1

MobileIron + iOS: la red troncal de seguridad para la empresa moderna

MKT ES v1.1

415 East Middlefield Road

Mountain View, CA 94043 (EE. UU.)

info@mobileiron.com

www.mobileiron.com

Tel.: +1.877.819.3451

Fax :+1.650.919.8006

2

Índice

Resumen ejecutivo

Introducción: segurizar la empresa moderna digital, bajo el concepto «el usuario primero»

Seguridad iOS: protección de dentro a fuera

Arranque seguro: garantizar una cadena de confianza segura

Firma del código obligatorio: garantizar la integridad de todas las actualizaciones iOS

App Store: implementar y actualizar aplicaciones

Ejecución de aplicaciones: protección frente a código no autorizado

Cifrado predeterminado: protección de los datos en reposo y en movimiento

Configuración, administración y propiedad de dispositivos iOS

Perfiles de configuración: distribución de los ajustes de los dispositivos

Mobile Device Management: ingreso y ejecución de comandos de administración remotos

Supervisión: funciones de seguridad avanzadas para empresas

Programa de Inscripción de Dispositivos: inscripción obligatoria de MDM y supervisión OTA

EMM de MobileIron: protección de dentro afuera

Introducción: autorización y autenticación del usuario

Vinculación de dispositivos, usuarios y políticas a través de directorios corporativos

Autenticación del usuario más potente y sencilla con certificados digitales, Kerberos e inicio de sesión único

Administrar y segurizar a escala: el protocolo MDM como Plano de Control Corporativo

Aprovisionamiento de dispositivos simplificado y con menos pasos intermedios

Manos a la obra: seguridad de las aplicaciones y administración de ciclos de vida

Distribución de aplicaciones móviles a través de una App Store corporativa

Mobile Application Management: aumentar el aislamiento de aplicaciones

Seguridad avanzada para aplicaciones internas: MobileIron AppConnect

Control de acceso dinámico y seguro

Protege los datos en movimiento con servicio de túnel

MobileIron Access: ampliación de la seguridad y confianza en las aplicaciones SaaS

MobileIron ServiceConnect: integración con sistemas de seguridad corporativos de terceros

EMM + iOS: un proyecto para segurizar la empresa móvil moderna

3

4

6

10

15

3

Resumen ejecutivo

La empresa móvil moderna se está expandiendo más rápido que nunca, en cualquier parte del mundo y en todos los sectores. Las organizaciones están buscando cada vez más disponer de superficies de seguridad integrales que les ayuden a segurizar sus dispositivos móviles, aplicaciones y datos, sin que ello afecte a la productividad ni a la experiencia de usuario. Por ese motivo, iOS se ha convertido en el sistema operativo móvil preferido en la mayoría de las empresas, por su diseño intuitivo, fácil de utilizar y de administrar.

En lanzamientos recientes, Apple ha ofrecido múltiples características de administración de aplicaciones y seguridad, que ayudan a los equipos informáticos a garantizar la integridad de las aplicaciones móviles y los datos en cualquier dispositivo iOS. Si bien las funcionalidades solucionan por si mismas muchas incidencias críticas sobre seguridad, no hay ningún sistema operativo totalmente inmune al riesgo de la pérdida de datos y los modernos ataques de malware. Con la plataforma de Enterprise Mobility Management (EMM) de MobileIron, las organizaciones informáticas reciben una solución móvil integral que complementa y aumenta las características de seguridad inherentes en iOS.

En resumen, iOS ofrece seguridad de dentro afuera, es decir, la seguridad de iOS empieza durante la fabricación de los chips y se extiende durante todo el ciclo de vida del dispositivo y el software. La EMM de MobileIron ofrece protección móvil desde fuera hacia dentro al permitir a las organizaciones implementar una estrategia de seguridad móvil integral que protege los dispositivos, aplicaciones y datos cada vez que los usuarios acceden a entornos como los recursos en la nube o las redes no seguras. La EMM de MobileIron ofrece una plataforma estandarizada para distribuir automáticamente configuraciones y ajustes de seguridad a múltiples dispositivos en toda la empresa.

Este documento ofrece un resumen detallado de las características de seguridad tanto de iOS como de EMM de MobileIron. Además, explica cómo, al funcionar combinados, permiten a las organizaciones implementar una flota sumamente segura de dispositivos iOS que son fáciles de configurar, segurizar y mantener con las políticas de seguridad y actualizaciones de aplicaciones más actuales.

4

Introducción: segurizar la empresa digital moderna de tipo «el usuario, primero»

Miles de empresas de todo el mundo han comenzado su transición hacia una empresa en tiempo real que considera la experiencia de usuario digital la esencia de sus estrategias competitivas. Cada proceso corporativo clave en cualquier industria internacional como la médica, la producción, el comercio al por menor, la tecnología, el transporte y los servicios financieros, depende ahora de su capacidad de habilitar transacciones digitales seguras y fluidas. Como resultado, mantener la competitividad requiere algo más que sencillamente habilitar el correo electrónico en los dispositivos móviles. En la actualidad, es necesario disponer de una superficie para ejecutar una estrategia móvil que cumpla los complejos requisitos de seguridad sin que ello afecte a la experiencia de usuario digital.

