La gestión de endpoints puede garantizar la seguridad, la organización y la eficacia de una empresa al proporcionar una visión global de la salud, la ubicación y el estado de los endpoints. Descárgate esta guía con donde encontrarás las principales tendencias en gestión de endpoints, los principales retos y mucho más.

Reportaje sobre movilidad y su gestión

La difícil gestión del dispositivo móvil

La gestión de la movilidad es uno de los retos más complicados que tienen las organizaciones a día de hoy. Además afecta a todas las empresas, independientemente de su tamaño y del sector en el que desarrollen su actividad. El reto se multiplica porque además no afecta a un sólo apartado, sino a varios:
1.- Terminales: de diferentes fabricantes y sobre los que corren diferentes sistemas operativos. Incluso lo terminales Android son diferentes entre sí, ya que cada fabricante lo tiene adaptado a su gusto. No es igual el Android de una tableta LG que de una Samsung.
2.- Aplicaciones: al igual que en el caso de los sistemas operativos, muchas están adaptadas a las necesidades de la empresa, pero además los usuarios tienen instaladas en portátiles, tabletas o smartphones diferentes aplicaciones que pueden poner en riesgo a la infraestructura empresarial, si no hay una buena gestión detrás.
3.- Los datos: es aquí donde residen algunos de los mayores problemas. ¿Qué hace un usuario con un dato empresarial una vez que sale de la oficina? ¿Está seguro? La gestión de esa información es fundamental y puede ser vital para cualquier empresa. Imaginen, si no, que puede ocurrir con esa información si un trabajador pierde su móvil en un parking o su portátil en un aeropuerto, algo que cada vez es más frecuente.
4.- Usuarios: los principales riesgos vienen de parte de éstos. Muchas veces de forma inconsciente, ponen en auténtico riesgo a la empresa, por lo que también es necesaria una gestión de los mismos, aunque muchas veces se soluciona con una simple formación de los mismos.
Y es que,la movilidad marca una serie nueva de expectativas en los departamentos de IT. Los datos que proporcionan los analistas son, por ejemplo, que, antes de 2020, el 63% de los ordenadores de sobremesa se verán reemplazados por dispositivos móviles conectados a la red a través de la red inalámbrica corporativa. Las empresas son cada vez más abiertas a compartir información y a la colaboración, y los consumidores de información requieren hacerlo desde cualquier lugar y en cualquier momento, sin necesidad de tener acceso a un ordenador tradicional para hacerlo, con lo cual el impacto en productividad tanto de empleados como de usuarios externos, clientes o partners, es enorme. El crecimiento exponencial de dispositivos móviles aumenta las necesidades de seguridad móvil. No es una perogrullada, todo lo contrario. Las necesidades de seguridad son las mismas dentro de la oficina que fuera, el problema es que dentro de la empresa manejamos un entorno más o menos controlado, disponemos de nuestros propios cortafuegos, determinamos nuestras propias políticas de seguridad; pero fuera no podemos poner puertas al campo, no existe un perímetro definido bajo nuestro dominio, y por eso debemos contar con cualquier contingencia. A día de hoy, y según afirman en Sophos, “la solución más viable es controlar cada dispositivo uno a uno, MDM, para estar seguros de que no son un agujero negro cuando están fuera, ni un caballo de troya cuando están dentro. MDM es un mercado que se está conformando, muchas veces por detrás de la problemática que se plantea, y que exige disponer de una tecnología siempre a la última, porque si no está a la par de los usuarios, no será efectiva”.
La tecnología móvil conlleva una oportunidad de transformación enorme para las empresas y sigue liderando la agenda de los CIOs este año. El camino de la transformación de la organización gracias a la movilidad empieza por entender en sentido amplio su impacto y por trazar una estrategia clara que aúne los distintos elementos: impacto en negocio, apps, herramientas, metodología, estructura. Además, la movilidad empresarial representa una oportunidad para que los proveedores de servicios generen nuevos ingresos y profundicen en las relaciones con sus clientes del mundo empresarial. Por ejemplo, para IBM, la movilidad empresarial es un vector de crecimiento fundamental para la estrategia de IBM, porque a su vez forma parte de la agenda de transformación digital de nuestros clientes. Joan Ramón Mallart, director de soluciones de movilidad de IBM asegura que “nosotros ofrecemos una amplia variedad de servicios y soluciones ligados a la movilidad empresarial. Soluciones que, por ejemplo, facilitan la gestión de dispositivos móviles utilizando un método proactivo y basado en capas para gestionar y proteger la seguridad de la empresa móvil. Estas soluciones permiten afrontar los diferentes riesgos de seguridad que puedan ir surgiendo y, al mismo tiempo, garantizan la plena disponibilidad de los dispositivos móviles para maximizar la productividad de los empleados. Además, permiten que el personal de TI realice un adecuado seguimiento de los dispositivos que se utilizan en toda la empresa, incluidos los que son propiedad de los empleados (BYOD) y los que son propiedad de la empresa”.
