BYOD y Seguridad de la Información White Paper Entregando la información empresarial de forma segura en tablets y smartphones Android, Apple iOS y Microsoft Windows Una guía técnica actualizada para Android 4.4, iOS 7.1 y Windows Phone y Surface 8.1. citrix.es/byod @CitrixBYOD citrix.es/secure @CitrixSecurity BYOD y Seguridad de la Información White Paper Los dispositivos móviles Android, iOS y Windows, incluyendo los smartphones, tablets, y todos los demás, han trasformado la informática empresarial, proporcionando movilidad y flexibilidad a la gente y las TI. Al mismo tiempo, significan un desafío para mantener la seguridad y la privacidad de la información empresarial de forma efectiva. La movilidad empresarial reclama un nuevo enfoque de seguridad, uno diseñado para un mundo donde los dispositivos móviles, BYOD, dispositivos corporativos con datos de carácter personal, aplicaciones en la nube y redes públicas utilizadas para almacenar y acceder a los datos del negocio han hecho de los tradicionales perímetros bloqueados algo obsoleto. En vez de tratar de proteger toda la información en la empresa, incluyendo datos públicos no confidenciales, TI debe centrarse en proteger lo que realmente importa, información confidencial para el negocio como la propiedad intelectual y los secretos comerciales, así como, la información personal identificable regulada (PII), datos médicos protegidos (PHI) y el sector de tarjetas de pago (PCI). Este enfoque requiere la asignación de medidas de seguridad para los roles de usuario y el uso selectivo de una amplia gama de métodos para el acceso seguro, controlar el uso, evitar la extracción de datos y protegerse contra la manipulación de dispositivos, sin interferir con la disponibilidad de los datos. La gestión de la movilidad empresarial desempeña un papel central en esta estrategia, con capacidades centradas en los dispositivos, sistemas operativos, redes, aplicaciones, datos y políticas, pero es igualmente esencial entender el papel del propio sistema operativo móvil. Cada una de las tres principales plataformas móviles OS, iOS, Android y Windows, presentan características y problemas de seguridad únicos. Mientras que Android ofrece características y ventajas dirigidas tanto a organizaciones como a los consumidores, la fragmentación de la versión del sistema operativo y una falta de capacidades de actualización de dispositivos controlados por el proveedor plantean desafíos de seguridad. El sistema operativo de Apple iOS permite un control estricto tanto del hardware como de las aplicaciones y proporciona un enfoque de jardín vallado que reduce la vulnerabilidad, pero también limita las opciones de seguridad de la empresa tradicional. Microsoft Windows 8 basado en dispositivos Windows Phone y Surface incluye características de seguridad avanzadas y aprovecha su familiaridad con las tecnologías de seguridad heredadas de Windows, pero difieren significativamente en sus capacidades de seguridad y gestión a través de las variantes del sistema operativo. Como líder en soluciones de espacio de trabajo en movilidad, Citrix ha desarrollado tecnologías y las mejores prácticas diseñadas para desbloquear el valor total de los últimos dispositivos móviles tanto personales como empresariales. En este informe vemos en profundidad las principales plataformas de sistemas operativos móviles, las cuestiones de seguridad y las características únicas de cada uno, y las medidas que TI debe tomar para mantener el control mientras que fomenta la productividad y la movilidad. También discutimos las capacidades de seguridad proporcionadas por las soluciones de movilidad empresarial de Citrix incluyendo Citrix XenMobile, citrix.es/byod citrix.es/secure 2 BYOD y Seguridad de la Información White Paper 3 Citrix ShareFile, Citrix XenDesktop, Citrix XenApp y Citrix NetScaler. Juntas, estas soluciones proporcionan a la empresa el control sobre los datos desde el centro de datos a cualquier dispositivo y aborda las preocupaciones de seguridad de TI, independientemente de si la política permite que los datos de la empresa sean movilizados en el dispositivo o no. Cómo difiere la seguridad de los dispositivos móviles de la seguridad de un PC heredado La seguridad móvil no es tan simple como asignar las familiares medidas actuales de seguridad del PC sobre las plataformas móviles. Por ejemplo, antivirus, cortafuegos personales y un cifrado completo del disco son posibles en Android y Windows Phone y Surface, pero significaría negar el acceso de los dispositivos iOS a la red, porque iOS en este momento no soporta todas estas medidas de control heredadas. Aunque con el examen riguroso que realiza Apple de las aplicaciones, al menos hasta hoy, hay poca necesidad de aplicaciones de seguridad para los dispositivos. Un arquitecto de seguridad encargado de permitir los dispositivos iOS en la empresa tiene sin embargo que abordar el tema desde el punto de vista de la protección de datos. La arquitectura de seguridad Android es muy similar a un PC Linux. Basado en Linux, Android tiene todas las ventajas y algunas de las desventajas de una distribución Linux, así como las consideraciones de seguridad únicas para un sistema operativo móvil. Sin embargo, los dispositivos iOS difieren sustancialmente de un PC desde una perspectiva de seguridad y capacidad de uso. La arquitectura de iOS incluso parece tener varias ventajas de seguridad que podría remediar potencialmente algunos de los retos de seguridad de los PCs. Compare el modelo de seguridad del PC y su atenuación con modelos Android e iOS en un ejemplo sencillo que se muestra a continuación, y verá que las medidas de control que requieren los PCs pueden no ser necesarias para el modelo iOS. Además, Windows Phone y Surfce mejoran el modelo familiar del PC de muchas formas. Comparativa de medidas de seguridad de PCs heredados, Android, iOs y Windows tablets y smartphones Medidas de seguridad PC Android iOS Windows Control del dispositivo Adicional Adicional Adicional Adicional Anti-malware local Adicional Adicional Indirecto Nativo Cifrado de datos Adicional Configuración Nativo Configuración Aislamiento de datos/segregación Adicional Nativo Nativo Nativo Entorno operativo gestionado No No Si Si Aplicación de parches Gestionado por el usuario Gestionado por el usuario Nativo Nativo Acceso para modificar archivos del sistema Requiere administrador Requiere rooting Requiere liberación Requiere administrador citrix.es/byod citrix.es/secure BYOD y Seguridad de la Información White Paper La arquitectura de Android puede ser configurada para una postura de seguridad fuerte, como es el caso de una versión Android aprobada para el uso del Departamento de defensa de los Estados Unidos. Además la Agencia de Seguridad Nacional es compatible con el modelo Android de seguridad mejorada (SE), llevando SE Linux OS a Android kernel. Resumen de la arquitectura de seguridad Android La arquitectura de Android proporciona una plataforma que permite que la personalización de la seguridad pueda ser desde básica a avanzada. Las medidas de seguridad deben ser específicamente habilitadas y cumplirse, con la plataforma Android que ofrece lo siguiente: Algunas de las características de seguridad que ayudan a los programadores a construir aplicaciones seguras incluyen: • Android Application Sandbox, que aísla los datos y el código de ejecución de cada aplicación, ampliado con Enforcing SELinux e integridad de arranque • Marco de aplicación Android con implementaciones robustas de funcionalidades de seguridad corrientes tales como la criptografía, permisos y un IPC seguro • Un sistema de archivos cifrados que se puede habilitar para proteger los datos en dispositivos extraviados o robados. Sin embargo, es importante para los programadores que estén familiarizados con las mejores prácticas de seguridad de Android para asegurarse de que se aprovechan de estas capacidades y reducir la probabilidad de introducir inadvertidamente otras cuestiones de seguridad que puedan afectar a sus aplicaciones. ¿Cómo utilizar correctamente mi teléfono y tablet Android? La arquitectura de seguridad de Android se ha diseñado de modo que se pueden utilizar de