Una parte importante del trabajo corporativo moderno se realiza a través de dispositivos móviles: correo electrónico, acceso a documentos, calendario, banca, aplicaciones de salud, sistemas de auditoría. El personal de campo, los equipos de ventas, el personal sanitario y los directivos usan teléfono o tableta como dispositivo de trabajo.
Aun así, para la mayoría de la infraestructura de seguridad corporativa el dispositivo móvil es invisible. Las plataformas ADC y WAAP ven el tráfico del navegador/aplicación móvil pero no pueden recopilar datos sobre el dispositivo en sí. La necesidad de MDM suele cubrirse con un producto separado, una licencia separada y un equipo de operaciones separado.
Esta separación crea dos problemas. Primero: la política de acceso del dispositivo móvil no se combina con AAM; la postura del dispositivo y la decisión de acceso viven en sitios diferentes. Segundo: los equipos SOC e IT tienen que mirar dos interfaces separadas durante un incidente.
TR7 ETM cierra esta separación. La gestión móvil se ofrece en la misma plataforma como una extensión natural de la gestión de escritorio.
TR7 ETM ofrece el mismo modelo operativo para dispositivos móviles y de escritorio — telemetría, acción, política y auditoría en común.
Para transmitir comandos a los dispositivos se usan los estándares push y MDM nativos de iOS y Android. No queda necesidad de una solución MDM de terceros; ETM opera como MDM integrado.
Un operador puede aplicar política a un dispositivo Android mientras ejecuta una consulta en vivo en el escritorio. Sin herramienta separada, sin formación separada, sin auditoría separada — a través de una única plataforma TR7.
Las señales de cumplimiento del dispositivo móvil — jailbreak, root, nivel del OS, cifrado, estar o no bajo control MDM — se alimentan directamente a la conditional-access policy de AAM. La decisión de acceso se toma también para el dispositivo móvil según la confianza del dispositivo.
Con el perfil de trabajo de Android y la configuración de aplicaciones gestionadas de iOS, los datos de trabajo se separan de los personales. En los escenarios de Dispositivo Personal (BYOD) se gestionan los datos corporativos sin tocar las aplicaciones personales del usuario; en caso de pérdida del dispositivo solo se borra el perfil de trabajo.
El MDM integrado incorpora a la capa de gestión TR7 todos los tipos de dispositivos de campo sin distinción.
El flujo de inscripción de dispositivos se configura según el escenario: zero-touch enrollment para el dispositivo adquirido por la organización, inscripción self-service para el dispositivo aportado por el usuario, cadena de comandos MDM para el dispositivo corporativo. La plataforma soporta la integración con los programas de dispositivos corporativos.
Las redes Wi-Fi corporativas, las configuraciones de VPN, las definiciones de cuentas de correo electrónico y los certificados de cliente se transmiten al dispositivo como perfiles. El usuario no realiza configuración manual; un cambio de política se distribuye automáticamente a todo el inventario de dispositivos.
Las aplicaciones corporativas pueden instalarse automáticamente, las versiones antiguas pueden renovarse con obligación de actualización, las aplicaciones prohibidas pueden bloquearse o eliminarse. Las aplicaciones dentro de la managed app de iOS y el work profile de Android están bajo control total.
Para que el dispositivo se considere conforme se definen condiciones mínimas: versión del sistema operativo, cifrado de disco, tipo de pantalla de bloqueo, actividad biométrica, estado de depuración USB. Los dispositivos no conformes se mantienen apartados del acceso o se restringen.
Los dispositivos con jailbreak o root se colocan automáticamente en la clase non-compliant. Esta señal se refleja al instante en la decisión de conditional-access de AAM; en escenarios de alta sensibilidad como las aplicaciones de banca, salud o sector público, el acceso se bloquea directamente.
Cuando se pierde el dispositivo hay dos opciones: borrado total (factory reset, incluidos los datos corporativos y personales) o borrado selectivo (solo el perfil de trabajo). En los escenarios de Dispositivo Personal (BYOD) el borrado selectivo protege los datos personales del usuario.
