Download - 20140409 La Informacion se Mueve.pdf
![Page 1: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/1.jpg)
La información se mueve, ¿tu seguridad también?
4 Septiembre 2014
![Page 2: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/2.jpg)
LOS TIEMPOS HAN CAMBIADO
![Page 3: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/3.jpg)
LOS TIEMPOS HAN CAMBIADO
![Page 4: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/4.jpg)
LOS TIEMPOS HAN CAMBIADO
![Page 5: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/5.jpg)
LOS TIEMPOS HAN CAMBIADO
![Page 6: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/6.jpg)
LOS TIEMPOS HAN CAMBIADO
![Page 7: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/7.jpg)
LOS TIEMPOS HAN CAMBIADO
![Page 8: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/8.jpg)
LOS TIEMPOS HAN CAMBIADO
![Page 9: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/9.jpg)
AGENDA
1. Introducción
2. Amenazas, vulnerabilidades y riesgos
3. Gobierno de dispositivos móviles
4. Administración de dispositivos móviles
5. Recomendaciones “hardening de dispositivos”
6. Aseguramiento de dispositivos móviles
7. Conclusiones
![Page 10: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/10.jpg)
1. Introducción
![Page 11: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/11.jpg)
¿Qué es un dispositivo móvil?
Tradicionales Actualidad (emergentes)
2013 fue el año en que los dispositivos móviles como los smartphones superaron el número de PC´s y laptops en el mundo
![Page 12: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/12.jpg)
Otros Dispositivos
Nubes Privadas
Redes Corporativas
Dispositivo Móvil
GSM GPRS/EDGE 3.5G 4G/LTE Bluetooth WLAN NFC Capa
Conexión Capa
Conexión
Conexión de los dispositivos móviles
Nubes Públicas
![Page 13: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/13.jpg)
Evolución del uso de dispositivos móviles
INTERNET
DE LAS COSAS
• Teléfonos móviles • Análogos • Digitales (2G)
• Dispositivos inteligentes
• GSM • GPRS
• Primer Smartphone • Banda ancha • Servicios nube • Capacidad PC móvil
• Smartphone avanzado • Conexión a múltiples
gadgets • Internet de las cosas
Del celular al “Internet de las cosas”
1980 1990 2000 2010
![Page 14: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/14.jpg)
Movilidad y Flexibilidad Patrones de trabajo
Perímetro Organizacional
Otros impactos
Impacto en negocios y sociedad
(+) (-)
•BYOD ventajas: •Mayor productividad •Ahorro en infra TI •Empleados contentos
BYOD riesgos: •Múltiples dispositivos y riesgos •Reto para administrarlos
(+) (-)
•Facilidad Home Office •Ambiente
organizacional innovador (adopción
veloz de tech)
•Pérdida de frontera entre trabajo y vida personal •Pérdida de tiempo
(+) (-)
•Expertos en seguridad mayor capacitados
•Frontera lógica difusa •Enfoque tradicional de
seguridad no es suficiente
(+) (-)
•Mayor conectividad •Alta disponibilidad
de la información •Servicios de valor
agregado (big data)
•Conexiones y/o interacciones riesgosas •Fuga de información
(desatendida)
![Page 15: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/15.jpg)
2. Amenazas, vulnerabilidades y riesgos
![Page 16: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/16.jpg)
Tipos de riesgos en dispositivos móviles
Riesgos
Físicos
Organizacionales Técnicos
![Page 17: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/17.jpg)
Riesgo Físico
´
Fuente: Encuesta Informationweek 2013
![Page 18: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/18.jpg)
• Uso de Dispositivos móviles está presente en todos los niveles. • Los ambientes de PC se han robustecido, pero los dispositivos móviles aún
no, cuentan seguridad débil y son difíciles de administrar. • Alta diversidad de dispositivos, tiempo de vida de los OS y Apps es muy
corto. • Aplicaciones complejas (riesgo de acceso a fotos, geolocalización, etc.). • Falta de capacitación a usuarios en uso de dispositivos móviles.
El riesgo organizacional se incrementa debido a la información que almacena o a la que tenga acceso el dispositivo
Riesgo Organizacional
![Page 19: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/19.jpg)
Aplicaciones Office
VPN
Servidores datos
Bases de datos
CRM
Wiki corporativa
SaaS y Cloud
RH apps
61%
48%
41%
31%
29%
28%
24%
21%
95%
Activos de información accesados a través de dispositivos móviles
Fuente: Encuesta Informationweek 2013
![Page 20: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/20.jpg)
• Monitoreo de actividades y Recuperación de información (a través de malware). • Mensajes, Audio, Fotos, video, geolocalización, información estática, historiales,
almacenamiento.
