Krypton Solid

La última tecnología en raciones de 5 minutos

NIST ofrece una guía de mejores prácticas de movilidad basada en implementaciones de COPE

El Instituto Nacional de Estándares y Tecnología (NIST) publicó un borrador de pautas diseñadas para permitir que las organizaciones adopten la movilidad desde cero. Basaron esto en implementaciones corporativas habilitadas personalmente (COPE).

Hemos analizado NIST anteriormente después de que publicaron las pautas de complejidad de contraseñas de 2017 para sobrescribir su versión de 2003 que había introducido mucho de lo que odiamos sobre el manejo de contraseñas (por ejemplo, cierta longitud de caracteres, rotación, etc.).

Ahora, NIST tiene como objetivo ayudar a las organizaciones a entrar en movilidad (lo que Jack ha dicho antes debería ser básicamente todas en este punto).

Instituto Nacional de Estándares y Tecnología

Para comprender por qué esta guía de mejores prácticas es tan interesante, es necesario echar un vistazo rápido al propio NIST. Si bien no es un organismo regulador, a menudo publica estándares sobre marcos de seguridad que ayudan a las organizaciones a cumplir con la protección de datos. Si bien NIST no se originó para lograr que las organizaciones cumplieran, están respaldadas por el gobierno federal y, a menudo, el cumplimiento es necesario para trabajar con las agencias gubernamentales.

Sin embargo, estas pautas del NIST son diferentes, ya que están destinadas a cualquier organización que busque desarrollar un marco de movilidad pero tal vez no sepa cómo comenzar. No es la primera vez que NIST cubrió la movilidad antes, con pautas de seguridad más generales publicadas en 2013 donde recomendaron que las organizaciones tengan políticas para cubrir la comunicación y el almacenamiento de datos, la autenticación de usuarios / dispositivos y las aplicaciones móviles. Las pautas del NIST [PDF] revise lo que las organizaciones deben considerar, pero no proporcione mucha orientación, dejando a las organizaciones solas.

Pautas del NIST para COPE y movilidad

En julio, NIST publicó un borrador [PDF] de sus pautas de movilidad basadas en implementaciones de COPE y comentarios aceptados hasta finales de septiembre. En el borrador de 350 páginas, esbozaron un enfoque basado en estándares muy detallado para implementar la movilidad. Trabajaron con algunos proveedores de seguridad conocidos como Lookout y Palo Alto Networks y consideraron tanto iOS como Android al desarrollar estas pautas.

Las pautas de movilidad explican cómo implementar controles de seguridad para proteger los datos comerciales en los dispositivos COPE, la implementación de configuraciones y políticas organizacionales, un examen de la seguridad de las aplicaciones móviles, cómo prevenir ataques de tipo Man in the Middle y ataques de phishing, y configurar el usuario la configuración de privacidad.

Las organizaciones deben implementar un EMM local con soluciones de agente y nube, incluidas las de defensa contra amenazas móviles, inteligencia contra amenazas móviles, arranque seguro y VPN.

NIST explica que reunieron las pautas de movilidad, ya que muchos administradores no siempre conocen las mejores políticas y estándares para implementar. Desde la perspectiva del usuario, los empleados no siempre están encantados con la cantidad de visibilidad que las organizaciones pueden tener sobre los dispositivos y con la limitación de lo que pueden hacer los usuarios.

Sin embargo, una cosa a tener en cuenta, para cualquier organización que esté considerando probar las pautas de movilidad del NIST, enfatiza que la guía se basa actualmente en un entorno de laboratorio frente a un entorno de producción. Esto podría hacer que las pautas del NIST parezcan más fáciles de implementar; además, también requiere que tenga las personas necesarias en su lugar.

Mi único problema con su borrador es que, dada la profundidad con la que se sumergen, no es ideal para organizaciones más pequeñas con un presupuesto y empleados limitados. Pero, al mismo tiempo, las organizaciones podrían sacar aspectos útiles e implementar una versión más limitada de lo que sugiere NIST.

Una mirada rápida a lo que recomienda el NIST

Las organizaciones deben implementar en un proceso de tres pasos (con millones de pasos más pequeños contenidos dentro de cada uno). Primero, realiza una evaluación de riesgos, selecciona e implementa la arquitectura de movilidad y finaliza con las pruebas de seguridad.

Evaluación de riesgos
Antes de que pueda comenzar a seleccionar los proveedores de EMM adecuados, su equipo debe realizar una evaluación de riesgos para identificar las fuentes de amenazas, las vulnerabilidades, la probabilidad de que ocurran las amenazas / vulnerabilidades mencionadas anteriormente y cómo se vería afectada la empresa. Si su equipo no está seguro de qué riesgos considerar, el NIST lo tiene cubierto. Algunos ejemplos de riesgos podrían ser el acceso externo a datos confidenciales, phishing, etc.