Con el permiso de la política de la organización puede monitorearse la ubicación del dispositivo; para un dispositivo que sale del límite geográfico se ejecuta un disparador de política. Esta función se usa especialmente en los sectores con restricción de transferencia transfronteriza de datos.
Los certificados de cliente, los certificados raíz y los certificados de firma de aplicaciones se distribuyen automáticamente a los dispositivos. La renovación, revocación y distribución de certificados se gestionan de forma central; el usuario no realiza la instalación manual.
Para los entornos de alta seguridad pueden gestionarse mediante política el uso de la cámara, el acceso al micrófono, la grabación de pantalla y la conexión de dispositivos externos. Es adecuado para escenarios de salas de reuniones, instalaciones sensibles o entornos del sector público/defensa.
Cuando se define una nueva política se avisa al dispositivo a través del canal push nativo de la plataforma; la política se aplica en minutos. El usuario no espera un reinicio ni el establecimiento de la conexión.
El MDM integrado no es solo una capacidad técnica, sino que ofrece todo un modelo de gestión para las flotas móviles.
Las acciones de dispositivos móviles y de escritorio se acumulan en la misma pista de auditoría. Los equipos de cumplimiento no tienen que realizar reportes separados; para un incidente, los datos de ambos tipos de dispositivos llegan en conjunto.
La señal de postura móvil (cumplimiento, jailbreak, versión del OS) es una entrada directa de la conditional-access policy de AAM. La política de acceso se escribe no según el tipo de dispositivo, sino según la confianza del dispositivo.
Para los dispositivos adquiridos por la organización se soporta el zero-touch enrollment. Cuando el dispositivo se enciende entra automáticamente en el ámbito del MDM; el usuario no realiza pasos adicionales en el setup wizard.
El perfil de trabajo de Android y la configuración de aplicaciones gestionadas de iOS separan físicamente los datos personales y de trabajo. La organización solo ve y gestiona el perfil de trabajo; no tiene acceso a los datos personales.
Los datos recopilados de los dispositivos se mantienen en la red de la organización, en el almacén de gestión de TR7. No hay dependencia de un MDM en la nube. Puede realizarse una configuración adecuada para la minimización de datos y las restricciones de transferencia transfronteriza de datos.
Desde un único clúster TR7 pueden gestionarse decenas de miles de dispositivos móviles. La distribución masiva de políticas, la instalación de aplicaciones en todo el inventario de dispositivos y la consulta de cumplimiento en vivo escalan.
El médico está obligado a cumplir, en su propia tableta, con el GDPR y el cumplimiento de datos sanitarios. ETM MDM distribuye un perfil de trabajo; sin tocar las aplicaciones personales, el correo corporativo, el sistema de gestión de pacientes y el acceso basado en certificados operan dentro de un perfil seguro. En caso de pérdida del dispositivo solo se borra el perfil de trabajo.
El personal de campo del sector de logística, energía o infraestructura usa un dispositivo corporativo. Con zero-touch enrollment, cuando el dispositivo se enciende entra automáticamente en el ámbito del MDM; las aplicaciones de campo se instalan automáticamente, los ajustes de Wi-Fi y VPN se distribuyen sin necesidad de intervención manual.
Para los servicios bancarios o financieros, la política de acceso de AAM se vincula a la confianza del dispositivo móvil. Los dispositivos non-compliant por jailbreak, versión antigua del OS o cifrado deshabilitado no obtienen acceso a la aplicación. La decisión se toma a partir de una señal en vivo.
Cuando el usuario notifica la pérdida del dispositivo, el operador IT aplica con un solo clic el borrado selectivo o el borrado total. En el escenario de Dispositivo Personal (BYOD) no se pierden las fotos ni las aplicaciones personales del usuario; solo se limpia el perfil de trabajo. Los datos corporativos se eliminan del dispositivo en minutos.
Veamos ETM MDM en vivo en su propio inventario móvil — planifiquemos una sesión de instalación para un grupo piloto.