Tutorial de seguridad sobre la compra de dispositivos

Articulos tematica Microsoft

INCIBE: Tu ayuda en Ciberseguridad

Administrar la seguridad de la cadena de suministro al comprar teléfonos inteligentes, tabletas, computadoras portátiles y computadoras de escritorio

Hay muchas opciones de abastecimiento disponibles para las organizaciones al comprar dispositivos, incluida la compra directamente del fabricante del dispositivo, un operador de red móvil o un tercero independiente.

Al comprar en cualquiera de estas fuentes, debe considerar cómo los actores de amenazas dentro de la cadena de suministro pueden afectar la seguridad de su organización y qué pasos, si corresponde, tomará para defenderse de ellos.

Este artículo no lo ayudará a decidir qué dispositivos debe comprar. Tenemos una guía separada sobre la elección de dispositivos que cubre este tema. El objetivo aquí es ayudarlo a comprar dispositivos de forma segura.

¿Por qué gestionar la seguridad de la cadena de suministro?

Los ataques a la cadena de suministro son raros pero no desconocidos, y hay pasos razonables que puede tomar para minimizar su exposición a ellos. Por ejemplo, es probable que comprar dispositivos directamente de un proveedor de confianza genere mejores resultados que comprar dispositivos de segunda mano en los mercados en línea.

Si su dispositivo se ve comprometido antes de que tenga la oportunidad de aplicar configuraciones de seguridad, puede ser muy difícil de detectar. Sin embargo, existen algunas precauciones sensatas que puede tomar para minimizar la probabilidad de que estos ataques tengan éxito en su organización.

Además, la mayoría de los dispositivos ahora vienen con opciones para programas de inscripción sin contacto , como Windows Autopilot y Apple Business Manager . Estos programas son muy recomendables ya que minimizan la carga administrativa de inscribir nuevos dispositivos, así como mejoran la seguridad general del proceso de inscripción, al hacer que los dispositivos no inscritos sean seguros en tránsito y reducen la probabilidad de error manual. También pueden proporcionar beneficios adicionales. Por ejemplo, en iOS , se puede evitar que los dispositivos implementados a través de Apple Business Manager se cancelen la inscripción en la Administración de dispositivos móviles .

El uso de estos programas a menudo requerirá que se asocie con un proveedor de dispositivos que registrará automáticamente los dispositivos recién comprados en el programa de inscripción sin contacto de su organización.

Preparación para la compra del dispositivo

Al decidir cómo comprar dispositivos, debe:

  • Considere qué programa (s) de inscripción sin intervención del usuario desea utilizar
  • Busque fabricantes que tengan una buena seguridad en la cadena de suministro
  • Considere a qué proveedores comprará sus dispositivos. Desde una perspectiva de seguridad, es posible que desee pensar específicamente en:
  • La reputación de seguridad del proveedor del dispositivo.
  • Si pueden suministrar la gama de dispositivos que su organización ha elegido utilizar
  • Qué tan actualizados estarán los dispositivos que suministran
  • Cómo manejarán las devoluciones de dispositivos defectuosos. Por ejemplo, es posible que deba devolver dispositivos que contengan datos corporativos, así que asegúrese de aceptar un proceso de desinfección con ellos.
  • Si apoyan su (s) programa (s) de inscripción sin intervención
  • En qué momento le asignan dispositivos en su cadena de suministro. Algunos proveedores pueden utilizar la fabricación justo a tiempo para pedidos grandes y, en consecuencia, las fábricas en el extranjero pueden estar al tanto del cliente final de los dispositivos. Otros proveedores pueden utilizar instalaciones de almacenamiento nacionales y, por lo tanto, brindan una oportunidad más limitada para ataques a la cadena de suministro.
  • Cómo cualquiera de sus usuarios en el extranjero puede obtener dispositivos mientras está en el extranjero
  • Cómo distribuirá los dispositivos a sus usuarios finales. Según la configuración, los dispositivos pueden ser vulnerables si se interceptan mientras se distribuyen.

Cómo adquirir dispositivos

Recomendamos los siguientes pasos para comprar dispositivos dentro de una organización:

  • Decide qué dispositivos vas a usar
  • Regístrese para la inscripción zero-touch para esos dispositivos
  • Decida qué proveedores utilizará para comprar sus dispositivos
  • Discuta las consideraciones de seguridad relacionadas con los dispositivos que va a utilizar con los proveedores elegidos.
  • Implemente y pruebe procedimientos para inscribir nuevos dispositivos en su infraestructura de administración de dispositivos móviles
  • Desarrolle procesos seguros de manejo de dispositivos para distribuirlos a los usuarios dentro de su organización.
  • Cuando se compran dispositivos de propiedad corporativa fuera de un proveedor de confianza, borre de forma segura los dispositivos para reducir el riesgo de ataques a la cadena de suministro e inscríbalos manualmente
  • Proporcionar orientación al usuario que les informe cómo completar la inscripción en sus nuevos dispositivos, que incluyen:
  • Qué esperar del proceso de inscripción, incluidas capturas de pantalla
  • Cuándo y dónde ingresar sus credenciales corporativas
  • Cómo actualizar su nuevo dispositivo : es probable que esté desactualizado cuando se inscriba

El uso de un programa de inscripción zero-touch generalmente significa que el cliente final de un dispositivo sabe cuándo se está fabricando el dispositivo, lo que probablemente será en el extranjero, mientras que sin la inscripción zero-touch los dispositivos pueden no asignarse al cliente hasta que hayan alcanzado una instalación local de almacenamiento y distribución. Si esto le preocupa a su organización, es posible que no desee utilizar los distintos programas de inscripción sin intervención.

Fecha actualización el 2021-07-05. Fecha publicación el 2021-07-05. Categoria: ciberseguridad Autor: Oscar olg Mapa del sitio Fuente: ncsc