El fenómeno BYOD es noticia vieja, con la mayoría de las empresas apoyando la iniciativa. Para las organizaciones de TI, el verdadero problema es asegurar la seguridad y el manejo adecuado en los dispositivos móviles que utilizan los empleados, ya sean BYOD o entregados por la empresa. El iPhone y la iPad de Apple se han convertido en los nuevos estándares corporativos debido a la alta satisfacción de usuario y a las capacidades superiores de seguridad, pero hay un creciente interés de TI en apoyar a Android debido a su fuerte presencia en el mercado personal.
El gran cambio en la administración móvil este año
El año pasado, el iOS 7 impulsó la gestión y seguridad de Apple hacia nuevas áreas, incluyendo la gestión de aplicaciones y licencias. El nuevo iOS8 solo tiene unas cuantas adiciones. Pero el iOS8 plantea nuevas cuestiones de políticas que van más allá de lo que una herramienta de gestión puede hacer, anota Ojas Rege, vicepresidente de estrategia móvil en el proveedor Mobile Iron. Por ejemplo, debido a que Apple no permitirá el almacenamiento en iCloud de ningún dato médico personal por parte de las aplicaciones que usan la API Health, un borrado completo puede ser inaceptable para los usuarios, especialmente si el backup de iTunes también está deshabilitado por cualquier política. ¿Cuáles son las implicancias de las nuevas extensiones en la gestión de apps -y quizás más importante- en el diseño de las apps?
El Windows Phone 8.1 de Microsoft añade varias características clave de gestión y seguridad, incluyendo la capacidad de desactivar el Wi-Fi y el soporte para seguridad de e-mail S/MIME. Pero el nuevo sistema operativo está sobre un camino lento para el despliegue, con operadores que se toman su tiempo para ofrecer las actualizaciones de Windows 8.1 a los usuarios. Como resultado, TI tiene que lidiar con dispositivos tanto de la versión 8 como de la 8.1.
En el lado de Android, Google promete tomar finalmente la seguridad en serio en el próximo lanzamiento de Android L -un cambio clave debido a la histórica carencia de preocupación por la seguridad de parte de Google y el creciente malware en dispositivos Android. Y el destino de las APIS de gestión Knox de Samsung está en el aire, después de un fallido intento hace un año que creó dudas acerca de la plataforma, y de la reciente adquisición de Google de una tecnología similar de Divide. Sin embargo, Google incorporará algunas características de Knox en el Android L.
BlackBerry, alguna vez el amado de los departamentos de TI debido a sus cientos de capacidades de seguridad, falló en ganar el respeto corporativo con el BlackBerry 10, el cual soporta políticas básicas de Exchange Active Sync (EAS) fuera de la caja (por primera vez para BlackBerry), así como un rico conjunto de funciones de seguridad en su remodelado servidor de gestión BlackBerry Enterprise Service (BES) 10. Se está moviendo más hacia convertirse en un proveedor de gestión de plataforma cruzada, con la esperanza de que la actualización BES 12, programada para esta primavera (otoño en el hemisferio norte), despegue de la forma que el BES 10 no lo hizo.
Cuando desarrolla su estrategia de gestión móvil, TI necesita entender que la tecnología de gestión para la seguridad móvil cae entre dos formas fundamentales: las políticas EAS de Microsoft y las APIs nativas.
Comparación de soporte de política Exchange ActiveSync
Microsoft Exchange, Microsoft System Center 2012, Google at Work, y varias herramientas de gestión de terceros soportan políticas EAS fuera de la caja. De acuerdo al analista Chris Hazelton de 451 Group, el núcleo de las políticas EAS cubren la mayoría de las necesidades de negocio. Pero como muestra la tabla 1 abajo, los diversos sistemas operativos móviles soportan diferentes políticas EAS; el soporte EAS en sí no le dice qué nivel de seguridad obtiene.
