Hay que proteger la información de eso no queda la menor duda. A medida que van ingresando más tipos de dispositivos a la organización, aumenta la complejidad en el manejo y la protección de los datos.
Los dispositivos propios de los usuarios presentan un nuevo reto para los departamentos de TI, ya que es necesario implementar medidas de seguridad para garantizar la integridad de la infraestructura tecnológica y la información. El Laboratorio de Investigación de ESET Latinoamérica publicó una guía para disminuir los riesgos que se presentan al tener BYOD en la empresa.
Lo primero que se debe tener en cuenta son las redes Wi-Fi. Hay que analizar qué alcance tiene la señal de la red empresarial y tener sistemas de autenticación para verificar el tipo de usuario y el modelo del equipo. Así se puede saber desde dónde está entrando la gente y por medio de qué terminal.
De la misma manera, la gestión de roles dentro de las redes es primordial. No todo el mundo debe tener acceso a toda la información. Haciendo un estudio juicioso de las necesidades de cada puesto laboral, el departamento de TI puede saber el tipo de información que necesita cada persona. No es correcto que una persona de operaciones cuente con acceso a la nómina de la empresa. Además de prevenir posibles intrusiones externas, esta segmentación de información también es una herramienta para determinar si hay algún tipo de fraude interno. Por ejemplo: si un analista de mercadeo está extrayendo información del presupuesto de operaciones, puede estar cometiendo alguna imprudencia.
ESET también recomienda implementar sistemas como VPN para cifrar los datos y garantizar su integridad en su camino de un equipo a otro. Al obligar a los usuarios a usar VPN, se puede minimizar el riesgo sobre la información cuando el equipo sale del perímetro y tiene que usar las aplicaciones de la empresa.
Por otro lado, es necesario monitorear el tráfico de cada uno de los dispositivos. Si el departamento de TI hace este ejercicio constantemente se pueden crear patrones de tráfico, lo que facilita la detección de anomalías. Digamos que el presidente de la empresa usa su tableta para revisar los reportes de ventas todos los días entre 8 y 10 de la mañana. Sin embargo, el departamento de TI encontró que desde hace unas semanas desde ese mismo equipo se están haciendo consultas los viernes por la noche y el sábado al medio día. Esto debería prender una alerta para investigar el caso, ya que es posible que los hackers estén robando dicha información.
ESET explica que hay que hacer una investigación de mercado para determinar cuáles son los dispositivos móviles más adecuados para manejar la información de la empresa. BlackBerry, en algún momento, dominó totalmente este mercado. Sus teléfonos contaban con todas las medidas de seguridad necesarias para garantizar la protección de la información.
De la misma manera, antes de implementar BYOD, hay que redactar una serie de políticas de seguridad. Los usuarios finales normalmente no tienen la seguridad como prioridad, por lo que hay que comunicar las medidas preventivas y las formas de usar correctamente los dispositivos para minimizar el riesgo de seguridad informática. Este proceso tiene que ir de la mano con la educación a los empleados y debe ser responsabilidad del departamento de TI.
Excelente artículo, alguien podría explicarme el punto de las VPN.
son redes privadas
Si no entendio el articulo? entonces es excelente? Logica que va mas alla de lo difuso….
Virtual private network, una vpn es un túnel cifrado entre el dispositivo en la red pública y la red interna de la empresa
Excelente artículo, alguien podría explicarme el punto de las VPN.
son redes privadas
Si no entendio el articulo? entonces es excelente? Logica que va mas alla de lo difuso….
Virtual private network, una vpn es un túnel cifrado entre el dispositivo en la red pública y la red interna de la empresa
BYOD – Bring Your Own Dispositive… Trae tu propio dispositivo!
Bring your own DEVICE.
BYOD – Bring Your Own Dispositive… Trae tu propio dispositivo!
Bring your own DEVICE.
Para tener seguridad en BYOD solo necesitas un Radius, tener los Access points controlados y manejar WPA-2 Enterprise. Con eso no tiene problema alguno.
Y como controlar la información sensible de la empresa por fuera de la misma?
Si no está conectado a la red entonces no es BYOD. No se trata de que hacer con la información sobre la que no tenemos control ( si no tenemos control pues obviamente no se puede hacer nada), se trata de controlar el acceso a dicha información, es decir si se autoriza o no el acceso a esa información sensible. Para eso está el radius, wpa2 enterprise y los AP controlados.
