Artículo
28 septiembre 2012

¿Existe sólo un único escenario BYOD?

BYOD es uno de los temas TIC de los que más se ha hablado en los últimos meses, y uno de los que más se presta a malentendidos y “falsos mitos”, en parte porque al hablar de BYOD no todo el mundo se está refiriendo a la misma realidad. Bajo este acrónimo nos encontramos al menos con OCHO escenarios distintos: puede tratarse de un dispositivo propiedad de la empresa o no (aunque el empleado lo use como dispositivo personal), puede tener acceso a la red LAN o no, a información corporativa una vez conectado a la LAN o no, etc.

El fenómeno BYOD y la llamada consumerización de las TI están aquí para quedarse. Antes de aplicar cualquier plan o estrategia BYOD y lanzarnos a desplegar todo tipo de tecnologías etiquetadas como “BYOD”, tenemos que tener muy claro qué tipo de escenario tenemos en nuestra empresa.

Veamos por separado cada uno de estos escenarios.
 

– El primer escenario es el más evidente. Dispositivos que son gestionados por la empresa, se conectan a la LAN y tienen acceso a los datos corporativos. Básicamente es el mismo escenario que teníamos anteriormente, con máquinas corporativas. Desde el punto de vista de la red y de la seguridad hay pocos cambio con respecto a lo que se viene haciendo desde hace años. La única diferencia es que no es la empresa la que compra el aparato, es el empleado el que lo paga. Utilizando mecanismos de control de acceso y de autenticación solucionamos el problema con este grupo de dispositivos. Podriamos denominar a este escenario “Buy” Your Own Device.
 

– El segundo escenario no tendría tampoco complicación si no fuera en lo que respecta a la protección de datos. Puesto que no todos los datos son datos corporativos, es importante saber lo está saliendo fuera. En este caso nos puede ayudar un buen firewall como el de Palo Alto, un sistema de políticas y un sistema SIEM. Asi conoceremos lo que está sucediendo en la red y con estos dispositivos y tomar medidas.
 

– El tercero es aquel en el que dispositivos propiedad de la empresa y gestionados por la misma tienen acceso a los datos corporativos pero no a la red de la empresa. ¿en que escenario ocurre eso? En aquél en que los dispositivos móviles acceden a recursos de la empresa “en la nube” utilizando redes públicas o particulares, o simplemente que acceden a su correo pasando a través del firewall corporativo (por ejemplo usando la plataforma Blackberry Enterprise Server). En este caso, la mejor combinación es utilizar un sistema de gestión de dispositivos móviles (MDM) y una solución de gestión de identidades basada en “cloud”.

Si estos dispositivos no acceden a información corporativa, bastaría con usar MDM. Puesto que son equipos propiedad de la empresa y gestionados por ella, podemos implementar una política que exija instalar un software MDM y así podemos tener control un cierto control sobre el aparato.

Veamos ahora el caso de dispositivos que no son gestionados por la organización. Aquí las cosas se ponen más difíciles.

– El primero de estos escenarios es aquél en el que hay dispositivos que acceden a la LAN y a los datos corporativos pero que no son gestionados por la empresa. Puesto que no podemos gestionarlos, necesitamos utilizar un sistema de control de acceso basado en red que nos permita escasear de forma remota los equipos, para asegurarnos que cumple con las políticas de red, o simplemente denegarles la conexión. Puesto que se trata de datos corporativos, podemos usar una solución SSO para resolver este asunto.
 

¿Pero, y si no acceden a datos corporativos?. ¿Realmente podemos impedir a alguien que utilice su cuenta en Dropbox?. Podemos hacerlo, puesto que estan utilizando nuestra red. Quizá demasiado restrictivo. Para hacerlo, podemos utilizar un IPS o una herramienta de detección de aplicaciones, que nos alerte de la conexión y podamos deshabilitarla en el firewall o a nivel de puerto de switch.
 

Si no es un dispositivo corporativo ni tampoco usa nuestra red, el único punto de autenticación de que disponemos es a nivel de aplicación. Hay herramientas que nos permiten automatizar el proceso de aprovisionamiento de aplicaciones y de desconexión cuando el empelado ya ha terminado de utilizarla. La automatización es necesaria, porque si no, el proceso puede ser demasiado trabajoso y podernos dejar alguna sin cerrar.
 

– El último escenario es el más peliagudo de gestionar. Es un dispositivo que no es de la empresa, que no accede a los datos corporativos y que no usa nuestra red. El mayor riesgo aquí es que alguien diga algo negativo de la empresa en los social media. Aquí no tenemos ningún control, al menos desde un punto de vista técnico. Algunos dirán que esto no es un problema “BYOD”, pero en parte está relacionado, ya que a veces algunas compañías compran para sus empleados smartphones que no se usan realmente para el trabajo, o al menos gran parte de sus funcionalidades. Algunos fabricantes ofrecen appliances para protegerse de este riesgo, pero si estos equipos no usan mi red, esto no sirve para nada.

 

¿Te ha parecido útil este contenido?

 

Jose Carlos García
Enterasys
Ingeniero de Soluciones