft® SharePoint® o en una aplicación de intercambio de datos & sincronización, IT debe ser capaz de establecer y hacer cumplir las políticas que dictan lo que los usuarios pueden y no pueden hacer con el contenido, archivar, enviar por email, copiar/pegar, etc. www.citrix.es 5 Los 10 “imprescindibles” para asegurar la movilidad empresarial Informe 8 ¿Puedo ser flexible proporcionando la seguridad adecuada para cada situación? Similar a la difícil tarea de establecer un equilibrio entre seguridad y privacidad está la necesidad de aplicar la seguridad adecuada para cada situación. TI necesita soluciones flexibles que admitan un "bueno-mejor-el mejor" enfoque de la seguridad, desarrollando el equilibrio correcto entre la seguridad y la facilidad de uso. 9 ¿Puedo integrar movilidad en los dispositivos de TI existentes? TI comprende los riesgos de seguridad de los contenedores de tecnología. Las soluciones de movilidad empresarial deben “encajar” en el entorno informático existente. Esto significa la integración directa con directorios empresariales, infraestructura de clave pública, correo electrónico corporativo, tecnologías de acceso tales como WiFi y VPN y escritorios y aplicaciones virtuales. También supone la integración con soluciones de gestión de eventos de seguridad de la información y sistemas de gestión de registros para que TI pueda informar sobre la movilidad junto con otras infraestructuras empresariales. 10 ¿Su arquitectura es segura, escalable y es altamente disponible? Las soluciones de gestión de la movilidad en la empresa deben ser de categoría empresarial. Esto significa que están diseñadas para mantener los datos confidenciales del usuario detrás del firewall, y no expuestos a internet. Esto significa que las organizaciones pueden hacer crecer sus implementaciones sin aumentar la complejidad. También significa que las configuraciones de alta disponibilidad estándar de la industria aseguran un consistente failover y failback (conmutación por error y conmutación por recuperación) del sistema si fallara la tecnología. Seguridad móvil de extremo a extremo Las organizaciones que persiguen la movilidad de categoría empresarial necesitan mirar más allá de MDM y considerar la seguridad de la movilidad de extremo a extremo en todos los dispositivos, aplicaciones, redes y datos. Desafíos y requisitos de la seguridad de los dispositivos móviles Gestión centralizada de seguridad del dispositivo Necesito configurar los dispositivos y hacer cumplir las políticas. Muchas empresas necesitan configurar los componentes de seguridad del dispositivo tales como contraseñas y encriptación, así como hacer cumplir la política, de forma centralizada. A medida que los estilos de trabajo en movilidad constituyen la corriente principal, el creciente número de dispositivos y usuarios que acceden a la red desde más de un dispositivo está generando una necesidad urgente de administrar centralizadamente los dispositivos y hacer cumplir las políticas de seguridad basadas en funciones. Cuando los dispositivos se extravían o son robados o el usuario abandona la compañía, los datos corporativos contenidos en éstos necesitan ser bloqueados o borrados de forma centralizada por razones de seguridad y de cumplimiento normativo. Fragmentación de plataformas de dispositivos móviles ¡Ayuda! ¡No hay dos dispositivos iguales! Sus empleados exigen libertad de elección de los dispositivos, y para muchas organizaciones, es una estrategia atractiva. Puede ser que les ayude a atraer y retener el talento o a ahorrar en costes de dispositivos. Pero a diferencia de los problemas estándar, los PCs bloqueados o los dispositivos de mano de BlackBerry® controlados de forma estricta y los dispositivos móviles en las empresas de hoy en día son diversos, tienen distintos niveles de vulnerabilidad y no ofrecen una manera coherente para TI de gestionar incluso las políticas de seguridad más básicas. Según Aberdeen Research, la media de la mejor empresa soporta 3,3 plataformas móviles,14 incluyendo iOS, Android®, Windows® y BlackBerry. La fragmentación representa un reto único desde el punto de vista de las TI, incluyendo cómo controlar, aprovisionar, apoyar y asegurar múltiples aplicaciones en las diferentes plataformas, o garantizar que los empleados tengan instalados parches y actualizaciones de seguridad adecuadas del SO. www.citrix.es 6 Los 10 “imprescindibles” para asegurar la movilidad