Amamos nuestros dispositivos móviles, y muchos de nosotros aquí en XDA, a menudo enfrentamos dificultades cuando queremos tomar ese amor por nuestros dispositivos y comenzar a aplicarlo en la oficina.
Para aquellos de nosotros que manejamos nuestro propio negocio y entendemos esos riesgos, podemos tener un caso más fácil que el resto de nosotros que debemos seguir la política corporativa. El desafío es que, para bien o para mal, las cosas se están volviendo más seguras por necesidad. Las corporaciones más grandes están buscando certificaciones como ISO 27001 para ayudar a garantizar a los clientes que sus datos están seguros. El segmento de las pequeñas y medianas empresas (PYMES) está llegando a un punto en el que modernizarse significa adoptar la tecnología móvil; esto significa que también tendrán que abordar los riesgos que esto conlleva. Entonces, ¿cómo podemos encontrar un equilibrio feliz entre la necesidad de una empresa de controlar la información que se comparte? con dispositivos móviles con uno lo suficientemente flexible como para que podamos aprovechar algunas de las grandes cosas que hacemos aquí en ¿XDA?
Es importante señalar al inicio de esta discusión que a veces simplemente no es posible casar a los dos, y que algunas personas no tendrán más opción que llevar un segundo dispositivo, verdaderamente personal, si quieren ir más allá de las restricciones de un dispositivo corporativo. Por ejemplo, aquellos que siguen el Estándares de Estados Unidos para la seguridad de dispositivos -que muchas grandes corporaciones y gobiernos también tendrán que seguir- tendrán que entender que están ahí para proteger mucho más que los datos que se envían a su dispositivo, sino también lo que se puede devolver en. El riesgo de perder información sensible en casos como el de la atención sanitaria es tan grave que El gobierno de EE. UU. ofrece consejos sobre cómo abordar esto y puede estar aún más restringido por las leyes estatales o locales. Pero eso no significa que incluso algunas de las corporaciones más grandes del mundo lo obliguen a adoptar un enfoque de "talla única".
Mientras asistía a una conferencia de Intel en 2014, uno de los oradores cubrió el enfoque de Intel para la administración de dispositivos y la tendencia Bring-Your-Own-Device (BYOD). Lo que puede sorprender a algunos lectores es que no sólo acogieron con agrado este enfoque, sino que lo adoptaron hace años. En lugar de utilizar una solución para todos los dispositivos, Intel utiliza un enfoque escalonado para la seguridad de su información que no ha cambiado mucho desde su estudio de caso publicado en 2012. Como muestra la imagen de la derecha, cuanto mayor sea el riesgo asociado con el acceso a los datos o la necesidad de interactuar con ellos, se obtendrá una mayor seguridad y gestión por parte de la empresa.
Como aclaró el orador después de la sesión, esto puede ser tan simple como restringir a los usuarios a información pública o sistemas basados en inicio de sesión. Otros pueden requerir el registro de la dirección MAC del dispositivo para poder acceder a los datos, de modo que quede claro quién tiene el acceso, algo necesario cuando se intenta mantener la responsabilidad. Finalmente, aquellos que quieran o necesiten acceso completo deberán segregar su dispositivo personal o aceptar las restricciones de una solución MDM proporcionada por Intel. La buena noticia acerca de este tipo de enfoque es que no niega por completo la capacidad de rootear o ejecutar software personalizado en el dispositivo. El orador, un empleado de Intel, aclaró que ciertamente en los niveles inferiores esto podría ser posible, mientras que en los niveles superiores requerirían soluciones en contenedores (como KNOX de Samsung) para permanecer intacto.
En gran medida, también me ha ayudado a formar un modelo base para BYOD y dispositivos no corporativos en mi trabajo diario. Generalmente restrinjo los dispositivos que no son de la empresa a un punto de acceso wifi público de bajo ancho de banda, pero aun así esto es solo para invitados. Los dispositivos de la empresa, que actualmente no interactúan directamente con nuestro sistema de operaciones, tienen acceso a nuestro correo electrónico. Pero a medida que nos acercamos a un punto en el que las tabletas se distribuirán a los empleados e intercambiarán datos con nuestros sistemas operativos, aunque sea de forma indirecta, estos dispositivos quedarán sujetos a la protección de dispositivos móviles. Gestión. Y hay espacio para ajustar eso en la mayoría de las principales soluciones MDM: cuando probamos Airwatch para mi empleador anterior, pudimos registrar un dispositivo y verlo caer en el momento en que Detectó acceso raíz o se activó la bandera de Knox, o asígnelo a un grupo que permitiera este acceso pero luego restringiera a qué datos y sistemas podía acceder el dispositivo dentro de la empresa. infraestructura. Revisar todas las opciones me permite, a mí o a otros administradores de TI, bloquear aquellas cosas que no necesitamos en nuestro entorno (lo siento, empleados, no YouTube) y al mismo tiempo nos aseguramos de conservar las funciones necesarias para completar el trabajo.
