MDM: Encriptación de Dispositivos

Mobile Device Management (MDM) se define cómo el conjunto de tecnologías que operan a fin de que una empresa pueda controlar su catálogo de dispositivos. Desde portátiles hasta móviles podemos, en función del proveedor de MDM que escojamos, llevar un inventario exhaustivo de los dispositivos controlados por la empresa. Así como el control de a qué tipo información puede acceder cada dispositivo y cada usuario.

En este artículo nos centraremos exclusivamente en una característica individual de MDM; la encriptación de dispositivos.

Peligros cuanto al acceso a la información

Hoy en día las empresas deben manejar volúmenes grandes de información y deben conseguir asimismo que ésta sea accesible para todos los usuarios que la requieran desde donde la necesiten. Si tenemos una empresa con un departamento comercial, por ejemplo, es fácil pensar que alguno de esos comerciales deberá salir en algún momento de las instalaciones de su empresa (y, por lo tanto, de sus redes físicas) para llevar a cabo reuniones, entrevistas, etc. Además, es muy posible que, durante esas salidas, el usuario necesite acceder a información empresarial.

En este artículo no vamos a entrar en si el usuario tiene una copia de la información en alguno de sus dispositivos o si accede a ella de forma telemática, porque con MDM podemos controlar ambos escenarios. Pero sí es verdad que, sea cual sea el modo en el que un usuario accede a la información, desde fuera de las instalaciones de la empresa conlleva un peligro. Ese peligro tiende a mayores cuantos más dispositivos diferentes utilice el usuario a fin de acceder a la información empresarial desde el exterior.

Debemos ver cada dispositivo como un peligro. Si tenemos una Tablet, iPad, un móvil Android y un portátil con Windows10, lo que tenemos en realidad es un usuario que puede ser «atacado» por muchos frentes. Yo mismo tengo en mi teléfono móvil las cuentas de correo electrónico asociadas a mi trabajo y, obviamente, cuando salgo de casa, mi móvil va conmigo.

Protocolos de seguridad de la información

Normalmente, cuando pensamos en riesgos dentro del mundo de la informática enseguida se nos vienen a la cabeza los Hackers, pero la realidad es muchísimo más sencilla. Si bien estos son un peligro, también es un peligro que perdamos el móvil. Si el móvil cae en manos de un profesional o alguien con la capacidad de descargarse ciertos «scripts» de internet, entenderlos y ejecutarlos con nuestro dispositivo en sus manos, tenemos un gran problema. Pero, y ante eso, ¿qué hacemos?

Las empresas deben tener protocolos para este tipo de problemas. Si a un administrador de IT de una empresa le roban el móvil es muy posible que con el tiempo suficiente el atacante logre acceso a éste. Si no hemos tomado medidas preventivas para cuando lo consiga, podrá acceder a cierta documentación que seguramente no queramos que vea una persona ajena a la empresa.

La implementación de MDM

Si estamos en fase de implantación de MDM en nuestra empresa, lo más seguro es que el primer paso sea controlar dos cosas; la encriptación y el borrado de dispositivos en remoto. Antes incluso de definir permisos, políticas de acceso a documentación, políticas de acceso a información en función de la ubicación del dispositivo, etc. debemos estar seguros de que nada de lo que haya en ningún dispositivo caerá en manos ajenas.

Para conseguir ese objetivo, debemos poner el foco en dos funcionalidades básicas de un buen gestor de MDM:

• Encriptación de dispositivos
• Eliminación del dispositivo en remoto

Así, para llevar a cabo el plan, deberemos reunir el máximo de información posible acerca de los dispositivos que la empresa provee a sus usuarios. Como también información acerca de los usuarios en sí. Necesitaremos saber marca, modelo y, a poder ser, estado de actualización del sistema operativo que el dispositivo haga correr. Debemos de este modo realizar un buen inventario para tener en cuenta las restricciones del sistema operativo. Y es que no todas las versiones soportan todas las funcionalidades de un gestor MDM. Por ello, en función de nuestras necesidades, deberemos proveer a los usuarios dispositivos que cumplan con unos mínimos criterios de seguridad.

MDM: Encriptación de dispositivos

El objetivo de la encriptación de dispositivos no es otra que la de tener dispositivos empresariales cuyos discos estén encriptados. Es decir, sin la clave necesaria para desencriptar, nadie podrá ver, aunque tenga el disco en su poder, qué información hay dentro. Cuando un usuario arranca un dispositivo (por ejemplo, un Windows10) encriptado desde MDM con BitLocker, éste deberá introducir una contraseña en el arranque del sistema a fin de que Windows pueda leer la información alojada en el disco duro que, recordemos, estará encriptada.

Eliminación del dispositivo en remoto

Podríamos decir que la encriptación es un freno: aun encriptando los dispositivos, creemos que una persona con suficientes conocimientos podría llegar con tiempo a leer el contenido del disco: sí, es difícil. Muy difícil, pero posible. Puede llevar semanas o meses a una persona conseguir acceder a los datos del disco, pero quizás lo logre. De otro modo (sin encriptación), le sería muchísimo más fácil; pinchando el disco y montándolo en un sistema alternativo sería suficiente.

Por eso, el objetivo de configurar la eliminación de dispositivos en remoto es tener la posibilidad de eliminar todo el contenido de un dispositivo remoto mientras el supuesto atacante se pelea con la encriptación del disco.

Cómo eliminar el contenido de un dispositivo remoto

La eliminación de dispositivos se puede llevar a cabo, al menos, de dos maneras:

• Eliminación del contenido empresarial: podemos dejar el dispositivo intacto, pero eliminando toda la información empresarial si se accede a ésta de forma telemática. Por ejemplo, si tenemos documentos sincronizados con OneDrive en el disco local.

• Reset de fábrica: con este método, dejaremos el dispositivo como si acabase de salir de la fábrica, eliminando cualquier rastro de información documental, de usuarios, tokens de seguridad para acceso telemático a la documentación, etc…. básicamente todo.

Son dos sencillos pasos que, además, si utilizas proveedores de MDM como Azure Intune sobre una suscripción de Microsoft 365, podrás montar en muy poco tiempo un panel centralizado desde el que manejar todos los permisos, accesos y dispositivos de una empresa. También tendremos gestión centralizada de, por ejemplo, las claves de encriptación de los diferentes dispositivos afectados, de modo que no deberemos preocuparnos por perderlas, que nos las roben o que el usuario se olvide si la necesita en algún momento.

En resumen, plantear un buen proyecto MDM para su empresa ayudará a llevar una gestión de todos los dispositivos y la seguridad desde un punto de administración único. Mejorará además la seguridad de la empresa y tendrá una respuesta rápida ante incidentes graves como el robo de un dispositivo, el hackeo de un dispositivo, el robo de un password de un usuario y un largo etcétera.