Craso error, BYOD no es simplemente controlar el acceso de los dispositivos dentro de las empresa, es administrar esos dispositivos, el acceso a la red no solo se logra desde la lan o wlan, también están los accesos remotos por medio de VPN, RDP y puertos abiertos ademas la nube organizacional y correos corporativos. Una política BYOD eficaz debe incluir el aseguramiento tanto dentro como afuera de las instalaciones físicas de la empresa del acceso a los recursos así como un control de la información sensible alojada en dichos dispositivos, eso incluye gestión remota, certificados de seguridad, roles organizacionales, perfiles de uso de las redes, etc,etc,etc. Básicamente, si no puedes controlar el uso de la información de la empresa por fuera de la misma no tienes buenas políticas -o simplemente no tienes- BYOD
Para no irme tan largo con esto, creer que por solo usar una vpn vas a asegurar la informacion enterminales remotos es ridiculo.
Asegurar el acceso a la información mediante wpa2 enterprise, con radius y ap controlados, asegura lo mas importante : quienes acceden a la información. Cuando se accede remotamente se accede remotamente, hablo de cuando se LLEVA el dispositivo a la empresa ( Conoces el término BYOD? ) Las VPN son refáciles de violar si el acceso del dispositivo es mediante una red no segura, como por ejemplo el wi fi de la casa. A menos que la conexion tenga protocolo WPA2 enterprise esa conexion por VPN estará asegurada.
De nada sirve tener una conexion con la empresa mediante VPN si los paquetes son espiados con un aircrak o un conview. Lo mejor es utilizar un NAS que conecte con un radius en una red controlada y cifrada por wpa2 enterprise.
Es que precisamente BYOD no se limita a la ubicación geográfica de la empresa, si está muy bien tener una wlan bien organizada y segmentada pero que pasa cuando los dispositivos salen? muy bonito el wireless switch de us2000 y los ap administrados pero de nada sirven cuando los dispositivos no están conectados a su red. BYOD no significa “traiga su iPad a la oficina para que navegue acá” la tendencia evolucionó mucho mas allá gestionando toda la información que se mueve en el dispositivo POR DENTRO Y FUERA de la oficina por que los dispositivos son móviles y ademas son de los usuarios. Por supuesto que la seguridad de acceso remoto de una compañia no puede depender exclusivamente de los accesos VPN ya que estos van de la mano con las políticas de seguridad internas de la red.
Pasando al tema de los tuneles VPN con la empresa y su supuesta inseguridad también discrepo, si se capturan paquetes de una conección VPN (man in the middle) con ethereal o wireshark por ejemplo lo único que va a encontrar son paquetes encriptados -per se, ilegibles- si se quiere obtener la información hay que comenzar con el proceso de desencripción de esas trazas ( buena suerte tratando de romper una traza significativa con IP-SEC) una de las formas que se me viene a la mente puede ser con etthercap capturar el certificado primero y después en un man-in-the-middle capturar los paquetes pero depende mucho del tipo de configuración de la VPN y en cualquier caso no va a ser nada facil. Resumiendo, ningún tipo de seguridad es infalible pero con una adecuada topología orientada a la seguridad así como un esquema de roles y privilegios en sus servicios de red se puede estar mas tranquilo
Si la encriptada del VPN no es igual al WPA2 enterprise se puede romper a fuerza bruta, y ya lo han hecho solo hay que buscar en google casos….
El VPN por si solo no garantiza nada. Tener una infraestructura de autorizacion garantiza que la info va a quien debe ir (osea, no hay peligro) que es de lo que se trata esta seguridad….
De nada sirve tener una VPN para conectarse remotamente si solo con colgarme al wifi de la empresa puedo acceder a los datos de la misma.
me autocito “…Una política BYOD eficaz debe incluir el aseguramiento tanto dentro como afuera de las instalaciones físicas de la empresa del acceso a los recursos así como un control de la información sensible alojada en dichos dispositivos, eso incluye gestión remota, certificados de seguridad, roles organizacionales, perfiles de uso de las redes, etc,etc,etc.” también “…Por supuesto que la seguridad de acceso remoto de una compañía no puede depender exclusivamente de los accesos VPN ya que estos van de la mano con las políticas de seguridad internas de la red.” y finalmente “…ningún tipo de seguridad es infalible pero con una adecuada topología orientada a la seguridad así como un esquema de roles y privilegios en sus servicios de red se puede estar mas tranquilo”
Para tener seguridad en BYOD solo necesitas un Radius, tener los Access points controlados y manejar WPA-2 Enterprise. Con eso no tiene problema alguno.
Y como controlar la información sensible de la empresa por fuera de la misma?