Uno de los aspectos más destacables del mundo de la movilidad es que todavía no es un mercado maduro. No en el sentido del número de usuarios, sino más bien en que no se saben cuáles van a ser las características del mercado en un corto periodo de tiempo. Seguramente las aplicaciones y los usos que le damos a este tipo de dispositivos cambien mucho de aquí a un par de años, por lo que es necesario seguir apostando por una buena gestión de los mismos desde ya. Tal ycomo asegura Luis López, responsable del área de Ciberseguridad de Trend Micro Iberia, “es un mercado que todavía está en plena génesis. Por nuestro lado disponemos de software extremadamente revolucionario, que en zonas cómo Europa donde la cobertura 4G no es plena en todas las localizaciones, nos impide desplegar nuestros productos basados en tecnología 100% online de forma efectiva, sin embargo en varias zonas de Asia, especialmente en Japón, la tecnología de entrega de escritorios totalmente on-line para móvil mediante nuestro software Safe Mobile Workforce, es ya una realidad. Observamos también tendencia a la consolidación y adquisiciones por parte de compañías expertas en servir escritorios móviles como Citrix y VMware, mientras otras siguen peleando en el nicho del puro MDM, entendemos que otros gigantes de las comunicaciones o la virtualización acabarán desarrollando tecnología o adquiriendo a estos players pioneros de este nicho”.
Tendencias
El riesgo de ciberataque a las empresas es cada vez mayor, de hecho en 2014 se registraron mil millones de ciberamenzas más que en 2013, por lo que el número de empresas y corporaciones afectadas en 2014 es 2,4 veces mayor que el año anterior, sobre todo por ataques dirigidos y campañas maliciosas dirigidas a empresas, gobiernos, instituciones públicas y privadas destacan sobre todo en términos de escala e impacto. Desde Kaspersky, además, aseguran que “si hablamos de dispositivos móviles, el número de incidentes de seguridad TI relacionados con los smartphones y tablets también va en aumento. El problema es que la mayoría de las empresas no cuenta con planes para limitar el uso de los dispositivos móviles personales en el trabajo. Una de las amenazas más peligrosas para las empresas es la pérdida de datos corporativos. Concretamente en España, más de la mitad de los incidentes de seguridad TI ocasionados por los empleados con el smartphone o tablet tuvieron como resultado la pérdida de información. El 28% de los esos datos eran críticos para la empresa y el 27% sensibles, según una encuesta realizada en 2014 por Kaspersky Lab junto a B2B Internacional. Esto sucede porque no cuentan con una plataforma se seguridad TI capaz de proteger todos y cada uno de los dispositivos desde los que se acceda a la red empresarial, independientemente de que sean de la empresa o del trabajador”.
En general se puede afirmar que las principales tendencias giran en torno a las aplicaciones, la seguridad y el fenómeno de ‘Mobile First’. En relación a las aplicaciones, vamos a ver una apuesta importante de las organizaciones por el mundo de las aplicaciones, las llamadas Apps. IDC ha predicho que los departamentos de TI de las empresas podrían dedicar al menos un 25% de su presupuesto de software al desarrollo, despliegue y gestión de aplicaciones móviles de aquí al 2017. Además, cree que este año el 35% de las grandes empresas impulsará plataformas de desarrollo de aplicaciones móviles para crear y desplegar apps en sus organizaciones. Esto hará que, según la firma, el número de aplicaciones corporativas optimizadas para la movilidad se haya cuadruplicado en 2016. “La seguridad ligada a la movilidad en entornos corporativos es una de las principales preocupaciones, ya que una deficiente gestión de la seguridad puede ser el talón de Aquiles ante un ataque cibernético”, afirma Joan Ramón Mallart de IBM. Según la consultora, en 2015 la mitad de las grandes organizaciones invertirá en la gestión de sus dispositivos móviles de cara a optimizar y mejorar la seguridad de las apps y los datos móviles, aunque también manifiesta que a finales de este año sólo el 15% de las grandes organizaciones dispondrán de una gestión de seguridad móvil adecuada. Además y como apunta el propio Mallart, “vamos a ver cómo se va a utilizar de forma prioritaria las plataformas móviles para el desarrollo de aplicaciones corporativas (lo que conocemos como el fenómeno ‘mobile first’). Esta tendencia se expandirá significativamente en los próximos dos años. Y aquí hay mucho trabajo que hacer: la mayor parte de los empleados trabajan en su día a día con aplicaciones que no fueron concebidas para trabajar en entornos móviles”.
Qué entendemos por gestión
La realidad a la que se enfrenta la empresa de hoy es que la creciente popularidad y diversidad de smartphones, tabletas, portátiles, wearebles, etc. está haciendo que los responsables de TI estén perdiendo el control sobre muchos equipos. Como hemos dicho el problema se complica si además el propio empleado lleva sus dispositivos personales que los emplea ta bién como herramientas de trabajo, lo que popularmente se conoce como BYOD (Bring your own device). Por ello las organizaciones independientemente de su tamaño y del sector en el que trabajen deben adelantarse y adoptar una estrategia proactiva para los puestos de trabajo, de forma que pueda aprovechar los beneficios para el negocio y los ahorros de costes del BYOD en este mundo tan competitivo y tan conectado. Desde Fujitsu, dan una serie de pautas y de las ventajas que ofrece una gestión de estos dispositivos:

