everythingpossible - stock.adobe

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Asegurando su patrimonio móvil: mejores prácticas para los CIOs

La prevalencia de los dispositivos móviles en cada parte de la vida cotidiana está dando forma a la manera en que las empresas toman decisiones sobre el software y la infraestructura de red, pero ¿cómo hacen las empresas para asegurar estas nuevas y vastas propiedades de punto final?

Nada en la vida es seguro, pero el surgimiento de los dispositivos móviles como la forma en que la mayoría de nosotros nos conectamos, interactuamos en línea y hacemos las cosas está aquí para quedarse, y está dando forma a la forma en que las empresas toman decisiones sobre las plataformas de software y la infraestructura más amplia.

¿Qué significa este desarrollo en lo que respecta a la seguridad, y particularmente a la seguridad de los teléfonos inteligentes en la empresa?

En relación con los teléfonos móviles, traer su propio dispositivo (BYOD) es la aspiración que se encuentra en el corazón de pensar en la movilidad segura para muchos CIO. Para muchos, como el CIO del equipo Williams F1, Graeme Hackland, la introducción gradual de dispositivos móviles y BYOD se ha convertido en una prioridad porque los teléfonos inteligentes son relativamente inseguros y no han sido probados, pero son muy atractivos para que las personas los adopten.

“Todos quieren trabajar en móviles ahora. Son rápidos, disponibles y lo que la gente busca. Por lo tanto, es esencial poner estos dispositivos bajo el paraguas de seguridad”, dijo Hackland cuando habló con los editores de nuestra publicación hermana, Computer Weekly, durante InfoSecurity 2018.

Entonces, según Hackland y otros, el desafío es avanzar rápidamente en seguridad mientras se mantiene la resiliencia en un mundo donde la seguridad absoluta no es realista. "Cualquier dispositivo, cualquier dato" es la aspiración para él y para muchos, pero al mismo tiempo el personal quiere saber y sentir que no están siendo monitoreados en exceso.

“Si se analiza la actividad, el desafío es mantenerla en el anonimato y solo activar alertas cuando haya una falta demostrable de ajuste con la cultura y los comportamientos de una empresa. Queremos dejar a la gente sola y no lidiar con el ruido y los falsos positivos ".

Adopción como telares de 5G

Si esa es la perspectiva de un líder de TI, la investigación general nos muestra que el uso de dispositivos móviles por parte de las empresas, a menudo junto con aplicaciones basadas en la nube, ya se ha generalizado.

Un estudio reciente encargado por Zscaler encontró que casi la mitad de las empresas encuestadas (43%) en Europa, Oriente Medio y África dijeron que más del 50% de sus usuarios están accediendo a aplicaciones basadas en la nube a través de un dispositivo móvil, mientras que casi una de cada tres empresas (29%) colocan la proporción de usuarios móviles en más del 75%. La tendencia fue similar en todos los países encuestados, con el 76% de las empresas del Reino Unido informando que más de la mitad de los usuarios móviles acceden a las aplicaciones.

Esta imagen también demuestra cómo el trabajo remoto ahora es un requisito en las corporaciones, y eso significa que el acceso sin problemas a los datos y las aplicaciones a través de los teléfonos inteligentes se convierte en una necesidad, ya sea que esas aplicaciones estén alojadas en el centro de datos corporativo o en la nube.

También existe el punto inevitable de que el cambio a teléfonos inteligentes solo se recuperará con el lanzamiento de 5G, ya que la próxima generación de dispositivos móviles tiene el potencial de aumentar el rendimiento de acceso en un factor de 10.

¿Qué es seguro? Comprender la confianza cero

Si ese es el contexto, ¿cómo se compara la seguridad empresarial actual? ¿Qué funciona, qué necesita un replanteamiento y cómo responden los CIO?

En un espacio complicado, un modelo para elegir en relación con la movilidad en la empresa es el concepto de confianza cero. Es un marco de seguridad basado en el principio de mantener controles de acceso estrictos y no confiar en nadie por defecto, y eso incluye a aquellos que ya están dentro del perímetro de la red.

