Bring Your Own Device, un futuro incierto. Consideraciones de riesgos y seguridad en el programa de gestión de dispositivos móviles

Transcripción

1 Bring Your Own Device, un futuro incierto Consideraciones de riesgos y seguridad en el programa de gestión de dispositivos móviles

2 Indice Ventajas de la gestión de dispositivos móviles 3 Problemática a considerar en el despliegue BYOD 6 Definición de riesgos BYOD 8 1. Securización de dispositivos Como abordar los riesgos de las aplicaciones Gestión del entorno del dispositivo 19 Buen gobierno y problemas de cumplimiento 21 Próximos pasos 26 Conclusiones 29

3 Introducción Se estima que en cinco años el número de dispositivos móviles será de 10 mil millones, 1.5 dispositivos por habitante Empleados de todas las compañías disponen de sus dispositivos personales y quieren usarlos en el entorno de trabajo (junto a los dispositivos corporativos) desbordando los departamentos de IT Las compañías reconocen que es imposible restringir acceso y necesitan saber cómo gestionarlo

4 Cómo las compañías utilizan los dispositivos 1. Mejora de la productividad Mayor productividad gracias a las aplicaciones desarrolladas internamente. 2. Aumento de empleados/ usuarios Habilitación de nuevos usuarios mediante aplicaciones específicas i.e. CRM. 3. Habilitando nuevos productos/clientes Entrando a nuevos mercados gracias a productos novedosos. Transformando/ampliando la infraestructura corporativa. Más usuarios utilizan dispositivos en nuevas áreas de trabajo. Nuevos servicios y vías de comercio (compra online, )

5 El modo de trabajo cambiará gracias a la movilidad Usuarios interconectados continuamente, comunidades más globales donde el conocimiento será más accesible Personal más flexible y ágil, adaptable a las necesidades de un negocio cambiante Las herramientas económicas, sencillas y disponibles en todo momento Antes Dispositivos corporativos Después: Dispositivos propios interactuando con dispositivos corporativos B Y O D

6 Búsqueda del equilibrio Perspectiva del empleado: Los dispositivos corporativos son antiguos y no útiles Muchos empleados ya traen sus dispositivos a la oficina Parte de los ejecutivos ya los utilizan durante el trabajo La innovación/flexibilidad y el aumento de la productividad es necesario Queremos utilizarlos en la oficina Perspectiva de la compañía: Dispositivos creados para el mercado de consumo Preocupación respecto a su gestión, securización, y protección de datos Impacto en el cumplimiento normativo actual Actualmente no se da soporte a dispositivos personales Son seguros para gestionar información corporativa?

7 Retos o barreras del despliegue de BYOD Seguridad en los dispositivos Brechas de seguridad de los datos Seguridad de los datos en el dispositivo Seguridad de las aplicaciones móviles 65% 59% 55% 50% Las mayores preocupaciones están relacionadas con la seguridad Integración con los sistemas corporativos Control del uso de las aplicaciones Patrocinio de la alta gerencia Coste del soporte en help desk Regulaciones específicas del país Coste de la implementación de las app Requerimientos legales de la industria Retorno de la inversión 26% 25% 22% 18% 17% 17% 15% 15% Los costes asociados con BYOD no son impedimento para su despliegue Coste de la formación Coste del desarrollo de las app 7% 9% Fuente: Forrester, Key strategies to capture and measure the value of consumerization of IT, July 2012

8 Definiendo los riesgos de BYOD

9 Internamente Externamente Fuentes de riesgos en BYOD Dispositivos Jailbreak / rooting NFC/Bluetooth exploits Regulación industrial Legislación Servicios en la nube Robo de información Ingeniería social Apps Malware Fuga de información Almacenamiento no cifrado Transmisión no cifrada Fuga de información 3as partes Configuración insegura Vulnerabilidades en aplicaciones Configuración de MDM insegura Vulnerabilidades en aplicación Servicios Inseguros Mobile Device Management Enterprise Mobile Apps Nube privada / Servicios