  • Porque puede reducir el TCO de movilidad en un 25%.
  • Porque el negocio se beneficia de una mayor satisfacción en sus empleados, mayor productividad, respuestas más ágiles, y una mejora de eficiencia en todos los niveles.
  • Porque normalmente la forma de pago de este tipo de servicios suele ser muy atractiva para las empresas. En el caso de esta multinacional nipona se ofrece el pago por dispositivo y mes ofreciendo de este modo, una total transparencia.
  • Porque puede elegir los módulos de servicio según sus necesidades, escalando de 50 a 50.000 y más dispositivos.
  • Porque la empresa se beneficia de la posición de determinadas empresas en el mercado de servicios gestionados para movilidad, en este caso, Fujitsu .
  • Porque normalmente se ofrece un servicio completo, global, probado y seguro basado en cloud.
  • Porque se facilitan las relaciones con un único interfaz para cada contrato
  • Porque se ofrece la seguridad de una cobertura global 24×7 a través de los Service desks.

Pero con respecto a BYOD son muchas las empresas que consideran agotado el modelo. La razón por la que BYOD se empezó a introducir en la empresa fue por dos motivos. El primero, que atañe a la organización, es que vio cómo, de repente, no tenía necesidad de gastar dinero en un equipamiento hardware puesto que los propios trabajadores traían y, lo que es más importante, preferían el suyo. El segundo punto es el que hace referencia a los trabajadores: atraídos por los nuevos terminales, mucho más potentes y con mayores prestaciones que los que les proporcionaba la empresa, decidieron empezar a utilizarlos para sus tareas laborales y no sólo para su utilización personal. El negocio era redondo para ambos. Sin embargo, en la empresa se empezaron a dar cuenta de que este modelo, que en principio, parecía reducir de forma espectacular los costes no presentaba tantas ventajas: sobre todo exponía a la compañía a grandes agujeros de seguridad, lo que hacía que muchas empresas intentaran solucionar la solución. A la larga, y dado que no habñia mucha experiencia, los costes se incrementaban de forma exponencial… con lo que BYOD ya no era tan rentable. Hoy, la realidad ha cambiado. Las soluciones de gestión y la seguridad está mucho más definida, la nube además ayuda a que este tipo de soluciones y servicios sea también mucho más económica. Pero aún así, y en general, la empresa todavía está muy verde. Tal y como apunta el portavoz de IBM, “aún existe desconocimiento, ya que las empresas siguen teniendo miedo a que el uso de nuevas tecnologías conlleve riesgos para su negocio y atente contra la seguridad de su información, documentos, etc. Pero no aprovechar las capacidades móviles mientras otros competidores logran resultados en este ámbito también supone un riesgo todavía mayor. Por eso los proveedores de soluciones de gestión móvil debemos esforzarnos en seguir educando a las empresas sobre la importancia de tener una gestión adecuada de su entorno móvil para obtener ventajas como ahorro de costes, incremento de la productividad de sus empleados, etc. Sentados los cimientos para asegurar una correcta arquitectura de movilidad, lo más relevante es sin duda definir una estrategia de movilidad que permita sacar el máximo partido a favor de los objetivos de negocio. La definición de esta hoja de ruta de movilidad es en muchos casos la gran asignatura pendiente de muchas empresas”. Por su parte, César Cid de Rivera de Commvault cree que “cuando pensamos en establecer políticas de gestión de dispositivos normalmente pensamos en el propio terminal o portátil desde un punto de vista físico. Para nosotros en Commvault, lo que ofrecemos es que nuestros clientes tengan libertad de elección en ese aspecto, tanto a nivel hardware, como sistema operativo o aplicaciones, puesto que lo que debemos garantizar y proteger es la información que reside y a la que se accede desde ellos. Con políticas de acceso y retención adecuadas garantizaremos que el dato es seguro, fiable y accesible no solamente desde un dispositivo de usuario gestionado, sino desde cualquier navegador si la política de IT así lo establece, dotando a las compañías de la capacidad real de acceder a la información desde cualquier lugar, sin ningún tipo de restricción”.
Así que, ¿está agotado el modelo BYOD? Rivera cree que no, pero estamos ante un cambio: “Estamos yendo a un modelo mixto, donde los usuarios y las compañías permiten utilizar tanto dispositivos corporativos como de los propios empleados. Las políticas de acceso son las que determinarán hasta donde podremos llegar dependiendo de las empresas. Esa es la razón por la cual la solución de Commvault es realmente única y líder de mercado, ya que dicho acceso puede hacerse desde cualquier dispositivo aún garantizando la seguridad y protección de la información”. Sin embargo no todos están de acuerdo con esta aseveración. Según un reciente estudio realizado por IBM junto con Ponemon Institute, el fenómeno BYOD se está popularizando e incluso, en muchos casos, se está convirtiendo en