• Conectividad no autorizada. • El malware/spyware eventualmente necesita ponerse en contacto con el
atacante, para esto utiliza los siguientes vectores de comunicación. • Email, SMS, HTTP, TCP, UDP, DNS, Bluetooth, WLAN.
• Suplantación de vista web o interface de usuario. (UI Impersonation)
• Los dispositivos móviles soportan la mayoría de protocolos web, sin embargo, las páginas son modificadas por el proveedor del servicio para su visualización (en pantallas pequeñas), esto es aprovechado por los hackers para suplantar páginas y hacer phishing.
Riesgo Técnico
![Page 21: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/21.jpg)
• Almacenamiento y Fuga de información sensible. • Los dispositivos móviles guardan mucha información sensible, esto incrementa el
riesgo de fuga de información. • La información guardada te dice todo del usuario, que hace, donde está y sus
preferencias (predice comportamiento). • Identificación, credenciales, localización, archivos
• Hasta las apps legítimas pueden tener fallas o almacenar información sensible en texto plano o sin encriptar.
• Transmisión de información no segura. • Los dispositivos móviles mayormente dependen de conexiones inalámbricas. • No todas las trasmisiones son encriptadas sobre todo en redes públicas. • Los usuarios tienden a no activar sus VPN en dispositivos móviles debido a su
complejidad, prefieren usar otro servicio que no sea por VPN.
Riesgo Técnico (cont…)
![Page 22: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/22.jpg)
• Vulnerabilidades (por versiones recortadas). • MS Office y PDF en sus suites para dispositivos móviles no incluyen las mismas
validaciones que detectan links malformados, lo cual es un vector de ataque.
• Facilidad de uso. • Rápidas actualizaciones, nuevas apps, nuevas funciones, configuración de OS más
restringida, servicios mandatorios corriendo en bakground, opt-in (aceptación explícita) de funciones adicionales a apps, obligación a firmarse a la nube para obtener todos los servicios.
Riesgo Técnico (cont…)
![Page 23: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/23.jpg)
78.40%
17.60%
3.20% 0.70%
Android
Apple iOS
Microsoft
Otros
Participación de mercado global de OS móviles
Fuente: Estudio de mercado Techcrunch 2014
![Page 24: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/24.jpg)
Realidad actual participación de mercado
![Page 25: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/25.jpg)
Comparando Manzanas contra Androides
Google Android • Plataforma Open Source.
• OS de Google, Open Handset Alliance. • Modelos Samsung, Motorola, HTC, otros. • Apps distribuidas por Google Play.
• Múltiples fuentes de apps (varias ilegítimas). • Puede soportar múltiples appstores.
• No necesita rooting para correr código no firmado. • Grandes cantidades de malware por su penetración
de mercado y que aprovechan lacks en OS (ej. Guardar conversaciones en microSD)
![Page 26: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/26.jpg)
Comparando Manzanas contra Androides
Apple iOS • Plataforma Propietaria “Cerrada”:
• Todos los dispositivos de Apple. • Despliegue prácticamente uniforme. • Apps distribuidas por App Store.
• iOS tiene pocas formas de instalarle software: • Appstore. • Ambientes controlados para testing. • Aplicando Jailbreak al dispositivo.
• Su App Store efectivamente actúa como: • Whitelist para verificar apps (firmas). • Un punto común de actualizaciones.
![Page 27: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/27.jpg)
Y entonces, viendo riesgos e impactos: ¿Todo está perdido?
¿Qué hacemos?
![Page 28: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/28.jpg)
3. Gobierno de dispositivos móviles
![Page 29: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/29.jpg)
Gobierno de dispositivos móviles
El primer paso para tomar la decisión estratégica es plantear un buen caso de negocio:
• Riesgos de seguridad e impactos potenciales. • Consideraciones costo beneficio. • Valor agregado (flexibilidad / productividad). • Habilitadores estratégicos para uso de móviles.
![Page 30: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/30.jpg)
Gobierno de dispositivos móviles
La decisión estratégica que se tome puede ser una de las siguientes:
• Solución de plataformas estandarizadas. • BYOD “Puro”. • Estrategia combinada.