¿Qué pasa con las personas que sienten curiosidad por saber qué hacer en su propio lugar de trabajo? No te preocupes, no estás solo. Ya sea que usted sea un departamento de TI de su empresa, un propietario que intenta navegar a través de esto, un empleado que intenta descubrir qué se puede y qué no se puede hacer. o un proveedor que necesita comprender qué restricciones pueden existir: muchos de nosotros fuera del entorno empresarial nos enfrentamos a esto ahora por primera vez. tiempo. Con eso en mente, aquí en XDA ofrecemos algunos "qué hacer y qué no hacer" tanto para empresas como para usuarios que buscan ayudar a encontrar ese equilibrio.
Empresas:
- HACER comprender los riesgos. Incluso algo tan simple como permitir que las personas accedan al correo electrónico o a redes wifi puede exponer un riesgo a la empresa. Al mismo tiempo, ¿quieres que los dispositivos, incluso los televisores que ahora vienen con Android instalado, tengan acceso ilimitado a cosas que preferirías que no tuvieran?
- HACER hacer un plan sobre cómo mitigar esos riesgos. No tema llamar a un experto en seguridad para que lo ayude a evaluar esos riesgos, especialmente antes de emprender un cambio masivo en la forma en que se manejarán los dispositivos móviles en el lugar de trabajo. Puede que no sea MDM sino una política que los empleados deben firmar, pero no hacer nada hace que su entorno sea el equivalente al "Salvaje Oeste".
- HACER Comunique este plan a sus usuarios. Cuanto más claro deje lo que los empleados/invitados pueden y no pueden hacer, más fácil será no sólo cumplir con el plan sino también hacerlo cumplir si es necesario.
- HACER Revise periódicamente el plan para asegurarse de que aún se ajuste a las necesidades del negocio. Más importante aún, tome medidas y ajuste el plan si es necesario.
- NO ignorar la necesidad de abordar esto. Ante la infinidad de problemas de seguridad presentes y que crecen día a día, el proverbial enfoque de "la cabeza en la arena" sólo retrasará el dolor, no lo evitará.
- NO Elija un modelo o plan de seguridad en el que no haya invertido tiempo en investigar. Una de las principales razones por las que un plan de seguridad falla es porque no ha sido diseñado en función de las necesidades de su empresa sino de lo que alguien más sugirió.
Usuarios de una empresa: empleados, proveedores, invitados:
- HACER respetar la necesidad de que una empresa cuente con seguridad, especialmente con los dispositivos móviles. La política podría ser tan simple como ni siquiera permitir dispositivos en las instalaciones de la empresa, pero al final es su negocio, y cómo asegurarlo adecuadamente es su elección.
- HACER Pregunte, especialmente si no sabe, cuáles son sus opciones para BYOD o para acceder a los datos de la empresa en un dispositivo móvil. Podría ser que tengan algo en proceso y aún no lo hayan anunciado. Todavía tengo que conocer a un solo empleador que pueda disciplinar a un empleado, proveedor o invitado por preguntar qué pueden hacer antes de hacer algo en este ámbito.
- HACER Ofrezca sugerencias o comentarios a su empresa si cree que el plan de seguridad actual no satisface sus necesidades. Muchas empresas ofrecen una política de comentarios o mejoras para ayudar exactamente con cosas como esta. Pero asegúrese de que cuando explique esto, explique por quéy cómo Necesita ser cambiado. Los detalles importan mucho aquí.
- NO haz lo que quieras o intenta eludir la política... a menos que sea tu trabajo hacerlo. La mayoría de las empresas ponen esto bajo tal nivel de severidad que incluso las violaciones involuntarias de la política de seguridad pueden dar lugar a medidas disciplinarias, despido o algo peor.
¿Es usted propietario de un negocio o usuario que ha enfrentado esta situación? ¿Se enfrenta a esta situación ahora pero no está seguro de cómo proceder? ¡Siéntete libre de agregar tus pensamientos en los comentarios a continuación y continuemos la discusión!