1. BYOD - Desafios y Respuestas
www.segu-info.com.ar 1
Lic. Cristian Borghello, CISSP – MVP
www.segu-info.com.ar
@SeguInfo - @CursosSeguInfo
Desafíos y Respuestas
para BYOD
• Licenciado en Sistemas UTN desde 2000
• Desarrollador desde los 8 años
• Certified Information Systems Security
Professional (CISSP) desde 2008
• Microsoft MVP Security (Most Valuable
Professional) desde 2010
• Creador y Director de Segu-Info
• Consultor independiente en Seguridad de la
Información
Sobre Cristian Borghello
2. BYOD - Desafios y Respuestas
www.segu-info.com.ar 2
BYOD (Bring Your Own Device)
Tendencia de los empleados de usar los
dispositivos móviles personales en su trabajo,
y el uso de éstos para acceder a recursos de la
empresa, como el correo electrónico,
servidores de archivos, bases de datos
Muchas compañías han recurrido a este fenómeno
porque “abarata costos de infraestructura”, pero
pocas han pensado en las consecuencias de
seguridad que representan estos dispositivos
3. BYOD - Desafios y Respuestas
www.segu-info.com.ar 3
39% de los móviles
no están protegidos
85% de los
empleados usa su
teléfono personal
69% lee su correo
después de horas de
trabajo
92% accede a sus
propios teléfonos
para trabajar los
fines de semana
52% accedió a redes
Wi-Fi no seguras con
sus dispositivos
86% no puede
borrar remotamente
su dispositivo
CISCO 2013
¡Falta de políticas claras!¡Falta de políticas claras!¡Falta de políticas claras!¡Falta de políticas claras!
4. BYOD - Desafios y Respuestas
www.segu-info.com.ar 4
• DoD encontró que el ejército no
implementaba una política efectiva de
seguridad para dispositivos móviles
• Hallaron que 14.000 empleados no
eran apropiadamente controlados
DoD
¿Y el costo?
• 66% sufrió incidentes de seguridad
relacionado con móviles en 2012
• 42% de los negocios sufrieron hasta
seis incidentes de seguridad móvil
• 16% clasificó su costo en más de
U$S 500.000
• 53% de las empresas manejan
información confidencial de sus
clientes en los dispositivos móviles
Checkpoint 2013
5. BYOD - Desafios y Respuestas
www.segu-info.com.ar 5
Realidad en América Latina
IT Risk/Reward Barometer 2012 de ISACA
52% - BYOD representa más riesgos que beneficios
32% - La concientización es el elemento
más importante para mitigar los riesgos
18% - Tiene políticas para permitir BYOD
28% - Tiene políticas para denegar BYOD
Diferencias de Información
Personal vs Corporativa
6. BYOD - Desafios y Respuestas
www.segu-info.com.ar 6
Fuga de información
• Manejo de la identidad y separación de perfiles
personales y empresariales
• Se amplifica y acelera la re-perimetrización y la
erosión de los límites de confianza
• La conectividad ubicua y la ineficacia de los
controles estáticos tradicionales no pueden
hacer frente a la dinámica de los servicios
• Mayor cantidad de aplicaciones Core en móviles
• Mover los datos de forma segura
Propagación de malware
• Las SO abiertos colaboran en la investigación
y el perfeccionamiento del malware
• La fuga de datos apuntará a estas tecnologías
• Existen botnets para móviles
• Imposibilidad de parchear aplicaciones y SO
con la facilidad de un SO de escritorio
• El Jailbreaking/Rooting permite la instalación
de malware con permisos elevados
• La popularidad de la plataforma siempre es el
detonante principal (> uso + amenazas)
7. BYOD - Desafios y Respuestas
www.segu-info.com.ar 7
Un troyano “Angry”
¿Qué pasos son necesarios para hacer
frente a BYOD y al mismo tiempo permitir
la facilidad de uso del dispositivo evitando
problemas de seguridad?
Funcionalidad Facilidad de uso
Seguridad
8. BYOD - Desafios y Respuestas
www.segu-info.com.ar 8
Políticas
• Descubrimiento: proceso que facilita el registro
de nuevos dispositivos
• Controles del dispositivo: aplicación de políticas
basadas en el dispositivo y aplicadas al usuario
(SO, versiones, Jailbreaking, …)
• Control de datos: control de aplicaciones y datos
relevantes para la organización
• Acceso a la red: límites a la red corporativa
• Privacidad: de los datos personales del usuario
Políticas (cont.)
• Device Manager (MDM): aplicación de
políticas a nivel de dispositivos y usuarios
(contraseñas, cifrado, borrado remoto,
uso de la cámara, kiosko, …)
• Application Manager (MAM): proceso
automático para distribuir, actualizar,
permitir o revocar acceso a aplicaciones
(tienda de aplicaciones empresariales)
9. BYOD - Desafios y Respuestas
www.segu-info.com.ar 9
Mobile Device Management (MDM)
• Registro de dispositivos OTA (marca, ID, modelo, firmware, ...)
• Tratamiento de dispositivos “desconocidos”
• División de información personal vs corporativa
• Tracking de dispositivos
• Integración con otros dispositivos y aplicaciones
• Capacidad de Find-and-Wipe
• Autenticación e integración corporativa
• Aplicación de políticas de contraseñas
• Manejo de whitelists and blacklists de sitios y aplicaciones
• Compliance (regulaciones vigentes como SOX o PCI)
• Versionado de software y aplicaciones
• Backup del dispositivo
• Control remoto
• App Store corporativo
Mobile App Management (MAM)
• Paquetes de software (agrupación de aplicaciones
relacionadas)
• Distribución y actualización de App públicas y
privadas (Push transparente)
• Control de cambios y versionado de actualizaciones
• Cifrado de información de las aplicaciones
• Separación de datos personales y de la empresa
• Configuración de aplicaciones y datos de
acuerdo al perfil de usuario
• Cifrado de información en almacen y en
tránsito
11. BYOD - Desafios y Respuestas
www.segu-info.com.ar 11
Pasos…
• Adquisición: ¿vale o no la pena implementar BYOD?
• Ciclo de vida de la información: definir qué
información de negocio circulará por los dispositivos
• Análisis de riesgos: Determinar posibles escenarios
de riesgos, efectos, impactos y posibles soluciones
• Análisis legal: Detectar posibles implicaciones legales
con la implementación de BYOD
• Plan estratégico, políticas, controles y auditorias:
determinar y hacer saber a sus empleados los
controles y políticas que se asumirán para operar
A través de la aplicación de políticas deA través de la aplicación de políticas deA través de la aplicación de políticas deA través de la aplicación de políticas de
BYOD, las empresas pueden adoptarBYOD, las empresas pueden adoptarBYOD, las empresas pueden adoptarBYOD, las empresas pueden adoptar
soluciones que den:soluciones que den:soluciones que den:soluciones que den:
• una mayor privacidad de datos personales;
• integración a la red corporativa;
• mayor control de la red para asegurarse de que
la información sensible no se filtre;
• Integración completa del usuario con el negocio