310 likes | 405 Vues
”BYOD: Asegurando los dispositivos que no le pertenecen ". Hermes Romero R. Security Sales Leader SSA & MEX hromero@cl.ibm.com 9 de Octubre de 2012. Agenda. Una tendencia creciente: Lugar de trabajo móvil Entendiendo las amenazas potenciales de seguridad a los dispositivos móviles
E N D
”BYOD: Asegurando los dispositivos que no le pertenecen" Hermes Romero R. Security Sales Leader SSA & MEX hromero@cl.ibm.com 9 de Octubre de 2012
Agenda • Una tendencia creciente: Lugar de trabajo móvil • Entendiendo las amenazas potenciales de seguridad a los dispositivos móviles • Soluciones que abordan el negocio y desafíos TI
61% CIOs lo definen como prioritario 45% Aumento de productividad con aplicaciones móviles La Movilidad Empresarial se ha convertido en una transformación mandatoria y en una realidad inevitable 10 Mil Millones Dispositivos en 2020
La movilidad está cambiando la forma en que vivimos y hacemos negocios Los usuario móviles formarán el 73% de la fuerza laboral de las Empresas para el 2012 Las implementaciones efectivas y el continuo gerenciamiento son las claves para el éxito en proyectos de Movilidad Empresarial
La tecnología Móvil presenta un enorme conjunto de oportunidades a las empresas de todos los sectores. Banca Seguros Salud Telecom Retail Gobierno Otros Aplicaciones corporativas e infraestructura existente Optimización de lugar de trabajo Innovación de Productos y servicios Servicio al Cliente Servicios móviles a terceros Colaboración Social Notificación Al usuario Servicios de locación Pagos Móviles Comercio Social Móvil Extendiendo el negocio a clientes móviles y fuerza de trabajo Mejorar la eficiencia operacional y reducir costos Diferenciar la experiencia del cliente Habilitar nuevos servicios y modelos de negocios Resultados del Negocio
Las realidades y presiones de hoy Consumerization • Movilidad • BYOD • Negocio Social • Soluciones interactivas • Necesidades de TI • Entregar nuevas capacidades más rápidamente • Cambiar a los recursos de tareas de mantenimiento a transformación • Controlar la complejidad del crecimiento • Demandas del negocio • Tomar oportunidades más rápidamente • Lograr innovación en los negocios • Apalancarse en la tecnología más estratégicamente
Flexibilidad para el usuario Disminución de complejidad y costos para la Empresa Bring Your Own Device According to a survey by Aruba, 69 percent of organizations polled allow some form of BYOD, either strictly limited to internet connectivity or allowing some access to corporate applications on employee-owned devices.
Para entender qué están haciendo los líderes para posibilitar el cambio y la innovación, IBM condujo un estudio global 675 CIOs y profesionales de IT 6países de 4 continentes • Australia • China • India • Japan • United Kingdom • United States Multiples industrias Profesionales de IT Senior 131 544 CIOs
Mientras que el costo es un desafío importante, la Seguridad es la preocupación principal de los ejecutivos de TI que buscan adoptar un ambiente de usuario más flexible. Pregunta de la encuesta: “Cuál es tu desafío más importante en cada una de éstas áreas?” Seguridad Costo 18% Movilidad 71% Soporte al usuario 16% 68% 27% Colaboración 68% Seguridad es la preocupación más importante de los encuestados en lo referente a las 3 áreas foco de un ambiente de usuario más flexible 10
Gartner: Soluciones prioritarias para el CIO Gartner 2011 CIO priorities Las primeras tres prioridades tienen una relación directa Source: Gartner – Reimagining IT: The 2011 CIO Agenda
Costos de Soporte • Soportar al usuarios final, nuevos skills • Continuo soporte en terreno, dispersión geográfica Seguridad en Disp. Móviles • Cumplimiento con regulaciones y políticas • Administración de parches • Robo o pérdida de datos • Virus, Malware Costos de operación • Implementación Distribuída • Migración y cambio lento • Compleja distribución de Software Aplicaciones nuevas o actuales • Migración de la aplicación a un nuevo SO o Dispositivo • Nuevo desarrollo • Proyección futura de la aplicación Administración de la Infraestructura • Administrar una nueva plataforma • Múltiples proveedores, marcas y modelos Requerimientos de Tecnología • Tiempo de respuesta más rápido y más flexibilidad para entregar acceso a usuarios • Alta Disponibilidad de las aplicaciones • Reducción de costos de IT Obsolesencia • Ciclo de renovación tecnológica • Cambios de modelos y Sistemas operativos Problemática para entregar movilidad empresarial