una necesidad para las compañías, ya que hay una asociación entre las empresas que fomentan el uso de políticas de BYOD con una mayor productividad de sus empleados. Dejar que los empleados trabajen con los dispositivos que prefieren acaba siendo una buena estrategia para que se sientan más cómodos y ello revierte en índices de mayor productividad. El problema surge cuando los empleados se conectan a redes no seguras o descargan aplicaciones inseguras de fuentes que no son de confianza, lo que hace que el dispositivo sea vulnerable. Según este estudio, aunque la mayoría de los empleados hace un “uso intensivo de las aplicaciones”, más de la mitad (un 55%) afirma que su organización no cuenta con una política que defina cómo debería ser su uso en el móvil en el lugar de trabajo, y una gran mayoría de las compañías (67%) les permite descargar aplicaciones que no han sido revisadas en sus dispositivos de uso profesional. Asimismo, el 55% de las organizaciones dice que los empleados están autorizado a utilizar y descargar aplicaciones empresariales en los dispositivos personales. Desde Sophos, se muestran de acuerdo con el estudio. Según el portavoz, el modelo no sólo no está agotado sino que “No, muy al contrario, cada vez va a más. Los empleados son más productivos con los dispositivos que conocen y más si los pueden tener siempre consigo allá donde les hagan falta. Eso supone nuevos desafíos para los administradores TI, sí, pero no pueden interferir en el modo de trabajar de los demás, siempre que tomen las precauciones oportunas en cuanto a seguridad y respeten el cumplimiento de las políticas internas”.
MDM, MAM, MCM…
Este mar infinito de siglas encierra la gestión de todo aquello que rodea a la movilidad: dispositivos, aplicaciones, documentos, usuarios, accesos,…La pregunta es si aún cuando se implementen todo este tipo de herramientas las compañías seguirán estando seguras. El primer paso para abordar una estrategia de movilidad y gestionar el uso de dispositivos móviles en las empresas es realizar un análisis detallado de las necesidades y tener claro el objetivo que persigue la compañía. Estamos hablando de tres conceptos diferentes, con funciones distintas y que son complementarios en la mayoría de los casos. Por ejemplo, la consultora Gartner considera que MDM ya no es suficiente para la seguridad y gestión móvil de una empresa, puesto que parece que siempre dejaba huecos y requería incluir nuevas características cada pocos meses. Por eso, tal y como apunta el portavoz de IBM, “yo creo que la elección más acertada es una combinación de las tres. Pero, como mencionaba, todo dependerá de las necesidades y objetivos que se quieran abarcar dentro de la compañía”. Para Luis López, de Trend Micro, “el Alfa y el Omega en materia de seguridad es tener una gestión del riesgo adecuada; y en los sistemas de información (aunque sean endpoints, por supuesto) un plan de gestión”. Es decir, todas las aplicaciones de gestión son importantes. Como se señala desde Sophos “Cada cosa tiene su importancia. Sin duda los contenidos y los datos es lo más importante para la empresa y lo primero que hay que preservar, pero de nada sirve tenerlos guardados bajo llave si no se comparten ni se ceden para su explotación y uso. Las app son las herramientas que van a permitir manejar esos datos con sentido de negocio, y también requieren una aprobación porque no son lo mismo aplicaciones de confianza que las que se puedan descargar en un momento dado. Y los dispositivos son lo que hacen que todo funcione. Cada nivel exige su correspondiente capa de seguridad”.
Pero aún en el supuesto de que la empresa tenga implementadas todas las aplicaciones y soluciones de gestión, no estará segura. Los motivos, como señalan desde Blue Coat son dos: “El primero es que los usuarios siempre van a buscar y encontrar modos de evitar los controles si les resultan molestos. El segundo es que la “protección” sólo funciona frente a ataques conocidos. Los atacantes que quieran de verdad atravesar las defensas de una organización, siempre van a encontrar la forma de lograrlo. Con dinero siempre van a poder hacerse fácilmente con “ataques desconocidos”. Los “ataques dirigidos” están creciendo en número y complejidad, y para ser capaces de defenderse frente a ellos, es necesario contar con capacidades de “detección” y de “análisis”.