forma segura el teléfono y el tablet sin hacer ningún cambio en el dispositivo o instalar ningún software especial. Ejecutar aplicaciones Android en su Application Sandbox, limita el acceso a información o datos confidenciales sin permiso del usuario. Para beneficiarse plenamente de las protecciones de seguridad en Android, es importante que los usuarios sólo descarguen e instalen software de fuentes fiables, visiten sitios web de confianza y eviten cargar sus dispositivos en estaciones de carga no fiables. Como plataforma abierta, la arquitectura Android le permite visitar cualquier sitio web y cargar software de cualquier desarrollador en un dispositivo. Al igual que con un PC de casa, el usuario debe ser consciente de quién está proporcionando el software que se descarga y debe decidir si quiere conceder a la aplicación las funciones que solicita. Esta decisión puede ser tomada a juicio de la persona dependiendo de la honradez del desarrollador de software, y determinando de dónde proviene el software. La función de escaneado Bouncer y aplicaciones de terceros ayudan a detectar malware integrado en la aplicación. Preocupaciones de seguridad de Android La plataforma abierta Android está abierta al rooting y desbloqueo. Rooting es el proceso de convertirse en root, ser un súper usuario con todos los derechos sobre el sistema operativo. Desbloqueando el dispositivo gana acceso para modificar el gestor de arranque, permitiendo versiones alternativas del sistema operativo pudiendo citrix.es/byod citrix.es/secure 4 BYOD y Seguridad de la Información White Paper 5 instalar las aplicaciones. Android también tiene un modelo de permiso más abierto permitiendo que cualquier archivo sea legible globalmente por una aplicación en un dispositivo Android. Esto implica que si cualquier archivo necesita ser compartido entre aplicaciones, la única forma de permitirlo es a través de la legibilidad global. Las actualizaciones a la última versión de Android no siempre están disponibles y son a veces controladas por el operador. La falta de una actualización disponible podría permitir que los problemas de seguridad persistan. Comprobar Configuración/Más/ Sobre el dispositivo/Actualización de Software para determinar si la plataforma se puede actualizar. Soporte para contenido activo, incluyendo Flash, Java, JavaScript y HTML5, permite malware y ataques a través de estos portadores. Asegúrese de que las soluciones de seguridad pueden detectar y frustrar los ataques de contenido activo. El sistema operativo Android es el blanco favorito del malware móvil, incluyendo SMS troyanos que envían mensajes de texto a números premium y aplicaciones rogue que suscriben a los usuarios a servicios nefastos sin su conocimiento, fugas de información personal e incluso permiten el control remoto no autorizado del dispositivo. Esto es especialmente cierto para las aplicaciones desde tiendas de aplicaciones rogue, cuya seguridad no ha sido revisada ni investigadas. Aunque KitKat agrega "docenas de mejoras de seguridad para proteger a los usuarios", para robustecer los dispositivos Android es aún mejor ejecutar una solución anti-malware que proporcione una posición de seguridad más robusta. Últimas características de Android y lo que significan para TI La siguiente tabla resume los beneficios para el usuario y el impacto en la seguridad de TI de las últimas funciones en tablets y smartphones Android 4.4. Nuevo y notable en Android 4.4 Android 4.4 Kit Kat amplía las capacidades de SELinux para proteger el sistema operativo Android ejecutándose predeterminadamente y añadiendo nuevas funciones para controlar la seguridad. La aplicación de estas características también puede variar según el fabricante y el dispositivo. En este informe se habla de estas notables características y su impacto. Función Android Beneficio para el usuario Impacto para TI Tratamiento de los certificados y las mejoras KeyStore Las listas blancas y Certificate Pinning aseguran que solo son utilizados certificados válidos, los algoritmos Elliptic Curve optimizan un fuerte cifrado, y las advertencias CertificateAuthority (CA) añaden al dispositivo la capacidad de poder frustrar ataques Man-inthe-middle. Dé la bienvenida a las mejoras y automatización de Android cyrpto subsystem. La introducción de una clave API pública API y otras características de gestión KeyStore simplificaran y ampliarán las capacidades de TI. citrix.es/byod citrix.es/secure BYOD y Seguridad de la Información White Paper 6 Siempre a la escucha Diciendo «OK Google» sin tocar nada activa el dispositivo. Esta característica está actualmente sólo en Nexus 5, pero está previsto ampliarla. Los dispositivos pueden finalizar grabaciones accidentales y pueden permitir o deshabilitar dinámicamente características basándose en lo que se dice. Agregar automáticamente contenido que falta La adición automática de un contacto perdido, recursos cercanos, mapas e información de ubicación se autorrellena. Las personas que trabajan en instalaciones aseguradas, o con clientes muy conscientes de la seguridad no deben proporcionar información sobre la ubicación y deben desactivar esta función. Integración con cloud Integración del almacenamiento local y cloud significa que la información puede ser automáticamente almacenada/sincronizada entre el dispositivo, las aplicaciones y la nube. El uso de servicios Google Drive y de terceros para compartir archivos será nativo a las aplicaciones y activado a través de la API. TI debe asegurar que una solución de nivel empresarial está disponible y habilitada. SMS, Google Hangouts para SMS La gente puede utilizar y configurar los SMS según sus necesidades personales Mientras que GoogleHangouts es muy bueno para las relaciones personales, los SMS empresariales deben ser configurados e implementados para las comunicaciones del negocio. Adicionalmente las funciones proporcionadas como parte del SO Android, dispositivo del fabricante, proveedores y socios mejoran constantemente las características de Android. Samsung SAFE y KNOX Samsung SAFE es un programa de seguridad de Samsung diseñado para proporcionar dispositivos preparados para la empresa que ofrecen controles de seguridad que van más allá de lo que la mayoría de dispositivos Android proporcionan. Samsung SAFE incluye controles para la gestión de dispositivos móviles y aplicaciones tales como cifrado AES-256 en el dispositivo, conectividad VPN y soporte para Microsoft ActiveSync Exchange para correo electrónico corporativo nativo, calendario y aplicaciones PIM. Samsung KNOX proporciona un nivel adicional de protección más que SAFE con seguridad integral para datos de la empresa y la integridad de la plataforma móvil. Características de KNOX incluyen un contenedor dual para el aislamiento de los citrix.es/byod citrix.es/secure BYOD y Seguridad de la Información White Paper espacios de trabajo y personales, una VPN por aplicación, análisis de la integridad del núcleo y arranque personalizable seguro para garantizar que solo el software verificado y autorizado puede funcionar en el dispositivo. Citrix tiene un enfoque integrado de soporte a SAFE APIs y KNOX. Citrix XenMobile refuerza KNOX con controles MDM y MAM mejorados que son gestionados en el portal de administración; exploraremos estas características más adelante en este documento. Descripción de la arquitectura de seguridad de iOS El sistema operativo propietario de iOS es controlado cuidadosamente. Las actualizaciones son siempre desde una única fuente y las aplicaciones de Apple del AppStore son verificadas, incluyendo pruebas básicas de seguridad. La arquitectura de seguridad de iOS ha incorporado una arquitectura de seguridad basada en sandbox, así como medidas de seguridad para implementar la configuración específica y un control estricto que abarca a las aplicaciones y al hardware. Según Apple, la seguridad de iOS se basa en: Un enfoque de seguridad por capas La plataforma iOS proporciona tecnología y funciones de seguridad muy estricta sin comprometer la experiencia del usuario. Los dispositivos iOS están diseñados para hacer la seguridad tan transparente como sea posible. Muchas características de seguridad están habilitadas