Integración segura del BYOD

Abstract

A medida que muchos departamentos de TI luchan por mantenerse al día con los cambios tecnológicos anuales, los empleados de la compañía desean cada vez más usar sus propios dispositivos para acceder a los datos corporativos. Los dispositivos que son propiedad de los empleados a veces son aprobados por la compañía y son compatibles con dispositivos que son propiedad de la empresa. En otros casos, los dispositivos de propiedad de los empleados forman parte del sistema paralelo conocido como TI instantánea: hardware o software dentro de una empresa que no es compatible con el departamento central de TI de la organización. Ya sea que el hardware y el software de los empleados sean compatibles o no, suponen riesgos para la seguridad de la organización si se conectan a la red corporativa o acceden a los datos corporativos. Para minimizar el riesgo y adaptarse a las tecnologías de consumo, muchas empresas están implementando políticas BYOD (Bring Your Own Device). Las políticas BYOD permiten a los empleados de la empresa a trabajar en el dispositivo que elijan: accediendo al correo electrónico corporativo en su iPhone o usando un Android para ver documentos de texto de la empresa. El objetivo de las empresas con este sistema es el aumento de la productividad y reducción de costes. Pero si BYOD no se comprende y regula completamente, puede amenazar la seguridad de TI y poner en riesgo los sistemas comerciales sensibles de una empresa. En este trabajo, se busca profundizar en la integración de seguridad que requieren los sistemas que aceptan las políticas BYOD, analizando los riesgos actuales, estableciendo criterios y diseñando medidas que garanticen la seguridad integral del sistema. Después de analizar en profundidad las diferentes medidas, se analiza a nivel práctico un sistema del estilo MDM (Mobile Device Management) que se propone para aplicar en dispositivos de una empresa con políticas BYOD.

A mesura que molts departaments de TI lluiten per mantenir-se al dia amb els canvis tecnològics anuals, els empleats de la companyia volen cada cop més utilitzar els seus propis dispositius per accedir a les dades corporatives. Els dispositius que són propietat dels empleats de vegades són aprovats per la companyia i són compatibles amb dispositius que són propietat de l'empresa. En altres casos, els dispositius de propietat dels empleats formen part del sistema paral·lel conegut com TI instantània: hardware o sofware dins d'una empresa que no és compatible amb el departament central de TI de l'organització. Encara que el hardware i el software dels empleats siguin compatibles amb els de la companyia, suposen riscos per a la seguretat de l'organització si es connecten a la xarxa corporativa o accedeixen a les dades corporatives. Per minimitzar el risc i adaptar-se a les tecnologies de consum, moltes empreses estan implementant polítiques BYOD (Bring Your Own Device). Les polítiques BYOD permeten als empleats de l'empresa a treballar en el dispositiu que triïn: accedint al correu electrònic corporatiu en el seu iPhone o usant un Android per veure documents de text de l'empresa. L'objectiu de les empreses amb aquest sistema és l'augment de la productivitat i la reducció de costos. Però si BYOD no es comprèn i regula completament, pot amenaçar la seguretat de TI i posar en risc els sistemes comercials sensibles d'una empresa. En aquest treball, es busca aprofundir en la integració de seguretat que requereixen els sistemes que accepten les polítiques BYOD, analitzant els riscos actuals, establint criteris i dissenyant mesures que garanteixin la seguretat integral del sistema. Després d'analitzar en profunditat les diferents mesures, s'analitza a nivell pràctic un sistema de l'estil MDM (Mobile Device Management) que es proposa per aplicar en dispositius d'una empresa amb polítiques BYOD.

While IT departments struggle to keep up with the annual technological changes, the company employees increasingly want to use their own devices to access to corporate data. Devices owned by employees are usually approved by the company and are compatible with devices that are owned by the company. In other cases, employee-owned devices are part of the parallel system known as instant IT: hardware or software within a company that is not compatible with the central IT department of the organization. Whether the hardware and software of the employees are compatible or not, they are security risks for the organization if they connect to the corporate network or access corporate data. To minimize risk and adapt to consumer technologies, companies are implementing BYOD (Bring Your Own Device) policies. BYOD policies allow employees of the company to work on the device they choose: access corporate email on their iPhone or using an Android to view company text documents. The companies' goal is to increase productivity and reduce costs. But if BYOD is not fully understood and regulated, it can threaten IT security and put a company's sensitive business systems at risk. In this work, we seek to deepen the integration of security required by the systems that accept BYOD policies, analyzing current risks, establishing criteria and designing measures that guarantee the integral security of the system. After analyzing the different measures in depth, a kind of MDM system will be proposed to apply in devices of a company with BYOD policies, and it will be analyzed on a practical level.