Siguiendo esta línea de argumentación, parece claro que el usuario es el principal riesgo dentro de una empresa. Así que, ¿no sería lógico implantar planes de formación para los usuarios? ¿Lo hacen las empresas? Todos parecen estar de acuerdo. Así el portavoz de IBM que que “los planes de formación son fundamentales porque el usuario siempre acaba siendo el eslabón más débil. Aun así, yo creo que lo primero es que las empresas desarrollen las políticas y gestión adecuadas en materia de movilidad y, una vez establecidas, ofrezcan todo el material y los procesos de formación necesarios. Además, es fundamental que las corporaciones cuenten con tecnologías de gestión de amenazas en los dispositivos móviles, como la que ofrecemos nosotros con Mobile Threat Management (MTM). Esta solución, que completa nuestra gama de soluciones IBM MobileFirst Protect, detecta automáticamente las actividades sospechosas en los dispositivos móviles y detiene el malware en cuanto se produce una brecha en un equipo. Disponible a través de la nube y actualizada vía OTA (over-the-air), ofrece una protección automática y muy intuitiva frente a potenciales hackers. Además, integra la potencia flexible de la nube, el amplio control de la gestión de la movilidad empresarial y las herramientas de defensa más sofisticadas desarrolladas contra software malicioso y fraude en el móvil”. Por su parte, Miguel Ángel Martos de Blue Coat afirma que “la educación del usuario es un elemento clave en la prevención de brechas de seguridad. La ingeniería social juega un papel cada día más importante en las amenazas actuales. Especialmente en el entorno de la movilidad, donde la instalación de los códigos maliciosos a menudo requieren de esa interacción. Sin embargo, si los empleados se sienten bloqueados u obstaculizados en su trabajo, es bastante posible que simplemente dejen de lado cualquier precaución o lo que se les haya podido enseñar. La formación debe ser entendida más en el sentido de que el usuario sea consciente en lugar de toda una serie de estrictos procedimientos o políticas que hay que poner en marcha”.
Algunas compañías, especializadas en seguridad han tomado la iniciativa. Este es el caso, por ejemplo de Kaspersky que ha puesto en marcha un nuevo proyecto, Kaspersky Cyber Safety Game, unos cursos de formación empresariales sobre ciberseguridad. Es una iniciativa pensada para concienciar a todos los miembros de una compañía no sólo sobre cuáles son las conductas de riesgo o inadecuadas, sino también con ejemplos de buenas prácticas y modelos a imitar. Es un proyecto de gamificación en seguridad TI para incrementar la conciencia de seguridad en la empresa de una forma cercana y divertida que permita al CIO saber si su inversión en seguridad es efectiva o puede haber filtraciones por errores humanos.
Todo sea por la seguridad, pero lo cierto es que el apartado del usuario es el más fácil de resolver: “Este punto sería el más fácil de resolver, bastaría con que la empresa se parase dos minutos a pensar y repensar, establecer un programa de formación, un cursillo de dos mañanas, lo que fuese… usuarios concienciados y formados son la primera línea del cortafuegos, la más barata y fácil de implementar”, concluyen en Sophos.
SaaS u Onpremise
A la hora de abordar un proyecto de gestión de dispositivos móviles, el modo as a Service parece reducir los costes y proporcionar una mayor agilidad. Las empresas consultadas para la realización de este reportaje así lo aseguran. Para Joan Ramón Mallart, director de soluciones de movilidad de IBM, la elección dependerá de “las necesidades de la empresa. Hay que escoger un modelo que se adapte al máximo a las necesidades actuales y futuras de la misma, así como a su presupuesto. Por eso es fundamental tener en cuenta varios factores clave – derechos de uso, modelo de pago, capacidad, funcionalidad, coste, administración TI, acceso a la información y control, seguridad, implementación, escalabilidad, actualizaciones, etc. -, que determinan cuáles son los puntos a tener en cuenta a la hora de optar por uno u otro modelo. Actualmente el modelo SaaS está ganando cuota de mercado debido al riesgo por asumir inversiones, pero los sistemas On-Premise tienen ventajas que pueden compensar la inversión inicial”. En la misma línea se sitúa el portavoz de Comvault: “Lo cierto es que no hay una verdad absoluta en este aspecto, depende de la necesidad del cliente, así como de lo evolucionado que esté el mercado en cloud en la vertical de negocio del mismo. Desde Commvault ofrecemos nuestra solución en ambas modalidades, tanto on premise, donde los datos residen dentro de los centros de procesos de datos de nuestros clientes, como en la nube, utilizando los múltiples proveedores de servicio que utilizan nuestra tecnología para ampliar su catalogo de servicios, proporcionando a sus clientes las capacidades mencionadas con anterioridad”.
Es resumen, podemos decir que es ofrecer una buena seguridad sin limitar a los empleados. Al mismo tiempo, ha de ser fácil de usar. Cada vez hay más organizaciones que empiezan a entender que el atacante puede sortear las tecnologías de “prevención” existentes si se empeña en ello. La pregunta que nos hacemos ya no es más si la organización ser víctima de un ataque, sino cuándo va a ser atacada. Como concluye el portavoz de BlueCoat, “la seguridad moderna incluye “prevenir” lo que pueda ser prevenido, “detectar” lo más pronto posible aquellas amenazas que puedan sobrepasar nuestras defensas (y no muchos meses después de que se haya producido la brecha), y contar con medios que ayuden a identificar la causa raíz de la brecha. Disponer de una arquitectura de seguridad que respalde este modelo, es clave para las organizaciones”.
 

