INCIBE: Tu ayuda en Ciberseguridad
Asesoramiento en la selección e implementación de la gestión de dispositivos móviles empresarial
Un servicio de administración de dispositivos móviles (MDM) combina aplicaciones de dispositivos, funciones de administración de dispositivos integradas y servicios de infraestructura. Juntos, estos componentes permiten que su organización controle, supervise y aplique políticas en los dispositivos de los empleados de forma remota.
Esta guía discutirá la importancia de MDM, nuestras recomendaciones al elegir un MDM y la mejor manera de usarlos para administrar de forma segura teléfonos inteligentes, tabletas, computadoras portátiles y computadoras de escritorio.
¿Por qué utilizar MDM?
La administración de dispositivos móviles está diseñada para simplificar la administración de dispositivos dentro de una organización.
La funcionalidad típica incluye la inscripción de dispositivos, la capacidad de controlar la configuración del dispositivo, proteger los datos, monitorear el estado y el cumplimiento de los dispositivos y administrar las aplicaciones aprobadas por la empresa. Todo en una variedad de plataformas y sistemas operativos.
La mayoría de los servicios MDM funcionan a través de Internet, lo que permite que los dispositivos se gestionen y controlen de forma remota en cualquier lugar del mundo. Esto significa que el personal puede trabajar fuera de las instalaciones de forma segura.
Algunos ejemplos de casos de uso incluyen la aplicación de políticas en un dispositivo, como el uso de una VPN , la realización de un borrado remoto del dispositivo si se pierde el dispositivo. MDM también permitiría el monitoreo de dispositivos, para ayudar a determinar si se han mantenido actualizados , si se ha roto la cárcel o si se ha producido una infracción de la política. Además, es importante mantener seguros los MDM, ya que contienen las claves para desbloquear, descifrar y borrar de forma remota todos los dispositivos de su empresa.
Preparación para la administración de dispositivos móviles
Hay varias cosas a considerar antes de elegir un MDM para su organización.
Modelo de implementación
Los servicios MDM pueden ser locales o en la nube, por ejemplo, como soluciones SaaS. Algunos productos vienen en ambos sabores, otros solo en uno.
También puede haber diferencias y compensaciones significativas en términos de compatibilidad de funciones entre los dos enfoques. Por ejemplo, la aplicación de parches puede ser más lenta con un servicio local, por lo que no siempre tendrá las funciones más recientes.
Si elige utilizar un servicio MDM en la nube, la Guía de seguridad en la nube del NCSC puede ayudarlo a evaluar su idoneidad.
Para las implementaciones de MDM en las instalaciones, en una arquitectura de jardín amurallado , debe decidir si desea que el servicio se implemente dentro o fuera del firewall de límites.
Si coloca el servicio MDM dentro del límite de la red, un activo de alto valor que contiene claves criptográficas que pueden controlar, acceder y borrar su dispositivo está más protegido de atacantes externos, pero puede dificultar la eliminación remota de un dispositivo perdido si también lo desea para revocar sus credenciales de VPN.
Compatibilidad con dispositivos y funciones
Los servicios de MDM individuales a menudo solo admitirán algunos tipos de dispositivos, funciones de seguridad y opciones de administración. Siendo así, es importante determinar si las siguientes funciones son compatibles con los dispositivos que utiliza:
Inscripción de dispositivo
Las opciones de inscripción que necesita variarán según su enfoque para la administración de dispositivos. Si su organización posee dispositivos y los administra por completo, es probable que sus necesidades se satisfagan más fácilmente que si ejecuta un esquema BYOD .
Para los dispositivos de propiedad empresarial, debe utilizar una plataforma MDM que admita la inscripción sin intervención . Si elige utilizar un enfoque técnico que también permite la inscripción de administradores o la autoinscripción , es importante tener en cuenta los métodos de autenticación disponibles durante la inscripción, incluida la MFA para la autenticación de usuarios y dispositivos.
Configuración del dispositivo
Los controles técnicos que estarán disponibles, y que puede hacer cumplir, variarán según los dispositivos que utilice en su organización.
Deberá considerar qué políticas de configuración de dispositivos debe aplicar y si están disponibles en la MDM que elija. Puede desarrollar una configuración candidata utilizando nuestra guía detallada de la plataforma y ver qué servicios de MDM pueden implementar esa configuración.
Cumplimiento y supervisión de dispositivos
Los MDM pueden proporcionar opciones para monitorear dispositivos e informar sobre el cumplimiento de los mismos. Esto puede decirle cosas como si el dispositivo y las aplicaciones están actualizadas, detectar jailbreak o la presencia de aplicaciones prohibidas. Algunos MDM también incluyen informes más avanzados, utilizando la certificación del dispositivo, que puede proporcionar afirmaciones más sólidas sobre el cumplimiento y el estado del dispositivo.
