Seguridad móvil: iOS vs Android vs BlackBerry vs Windows Phone

Las aplicaciones de terceros en el móvil no deben ser tratadas como si fueran para PC

El fenómeno BYOD es noticia vieja, y cuenta con soporte en la mayoría de las empresas. Para las organizaciones de TI, eso significa garantizar la seguridad y la gestión adecuada en los dispositivos móviles que los empleados son propensos a usar. En el último año, el iPhone y la iPad de Apple se han convertido en los nuevos estándares corporativos debido a la alta satisfacción del usuario y sus capacidades de seguridad superiores.

Sin embargo, Samsung ha estado promoviendo agresivamente sus extensiones SAFE (Samsung Approved for Enterprise) para Android con el fin de reforzar su alcance en las empresas recelosas de la histórica falta de preocupación por la seguridad y el malware rampante en los dispositivos Android de Google. SAFE aborda las principales preocupaciones. BlackBerry, una vez el niño mimado de TI debido a sus cientos de funciones de seguridad, también está tratando de ganarse el respeto corporativo con BlackBerry 10, que apoya las políticas básicas de Exchange ActiveSync (EAS) desde la caja (por primera vez para el BackBerry), así como un amplio conjunto de funciones de seguridad en su reestructurado servidor de administración BES 10.

Luego está Windows Phone 8, la tercera versión del intento de Microsoft para entregar un sistema operativo popular para los teléfonos inteligentes. Históricamente le ha prestado poca atención a los problemas de seguridad, pero la versión 8 se esfuerza por satisfacer las preocupaciones básicas de la seguridad empresarial.

La seguridad móvil se divide en dos formas fundamentales: políticas de EAS de Microsoft y las API nativas.

Soporte comparado de las políticas de Exchange ActiveSync
Microsoft Exchange, Microsoft System Center 2012, Google Docs para empresas, y varias herramientas de gestión de terceros soportan políticas EAS desde la caja. Según el analista de móviles, Chris Hazelton de Group 451, las políticas básicas de EAS cubren las necesidades de la mayoría de las empresas. Pero como muestra el cuadro (descargar PDF), los distintos sistemas operativos móviles soportan diferentes políticas de EAS; el soporte EAS por sí mismo no dice cuál es el nivel de seguridad que obtiene.

Apple iOS 4.2 fue el primer sistema operativo móvil moderno importante en apoyar las políticas de EAS, y ayudó a catapultar el iPhone a la posición dominante de la empresa. Desde entonces, Google ha aumentado la cobertura de EAS en cada versión, siendo Android 4 la más compatible con las políticas de EAS. Samsung, el fabricante líder de Android, ha añadido soporte de políticas, así como las API de Android 4 a muchos de sus dispositivos.

Cuando se comparan las políticas de soporte EAS de Windows Phone 8 con las del Windows Phone 7.5, no hay mucha diferencia. “Microsoft realmente no ha aportado mucho en el extremo de gestión”, señala JP Halebeed, director global de investigación y desarrollo del proveedor de gestión para dispositivos móviles (MDM por sus siglas en inglés) AirWatch. Una adición importante es el apoyo de encriptación en el dispositivo (está activada de forma predeterminada para el almacenamiento interno, pero no para las tarjetas SD) y el apoyo relacionados con las políticas de encriptación de EAS. La falta de apoyo para el cifrado ha sido uno de los mayores obstáculos para la aceptación empresarial de Windows Phone. Microsoft también es compatible con la nueva política EAS de administración de derechos de información (IRM por sus siglas en inglés), que permite que las empresas puedan gestionar los derechos de los datos que están en los dispositivos; Microsoft, por supuesto, tiene un producto de servidor IRM correspondiente.

Por último, BlackBerry ha añadido soporte EAS al nuevo BlackBerry OS 10; las versiones anteriores podrían obtenerse solo a través de BlackBerry Enterprise Server (BES).

Capacidades comparadas de la API nativa de seguridad y de gestión
La otra forma de seguridad móvil proviene de las API de cada sistema operativo móvil. Estas API varían ampliamente a través de los sistemas operativos, y cada uno requiere una herramienta de gestión. Muchas herramientas de MDM soportan múltiples sistemas operativos móviles, proporcionándole a TI una única consola de administración. Algunos también ofrecen aplicaciones cliente que añaden capacidades que no se encuentran en las API nativas, aunque esto obliga normalmente a que los usuarios opten por el correo electrónico y otras aplicaciones propietarias con fines profesionales. Éste cuadro (descargar PDF) muestra algunas de las características de gestión más solicitadas, y típicamente implementadas a través de APIs.

Apple, por ejemplo, tiene varias docenas de estas API que utilizan perfiles de configuración instalados de forma remota, no solo para establecer la configuración de iOS (como la configuración previa de VPN o puntos de acceso permitidos), sino también para manejar el comportamiento de aplicaciones (por ejemplo, no permitir el envío de mensajes corporativos a través de cuentas personales de correo electrónico). iOS 6 añade varias nuevas políticas, incluida la capacidad para evitar la retirada de aplicaciones, bloquear una aplicación específica para un usuario específico, y prevenir que se compren aplicaciones de pago. Todos son parte de lo que iOS llama un entorno supervisado, en el que el iPhone o la iPad se tratan como si fueran electrodomésticos.