Resulta complicado crear un espacio de trabajo digital de tipo «el usuario primero» debido al número cada vez mayor de problemas de seguridad al que se enfrenta cualquier empresa en la actualidad. Según el Ponemon Institute, el principal factor que contribuye la complejidad de la seguridad informática es el uso cada vez mayor de aplicaciones y dispositivos móviles basados en la nube.1 Aunque cierto tipo de complejidad es normal en cualquier empresa, un exceso de complejidad puede afectar a la capacidad de la organización para responder a las ciberamenazas. Además, puede crear un entorno fracturado por tecnologías de seguridad dispares en diferentes plataformas, políticas de seguridad aplicadas de forma incoherente y un equipo de seguridad sobredimensionado que carece de los

recursos necesarios para administrar de forma segura una flota móvil en expansión. La explosión de datos no estructurados y los cambios constantes que resultan de fusiones y adquisiciones,ventas de activos, reorganizaciones y recortes, aumenta asimismo esta complejidad.2 El principal reto para los departamentos informáticos es mantener oculta toda esta tremenda complejidad de cara al usuario final, con el fin de conseguir que su única experiencia sean las aplicaciones móviles y datos seguros, intuitivos y de fácil acceso.

Una parte del motivo por el que iOS se ha transformado en la plataforma internacional dominante para la movilidad, es su experiencia sumamente productiva y fácil de utilizar. No obstante, si bien iOS mantiene una bien merecida reputación por su seguridad, no hay ningún sistema operativo móvil inmune a las amenazas. De ahora en adelante, los departamentos informáticos de las empresas necesitarán una estrategia de seguridad iOS integral que incluya un plataforma EMM que pueda anticipar y prevenir ataques móviles. Y lo que es más importante, las organizaciones necesitarán unificar infraestructuras informáticas sumamente complejas y fracturadas para poder segurizar adecuadamente una flota internacional de aplicaciones y dispositivos corporativos iOS, como equipos de sobremesa, wearables y otro tipo de dispositivos que todavía no han llegado al mercado.

1 Ponemon Institute LLC, «The Cost and Consequences of Security Complexity», noviembre de 2016.

2 Ponemon Institute LLC

5

Anatomía de las vulnerabilidades y ataques en la actualidad Aparentemente, las amenazas que afectan a los dispositivos móviles hoy en día parecen muy similares a las que afectan a los extremos heredados, pero hay importantes diferencias en el modo en que se realizan las vulnerabilidades y cómo se ejecutan los ataques.

Aumento del coste de las infracciones Un dispositivo móvil afectado o que infringe los requisitos aumenta la exposición y los costes de la empresa, ya que las infracciones de datos son cada vez más caras. En el año 2016, el Ponemon Institute realizó una encuesta a 383 empresas en 12 países. Los resultados demostraron que el coste total medio de una infracción de datos es de 4 millones de dólares, un 29 % más desde el año 2013.3

Dispositivo y sistema operativo Las vulnerabilidades del sistema operativo no son nuevas, pero los sistemas operativos móviles ofrecen una mejor base de seguridad gracias a su imposición más estricta de límites entre el kernel y el espacio del usuario, además de técnicas como el aislamiento de aplicaciones. No obstante, estos mecanismos no son infalibles y el proceso de llegar al sistema operativo (comúnmente denominado jailbreak o «descifrado») elimina la protección proporcionada por el sistema operativo. Estos problemas, que anteriormente eran dominio de los usuarios que querían modificar el comportamiento de sus dispositivos, se están convirtiendo ahora en componentes de los diferentes ataques de malware.

Redes Los dispositivos móviles se conectan a muchas más redes que los dispositivos tradicionales y, en comparación, muy pocos de ellos se administran desde la empresa. Como la seguridad de estas redes puede variar mucho o sencillamente no existe (en algunos casos), plantean una oportunidad para que los atacantes intercepten datos o realicen actos malintencionados. Las organizaciones deben asegurarse de que sus datos estén protegidos en el tránsito entre los repositorios corporativos y los extremos que acceden a ellos.

Aplicaciones y datos El malware tradicional ha limitado la eficiencia en los dispositivos móviles debido a su arquitectura, además de los pasos que dan las App Stores comerciales para evitar su introducción y difusión. Como las aplicaciones personales y corporativas pueden coexistir en dispositivos del usuario final, los «agentes del usuario» no autorizados podrían obtener acceso a los datos corporativos. Además, puede que las aplicaciones no protejan adecuadamente los datos en tránsito o en reposo. Asimismo, pueden filtrar información confidencial o intentar obtener los credenciales del usuario.

Comportamiento del usuario Debido a la conectividad extendida y a la multitud de herramientas de productividad disponibles, los dispositivos móviles crean escenarios en los que los usuarios finales pueden filtrar datos corporativos voluntaria o involuntariamente. Dichas acciones pueden tener forma de «correo electrónico con redirección al origen» (es decir, recibir un mensaje de una cuenta corporativa y reenviarlo desde una cuenta personal) o transferencias de datos a servicios de almacenamiento personal en la nube. Con el fin de mitigar estos riesgos, las organizaciones deben tener una estrategia para garantizar que los usuarios tengan acceso a los datos que necesitan pero puedan controlar su flujo para evitar la divulgación no autorizada.

3 https://www.mobileiron.com/en/quarterly-security-reports/q2-2016-mobile-security-and-risk-review

6

Seguridad de iOS: protección de dentro a fuera

Lo que comenzó en 2007 con un revolucionario hardware que ofrecía una excelente experiencia de usuario por su increíble explorador móvil, se ha convertido en los sólidos cimientos de una profunda transformación corporativa. Cuando Apple lanzó el iPhone y el sistema operativo iOS, se sentaron las bases de un modelo totalmente nuevo para la informática y la seguridad de extremos. La exitosa combinación de seguridad y usabilidad ha ayudado a iOS a lograr y mantener su liderazgo en la empresa, con más del 80 % de las participaciones del mercado de dispositivos móviles corporativos.4

La seguridad de los dispositivos iOS se logra mediante una combinación exclusiva de funciones de hardware y software diseñadas para proteger el dispositivo, los datos que este gestiona (ya sea en reposo o en tránsito) y el ecosistema, incluidas las aplicaciones y servicios de Internet que el dispositivo utiliza. La seguridad es un objetivo fundamental para iOS. Tanto es así que la integración de componentes y funciones seguras comienza ya desde la fabricación de los chips. La seguridad de iOS se amplía durante toda la vida útil del dispositivo y el software. Muchas de las características de seguridad que se tratan a continuación están activadas de forma predeterminada y, en algunos casos, no las pueden configurar los usuarios finales.