Importancia de la Seguridad en Dispositivos móviles “Para el 2014, 90% de las organizaciones tendrán que soportar aplicaciones corporativas en dispositivos personales. El principal impulsor ... Usuarios que prefieren utilizar sus smartphones y tablets personales para el negocio y el trabajo” Gartner Top Predictions for 2011: IT’s Growing Transparency and Consumerization “Escoja 5 de los principales desafíos que usted enfrentará en los próximos 6 meses” Source: “Executive Spotlight: Top Priorities for Security and Risk Leaders, 1H 2011” Forrester, April 2011
Agenda • Una tendencia creciente: Lugar de trabajo móvil • Entendiendo las amenazas potenciales de seguridad a los dispositivos móviles • Soluciones que abordan el negocio y los desafíos TI
2011: El año de los ataques informáticos 14bn Yen The Sony attacks this year will cost it 14bn yen in increased customer support costs, welcome-back packages, legal fees, lower sales and measures to strengthen security.
Creo que estoy protegido ... ... Al ver el panorama completo la Seguridad no siempre es un problema técnico…….. http://www-03.ibm.com/security/xforce/
La necesidad de seguridad es una realidad Víctimas de Botnet Android por semana - 2011 “Muchos de estos dispositivos se conectan a redes inalámbricas corporativas cuando son llevados al trabajo. Ellos llegan hasta las redes ya infectados y los sistemas de seguridad tradicionales, diseñados para protejer los activos tradicionales no son capaces de detectar dispositivos móviles infectados”. 40,000 20,000 Source: Damballa 2011 1H Threat Report
La movilidad habilita a las organizaciones a mejorar el acceso a la información, aumentar la productividad y proveer un mejor servicio al cliente
Las compañías están comenzando a ver la necesidad de asegurar cuidadosante los datos corporativos tanto el móviles personales como en los corporativos. 350million 53% 2X Con datos tanto personales como corporativos, los móviles ahora son doblemente atractivos para los hackers3 Para el 2016, el número de personas que usarán su móvil para trabajar2 Porcentaje de ejecutivos TI que rankearon la seguridad y privacidad en móviles como la preocupación número UNO1 Find out more: IBM’s mobile device defense – ”A Do-or-Die Dilemma,” an infographic 1 Source: 2011 IBM Tech Trends Report https://www.ibm.com/developerworks/mydeveloperworks/blogs/techtrends/entry/home?lang=en 2 Forrester Research, “Mobile is the New Face of Engagement,” February 2012 3 Kathleen Bela and Danielle Hamel, Risky Business: Survey Shows Smartphone Security Concerns Running High, http://www.juniper.net/us/en/company/press-center/press-releases/2010/pr_2010_10_26-10_02.html
La anatomía de un ataque móvil inicia con una aplicación legítima. • Un desarrollador legítimo crea una aplicación. • Un desarrollador malicioso modifica la aplicación con malware. • Un usuario móvil descarga la aplicación que contiene malware. • El desarrollador legítimo sube la aplicación a algún sitio o tienda de aplicaciones. • El desarrollador malicioso sube la aplicación modificada a una tienda de aplicaciones donde usuarios móviles la pueden descargar gratuitamente. • El desarrollador malicioso puede controlar el teléfono remotamente, accesar la información e inclusive infectar los servidores corporativos. Source: U.S. Government Accountability Office analysis of studies and security reports. September 2012, "Better implementation of controls for mobile devices should be encouraged"
LIVE DEMO 192.168.0.101 Wireless 192.168.0.1 Wireless 192.168.0.100 Internet Hotel Wired