Redefiniendo la gestión de datos móviles

César Cid de Rivera, Technical Director South EMEA de CommVault
La consumerización de las tecnologías de la información ha aunado dos fuerzas muy poderosas: la movilidad y la nube. Cualquiera de ellas supone un gran avance por sí misma, pero la forma en que interactúan está suponiendo un auténtico dolor de cabeza para las empresas. Además, tampoco hay que menospreciar las expectativas de los usuarios, que solo quieren una cosa: disponer de todos sus datos propios y los datos corporativos que necesitan para su trabajo en cualquier momento y desde cualquier lugar. Los usuarios de hoy también quieren formas sencillas y seguras de compartir datos con sus colegas, partners y clientes. Es muy simple.
Si la función del departamento de TI es conseguir que coincidan las expectativas de los usuarios y obtener el impulso a la productividad prometido por la movilidad, es importante para las organizaciones ir más allá de las prácticas de almacenamiento tradicionales y adoptar enfoques más centrados en el usuario. Eso supone darles la misma experiencia en cuanto a acceso y compartición de datos a la que están acostumbrados en su empresa, pero en sus dispositivos móviles y en las nubes que traen asociadas.
No es un cambio pequeño. De hecho, es común en la mayoría de las organizaciones que haya más datos en dispositivos móviles que en el centro de datos. También existe la presión de reforzar la seguridad y el gobierno de los datos móviles al mismo tiempo que los usuarios demandan más acceso de forma más sencilla.
Es un hecho triste que el soporte que ofrece el departamento de TI respecto a los datos de los dispositivos móviles normalmente se refiere a un backup básico para ordenadores portátiles (aunque incluso esto es raro), sin tener en cuenta ni smartphones ni tablets. Pero si una empresa se toma la molestia de recoger datos de portátiles, quizá podría hacer algo más con ellos. Y si se quiere hacer algo más con esos datos, quizá haya más razones para invertir en gestión de datos móviles.
Un dolor de cabeza
Los fallos en la gestión de datos de dispositivos móviles provocan un riesgo significativo (aunque evitable), al mismo tiempo que ahogan la productividad y generan costes.
Los usuarios pueden encontrar formas de eludir las normas de TI cuando éstas no les gustan, y esto es algo especialmente cierto cuando nos referimos a dispositivos móviles. Si se pide a los usuarios que no utilicen la nube privada para almacenar información pero no se les ofrece una opción válida por parte del departamento de TI, podemos estar seguros de que seguirán haciéndolo.
Esta voluntad de eludir al departamento de TI para obtener la experiencia de usuario que se necesita puede causar importantes dolores de cabeza a cualquier organización que necesite que su información esté segura, ya sea por motivos comerciales o por cumplimiento de normativas.
Uno de los problemas es que ninguna de las partes (ni los usuarios ni el departamento de TI) se pone en el lugar de la otra. “Usuarios egoístas” que quieren la libertad de hacer su trabajo de la forma más sencilla posible y el “equipo draconiano de TI” que no entiende qué necesitan los usuarios para trabajar.
Las preguntas difíciles no siempre requieren respuestas duras
Por tanto, ¿cómo pueden las organizaciones ofrecer una estrategia de gestión de datos que se adapte tanto a los usuarios como al departamento de TI en el escaparate de la movilidad? La respuesta es que deben redefinir la gestión de datos y dar a los datos en movilidad el peso que merecen. Y, para hacer esto, necesitan hacerse (y responder) una serie de preguntas.

  • ¿Qué datos están en los dispositivos móviles?
  • ¿Qué importancia tienen estos datos?
  • ¿Dónde se están almacenando estos datos?
  • ¿Cómo se utilizan?
  • ¿Cuáles son los riesgos asociados a los datos?