Arranque seguro: garantizar una cadena de confianza segura

Cada procesador de un dispositivo iOS (procesador de la aplicación, conjunto de chips de banda base y el Secure Enclave en dispositivos con chips A7 o más recientes), utiliza un proceso de arranque seguro en el que cada fase se basa en componentes firmados criptográficamente y una cadena de confianza que garantiza que el proceso de arranque solamente se realizará una vez que la cadena de confianza se haya verificado.

Modificación no autorizada del sistema operativo

El proceso de modificar iOS de forma ajena al procedimiento de actualización estándar, también conocido como jailbreak, consiste en un conjunto de técnicas en las que se «hackea» iOS para cambiar su funcionalidad subyacente. La realización de este tipo de modificaciones ignora muchas de las funciones de seguridad que son esenciales para iOS, y puede exponer a los dispositivos a una gran variedad de efectos colaterales no deseados5, como por ejemplo:

• Menor vida útil de la batería

• Inestabilidad del SO

• Interrupción del servicio de voz, datos y Notificaciones Push de Apple (APN, en inglés)

• Exposición al malware y otras vulnerabilidades de la seguridad

• Incapacidad para aplicar actualizaciones futuras o desactivación total de dispositivo

Si bien la tendencia general de modificar el SO de forma no autorizada se ha mantenido igual o se ha reducido ligeramente, los dispositivos con sistemas operativos afectados pueden presentar un riesgo considerable para los datos del usuario y de la empresa. Por este motivo, se deben tomar medidas para defenderse contra su introducción.6

4 Fuente: Revisión sobre seguridad y riesgos de MobileIron del 2º trimestre de 2016

5 Información adicional: https://support.apple.com/en-us/HT201954

6 Fuente: Revisión sobre seguridad y riesgos de MobileIron del 2º trimestre de 2016

7

Firma del código obligatorio: garantizar la integridad de todas las actualizaciones iOS

El uso de la verificación criptográfica va más allá del arranque seguro. Se utiliza de forma constante para garantizar la integridad de todas las actualizaciones iOS. Durante una actualización del SO, los servidores de autorización de la instalación de Apple reciben una lista de «medidas» criptográficas para cada componente del paquete de instalación, la ID exclusiva del dispositivo y un valor de seguridad (nonce value) para evitar ataques de reproducción. Si las medidas coinciden con las versiones para las que están permitidas las actualizaciones, el servidor de autorización firmará el resultado y lo devolverá en la carga útil de la actualización. Este proceso garantiza que las actualizaciones del SO sean sumamente resistentes a las falsificaciones.

La firma de código también es válida para las aplicaciones instaladas y operativas en iOS. Todo el código ejecutable en iOS debe provenir de una fuente conocida y aprobada, que se verifica mediante el uso de un certificado emitido por Apple. Además de validar la fuente, la firma obligatoria de código evita también que las aplicaciones de terceros carguen módulos no asignados o usen códigos polimórficos que podrían alterar el funcionamiento de la aplicación.

App Store: implementar y actualizar aplicaciones

El papel de la App Store consiste, principalmente, en proporcionar la infraestructura necesaria para implementar y actualizar aplicaciones. No obstante, la App Store también juega un papel principal en la seguridad del dispositivo. Todas las aplicaciones enviadas a la App Store están sujetas a revisión por parte de Apple y se comprueban para garantizar que funcionan tal y como se describe, están libres de errores obvios y, por lo general, siguen las mejores prácticas para desarrollar aplicaciones iOS. Además, para que los desarrolladores puedan distribuir una aplicación a través de la App Store, deben unirse al Programa de Desarrolladores de Apple (ADP). Esta inscripción permite a Apple validar la identidad del desarrollador y emitir un certificado que permite que la aplicación del desarrollador se pueda cargar a la

App Store y ejecutarse en el dispositivo (consulte la Firma Obligatoria del Código para ver más información). El requisito de una identidad válida disuade a los desarrolladores de crear aplicaciones malintencionadas. Y, lo que es más importante, si se descubre que una aplicación es malintencionada, el certificado del desarrollador se puede revocar para evitar que todas las aplicaciones se ejecuten.

Ejecución de aplicaciones: protección frente a código no autorizado

La ejecución de aplicaciones en iOS es una desviación importante de los sistemas operativos tradicionales. A diferencia de los sistemas operativos heredados, la mayoría de los procesos de sistemas y todas las aplicaciones iOS de terceros se ejecutan como usuario sin privilegios. Asimismo, las aplicaciones están aisladas, lo que evita que modifiquen el dispositivo y el SO. Además, impide que puedan acceder y modificar los datos de otras aplicaciones. Las aplicaciones pueden exponer los marcos o bibliotecas a las que pueden acceder otras aplicaciones del mismo desarrollador. No obstante, los ejecutables integrados no se pueden enlazar con una biblioteca que no haya sido suministrada por el sistema, proporcionando así una protección adicional frente a la ejecución de código no autorizado.