Si no está conectado a la red entonces no es BYOD. No se trata de que hacer con la información sobre la que no tenemos control ( si no tenemos control pues obviamente no se puede hacer nada), se trata de controlar el acceso a dicha información, es decir si se autoriza o no el acceso a esa información sensible. Para eso está el radius, wpa2 enterprise y los AP controlados.
Craso error, BYOD no es simplemente controlar el acceso de los dispositivos dentro de las empresa, es administrar esos dispositivos, el acceso a la red no solo se logra desde la lan o wlan, también están los accesos remotos por medio de VPN, RDP y puertos abiertos ademas la nube organizacional y correos corporativos. Una política BYOD eficaz debe incluir el aseguramiento tanto dentro como afuera de las instalaciones físicas de la empresa del acceso a los recursos así como un control de la información sensible alojada en dichos dispositivos, eso incluye gestión remota, certificados de seguridad, roles organizacionales, perfiles de uso de las redes, etc,etc,etc. Básicamente, si no puedes controlar el uso de la información de la empresa por fuera de la misma no tienes buenas políticas -o simplemente no tienes- BYOD
Para no irme tan largo con esto, creer que por solo usar una vpn vas a asegurar la informacion enterminales remotos es ridiculo.
Asegurar el acceso a la información mediante wpa2 enterprise, con radius y ap controlados, asegura lo mas importante : quienes acceden a la información. Cuando se accede remotamente se accede remotamente, hablo de cuando se LLEVA el dispositivo a la empresa ( Conoces el término BYOD? ) Las VPN son refáciles de violar si el acceso del dispositivo es mediante una red no segura, como por ejemplo el wi fi de la casa. A menos que la conexion tenga protocolo WPA2 enterprise esa conexion por VPN estará asegurada.
De nada sirve tener una conexion con la empresa mediante VPN si los paquetes son espiados con un aircrak o un conview. Lo mejor es utilizar un NAS que conecte con un radius en una red controlada y cifrada por wpa2 enterprise.
Es que precisamente BYOD no se limita a la ubicación geográfica de la empresa, si está muy bien tener una wlan bien organizada y segmentada pero que pasa cuando los dispositivos salen? muy bonito el wireless switch de us2000 y los ap administrados pero de nada sirven cuando los dispositivos no están conectados a su red. BYOD no significa “traiga su iPad a la oficina para que navegue acá” la tendencia evolucionó mucho mas allá gestionando toda la información que se mueve en el dispositivo POR DENTRO Y FUERA de la oficina por que los dispositivos son móviles y ademas son de los usuarios. Por supuesto que la seguridad de acceso remoto de una compañia no puede depender exclusivamente de los accesos VPN ya que estos van de la mano con las políticas de seguridad internas de la red.
Pasando al tema de los tuneles VPN con la empresa y su supuesta inseguridad también discrepo, si se capturan paquetes de una conección VPN (man in the middle) con ethereal o wireshark por ejemplo lo único que va a encontrar son paquetes encriptados -per se, ilegibles- si se quiere obtener la información hay que comenzar con el proceso de desencripción de esas trazas ( buena suerte tratando de romper una traza significativa con IP-SEC) una de las formas que se me viene a la mente puede ser con etthercap capturar el certificado primero y después en un man-in-the-middle capturar los paquetes pero depende mucho del tipo de configuración de la VPN y en cualquier caso no va a ser nada facil. Resumiendo, ningún tipo de seguridad es infalible pero con una adecuada topología orientada a la seguridad así como un esquema de roles y privilegios en sus servicios de red se puede estar mas tranquilo
Si la encriptada del VPN no es igual al WPA2 enterprise se puede romper a fuerza bruta, y ya lo han hecho solo hay que buscar en google casos….
El VPN por si solo no garantiza nada. Tener una infraestructura de autorizacion garantiza que la info va a quien debe ir (osea, no hay peligro) que es de lo que se trata esta seguridad….
De nada sirve tener una VPN para conectarse remotamente si solo con colgarme al wifi de la empresa puedo acceder a los datos de la misma.
me autocito “…Una política BYOD eficaz debe incluir el aseguramiento tanto dentro como afuera de las instalaciones físicas de la empresa del acceso a los recursos así como un control de la información sensible alojada en dichos dispositivos, eso incluye gestión remota, certificados de seguridad, roles organizacionales, perfiles de uso de las redes, etc,etc,etc.” también “…Por supuesto que la seguridad de acceso remoto de una compañía no puede depender exclusivamente de los accesos VPN ya que estos van de la mano con las políticas de seguridad internas de la red.” y finalmente “…ningún tipo de seguridad es infalible pero con una adecuada topología orientada a la seguridad así como un esquema de roles y privilegios en sus servicios de red se puede estar mas tranquilo”