empresarial Informe BYO contra dispositivos propiedad de la compañía Tengo un programa BYOD y ahora estoy implementando una iniciativa corporativa para el uso del iPad. Las organizaciones gestionan cada vez más dispositivos BYO junto con dispositivos propiedad de la compañía. Necesitan designar la propiedad de una forma precisa y que cumpla con la normativa vigente, gestionar cada tipo según sus políticas y procesos e informar sobre ellos de forma permanente. Requisitos de seguridad de dispositivos móviles De acuerdo con el marco de seguridad anterior, a continuación le mostramos un conjunto de requisitos orientados al dispositivo para soluciones de movilidad empresarial. Seguimiento Control Protección • Auditoria e informes sobre dispositivos según el tipo de propiedad - BYO o empresarial • Implementar las políticas de forma similar a través de las distintas plataformas de los dispositivos y SOs • Permitir un autoservicio para el usuario de dispositivos extraviados o perdidos • Informe sobre los detalles del dispositivo (tipo, SO, versión, integridad del dispositivo, etc.) • Impulsar la seguridad corporativa y las políticas de cumplimiento normativo (Ej., contraseñas) en todos los dispositivos • Localización, bloqueo y borrado de dispositivos extraviados o sustraídos • Inventario de aplicaciones instaladas • Determinar el uso del dispositivo (.j., el dispositivo está en itinerancia) • Ver la ubicación del dispositivo (y tomar medidas en el caso de que un usuario haya quitado el dispositivo de una ubicación geográfica) • Determinar si el dispositivo cumple la normativa vigente (Ej., si ha sido liberado, si las aplicaciones se encuentran en la lista negra) • Borrado o borrado selectivo de dispositivos una vez que el usuario haya abandonado • Auditoria de los dispositivos la organización a intervalos preconfigurados para asegurar que ninguna política impuesta por TI haya sido desactivada • Bloqueo del acceso a la red de cualquier dispositivo que no cumpla la normativa vigente • Establecer políticas de seguridad para evitar que los empleados tengan acceso a los recursos de los dispositivos o a las aplicaciones Requisitos y desafíos de seguridad de las aplicaciones móviles Cualquier aplicación en cualquier dispositivo Necesito realizar un seguimiento y administrar todas las aplicaciones que los usuarios desean hacer móviles. A los usuarios les gustan sus aplicaciones y desean utilizarlas para llevar a cabo su trabajo. Las líneas de negocio están desarrollando aplicaciones para sus empleados. Sin embargo es necesario que TI gestione todas ellas – aprovisionar de forma centralizada las aplicaciones móviles, web, SaaS, Windows y del centro de datos y facilitar a los usuarios que puedan acceder a ellas desde un lugar. Seguridad de las aplicaciones centralizada y consistente ¿Cómo mantener un nivel de seguridad coherente en este entorno de “aplicación gratuita para todos”? Con miles de aplicaciones móviles a controlar, IT está perdiendo la batalla de asegurar de una manera coherente y centralizada las aplicaciones y las intranets. Las organizaciones deben lidiar con una serie de usos y aplicaciones de terceros, ninguno de los cuales utiliza un marco de desarrollo común, tiene funciones de seguridad comunes, tiene la misma metodología de autenticación o accede a los datos de la misma manera. ¡Sin embargo es necesario que TI aplique un conjunto de políticas comunes a cada una de estas aplicaciones! www.citrix.es 7 Los 10 “imprescindibles” para asegurar la movilidad empresarial Informe Seguridad de las aplicaciones de productividad “killer apps” Lo que mis usuarios quieren realmente es su correo electrónico, utilización de la web y sus documentos. La mayoría de los usuarios necesita un conjunto básico “killer apps” o aplicaciones “imprescindibles” móviles – siendo típicamente email, web y acceso a los datos. TI necesita asegurarse de que dichas aplicaciones son seguras, pero al día de hoy no es así. TI ya no puede manejar una posible fuga de datos por el correo electrónico, un acceso sin garantía a la intranet o que un usuario cargue datos financieros no públicos de la Corporación en una herramienta de consumo de archivos de uso compartido. Sin embargo, los usuarios esperan una fantástica experiencia nativa y tienen poca tolerancia hacia cualquier otra experiencia inferior. Lo que se necesita es un conjunto de alternativas aceptables seguras a las aplicaciones “killer apps”. Protección de la privacidad del usuario No se trata sólo de la seguridad de la empresa, si no de la privacidad de los usuarios también. Soluciones completas de gestión de la movilidad empresarial son incluidas como características básicas, tales como la capacidad de localizar por GPS un dispositivo o ver las aplicaciones instaladas en los dispositivos de los usuarios. Aunque esas capacidades pueden ser deshabilitadas en muchas soluciones, algunas organizaciones ni siquiera quieren plantearse la violación de la privacidad. Las organizaciones con mayor preocupación por la privacidad del usuario o sujetas a normativas de seguridad, necesitan una forma de proporcionar el acceso a la información empresarial a los usuarios móviles sin necesidad de gestionar todo el dispositivo. Por ejemplo, una organización puede desear proporcionar un cliente de email en “sandbox” a los usuarios para que puedan acceder al correo electrónico de la empresa, no requiriendo una administración del dispositivo a gran escala. Identidad Federada y SSO Hacer el acceso sencillo para mí… y para mis usuarios. Las organizaciones que están llevando a cabo proyectos de estilo de trabajo en movilidad, ofrecen una multitud de aplicaciones a los usuarios. Dada la diversidad de aplicaciones y tipos de aplicación, es difícil para TI proporcionar acceso basándose en la función. Es más, todavía es más difícil aún hacer un seguimiento de todas las aplicaciones que TI necesita eliminar una vez que un usuario ha dejado la organización. Esto es especialmente cierto para aplicaciones SaaS, las cuales son olvidadas frecuentemente ya que las credenciales de utilización son gestionadas de forma independiente y la aplicación probablemente este fuera de la línea de visión de TI. Por parte del usuario, es difícil acceder a estas aplicaciones individualmente cada vez que se necesita. Con dos aplicaciones no hay problema. Con cinco es realmente aburrido. Con diez tienes a los usuarios manifestándose en las calles. www.citrix.es 8 Los 10 “imprescindibles” para asegurar la movilidad empresarial Informe Requisitos de seguridad de las aplicaciones móviles De acuerdo con nuestro marco de seguridad, a continuación mostramos una serie de requisitos para aplicaciones orientadas a soluciones de movilidad empresarial Seguimiento Control Protección • Tener un inventario de las aplicaciones móviles instaladas en los dispositivos • Garantizar la disponibilidad de cualquier aplicación – móvil , web, SaaS, Windows, o del centro de datos – a cualquier dispositivo vía una tienda unificada de aplicaciones • Proporcionar aplicaciones seguras y conectividad en la intranet sin una VPN al máximo rendimiento (fullbore) • Asegurar – e informar a efectos de cumplimiento normativa – que los privilegios de acceso de los usuarios a las aplicaciones son totalmente eliminados cuando los usuarios abandonan la organización • Asegurar las aplicaciones personalizadas o de terceros de manera centralizada y aplicar controles de políticas granulares durante y después del desarrollo • Proporcionar impactantes alternativas, si bien en espacios aislados, a las aplicaciones de productividad “killer apps” • Controlar el acceso de los usuarios a aplicaciones con SSO en todos los tipos de aplicaciones • Proteger los datos corporativos confidenciales con controles de datos consistentes de dentro de la aplicación • Evitar que los usuarios accedan a las aplicaciones y los datos después de abandonar la organización. • Proteger la privacidad de los usuarios permitiendo el acceso al email de la empresa, a la intranet y a las aplicaciones sin tener que gestionar todo el dispositivo Requisitos y retos de seguridad de las redes móviles Incapacidad para controlar el acceso Tengo algunos usuarios móviles en la oficina con dispositivos compatibles, otros con dispositivos liberados (jailbroken) y algunos con dispositivos desconocidos en Starbucks. Cuando se refiere al acceso un tamaño no sirve para todos. Con la amplia gama de dispositivos móviles que acceden a la red, TI necesita una forma de definir políticas integrales de acceso y control mediante análisis de punto final y función del usuario para determinar qué aplicaciones y datos ofrecerles y qué nivel acceso a contenidos proporcionarles. Incapacidad para satisfacer las demandas de la red móvil No estoy seguro de que mi red móvil pueda manejar el consumo, especialmente durante los