Informe técnico Cisco Any Device: planificación de un futuro productivo, seguro y competitivo Lo que aprenderá A medida que el perímetro de la red corporativa tradicional continúa desdibujándose y la empresa se convierte cada vez más en un entorno sin fronteras, los smartphones, las tablets y demás terminales, junto con las aplicaciones web están cambiando para siempre el modo de trabajo y entretenimiento en línea de las personas. Cisco adoptó la visión "cualquier dispositivo" , que permite que los empleados tengan más opciones a la hora de elegir dispositivos con una experiencia de usuario común y predecible que mantiene o mejora la competitividad, productividad y seguridad global de la organización. Las empresas y organizaciones de gran envergadura deben decidir si permiten o rechazan el acceso de ciertos usuarios, dispositivos y ubicaciones a las redes, los datos y los servicios de la empresa. Sobre la base de las experiencias y resultados reales de Cisco, el presente informe técnico aborda los pasos y las decisiones comerciales que los funcionarios de información y seguridad, así como las áreas corporativas de tecnologías de la información y los arquitectos de seguridad deben considerar al iniciar el proceso de cambio a la visión Cisco Any Device. Introducción Todos los días, 80 000 trabajadores de una empresa global encienden una serie de dispositivos Windows, 17 000 inician sesión en computadoras Macintosh, 7 000 usan máquinas Linux y 35 000 revisan sus calendarios y su correo electrónico en sus dispositivos BlackBerry, iPhone y Android 1 . La empresa que los une es Cisco Systems, Inc. Nuestros más de 70 000 empleados y más de 30 000 contratistas en el mundo, así como consultores y partners de negocios, sin dudas quieren más opciones en los dispositivos que utilizan para trabajar y dónde los usan para acceder a las redes corporativas y sus sistemas, aplicaciones, datos y servicios en línea. Si bien una gran cantidad de trabajadores de Cisco usan una computadora y un smartphone para acceder a los servicios de TI de la empresa, más del 20% usa más de dos dispositivos, y la diversidad de estos está creciendo exponencialmente. Tal como se ha mencionado, Cisco adoptó la visión de largo plazo llamada Any Device. La meta es permitir una mayor cantidad de dispositivos y mantener una experiencia de usuario común y predecible que conserva o mejora la competitividad y seguridad de la organización a nivel global. Las razones comerciales principales detrás de la visión Any Device incluyen: • Productividad: Cisco permite que los empleados con conocimientos en tecnología utilicen sus propios smartphones, tablets o equipos portátiles para hacer trabajos de oficina, cuando y donde lo deseen, mejorando así la satisfacción laboral y la productividad. El aumento estimado en la productividad relacionada al trabajo es de 30 minutos por día. 2 • Evolución de los empleados: los miembros de la generación actual de expertos en tecnología que se incorporan a la empresa están acostumbrados a controlar sus herramientas y entornos de trabajo; ellos quieren elegir cómo aumentar su productividad. • Innovación: permitir que los trabajadores utilicen dispositivos nuevos de última generación a medida que estos se lanzan al mercado puede resultar en una mayor productividad. Estos primeros usuarios, en muchos casos, se adelantan a los grandes cambios dentro del mercado, lo que puede influenciar positivamente la adopción de TI y la estrategia de producto de Cisco. 1. Métricas internas de Cisco al cierre del segundo trimestre del año 2001 2. Métricas internas de Cisco hasta abril de 2011 Informe técnico
Transcript
Informe técnico
Cisco Any Device: planificación de un futuro productivo, seguro y competitivo
Lo que aprenderáA medida que el perímetro de la red corporativa tradicional continúa desdibujándose y la empresa se convierte cada vez más en un entorno sin fronteras, los smartphones, las tablets y demás terminales, junto con las aplicaciones web están cambiando para siempre el modo de trabajo y entretenimiento en línea de las personas. Cisco adoptó la visión "cualquier dispositivo", que permite que los empleados tengan más opciones a la hora de elegir dispositivos con una experiencia de usuario común y predecible que mantiene o mejora la competitividad, productividad y seguridad global de la organización.
Las empresas y organizaciones de gran envergadura deben decidir si permiten o rechazan el acceso de ciertos usuarios, dispositivos y ubicaciones a las redes, los datos y los servicios de la empresa. Sobre la base de las experiencias y resultados reales de Cisco, el presente informe técnico aborda los pasos y las decisiones comerciales que los funcionarios de información y seguridad, así como las áreas corporativas de tecnologías de la información y los arquitectos de seguridad deben considerar al iniciar el proceso de cambio a la visión Cisco Any Device.
IntroducciónTodos los días, 80 000 trabajadores de una empresa global encienden una serie de dispositivos Windows, 17 000 inician sesión en computadoras Macintosh, 7 000 usan máquinas Linux y 35 000 revisan sus calendarios y su correo electrónico en sus dispositivos BlackBerry, iPhone y Android1. La empresa que los une es Cisco Systems, Inc. Nuestros más de 70 000 empleados y más de 30 000 contratistas en el mundo, así como consultores y partners de negocios, sin dudas quieren más opciones en los dispositivos que utilizan para trabajar y dónde los usan para acceder a las redes corporativas y sus sistemas, aplicaciones, datos y servicios en línea. Si bien una gran cantidad de trabajadores de Cisco usan una computadora y un smartphone para acceder a los servicios de TI de la empresa, más del 20% usa más de dos dispositivos, y la diversidad de estos está creciendo exponencialmente.
Tal como se ha mencionado, Cisco adoptó la visión de largo plazo llamada Any Device. La meta es permitir una mayor cantidad de dispositivos y mantener una experiencia de usuario común y predecible que conserva o mejora la competitividad y seguridad de la organización a nivel global.
Las razones comerciales principales detrás de la visión Any Device incluyen:
•Productividad: Cisco permite que los empleados con conocimientos en tecnología utilicen sus propios smartphones, tablets o equipos portátiles para hacer trabajos de oficina, cuando y donde lo deseen, mejorando así la satisfacción laboral y la productividad. El aumento estimado en la productividad relacionada al trabajo es de 30 minutos por día.2
•Evolución de los empleados: los miembros de la generación actual de expertos en tecnología que se incorporan a la empresa están acostumbrados a controlar sus herramientas y entornos de trabajo; ellos quieren elegir cómo aumentar su productividad.
• Innovación: permitir que los trabajadores utilicen dispositivos nuevos de última generación a medida que estos se lanzan al mercado puede resultar en una mayor productividad. Estos primeros usuarios, en muchos casos, se adelantan a los grandes cambios dentro del mercado, lo que puede influenciar positivamente la adopción de TI y la estrategia de producto de Cisco.
1. Métricas internas de Cisco al cierre del segundo trimestre del año 20012. Métricas internas de Cisco hasta abril de 2011
• Integración de adquisiciones: las adquisiciones corporativas de Cisco se unen a esta tendencia con sus propios dispositivos fuera de lo común. Cisco Any Device ayuda a lograr la rápida integración de nuevas divisiones y minimiza los riesgos de seguridad asociados. Se estima que el tiempo de integración de la adquisición es de 17 semanas.
•Costos de capital: Cisco emplea miles de contratistas y consultores en distintas partes del mundo. Financieramente, no es posible proporcionar computadoras portátiles y smartphones de propiedad de Cisco a esta fuerza de trabajo en expansión. Mediante la migración de los contratistas y los consultores a dispositivos con Cisco® Virtualization Experience Client (VXC), Cisco obtiene aproximadamente un 25% de ahorro anual por usuario, sobre la base de nuestro costo total de propiedad de equipos de escritorio.
Otras organizaciones tienen sus motivos, por ejemplo, la seguridad de los datos, la movilidad creciente y los entornos colaborativos de trabajo, para justificar la necesidad del acceso compartido a los datos en tiempo real. A medida que aumentan las posibilidades y la cantidad de terminales, las empresas deben considerar a qué activos permitirán o no el acceso a sus aplicaciones y datos, tanto fuera como dentro de su red. Luego, deben determinar cómo planificar, rastrear, controlar e impulsar estas políticas.
El presente informe analiza los riesgos, las recompensas y los cambios en el negocio, TI, las políticas de seguridad, las soluciones que Cisco se encuentra implementando actualmente y otras consideraciones que encontró Cisco en el proceso de implementación de Any Device.