Chase Cunningham, experto en seguridad cibernética y analista principal de Forrester Research, quien primero planteó la idea, dice: "Es un campo de batalla, en términos de seguridad cibernética, y un enfoque basado en el cumplimiento no llega lo suficientemente lejos en un mundo centrado en los dispositivos móviles". El modelo de perímetro de seguridad ha fallado. Entonces, la seguridad en el borde móvil, empujando al dispositivo y al usuario, es el camino a seguir.

"Las empresas no tienen más remedio que ser seguras, y el borde móvil es más robusto porque permite que la comunicación de datos se traduzca localmente a un protocolo de comunicación antes de enviarse al núcleo de la red de una organización a través de la nube".

Otro que elige la confianza cero como la entrega de la seguridad actual en un mundo móvil es el asesor de seguridad cibernética global de Cisco, Simon Minton.

“Con cero confianza, el usuario, el dispositivo y la aplicación son los tres principios clave para mantener la seguridad. Todo lo demás no es de confianza", dice Minton. “La idea es desviar los recursos para proteger a esos tres y tratar a la red como no confiable. Es una forma sólida de brindar seguridad a medida que los dispositivos móviles y BYOD despegan".

El modelo más amplio de Cunningham de "confianza extendida cero" para los CIO, que se basa en su idea original de confianza cero, abarca:

  • La red y su uso de aislamiento y segmentación;
  • Datos, incluyendo cómo se clasifican, aíslan, encriptan y controlan los datos;
  • Personas y capacitación: ¿cómo se protegen los usuarios de la red y la infraestructura de la empresa? ¿Qué tan bien entrenados están los usuarios?
  • Cargas de trabajo: ¿cómo se mantienen seguras la nube, las aplicaciones y otros elementos utilizados?
  • Automatización y orquestación: ¿cómo manejan generalmente los sistemas de TI y la inteligencia artificial los temas de desconfianza y verificación?
  • Visibilidad y análisis: ¿Qué puntos ciegos puede mostrar el análisis?

Al considerar la seguridad móvil, es claramente un modelo útil para trazar los próximos pasos.

Seguridad y SD-WAN

Lo que se describe, en términos de seguridad, es complicado. Por lo tanto, es natural que los directores de TI busquen en los proveedores atajos ya preparados que hacen parte del trabajo pesado. También es natural que los proveedores estén listos para cumplir.

Cuando se trata de seguridad de red, la WAN definida por software (SD-WAN) presenta una forma para que las empresas obtengan el control de la seguridad de teléfonos inteligentes y dispositivos múltiples.

Marc Sollars, director de tecnología (CTO) del especialista en integración Teneo, argumenta que SD-WAN respalda firmemente el trabajo móvil y los usuarios que cambian de dispositivo, además de ofrecer ganancias relacionadas con la red.

“SD-WAN recorre un largo camino en términos de seguridad hoy, en parte porque los proveedores han establecido alianzas exitosas con proveedores de seguridad y fabricantes de dispositivos de punto final. Esto significa que las tecnologías de seguridad y SD-WAN pueden usarse en conjunto para bloquear aplicaciones remotas y puntos de acceso a la red para empresas autónomas y sucursales locales".

Sollars también argumenta que es la jugada de seguridad la que está avanzando en la agenda cuando se trata de SD-WAN.

“Los proveedores originalmente enfocaron su discurso de valor agregado a los CIO en el control centralizado de redes y componentes de SD-WAN, la selección de rutas para el tráfico de aplicaciones y el ahorro de costos en redes heredadas. Pero ahora se entiende cada vez más el valor en seguridad empresarial".

Es un cambio interesante que muchos reconocen. En las organizaciones, los diferentes equipos se centrarán tradicionalmente por separado en estas dos áreas distintas. El equipo de red impulsará el rendimiento y la eficiencia, y el equipo móvil impulsará la productividad del usuario y la seguridad de los datos. Pero seguramente eso cambiará, y depende de los CIOs desmantelar los silos.