periodos de temporada alta. Aunque no directamente relacionada con la seguridad, una consideración clave que afecta la seguridad móvil es la escalabilidad de la red móvil. Cuantos más usuarios de la empresa acceden a la red a través de un número creciente de dispositivos y las organizaciones despliegan un número creciente de aplicaciones móviles críticas, TI debe ser capaz de ampliar para satisfacer los crecientes volúmenes de tráfico móvil y ofrecer aplicaciones móviles con alto rendimiento. www.citrix.es 9 Los 10 “imprescindibles” para asegurar la movilidad empresarial Informe Requisitos de seguridad de la red móvil Según nuestro marco de seguridad, a continuación les mostramos un conjunto de requisitos orientados a redes para soluciones de movilidad empresariales. Seguimiento Control Protección • Análisis de los terminales móviles para saber el estado de conformidad en que se encuentran • Controlar el acceso a la red basándose en las configuraciones de los dispositivos, estado del dispositivo, función de usuario y otros factores, tales como por ejemplo, en qué red se encuentra el usuario • Proteger la red corporativa de los ataques móviles tales como malware •Atender las demandas de red móvil, incluyendo el balanceo de cargas de peticiones móviles y garantizando la entrega de aplicaciones móviles de alto rendimiento Requisitos y retos de seguridad de los datos móviles El problema de Dropbox Tengo un problema con Dropbox. Las herramientas de consumo de uso compartido de archivos se han vuelto populares en las empresas porque son fáciles de usar y resuelven un problema real: Cómo acceder a los últimos datos desde cualquier dispositivo. Mientras que son útiles, estas aplicaciones también plantean un riesgo de fuga de datos de gran tamaño. Las organizaciones no pueden controlar o proteger los datos en estas aplicaciones, y si bien podrían incluir las aplicaciones en su lista negra, ese enfoque no resuelve el problema para los usuarios. Las organizaciones necesitan una alternativa segura a estas herramientas que resuelva los problemas de los usuarios mientras que permite a TI cifrar datos y controlar el acceso y uso a través de políticas granulares de datos. www.citrix.es 10 Los 10 “imprescindibles” para asegurar la movilidad empresarial Informe Los contenedores crean silos de datos Las aplicaciones “Sandboxed” dificultan a mis usuarios el acceso al contenido que necesitan. Los contenedores de datos o aplicaciones – Hasta la fecha la respuesta del sector de la movilidad empresarial a la fuga de datos - plantea enormes desafíos sobre su uso. Muy a menudo, los usuarios no pueden tener acceso a los documentos que necesitan en la aplicación que quieren, y no pueden compartir contenido entre aplicaciones. Esto hace que la revisión del contenido, edición y colaboración sea muy engorrosa o imposible. Seguimiento Control Protección • Seguimiento y alertas del acceso del usuario móvil a los datos • Proporcionar seguimiento de datos “follow me data” para móviles • Proteger los datos móviles mediante encriptado tanto en reposo como en tránsito • Permitir a los usuarios móviles sincronizar y compartir de forma segura datos desde y a los dispositivos móviles • Prevenir la perdida de datos con un contenedor de datos seguro y encriptado • Establecer políticas de control granular de datos • Compartir los controles de datos y permitir el acceso a través de aplicaciones • Protección de los datos mediante borrado del contenedor en caso de abandono de la organización o pérdida del dispositivo por parte del usuario o en base a otros casos como dispositivos liberados (jailbreak) Requisitos y consideraciones adicionales de seguridad Una seguridad adecuada para cada situación En mi organización tengo empleados a tiempo completo y empleados externos. Todos ellos no necesitan el mismo nivel de seguridad. Igual que en el caso de la privacidad del usuario, TI tiene la flexibilidad de aplicar medidas de seguridad apropiadas para la situación actual. Las organizaciones tienen distintos tipos de usuarios. Algunos son trabajadores especializados que utilizan dispositivos preparados por las organizaciones para trabajar y para sus actividades personales. Otros son empleados por turnos que comparten dispositivos con otros empleados. Otros son subcontratados que utilizan sus propios dispositivos. La seguridad de la movilidad no cumple con “un tamaño sirve para todos”. En la situación