10 Panorama en los riegos de BYOD Debido a los riesgos que BYOD introduce en la compañía, se requiere un enfoque holístico y metódico para gestionarlos y asegurar un adecuado control para mantener el actual grado de seguridad y usabilidad. Factores que intervienen en la identificación de riesgos: Perfil del riesgo Uso Alcance geográfico Los riesgos introducidos por BYOD son una extensión o amplificación de los riesgos actuales, sin incluir apenas nuevos riesgos. Tipología de los riesgos asociados: 1. Securización de dispositivos 2. Gestión de riesgos en las app 3. Gestión del entorno del dispositivo

11 No existe una única solución Área Objetivo 1 Securización de dispositivos Asegurar que la pérdida o robo de los dispositivos se gestione adecuadamente y la información esté protegida 2 Gestión de riegos en las app Minimizar el riesgo de malware o aplicaciones no seguras afectando a la información de la compañía 3 Gestión del entorno del dispositivo Inclusión/exclusión de dispositivos, parcheado y monitorización

12 1. Securización de dispositivos Los riesgos asociados con la securización de dispositivos móviles se categorizan del siguiente modo: Pérdida o robo de dispositivos Acceso físico Responsabilidades del propietario Nivel de acceso a datos corporativos Falta de formación/concienciación

13 El mayor riesgo sigue siendo la pérdida o robo Pérdida del dispositivo Ratio de recuperación Acceso Indebido 70M dispositivos perdidos o robados en EEUU cada año -Kensington / Ponemon Institute 7% de los dispositivos perdidos o robados son recuperados -Kensington / Ponemon Institute 89% de los dispositivos perdidos o robados se intenta acceder a la información -Symantec Acceso a la información 64% de las corporaciones con BYO reconocen un acceso más rápido a la información corporativa -DELL Mayor acceso/información + más dispositivos + mayor pérdida/robo = Incremento del riesgo

14 Cómo securizar los dispositivos? 1. Evaluar los escenarios de uso e investigar las mejoras prácticas para mitigar cada escenario 2. Implantar una solución de gestión de dispositivos móviles (MDM) creando políticas y monitorizando los accesos y el uso 3. Implantar unas políticas como mínimo: cifrado en el dispositivo, pin de acceso, número de accesos fallidos, borrado remoto, etc. 4. Asentar unas bases de seguridad: certificar el hardware/sistemas operativos para usos corporativos 5. Diferenciar accesos de dispositivos seguros/inseguros: separar infraestructura en consecuencia 6. Implantar controles de acceso estrictos para acceder a aplicaciones corporativas críticas 7. Incluir los riesgos de dispositivos móviles en los programas de concienciación de seguridad

15 2. Gestión de riesgos en las aplicaciones Como la organización pretende autorizar el uso de dispositivos personales en la empresa, el riesgo de acceso a la información corporativa se presenta en dos formas: Aplicaciones maliciosas (malware): Se ha incrementado el número de aplicaciones maliciosas para móviles o código malicioso Vulnerabilidades de las app: Aplicaciones desarrolladas internamente pueden contener agujeros de seguridad Q Tendencia del malware: Número de casos de malware para Android (miles) Q Q Q2 2012

16 Acceso a los sistemas corporativos como principal objetivo Un reciente estudio de malware que afecta a los sistemas operativos móviles ios, Android y Symbian, demuestra los objetivos del malware actual: Extraer información Número total de malware estudiado: 72 items Fuente: Kaspersky: Android Under Attack

17 Ejemplo de modus operandi de malware Ejemplo de malware: Eurograbber Víctima accede a un link enviado mediante spam o en una web maliciosa Víctima descarga malware. Malware espera hasta que se inicie una sesión de banca online El banco implementa autenticación en dos factores. Para completar la transacción se envía un TAN (Transaction Authorization Number) por SMS Malware crea una página falsa durante la sesión pidiendo al usuario que instale una actualización de seguridad. El link a ese upgrade es enviado por SMS Al instalar el upgrade se instala el malware y espera a recibir el número TAN. El malware intercepta el número TAN y procesa una operación fraudulenta