Es importante subrayar que muchas veces los CIOs, incluso los administradores de TI, evitan estas preguntas porque creen que son demasiado difíciles de responder, o, aún peor, que piensan que acabará habiendo una revolución en la organización si se ponen en práctica medidas draconianas. No tiene por qué ser así. En realidad, las empresas no tienen que invadir la privacidad de sus empleados para llegar a una gestión de datos más efectiva. El hecho es que pueden proporcionar los controles requeridos para mejorar la seguridad, reducir el riesgo y aumentar la productividad sin enfrentarse a los empleados.
En cuanto a aquellos que se niegan a reconocer que hay un problema, deben darse cuenta de que pretender que BYOC (Bring Your Own Cloud) no existe no es ni mucho menos una excusa aceptable para no actuar. Es habitual que los equipos compartan información en carpetas abiertas de la nube pública y hay muchos ejemplos de empresas que caen en desgracia por esta razón. Hace poco oí el caso de una compañía cuyo equipo comercial mantenía su lista de posibles clientes en una nube de este tipo y que una persona que se había ido a una empresa de la competencia aún era capaz de acceder a ella.
¿Es posible para las empresas mitigar estos desafíos y proporcionar las herramientas de productividad que los usuarios necesitan? La gran disponibilidad de redes rápidas y las tecnologías de deduplicación modernas hacen que recoger los datos de los portátiles de los usuarios no sea ni intrusivo ni un problema a la hora de almacenarlos, y una vez en el centro de datos, se puede comenzar a utilizar la información de forma que sea útil para todo el mundo.
Una vez que los datos están bajo control, se pueden asegurar, sincronizar y compartir, manteniéndolos actualizados y accesibles en todos los dispositivos móviles del usuario, de forma que los empleados tienen lo que necesitan y cuando lo necesitan. Compartir archivos dentro y fuera de la organización se convierte en algo sencillo, sin importar el dispositivo que se utilice y la información puede ser gestionada, con un acceso controlado de forma adecuada y con garantías de seguridad. La recopilación regular de los dispositivos de los usuarios se convierte en un backup efectivo, por lo que se asegura la productividad incluso en los peores escenarios y con la posibilidad de realizar un borrado remoto en el caso de que el dispositivo sea perdido o robado.
Luego está el tema de la gobernabilidad y si el hecho de que los datos se encuentren en dispositivos móviles afecta al cumplimiento de la empresa. Como la fuerza de trabajo móvil continúa creciendo y cada vez se generan más datos fuera del centro de datos, el llevar esa información a un repositorio donde se puedan realizar búsquedas por razones de gobernabilidad, cumplimiento o normativa legal se convierte en algo crítico.
Sin embargo, esto plantea problemas de privacidad para algunos. Las empresas deben ser completamente transparentes sobre qué se recoge y cómo se utiliza; es necesario que haya unos estatutos creados específicamente para los empleados. La buena noticia es que no es tan problemático como parece y, con la tecnología adecuada, las actividades corporativas pueden ser auditadas con fines de transparencia. Puede que no sea evidente ni para las organizaciones ni para los usuarios que la movilidad puede introducir riesgos significativos en sus regímenes de gestión de datos establecidos. Pero si las empresas quieren asegurarse de que están preparadas para florecer en el panorama al que ha llevado la combinación de las funciones de movilidad y la nube, tienen que buscar soluciones que les permitan acceder y utilizar los datos sin importar dónde se encuentren. Puede que no sea tan duro como se espera, pero es sin duda más urgente de lo que se piensa.
 

MDM vs MAM, ¿qué estrategia de movilidad se adapta mejor a las necesidades de mi negocio?