Cifrado predeterminado: protección de los datos en reposo y en movimiento

Los datos del almacenamiento flash de un dispositivo iOS están protegidos por una tecnología denominada Data Protection. Data Protection amplía las funciones del hardware criptográfico para ofrecer un cifrado por archivo a través del criptomotor AES-256 dedicado integrado en cada dispositivo. A cada nuevo archivo se le asigna una clase de Data Protection cuando se crea, y las claves de cifrado de archivos se cifran en función de la clase asignada. Data Protection está habilitada para todas las aplicaciones de terceros en iOS 7 y superior. Y, lo que quizá sea más importante, Data Protection ofrece mecanismos para expulsar las claves de cifrado de la memoria, lo que permite controlar cuándo y cómo se descifran y se hacen accesibles los datos.

Además de proteger los datos en reposo en el dispositivo, iOS también es compatible con la protección de datos en movimiento. El mecanismo App Transport Security

8

(ATS), introducido en iOS 9, sirve para requerir el cifrado de conexiones a servicios de Internet mediante Transport Layer Security (TLS) v1.2. La intención de Apple era establecer como obligatorio el uso de ATS o excepciones específicas que se hicieron públicas el 1 de enero de 2017 para todas las aplicaciones enviadas a la App Store. El cumplimiento se ha retrasado temporalmente, pero Apple recomienda encarecidamente el uso de HTTP para que tanto usuarios finales como organizaciones puedan estar seguros de que los datos a los que acceden estén mejor protegidos de la divulgación o la interceptación accidental durante la transmisión. El uso de TLS v1.2 también garantiza que los servicios back-end sean menos vulnerables a los ataques que explotan las debilidades en versiones anteriores del protocolo.

Configuración, administración y propiedad de dispositivos iOS

Más allá de la integridad del SO y la aplicación, las consideraciones de seguridad de iOS incluyen el proceso del ciclo de vida consistente en gestionar y actualizar los ajustes del dispositivo. Éstos se pueden realizar dependiendo de si el dispositivo es propiedad de la empresa o del empleado y si se utiliza tanto para tareas personales como profesionales.

Perfiles de configuración: distribución de los ajustes de los dispositivos

iOS ofrece un mecanismo para distribuir ajustes personalizados del dispositivo en forma de Perfiles de Configuración.7 Estos archivos XML pueden contener una gran variedad de ajustes, como los certificados digitales, cuentas de correo electrónico (POP, IMAP y Microsoft Exchange), servicios de directorio LDAP, clips web, Wi-Fi y VPN. Se pueden crear Perfiles de Configuración con una app de macOS llamada Apple Configurator 2 y se pueden instalar mediante tethering a Macs con Apple Configurator 2 mediante USB u otros métodos por el aire (OTA). Los ajustes definidos en los Perfiles de Configuración no los puede modificar el usuario, lo que permite a los administradores informáticos corporativos una forma cómoda de estandarizar la configuración de dispositivos iOS.

Mobile Device Management: ingreso y ejecución de comandos de administración remotos

El sistema «Mobile Device Management» (MDM) se introdujo en iOS 4 y ofrece a los administradores de dispositivos la capacidad de realizar tareas de administración de forma remota. MDM funciona con una combinación de HTTP, TLS y APN, y está compuesta por el protocolo de alta de MDM y el protocolo MDM. El protocolo de ingresos existe para verificar si el dispositivo es apto para darse de alta en MDM, además de para garantizar que el servidor de administración se puede comunicar con el dispositivo. El protocolo MDM define los comandos actuales que los administradores pueden utilizar para realizar operaciones en los dispositivos. Estos comandos se dividen en dos categorías: consultas y acciones. Las consultas permiten a los administradores recopilar información sobre un dispositivo, mientras que las acciones permiten a los administradores realizar funciones como eliminar una aplicación o restablecer los valores de fábrica de un dispositivo.

Supervisión: funciones de seguridad avanzadas para empresas

Los dispositivos propiedad del empleado inscritos en MDM están administrados por un conjunto básico de controles de seguridad y administración, pero los dispositivos iOS propiedad de la empresa en modo supervisión se administran mediante controles informáticos más restrictivos a través del sistema MDM. Por ejemplo, la supervisión se suele utilizar para dispositivos que deben restringirse al modo Single-app, en el que un dispositivo ejecuta una sola aplicación con una configuración bloqueada tipo kiosco o de uso dedicado. Asimismo, el departamento informático también puede prohibir el acceso a características de uso personal y del consumidor, como la biblioteca de fotografías de iCloud y las descargas automáticas de aplicaciones, al convertirlas en restricciones que el usuario no puede modificar.

En dispositivos supervisados, los administradores informáticos pueden impedir a los usuarios el acceso a las aplicaciones restringidas. Si bien el usuario puede descargar una aplicación de una lista negra, el servidor de EMM puede utilizar los controles de MDM para bloquear dicha aplicación y que no se utilice o ni siquiera esté visible. Por ejemplo, una organización podrá

7 Información adicional: https://developer.apple.com/library/content/featuredarticles/iPhoneConfigurationProfileRef/Introduction/Introduction.html

9

bloquear el uso de aplicaciones de redes sociales como Facebook en dispositivos de trabajo supervisados. Los dispositivos supervisados se pueden bloquear para que los empleados únicamente puedan acceder a las aplicaciones aprobadas por la empresa y no a otras, ni siquiera a las aplicaciones iOS de uso directo. Los administradores informáticos también pueden controlar qué aplicaciones, iconos y clips web aparecen en la pantalla de inicio, y colocar de forma permanente las aplicaciones en el dock mediante controles de MDM.