de forma predeterminada, por lo que los usuarios no necesitan conocimientos de seguridad para mantener su información protegida. Cadena de inicio seguro Cada paso en el proceso de inicio, desde los gestores de arranque, hasta el kernel, y la banda base del programa, están firmados por Apple para asegurar la integridad. Sólo después de verificar un paso el dispositivo se mueve al siguiente paso. Aplicaciones en Sandbox Todas las aplicaciones de terceros están en un espacio aislado, por lo que tienen restringido el acceso a los archivos almacenados por otras aplicaciones o para hacer cambios en el dispositivo. Esto evita que las aplicaciones reúnan o modifiquen información como intentaría hacer un virus o malware. Con el lanzamiento de iOS 7, Apple introdujo TouchID para optimizar la autenticación del dispositivo, protección criptográfica FIPS 140-2 para los datos confidenciales, Activation Lock para proteger aún más los dispositivos perdidos y robados y numerosas mejoras de seguridad. Problemas de seguridad sobre el modelo de iOS Apple ha adoptado un enfoque de jardín vallado para la arquitectura de iOS, que impide a los propietarios del dispositivo acceder o modificar el sistema operativo. Para realizar cualquier modificación, el dispositivo debe ser liberado. Jailbreaking es el proceso de eliminación de protecciones que permite el acceso root al dispositivo. Una vez que se ha conseguido el acceso root, quedan habilitadas las modificaciones y la personalización. Apple ha tomado medidas adicionales basadas en el hardware para disuadir la liberación. citrix.es/byod citrix.es/secure 7 BYOD y Seguridad de la Información White Paper 8 Las últimas características de iOS y lo que significan para TI La siguiente tabla resume los beneficios del usuario y el impacto de la seguridad para TI de las últimas características de Apple iOS 7.1 para tablets y smartphones. Nuevo y notable en iOS 7.1 Además de dar la bienvenida a las mejoras de las funciones de seguridad, Apple ha publicado un documento detallando la seguridad de iOS desde el iDevice al iCloud. Las siguientes características notables y su impacto son discutidas en este documento. Funciones iOS Beneficio para el usuario Impacto para TI Activación del bloqueo Una vez configurado, un teléfono perdido o robado es inútil para un ladrón, lo que debería disuadir el robo de dispositivos. Tiene implicaciones en la propiedad del dispositivo y en la gestión. Complementado con gestión de la movilidad empresarial. Touch ID Touch ID es el escáner de la huella dactilar de identidad, actualmente exclusivo para el iPhone 5S. Permite acceder al dispositivo sin problemas. TouchID funciona mejor con 7.1 y Apple ha trasladado TouchID y la contraseña de configuración a un nivel superior, haciéndolos más fáciles de configurar. Inscripción automática Los usuarios recibirán los dispositivos empresariales configurados previamente y listos para usar. Los dispositivos de Apple adquiridos a través del Device Enrollment Program pueden inscribirse fácilmente en MDM. FIPS 140-2 Un cifrado potente y verificado protege todos los datos del dispositivo. Las empresas que requieren FIPS 140-2 a nivel del dispositivo ahora pueden utilizar iPhones e iPads. iOS7.x versus controles de seguridad Android En la comparativa entre iOS y Android, es importante señalar que los controles de Android variarán en función del dispositivo real, la versión del sistema operativo e incluso el operador. En algunos casos, por ejemplo, las versiones anteriores de Android no ofrecen cifrado a nivel de dispositivo. iOS7.x Android Cifrado del dispositivo Si Varía según el dispositivo/OS/operador Cifrado OTA Sí Varía según el dispositivo/OS/operador Clave del dispositivo Sí Varía según el dispositivo/OS/operador Bloqueo/borrado remoto Sí Varía según el dispositivo/OS/operador citrix.es/byod citrix.es/secure BYOD y Seguridad de la Información White Paper Revisión de la aplicación Sí Varía según el dispositivo/OS/operador Contraseña de la aplicación Sí Varía según el dispositivo/OS/operador Cifrado de la aplicación Sí Varía según el dispositivo/OS/operador Contenedor de aplicaciones Sí Varía según el dispositivo/OS/operador Acceso seguro de la aplicación Sí a la red Varía según el dispositivo/OS/operador Abierto Varía según el dispositivo/OS/operador Sí Resumen de la arquitectura de seguridad de Windows Phone y Surface Microsoft ha expandido las conocidas tecnologías y arquitecturas Windows a los sistemas operativos de sus últimas tablets y smartphones. Has integrado funciones de seguridad tales como BitLocker, Defender, SmartScreen, cortafuegos personales y el control de la cuenta de usuario construidas sobre una fuerte arquitectura de seguridad móvil. Según Microsoft, la seguridad para las plataformas Windows Phone y Surface está basada en: Seguridad de la plataforma de la aplicación Microsoft toma un enfoque múltiple para ayudar a proteger los dispositivos Windows tablet y smartphone contra el malware. Uno de los aspectos de este enfoque es el proceso de arranque Trusted Boot, que ayuda a evitar la instalación de rootkit. Cámaras y capacidades El concepto de cámara se basa en el principio de privilegio mínimo y utiliza el aislamiento para lograrlo; cada cámara proporciona un límite de seguridad y, a través de la configuración, un límite de aislamiento dentro del cual puede ejecutarse un proceso. Cada cámara está definida e implementada utilizando un sistema de políticas. La política de seguridad de una cámara específica define cuáles son las capacidades del sistema operativo a las que los procesos pueden recurrir en esa cámara. Una capacidad es un recurso para el que los asuntos de privacidad, seguridad, costes o del negocio existen con relación a la utilización de Windows Phone. Ejemplos de capacidades incluyen información sobre la localización geográfica, cámara, micrófono, redes y sensores. Asuntos de seguridad de Windows Los sistemas operativos heredados basados en Windows PC son populares y objeto de ataques dirigidos, lo que significa que cualquier código y servicio compartido entre PC y plataformas móviles podrían causar una vulnerabilidad generalizada. La arquitectura de seguridad mejorada de las plataformas móviles de Windows, especialmente la experiencia completa de Windows 8, han hecho avanzar el estado de seguridad de Windows. El usuario por defecto se ejecuta como administrador, dando demasiado acceso para un día de trabajo normal. Se recomienda que se cree un usuario independiente para el uso diario, con privilegios de administrador reservados para cuando sean necesarias las tareas administrativas. Por supuesto, la capacidad de un usuario al convertirse en administrador del dispositivo es similar a la de convertirse en root, existiendo tanto acceso en este nivel de privilegio que puede impactar negativamente en la seguridad. citrix.es/byod citrix.es/secure 9 BYOD y Seguridad de la Información White Paper 10 Otra gran preocupación es que los modelos y controles familiares de seguridad de Windows pueden conducir a un estado donde el dispositivo está excesivamente administrado por TI. Esto conducirá al ya conocido enfoque de "a mi manera o a la calle" en cuanto a la seguridad y facilidad de uso; una gestión por parte de TI injustificada y excesiva obligará a los usuarios a adoptar otro dispositivo. Las últimas características de Windows y lo que significan para TI La siguiente tabla resume los beneficios del usuario y el impacto en la seguridad de TI de las nuevas características de las tablets y smartphones Windows Phone y Surface 8.1. Nuevo y notable en Windows Phone y Surface Microsoft ha renovado las plataformas móviles Windows, integrando directamente características de seguridad empresarial. Sus notables características y sus efectos serán discutidas en este documento. Funciones Windows Beneficio para el usuario Impacto para TI BitLocker Cifrado de dispositivo en Windows Phone 8 utiliza tecnología BitLocker para cifrar todos los datos internos almacenados en el teléfono con AES 128. El cifrado gestionado por el usuario no es apropiado para los datos confidenciales empresariales. TI necesita aplicar la gestión empresarial del cifrado. Windows