Sesin # 233

De la Seguridad al BYOD

Hctor R. Ortiz, CISM

CISO

Agenda

Evolucin de los dispositivos

Riesgos (Ventajas y Desventajas)
Poltica de BYOD
Conclusiones
To BYOD or not to BYOD?

Historia de los Mviles

Los telfonos inteligentes y las tabletas,

continan invadiendo las personas y las
empresas, mientras que no entendemos cul
debe ser el nivel de seguridad para los
dispositivos personales o para gestionar los
accesos de estos dispositivos a la red
corporativa.

El uso de dispositivos mviles est

superando la capacidad de las empresas para
mantener el control de accesos y la
prevencin de prdida de informacin(DLP)
al mximo, para brindar accesos que estn
acorde con las polticas de seguridad.
De dnde viene el esfuerzo del BYOD?

Riesgos

PW ms usados en ingls:

Password
Princess
Iloveyou
Gandalf
123456
Qwerty
Abc123
Dragon
Monkey
Ninja
Hello
Chris

Poltica

Gobierno

Seguridad

BYOD
Program

Gasto

Soporte

Peligros del BYOD

El robo o la prdida del aparato.

Fuga de datos y el consecuente dao a la marca.
El acceso no autorizado a recursos corporativos.
La propagacin de una infeccin de malware a
todos los dispositivos de la red corporativa.
El aumento de los costos de incidentes de
seguridad, con una bajada de la productividad y la
prdida de confianza de los clientes.

http://www.telecomunicacionesparagerentes.com

Retos del BYOD

Cumplimiento
Seguridad
Aplicaciones
Red

Soporte

Como aseguro el cumplimiento de regulaciones

Cmo protejo mi red y datos de accesos no autorizados,

ataques, malware, DLP, prdida de dispositivos
Cmo aseguro el tipo de aplicaciones a utilizar, la
interaccin con mi red y mis esquemas de seguridad
Qu dispositivos estn en mi red
Qu usuarios utilizan qu dispositivos
Cmo resuelvo problemas de acceso a la red

Cmo y a qu le voy a dar soporte

Cmo puedo manejar la gestin de estos activos

El verdadero problema
Los empleados que tienen credenciales de
acceso para ser utilizadas en su computador,
porttil
o
de
escritorio,
corporativo
generalmente lo pueden utilizar para firmarse
haciendo uso de dispositivos propios, cuando
no tenemos manera de identificar si es un
dispositivo que cuenta con la bendicin de
Seguridad

Empresas con uso de BYOD

61% de las empresas permiten a sus empleados
traer sus propios dispositivos
17% tienen polticas de seguridad para controlar el
comportamiento de estos dispositivos
9% consider que eran plenamente conscientes
de todos los dispositivos que estaban conectados a
su red.
No puedes proteger (te) de lo que no ves
Fuente: SANS Institute

Los Pilares de la Seguridad Mvil

Acceso de
Usuarios y
Aplicaciones
Proteccin de
Aplicaciones y Datos
Administracin del Dispositivo

Proteccin contra amenazas

Seguridad al Compartir Datos

Fuente: www.symantec.com

Consideraciones al inicio

Especificacin de dispositivos
Uso y acceso de dispositivos
Aplicaciones, parches y actualizaciones
El acceso a datos de la organizacin y seguimiento
Controles de seguridad y cifrado obligatorios
Los trminos financieros
Responsabilidad
Borrado y control Remoto
Sanciones por incumplimiento

Bases para implementar BYOD

Establezca una poltica de seguridad estricta para todos los
dispositivos.
Defina una poltica de servicio clara, para dispositivos bajo
criterios de BYOD.
Dejar claro quin es propietario de qu aplicaciones y datos
Decida qu aplicaciones se permitirn o se bloquearan.
Integre su plan de BYOD con su poltica de uso aceptable.
Establezca una estrategia para cuando un empleado se retire.
Defina el Gap de seguridad creado cuando dejas de utilizar
dispositivos corporativos seguros.
http://www.cio.com

