Móviles personales y corporativos con una separación de entornos segura

Diego Ussía Martínez    17 diciembre, 2015

En el entorno BYOD (Bring Your Own Device), que tan de moda está, existen otras alternativas a que el empleado lleve su propio dispositivo al trabajo, como éstas:

  • CYOD (Choose Your Own Device) en que la empresa pone a disposición del trabajador un catálogo de terminales y ayuda económicamente a su adquisición.
  • COPE (Corporate-Owned, Personally Enabled), que sería la opción más cercana al dispositivo corporativo tradicional, pero contempla el uso personal del mismo.

En cualquier caso, el reto, en aras de la seguridad, coincide: separar el entorno personal del corporativo.

Cualquiera de estas políticas se debe contemplar dentro de la estrategia de movilidad de la empresa como casos concretos y con la aplicación de medidas de seguridad extraordinarias, debido a los riesgos que pueden representar los entornos personales con la instalación de aplicaciones de origen desconocido, entornos en la nube no profesionales o la conexión a redes wifi abiertas sin ningún tipo de precaución, por poner algunos ejemplos.

Existen varias soluciones que separan el entorno corporativo del personal, pero es importante utilizar la herramienta de gestión de la movilidad empresarial correcta. Las tres soluciones más importantes a día de hoy son:

1-Knox:

Como se puede ver en la imagen inferior, Knox añade ciertos elementos para incrementar la seguridad desde el arranque del dispositivo:

-Secure Boot: Es la herramienta que nos garantiza que no se ha escudriñado el terminal, es decir, que el usuario adquiere permisos de administración máximos, de forma que cualquier intromisión deja señal.

-TrustZone-based Integrity Measurement Architecture (TIMA): Una vez arrancado el terminal, Secure Boot no sigue comprobando el firmware y el proceso de verificación bootloader tiene vulnerabilidades, de esta forma con TIMA que utiliza tecnología TrustZone de ARM, se detecta si la integridad del kernel se ha visto comprometida y aplica medidas de seguridad como deshabilitarlo y apagar el terminal.

-SE Android: Esta capa nos permite aislar distintos dominios, para separar las aplicaciones y los datos, lo que reduce la propagación de daños por malware.

Knox

2-Android for Works:

En la versión Android 5.0 Lollipop se incluyó por defecto un conjunto de herramientas para incrementar la seguridad de los dispositivos con este sistema operativo, ya que esto era algo muy criticado en el mundo de la empresa. Entre otras, se encuentra la encriptación hardware por defecto (antes se podía encriptar el dispositivo pero penalizaba su rendimiento, se hacía vía sofware); SELinux y los perfiles de trabajo, lo cual permite en BYOD separar el entorno personal del profesional e impide el traspaso de información de un entorno a otro y aplicar políticas de Prevención de Fuga de Datos (DLP). Para versiones anteriores de Android, se puede instalar la aplicación Android for work que permite el acceso al correo, contactos y aplicaciones corporativas, bajo administración del departamento TI de la empresa.

Android for works

3-Contenedores MDM (Mobile Device Managment): Son soluciones software que nos permiten una vez más separar el entorno laboral del personal, si bien supone la pérdida de gestión del dispositivo e impide configurar una wifi, o establecer restricciones hardware, por ejemplo. Sin embargo, permite gestionar y configurar todas las aplicaciones que se encuentren dentro del contenedor empresarial. Estos contenedores suelen estar encriptados, permiten aplicar políticas de DLP, tunelizado del tráfico de las apps contenedoras y disponen de una autenticación única (Single Sign-On, SSO).

Estas soluciones siempre se contemplan dentro de un marco más potente de gestión de la movilidad empresarial (Enterprise Mobility Management, EMM) que ofrece mayores funcionalidades de gestión centralizada, tanto para entornos BYOD como para dispositivos corporativos. Con esto claro, Knox se plantea como la idónea para las empresas especialmente preocupadas por la seguridad (el coste de esta solución es alto), mientras que la elección entre las soluciones de Android for work y contenedores de MDM si sólo tenemos en cuenta el entorno BYOD, dependerá fundamentalmente de si se quiere que el entorno corporativo sea visible o sea necesario introducir las credenciales de usuario para acceder a dicho entorno.

Imagen: Michael Pardo

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *