18
agosto
2020

MDM: Mobile Device Management

El desarrollo de los dispositivos móviles y las tecnologías inalámbricas en los últimos años, ha revolucionado la forma de trabajar y comunicarse. El uso creciente de estas tecnologías sitúa a los dispositivos móviles como uno de los objetivos principales de las ciberamenazas.

Se considera móvil aquél dispositivo de uso personal o profesional de reducido tamaño, que permite la gestión de la información y el acceso a redes de comunicaciones y servicios, y que habitualmente dispone de capacidades de telefonía, tanto de voz como de datos, como por ejemplo los teléfonos móviles inteligentes (smartphones), las tabletas (tablets) y las agendas electrónicas (PDA), entre otros.

La utilización y amplia adopción de los dispositivos móviles como herramientas básicas para incrementar la productividad en el ámbito profesional, junto a su utilización simultánea en el ámbito personal, hacen necesario que las organizaciones realicen una gestión minuciosa, exhaustiva y continua de los mismos, acorde con las políticas de seguridad de las entidades.

Las soluciones tecnológicas que permiten la Gestión de los Dispositivos Móviles a nivel empresarial se conocen como MDM (de sus siglas en inglés Mobile Device Management) y básicamente permiten gestionar de forma eficiente la diversidad y el despliegue masivo, dinámico y a gran escala, de dispositivos móviles en una organización, con un enfoque orientado a incrementar su seguridad.

Arquitectura

Las soluciones MDM para su funcionamiento utilizan la estructura cliente - servidor. Los servidores suelen estar compuestos por el sistema de gestión del MDM, la base de datos, el panel de administración WEB y los servicios utilizados por los clientes como podrían ser los servidores del Directorio Activo, de los Certificados, de Correo Electrónico, etc.

Del lado del cliente, se suele instalar un software de gestión para poder administrar el terminal remotamente y poder hacer tareas como actualización del software, monitoreo o añadir políticas al terminal.

Para que se pueda establecer la comunicación con el servidor, es indispensable que los clientes tengan una conexión de datos a través de telefonía móvil o de una conexión WiFi; otra característica de la aplicación del cliente es que no necesita privilegios de administrador para ejecutarse, por lo que sus funcionalidades pueden verse limitadas.

En el proceso de selección de una solución MDM se deben tener en cuenta ciertas consideraciones:

  • Soporte de múltiples dispositivos como podrían ser teléfonos y tablets con múltiples sistemas operativos. Normalmente cualquier terminal con Android, iOS o Windows Phone están soportados por los MDM.
  • Buena integración con los servicios internos corporativos que la empresa ya utiliza.
  • Garantizar la seguridad de la información interna de los dispositivos y de la transmisión de esta.

La mayoría de empresas que despliegan este tipo de soluciones proporcionan un dispositivo a cada empleado, pero también existe la posibilidad de que los empleados utilicen su propio dispositivo (Bring Your Own Device - BYOD) para trabajar.

En este caso se les instala la aplicación cliente del MDM que permitiría a los terminales tener acceso a los servicios internos de la empresa y dotarlos de seguridad adicional en las comunicaciones, en el acceso físico y en la utilización de cifrado en los datos internos.

Funciones Básicas

Las funcionalidades básicas fundamentales, que se encuentran en la mayoría de las soluciones MDM son:

  • Control de las aplicaciones: Facilita a los administradores desplegar las instalaciones de forma centralizada, permitiendo y controlando aquellas que son necesarias y restringiendo otras de futura instalación, blindando con ello la posibilidad de manipulación por parte del usuario.
  • Gestión de perfiles por dispositivo: Posibilidad de pre configurar los perfiles de correo, calendario, contactos, accesos VPN por terminal y/o usuario de forma centralizada, pudiendo revocar fácilmente los privilegios en casos de pérdida, robo o bajas.
  • Protección de los datos: Capacidad de forzar a utilizar el cifrado de disco y tarjeta en aquellos terminales que lo permitan.
  • Borrado seguro remoto de los datos: En caso de pérdida o robo de los terminales, se podrá gestionar la eliminación del contenido de forma remota y segura.
  • Monitoreo: Capacidad de registrar las acciones producidas por el terminal, intentos de violación de la seguridad o de los mecanismos de protección, así como disponer de la geolocalización del dispositivo.
  • Reportes de datos: Estadística de las variables de monitoreo, para conocer la evolución del estado del dispositivo.
  • Acceso a los dispositivos: Capacidad de añadir mecanismos de autenticación antes de poder acceder a la información de los terminales.