Programa de Inscripción de Dispositivos (DEP): inscripción obligatoria de MDM y supervisión OTA

El Programa de Inscripción de Dispositivos (DEP) vincula el dispositivo a la cuenta de compras corporativa de Apple para el cliente que está usando el número de serie exclusivo del dispositivo. Al hacerlo, el cliente obtiene acceso a un portal en línea, donde se pueden configurar los números de serie o los pedidos de compra al completo para aplicar la supervisión OTA y para ejecutar opcionalmente la inscripción MDM, con el fin de impedir que el usuario pueda eliminar el perfil MDM.

El DEP ofrece un mecanismo para que los administradores informáticos creen un flujo de trabajo para los empleados integrado y más simplificado. Con el DEP, el departamento informático puede modifiacar la experiencia de uso directo y eliminar muchos pasos innecesarios al personalizar los pasos del Asistente de Configuración iOS, incluida la capacidad de omitir ciertas pantallas. La disminución de avisos y notificaciones supone una importante mejora en la experiencia de usuario de los empleados, permitiendo que sean más autónomos y productivos con sus dispositivos.

Dispositivos «administrados» y «supervisados»: entender la diferencia

Dispositivo administrado: el dispositivo administrado puede ser propiedad del empleado o de la empresa. Con un dispositivo administrado, el departamento informático puede asegurar y administrar los datos y aplicaciones corporativos sin que afecte a los datos y aplicaciones personales del empleado, instalando un perfil de MDM. Se pueden borrar el contenido y las aplicaciones corporativas si el dispositivo se extravía, es objeto de robo o se infringe el cumplimiento, mientras que la información personal quedará intacta. Un dispositivo administrado cumplirá los requisitos de seguridad de la empresa y puede aislar las cuentas y aplicaciones personales de las corporativas con sus datos, pero no podrá - ni debería poder - impedir que el usuario final disfrute de la mayoría de las funciones y el ecosistema Apple iOS que hay en torno al consumidor.

Dispositivo supervisado: Apple quiere trasmitir un mensaje claro de que la supervisión es el único modo deseable por el que una empresa puede controlar y restringir totalmente las funciones de los dispositivos iOS. La supervisión se reserva para dispositivos propiedad de la empresa, y permite al departamento informático un mayor control que con los dispositivos administrados. En el modo supervisado, el dispositivo iOS se puede asegurar con diversas características de administración, como por ejemplo el modo single-app y la VPN siempre activada. Asimismo, el departamento informático también puede restringir características como la biblioteca de fotografías de iCloud y las descargas automáticas de aplicaciones, restricciones que el usuario no puede modificar. La supervisión se suele iniciar durante la configuración del dispositivo a través de conexión USB o OTA a través del DEP.

10

EMM de MobileIron: protección de fuera a dentro

Apple está mejorando constantemente la seguridad de los dispositivos iOS y es por eso, en parte, por lo que se han convertido en dispositivos tan populares entre consumidores y usuarios corporativos. Para las áreas de tecnología de las empresas es fundamental ampliar la seguridad de iOS a los cientos de miles de dispositivos, para garantizar así que la protección de datos de la empresa no se limita sólo al dispositivo. Una vez que los dispositivos se conectan a redes abiertas, el departamento informático debe ser capaz de segurizar aplicaciones y datos fuera de la plataforma iOS.

La «Enterprise Mobility Management» (EMM) o administración de movilidad en empresas es un conjunto integral de procesos y tecnologías agregados en forma de un único producto unificado, que tiene como objetivo administrar dispositivos móviles, segurizar el acceso a redes inalámbricas y prestar otros servicios de informática móvil en un entorno corporativo. Además de abordar los problemas de seguridad, una estrategia de EMM sólida también contribuye a reforzar la productividad de los empleados, al proporcionarles las herramientas que necesitan para realizar las tareas profesionales en dispositivos móviles. Las soluciones de EMM combinan, como mínimo, tres funciones de administración de movilidad, como:

• «Mobile Device Management» (MDM) o administración de dispositivos móviles: estas funciones ofrecen la visibilidad fundamental y los controles tecnológicos necesarios para configurar, implementar, gestionar y retirar dispositivos de forma segura.

• «Mobile application management» (MAM) o administración de aplicaciones móviles: las herramientas y tecnologías utilizadas para implementar, gestionar y ampliar la seguridad de las aplicaciones.

• «Mobile content management» (MCM) o administración de contenidos móviles: un tipo de sistema de administración de contenido (Content Management System, CMS) sumamente integrado, capaz de almacenar y ofrecer servicios de contenido y archivos a los dispositivos móviles de forma segura.

• Funciones de integración avanzadas adicionales: estas pueden incluir servicios del directorio e integración de proveedores de identidad, emisión y gestión de certificados de Infraestructura de Clave Pública (PKI), etc.

EMM es la solución ideal para aprovechar de un modo eficiente las herramientas de seguridad que tiene iOS para aumentar la seguridad de los dispositivos, siempre que los usuarios accedan a entornos como los recursos en la nube o redes no seguras en hoteles, aeropuertos y cafeterías. Es necesario seleccionar e implementar una plataforma de EMM para poder hacer uso de todas las características avanzadas de MDM y MAM de Apple iOS indicadas en la sección anterior. Con una plataforma de EMM como MobileIron, las organizaciones se benefician totalmente de la seguridad innata de iOS y el protocolo MDM compatible, al ofrecer una plataforma estandarizada capaz de distribuir configuraciones y ajustes de seguridad a múltiples dispositivos de toda la empresa. Incorporando funciones más avanzadas, se puede facilitar la productividad corporativa y la transformación de procesos mediante la movilidad. Una sólida plataforma de EMM como MobileIron proporciona la infraestructura para implementar una estrategia de movilidad corporativa integral.

