El debate entre la gestión y el control no intrusivo
La movilidad ha traído nuevos modelos de gestión en los equipos de trabajo de las empresas. Los cambios continuos de localización geográfica, el uso de terminales remotos o incluso los medios de conexión con redes corporativas distribuidas han hecho que las compañías tengan que adaptar sus controles de seguridad a la itinerancia que supone el uso de dispositivos móviles.
Movilidad de equipos
Los smartphones, las tabletas o los PC portátiles se han convertido en herramientas de uso cotidiano. Con ellos es posible acceder a recursos corporativos, en ocasiones críticos, que contienen información muy relevante para el funcionamiento de una compañía.

En estas circunstancias, controlar dónde se encuentran, quién accede a ellos o cómo se utilizan son fundamentales para la seguridad de una organización. Si alguien roba uno de estos dispositivos o simplemente lo pierde, el impacto en la seguridad de la información de la empresa puede llegar a ser muy importante.
Ni que decir tiene que existen otras situaciones que también pueden ser motivo de preocupación para la seguridad de una organización como, por ejemplo, la detección de errores o vulnerabilidades en las aplicaciones instaladas.
En estos casos, hacer que los dispositivos regresen a las oficinas centrales o delegar en los usuarios para que sean ellos quienes ejecuten proactivamente determinados tipos de tareas de actualización no son una opción real, segura y viable.
Acceso remoto a dispositivos móviles
Por todo ello, disponer de mecanismos que permitan de forma remota acceder a los dispositivos móviles corporativos resulta de vital importancia. Ahora bien, ¿qué entendemos por acceder de forma remota a estos dispositivos móviles?

¿Es factible acceder al contenido del dispositivo? ¿Es lícito monitorizar su geolocalización? ¿Se puede legalmente supervisar las actividades de los usuarios?
Muchas de estas preguntas pueden parecer que bordean la privacidad de los usuarios, sin embargo, resultan actividades legítimas si previamente se ha notificado a los empleados sobre el uso y control sobre los dispositivos corporativos que la compañía puede ejercer cuando cede equipos que son de su propiedad.
Así pues, asumida esa realidad, la siguiente pregunta que una compañía puede hacerse es ¿cómo se ejerce ese control?
MDM – Mobile Device Management
Las herramientas MDM –Mobile Device Management— son la base para la gestión de los dispositivos móviles. Con ellas es posible rastrearlos —por ejemplo, a través del seguimiento GPS—, detectar y notificar situaciones de riesgo o bloquear y limpiar su contenido de forma remota. También se puede gestionar la instalación y actualización de sistemas operativos y aplicaciones, incluso encapsulando su uso en entornos acotados.

Adicionalmente se pueden incorporar mecanismos para la gestión de identidad y acceso (IAM) forzando, por ejemplo, la aplicación de políticas concretas de gestión de contraseñas. Incluso, llegado el caso, se podrán activar mecanismos de seguridad tales como software antivirus, control de acceso de red, respuesta a incidentes, filtrado de URL o servicios de seguridad en la nube.
Con cada una de estas funciones, los MDM dotan a los departamentos de TI de una flexibilidad que hacen de su operativa diaria una tarea más sencilla y uniformizada.
“Out of band”, el ultimo nivel de control
Las políticas de seguridad de la organización pueden, de este modo, implantarse en los dispositivos móviles de forma global, atendiendo a las singularidades de los usuarios y los roles que estos desempeñan.

Entre las preguntas que la política de seguridad de una compañía debería responder se encontrarían algunas como: ¿es necesario que los dispositivos tengan un código de acceso habilitado? ¿se debería permitir que los usuarios se conecten a redes WI-Fi externas? ¿qué hacer con las cámaras de los dispositivos, se deben inhabilitar?, ¿se tiene que limitar el uso de los dispositivos fuera de localizaciones geográficas concretas?, ¿pueden los empleados utilizar sus propios dispositivos personales (BYOD), en qué condiciones?, etc.
Incluso hay una última pregunta: ¿se puede hacer algo cuando un dispositivo está apagado o simplemente no responde a las tareas habituales?
Esta cuestión no resulta trivial ya que concierne a los propios fabricantes de dispositivos e implica prácticamente un control absoluto sobre el equipo. De hecho, afecta a funcionalidades críticas de los sistemas que se gestionan desde servicios del propio fabricante.
Por ejemplo, Intel proporciona su solución Intel vPro para este tipo de situaciones. Apple, por su parte, ofrece servicios LOM —Lights Out Management— para el encendido y apagado de sus equipos utilizando mecanismos de comprobación basados en certificados digitales.
Cada una de estas soluciones y funcionalidades son básicas si se quiere tener un control total sobre los dispositivos móviles corporativos. De hecho, se pueden integrar dentro de una única solución MDM.
Movilidad, MDM y superficie de ataque
Actualmente las soluciones MDM del mercado tienen su foco principal en aquellos equipos móviles que resultan de uso más cotidiano. Se trata de dispositivos que están basados en sistemas operativos como Apple iOS iPhone, Android, Microsoft Windows, macOS o Chrome OS.

Sea en forma de smartphone, de tableta o de PC portátil, estamos ante elementos que suponen más del 90% de los equipos de una organización. Un riesgo nada despreciable en términos de superficie de ataque.
Por eso, gestionarlos de forma segura es una necesidad para cualquier empresa, incluso aunque en ocasiones suponga establecer mecanismos de control que generen controversias.
La gestión segura de los dispositivos móviles de una compañía puede marcar la diferencia a la hora de acotar los riesgos que esta asume frente a la posibilidad de sufrir algún tipo de ciberataque.
Permitir que dispositivos no controlados se conecten a los servicios de información de una organización está fuera de toda consideración. Aun así, obligar a que un equipo, sobre todo si no es propiedad de la compañía, pueda ser controlado y monitorizado por su personal de seguridad resultará en una estrategia posiblemente intrusiva. Por eso, afrontar correctamente estas situaciones forma parte de la política de seguridad de la compañía.
Y llegados a este punto, solo nos queda plantear una última pregunta: ¿qué decisión tomaría su compañía?