El Instituto Nacional de Estándares y Tecnología (NIST) publicó un borrador de pautas diseñadas para permitir que las organizaciones adopten la movilidad desde cero. Basaron esto en implementaciones corporativas habilitadas personalmente (COPE).
Hemos analizado NIST anteriormente después de que publicaron las pautas de complejidad de contraseñas de 2017 para sobrescribir su versión de 2003 que había introducido mucho de lo que odiamos sobre el manejo de contraseñas (por ejemplo, cierta longitud de caracteres, rotación, etc.).
Ahora, NIST tiene como objetivo ayudar a las organizaciones a entrar en movilidad (lo que Jack ha dicho antes debería ser básicamente todas en este punto).
Instituto Nacional de Estándares y Tecnología
Para comprender por qué esta guía de mejores prácticas es tan interesante, es necesario echar un vistazo rápido al propio NIST. Si bien no es un organismo regulador, a menudo publica estándares sobre marcos de seguridad que ayudan a las organizaciones a cumplir con la protección de datos. Si bien NIST no se originó para lograr que las organizaciones cumplieran, están respaldadas por el gobierno federal y, a menudo, el cumplimiento es necesario para trabajar con las agencias gubernamentales.
Sin embargo, estas pautas del NIST son diferentes, ya que están destinadas a cualquier organización que busque desarrollar un marco de movilidad pero tal vez no sepa cómo comenzar. No es la primera vez que NIST cubrió la movilidad antes, con pautas de seguridad más generales publicadas en 2013 donde recomendaron que las organizaciones tengan políticas para cubrir la comunicación y el almacenamiento de datos, la autenticación de usuarios / dispositivos y las aplicaciones móviles. Las pautas del NIST [PDF] revise lo que las organizaciones deben considerar, pero no proporcione mucha orientación, dejando a las organizaciones solas.
Pautas del NIST para COPE y movilidad
En julio, NIST publicó un borrador [PDF] de sus pautas de movilidad basadas en implementaciones de COPE y comentarios aceptados hasta finales de septiembre. En el borrador de 350 páginas, esbozaron un enfoque basado en estándares muy detallado para implementar la movilidad. Trabajaron con algunos proveedores de seguridad conocidos como Lookout y Palo Alto Networks y consideraron tanto iOS como Android al desarrollar estas pautas.
Las pautas de movilidad explican cómo implementar controles de seguridad para proteger los datos comerciales en los dispositivos COPE, la implementación de configuraciones y políticas organizacionales, un examen de la seguridad de las aplicaciones móviles, cómo prevenir ataques de tipo Man in the Middle y ataques de phishing, y configurar el usuario la configuración de privacidad.
Las organizaciones deben implementar un EMM local con soluciones de agente y nube, incluidas las de defensa contra amenazas móviles, inteligencia contra amenazas móviles, arranque seguro y VPN.
NIST explica que reunieron las pautas de movilidad, ya que muchos administradores no siempre conocen las mejores políticas y estándares para implementar. Desde la perspectiva del usuario, los empleados no siempre están encantados con la cantidad de visibilidad que las organizaciones pueden tener sobre los dispositivos y con la limitación de lo que pueden hacer los usuarios.
Sin embargo, una cosa a tener en cuenta, para cualquier organización que esté considerando probar las pautas de movilidad del NIST, enfatiza que la guía se basa actualmente en un entorno de laboratorio frente a un entorno de producción. Esto podría hacer que las pautas del NIST parezcan más fáciles de implementar; además, también requiere que tenga las personas necesarias en su lugar.
Mi único problema con su borrador es que, dada la profundidad con la que se sumergen, no es ideal para organizaciones más pequeñas con un presupuesto y empleados limitados. Pero, al mismo tiempo, las organizaciones podrían sacar aspectos útiles e implementar una versión más limitada de lo que sugiere NIST.
Una mirada rápida a lo que recomienda el NIST
Las organizaciones deben implementar en un proceso de tres pasos (con millones de pasos más pequeños contenidos dentro de cada uno). Primero, realiza una evaluación de riesgos, selecciona e implementa la arquitectura de movilidad y finaliza con las pruebas de seguridad.
Evaluación de riesgos
Antes de que pueda comenzar a seleccionar los proveedores de EMM adecuados, su equipo debe realizar una evaluación de riesgos para identificar las fuentes de amenazas, las vulnerabilidades, la probabilidad de que ocurran las amenazas / vulnerabilidades mencionadas anteriormente y cómo se vería afectada la empresa. Si su equipo no está seguro de qué riesgos considerar, el NIST lo tiene cubierto. Algunos ejemplos de riesgos podrían ser el acceso externo a datos confidenciales, phishing, etc.
Una vez hecho esto, también debe someterse a una evaluación de riesgos de privacidad. COPE involucra dispositivos que los usuarios pueden no tener pero que pueden tener datos personales; Los empleados deben asegurarse de que pueden confiar en que sus datos personales siguen siendo privados. Algunos aspectos de la privacidad a considerar es cómo maneja el bloqueo de acceso o borrado de dispositivos, el monitoreo del uso y el intercambio de datos. NIST ofrece orientación sobre cómo limitar lo anterior mediante el borrado selectivo de datos, haciendo que los empleados realicen copias de seguridad de los datos personales constantemente y limitando qué empleados tienen acceso para borrar o bloquear el acceso.
Arquitectura
Con las evaluaciones de amenazas y privacidad fuera del camino, es hora de descubrir realmente cómo desarrollar la arquitectura y qué productos de proveedores se necesitan. Obviamente, este es el paso más complicado, pero NIST ofrece varias herramientas que creen que cuando se implementan juntas proporcionan una configuración completa. (Notará que todos los productos son vendidos por proveedores con los que habló NIST para este borrador).
Análisis de seguridad
La pieza final del marco de las directrices de movilidad implica el análisis de seguridad. Con la arquitectura en su lugar, es hora de pasar por las pruebas. NIST proporciona una lista de eventos de amenazas para probar la seguridad de su arquitectura de movilidad; una vez que se maneja, está listo para comenzar a implementar en producción con los empleados.
Envolver
Parece una guía bastante detallada que las organizaciones más grandes podrían implementar, aunque sería más fácil hacerlo cuando esté despegando por primera vez en lugar de haber existido durante décadas.
En general, si ha prestado atención a los proveedores de EMM de los últimos años o ha leído nuestro sitio web, lo que NIST describe aquí no es nada revolucionario. Sin embargo, saber lo que necesita y realmente implementar eso son dos cosas diferentes y las pautas de movilidad del NIST son definitivamente útiles. Obtiene todo lo que necesita al tiempo que reconoce la privacidad y la seguridad, al tiempo que obtiene movilidad desde un enfoque de estándares, lo que hace posible que las organizaciones lo implementen.