| Apple | Samsung | BlackBerry | Microsoft | ||
| Política | iOS 7, 8 | Android 4 | Android 4 + SAFE | BlackBerry 10 | Windows Phone 8, 8.1 |
| Permite encriptación de dispositivo | Sí | Sí | Sí | Sí | Sí |
| Requiere encriptación de dispositivo | Sí | No | MDM | Sí | Sí |
| Tarjeta de almacenamiento encriptada | NA | Sí | Sí | No | Sí |
| Longitud mínima de password | Sí | Sí | Sí | Sí | Sí |
| Número mínimo de caracteres complejos (password) | Sí | Sí | Sí | Sí | Sí |
| Historial de password | Sí | Sí | Sí | Sí | Sí |
| Umbral de borrado de dispositivo | Sí | Sí | Sí | Sí | Sí |
| Inhabilitación de almacenamiento removible | MDM | No | MDM | No* | No |
| Inhabilitación de cámara | Sí | Sí | Sí | No* | No |
| Inhabilitación de mensajes de texto SMS | No | No | No | No | No |
| Inhabilitación de Wi-Fi | MDM | No | MDM | No | Sí** |
| Inhabilitación de Bluetooth | MDM | No | MDM | No* | No |
| Inhabilitación de IrDA | NA | No | No | No | No |
| Requiere sincronización manual cuando está en roaming | Sí | Sí | Sí | No* | No |
| Permite compartir Internet desde el dispositivo | MDM | No | MDM | No* | MDM |
| Permite compartir escritorio desde el dispositivo | MDM | No | MDM | No | No |
| Inhabilitación al acceso de adjuntos de e-mail | Sí | Sí | Sí | No | Sí |
| Inhabilitación de e-mail POP3/IMAP4 | MDM | No | No | Sí | No |
| Permite e-mail de consumidor | No | No | No | No | No |
| Permite navegador | Sí | MDM | MDM | No | MDM |
| Configura formato de mensajes (HTML o texto plano) | No | No | No | No | No |
| Incluye elementos de e-mails pasados (días) | Sí | No | No | Sí | Sí |
| Tamaño de trucado de cuerpo de e-mail (KB) | No | No | No | No | Sí** |
| Tamaño de truncado de tamaño de cuerpo de e-mail HTML | No | No | No | No | Sí** |
| Incluye elementos antiguos de calendario (días) | No | No | No | Sí | No |
| Requiere mensajes firmados S/MIME | Sí | No | No | No | Sí** |
| Requiere mensajes S/MIME encriptados | Sí | No | No | No | Sí** |
| Require algoritmo S/MIME firmado | Sí | No | No | No | Sí** |
| Requiere algoritmo S/MIME encriptado | Sí | No | No | No | Sí** |
| Permite negociación de algoritmo S/MIME encriptado | Sí | No | No | No | Sí** |
| Permite certificados de software S/MIME | No | No | No | No | Sí** |
| (“MDM” significa que se requiere un servidor de gestión de dispositivos móviles independiente) | |||||
| * Administrable via BES, no EAS. | |||||
| **Solo Windows Phone 8.1. | |||||
El iOS 4.0 de Apple en el 2010 fue el primer sistema operativo móvil moderno en soportar las políticas de EAS, y esto ayudó a catapultar al iPhone y la iPad hacia la predominancia en las empresas. Desde entonces, Google ha incrementado la cobertura de EAS en cada versión, con el Android 4 soportando más políticas EAS que las versiones previas. Samsung, el fabricante líder de Android, ha agregado soporte de políticas así como APIs a Android 4 en muchos de sus dispositivos. La tabla de abajo compara el soporte EAS de los sistemas operativos móviles. El Windows Phone 8 de Microsoft fue la primera versión en ofrecer un soporte significativo EAS, y BlackBerry 10 fue el primer sistema operativo BlackBerry en soportar EAS directamente, en lugar de hacerlo a través del BES con costo extra.
Comparación de las capacidades de API de seguridad nativa y administración
La otra forma de seguridad móvil viene de las APIs en cada sistema operativo móvil. Estas APIs varían ampliamente entre sistemas operativos y cada uno requiere una herramienta de administración. Muchas herramientas MDM soportan múltiples sistemas operativos, ofreciendo una sola consola para los administradores de TI. Algunos también ofrecen apps cliente que añaden capacidades que no se encuentran en las APIs nativas, aunque esto típicamente fuerza al usuario a optar por un e-mail propietario y otras apps para propósitos de negocios. La tabla 2 muestra algunas de las funciones de gestión más solicitadas comúnmente, de manera habitual implementadas a través de APIs.