El Alcance identifica quin esta

cubierto por la poltica, ejemplo:

Empleados
Contratistas
Consultores
Vendedores
Administradores
Estudiantes

La poltica debe detallar, a nivel de

acceso a aplicaciones:
Los datos que el personal pueda acceder desde sus
dispositivos
Los requisitos de seguridad para los dispositivos de propiedad
de los trabajadores
Nivel de soporte que los trabajadores pueden esperar del
departamento de TI
Si se apoyar slo las aplicaciones de software de organizacin
Soluciones de gestin utilizados para proteger y administrar
datos de la organizacin accedido en un entorno BYOD

La poltica debe detallar, a nivel de

acceso a aplicaciones:
Afirmar que todos los dispositivos puedan descargar software
aprobado a travs de un portal especificado. Sin embargo, las
aplicaciones de software adicionales, deseadas por los
usuarios, deben estar en una lista aprobada por la
organizacin y ser comprado por fuentes confiables
especficos.
Todas las dems aplicaciones pueden requerir la aprobacin
de la junta de poltica mvil. La poltica tambin puede indicar
que la organizacin no apoyar software aadido por el
usuario.

A nivel de Seguridad
Requerimientos
de Passwords

Borrado
Completo o
Selectivo de la
Informacin

Redes Privadas
Virtuales (VPN)

Cifrado de Datos

Autenticacin del
Dispositivo

Costo Financiero

Controles

Borrado de Informacin Personal?

Borrado Remoto
Tracking
Instalacin de Aplicaciones.
Jailbreak o Rooteo?
Propiedad Real del Dispositivo
Autenticacin Multi-Factor.

El Verdadero Reto
Crear una poltica que cumpla con todas las
exigencias de la empresa y que permita la
incorporacin de dispositivos propiedad del
empleado, sin poner en riesgo los datos y la
seguridad de la empresa.

www.blackberry.com

Herramientas
MDM (Mobile Device Management ) Concentrada
en lo que los dispositivos NO pueden hacer.
MAM (Mobile Aplication Management) Involucra la
segmentacin de las aplicaciones corporativas y sus
datos, para que esas aplicaciones no compartan
datos.
MIM (Mobile Infraestructure Management)
DLP (Data Loss Prevention) Debido a la proliferacin
de servicios de compartir datos en la nube.

Seguridad con Herramientas

Proteccin de Datos
Distribucin de Certificados
Inventario de Aplicaciones
Configuracin del Dispositivo
Bloqueo
Borrado completo o selectivo
Soporte para aplicaciones in-house

Mobile Device Management Software, Magic Quadrant, Gartner

000

Conclusiones
Las empresas deben tener la capacidad de
brindar acceso a los dispositivos
autorizados de manera segura y simple.
No puede existir un esquema de BYOD sin
que las empresas tengan el marco de
control

Conclusiones
Sistemas
operativos
al da:

No usar
dispositivos
liberados:

Establecer
polticas
para
dispositivos
mviles:
Informe a
los usuarios
sobre los
riesgos.

Vigilar
redes
inalmbrica
s de acceso
a los datos.

Fuente: www.sophos.com

Conclusiones
Antimalware

Almacena
miento en
la nube

Cifrado

Seguridad
mvil
enuna
proteccin
global

Aplicacione
s de
confianza

To BYOD or not to BYOD

Haga el anlisis de riesgo, comprelo contra
los objetivos estratgicos de la empresa y
determine si una estrategia de BYOD es
necesaria y administrable en su institucin.

Gracias

Hctor R. Ortiz
hortiz@bancodeoccidente.hn

www.sans.org
http://www.air-watch.com
http://www.itwhitepapers.com/
http://resources.idgenterprise.com/original/AST
-0090412_mobile-policy-checklist.pdf
http://resources.idgenterprise.com/original/AST
-0094578_NWW_DS_BYOD_072413.pdf
MDM
http://www.networkworld.com/slideshow/494
32/#slide1