Noelia Navarro, Responsable de Producto y Servicio de Digitex
La movilidad y la gestión de dispositivos móviles dentro de las compañías se han convertido en una necesidad apremiante para ganar competitividad, mejorar la calidad de los servicios y mejorar en eficiencia y rapidez. En este contexto, una buena parte de las empresas han comenzado a implementar soluciones que permiten gestionar el uso de dispositivos móviles dentro de la organización, sin embargo, a la hora de decidir el tipo de estrategia a seguir, suelen asaltar dudas sobre si abordar una estrategia MDM (Mobile Device Management) o una MAM (Mobile Application Management).
En realidad, se trata de dos conceptos diferentes, con funciones distintas y que son complementarios en la mayoría de los casos, por lo que la elección más acertada es posible que pase por una combinación de ambas soluciones, o por la implementación de una u otra por separado, todo dependerá de las necesidades y objetivos que se quieran abarcar dentro de la compañía.
Tanto MDM como MAM son soluciones de gestión y control, pero cada una afecta a escalas diferentes: mientras que MDM ejerce un control del propio dispositivo móvil (activación del dispositivo, jerarquía de perfiles, mail seguro, control de acceso a información corporativa, etc.), MAM ofrece un sistema de seguridad más granular que llega hasta la gestión de las aplicaciones, tanto en lo que respecta a su usabilidad y el funcionamiento de las mismas como al control que se puede ejercer sobre su uso.
A modo de ejemplo, de la misma manera que en una organización se aseguran de que los PCs de los empleados tengan los permisos y aplicaciones requeridos para realizar su trabajo y, a la vez, se monitorea el uso que se hace de estas aplicaciones, se debe asegurar que se tienen bajo control a todos los dispositivos móviles. Escalando esta comparación al terreno de la movilidad, MDM estaría cubriendo la primera fase, es decir, realizaría la gestión de los dispositivos y ejercería como un sistema único con toda la información relacionada con el control de sistemas, mientras que MAM nos proporciona la gestión de la segunda, es decir, la gestión y control de las aplicaciones.
Teniendo en cuenta esta premisa, si una empresa cuenta con una red de cien empleados que utilizan dispositivos móviles solo para recibir el correo y hablar por teléfono, lo que se necesita es controlar los dispositivos para ofrecer acceso a cierta documentación de la intranet o para evitar que los usuarios se instalen aplicaciones de chat, como WhatsApp, etc. Ahora bien, si todos estos empleados que están en movilidad utilizan aplicaciones empresariales para realizar su trabajo (como ocurre en el sector seguros o de las utilities con grandes equipos de fuerzas de venta o servicios técnicos que trabajan en movilidad), será necesario asegurar las distintas apps que los empleados utilizan y su uso.
Costes y retornos
Una buena noticia a la hora de plantearse una estrategia para gestionar el uso de dispositivos y aplicaciones móviles en las empresas es que no se trata de soluciones muy caras. La mayoría se suelen ofrecerse bajo la modalidad de Software as a Service (SaaS) o pago por uso, con lo que es posible ajustar la inversión al número de usuarios y a la utilización que se hace de la misma. De este modo, el coste no ha de suponer una sobrecarga excesiva en los presupuestos del departamento de TI.
El retorno de la inversión, por su parte, se produce a corto plazo y, aunque depende de la inversión inicial que haya realizado la compañía, en el caso de que estemos hablando de una solución MDM, rápidamente se detectará una evidente mejora y automatización de los procesos en los departamentos de sistemas, que verán aumentada su productividad gracias al ahorro de tiempo en desplazamientos y a la posibilidad de ofrecer asistencia técnica en tiempo real.
Si nos centramos en las soluciones MAM, a la hora de valorar el retorno de la inversión, se debe tener en cuenta la optimización de los procesos y la del trabajo de aquellas personas que basan su día a día en el uso de dispositivos móviles.
El primer paso, por tanto, para abordar una estrategia de movilidad y gestionar el uso de dispositivos móviles en las empresas es realizar un análisis detallado de las necesidades de los equipos en movilidad y tener claro el objetivo que persigue la compañía a la hora de implantar la solución (qué aplicaciones es necesario movilizar y qué grado de gestión de la seguridad se va a aplicar). Conocer el alcance que debe tener la estrategia de movilidad que se va a ejecutar y partir de un esquema de necesidades que permitan sacarle el máximo rendimiento a la solución es la clave para que el proyecto sea un éxito.
 

Por qué, a veces BYOD no es una buena solución

Miguel Angel Martos, director general de Blue Coat para el sur de Europa
Por BYOD no debemos pensar únicamente en la gestión de los “dispositivos móviles en una organización”. El éxito de BYOD viene de la mano de que las personas tengan acceso a sus datos en cualquier parte, ya sean éstos los datos del trabajo o datos privados. Cuando las organizaciones intentan poner límites se producen todo tipo de “interesantes” situaciones. Por ejemplo:

  • Los empleados utilizan dos teléfonos (privado y de la empresa)
  • Buscan, y encuentran, atajos/vacíos en la seguridad que les haga la vida más fácil (por ejemplo, acceder a su correo electrónico corporativo en sus teléfonos personales)
  • Instalan puntos de acceso wifi no autorizados
  • Utilizan servicios privados en la nube para el intercambio de datos con sus colegas de trabajo.

Es imposible intentar securizar completamente este escenario. Gartner comenta que las iniciativas BYOD que sean muy estrictas, probablemente resultarán siendo un fracaso. Invertirán una gran cantidad de recursos para monitorizar a los empleados y para hacer que apliquen las políticas. Ese dinero podría emplearse mucho mejor mejorar las seguridad.
Un enfoque más adecuado es el de implementar los elementos básicos (MDM) y, además, disponer de la tecnología adecuada para facilitar BYOD. Por ejemplo, disponer de puntos de acceso distintos para dispositivos privados, permitir el uso de la nube pero monitorizar o registrar las actividades.
Lo que una organización necesita de verdad para securizar es disponer de herramientas que permitan responder ante nuevas situaciones e incidentes. Por ejemplo, la grabación del tráfico por la red y el análisis de componentes o sandboxing que den soporte a las aplicaciones móviles.

1 comentario en “La difícil gestión del dispositivo móvil”

Deja un comentario

Scroll al inicio