![Page 31: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/31.jpg)
4. Administración de dispositivos móviles
![Page 32: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/32.jpg)
Administración de dispositivos móviles
Enfoque para administración de dispositivos móviles:
1. Categorización y clasificación de dispositivos móviles.
2. Identificación y clasificación de riesgo por tipo de dispositivo.
3. Identificación de controles existentes para dispositivos móviles y robustecimiento de los mismos.
4. Identificación de actividades de seguridad y prácticas para cada habilitador de Cobit.
![Page 33: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/33.jpg)
1. Categorización y clasificación de dispositivos móviles
Categoría Dispositivos Ejemplos
1 Almacenamiento de datos (limitado), servicios de telefonía y mensajes básicos, OS propietario (limitado), sin capacidad de procesamiento de datos.
• Celular tradicional
2 Capacidades de procesamiento y almacenamiento de datos (incluyendo externos) , 0S estandarizado y configurable, servicios ampliados.
• Smartphones • Primeras
Pocket PC
3 Capacidades de almacenamiento, procesamiento y transmisión de datos a través de diferentes canales, conectividad a Internet de banda ancha, 0S estandarizado y configurable, capacidades de una PC.
• Smartphone avanzados.
• Tablets
4 Combinación de todas las capacidades anteriores y nuevas tecnologías.
• Dispositivos emergentes.
Categorías de dispositivos móviles
![Page 34: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/34.jpg)
2. Identificación y clasificación de riesgos por tipo de dispositivo
Categoría / Riesgo Categoría 1 Categoría 2 Categoría 3 Categoría 4
Físico
Robo Baja Media Alta Alta
Pérdida Media Media Media Media
Daño / Destrucción Alta Alta Baja Baja
Organizacional
Aglomeración / Usuarios “especiales” Baja Baja Alta Alta
Complejidad / Diversidad Baja Media Alta Alta
Técnico
Monitoreo de actividad, Recuperación de datos Baja Alta Alta Alta
Conectividad de red no autorizada Baja Media Alta Alta
Vista web / Suplantación de Identidad Baja Media Alta Alta
Fuga de datos sensibles Baja Alta Alta Alta
Almacenamiento de datos sensibles inseguro Media Alta Media Media
Transmisión insegura de datos sensibles Baja Alta Media Alta
Vulnerabilidades (por versiones recortadas) Baja Alta Alta Alta
Usabilidad Baja Baja Alta Alta
Clasificación de riesgos de dispositivos móviles
![Page 35: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/35.jpg)
Rie
sgo
fís
ico
/ o
rgan
izac
ion
al
Riesgo tecnológico Bajo Alto
Alto
Cat. 1
Cat. 2
Cat. 3
Cat. 4
2. Identificación y clasificación de riesgo por tipo de dispositivo
![Page 36: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/36.jpg)
3. Identificación de controles existentes
• Modelo de seguridad
• Seguridad de lado de proveedor
• Parches y control remoto
• Software agregado
• Encapsulación
• Adiciones adecuaciones OS
• OS alternativos
• Protección del firmware
• Seguridad embebida en el dispositivos
• Cifrado, etc.
Capa de Hardware
Capa de Sistema Operativo
Capa Secundaria
![Page 37: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/37.jpg)
4. Identificación de actividades de seguridad y prácticas para cada habilitador
•Admón. Seguridad •Monitoreo Seguridad
•Responsable asignado •Perfil personal SI definido
•Uso responsable •Concientización • Incentivos
•Ajustar política SI: • Principios • Referencias
•Crear política BYOD •Otras…
Proteger info sensible: • Corporativa • Personal • En la nube
•MDM, MAM, MCM = EMM •OS, Aplicaciones, Conectividad
•Habilidades de: • Expertos en SI • End Users
•Capacitación a usuarios
![Page 38: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/38.jpg)
5. Recomendaciones de “hardening” de dispositivos móviles
![Page 39: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/39.jpg)
“Hardening” de dispositivos móviles
Para implementar adecuadamente una estrategia de seguridad móvil, algunos pasos tecnológicos deben ser ejecutados, conocidos como hardening:
Almacenamiento interno Permanente y Semipermanente
Almacenamiento externo o removible
Conectividad (todos los canales)
Funcionalidad remota
Dispositivo y SIM Card
Enfoque de hardening de adentro hacia afuera, por capas.