Una vez hecho esto, también debe someterse a una evaluación de riesgos de privacidad. COPE involucra dispositivos que los usuarios pueden no tener pero que pueden tener datos personales; Los empleados deben asegurarse de que pueden confiar en que sus datos personales siguen siendo privados. Algunos aspectos de la privacidad a considerar es cómo maneja el bloqueo de acceso o borrado de dispositivos, el monitoreo del uso y el intercambio de datos. NIST ofrece orientación sobre cómo limitar lo anterior mediante el borrado selectivo de datos, haciendo que los empleados realicen copias de seguridad de los datos personales constantemente y limitando qué empleados tienen acceso para borrar o bloquear el acceso.

Arquitectura
Con las evaluaciones de amenazas y privacidad fuera del camino, es hora de descubrir realmente cómo desarrollar la arquitectura y qué productos de proveedores se necesitan. Obviamente, este es el paso más complicado, pero NIST ofrece varias herramientas que creen que cuando se implementan juntas proporcionan una configuración completa. (Notará que todos los productos son vendidos por proveedores con los que habló NIST para este borrador).

https://cdn.ttgtmedia.com/rms/onlineimages/NISTguidelines.png

Análisis de seguridad
La pieza final del marco de las directrices de movilidad implica el análisis de seguridad. Con la arquitectura en su lugar, es hora de pasar por las pruebas. NIST proporciona una lista de eventos de amenazas para probar la seguridad de su arquitectura de movilidad; una vez que se maneja, está listo para comenzar a implementar en producción con los empleados.

Envolver

Parece una guía bastante detallada que las organizaciones más grandes podrían implementar, aunque sería más fácil hacerlo cuando esté despegando por primera vez en lugar de haber existido durante décadas.

En general, si ha prestado atención a los proveedores de EMM de los últimos años o ha leído nuestro sitio web, lo que NIST describe aquí no es nada revolucionario. Sin embargo, saber lo que necesita y realmente implementar eso son dos cosas diferentes y las pautas de movilidad del NIST son definitivamente útiles. Obtiene todo lo que necesita al tiempo que reconoce la privacidad y la seguridad, al tiempo que obtiene movilidad desde un enfoque de estándares, lo que hace posible que las organizaciones lo implementen.

Deja un comentario

También te puede interesar...

Qué hay de nuevo: Vista SP1; Google; Anuncios PDF

Títulos notables: Mary Jo Foley: Microsoft refina su argumento de ventas internas para Vista Service Pack 1. El candidato para el lanzamiento de Vista SP1 se espera la próxima semana. Adrian Kingsley-Hughes: Incluso Microsoft tiene

Definición de fondo fiduciario

¿Qué es un fondo fiduciario? El término fondo fiduciario se refiere a una herramienta de planificación de activos que establece una entidad legal que posee bienes o activos para una persona u organización. Los fondos

GameStop y la guerra minorista de 2012

La decisión de Gamestop de extraer códigos OnLive gratuitos de las copias de Deus Ex: Human Revolution es más que una simple decisión comercial desafortunada. Es la primera oportunidad real en una guerra entre editores

PCGA

Investopedia y nuestros socios externos utilizan cookies y procesan datos personales, como identificadores únicos, en función de su consentimiento para almacenar y/o acceder a información en un dispositivo, para mostrar anuncios personalizados y para medir

Definición de la agencia de inversión de Brunei

¿Qué es la Agencia de Inversiones de Brunei? La Agencia de Inversiones de Brunei (BIA), fundada en 1983, es una organización de inversión propiedad del gobierno que posee y administra el fondo de reserva general

Faltan programas de controlador Krypton Solid

¿La tarjeta de video de la PC no funciona correctamente después de reinstalar Windows? ¿La tarjeta de sonido ya no da señales de vida? Obviamente, hay algún problema con los controladores; lo más probable es

Waugh estalla debido a la propuesta de AU Ubuntu

Un representante local del principal partidario del popular sistema operativo Ubuntu Linux reaccionó negativamente a la propuesta de crear una organización australiana independiente para promover el software. Un grupo interesado en promover Ubuntu, cada vez

No necesitamos encuestas apestosas

En el blog de TI para la educación de hoy, encontré Encuestas 101: Garantice la privacidad al preguntar sobre actividades ilegales y me divirtió un poco el hecho de que la GAO esté investigando a

La OTAN refuerza la ciberdefensa

Ataques de pirateo de puntos técnicos La tecnología de monitoreo de vanguardia permitirá a la OTAN detectar instantáneamente a cualquier persona que intente piratear sus sistemas. Seguridad de la A a la Z desde VIRUS

Definición de referencias crediticias

¿Qué es una referencia de crédito? Las referencias de crédito pueden ser un informe de crédito o una carta documentada de un acreedor anterior, un conocido personal o un conocido comercial. Los prestamistas utilizan tanto

Microsoft confirma la consola Xbox Series S de $ 299

Horas después de que la consola Xbox Series S de Microsoft se filtrara ampliamente, la compañía confirmó su existencia. En un tweet, Microsoft describe que la Serie S ofrece «rendimiento de última generación en la