Consideraciones y recomendaciones para el despliegue controlado de la tendencia BYOD. Luis Pico, Consulting Systems Engineer BS7799-LA, CWNA, ITILF, CEH, CCIE Security San Jose, Costa Rica. Junio 28 de 2013 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 1
Agenda Introducción BYOD es un Proyecto: Servicio de Uso de Dispositivos Personales en la Empresa Política de Seguridad Seguridad Informática BYOD Seguridad Legal y Privacidad Conclusiones 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
MOBILITY Introduccion
Qué es la Consumerización de TI? Consumerización de TI" es una tendencia por la cual la tecnología empieza primero en el hogar o el mercado de consumo, y luego se expande dentro de las organizaciones 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 4 Fuente: IDC, 2011
Que es BYOD Bring Your Own Device Es parte de la Consumerización de TI Como consumidores adquirimos dispositivos personales móviles: teléfonos inteligentes, tabletas, netbooks, notebooks. Queremos usar los dispositivos personales para las responsabilidades laborales. Productividad Flexibilidad - Preferencia 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 5
Cantidad de Dispositivos Vendidos en LATAM Fuente: IDC Latin America Consumer Devices Tracker, 4Q 2012 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 6
BYOD en LATAM Fuente: IDC Latin America Investment Priorities: Wireless & Mobile Solutions, 2012 (n=1423) 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
Principales Evangelizadores BYOD Influencia de los ejecutivos Influencia de los altos Influencia de los gerentes 26% Presión de los usuarios 18% Los usuarios finales los 17% Equipos de promoción de 10% Road-map de TI existente 7% Influencia externa 4% 42% 43% Fuente: IDC s 2011 Consumerization of IT Survey, n=490 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 8
Las Nuevas Generaciones ESTUDIANTE UNIVERSITARIO Y JOVEN PROFESIONAL & ESTUDIANTES UNIVERSITARIOS JOVENES PROFESIONALES CONSIDERA INTERNET COMO UN RESCURSO FUNDAMENTAL DICE QUE NO PODRIA VIVIR SIN INTERNET 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
100% de IT No tienen suficientes recursos para mantener la tendencias de dispositivos móviles Gartner 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
2013 Cisco and/or its affiliates. All rights reserved. Cisco Cisco Confidential Public 11
BYOD: Proyecto Empresarial Compliance Operations Network Team Security Operations Endpoint Team Application Team Human Resources 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 12
Gestión del Riesgo Bloques de un Proyecto BYOD Servicios Colaboración Servicios Sistemas de Información Política de Uso de Dispositivos Personales Plataforma TIC Procesos de Soporte Seguridad Informatica Seguridad Legal&Privacidad Política de Seguridad Alcance Objetivo 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 13
Política de Seguridad 14
Politica BYOD BYOD es ideal para la competitividad de las organizaciones, varias preguntas acerca de las necesidades del negocio de la compañía y de la infraestructura existente deben ser respondidas, con el fin de formar la política adecuada en torno a usos y recursos de los dispositivos. 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 15
Técnicas Efectivas para una Buena Política BYOD #! % Piense desde la perspectiva de una amenaza y las contramedidas efectivas al establecer las políticas del servicio BYOD. Evalue los dispositivos móviles ya permitidos y la forma en que se están administrando. Utilice la política de seguridad existente como guía base, para ayudar a alinear la política BYOD con base al cumplimiento de las leyes aplicables a la industria, regulaciones y normas que la organización debe cumplir. Identifique las amenazas y los vectores que pueden afectar la seguridad de los dispositivos móviles y los controles que están disponibles para mitigar los riesgos. 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 16
Técnicas Efectivas para una Buena Política BYOD Investigue las capacidades de los dispositivos móviles, sus entorno de aplicaciones incluyendo todos los controles disponibles para administrar la seguridad, permisos y riesgo. Defina como las políticas de BYOD pueden ser verificadas y validadas para asegurar que ellas han sido exitosamente implementadas. Determine la profundidad y amplitud de la configuración de control, identifique sus funciones y las características que no son controlables, y direcciónelas con políticas administrativas y conciencia del empleado. 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 17
Seguridad Informática BYOD 18
Bloques de TIC para BYOD Next Generation Workspace Unified Policy Management Unified Infrastructure Security 19
Infraestructura de Acceso Unificado Cisco Catalyst Switches Information Systems Cisco WLAN Controller Wired Network Devices AnyConnect VPN 20
Gestión TIC BYOD Fuente: SANS Institute Mobility/BYOD Security Survey Marzo 2012 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