"El aprovisionamiento de red flexible, por supuesto, ayudará a la experiencia móvil, ya que los puntos finales móviles generarán más y más tráfico a través de la red", dice Ojas Rege, director de estrategia del proveedor de gestión de puntos finales MobileIron.

“La seguridad móvil en sí misma requerirá un control de acceso adicional y más granular en toda la red, de modo que solo los puntos finales y aplicaciones confiables puedan acceder a los datos comerciales. Estos mecanismos se encuentran fuera del modelo tradicional de seguridad perimetral y se ajustan al enfoque de confianza cero descrito por Forrester".

La oferta de principio a fin

Una extensión de esta respuesta estándar a la seguridad móvil también está presente en la forma en que las ofertas integradas de TI de empresas como Citrix, en asociación con Microsoft, ahora enfatizan cómo su provisión de seguridad incorporada ha cambiado del perímetro de la red al punto final en sí mismo.

En la práctica, esto significa que las organizaciones que buscan movilidad segura tienen una opción al adoptar una integración basada en la nube. Se puede ver un ejemplo en la firma del sector salud, Lewisham y Greenwich NHS Trust, que recientemente implementó Citrix Virtual Apps and Desktops en Microsoft Azure como parte de su estrategia en la nube, con la movilidad y la seguridad en el centro de la transición.

En este caso, la decisión de adoptar Citrix fue liderada por una mayor demanda de servicios por parte del personal que es constantemente móvil y requiere acceso a aplicaciones clínicas mientras atiende pacientes en la comunidad.

Justin Beardsmore, director de tecnología de Lewisham y Greenwich, dice que adoptar la nube siempre fue esencial ya que los servicios comunitarios siempre ocurren más allá del hospital.

"Eso significa que la infraestructura local no es una opción. Con Citrix Cloud, tenemos acceso seguro al portal desde cualquier dispositivo, y eso nos da mucha confianza en un mundo donde todos los enfoques de seguridad están siendo reorientados”, dice.

Práctico pero limitado: la actualización móvil de Henkel

La compañía alemana de bienes de consumo y productos químicos Henkel actualizó sus dispositivos móviles debido a una amenaza creciente de malware en los dispositivos y para cumplir con las demandas del Reglamento General de Protección de Datos (GDPR) de Europa.

El jefe de movilidad digital en el lugar de trabajo, Marco Siedler, dijo que una evaluación inicial de un enfoque basado en contenedores para la actualización planificada quedó en blanco porque el personal de un grupo piloto encontró problemas para sincronizar ciertos datos móviles, sin una solución fácil.

Después de revisar las opciones del mercado, Siedler optó por trabajar con Lookout Mobile Endpoint Security en el proyecto, entregándole a Lookout un resumen para garantizar la seguridad de los datos para sus plataformas críticas para el negocio y bloquear los datos en los móviles corporativos.

Lookout manejó los datos al permitir que el personal desconectara la recopilación y el almacenamiento de los datos personales del usuario, incluidos los datos recopilados de dispositivos y de integraciones de terceros, como la plataforma de administración de dispositivos móviles de MobileIron.

Las soluciones alternativas de Henkel se aplicaron a todos los móviles Android corporativos, para lo cual estableció una regla de acceso condicional. Para los usuarios, solo los dispositivos con una aplicación Lookout for Work activada estaban habilitados para acceder a datos y recursos corporativos.

Esta solución pragmática para el desafío móvil de Henkel es clara en un nivel, pero también ilustra cuán lejos han llegado las cosas. Tres años después, las aplicaciones actuales de métodos de confianza cero e integraciones de software de extremo a extremo deberían significar que BYOD es posible para las organizaciones que utilizan teléfonos inteligentes y servicios basados ​​en la nube de cualquier descripción. La movilidad está muy extendida ahora, como hemos explorado, e incluso si la seguridad necesaria de nivel empresarial no siempre está en su lugar, las herramientas para entregar sí están ahí ahora para los jefes de TI comprometidos con asegurar los datos empresariales.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close