18 Cómo gestionar los riesgos de las app? 1. Usar anti-virus para móviles para proteger sistemas operativos corporativos o no corporativos propensos a ser infectados 2. Asegurar que el desarrollo de aplicaciones móviles sigue los procesos de seguridad de la compañía, aprovechando utilidades y operativa actuales 3. Gestionar aplicaciones a través de in-house app store y un producto de gestión de aplicaciones adecuado 4. Introducir servicios que habilitan el intercambio de información entre dispositivos de forma segura

19 3. Gestión del entorno del dispositivo BYOD supone esfuerzo adicional para mantener un inventario de dispositivos, mantener actualizados los sistemas operativos y dar soporte a tal cantidad y variedad creciente de dispositivos. Aprovechando las avances actuales y futuros de la tecnología móvil, las organizaciones estarán mejor equipadas para gestionar los retos de seguridad en su infraestructura, que incluirá dispositivos corporativos y no corporativos. Ejemplos de avances en las funciones de seguridad móvil : Login múltiple y compartimentación Virtualización de aplicaciones y uso de sandbox Seguridad en endpoint

20 Primer paso en la mitigación de riesgos: MDM (Mobile Device Management) Sin MDM Con MDM Control de seguridad limitado Sin posibilidad de borrado de dispositivos Sin gestión de apps Sin posibilidad de aplicar las políticas de seguridad de forma unificada Difícil de gestionar la entrada/salida de dispositivos Gestión limitada Difícil gestión de dispositivos Control limitado del estado de los dispositivos Solución no escalable Controles consistentes Borrado remoto seguro de dispositivos Gestión de aplicaciones y compartimentación Restricciones basadas en política unificada de seguridad Control de la entrada/salida de dispositivos Mejor gestión Facilidad para dar soporte a diversos dispositivos Mayor control del estado Solución escalable a varios tipos de dispositivo

21 Cómo gestionar BYOD? 1. Crear y ejecutar un apropiado soporte BYOD y una política de uso 2. Adaptar el existente proceso de soporte para incluir el provisionamiento y desaprovisionamiento (limpieza) con seguridad, así como desarrollar un mayor grado de autoayuda de cara a los usuarios 3. Crear un proceso de formación para fomentar en los usuarios prácticas seguras como actualizar sus dispositivos móviles 4. Implementar una wiki donde el empleado acceda a una herramienta de soporte basada en autoayuda.

22 Problemas de gobierno y cumplimiento

23 Dirigirse a problemas de gobierno y cumplimiento La complejidad adicional sobre cumplimiento se introduce al entorno de BYOD cuando los empleados son propietarios de los dispositivos y lo utilizan para información personal. Utilizar un dispositivo personal para el trabajo implica cumplir la ley de protección de datos, y según que países una serie de regulaciones a tener en cuenta cuando desarrollemos un programa BYOD. Gobierno de privacidad Protección de datos Derecho a estar olvidado y borrado Monitorización (privacidad en el trabajo) Investigación y notificación de violación de la privacidad Posesión y recuperación de la información

24 Los despliegues deberán tener en cuenta la regulación local de privacidad Mapa de restricciones de privacidad Most restricted Restricted Some restrictions Minimal restrictions Effectively no restrictions No data Source: Forrester:

25 La tendencia de regulación más específica para protección de información está a punto de estrenarse Pertinente a U.S. / regulaciones internacionales: PCI-DSS recientemente publicado en BYOD HIPAA HITECH referente a los estándares NIST, pero probablemente cambien FINRA SOX Núcleo de los conceptos de privacidad en la UE: Gobierno de privacidad Protección de datos Derecho a estar olvidado y borrado Monitorizar (privacidad en el trabajo) Investigación y notificación de violación de privacidad Posesión y recuperación de la información

26 Tratamiento del riesgo legislativo 1. Hablar con legal y HR de los países donde se dé soporte a los dispositivos de BYOD para entender la privacidad y seguridad de los datos en ese país 2. Crear un grupo de políticas por segmentación geográfica que se amplía en la política general de BYOD 3. Asegurarse que la TI local tiene el proceso correcto para soportar la norma 4. Revisar, monitorizar y revisar políticas de regulación 5. Segmentar entornos de negocio e información personal del empleado todo lo posible. 6. Crear una estructura política, que está alineada con la dirección del flujo de tareas, para dirigirse a las áreas de riesgos potenciales haciendo que el proceso de aprobación de políticas sea más rápido y ágil.

