Estimados amigos de Inseguros !!!
El control 4.12 es relativamente moderno. Y aparece por una necesidad muy concreta: los móviles.
Hoy en día en una organización hay móviles de empresa… y móviles personales que se usan para cosas de empresa. Y esto va a más, no a menos.
El ejemplo típico: hay gente que no necesita un móvil corporativo. Operario de almacén, contabilidad, gente que está localizada, que no hace llamadas “de trabajo”… pero aun así usa su móvil personal para cosas de la empresa. El caso clásico: el Authenticator para el correo, para acceder a una intranet, o para entrar a un portal externo y pedir días libres.
Aquí viene el problema: el móvil es personal. Y el móvil personal no es un portátil corporativo.
No puedes (ni debes) acceder al móvil del empleado como si fuera tuyo. No tiene sentido que la empresa pueda ver fotos, borrar cosas personales o manipular el teléfono entero. Y tampoco tiene sentido prohibirle Instagram en su móvil personal, por ejemplo. Eso solo aplica cuando es un dispositivo de empresa, enrolado como corporativo.
Entonces, ¿cómo se soluciona esto? Separando el espacio de trabajo.
La idea es tener un contenedor corporativo dentro del móvil. En ese contenedor se instalan las aplicaciones de empresa y se gestiona esa parte. Y el resto del móvil sigue siendo del usuario, con privacidad.
Si el usuario solo necesita el Authenticator o solo necesita la app de nóminas, o la extranet para pedir vacaciones, esa parte debería vivir dentro del “perfil de trabajo” o contenedor corporativo. Así se consigue lo importante: se puede controlar y, si hace falta, borrar los datos corporativos… sin tocar lo personal.
Porque esto enlaza con lo que ya se ve en otros controles: hay veces que hay que poder borrar datos de un teléfono. Y si el teléfono no está enrolado o no está vinculado a la empresa (porque es particular), no vas a poder. Y además, no deberías. Por eso la separación es clave: para poder gestionar lo corporativo sin invadir lo personal.
Aquí hay diferentes maneras de hacerlo y diferentes fabricantes. El dispositivo puede estar enrolado del todo, puede estar supervisado, puede estar en modo más ligero… no es el objetivo entrar en marcas. El objetivo es resolver el problema de fondo: bring your own device en entornos donde hay móviles en empresa y se usan para cosas de empresa.
Y esto tiene un caso muy real: el MFA. Usuarios que rotan, usuarios que no tienen portátil de empresa, gente que va cambiando de turno o de puesto. El móvil personal acaba siendo el punto donde se hace el segundo factor. Si no se piensa bien, se convierte en un agujero o en un lío operativo.
Así que este control es eso: tener un perfil de trabajo dentro del móvil. Que permita hacer ciertas cosas a la empresa, pero que mantenga la privacidad del usuario.
Como siempre: autoauditoría. Mirad cómo lo tenéis.
Y una nota práctica que también aplica aquí: este control no sería el primero que pondría en marcha si todavía no hay segmentación de redes, pero es uno de los retos que vais a tener. Cuanto antes se evalúe y se prevea, antes se arregla.
En www.seguridadsi.com tenéis la academia y los cursos para aterrizar estos controles CIS con mentalidad de empresa.
Gracias por leerme !!!