Introducción: autorización y autenticación del usuario

Vincular dispositivos, usuarios y políticas a través de directorios corporativos

La aplicación de políticas y la concesión de privilegios requiere una «fuente de confianza» para escalar en la empresa. En el modelo heredado, tanto las políticas como los privilegios están típicamente vinculados a un directorio corporativo y basados en diferentes atributos disponibles en el directorio, como la pertenencia al grupo. Si bien este modelo ha resultado muy útil para los extremos tradicionales, no es suficiente para los dispositivos de los consumidores modernos, puesto que no son compatibles con los directorios. La EMM de MobileIron ayuda a las empresas a aprovechar sus modelos de seguridad existentes creando un conducto entre el dispositivo y el directorio de la empresa, dándoles así la capacidad de asignar políticas y configuraciones a los usuarios y dispositivos

11

del mismo modo que lo harían con los extremos tradicionales. MobileIron utiliza el Lightweight Directory Access Protocol (LDAP) y su base de datos interna de más de 200 atributos exclusivos de dispositivos para combinar información de los usuarios y los dispositivos en reglas flexibles, con el fin de garantizar que los derechos están adecuadamente asignados.

Autenticación del usuario más potente y más sencilla con certificados digitales, Kerberos e inicio de sesión único

MobileIron también ofrece una sólida compatibilidad con PKI. Los certificados digitales ofrecen una experiencia de usuario mejorada para los dispositivos móviles, pues permiten proporcionar una sólida autenticación sin que los usuarios tengan que introducir complicadas contraseñas. La plataforma de EMM MobileIron tiene una entidad de certificación integrada y puede inscribir dispositivos frente a PKI de teceros de Entrust, OpenTrust, Symantec y otros proveedores de PKI a través del Protocolo de Inscripción de Certificados Simple (SCEP, en inglés).

Los certificados digitales también se pueden usar junto con la delegación restringida de Kerberos (KCD, en inglés), que ofrece un alto nivel de seguridad y una experiencia de usuario fluida al permitir a los usuarios se autentiquen en servicios compatibles con Kerberos sin que las empresas tengan que exponer su infraestructura Kerberos externamente.

MobileIron también es compatible con las funciones de inicio de sesión único (SSO) en iOS, ya que ofrece un Proxy del Centro de Distribución de Claves Kerberos (KKDCP). Esto permite a los dispositivos iOS solicitar y recibir directamente tickets de Kerberos para acceder a los servicios corporativos, mientras se protege el servidor del Centro de distribución de claves (KDC).

Administrar y segurizar a escala: el protocolo MDM como Plano de Control Corporativo

Una vez que se han establecido las políticas sobre el directorio y las reglas de autenticación, se puede dar inicio al aprovisionamiento de dispositivos a escala. El administrador puede colocar la carga útil de MDM dentro de un perfil de configuración y distribuirlo a los dispositivos administrados a través de un correo electrónico o página web. Una vez completado el proceso de inscripción, se pueden entregar más perfiles de configuración por el aire. Los perfiles de configuración y archivos de aprovisionamiento instalados a través del servicio MDM se denominan perfiles administrados y, cuando se borra la carga útil de MDM, éstos se eliminan automáticamente. Aunque un servicio MDM puede tener privilegios para inspeccionar el dispositivo para la lista completa de perfiles de configuración o de aprovisionamiento, solo podrá eliminar las aplicaciones, perfiles de configuración y archivos de aprovisionamiento que instaló originalmente. El usuario final no podrá eliminar ni modificar un perfil de configuración instalado mediante MDM, lo que lo convierte en una opción ideal para los dispositivos single-app propiedad de las empresas que requieren un control y una seguridad más estrictos por parte del departamento informático.

Aprovisionamiento de dispositivos simplificado y con menos toques

En este modelo de administración por el aire, iOS puede inscribir a través de SCEP en una configuración MDM, que después gestionará todos los posteriores perfiles. Esto facilita a las grandes corporaciones la configuración simultánea de una gran cantidad de dispositivos y la distribución de MDM desde un servidor con ajustes personalizados de correo electrónico, ajustes de red o certificados. Con el protocolo MDM, el administrador puede distribuir una carga útil de inscripción MDM insertándola en un perfil de configuración y haciéndola accesible a los dispositivos de destino por correo electrónico o una página web. El protocolo MDM permite a los administradores del sistema enviar comandos de administración de dispositivos a los dispositivos iOS administrados con iOS 4 y posterior. Los administradores informáticos pueden inspeccionar, instalar o eliminar perfiles, eliminar códigos de acceso y realizar borrados

12

selectivos de un dispositivo administrado. Los servidores de MDM pueden emplear el protocolo MDM para garantizar que solo los usuarios autorizados puedan acceder a aplicaciones y datos corporativos en sus dispositivos.

Como los perfiles de configuración pueden estar tanto cifrados como boqueados por MDM, se convierten en perfiles administrados y los usuarios no pueden eliminar, alterar ni compartir arbitratriamene los ajustes con otras personas. Los perfiles de configuración y los archivos de aprovisionamiento de aplicaciones instalados a través del servicio MDM como perfiles administrados, se eliminan automáticamente cuando se borra la carga útil de MDM. De forma predeterminada, la carga útil de MDM se puede eliminar en cualquier momento desde el dispositivo personal de un usuario final.

Dicho control sobre el modelo de propiedad es la forma que tiene el protocolo MDM de Apple de otorgar capacidades al administrador informático de la empresa para cubrir las carencias de seguridad entre dispositivos que son totalmente propiedad de la empresa y dispositivos desconectados que son totalmente propiedad del usuario. Ese es también el motivo por el cual la administración MDM, en un dispositivo propiedad del usuario, es y será siempre eliminable. La empresa ahorra dinero al no tener que pagar el equipo. A cambio, el departamento informático solo tiene un control limitado sobre el dispositivo y los datos, pero el usuario final debe permitir al departamento informático borrar datos corporativos y ajustes si un dispositivo se ha visto afectado o es robado. A dicho efecto, Apple garantiza que el usuario final pueda hacer copias de seguridad y restaurar los ajustes y datos personales del usuario. La empresa, sin embargo, no puede evitar dicho proceso en dispositivos que no estén supervisados.