Guía de hardening
![Page 40: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/40.jpg)
6. Aseguramiento de dispositivos móviles
![Page 41: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/41.jpg)
1er Línea - Administración
• Autoevaluaciones • Revisiones de Admón. • Pruebas de Seguridad • Pruebas Funcionales
2da Línea – Administración de Riesgo
• Riesgo dispositivo móvil • Eval. de riesgos • Valoración impactos • Riesgos de Seguridad
3er Línea – Auditoría Interna • Controles Internos • Cumplimiento políticas • Aceptación de riesgo • Controles Seguridad
Líneas de defensa y revisiones típicas
![Page 42: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/42.jpg)
Aseguramiento de dispositivos móviles
Una adecuada estrategia de seguridad en dispositivos móviles incluye un buen programa de Auditoría/Aseguramiento de los mismos. La estrategia de Auditoría para dispositivos móviles genera preguntas:
• ¿Qué debo auditar?
• ¿Cuál es mi universo de auditoría?
• Si se permite BYOD, ¿Dónde empieza el dispositivo móvil y donde termina?
Barreras de Auditoría
![Page 43: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/43.jpg)
Dispositivo Conectado (Ej. Carro)
Dispositivo Conectado
(Ej. GPS)
Dispositivo Conectado
(Ej. juguete)
Barrera Audit Barrera Audit Barrera Audit
Bar
rera
Au
dit
Datos e Información
Redes Corporativas
Redes Públicas
Dispositivo Móvil
Fronteras de Auditoría y Barreras para dispositivos móviles
El universo de Auditoría debe ser definido en base a la información que reside y se procesa en el dispositivo.
![Page 44: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/44.jpg)
Aseguramiento de dispositivos móviles
Una vez identificado el universo de auditoría se deberá seguir el procedimiento tradicional de Auditoría:
Planeación Alcance Ejecución Reporte Seguimiento
Consideraciones especiales: • Es posible los dispositivos no estén disponibles en todo momento para su
revisión • Utilizar auditorías con enfoque centralizado y descentralizado.
• Aspectos legales de privacidad de auditados y fabricantes de dispositivos
• Pérdida de garantía de dispositivos, demandas de empleados.
BYOD Audit/Assurance Program Mobile Computing Security Assurance Program
![Page 45: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/45.jpg)
Investigación o Auditoría forense
de dispositivos móviles
![Page 46: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/46.jpg)
• Resguardo físico • Aislamiento • Congelamiento
• Instantánea (Imagen) • Extraer línea de tiempo (Info) • Extraer la carga útil (Info)
• Asegurar la evidencia • Probar su admisibilidad • Informar sobre la evidencia
• Obtener aprobaciones • Liberar
Asegurar Dispositivo
Asegurar Información
Analizar Información
Liberar Dispositivo
Pasos para investigar un dispositivo (A través de él)
![Page 47: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/47.jpg)
• Evidencia perimetral • Contrapartes • Revisar interacciones
• Almacenamiento secundario y replicación • Información transitoria • Información incidental
• Almacenamiento y transmisión • Otra actividad • Informar sobre la evidencia
Perímetro Dispositivo
Información Replicada
No Repudiación
Pasos para investigar un dispositivo (Alrededor de él)
![Page 48: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/48.jpg)
7. Conclusiones
![Page 49: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/49.jpg)
Conclusiones
• La Estrategia de Seguridad Integral para Dispositivos Móviles debe plantearse así: • Gobierno Administración Hardening Auditoría
• Los controles clave:
• Política de seguridad y uso de dispositivos móviles. • Evaluación de riesgos (dispositivos móviles). • Mitigación de riesgos (EMM; Configuración de Seguridad). • Capacitación y concientización de usuarios en uso de dispositivos móviles. • Proceso de cumplimiento/aseguramiento continuo (Monitoreo, Auditoría).
• Proteger los dispositivos en base a la información que procesan, transmiten y/o
almacenan.
![Page 50: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/50.jpg)
• BYOD está aquí para quedarse:
• Empleados contentos • Ahorros para empresas • Optimización trabajo TI • Adopción veloz de nuevas
tecnologías • Incrementa productividad
empleados
• Gobierno de Seguridad complejo
• Preocupaciones de privacidad • Cumplimiento regulatorio • Falta de uniformidad • Empleados renuentes
• iOS/Android , ¿Quién gana?
