Con anterioridad hemos mencionado la noción de soluciones de Mobile Device Management (MDM); ya sea que hablemos del diseño de políticas de seguridad móvil, de proteger la confidencialidad en mensajes SMS o de posibles defensas frente a códigos del tipo ransomware, estas herramientas y otras similares aportan procedimientos para asegurar los datos del sistema y por ello es oportuno tener en claro sus virtudes y defectos.
Orígenes, motivación y alcance
Con la aparición de dispositivos personales dentro del ámbito corporativo, las organizaciones debieron encontrar una manera de gestionar políticas y configuraciones en estos de manera sencilla y centralizada.
Las soluciones MDM surgieron como un método para controlar el acceso de equipos móviles a los recursos de la empresa, pero con el tiempo fueron evolucionando y hoy colaboran con la seguridad mediante la administración del sistema operativo y de los aplicativos instalados, el monitoreo de los paquetes que son enviados en las distintas redes y las características físicas del equipo.
Así es posible brindar sustento a procesos como activar o desactivar terminales, eliminar remotamente los datos corporativos, crear copias de respaldo y gestionar el cifrado, así como limitar las aplicaciones que pueden instalarse en el equipo mediante tiendas de aplicaciones personalizadas o forzar el despliegue de instalaciones acorde a la política de seguridad vigente.
Por su parte, los sistemas operativos móviles proveen una API exclusiva para soluciones MDM, inaccesibles para apps regulares, a través de la cual es posible recopilar información y manejar políticas.
¿Qué es un contenedor móvil?
Un concepto muy relacionado a MDM es el de contenedores. Estos se encargan de separar los datos corporativos que puedan existir en el equipo de cualquier otra información personal del usuario. La premisa en este caso es impedir que datos sensibles terminen siendo filtrados a terceros no autorizados mediante la aplicación de algoritmos criptográficos.
Los contenedores funcionan a nivel de sistema operativo y suelen ser una capa de protección extra que se ofrece junto a soluciones MDM. Actúan cifrando todas las comunicaciones que tengan lugar entre el terminal y recursos en el sistema corporativo, conjuntamente a los datos que sean almacenados en el equipo como resultado de estas comunicaciones.
Otros actores en escena
MDM forma parte de una estrategia de administración de seguridad mucho más general denominada Enterprise Mobility Management (EMM). Dentro de este panorama, MDM gestiona la seguridad tomando como punto central a los dispositivos y su capacidad de cifrarse o bloquearse.
Paralelamente se presentan otros dos enfoques: Mobile Application Management (MAM) y Mobile Information Management (MIM). El primero se encarga del control de acceso a los diferentes aplicativos con la creación de listas blancas o negras que otorgan acceso a ciertos usuarios desde determinados equipos, mientras que el segundo hace foco en garantizar que los datos solo podrán ser accedidos y transmitidos por componentes autenticados, construyendo un entorno de sandboxing para ellos y emitiendo alertas cuando los datos estén por violar los límites de su seguridad.
EMM aplica restricciones sobre las diferentes aplicaciones monitoreadas desde su mismo código o a través de un contenedor. De esta manera, las aplicaciones corporativas pueden ser distribuidas, administradas y monitoreadas desde una estación de control. La integración entre estas estrategias debe siempre orientarse a la búsqueda por el equilibrio entre flexibilidad y productividad. A través de EMM, la organización obtiene visibilidad sobre los datos en cada tipo de dispositivo, sistema operativo y actores del sistema.
MDM no es sinónimo de seguridad absoluta
Desplegar soluciones MDM o contenedores puede llegar a brindar una reconfortante sensación de seguridad para los departamentos de IT. No obstante, no debe olvidarse que estas soluciones no constituyen una política de seguridad por sí solas; esto porque, desde sus comienzos, ninguna de estas tecnologías fue diseñada con el propósito de garantizar seguridad como eje principal.
Por ejemplo, MDM no puede garantizar la seguridad de los datos cuando estos son procesados por servicios en la nube o bien pueden verse comprometidas por spyware instalado en el equipo. Además, los datos almacenados en el dispositivo que sean personales del usuario quedarán sin protección alguna.
Lo mismo ocurre con EMM. Estas soluciones no detectan malware ni protegen al usuario de amenazas surgidas del uso de aplicaciones no monitoreadas. Tampoco impiden la ejecución de códigos maliciosos una vez que el dispositivo ha sido infectado, pudiendo estos estar filtrando datos a servidores maliciosos en la Internet.
Ante estos riesgos, es necesario adoptar un enfoque de seguridad con múltiples capas que combine diferentes tecnologías de protección según las características particulares del sistema.