Manos a la obra: seguridad de las aplicaciones y administración de ciclos de vida

Distribución de aplicaciones móviles a través de una App Store corporativaObviamente, no hay ninguna medida de seguridad que sea suficiente por sí sola. Los «hackers» siempre encontrarán la forma de acceder a sus objetivos, por eso siempre se recomienda seguridad adicional, sobre todo en entornos corporativos con grandes volúmenes

de datos corporativos confidenciales. Al mantener e implementar una lista de aplicaciones aprobadas por el departamento informático a través de una App Store corporativa, el departamento informático puede evitar que las aplicaciones no autorizadas se descarguen a través de la App Store a los dispositivos propiedad de la empresa.

El lanzamiento de iOS 9 permitió al departamento informático desactivar la App Store en todo el mundo, a la vez que se mantenía la capacidad del departamento. informático de instalar, administrar, actualizar y eliminar las aplicaciones de la App Store a través de MDM. De este modo, el departamento informático puede ahora insertar aplicaciones de forma silenciosa a través del servidor EMM en dispositivos supervisados, o asignar aplicaciones al dispositivo para que las instale el usuario final. Esto permite a los administradores de tecnología móvil mantener más fácilmente un plan de implementación estándar, sin tener que preocuparse de que los usuarios finales instalen sus aplicaciones personales en dispositivos supervisados. El departamento informático puede gestionar fácilmente aplicaciones, listas blancas y listas negras mantenidas en un catálogo de aplicaciones EMM y reducir el riesgo de pérdida de datos, al impedir a los usuarios que instalen aplicaciones no autorizadas y potencialmente peligrosas. Estas funciones de seguridad de aplicaciones resultan especialmente cómodas para administrar las implementaciones en dispositivos tipo kiosco y flotas.

Administración de aplicaciones móviles: aumentar el espacio aislado de las aplicaciones

Cuando se inician las instalaciones de aplicaciones a través de un escaparate de aplicaciones corporativo utilizando el protocolo MDM, las aplicaciones se convierten en aplicaciones administradas. Al instalar aplicaciones administradas, el departamento informático logra un mayor control sobre cómo se utilizan las aplicaciones y sus datos en el dispositivo. Las aplicaciones administradas amplían las protecciones proporcionadas por el aislamiento de aplicaciones, al ofrecer a las organizaciones la posibilidad de eliminar la aplicación y borrar de forma selectiva los datos que hay en ella. Además, en las aplicaciones administradas también son posibles funciones como «Abrir en» y se puede activar o desactivar la copia de seguridad de datos en iCloud o iTunes.

13

La función «Abrir en» de las aplicaciones administradas restringe la información corporativa que se envía a los dispositivos de los empleados, permitiendo que solamente se procese en aplicaciones administradas específicas. Por ejemplo, si la EMM insertó la aplicación Microsoft Word, los usuarios solamente podrán abrir adjuntos .docx en la aplicación de Word o en otra aplicación instalada por EMM que pueda gestionar ese mismo tipo de datos.

Cuando el usuario o un administrador elimina o pone en cuarentena un dispositivo de EMM, todas las cargas útiles instaladas por EMM se eliminan. Esto también incluye las aplicaciones administradas y cualquier otro dato que pudieran introducir en el dispositivo. Si la acción realizada no es un borrado total, se eliminarán todas las aplicaciones, datos y ajustes corporativos, lo que borrará de forma eficiente los contenidos y mejoras corporativos aislados y solamente dejará el contenido personal del usuario.

A medida que cada vez más datos corporativos se van trasladando de los repositorio tradicionales al almacenamiento local de los dispositivos móviles, el uso de estas funciones resulta fundamental para una estrategia integral de prevención de pérdida de datos (DLP). En casos extremos, el departamento informático también puede iniciar un borrado total o restablecimiento de fábrica del dispositivo.

Seguridad avanzada para aplicaciones internas: MobileIron AppConnect

MobileIron AppConnect permite a las organizaciones integrar controles adicionales de seguridad y administración en sus aplicaciones mediante un SDK especial. AppConnect coloca las aplicaciones en contenedores para proteger los datos corporativos en reposo sin tocar los datos personales y, además, ofrece controles de políticas más pormenorizados que los que están disponibles a través de las funciones de administración estándar de iOS. Como resultado, cada aplicación se convierte en un contenedor extraíble y seguro cuyos datos están cifrados y protegidos frente accesos no autorizados.

Además, cada contenedor de la aplicación está conectado a otros contenedores seguros de aplicaciones. Esto permite que las políticas de seguridad y los datos corporativos se puedan

compartir entre aplicaciones seguras. Las políticas sobre el comportamiento de contenedores de las aplicaciones se controlan mediante la consola de EMM de MobileIron. Las aplicaciones habilitadas para AppConnect también pueden hacer uso del Sentry de MobileIron para intercambiar información con sistemas back-end corporativos, que utilizan soluciones de un VPN por aplicación o MobileIron AppTunnel. Asimismo, MobileIron Access ofrece una solución de seguridad en la nube que proporciona acceso condicional a los servicios en la nube desde aplicaciones móviles y exploradores. Correlaciona la identidad del usuario con fuentes de información exclusivas, como la posición del dispositivo y el estado de la aplicación, para garantizar que no puedan acceder usuarios no verificados a los datos corporativos, que no se almacenen en dispositivos no seguros y que no se compartan con servicios en la nube no autorizados.