En la misma línea, en Windows Phone 8, Microsoft admite la posibilidad de revocar aplicaciones, restringir el reenvío de correo electrónico, inscribir o anular dispositivos de forma remota, y actualizar las aplicaciones de negocios proporcionadas de forma remota. Una capacidad en Windows Phone 8 que no está disponible para otros sistemas operativos móviles es su integración con Active Directory, señala Ahmed Datoo, vicepresidente de marketing del proveedor de MDM Zenprise. Esto significa que las herramientas de gestión de datos maestros como Zenprise pueden acceder a los grupos de Active Directory, a continuación, asignar políticas a los grupos en lugar de tener dos conjuntos separados en la herramienta MDM del set de Active Directory. Eso es un ahorro de tiempo para TI, señala, además reduce el riesgo de que los empleados no estén en los grupos correctos de las políticas que deben aplicarse o que se pierden cuando se deja de hacerlo, por ejemplo, Active Directory, pero no en la base de datos de usuario de la herramienta MDM.

Microsoft y Google ofrecen muchas menos capacidades en sus API, aunque Samsung y la unidad Motorola Mobility de Google han añadido sus propias API de seguridad para sus dispositivos Android 4. Por ejemplo, las API SAFE de Samsung permiten a los administradores de TI la capacidad de desactivar cámaras, Bluetooth, función de conexión, grabación de voz, tarjetas SD y conexión Wi-Fi gratuita.

Microsoft utiliza un gestor central en Windows Phone 8 llamado DM Client que contiene todos los perfiles de usuarios relevantes y corporativos (como el registro de Windows, de hecho), en lugar de basarse en un conjunto de perfiles de configuración instalados por separado (como la carpeta del sistema de OS X).

Luego está BlackBerry, el padrino de la seguridad y la gestión móvil. Su BES ofrece cientos de controles, y su tecnología de balance permite a TI crear una partición en un dispositivo BlackBerry 10 para mantener separadas las aplicaciones y los datos personales con los del trabajo. BlackBerry tiene un conjunto bastante confuso de productos MDM en la transición de su antigua plataforma BlackBerry a la nueva.

Cómo pensar en la administración de dispositivos móviles
Ojas Rege, vicepresidente de estrategia del proveedor de MDM MobileIron, describe tres bandas de los requisitos de gestión en los que TI debería estar pensando.

El primer conjunto de requisitos está alrededor de la configuración y protección de dispositivos perdidos o en peligro. Eso normalmente requiere refuerzo de contraseñas, aplicación de cifrado, bloqueo remoto y limpieza, configuración remota de correo, certificados de identidad, configuración de conectividad remota (como por Wi-Fi y VPN, aunque él dice que esta capacidad de configuración no es esencial si el uso es solo para el correo electrónico y las redes celulares), y detección de sistemas operativos comprometidos (como los que están rooteados o infectados con malware).

El segundo conjunto de requisitos tiene que ver con la prevención de pérdida de datos (DLP), que cubre los controles de privacidad (como la ubicación del usuario), los controles de uso en la nube (como para iCloud, SkyDrive, y Google Docs), y los controles de DLP de correo electrónico (por ejemplo, la posibilidad de restringir el reenvío de correo electrónico y proteger los archivos adjuntos). “Los entornos más reglamentados pueden requerir el No. 2, y estas políticas siguen siendo TBD para Windows Phone”, señala Rege. Por el contrario, iOS, BlackBerry y Android han apoyado la mayor parte de estas necesidades (respectivamente) desde que iOS 4, BES 5 y Android 3 – aunque algunos como la gestión de reenvíos de correo electrónico -se manejan fuera de la OS de los clientes MDM como los de MobileIron.

El tercer conjunto de requisitos tiene que ver con las aplicaciones, tales como el aprovisionamiento y la seguridad de los datos.

Aunque Apple y Microsoft tienen mecanismos para hacer por lo menos el manejo básico de la aplicación -iOS puede ocultar una aplicación para que ya no esté disponible para un usuario, y Windows Phone 8 puede actualizar aplicaciones corporativos de forma remota- las capacidades de gestión de aplicaciones móviles (MAM por sus siglas en inglés) por lo general son implementadas por los proveedores, señala Rege.

Todas las tiendas de aplicaciones, excepto la de Google, son altamente depuradas. Para sus sistemas operativos móviles, Microsoft y BlackBerry copian el enfoque de Apple, que ha mantenido al malware fuera de iOS. Android no tiene un control tan riguroso, y aunque Google ahora se esfuerza más para analizar aplicaciones, el mercado de Google Play está lleno de malware. Las autoridades federales anunciaron recientemente que el software espía de clase industrial usado en las amenazas avanzadas persistentes, ha entrado al mercado Google Play.

Las cuatro plataformas proporcionan mecanismos para que las empresas implementen sus propias aplicaciones directamente a los usuarios, para que puedan implementar y administrar las aplicaciones de empresa por separado de aquellas que los usuarios reciben de la tienda de aplicaciones. Las herramientas de administración de móviles pueden conectar estos mecanismos a las políticas de grupo y a los controles de gestión de contenido.

Es obvio que iOS y BlackBerry 10 tienen lo necesario para las necesidades de seguridad de casi cualquier negocio. Android, especialmente si tiene dispositivos de Samsung o Motorola, es una plataforma creíble, si no está preocupado por el potencial malware que puede contener. Mientras tanto, Windows Phone es adecuado para los requisitos de baja seguridad.

Galen Grumman, InfoWorld (EE.UU.) – CIOPeru.pe