Etapas del proceso de implementación de Cisco Any DeviceEtapa 1: acceso internoEn los últimos 15 años, tuvo lugar un importante cambio en el modo en el que los usuarios acceden a la red de Cisco. En el último tramo del milenio pasado, todos los dispositivos de TI se encontraban en las instalaciones de las empresas y los empleados debían concurrir a una oficina para obtener acceso interno a los recursos de TI, como se muestra en la etapa 1 de la Figura 1.
Etapa 2: en cualquier lugarA lo largo del tiempo, las computadoras portátiles y las VPN proporcionaron movilidad a los trabajadores; esta fuerza de trabajo cada vez más globalizada tornó necesaria la aplicación de patrones de trabajo más flexibles. La etapa 2 muestra cómo los entornos de trabajo y el horario regular de oficina no limitan la productividad a medida que una fuerza de trabajo con mayor movilidad puede acceder a los recursos corporativos de TI desde cualquier lugar, por ejemplo, la oficina del cliente, el hogar, un café o un hotel. Esta disolución de las fronteras de la ubicación permite que los usuarios accedan a los recursos necesarios desde cualquier lugar mediante la gestión de activos de TI.
Figura 1. Etapas del acceso de la fuerza de trabajo en el proceso de implementación de Cisco Any Device
Empresa virtual
La empresa se vuelve virtual
independientemente de su ubicación y de
los servicios
Tendencia del mercado:Consumerización de
servicios
Tendencia del mercado:Consumerización de
dispositivos
Hora
Inde
pend
enci
a de
l dis
posi
tivo Cualquier servicio, en
cualquier dispositivo y en cualquier lugar
Los servicios controlan los datos. Los servicios son independientes de
Etapa 3: cualquier dispositivo, en cualquier lugarEn los últimos años, la transformación en productos de consumo masivo de smartphones, tablets y equipos portátiles, además de las nuevas características que estos poseen, las actualizaciones de funciones, los formatos de mayor eficiencia y los ciclos de vida más cortos de los dispositivos, trajo como consecuencia que los empleados deseen utilizar sus propios dispositivos para todo lo que puedan, ya sea acceder al correo electrónico de la empresa y la intranet o usar aplicaciones empresariales. Todos estos factores surgieron en un plazo relativamente corto, lo cual representó un desafío para el soporte de TI de la empresa. Los empleados que se unieron a Cisco a través de una adquisición desean seguir utilizando sus propios dispositivos para trabajar. Miles de partners a distancia de Cisco también solicitan acceso a ciertas aplicaciones. El aprovisionamiento de terminales gestionadas por TI de Cisco era una solución de alto costo operativo y de capital.
TI de Cisco reconoció la necesidad de adoptar el uso instantáneo de las tecnologías de última generación para mejorar la productividad, en vez de aplicar el enfoque histórico de limitar y controlar la implementación de nuevas tecnologías a medida que ingresan al lugar de trabajo. Además, esta rápida adopción de tecnologías innovadoras de cliente produjo el advenimiento y la implementación de otros enfoques empresariales, herramientas y tecnologías que han creado comunidades de usuarios y permitieron la transformación del modo en que TI brinda soporte. Asimismo, los usuarios finales pueden aprovechar el conocimiento de sus pares para resolver problemas comunes.
La función de TI de Cisco dentro de estas comunidades no es ser propietario, sino formar parte y ayudar como cualquier par. Por ejemplo, la introducción de productos de Apple dentro de Cisco fue liderada principalmente por usuarios que trajeron estos dispositivos al entorno como sus herramientas y plataformas preferidas para trabajar. Aproximadamente, 3.000 usuarios de Mac se encontraban dentro de Cisco antes de que TI pusiera oficialmente estas herramientas a disposición en forma masiva. Independientemente de TI, los usuarios de Mac iniciaron un nuevo esfuerzo para proporcionar asistencia para la configuración, el uso y el mantenimiento necesarios a través de usuarios de correo electrónico, wikis, intranet y contenidos en video. Cuando TI de Cisco empezó a ofrecer herramientas Mac como una opción más en su política de cambio de PC, adoptó y apoyó el modelo de soporte independiente sin interrumpir o cambiar la comunidad Mac. TI adoptó dicha base y la utilizó para desarrollar más servicios de soporte independiente.