| Apple | Samsung | BlackBerry | Microsoft | ||
| Capacidad | iOS 7, 8 | Android 4 | Android 4 + SAFE | BlackBerry 10 + BES 10 | Windows Phone 8, 8.1 |
| Encriptación | AES 256, el Usuario no tiene la posibilidad de deshabilitación | AES 128, el usuario tiene la capacidad de deshabilitación, solo algunos modelos soportan encriptación | AES 256, el usuario tiene la capacidad de deshabilitación, no todoa los modelos soportan encriptación | AES 256, el usuario tiene la capacidad de deshabilitación | AES 256, el usuario no tiene la capacidad de deshabilitación |
| Certificado FIPS 140-2 | Sí (Nivel 1) |
No | Algunos modelos (Nivel 1) |
Sí (Nivel 2) |
Sí (Nivel 1) |
| Encriptación de datos Over-the-air | Sí | Sí | Sí | Sí | Sí |
| S/MIME | Sí | No | No | Sí | No** |
| VPN | Sí | Sí | Sí | Sí | Sí** |
| Configuración de VPN | Sí | Sí | Sí | Sí | Sí** |
| Restricción/ bloqueo de tiendas de app | Sí | No | Sí | Sí | Sí |
| Restricción/ bloqueo de LAN inalámbricas | Sí | No | Sí | Sí | Sí** |
| Configuración de access points | Sí | Sí | Sí | Sí | Sí** |
| Apps firmadas requeridas | Sí | No | No | Sí | Sí |
| Borrado selectivo de apps y datos de trabajo solamente | Sí | No | Sí | Sí | Sí** |
| Actualización remota de apps de trabajo | Sí | No | Sí | Sí | Sí |
| Arranque seguro | Sí | Sí* | Sí | Sí | Sí |
| Sandboxing de apps | Sí | Sí | Sí | Sí | Sí |
| Inhabilitación de copiado y pegado | Sí | Sí | Sí | Sí | Sí** |
| Inhabilitación de sincronización y almacenamiento de iCloud / Microsoft Account / Google Account | Sí | No | Sí | Sí | Sí** |
| (Típicamente requiere un servidor de gestión de dispositivos móviles para funcionar) | |||||
| * Agregados por algunos fabricantes de smartphones | |||||
| **Solo en Windows Phone 8.1 only (y el soporte de VPN es parcial) | |||||
Apple, por ejemplo, tiene varias docenas de APIs que usan perfiles de configuración instalados remotamente, no solo para configurar los diversos ajustes del iOS (como la preconfiguración de VPN o para habilitar Access Points) sino también para gestionar el comportamiento de la app (como deshabilitar el reenvío de mensajes corporativos a través de cuentas personales en Mail). Las políticas relativas a la seguridad incluyen la capacidad de prevenir la remoción de apps, asociar a un usuario a una app específica (como un quiosco o para uso en retail), y evitar que se compren apps de pago. Todo es parte de lo que iOS llama un entorno supervisado, en el cual el iPhone o la iPad es tratada como un appliance.
El iOS añadió un conjunto de APIs para la gestión de aplicación, incluyendo Open In gestionado, VPNs para app, apps cruzadas de copiado y pegado administrado, y single-sign-on, así como gestión de licencia verdadera e instalación de app basada en perfil. El iOS 8 ahora tiene APIs para deshabilitar la nueva capacidad Handoff, sincronización de iCloud para apps administradas, backup de libros empresariales, y anotaciones para libros empresariales. Los dispositivos supervisados también tienen la capacidad de deshabilitar el borrado de todos los contenidos y ajustes, configuración de restricción, y presentación de resultados web en una búsqueda de Spotlight. El iOS 8 soporta S/MIME por mensaje y tanto IKEv2 como VPNs always-on.
Bajo la misma línea, en Windows Phone 8, Microsoft soporta la capacidad de revocar aplicaciones, restringir el reenvío de e-mail, enrolar o desvincular dispositivos remotamente, y actualizar remotamente apps provistas por la empresa. Una capacidad en Windows Phone 8 que no está disponible en otros sistemas operativos móviles es su integración con el Active Directory, anota Ahmed Datoo, vicepresidente de móviles en Citrix. Esto significa que las herramientas MDM como las de Citrix pueden acceder a los grupos de Active Directory, luego asignar políticas a esos grupos, en lugar de mantener un juego separado de grupos en la herramienta MDM desde el conjunto en el Active Directory. Eso es un ahorrador de tiempo para TI, anota; reduce el riesgo de que los empleados no estén en los grupos correctos para las políticas que se les deba aplicar o las fallas por grietas cuando son dados de baja en, digamos, el Active Directory pero no en la base de datos de usuarios de la herramienta MDM.