Defender Esta característica ayuda a salvaguardar su PC contra virus, spyware y otros software maliciosos en tiempo real. Un antivirus nativo y antimalware es un añadido que se agradece en las plataformas móviles. SmartScreen SmartScreen Filter para Internet Explorer ayuda a proteger a los usuarios de ataques de phishing y malware advirtiendo a los usuarios si un sitio web o la ubicación de una descarga ha sido registrada como insegura. Las políticas de TI necesitan exigir a los usuarios que presten atención a las advertencias de SmartScreen. Prevención de pérdida de datos Information Rights Management (IRM) permite a los creadores de contenido asignar derechos a los documentos que ellos envían a otras personas. Los datos de documentos protegidos son cifrados por lo que pueden ser vistos solo por usuarios autorizados. Requiere Windows Rights Management Services (RMS) y Windows Phone. Cortafuegos Un cortafuegos personal protege a las aplicaciones entrantes y salientes y la conectividad de la red. La configuración del cortafuegos debe ser especificada y controlada por TI. citrix.es/byod citrix.es/secure BYOD y Seguridad de la Información White Paper 11 Cómo los dispositivos móviles de hoy protegen los datos confidenciales Los modelos de movilidad desplazan las responsabilidades tradicionales de seguridad de TI desde estándares firmemente definidos a un conjunto de normas que abarcan una amplia variedad de dispositivos, sistemas operativos y políticas. En la movilidad no existe el enfoque uno vale para todos, y los aspectos únicos de la titularidad del dispositivo, sus capacidades del dispositivo, la ubicación de los datos y aplicaciones necesitan todos los factores en el cuadro de seguridad. Sin embargo, las familiares medidas de control tales como la protección antivirus controlada por la empresa no puede ser instalada y mantenida en todos los dispositivos móviles. Las organizaciones deben examinar la eficacia de las medidas específicas de seguridad móvil en el contexto de sus propios requisitos y buscar las recomendaciones de los propios responsables de seguridad de la empresa. Para obtener más información acerca de cómo la gestión de la movilidad empresarial, la virtualización de aplicaciones y puestos de trabajo Windows, la sincronización y el intercambio de datos empresariales contrarrestan posibles amenazas de seguridad móvil, revise la siguiente tabla. Las amenazas y las medidas correspondientes de seguridad móvil (con gestión de la movilidad empresarial, virtualización de aplicaciones y puestos de trabajo Windows, sincronización e intercambio de datos empresariales y redes) Amenaza Portador de amenaza Datos no autorizados Medida de la seguridad móvil Los datos permanecen en el centro de datos o son cifrados y administrados en el dispositivo Control de aplicaciones/ dispositivos Restringir los medios extraíbles Copias de seguridad cifradas Correo electrónico que no se cachea en la aplicación nativa Restringir la captura de pantalla Manipulación de datos Modificación por otra aplicación Intentos no detectados de manipulación Dispositivo liberado Aplicaciones/datos en contenedores Inicio de sesión Detección de dispositivos liberados Autenticación mutua Micro VPN de aplicaciones Pérdida de datos Pérdida de dispositivo Dispositivo y acceso no aprobado Errores y configuraciones Vulnerabilidades de la aplicación Datos administrados en el dispositivo Cifrado de dispositivo Cifrado de datos Actualizaciones y parches Malware Modificación del OS Modificación de la aplicación Virus Rootkit Entorno operativo administrado Entorno de aplicaciones administrado Arquitectura* *Mientras que las arquitecturas de sistemas operativos móviles pueden ser reforzadas contra el malware, los virus latentes basados en PC pueden pasarse a través de documentos infectados. Se recomienda que las capacidades anti-malware estén disponibles para todo los entornos alojados a los que se conecta el dispositivo móvil, especialmente por correo electrónico. citrix.es/byod citrix.es/secure BYOD y Seguridad de la Información White Paper Con dispositivos personales en la empresa, es prudente mantener la información comercial confidencial fuera del dispositivo para reducir la vulnerabilidad. Los datos altamente confidenciales deben, de forma predeterminada, ser accesibles remotamente desde el centro de datos y nunca copiados en un dispositivo móvil. Los datos que deben ser movilizados deben asegurarse con medidas tales como el cifrado y la capacidad de poder borrarlos de forma remota de los terminales móviles. Las aplicaciones que deben ser movilizadas y controladas pueden estar en contenedores para evitar la interacción con aplicaciones no empresariales. Vea lo que se está perdiendo Las aplicaciones móviles no siempre muestran el contenido de la misma manera que las aplicaciones nativas en un PC. Estas son algunas de las áreas problemáticas: • Los vídeos que no están en formato para soporte móvil nativo no podrán verse (por ejemplo WMV, Flash) • Las aplicaciones de correo electrónico a menudo tienen problemas para visualizar correctamente gráficos, son desconfigurados por el certificado de seguridad, no cifran los datos y no pueden gestionar avisos de recordatorios ni otras funciones especiales • El calendario no puede mostrar el estado libre/ocupado y tiene problemas con varias actualizaciones de eventos y eventos que no están actualizados • Las aplicaciones de presentaciones no siempre muestran todos los gráficos, fuentes y diseños como aparecen en PowerPoint • Las aplicaciones de procesamiento de textos no muestran cuando se activa el control de cambios y no visualizan comentarios ni notas, así que no se muestran las modificaciones y las actualizaciones claves pueden perderse Asegurar la información de la empresa a la que se accede desde tablets y smartphones con Citrix Citrix proporciona una tienda unificada de aplicaciones en el dispositivo móvil, que permite el acceso a la productividad y a las aplicaciones del negocio incluyendo los datos gestionados a través de ShareFile. ShareFile puede utilizarse para permitir el acceso sin conexión a datos en dispositivos móviles. ShareFile y XenMobile ayudan a TI a proteger los datos confidenciales almacenados en dispositivos móviles a través de contenedores, cifrado y políticas completas de control de datos para bloquear las fugas de los usuarios. Los datos en los contenedores del dispositivo pueden ser borrados remotamente por TI en cualquier momento; esto se puede también accionar automáticamente para eventos específicos tales como la liberación del dispositivo. La tienda unificada de aplicaciones de Citrix ofrece aplicaciones móviles así como aplicaciones y puestos de trabajo Windows alojados centralmente vía XenApp y XenDesktop. Al proporcionar acceso remoto móvil a los recursos alojados centralmente, TI puede conservar los datos restringidos en el centro de datos, donde se mantienen a salvo y seguros. Si una organización mantiene los datos y aplicaciones confidenciales en el centro de datos, los tiene en el dispositivo, o permite su movilidad, TI puede ejecutar y hacer cumplir estas políticas a través de XenMobile y ShareFile. Las aplicaciones móviles aseguradas con Citrix se benefician de Citrix NetScaler Gateway para una fuerte autenticación y cifrado del tráfico de red. NetScaler Gatera SSL/VAN Gateway proporciona micro aplicaciones VPN para permitir el acceso a aplicaciones citrix.es/byod citrix.es/secure 12 BYOD y Seguridad de la Información White Paper corporativas, móviles y web, actuando como punto de aplicación de las políticas de red para activar la seguridad de red específica de la aplicación. Las Micro-app VPN solo ejecutan datos del negocio especificados a través de la empresa, ayudando a administrar mejor el tráfico y garantizar al usuario final privacidad al mismo tiempo. XenMobile ofrece gestión unificada y control sobre todos los tipos de aplicaciones, incluyendo móviles, web, SaaS y Windows, así como sobre datos, dispositivos y usuarios. El cifrado en Citrix protege los datos de la configuración, pantallas mapas de bits y el espacio de trabajo del usuario. Citrix utiliza la funcionalidad nativa de la plataforma móvil para