INCIBE: Tu ayuda en Ciberseguridad
Para ayudarlo a utilizar aplicaciones de terceros en los dispositivos de su organización, debe
Acuerde un nivel de riesgo aceptable con las partes interesadas
En primer lugar, debe acordar con las partes interesadas clave cuál es el nivel de riesgo aceptable para su organización. Por ejemplo:
- ¿Qué comportamientos de aplicaciones estarán prohibidos o serán de alto riesgo (por ejemplo, acceder a contactos en dispositivos que se sincronizan con su lista global de direcciones)?
- ¿Cómo evaluará a un proveedor como respetable?
- ¿Podría la aplicación dificultar el cumplimiento de alguna normativa para auditar los datos almacenados (por ejemplo, solicitudes de libertad de información )?
Desarrollar un proceso de aprobación de aplicaciones
Puede desarrollar un proceso para evaluar las aplicaciones con respecto al nivel acordado de riesgo aceptable (consulte el punto anterior).
Debe equilibrar su evaluación con las necesidades de productividad del usuario:
- El proceso debe incluir a alguien del departamento de adquisiciones, legal, seguridad, administrador de TI y representantes de los usuarios, según sea necesario.
- Integre este proceso en su rutina estándar de gestión de activos de software y ejecute evaluaciones en paralelo.
- Haga que el proceso sea rápido, liviano y receptivo, para garantizar que los usuarios se sientan bien atendidos por el proceso.
- Puede utilizar evaluaciones de terceros para ayudarlo a informar su decisión, pero no confíe completamente en ellos.
- Decida cómo manejará las actualizaciones del software. Las aplicaciones móviles más populares se actualizan al menos una vez al mes y debería poder manejar esto.
- Vuelva a revisar periódicamente las aplicaciones que haya aprobado, en caso de que las cosas hayan cambiado.
- Debería poder aprobar la mayoría de las aplicaciones comerciales habituales en su catálogo de aplicaciones para que cualquiera las utilice.
- Para las aplicaciones que considere riesgosas, es posible que desee permitir que solo los usuarios con una fuerte necesidad comercial las instalen.
- Como parte de la revisión de seguridad, observe los incidentes de seguridad históricos que involucren a la aplicación o al desarrollador, así como cualquier otra fuente que considere relevante.
Utilice enfoques arquitectónicos para limitar el riesgo
Cuando existen requisitos de usuario para aplicaciones que pueden presentar niveles inaceptables de riesgo, puede haber enfoques arquitectónicos que pueden reducir el nivel de riesgo:
- Algunas plataformas pueden proporcionar la capacidad de administrar de forma empresarial qué permisos puede solicitar una aplicación de terceros mediante MDM . Puede utilizar estas funciones para evitar que aplicaciones peligrosas accedan a los datos laborales.
- Si la plataforma lo admite, recomendamos no permitir que los usuarios instalen software arbitrario desde fuera de las tiendas de aplicaciones seleccionadas. Siga nuestra guía específica de la plataforma para obtener recomendaciones sobre cómo lograr esto. Los catálogos de aplicaciones empresariales suelen ofrecer un buen equilibrio entre seguridad y flexibilidad para la plataforma.
- No permita que las aplicaciones de terceros accedan a los datos del trabajo a menos que estén realizando una función relacionada con el trabajo. Esto se puede lograr mediante el uso de un enfoque de propiedad corporativa, habilitado personalmente (COPE) o un enfoque de traer su propio dispositivo (BYOD) . En ambos casos, puede permitir que los usuarios instalen aplicaciones más riesgosas fuera del espacio de trabajo confiable, prohibiendo que esas aplicaciones accedan a los datos del trabajo.
- Algunas plataformas pueden proporcionar funciones de registro adicionales que pueden permitirle adoptar un enfoque de confianza y verificación .
- Si usa contenedores, el enfoque ideal es tener el contenedor personal como parte del perfil de trabajo (por ejemplo, el dispositivo completamente administrado con una configuración de perfil de trabajo de Android Enterprise ) en lugar de lo contrario de tener contenedores de trabajo en un dispositivo personal, pero lo contrario suele ser más sencillo. Es posible que pueda tener máquinas virtuales separadas para uso personal o comportamiento más riesgoso como compromiso (por ejemplo, para desarrolladores que necesitan derechos de administrador).
Fecha actualización el 2021-07-05. Fecha publicación el 2021-07-05. Categoria: ciberseguridad Autor: Oscar olg Mapa del sitio Fuente: ncsc