Conclusiones
Recuerda es acerca de “limitar” para controlar
![Page 51: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/51.jpg)
• BYOD está aquí para quedarse:
• Empleados contentos • Ahorros para empresas • Optimización trabajo TI • Adopción veloz de nuevas
tecnologías • Incrementa productividad
empleados
• Gobierno de Seguridad complejo
• Preocupaciones de privacidad • Cumplimiento regulatorio • Falta de uniformidad • Empleados renuentes
• iOS/Android , ¿Quién gana?
EMPATE
Conclusiones
Recuerda es acerca de “limitar” para controlar
![Page 52: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/52.jpg)
PREGUNTAS
![Page 53: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/53.jpg)
GRACIAS
Arnulfo Espinosa Domínguez, CISA, CRISC, Cobit 5F
Vicepresidente ISACA Capítulo Monterrey
4 Septiembre 2014
![Page 54: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/54.jpg)
0102030405060708090
100
APPS? APPsolutamente necesario protegerlas
Techcrunch 2013
![Page 55: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/55.jpg)
¿Qué es BYOD? Estrategia que permite a los empleados, proveedores y otros usuarios el utilizar dispositivos seleccionados y comprados por ellos para ejecutar aplicaciones de la empresa o accesar información de la misma. (Típicamente smartphones y tablets, pero también se puede usar en PC´s)
BYOD, provocó la tendencia BYOx, o Bring Your Own “Everything”: • … Device • ….Application • …Cloud • ….Security
Aceptación de BYOD
Techcrunch 2013
![Page 56: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/56.jpg)
¿Qué es BYOD? Estrategia que permite a los empleados, proveedores y otros usuarios el utilizar dispositivos seleccionados y comprados por ellos para ejecutar aplicaciones de la empresa o accesar información de la misma. (Típicamente smartphones y tablets, pero también se puede usar en PC´s)
BYOD, provocó la tendencia BYOx, o Bring Your Own “Everything”: • … Device • ….Application • …Cloud • ….Security
Aceptación de BYOD
Techcrunch 2013
![Page 57: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/57.jpg)
Componentes de una política BYOD
• Objetivo /Metas • Alcance • Definiciones • Marco legal / Normativo • Referencias • Roles y responsabilidades
• Usuario y TI (todas áreas) • Ciclo de vida de dispositivo
• Entrega, admón., respaldo y retiro • Listado de dispositivos aprobados:
• Incluir todo lo inalámbrico
• Listado de aplicaciones aprobadas • Expectativas de privacidad • Cláusulas sobre soporte
• Configuración gral. dispositivo • Información prohibida • Cláusulas uso responsable
• Correo, info, seguridad, etc. • Sobre reporte y tratamiento incidentes • Contrato “Opt In” usuario • Mejora continua • Capacitación del usuario
La política BYOD aplica también para escenarios combinados
![Page 58: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/58.jpg)
Referencias útiles
ISACA • “Securing Mobile Devices” (2010 whitepaper) • “Securing Mobile Devices Using Cobit 5 for
information Security” • “BYOD Audit/Assurance Program” • “Mobile Computing Security Assurance • Program” • “Geolocation: Risk, Issues and Strategies” (2011
whitepaper) Otros • ENISA Smartphone Risks (www.enisa.europa.eu) • Cloud Security Alliance – Mobile Threats
(www.cloudsecurityalliance.org)
Herramientas y referencias útiles para controlar dispositivos móviles • Apple iOS Security
(www.cisecurity.org) • Google Android (www.cisecurity.org) • NIST Mobile Security Guidance (800-
124) • IOS_Application_Security_Testing_Ch
eat_Sheet • OWASP Mobile Security resources • Vendor guidelines • Certified Mobile Device Security
Professional (Link)
Herramientas • Mobisec (www.sourceforge.net) • Smartphone Penetration Testing
Framework (link) • Drozer (www.mwrinfosecurity.com)
![Page 59: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/59.jpg)
![Page 60: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/60.jpg)
¿Y tú cuando te convertiste en experto de BYOD y Seguridad de Dispositivos Móviles?
AYER…
![Page 61: 20140409 La Informacion se Mueve.pdf](https://reader033.vdocuments.site/reader033/viewer/2022042619/586e84851a28ab54688bb546/html5/thumbnails/61.jpg)
¿Y tú cuando te convertiste en experto de BYOD y Seguridad de Dispositivos Móviles?
AYER…
LIKE A BOSS!!!