cifrar datos en reposo y en movimiento a través de las interfaces de red Wi-Fi y 3G/4G. Cómo ayuda XenMobile a proteger las aplicaciones y dispositivos XenMobile proporciona libertad de datos, aplicaciones y dispositivos móviles. XenMobile proporciona un aprovisionamiento y control basado en identidades para todas las aplicaciones, datos y dispositivos, controles basados en políticas, tales como la restricción del acceso a las aplicaciones a usuarios autorizados, el desaprovisionamiento automático de cuentas para los empleados cesados y el borrado selectivo de dispositivos, aplicaciones o datos almacenados en dispositivos perdidos o robados. El contenedor seguro de soluciones no sólo cifra los datos de la aplicación, también separa la información personal de la del negocio. De esta manera, las organizaciones pueden dar a la gente la posibilidad de elegir dispositivo mientras que da a TI la capacidad de evitar la filtración involuntaria de datos y proteger la red interna de amenazas móviles. Protección a nivel del sistema operativo XenMobile Device Manager asegura que las funciones necesarias del sistema operativo están disponibles para aplicar y administrar las características del nivel de sistema operativo incluyendo: • Dispositivo con contraseña de protección • Cifrado • WiFi • Inventario de dispositivo • Inventario de aplicaciones • Borrado completo/selectivo • APIs específicas del fabricante del dispositivo (Samsung, HTC, etc.) • Configuración automática de WiFi • Restringir el acceso a los recursos del dispositivo incluyendo tienda de aplicaciones, cámara y navegador • Soporte para los controles de seguridad de Samsung Knox Cifrado y Seguridad XenMobile proporciona a TI la capacidad de impedir copiar/ pegar o sólo permitirlo a través de aplicaciones autorizadas. A través de aplicaciones Worx Mobile, características tales como AES-256 de cifrado y FIPS 140-2 de validación protegen los datos en descanso que son clave para el negocio. Controles de apertura le permiten especificar que ciertos documentos se pueden abrir solo en aplicaciones específicas. Incluso enlaces a sitios web pueden ser forzados a abrirse en un navegador seguro. citrix.es/byod citrix.es/secure 13 BYOD y Seguridad de la Información White Paper Los datos en tránsito están protegidos a través de una Micro-app VPN, que permite acceso seguro a los recursos empresariales para aplicaciones, intranet y correo electrónico. Los túneles Micro-app VPN son únicos para cada aplicación y están cifrados para protegerse de las comunicaciones con otro dispositivo u otra Micro-app VPN. Detección de dispositivos liberados XenMobile detecta los estados liberado y root por medio de métodos propios incluyendo disponibilidad API e inspección binaria. Políticas de geo-localización Servicios de localización permiten a TI establecer un perímetro geográfico para controlar dónde se pueden utilizar los dispositivos o aplicaciones específicas. Si el dispositivo abandona el perímetro, su contenido puede ser borrado selectiva o totalmente. Gestión de aplicaciones móviles (MAM) MAM controla la seguridad de uso, actualizaciones, redes y los datos para las aplicaciones. Cada aplicación en el dispositivo puede recibir su propio túnel SSL cifrado que puede ser utilizado solo por esa aplicación. Cuando un empleado abandona la empresa, TI puede borrar remota y selectivamente todos los datos empresariales de los contenedores de la aplicación administrada sin tocar ningún dato o aplicación personal en el dispositivo. XenMobile también proporciona una tienda única y segura para que los dispositivos móviles accedan a aplicaciones tanto públicas como privadas. Aplicaciones de productividad segura Las aplicaciones de productividad de Citrix incorporadas incluyen un navegador web seguro, correo/calendario/contenedor de contactos y ShareFile, un servicio de sincronización e intercambio de archivos seguro. Esto hace posible que las personas puedan visitar la intranet perfectamente sin necesidad de costosas soluciones VPN que abren la red de la empresa a todas las aplicaciones del dispositivo. Con Worx Mobile Apps, cualquier desarrollador o administrador puede añadir capacidades empresariales, tales como cifrado de datos, autenticación de contraseñas o una micro aplicación VPN. Worx Mobile Apps incluye: WorxMail – WorxMail es una aplicación de características nativas para iOS y Android de correo electrónico, calendario y contactos que funciona y administra datos enteramente dentro del contenedor seguro en el dispositivo móvil. WorxMail admite Exchange ActiveSync APIs y ofrece prestaciones de seguridad tales como el cifrado del correo electrónico, de los archivos adjuntos y de los contactos. WorxWeb – WorxWeb es un explorador móvil completo para dispositivos iOS y Android que posibilita el acceso seguro y sencillo a la web empresarial interna, al SaaS externo y a las aplicaciones web en HTML5 mientras que mantiene el aspecto de un navegador de dispositivo nativo. A través de una Micro-app VPN, los usuarios pueden acceder a todos sus sitios web, incluyendo aquellos con información confidencial. WorxWeb ofrece una experiencia de usuario excepcional en su integración con WorxMail para permitir que los usuarios puedan acceder a enlaces y dispongan de las aplicaciones nativas abiertas dentro del contenedor de seguridad en el dispositivo móvil. Worx Home – Worx Home es el punto de control central para todas las aplicaciones envueltas en XenMobile así como del contenido almacenado en el dispositivo. Worx Home gestiona la experiencia trampolín del usuario para la autenticación, aplicaciones, administración de políticas y almacenamiento cifrado variable. citrix.es/byod citrix.es/secure 14 BYOD y Seguridad de la Información White Paper Juntas, estas y otras características de XenMobile permiten: Control unificado sobre el acceso remoto a aplicaciones y datos. La tienda unificada de aplicaciones empresariales de Citrix agrupa correctamente las aplicaciones y puestos de trabajo virtualizados de Windows; aplicaciones móviles web, SaaS y datos en un solo lugar para gestionar y controlar las políticas y las cuentas que se aplican a los servicios de usuario. Aislar y asegurar el correo electrónico de la empresa. Una de las mayores ventajas de WorxMail es que mantiene el correo electrónico de la empresa en un sandbox o contenedor no mezclado con el dispositivo. Compare esto con el uso de ActiveSync y la aplicación de correo electrónico móvil nativa, donde un administrador debe tener cierto control del dispositivo y el usuario necesita dar consentimiento para que el dispositivo sea borrado si hay un problema. El acceso, el cifrado y la información del perfil están unidos al dispositivo. Además de esto, el enfoque de sandbox proporciona cifrado en el cuerpo del correo electrónico y en los datos adjuntos. Evitar la interferencia con contenido personal en dispositivos móviles. Utilizando WorxMail, el usuario necesita sólo acceder a la información del negocio almacenada en el contenedor de WorxMail que será borrado en caso de haber un problema en vez de borrar todo el dispositivo. El correo electrónico empresarial y los contactos son aislados, protegidos y controlados por el contenedor, no por el dispositivo. El correo electrónico del trabajo y el personal también están separados gracias al enfoque en sandbox, lo que ayuda a mantener separados el correo y los contactos. XenMobile y Samsung SAFE y KNOX XenMobile es compatible con los controles de seguridad de Samsung SAFE y KNOX, incluyendo la gestión del contenedor KNOX. La estrecha integración entre Worx Mobile Apps y el contenedor seguro KNOX aseguran que los datos confidenciales de la empresa, incluyendo correo electrónico conforme a la normativa, nunca es expuesto al malware que puede residir en el sistema operativo, o a aplicaciones no administradas en el contenedor personal. Además la solución también soporta los seguimientos de auditoría para verificar la integridad de los datos para el cumplimiento normativo y consideraciones reglamentarias. XenMobile también permite funciones de seguridad adicionales y controles para KNOX incluyendo la comunicación segura entre aplicaciones, control de límites