Aspectos de Seguridad

Para valorar la implantación de alguna solución MDM, se deberían tener en cuenta los siguientes puntos con el objetivo de asegurar el cumplimiento determinadas políticas de seguridad:

En los dispositivos (Cliente):

Los dispositivos móviles son el eslabón más débil en la plataforma, ya que es el medio de comunicación entre los empleados y los servicios de la empresa. El análisis de la seguridad de una plataforma MDM debe tener en cuenta los siguientes aspectos:

  • Control de acceso: los dispositivos implementan diversos controles para limitar el acceso al propio dispositivo o a sus recursos; en este sentido pueden utilizar: un PIN de acceso a la tarjeta SIM o una contraseña de acceso para una partición cifrada, entre otros.
  • Políticas de seguridad: obligan a los terminales a cumplir un mínimo de requisitos de seguridad establecidos a nivel corporativo; entre los más usuales: denegar el acceso a instalar nuevas aplicaciones, restringir el uso de funcionalidades (como la cámara, el thetering, el bluetooth), impedir los permisos que las aplicaciones asignan a los recursos de almacenamiento, entre otros.
  • Seguridad del sistema operativo: referida al acceso a determinados procesos, archivos o directorios, propios del sistema operativo, así como la ejecución de aplicaciones, la configuración del firewall, entre otros.
  • Seguridad de los datos: contempla el cifrado de los datos almacenados, el borrado remoto en el caso de pérdida o robo del terminal, la destrucción automática de datos ante un número máximo de intentos erróneos de acceso, así como el seguimiento sobre el sistema de archivos, con el objetivo de encontrar fugas de información que puedan haber generado aplicaciones, entre otros.
  • Aplicaciones de seguridad externas o complementarias: como el uso de antivirus, VPN, ver: ViPNet VPN, así como otras que aporten una capa extra de seguridad.
  • Análisis de las contraseñas: Los terminales pueden utilizar contraseñas (de bloqueo o de cifrado) poco robustas; en este sentido se deben validar políticas que garanticen niveles mínimos de seguridad, como el uso de credenciales con caracteres alfanuméricos y signos de puntuación, una longitud mínima de diez caracteres, entre otros.
  • Actualizaciones de las aplicaciones y del sistema: Debe existir un mecanismo que, de forma transparente, aplique parches de seguridad en el sistema, así como las actualizaciones de las aplicaciones.

En la infraestructura (Servidor):

Dado que la solución MDM debe integrarse con la infraestructura existente en la organización, resulta necesario evaluar los elementos afectados. El análisis de seguridad de los servidores debería tener en cuenta los siguientes aspectos:

  • Análisis de la arquitectura y la comunicación entre plataformas: implica el estudio de los componentes de la infraestructura, el empleo de comunicaciones cifradas entre ellos, y el análisis de los certificados utilizados. Abarca, además, validar los protocolos de red utilizados, identificar deficiencias en los mismos, certificar la información que se transmite entre los distintos elementos, así como analizar los canales confiables.
  • Análisis del servidor: establece la evaluación de la seguridad que proporciona tanto el sistema operativo del servidor como la aplicación que gestiona la plataforma MDM. Típicamente se realiza mediante la ejecución de un test de intrusión simulado, y para ello es importante seguir metodologías alineadas con las buenas prácticas de la industria.

Beneficios y Vulnerabilidades

Debido a las necesidades de movilidad del personal, la potencia de las terminales, y el hecho de requerir gestionar estos dispositivos de forma centralizada y segura, puede estimarse un claro incremento del nivel de utilización de los sistemas MDM en muchas organizaciones.

El beneficio más importante de la administración de los dispositivos móviles es la seguridad de la información. El MDM protege los datos mediante políticas a nivel de dispositivos, suministradas por el fabricante del mismo o el proveedor de la plataforma.

Los administradores de la plataforma pueden controlar, proteger y desconectar los dispositivos móviles de las redes de la organización, habilitar el cifrado para las comunicaciones, y bloquear o borrar un terminal automáticamente si se rompe o se pierde. Otras características populares del MDM incluyen el inventario y seguimiento de los dispositivos, la gestión de las contraseñas, y la creación de listas blancas y negras de determinadas aplicaciones, entre otras.

No obstante las bondades que aporta este tipo de solución desde el punto de vista de la seguridad informática, también puede sufrir vulnerabilidades y, por lo tanto, debe ser evaluada periódicamente, y adoptarse las medidas que permitan solucionar o mitigar las deficiencias identificadas.

Dicha evaluación debe realizarse sobre todos los elementos involucrados en la infraestructura MDM, y deben incluir la revisión, entre otros, de los aspectos relacionados con deficiencias de la configuración, la ausencia de actualizaciones o incumplimientos de la política corporativa.

La solución MDM brinda opciones interesantes a nivel de seguridad y control del parque móvil de los dispositivos, sin embargo, su eficiencia dependerá, en última instancia, de las políticas de seguridad existentes, la configuración que se establezca, y del nivel de seguridad de la organización en general.