Si estas funciones están disponibles y su servicio de autenticación las admite, se pueden integrar con su proceso de autenticación para proporcionar políticas de acceso más detalladas. Esto le permitiría verificar el cumplimiento del dispositivo antes de permitirle acceder a los datos y aplicaciones de su organización.
Gestión de aplicaciones y aislamiento de datos
Algunos MDM proporcionan una funcionalidad de tienda de aplicaciones personalizada. Puede usar esto para asegurarse de que los usuarios solo instalen aplicaciones de una lista permitida , como un catálogo de aplicaciones empresariales.
A menudo, esta será la opción preferida cuando los dispositivos se administren por completo, es decir, de propiedad corporativa y solo comercial (COBO) o de propiedad corporativa y habilitado personalmente (COPE). Si utiliza un enfoque completamente administrado, es importante considerar el soporte para actualizaciones automáticas y la capacidad de monitorear e informar sobre el estado de las aplicaciones instaladas en dispositivos móviles.
Si utiliza un enfoque BYOD para la administración de dispositivos, es posible que no sea posible hacer cumplir las restricciones generales del dispositivo. En este caso, debe considerar la compatibilidad con enfoques alternativos que combinen la administración de dispositivos móviles (MDM) y la administración de aplicaciones móviles (MAM) . En conjunto, esto puede proporcionar aislamiento de datos y aplicaciones personales y del trabajo y proteger contra la pérdida de datos en caso de pérdida o robo del dispositivo.
Consideraciones adicionales
Otras características deseables de los servicios MDM son la capacidad de respuesta y la confiabilidad. Una alta capacidad de respuesta es esencial en los casos en que las políticas deben aplicarse rápidamente, por ejemplo, borrar un dispositivo que se ha perdido o robado.
Cómo elegir un servicio MDM
Al elegir y utilizar un servicio de administración de dispositivos móviles, según las consideraciones anteriores, debe:
- Seleccione un servicio MDM que admita los dispositivos y las funciones que necesita, según el enfoque técnico que utiliza su organización. Cabe señalar que si utiliza un enfoque BYOD , esto puede limitar significativamente los controles técnicos que puede aplicar y las funciones disponibles.
- Si es posible, pruebe una variedad de servicios MDM y evalúe la compatibilidad con los dispositivos y las funciones que necesita. También debe tener en cuenta la accesibilidad, la confiabilidad y la capacidad de respuesta durante esta fase piloto.
- Elija un servicio MDM que proporcione actualizaciones automáticas al servicio en sí y asegúrese de que el software MDM se mantenga actualizado.
- Dependiendo de si elige implementar el servicio MDM completamente en las instalaciones o en la nube utilizando un modelo IaaS o SaaS, asegúrese de que existan procesos de parcheo sólidos para mantener actualizada la infraestructura de back-end. En un modelo de IaaS, usted tiene más responsabilidad de parchear los servicios usted mismo.
- Prefiera los servicios MDM que utilizan funciones de gestión de plataforma integradas y se integran con las tiendas de aplicaciones existentes, en lugar de los que requieren agentes adicionales del lado del cliente.
- Si está utilizando un catálogo de aplicaciones empresariales, esto debería admitir las actualizaciones automáticas de aplicaciones. Estas actualizaciones deben aplicarse tan pronto como las aplicaciones se actualicen en la tienda pública.
- Siempre que sea posible, se deben aplicar políticas de configuración de dispositivos para reflejar las guías específicas de la plataforma NCSC para plataformas.
- La inscripción de dispositivos debe admitir métodos sólidos de autenticación para usuarios y dispositivos, tanto para la inscripción automática como para la inscripción automática, incluida la compatibilidad con la autenticación multifactor (MFA) .
- Interfaces de administración y portales de autoservicio de usuario deben tener fuertes métodos de correo autenticación mpresa .
- Elija un servicio MDM que admita el registro y la supervisión de dispositivos. Esto debe incluir la capacidad de configurar políticas de cumplimiento de dispositivos adecuadas para monitorear el estado de los dispositivos. Si se admite la atestación de dispositivos, esto se puede utilizar para proporcionar afirmaciones más sólidas sobre el estado y la salud de los dispositivos.
Fecha actualización el 2021-07-05. Fecha publicación el 2021-07-05. Categoria: ciberseguridad Autor: Oscar olg Mapa del sitio Fuente: ncsc