geográficos, control de tráfico de red inteligente y gestión segura de contenidos. (Nota, licencias adicionales para Samsung Knox pueden ser necesarias). XenMobile e iOS 7.x XenMobile soporta y extiende controles iOS nativos con prestaciones de seguridad añadidas. Para iOS 7 y KNOX, XenMobile ofrece las siguientes mejoras: Funciones de XenMobile Detalles Tienda de aplicaciones empresariales Un solo panel de acceso con capacidad de aprovisionar aplicaciones móviles, SaaS, web y Windows directamente en el dispositivo trampolín SSO mejorado Acceso con un solo clic a aplicaciones móviles, SaaS, web y Windows citrix.es/byod citrix.es/secure 15 BYOD y Seguridad de la Información White Paper Ecosistema de aplicaciones preparadas para la empresa El mayor ecosistema de aplicaciones con Worx App Gallery Control de red Controlar el uso de la aplicación basado en redes WiFi Control autorizado SSID Control granular de con qué aplicaciones de la red interna trabajar Control de límites geográficos Seguridad mejorada para bloquear, borrar o notificar basándose en la ubicación del dispositivo Acceso online/offline Restringir la aplicación para el acceso online o determinar el tiempo de su uso offline Control de comunicación entre aplicaciones Control de comunicación entre aplicaciones administradas Fácil aprovisionamiento y desaprovisionamiento Habilitar/deshabilitar el acceso Correo electrónico seguro Correo electrónico Sandbox integrado con contactos corporativos y calendario con visibilidad de la disponibilidad del contacto Explorador seguro Navegador HTML5 totalmente funcional para sitios de contenidos seguros e intranet corporativa Administración segura del contenido Acceder, anotar, editar y sincronizar archivos desde cualquier dispositivo Suite completa de aplicaciones EMM Aplicaciones para abordar todos los casos de uso EMM y capacidades críticas que incluyen ShareFile, GoToMeeting, GoToAssist y Podio Cómo ayuda ShareFile a proteger los datos y archivos ShareFile proporciona capacidades totalmente integradas con XenMobile para compartir y sincronizar datos administrados de forma robusta. La solución también permite a TI almacenar datos en las instalaciones o en la nube, y ayuda a movilizar las inversiones existentes tales como los recursos compartidos de red y SharePoint. Ricas capacidades de edición de contenido integradas dentro de ShareFile permiten a la gente satisfacer sus necesidades de movilidad, productividad y colaboración desde una sola aplicación intuitiva. Con ShareFile TI puede: Asegurar los datos con políticas completas de seguridad del dispositivo. ShareFile proporciona amplias capacidades para garantizar la seguridad de datos en dispositivos móviles. ShareFile ofrece características de borrado y poison pill remotas que eliminan el acceso a datos confidenciales en caso de un fallo de seguridad. TI también puede restringir dispositivos móviles modificados y habilitar el bloqueo de código aprovechando las capacidades de cifrado del dispositivo móvil. citrix.es/byod citrix.es/secure 16 BYOD y Seguridad de la Información White Paper Aumente la productividad de los usuarios con ricas ediciones de contenido en dispositivos móviles. Los usuarios pueden crear, revisar y editar documentos de Microsoft Office en la aplicación ShareFile y editarlos con herramientas similares a las disponibles en sus aplicaciones de escritorio de Microsoft Office. Restringir las aplicaciones de terceros y mejorar la seguridad de los datos en el dispositivo móvil. TI puede restringir el uso de aplicaciones de terceros no autorizados para abrir y editar datos de ShareFile. Un editor incorporado hace posible que pueda restringir el uso de editores de terceros que los empleados pueden estar utilizando y así evitar que los empleados almacenen copias de datos confidenciales dentro de esas aplicaciones. Conservar la estructura de carpetas y sub carpetas en los dispositivos móviles. Usted puede señalar carpetas completas además de archivos individuales para su acceso offline en el móvil. Aumente la disponibilidad. El acceso offline a carpetas enteras, complementado con la edición de documentos, ayuda a la gente a ser plenamente productiva en cualquier lugar. Seguimiento, registro e informes de acceso del usuario al archivo, y actividad de sincronización y archivos compartidos. TI hace un seguimiento integral sobre la fecha, tipo, lugar y dirección de red de cada evento del usuario. Varias versiones de archivos se pueden almacenar para crear pistas de auditoría completas sobre la actividad de edición. Si se inicia un borrado remoto, TI puede registrar la actividad del archivo que se desarrolla en el dispositivo desde el momento en que se inició el borrado hasta el final, y recibirá una notificación indicando si ha conseguido borrarlo. Racionalizar la administración y la seguridad. TI puede aprovechar fácilmente el servicio de aprovisionamiento y desaprovisionamiento basado en funciones, la autenticación de dos factores, los controles basados en políticas y el seguimiento de las aplicaciones en tiempo real a través de la integración ShareFile con XenMobile. ShareFile le permite elegir donde almacenar sus datos. Con la característica ShareFile StorageZones, las organizaciones pueden gestionar sus datos localmente en StorageZones administrados por el cliente o elegir StorageZones administrados por Citrix (con opciones cloud seguras disponibles en siete ubicaciones en todo el mundo) o una mezcla de ambos. Con StorageZones administradas por el cliente, TI es capaz de colocar los datos en el propio centro de datos de la organización para mantener una única soberanía sobre los datos y cumplir la normativa vigente. Para quienes opten por guardar los datos en la nube, los centros de datos que alojan la aplicación web ShareFile y las bases de datos están acreditados por SSAE 16 y los centros de datos que alojan la aplicación de almacenamiento de archivos están acreditados por SSAE 16 e ISO 27001. Citrix implementa y mantiene controles comerciales razonables y apropiados controles físicos, técnicos y organizativos gratuitos para proteger los datos del cliente. ShareFile cumple con PCI-DSS y firmará un acuerdo de socio HIPAA. Citrix ofrece también ShareFile Cloud para el sector sanitario, un enclave seguro dentro de una nube privada donde puede subir, almacenar y compartir información del paciente (PHI) y cumplir con las estrictas normativas HIPAA. ShareFile Cloud para el sector sanitario cumple la normativa de seguridad HIPAA. citrix.es/byod citrix.es/secure 17 BYOD y Seguridad de la Información White Paper Cómo XenDesktop y XenApp ayudan a proteger las aplicaciones y los datos XenDesktop y XenApp proporcionan acceso remoto seguro a los puestos de trabajo Windows virtuales centralizados, y a las aplicaciones y datos asociados que permanecen protegidos dentro del centro de datos. Aunque los dispositivos y las personas que los usan son móviles, los datos por sí mismo se mantienen seguros y protegidos dentro del centro de datos. XenApp y XenDesktop también proporcionan una forma fácil, eficiente y segura de entregar a los empleados móviles aplicaciones Windows desarrolladas internamente y por terceros. Cómo NetScaler ayuda a proteger los datos y archivos NetScaler proporciona conectividad asegurada para la movilidad, permitiendo funcionalidades de single sign on (SSO), autenticación de múltiples factores, cifrado y micro-app VPN. El uso de NetScaler automatiza la seguridad de la red, liberando al propietario del dispositivo de tener que habilitar o deshabilitar las VPNs o recordar cómo conectarse de forma segura a las aplicaciones web y cloud. NetScaler beneficia a los inspectores de seguridad y cumplimiento normativo garantizando todas las medidas necesarias de autenticación, cifrado, registro y protección de redes son aplicadas. Mejores prácticas de seguridad móvil Para garantizar una seguridad y control efectivos, las organizaciones deben complementar las capacidades de seguridad inherentes en las tecnologías y dispositivos móviles de Citrix con mejores prácticas integrales tanto para la gente como para TI. Todos los miembros de la organización deben compartir la responsabilidad de seguir