Control del acceso dinámico seguro

A menudo, los dispositivos pasan de ser «cumplidores» a no serlo, sobre todo en programas BYOD. Por eso, el departamento informático necesita un modelo automatizado para supervisar la posición de seguridad de los dispositivos y evitar que los dispositivos «no cumplidores» puedan acceder a los recursos corporativos. MobileIron AppTunnel ofrece un acceso dinámico al combinar el transporte seguro de la VPN tradicional con identidad basada en certificados y políticas basadas en la posición. Esto simplifica el acceso corporativo para el usuario, a la vez que se garantiza que solamente los dispositivos autorizados puedan acceder a los recursos corporativos.

Proteja los datos en movimiento con servicio de túnel

La capacidad de MobileIron de hacer proxy con Kerberos permite a los dispositivos iOS que no estén en la red corporativa utilizar el SSO de iOS sin exponer el KDC de Kerberos. De este modo, se protegen tanto los datos en movimiento como la infraestructura Kerberos de la organización. Por ejemplo, MobileIron Tunnel permite que el explorador Safari de Apple acceda de forma segura a sitios de la intranet detrás del cortafuegos con autenticación transparente, de modo que los usuarios no tengan que volver a introducir sus nombres de usuario y contraseñas cuando se desplazan de un sitio a otro.

14

MobileIron Access: ampliación de la seguridad y confianza en las aplicaciones SaaS

A medida que cada vez más organizaciones trasladan sus aplicaciones móviles y datos a la nube, tienen que reconsiderar sus requisitos de seguridad. Las soluciones de seguridad tradicionales en la nube que funcionan principalmente con una ID y contraseña del usuario, no son suficientes para proteger los datos en la nube si caen en manos equivocadas a través de las aplicaciones móviles y dispositivos. La ampliación de la seguridad y la confianza a aplicaciones de «software como servicio» (SaaS) como Office 365, Salesforce, G Suite y Box, requiere una solución que imponga políticas de acceso condicional basadas en la identidad del usuario, la posición de seguridad del dispositivo móvil y el estado de la aplicación móvil. MobileIron Access es una solución de seguridad en la nube que permite a los administradores informáticos definir las políticas pormenorizadas de control de la nube según la aplicación, la dirección IP, la identidad, la posición del dispositivo y otros criterios. Como resultado, el departamento informático puede cerrar la brecha entre la seguridad móvil y la nube, y obtener un mejor control sobre cómo están accediendo los usuarios a los servicios corporativos en la nube.

MobileIron ServiceConnect: integración con sistemas de seguridad corporativos de terceros La exclusiva relación 1:1 entre un dispositivo administrado y una plataforma EMM posiciona a MobileIron en un lugar único para cumplir funciones que anteriormente desempeñaban varios agentes de software. MobileIron ServiceConnect amplía la visibilidad de la plataforma MobileIron EMM a otras empresas tecnológicas y sistemas de seguridad, permitiéndoles admitir dispositivos iOS al igual que admitirían un extremo heredado. Ya sea una consola de administración de servicios informáticos (ITSM), una plataforma de control del acceso de red (NAC) o un sistema de gestión de la información de seguridad y eventos (SIEM), las organizaciones pueden hacer un uso fluido de sus políticas y procedimientos existentes en distintos dispositivos iOS, utilizando EMM de MobileIron como «fuente de confianza» además de como instrumento de políticas.

15

EMM + iOS: un proyecto para segurizar la empresa móvil moderna

Tener una estrategia de seguridad móvil que combine EMM con iOS puede ofrecer a las organizaciones la confianza para afrontar los retos de seguridad más importantes a los que tienen que hacer frente en la actualidad. Juntos, iOS y EMM proporcionan una plataforma y sistema operativo integrales y seguros de gestión que ofrece a los equipos de seguridad del departamento informático el control proactivo y escalable que precisan para administrar un equipo móvil en rápida expansión. Una solución de EMM como MobileIron ofrece una plataforma integral que protege la información corporativa esté donde esté: en el centro de datos, la nube, aplicaciones móviles, dispositivos móviles y en movimiento entre todas esas opciones.

Al utilizar EMM para administrar su flota móvil al completo, las organizaciones pueden estar seguras de que todos sus dispositivos iOS están segurizados con las últimas configuraciones de políticas, ejecutan las aplicaciones y versiones de SO más actuales, y que solamente los usuarios autorizados pueden acceder a ellos. La administración unificada de extremos con EMM reduce además el Coste Total de Propiedad (TCO, en inglés), ya que, de este modo, las organizaciones pueden eliminar muchos procesos de configuración que requieren una importante mano de obra. Asimismo, también pueden instalar actualizaciones de aplicaciones y políticas, solucionar problemas de forma remota y dar al departamento informático la capacidad de administrar una amplia gama de dispositivos propiedad de la empresa y de tipo BYOD.

Con la plataforma de seguridad móvil avanzada de MobileIron y las funciones de seguridad iOS en constante evolución de Apple, el departamento informático puede ofrecer todo el valor de la movilidad corporativa iOS sin poner los datos en peligro. Nuestra plataforma de EMM está diseñada tanto para aumentar como para simplificar las funciones de seguridad existentes proporcionadas en iOS, de modo que las organizaciones puedan garantizar la seguridad y facilidad de uso de todos los dispositivos iOS y aplicaciones de su entorno.

415 East Middlefield Road

Mountain View, CA 94043 (EE. UU.)

info@mobileiron.com

www.mobileiron.com

Tel.: +1.877.819.3451

Fax :+1.650.919.8006