INCIBE: Tu ayuda en Ciberseguridad
Orientación para organizaciones sobre cómo elegir, configurar y utilizar dispositivos Android de forma segura
Decida qué dispositivos Android utilizará su organización . Los dispositivos Android suelen recibir actualizaciones de software hasta 3 años después del primer lanzamiento. Una vez que un dispositivo ya no es compatible y se considera obsoleto, ya no recibirá actualizaciones de seguridad. En este punto, debe comprar dispositivos más nuevos. Tenga en cuenta que el programa de actualización depende del fabricante del dispositivo: Google ha proporcionado una lista de fechas de finalización de soporte para dispositivos Pixel y Nexus. Otros dispositivos que no son de Google deberán consultar con cada fabricante .
Los dispositivos deben ser administrados por su organización para que tenga el mayor control sobre qué políticas aplicar en sus dispositivos.
Una vez administrados, los dispositivos Android deben controlarse mediante un servicio de administración de dispositivos móviles , para hacer cumplir los controles técnicos
Dependiendo de los dispositivos que esté aprovisionando en su estado de TI, debe usar una administración de movilidad empresarial (EMM) que admita OEMConfig . Google introdujo este estándar para permitir que los fabricantes de equipos originales (OEM) desarrollen aplicaciones que puedan proporcionar configuraciones adicionales específicas del dispositivo. Estas aplicaciones se publican en la tienda Google Play, lo que permite a los administradores de TI acceder a estas políticas a través de su consola EMM.
Configurar las capacidades de registro y monitoreo de MDM
Utilice una de nuestras arquitecturas de red recomendadas para permitir el acceso remoto a los servicios empresariales.
Si se requiere una red privada virtual (VPN) , debe usar una aplicación de terceros
Las aplicaciones de terceros para uso laboral ("aplicaciones administradas") deben aprobarse de forma centralizada en un catálogo de aplicaciones empresariales. Instálelos automáticamente durante la configuración o póngalos a disposición en la tienda administrada de Google Play.
Considere su enfoque para habilitar cuentas de Google de propiedad empresarial en los dispositivos de los usuarios , utilizando políticas en el dispositivo para administrar funciones específicas de Google.
No se recomiendan antivirus ni otro software de seguridad .
Aplicaciones de trabajo
La mayoría de las organizaciones querrán ofrecer a sus usuarios una variedad de aplicaciones comerciales y de productividad para que puedan consumir, crear y colaborar de forma remota. Recomendamos el uso de aplicaciones integradas o aplicaciones que estén integradas en sus servicios corporativos siempre que sea posible, ya que brindan mayor confiabilidad y seguridad, ya que generalmente puede obtener una mayor seguridad en torno a su cadena de suministro y los controles técnicos que se pueden aplicar.
Si está utilizando aplicaciones de terceros para el trabajo, debe utilizar un catálogo de aplicaciones empresariales de aplicaciones aprobadas que los usuarios pueden elegir instalar a voluntad, entregadas a través de MDM. Las aplicaciones implementadas de esta manera serán aplicaciones 'administradas' y tendrán acceso a los datos del trabajo. Se debe tener cuidado al aprobar aplicaciones de alto privilegio para su catálogo empresarial, como aplicaciones de teclado de terceros y extensiones de red, ya que estos tipos de aplicaciones pueden acceder a grandes cantidades de datos de trabajo, por lo que presentan un mayor riesgo para su organización.
Si el dispositivo Android está configurado para ser únicamente un dispositivo de trabajo, la tienda privada de aplicaciones de Google de la organización solo proporcionará aplicaciones en la lista de permitidos para ser instaladas. Sin embargo, en las configuraciones Trabajo-Personal, las aplicaciones instaladas a través de la tienda pública de Google Play serán 'no administradas' y no tendrán acceso a los mismos datos. Consulte nuestra guía de aplicaciones de terceros para obtener más información sobre este enfoque y los riesgos anteriores.
Configuración del dispositivo
Una vez que haya elegido su servicio de MDM , la arquitectura y el enfoque de las aplicaciones , debe desarrollar una configuración de dispositivo que pueda aplicar para hacer cumplir sus controles técnicos.
En particular, debe incluir políticas que gestionen:
- Interfaces externas, incluidos periféricos con cable e inalámbricos (por ejemplo, desactivación de accesorios USB cuando el dispositivo está bloqueado)
- El uso de biometría , así como contraseñas y políticas de autenticación.
- Los servicios de Google Cloud que desea permitir
- Actualizaciones de aplicaciones y SO del dispositivo , incluidas las actualizaciones automáticas
- Configure la política de contraseña de su dispositivo para que esté en línea con la política de autenticación de su organización
Fecha actualización el 2021-07-05. Fecha publicación el 2021-07-05. Categoria: ciberseguridad Autor: Oscar olg Mapa del sitio Fuente: ncsc