estas medidas, que son vitales para permitir la movilidad empresarial y BYOD de manera segura y controlada. Citrix recomienda las siguientes pautas de administrador y usuario al utilizar Citrix con Android, iOS y tablets y smartphones Windows. Acciones recomendadas para el usuario Los usuarios tienen la responsabilidad de proteger la información confidencial de su organización. Pueden controlar la instalación y configuración del dispositivo, tener a diario buenas prácticas de uso, utilizar XenMobile, ShareFile, XenDesktop y XenApp para ayudar a garantizar la seguridad, y tener en cuenta otras acciones recomendadas. Los administradores pueden asegurarse de que los usuarios emplean estas mejores prácticas implementándolas automáticamente a través de la política de XenMobile. Aquí se describen las mejores prácticas para los usuarios. Preparación y configuración del dispositivo Plataforma No libere o convierta en root su dispositivo si lo utiliza dentro de los entornos empresariales y deniegue instalar certificados de terceros Android: Si debe compartir, use otra cuenta de usuario para niños y otros invitados en un dispositivo compartido iOS: No es necesaria ninguna configuración Windows: Cree una cuenta separada para Administrador y use una cuenta de usuario sin privilegios para el trabajo diario citrix.es/byod citrix.es/secure 18 BYOD y Seguridad de la Información Autenticación White Paper Utilice una contraseña de bloqueo para proteger el acceso a su dispositivo móvil, use contraseña de ocho caracteres que no sea sencilla Android: Configure el bloqueo de pantalla para ajustar el código de acceso o PIN de seguridad, establezca el bloqueo automático después de un tiempo de espera, y establezca el bloqueo al instante con la tecla de encendido iOS: Establezca requerir contraseña inmediatamente y frustrar la contraseña adivinada activando el borrado de datos a ON. Habilitar Auto Bloqueo y configurarlo para un minuto. Use TouchID, si está disponible en su dispositivo Windows: Establecer una contraseña para la cuenta y solicitar una contraseña después de que la pantalla esté apagada durante x minutos Cifrado Cifrar el dispositivo y las copias de seguridad y controle la ubicación de copias de seguridad Android: Codificar dispositivo iOS: Establecer una contraseña o frase de contraseña para codificar el dispositivo y cifrar las copias de seguridad en iTunes y iCloud Windows: Configurar BitLocker Servicios cloud Configurar los servicios de forma que los datos confidenciales de la empresa no tengan las copias de seguridad en la nube del consumidor; esto incluye documentos, información de la cuenta, contraseñas wireless, configuraciones y mensajes Android: Desactivar Copia de Seguridad personal para la cuenta de Google iOS: Desactivar el iCloud personal Windows: Desactivar el OneDrive personal Bluetooth e intercambio Desactivar el intercambio de datos para conexiones no fiables; por ejemplo, desactivar la transferencia de sus contactos y directorio telefónico mientras utiliza un Bluetooth para llamadas telefónicas o reproducción de música en un coche de alquiler iOS: Apagar Sincronización de Contactos Windows: Desactivar Compartir Red y Wireless Utilice sólo redes fiables, asegúrese del cifrado de la red y utilice una VPN o micro-app VPN para proporcionar cifrado independientemente de las capacidades de red subyacentes; la característica de WorxWeb de XenMobile permite la conectividad micro-app VPN. Android: Configurar la red inalámbrica para proporcionar las notificaciones de red iOS: Configurar la red wireless para solicitar la adhesión a la red Windows: En ajustes avanzados de uso compartido en el Panel de Control, apague la detección de la red para Invitados o redes públicas y active el uso compartido con protección por contraseña citrix.es/byod citrix.es/secure 19 BYOD y Seguridad de la Información Email White Paper Puesto que el correo electrónico se utiliza comúnmente para compartir (y filtrar) datos confidenciales, utilizar ShareFile para mantener los archivos confidenciales adjuntos fuera del correo electrónico y utilizar WorxMail con XenMobile cuando se desee un contenedor de correo electrónico administrado Android: Configure el acceso a su correo electrónico para utilizar siempre conexiones seguras iOS: Asegúrese de que Usar SSL está en todas las cuentas compatibles y utilice S/MIME, si está configurado Windows: Configure cuentas para soportar SSL Actualizaciones de dispositivo/Dispositivo extraviado Saber cómo copiar todos los datos para la transferencia a un nuevo dispositivo y cómo borrar con seguridad un dispositivo viejo así como el procedimiento para ponerse en contacto con su organización de TI para informar sobre un dispositivo perdido o robado Android: Utilice Copiar mis Datos y ajustes nativos o una solución de copias de seguridad de terceros, y use Restablecer Datos del Fabricante para borrar datos personales iOS: Consulte con su organización de TI sobre si hay una solución de gestión de dispositivos (MDM) implementada que le permita localizar y borrar de forma remota su dispositivo si es extraviado o robado; Si no se usa MDM, configure Encuentra Mi iPhone y utilícelo para borrar el dispositivo perdido o robado* Windows: Utilice File History o una solución de copia de seguridad de terceros, borre todo y reinstale Windows para borrar los datos personales Privacidad Evite la exhibición e intercambio inadvertido de información personal y confidencial Android: Deshabilite la recogida de Diagnósticos y Datos de Uso bajo Ajustes/General/Acerca de iOS: Encienda Límite de Seguimiento de Publicidad en General/Acerca de/Publicidad y configure las Notificaciones para mostrar solamente información en el centro de notificación de aplicaciones que no erosionen la privacidad Windows: Configure las Notificaciones para Mostrar Notificaciones de la Aplicación en la pantalla de bloqueo solo para aplicaciones de confianza; desactive Dejar que Windows Guarde Mis Búsquedas como sugerencias de búsquedas futuras; encienda No Seguir en Internet Explorer; borre el historial de búsqueda en Windows; desactive Dejar a las Aplicaciones Usar Mi Nombre y mi Foto de la Cuenta; y desactive Ayuda a Windows Store mediante el envío de URLs para el contenido web que utilizan las aplicaciones * La aplicación Encuentra Mi iPhone, una descarga gratuita en App Store, permite a los usuarios localizar fácilmente un dispositivo perdido en un mapa y mostrar un mensaje o reproducir un sonido. La gente puede incluso cerrar o borrar remotamente los datos de un dispositivo extraviado para proteger su privacidad. citrix.es/byod citrix.es/secure 20 BYOD y Seguridad de la Información White Paper Desactive las funciones utilizadas por los programadores que puedan erosionar la seguridad y privacidad Diagnóstico y características del programador Android: Deshabilite las opciones del programador y la depuración de USB iOS: Desactive el envío de Diagnósticos y Datos de Uso en Ajustes/General/Acerca de/Diagnóstico y Uso Windows: Funcione como un usuario sin privilegios, no como administrador, para deshabilitar el acceso a diagnósticos administrativos y del sistema Aplicaciones Solo instale aplicaciones desde buenas fuentes, tiendas de aplicaciones empresariales y tiendas de aplicaciones de plataformas oficiales Android: No acepte aplicaciones que requieran permisos excesivos y cerciórese de que los recursos Administración del Dispositivo/Desconocidas no está seleccionada iOS: Utilice aplicaciones de la tienda de aplicaciones de Apple Windows: Utilice las aplicaciones de Microsoft® Store Actualizaciones Aplicar actualizaciones de software cuando estén disponibles nuevas versiones Android: Vaya a Acerca del Dispositivo/Actualización de Software para las actualizaciones del sistema operativo y a Play Store para la actualización de aplicaciones iOS: Vaya a General/Actualización de Software para comprobar las actualizaciones de iOS y compruebe la aplicación App Store para actualizaciones de la aplicación Windows: Utilice Actualizaciones de Windows para actualizaciones del sistema operativo y Store para las actualizaciones de la aplicación Software de seguridad Configure el software de seguridad incluido