Microsoft y Google ofrecen muchas menos de esas capacidades en sus APIs, aunque Samsung y la unidad Motorola Mobility de Lenovo han agregado su propia API de seguridad a sus dispositivos Android 4. Por ejemplo, las APIs SAFE de Samsung permiten a los administradores de TI deshabilitar cámaras, el Bluetooth, thetering, grabación de voz, tarjetas SD y el Wi-Fi.
Microsoft utiliza un administrador central en Windows Phone 8 llamado DM Client que contiene todos los usuarios relevantes y perfiles corporativos (de hecho, como el Windows Regristry), en lugar de confiar en un conjunto separado de perfiles de configuración instalado (como la carpeta de sistema de OS X, de hecho). Hace un año, Microsoft finalmente alcanzó la certificación FIPS 140-2, uniéndose a BlackBerry 10, al iOS 6 y posteriores, y los dispositivos Android SAFE de Samsung en este estándar federal de seguridad.
Luego está BlackBerry, el padrino de la seguridad y la gestión móvil. Su BES ofrece cientos de controles, y su tecnología Balance permite a TI crear una partición en el dispositivo BlackBerry 10 para mantener las apps personales y de trabajo separadas.
Cómo pensar acerca de la administración de dispositivos móviles
Rege de Mobile Iron describe tres bandas de requerimientos de gestión en los que TI tiene que pensar.
El primer conjunto de requerimientos está alrededor de la configuración y la protección de dispositivos perdidos o comprometidos. Eso requiere típicamente la aplicación de un password, la aplicación de encriptación, el bloqueo y borrado remoto, la configuración remota de e-mail, certificados de identidad, configuración de conectividad remota (como para Wi-Fi y VPNs, aunque dice que esta capacidad de configuración no es esencial si el uso es solo para e-mail sobre redes celulares), y detección de sistemas operativos comprometidos (como con jailbreak, rooteados, o infectados con malware).
El segundo juego de requerimientos está alrededor de la prevención de pérdida de datos (DLP – data loss prevention), la cual cubre los controles de privacidad (como los de ubicación del usuario), controles de uso de la nube (como para iCloud, SkyDRive, y Google Docs), y controles DLP de e-mail (como la capacidad de restringir el reenvío de e-mail y de proteger los adjuntos). “Los entornos más regulados pueden requerir el No. 2, y esas políticas aún son TBD para Windows Phone”, anota Rege.
Al contrario, el iOS, BlackBerry y Android han soportado la mayoría de esas necesidades desde iOS 4, BES 5 y Android 3 (respectivamente), aunque unas cuantas -por ejemplo, la administración de reenvío de e-mails- se manejan fuera del sistema operativo a través de los clientes MDM como el de MobileIron.
El tercer conjunto de requerimientos está alrededor de las apps, como su aprovisionamiento y seguridad de datos. Aunque tanto Apple y Microsoft tienen mecanismos para hacer al menos una gestión básica de app -el iOS puede esencialmente esconder una app de modo que no sea visible para el usuario, y Windows 8 puede actualizar apps corporativas remotamente- las capacidades de gestión de aplicaciones móviles (MAM) dependen mayormente de lo que el proveedor de gestión móvil despliegue, anota Rege.
Todas las tiendas de apps, excepto la de Google, están altamente seleccionadas. Para sus sistemas operativos móviles, Microsoft y Blackberry copiaron el enfoque de selección de Apple, el cual ha mantenido el malware fuera del iOS. Android no tiene tal control riguroso, y aunque Google ahora aplica más esfuerzos para analizar las apps, el mercado de Google Play está lleno de malware. Por ejemplo, la policía federal ha dicho que el spyware de espionaje industrial usado en amenazas persistentes avanzadas ha entrado al mercado de Google Play.
Todas las cuatro plataformas ofrecen mecanismos para que los negocios desplieguen sus propias apps directamente a los usuarios, de modo que puedan desplegar y administrar apps corporativas de manera separada de aquellas que los usuarios obtienen de la tienda de apps. Las herramientas de gestión móvil pueden conectar esos mecanismos a las políticas de grupo y a los controles de gestión de contenidos.
Resulta obvio que los sistemas operativos iOS y BlackBerry cubren casi todas las necesidades de seguridad empresarial. Android, especialmente si tiene dispositivos Samsung o Motorola, es una plataforma elogiable si es que no le preocupa el malware potencial. Y Windows Phone, el cual se ha mantenido durante mucho tiempo a la zaga, se está convirtiendo en más apropiado para los requerimientos de seguridad de nivel intermedio.
– Galen Gruman, InfoWorld EE.UU.