anterior, TI debe ser flexible proporcionando un acceso “full-stack” (completo) de movilidad empresarial y seguridad para los trabajadores especializados, mientras que sólo administra los dispositivos compartidos y aprovisiona una o dos aplicaciones de trabajo específicas pero no un correo electrónico, y proporciona solamente un cliente de correo electrónico a los contratistas. TI también necesita flexibilidad para adoptar un enfoque de “bueno-mejor-el mejor” a la seguridad basándose en el perfil de riesgo de la organización. Utilizando el correo electrónico como ejemplo, una organización altamente regulada puede elegir un cliente de correo electrónico en “sandbox” junto con rigurosos controles de datos. Una organización menos regulada, pero que son conscientes de la seguridad puede optar por una experiencia de correo electrónico nativo pero cifrar los archivos adjuntos del correo electrónico. Una organización puede implementar correo electrónico nativo y borrar de forma sencilla el correo electrónico corporativo en el caso de pérdida, robo del dispositivo o abandono de la organización por parte del empleado. www.citrix.es 11 Los 10 “imprescindibles” para asegurar la movilidad empresarial Informe Integración de la empresa No me dé otro silo para administrar. TI entiende los riesgos de seguridad de la tecnología de silos. Las soluciones de movilidad empresarial que no están integradas directamente con el resto de TI crean desafíos de gestión y de seguridad. Por ejemplo, soluciones de movilidad que no se integran directamente con LDAP, pero en cambio utilizan la caché de datos del usuario de forma periódica, plantean el riesgo de que los empleados sean capaces de acceder a aplicaciones empresariales y datos desde sus dispositivos móviles durante el período entre que dejan la organización y la próxima vez que la solución sincroniza los datos de directorio. Del mismo modo, las soluciones de movilidad que no se integran con SIEM y en herramientas de administración de registros evitan que TI tenga una imagen completa de la seguridad o del cumplimiento normativo. Arquitectura de categoria empresarial ¿Qué sentido tienen las características de seguridad si los datos personales del Director (CEO) están expuestos a Internet? Muchas soluciones de movilidad empresarial no están diseñadas teniendo en mente la seguridad. En lugar de mantener los datos sensibles detrás del firewall y el bróker de acceso a ella mediante un proxy en DMZ, utilizan el caché de datos de usuario temporalmente en DMZ donde está expuesto a Internet. Además, muchas soluciones no son ampliables para satisfacer las demandas de crecimiento de las poblaciones móviles. Algunas soluciones requieren que TI gestione varias instancias de la misma solución en silos separados. Igualmente, la alta disponibilidad es una característica necesaria que los profesionales de TI esperan, aunque existen pocas soluciones que las proporcionen totalmente. Algunas soluciones no tienen redundancia incorporada con clustering estándar de la industria para un failover y failback sencillo. Según los estilos de trabajo en movilidad se van convirtiendo en la corriente dominante y las aplicaciones se convierten cada vez más en misión crítica, la preparación de las empresas para soluciones móviles es cada vez más importante para TI.. Requisitos adicionales A continuación se muestran los requisitos adicionales de seguridad para soluciones en movilidad de categoría empresarial. Seguimiento Control Protección • Integrar los datos móviles con SIEM y herramientas de gestión para una mejor visibilidad de la seguridad y de los informes sobre cumplimiento normativo • Implementar el nivel adecuado de seguridad para cada situación (por ejemplo, correo electrónico a los usuarios en sectores altamente regulados, seguridad de la aplicación sin administración de dispositivos para los contratistas) • Proteger la privacidad manteniendo los datos de usuario detrás del firewall • Controlar el acceso en todo momento con integración directa con los directorios de empresa • Controlar el acceso y habilitar SSO con integración de PKI • Proporcionar acceso a correo electrónico con una integración del correo electrónico de la empresa • Controlar el acceso empresarial con una integración directa con soluciones VPN y WiFi www.citrix.es • Proteger a los usuarios móviles en tiempo de inactividad con un estándar del sector de alta disponibilidad • Prueba