y sus características, incluyendo el cortafuegos y ejecute una solución anti-malware si es necesario Android: Busque en Play Store aplicaciones de seguridad que cumplan con las necesidades de seguridad personales y de la empresa iOS: Ninguna configuración especial es necesaria Windows: Configure el cortafuegos de Windows; el antivirus Windows Defender va pre-instalado Uso diario • Pulse el botón de encendido para bloquear el dispositivo cuando no está en uso. • Verifique la ubicación de las impresoras antes de imprimir documentos confidenciales. • Informe a TI de cualquier dispositivo perdido o robado para que puedan desactivar los certificados y otros métodos de acceso asociados al dispositivo. citrix.es/byod citrix.es/secure 21 BYOD y Seguridad de la Información White Paper • Utilice un portal de autoservicio para bloquear y localizar dispositivos perdidos. • Considere las implicaciones de privacidad antes de habilitar servicios basados en ubicación y limite el uso a aplicaciones de confianza. • Gestione el acceso a iTunes AppleID, Google y cuentas OneDrive, las cuales están ligadas a datos confidenciales. Consideraciones adicionales y mejores prácticas • Mantenga los datos confidenciales no administrados lejos de dispositivos móviles. Si la información de la empresa se almacena localmente en un dispositivo, se recomienda que este dispositivo no sea compartido abiertamente. Pregunte a su departamento de TI cómo utilizar tecnologías de Citrix para mantener los datos en los centros de datos y mantener los dispositivos personales como personales. • Si debe tener datos confidenciales en un dispositivo móvil, utilice ShareFile y XenMobile para contener los datos confidenciales y hacer un seguimiento de a dónde van los datos empresariales y dónde están. • Utilice las funciones adicionales de autenticación y cifrado de ShareFile y XenMobile para atenuar las vulnerabilidades del bypass del Bloqueo de Pantalla. • Configure servicios de localización para desactivar el seguimiento de ubicación para las aplicaciones que usted no quiera saber su ubicación. • Configure notificaciones para deshabilitar la capacidad de ver notificaciones mientras el dispositivo está cerrado para las aplicaciones que podrían exhibir datos confidenciales. • Configure Autorrelleno – Autorrellene nombres y contraseñas de los navegadores para reducir las pérdidas de contraseña porque le espíen o vigilen por encima del hombro (si la política de la empresa lo desea y lo permite). Responsabilidades adicionales de los propietarios de dispositivos móviles que acceden a las comunicaciones de correo electrónico de la empresa Las tablets y smartphones Android, iOS y Windows soportan de forma nativa Microsoft Exchange y otros entornos de correo electrónico. XenMobile puede utilizarse para configurar políticas de correo electrónico sobre el dispositivo, así como para bloquear el acceso si el dispositivo no cumple la normativa. Para entornos de alta seguridad, WorxMail, un cliente de correo electrónico en sandbox fácil de usar, puede ser utilizado para controlar el correo electrónico y sus adjuntos con las políticas de control de datos elementales. Acciones recomendadas del administrador Los administradores son responsables de implementar y hacer cumplir las políticas establecidas por los responsables de seguridad y los ejecutivos de TI y de la empresa. A continuación se detallan las acciones claves recomendadas. • Publique una política de empresa que especifique el uso aceptable de dispositivos de consumo y personales en la empresa. Asegúrese de que los usuarios son conscientes de estas políticas. • Publique una política de empresa para servicios en la nube, especialmente para las herramientas de intercambio de archivos. citrix.es/byod citrix.es/secure 22 BYOD y Seguridad de la Información White Paper • Habilite medidas de seguridad tales como antivirus para proteger los datos en el centro de datos. • Implemente una política que especifique cuáles son los niveles de acceso a aplicaciones y datos permitido en dispositivos de consumo, y cuales están prohibidos. • Especifique un tiempo de espera de sesión a través de NetScaler Gateway que sea consistente con la política de la empresa. • Especifique si la contraseña de dominio puede cachearse en el dispositivo, o si los usuarios deben introducirla cada vez que soliciten acceso. • Habilite SSO para aplicaciones móviles utilizadas comúnmente para su seguridad y facilidad de uso. • Determine y configure los métodos de autenticación permitidos por NetScaler Gateway. Conclusión La movilidad empresarial y BYOD obligan a las organizaciones a adaptarse a los nuevos retos de seguridad. Citrix permite un enfoque centralizado de seguridad que protege la información confidencial del negocio sin obstaculizar la productividad, dando a las empresas una manera eficaz de satisfacer las necesidades de unos empleados cada vez más móviles. Con Citrix, la empresa puede adoptar un enfoque más eficaz y moderno para la seguridad de la información. Este documento no pretende ser una guía completa sobre la seguridad móvil en la empresa con Android, iOS y Windows. Citrix recomienda una evaluación global de la estrategia que incluye XenMobile, ShareFile, XenDesktop, XenApp y NetScaler. Declaración de la versión: Este documento es válido para Android 4.4, Apple iOS 7.1 y Windows 8.1 a partir de abril de 2014. Si desea información adicional, sobre soluciones Citrix BYOD y la tecnología segura por diseño, por favor visite http://www.citrix.es/byod and http://www.citrix.es/secure o síganos en Twitter @CitrixBYOD y @CitrixSecurity. Recursos adicionales • 10 elementos esenciales de una estrategia de movilidad empresarial segura • Mejores prácticas para que la solución BYOD sea sencilla y segura • Gestión de la movilidad empresarial: Adoptando BYOD a través de la entrega segura de aplicaciones y datos • Los 10 requisitos indispensables para conseguir una movilidad empresarial segura Si desea obtener más información específica sobre la seguridad de dispositivos iOS, Android y Windows Phone y Surface en la empresa, por favor visite: citrix.es/byod citrix.es/secure 23 BYOD y Seguridad de la Información 24 White Paper Apple iOS • El iPad en las empresas – Centro TI: Seguridad • El iPhone en las empresas – Centro TI: Seguridad Android • Características de KitKat, Android 4.4 Windows Phone y Surface • Windows Phone 8 seguridad y cifrado Sede central corporativa Fort Lauderdale, FL, EUA Centro de Desarrollo de la India Bangalore, India Sede central de América Latina Coral Gables, FL, EUA Sede central de Silicon Valley Santa Clara, CA, EUA Sede central de la División Online Santa Barbara, CA, EUA Centro de Desarrollo del Reino Unido Chalfont, Reino Unido Sede central de EMEA Schaffhausen, Suiza Sede central del Pacífico Hong Kong, China Acerca de Citrix Citrix (NASDAQ: CTXS) es una compañía líder en virtualización, networking e infraestructura cloud que ofrece a la gente nuevas y mejores maneras de desempeñar su trabajo. Las soluciones de Citrix ayudan a los departamentos de TI y a los proveedores de servicios a construir, gestionar y asegurar espacios de trabajo virtuales y móviles que ofrecen sin complicaciones aplicaciones, escritorios, datos y servicios a cualquier persona, en cualquier dispositivo, en cualquier red o cloud. Este año, Citrix celebra 25 años de innovación, haciendo que los trabajadores sean más productivos en sus estilos de trabajo móviles y simplificando sus procesos de TI. Con unos ingresos anuales de 2900 millones de dólares en 2013, las soluciones de Citrix son utilizadas en más de 330.000 organizaciones y por más de 100 millones de personas en todo el mundo. Para más información, visite www.citrix.es. Copyright © 2014 Citrix Systems, Inc. Todos los derechos reservados. Citrix, XenDesktop, XenApp, Citrix Receiver, ShareFile, NetScaler, NetScaler Gateway, WorxMail, WorxWeb, Worx Home y XenMobile son marcas comerciales de Citrix Systems, Inc. y/o una de sus filiales, y pueden estar registradas en los EE.UU. y otros países. Otros nombres de productos y compañías mencionados pueden ser marcas registradas de sus respectivas empresas. 0414/PDF citrix.es/byod citrix.es/secure