Abordaje Seguridad Informática BYOD Seguridad Ethernet 802.3 Seguridad WiFi 802.11n Seguridad de Acceso Remoto Seguridad de Acceso Unificado Seguridad del Dispositivo Final 22
Seguridad de Acceso Ethernet 802.3 Identity Based Network Services (IBNS): 802.1X for wired access Profiling for Devices Non-user MAB for Devices Non-user Web Authentication: Guest NEAT Wired IBNS MACSec Adds Confidentiality & Integrity: MACSec protects the port after IEEE 802.1X Even with physical access, rogue users cannot monitor or spoof encrypted traffic 802.1X ISE Policy 23
Amenazas Amenazas Seguridad de Acceso WiFi 802.11 Seguridad Física Seguridad Lógica RF Signaling Attacks and Exploits AP Intruso. Hombre en el medio. Bloqueador WIFI (Jammer). Red Ad hoc. Acceso No Autorizado Interferencias Layer 1 WiFi Protocol Attacks and Exploits Malware. Hombre en el medio. Eavesdropping. Acceso No Autorizado. IP and Application Layer 2-7 24
Seguridad Física WiFi Gestión Inteligente de Interferencias WiFi Sistema de Prevención de intrusos WiFi Detectar Clasificar Notificar Logear Mitigar Trazabilidad Localizacion Física, Escaneo Canales Identificación, Analísis de trafico. Correo, Alertas, Alarmas Eventos, Syslog Cambio Canal, Desasociación Analísis Forense, Reportes, RBAC 25
Seguridad Lógica WiFi WPA2 802.11i WPA2 CCMP 802.1x Cisco 802.11n Wi-Fi Integridad Confidencialidad Cifrado AES Autenticación Marco EAP EAP-TLS PEAP ISE 26
Seguridad Lógica Portal 802.3 Proteccion Portal LAN 802.3 ZBFW Control WLC, ASA FW Control de flujo de trafico 802.11 a 802.3 Antimalware IPS, IDS Detección ataques capa 4-7 DoS ASA IPS WLC Base IDS 27
Arquitectura WIFI Protegida TIC Operation Center Mobility Services Engine wips Cisco Prime Infrastructure Si Si Cisco Catalyst Switches Si Cisco Catalyst Switches Identity Services Engine Access Control Server CAPWAP Tunnel IPS FW VPN Cisco WLC Cisco Catalyst Switches Chokepoint/ AP 3600 Monitor Module Active RFID Tags Wireless network devices Wired network devices 28
Seguridad de Acceso Remoto Secure Split Tunneling VPN NGE Suite B Head Office Internet bound Traffic SSL encrypted Cloud Web Security Internet 29
Seguridad de Acceso Unificado Comprehensive Visibility Remote VPN User Wireless / Guest User Employee VM Client IP Devices Comprehensive Contextual Awareness of the Who, What, Where, When, How Exceptional Control Identity and Context Aware Infrastructure Leverage Network to Secure Access to Your Critical Resources, Mitigating Risk and Ensuring Compliance Effective Management Data Center Intranet Internet Security Zones Centralized Management of Secure Access Services and Scalable Enforcement 30
Seguridad de Acceso Unificado Arquitectura WHERE Business-Relevant Policies WHO WHAT WHEN HOW Security Policy Attributes Centralized Policy Engine Identity Dynamic Policy & Enforcement User and Devices SECURITY POLICY ENFORCEMENT MONITORING AND REPORTING APPLICATION CONTROLS 31
Seguridad de Acceso Unificado Contexto Usuario Guest Access Profiling Posture WHO WHAT WHERE WHEN HOW CONTEXT Security Camera G/W Francois Didier Personal ipad Agentless Asset Consultant Employee Owned Chicago Branch HQ Strategy Wireless HQ Remote Access 6 p.m. Vicky Sanchez Employee, Marketing Wireline 3 p.m. Frank Lee Guest Wireless 9 a.m. 802.1X MAB WebAuth IDENTITY CISCO SWITCHES, ROUTERS, WIRELESS ACCESS POINTS Identity (802.1X)-Enabled Network 32
Seguridad del Dispositivo Final - Contramedidas AntiMalware Malware Aplicaciones No permitidas Control Aplicaciones Autenticación Acceso no Autorizado Información Sensitiva Almacenamiento Cifrado MDM Manager Perfiles y Actualización Diversidad S.O. Conciencia del Usuario Pérdida del Dispositivo Control Remoto 33
Seguridad Legal y Privacidad 34
PROGRAMA SEGURIDAD INVESTIGACION & RESPUESTA INCIDENTES CUMPLIMIENTO PRIVACIDAD 35
Seguridad Legal y Privacidad Programa de Seguridad Privacidad Gestion Incidentes BYOD Cumplimiento del Programa de Seguridad. Controles adicionales para dispositivos personales. Conciencia del programa de Seguridad. Aceptación formal por el empleado Expectativas de Privacidad. Monitoreo del empleado, límites por ley. Balance entre limites legales y privacidad Exposición de información personal en una investigación Obtener acceso o posesion del dispositivo personal. Cadena de custodia. Captura de imagenes impacta problemas de privacidad. Procedimiento de respuesta a incidentes BYOD 36
Conclusiones 37
Infraestructura de Acceso Unificado Prime INF. Identity Services Engine Cisco Catalyst Switches MDM Manager Cisco WLAN Controller Wired Network Devices AnyConnect VPN 38
El resultado del proyecto BYOD debe ser una Política de Uso de Dispositivos Personales con una adecuada y segura infraestructura tecnológica, que se ocupe del tratamiento de los riesgos, logrando un equilibrio que beneficie a la organización y a sus empleados.
Gracias por su tiempo!!! 40