de futuro de la empresa en movilidad mediante la implementación de una solución escalable que se adapta al crecimiento de los dispositivos móviles sin una mayor complejidad 12 Los 10 “imprescindibles” para asegurar la movilidad empresarial Informe Conclusión Mientras que la movilidad de la empresa ofrece oportunidades para sus usuarios y para la organización, también implica riesgos. Las organizaciones pueden utilizar este documento como un marco de seguridad móvil y como lista de verificación a la hora de evaluar a los distintos proveedores de movilidad empresarial. Acerca de Citrix Mobile Solutions Bundle Citrix Mobile Solutions Bundle, que incluye el nuevo XenMobile MDM, es una solución de gestión de la movilidad empresarial que permite una libertad completa y segura de dispositivos móviles, aplicaciones y datos. Los empleados obtienen acceso rápido, con un solo clic a todos sus móviles, web, centros de datos y aplicaciones de Windows desde una tienda unificada de aplicaciones, incluyendo aplicaciones de productividad magníficas que se integran para ofrecer una espléndida experiencia de usuario. La solución proporciona aprovisionamiento y control basado en la identidad para todas las aplicaciones, los datos y los dispositivos, controles basados en políticas, tales como la restricción de acceso a las aplicaciones solo a los usuarios autorizados, cuenta automática de eliminación para los empleados cesados, y limpieza selectiva de aplicaciones y datos almacenados en dispositivos perdidos, robados o que no cumplan con la normativa vigente. Con Mobile Solutions Bundle, TI puede cumplir el deseo de los usuarios de adoptar el dispositivo deseado mientras que previene la fuga de datos y protege la red interna de amenazas móviles. www.citrix.es 13 Los 10 “imprescindibles” para asegurar la movilidad empresarial Informe 1. “Mobility in ERP 2011”, Kevin Prouty, Aberdeen, May 2011 2. “Global State of Information Security Survey”, CSO Magazine, 2012 3. “MDM is No Longer Enough”, Citrix webinar with enterprise security expert, Jack Gold, October 2011 4. “U.S. Cost of a Data Breach”, Ponemon Institute, March 2011 5. State of Mobility Survey, Symantec, February 2012 6. In 2010 the average cost of a data breach was $7.2 million. Doug Drinkwater, Feb. 10, 2012, TABTIMES.COM 7. marketwatch.com/story/ctemsr-research-78-of-enterprises-allow-bring-your-own-device-byod-2012-07-24?siteid=nbkh 8. “Global Tech Market Outlook for 2012 and 2013” Andrew Bartels, Forrester, January 6, 2012 9. “More Than 60 Apps Have Been Downloaded for Every iOS Device”, Asymco, January 16, 2011 10. “Market Overview: On-Premises Mobile Device Management Solutions”, Forrester, January 3, 2012 11. “Your Apps are Watching You”, The Wall Street Journal, section, December 17, 2010 12. ‘Mobile Gets a Promotion’ infographic, Citrix, October 2012 13. Citrix Mobile Device Management Cloud Report, Q3 2012 14. “The Need for Mobility Management”, Aberdeen blog, February 2010 Sede International Sede Europea Sede Iberia Citrix Online Division Citrix Systems, Inc. 851 West Cypress Creek Road Fort Lauderdale, FL 33309, USA +1 (800) 393 1888 +1 (954) 267 3000 Citrix Systems International GmbH Rheinweg 9 8200 Schaffhausen Switzerland +41 (0)52 6 35 77-00 Citrix Systems Iberia Paseo de la Castellana, 135 Planta 17 B Edificio Cuzco III Madrid 28046, Spain +34 (0)91 414 98 00 5385 Hollister Avenue Santa Barbara, CA 93111, USA +1 (805) 690 6400 Acerca de Citrix Citrix (Nasdaq:CTXS) transforma la forma de trabajo y colaboración en la empresa en la era cloud. Mediante tecnologías líderes en cloud, colaboración, networking y virtualización, Citrix potencia en trabajo en movilidad y lo servicios cloud, haciendo que complejas labores TI sean más sencillas y accesibles para 260,000 organizaciones. El 75 por ciento de los usuarios de Internet se benefician diariamente de los productos Citrix que cuenta con más de 10.000 partners en 100 países. La facturación anual en 2012 fue de 2.59 billones de dolares. Mayor información en www.citrix.com. ©2013 Citrix Systems, Inc. All rights reserved. Citrix® and XenMobile® are trademarks or registered trademarks of Citrix Systems, Inc. and/or one or more of its subsidiaries, and may be registered in the United States Patent and Trademark Office and in other countries. All other trademarks and registered trademarks are property of their respective owners. 0513/PDF www.citrix.es 14