BYOD: Ventajas, desventajas y consideraciones de seguridad. Maximiliano Alonzo malonzo@tib.com.uy malonzo1978 https://uy.linkedin.com/pub/maximiliano-alonzo/20/757/180 1
Quién soy? Maximiliano Alonzo Especialista en Seguridad Informática Seguridad en aplicaciones web. Hackeos Éticos a aplicaciones e infraestructuras de TI. 9 años de experiencia en servicios de consultoría. Docente Desarrollo Seguro de Aplicaciones, Universidad Católica del Uruguay. Ethical Hacking y Seguridad en Aplicaciones Web, Instituto de Normas Técnicas del Uruguay (UNIT). Testing de Seguridad de Aplicaciones Web, Centro de Ensayo de Software (CES). 2
De que se trata esta charla? Un poco de historia y etimología Origen y tendencias Ventajas y Desventajas Controles y herramientas Recomendaciones 3
Un poco de historia y etimología. BYOB (Bring Your Own Beverage) 4
Un poco de historia y etimología. BYOD (Bring Your Own Device) 5
Origen y tendencia. Tendencia originada por la alta gerencia Quién le dijo que no al gerente cuando pidió acceder al correo desde su móvil? 6
Origen y tendencia. Generalizada por la consumerización de IT Fuente: Worldwide Mobile Worker Population 2009-2013 Forecast. IDC 7
Origen y tendencia. Distribución de smartphones OS 8
Cuales son las Ventajas? Ventajas para los usuarios Mayor flexibilidad y movilidad. Permite combinar los aspectos personales y laborales de su vida. Dispositivo y aplicaciones de su agrado. Habituados al uso del dispositivo. 9
Cuales son las Ventajas? Ventajas para los usuarios Facilita la disponibilidad y acceso a la información. Mejora la productividad personal. El usuario está más contento y tiene mejor satisfacción laboral. Usuarios más Cool! 10
Cuales son las Ventajas? Ventajas para las empresas Reduce los costos de adquirir: Dispositivos. Licencias de software. Seguro de hurtos. Mantenimiento de hardware. Habilita el acceso a tecnología de vanguardia. 11
Cuales son las Ventajas? Ventajas para las empresas Personal más contento = Personal más productivo. Mayor flexibilidad y movilidad. Facilita el trabajo remoto. A las empresas les sirve! Empleados disponibles las 24hrs. ;-) 12
Cuales son las Desventajas? Desventajas para las empresas Ambiente heterogéneo. Se pierde capacidad de control de los dispositivos ante la nueva realidad de TI. La estación de trabajo pasa a ser un dispositivo NO confiable. 13
Cuales son las Desventajas? Desventajas para las empresas Facilita la fuga de información. Aumento de los costos de gestión. Posibilidad de poner en riesgo la red corporativa (virus, malware, etc.) 14
Conceptos Importantes. Propiedad Dispositivos Información Propiedad del usuario Propiedad de la empresa 15
Conceptos Importantes. Responsabilidades Cuidar del dispositivo Proteger la Información Responsabilidad del usuario Responsabilidad de la empresa 16
Controles y herramientas. Y ahora que hacemos? La empresa debe ser proactiva ante esta nueva realidad. Mejorar las políticas de seguridad para contemplar los dispositivos móviles. Listado de dispositivos alineados con la estrategia de seguridad. Acceso Web a las aplicaciones. 17
Controles y herramientas. Y ahora que hacemos? Invertir en sensibilización de los usuarios. Definir estrategias para la reducción de costos de adquisición de hardware y software. Evaluar la virtualizacion de equipos de escritorio. 18
Controles y herramientas. Mobile Device Management (MDM) Permite asegurar, monitorear y administrar dispositivos móviles sin importar el operador de telefonía o proveedor de servicios. 19
Recomendaciones. Recomendaciones Definir políticas de seguridad robustas que alcancen a los dispositivos móviles. Sensibilizar y capacitar a los usuarios sobre los riesgos de seguridad. Aceptar dispositivos que estén alineados con la estrategia de seguridad. Almacenar la menor cantidad de información en los dispositivos móviles (aplicaciones web, virtualización) 20
Recomendaciones. Recomendaciones Implementar MDM para el control remoto de los dispositivos. Hacer uso de cifrado de almacenamiento en el dispositivo móvil. Forzar el uso de contraseñas para acceso al dispositivo (no PIN, ni patrones de movimiento). Implementar mecanismos que permitan el borrado remoto de la información. 21
Preguntas? 22
Gracias! Maximiliano Alonzo malonzo@tib.com.uy malonzo1978 https://uy.linkedin.com/pub/maximiliano-alonzo/20/757/180 23