27 Siguientes pasos

28 Solución basada en tres capas Con el objeto de mitigar los riesgos de BYOD de una forma metódica y completa se recomienda llevar una serie de acciones en las siguientes 3 capas: Mobile Data Protection (MDP) La seguridad está focalizada en el soporte informático. Esta tecnología se integra con soluciones de securización de puesto cliente (EndPoint) que integran también soluciones NAC (Network Access Control) Infraestructura interna Revisión de los sistemas que dan soporte a los dispositivos, securización de canales de Interconexión, app store, políticas. Personal Formación y concienciación sobre los riesgos que conlleva el BYOD NAC DLP EDRM CORREO Y MENSAJERÍA APLICACIONES NAC BASES DE DATOS SERVIDORES DE FICHEROS CORE USUARIO INTERNO SERVICIOS WEB ` PERÍMETRO INTERNO ADMINISTRADOR ` VISITANTE PERÍMETRO EXTERNO ` ACCESO WEB ` SERVICIOS COLABORATIVOS USUARIO EXTERNO ` ADMINISTRACIÓN REMOTA MDP y EndPoint Protection `

29 Medición del nivel de madurez Para llevar a cabo una correcta medición de esfuerzos en las áreas antes descritas se recomienda realizar una medición del nivel de madurez actual en la firma:

30 Conclusión Las organizaciones estarán mejor equipadas para abordar los retos en seguridad de infraestructuras, gracias al uso de dispositivos de los empleados, siempre que se cumplan los siguiente requisitos: Aprovechar las mejores prácticas de la industria en aspectos de seguridad Integrar una política razonada de BYOD Adoptar estrategias que sean flexibles y escalables Introducir procedimientos apropiados y pruebas periódicas Hacer que los empleados sean más conscientes de que el uso de sus propios dispositivos puede afectar a toda la organización

31 Asegurando y mejorando el programa de BYOD Se debe ayudar al crecimiento de la confianza entre los empleados y asegurar a los responsables que la información no será puesta en peligro por el uso de los dispositivos de los empleados. Para ello se deben seguir estos 8 pasos: 1. Crear una estrategia para BYOD con un business case y un objetivo propuesto. 2. Involucrar a los responsables lo antes posible a través de formación en movilidad. 3. Crear un modelo de soporte y operación. 4. Analizar los riesgos asociado. 5. Crear una política de BYOD. 6. Asegurar dispositivos y aplicaciones. 7. Probar y verificar la seguridad de la implantación. 8. Medir el éxito en forma de ROI y transmitir las lecciones aprendidas.

32 MUCHAS GRACIAS EY Assurance Tax Transactions Advisory Assurance Tax Transactions Advisory About EY EY is a global leader in assurance, tax, transaction and advisory services. The insights and quality services we deliver help build trust and confidence in the capital markets and in economies the world over. We develop outstanding leaders who team to deliver on our promises to all of our stakeholders. In so doing, we play a critical role in building a better working world for our people, for our clients and for our communities. EY refers to the global organization, and may refer to one or more, of the member firms of Ernst & Young Global Limited, each of which is a separate legal entity. Ernst & Young Global Limited, a UK company limited by guarantee, does not provide services to clients. For more information about our organization, please visit ey.com. About EY s Advisory Services Improving business performance while managing risk is an increasingly complex business challenge. Whether your focus is on broad business transformation or more specifically on achieving growth, optimizing or protecting your business, having the right advisors on your side can make all the difference. Our 30,000 advisory professionals form one of the broadest global advisory networks of any professional organization, delivering seasoned multidisciplinary teams that work with our clients to deliver a powerful and exceptional client service. We use proven, integrated methodologies to help you solve your most challenging business problems, deliver a strong performance in complex market conditions and build sustainable stakeholder confidence for the longer term. We understand that you need services that are adapted to your industry issues, so we bring our broad sector experience and deep subject matter knowledge to bear in a proactive and objective way. Above all, we are committed to measuring the gains and identifying where your strategy and change initiatives are delivering the value your business needs..