Sesión # 233 De la Seguridad al BYOD. Héctor R. Ortiz, CISM CISO

Transcripción

1 Sesión # 233 De la Seguridad al BYOD Héctor R. Ortiz, CISM CISO

2 Agenda Evolución de los dispositivos Riesgos (Ventajas y Desventajas) Política de BYOD Conclusiones To BYOD or not to BYOD?

3 Historia de los Móviles

4

5

6

7

8

9

10 Los teléfonos inteligentes y las tabletas, continúan invadiendo las personas y las empresas, mientras que no entendemos cuál debe ser el nivel de seguridad para los dispositivos personales o para gestionar los accesos de estos dispositivos a la red corporativa.

11 El uso de dispositivos móviles está superando la capacidad de las empresas para mantener el control de accesos y la prevención de pérdida de información(dlp) al máximo, para brindar accesos que estén acorde con las políticas de seguridad. De dónde viene el esfuerzo del BYOD?

12

13 Riesgos

14

15

16

17

18

19

20

21 PW más usados en inglés: Password Princess Iloveyou Gandalf Qwerty Abc123 Dragon Monkey Ninja Hello Chris

22

23

24

25

26

27 Política Gobierno BYOD Program Seguridad Gasto Soporte

28

29 Peligros del BYOD El robo o la pérdida del aparato. Fuga de datos y el consecuente daño a la marca. El acceso no autorizado a recursos corporativos. La propagación de una infección de malware a todos los dispositivos de la red corporativa. El aumento de los costos de incidentes de seguridad, con una bajada de la productividad y la pérdida de confianza de los clientes.

30

31 Retos del BYOD Cumplimiento Seguridad Aplicaciones Red Soporte Como aseguro el cumplimiento de regulaciones Cómo protejo mi red y datos de accesos no autorizados, ataques, malware, DLP, pérdida de dispositivos Cómo aseguro el tipo de aplicaciones a utilizar, la interacción con mi red y mis esquemas de seguridad Qué dispositivos están en mi red Qué usuarios utilizan qué dispositivos Cómo resuelvo problemas de acceso a la red Cómo y a qué le voy a dar soporte Cómo puedo manejar la gestión de estos activos

32

33

34

35

36 El verdadero problema Los empleados que tienen credenciales de acceso para ser utilizadas en su computador, portátil o de escritorio, corporativo generalmente lo pueden utilizar para firmarse haciendo uso de dispositivos propios, cuando no tenemos manera de identificar si es un dispositivo que cuenta con la bendición de Seguridad

37 Empresas con uso de BYOD 61% de las empresas permiten a sus empleados traer sus propios dispositivos 17% tienen políticas de seguridad para controlar el comportamiento de estos dispositivos 9% consideró que eran plenamente conscientes de todos los dispositivos que estaban conectados a su red. No puedes proteger (te) de lo que no ves Fuente: SANS Institute

38 Fuente: Los Pilares de la Seguridad Móvil Acceso de Usuarios y Aplicaciones Protección de Aplicaciones y Datos Administración del Dispositivo Protección contra amenazas Seguridad al Compartir Datos

39 Consideraciones al inicio Especificación de dispositivos Uso y acceso de dispositivos Aplicaciones, parches y actualizaciones El acceso a datos de la organización y seguimiento Controles de seguridad y cifrado obligatorios Los términos financieros Responsabilidad Borrado y control Remoto Sanciones por incumplimiento

40 Bases para implementar BYOD Establezca una política de seguridad estricta para todos los dispositivos. Defina una política de servicio clara, para dispositivos bajo criterios de BYOD. Dejar claro quién es propietario de qué aplicaciones y datos Decida qué aplicaciones se permitirán o se bloquearan. Integre su plan de BYOD con su política de uso aceptable. Establezca una estrategia para cuando un empleado se retire. Defina el Gap de seguridad creado cuando dejas de utilizar dispositivos corporativos seguros.

41 El Alcance identifica quién esta cubierto por la política, ejemplo: Empleados Contratistas Consultores Vendedores Administradores Estudiantes

42 La política debe detallar, a nivel de acceso a aplicaciones: Los datos que el personal pueda acceder desde sus dispositivos Los requisitos de seguridad para los dispositivos de propiedad de los trabajadores Nivel de soporte que los trabajadores pueden esperar del departamento de TI Si se apoyará sólo las aplicaciones de software de organización Soluciones de gestión utilizados para proteger y administrar datos de la organización accedido en un entorno BYOD

43 La política debe detallar, a nivel de acceso a aplicaciones: Afirmar que todos los dispositivos puedan descargar software aprobado a través de un portal especificado. Sin embargo, las aplicaciones de software adicionales, deseadas por los usuarios, deben estar en una lista aprobada por la organización y ser comprado por fuentes confiables específicos. Todas las demás aplicaciones pueden requerir la aprobación de la junta de política móvil. La política también puede indicar que la organización no apoyará software añadido por el usuario.

44 A nivel de Seguridad Requerimientos de Passwords Borrado Completo o Selectivo de la Información Cifrado de Datos Redes Privadas Virtuales (VPN) Autenticación del Dispositivo

45 Costo Financiero

46

47

48 Controles Borrado de Información Personal? Borrado Remoto Tracking Instalación de Aplicaciones. Jailbreak o Rooteo? Propiedad Real del Dispositivo Autenticación Multi-Factor.

49 El Verdadero Reto Crear una política que cumpla con todas las exigencias de la empresa y que permita la incorporación de dispositivos propiedad del empleado, sin poner en riesgo los datos y la seguridad de la empresa.

50

51

52

53 Herramientas MDM (Mobile Device Management ) Concentrada en lo que los dispositivos NO pueden hacer. MAM (Mobile Aplication Management) Involucra la segmentación de las aplicaciones corporativas y sus datos, para que esas aplicaciones no compartan datos. MIM (Mobile Infraestructure Management) DLP (Data Loss Prevention) Debido a la proliferación de servicios de compartir datos en la nube.

54 Seguridad con Herramientas Protección de Datos Distribución de Certificados Inventario de Aplicaciones Configuración del Dispositivo Bloqueo Borrado completo o selectivo Soporte para aplicaciones in-house

55

56 Mobile Device Management Software, Magic Quadrant, Gartner

57

58 000

59 Conclusiones Las empresas deben tener la capacidad de brindar acceso a los dispositivos autorizados de manera segura y simple. No puede existir un esquema de BYOD sin que las empresas tengan el marco de control

60 Conclusiones Establecer políticas para dispositivos móviles: Sistemas operativos al día: Informe a los usuarios sobre los riesgos. No usar dispositivos liberados: Vigilar redes inalámbrica s de acceso a los datos. Fuente:

61 Conclusiones Cifrado Antimalware Seguridad móvil enuna protección global Almacena miento en la nube Aplicacione s de confianza

62 To BYOD or not to BYOD Haga el análisis de riesgo, compárelo contra los objetivos estratégicos de la empresa y determine si una estrategia de BYOD es necesaria y administrable en su institución.

63 Gracias Héctor R. Ortiz

64 _mobile-policy-checklist.pdf _NWW_DS_BYOD_ pdf MDM 32/#slide1