Para obtener los beneficios, las empresas no sólo deben abarcar la movilidad, sino tener una estrategia clara para hacer frente a los requisitos de seguridad. Usted necesita: • Extender los controles de seguridad de las actuales estaciones de trabajo a los dispositivos móviles • Reconocer las carácterísitcas únicas de los teléfonos móviles cuando considere las medidas de seguridad • Escoger una solución de seguridad que pueda sostener los cambios en tecnologías y amenazas de seguridad • Educar a los empleados: esto es tan importante como la tecnología
Las mejores prácticas de seguridad de “Bring-your-own-device” (BYOD) deberán abarcar desde las políticas hasta las aplicaciones. Abordar una amplia gama de problemas de governabilidad: • Políticas de uso aceptable y educación al usuario final • Indentificar y controlar el acceso a dispositivos y redes - basados en roles y otros parámetros • Gestión de dispositivos y seguridad en el endpoint • Protección de amenazas de red con múltiples tecnologías • Tecnologías de monitoreo de seguridad para escanear amenazas • Protección de aplicaciones móviles usando plataformas de desarrollo y pruebas seguras
Agenda • Una tendencia creciente: Lugar de trabajo móvil • Entendiendo las amenazas potenciales de seguridad a los dispositivos móviles • Soluciones que abordan el negocio y los desafíos TI
La virtualización de aplicaciones en la Nube proveen mayor control y seguridad sobre los datos y las aplicaciones mientras que entregan mayor punto de acceso. Facilita a las organizaciones a implementar políticas bring-your-own-device en forma segura Nube Servidores Portafolio de aplicaciones Datos Las aplicaciones y los datos permanecen en el Data Center, con imágenes entregadas a los usuarios 26
Usted también se puede beneficiar de servicios de gestión remota y soluciones de comunicaciones integradas. Gestión de dispositivos móviles Servicios de Seguridad Gestionada Juniper VPN Application serversen intranet corporativa
1 Servicio de evaluación móvil y consultoría de estrategia Desafío: Falta de conocimientos y capacidades para determinar los riesgos y políticas para una empresa mas móvil Se realizan las preguntas apropiadas para ayudar a desarrollar un estrategia móvil que se ajuste a los requerimientos de su empresa. GESTIÓN DE DISPOSITIVOS APLICACIONES SEGURIDAD PLATAFORMAS Cuales controles de seguridad aplicaría a esas mismas aplicaciones en las estaciones de trabajo? Que controles adicionales usted necesita debido a que el dispositivo es móvil y es propopenso a un robo? Que aplicaciones móviles y datos usted requiere? Cuales sistemas operativos móviles planea soportar? 2. Evaluación de madurez 3. Análisis GAP 4. Planeación 1. Evaluar y analizar
2 Evaluación de seguridad de aplicaciones móvilesDesafío: Validar la seguridad en las aplicaciones móviles desarrolladas internamente o adquiridas a terceros Servicios incluidos: • Simulaciones de ataques • Evaluación de vulnerabilidades de la aplicación móvil para proveer una visión de la postura de seguridad • Evaluación profunda de vulnerabilidades que podrían poner en peligro los datos sensibles • Revisión funcional de la aplicación desde la perspectiva tanto del cliente como del servidor • Reporte detallado provee recomendaciones de mitigación de los riesgos
3 Gestión de seguridad de dispositivos móvilesDesafío: Necesidad de controles de seguridad básicos (perdida o robo y antimalware) para “BYOD” Se puede proveer los controles de seguridad mas importantes en una modalidad hosteada mas simple • Protección de Datos para dispositivos desatendidos, robados o perdidos • Mitigación de Amenazas para ayudar a proteger contra los vitus y spyware que puede infectar a los dispositivos móviles y redes corporativas cuando el dispositivo se conecte • Mitigación de Riesgo ayudando a limitar el acceso a aplicaciones que puedan exponer información corporativa • Herramientas de investigación de amenazas internas • Conexión Cifrada entre los dispositivos y la red corporativa
Funcionalidades recomendadas de una apropiada gestión de dispositivos móviles SSL VPN for Mobile Antivirus Firewall Anti-spam Lock/Wipe, Backup/Restore GPS Locate Parental Controls App Control/Removal Security Event Reporting Device Registration Reporting Cloud-based offering Dedicated offering
Hermes Romero R. hromero@cl.ibm.com