Juntos, estos factores marcaron la necesidad de una nueva estrategia corporativa que respondiera la siguiente pregunta fundamental e imprescindible: A medida que las fronteras de dispositivos se disuelven, ¿cómo podemos permitir que las personas accedan a los recursos corporativos desde cualquier dispositivo y desde cualquier lugar?
No todos los trabajadores necesitan el mismo nivel o tipo de acceso a la infraestructura corporativa. Algunos necesitan únicamente servicios de correo electrónico y calendario en sus teléfonos inteligentes, mientras que otros pueden necesitar mayores niveles de acceso. Por ejemplo, los profesionales de ventas de Cisco pueden acceder a las herramientas de pedidos desde sus teléfonos inteligentes, aumentando así su capacidad de concertar una venta. Los partners externos de Cisco pueden usar sus propias estaciones de trabajo para acceder a un entorno de escritorio virtual, y permitir así que Cisco pueda tener más control sobre sus activos corporativos.
Etapa 4: cualquier servicio, en cualquier dispositivo y en cualquier lugarActualmente, Cisco permite que los usuarios accedan a los recursos corporativos alojados en las instalaciones. En el futuro, la inclusión de los servicios en el mercado de consumo (aplicaciones, espacio de almacenamiento y potencia de computación) ofrecerá más flexibilidad y ventajas de costos en comparación con los servicios internos de TI. Algunos dispositivos y escenarios ya necesitan acceso a servicios externos en la nube para operaciones corporativas (ver Figura 2). Si bien esta aplicación emergente y esta tendencia a brindar servicios sin fronteras se encuentra más allá del alcance de este informe, la estrategia Cisco Any Device es una base sólida sobre la que se podrán construir las arquitecturas de Any Service, Any Device, Anywhere (Cualquier servicio, en cualquier dispositivo y en cualquier lugar) y, en algún momento en el futuro, la empresa virtual.
Etapa 5: empresa virtualLa empresa virtual es la evolución lógica de la etapa 4, en la que una empresa se vuelve cada vez más independiente respecto de su ubicación y servicios. Así, la empresa tiene un modelo de identidad madura que permite el control granular sobre el acceso y la colaboración externa, así como el control total de la seguridad y las capacidades de los datos de la organización. El tema de la empresa virtual se abordará a medida que progresemos más hacia ese estado.
Acceso desde cualquier dispositivo en cualquier lugarEsta sección explora los pasos que Cisco está tomando para lograr una arquitectura de Cualquier dispositivo más madura, incluido el caso de cómo Cualquier dispositivo ha planteado un desafío a las normas tradicionales de seguridad y las soluciones que Cisco ha implementado en nuestra red.
Al implementar varias soluciones Any Device, Cisco hizo hincapié en tres escenarios:
•Acceso remoto •Acceso interno •Acceso por virtualización de equipos de escritorio
Figura 2. Tres formas de acceder a la red corporativa mediante cualquier dispositivo
Empresa virtual
La empresa se vuelve virtual
independientemente de su ubicación y de
los servicios
Tendencia del mercado:Consumerización de
servicios
Tendencia del mercado:Consumerización de
dispositivos
Hora
Inde
pend
enci
a de
l dis
posi
tivo
Cualquier servicio, en cualquier dispositivo y
en cualquier lugar
Los servicios controlan los datos. Los servicios son independientes de
los dispositivos.
En cualquier lugar
Acceso a los recursos desde cualquier lugar
con los activos administrados por TI
Acceso interno
Tuvo que ir a la o�cina para acceder a los
recursos
Cualquier dispositivo en cualquier lugar
Acceso desde cualquier ubicación
con cualquier dispositivo
Cualquier dispositivo en cualquier lugar
Acceso desde cualquier dispositivo1. Interno2. Remoto3. Virtualización de
equipos de escritorio
Acceso remoto desde cualquier dispositivoPaso 1: acceso por proxy desde cualquier dispositivoLa adopción masiva de smartphones en los últimos cinco años aumentó la presión sobre TI de Cisco para permitir el acceso a los recursos corporativos desde dispositivos tales como Palm, Windows Mobile, Nokia, iPhone, Android y otros. Si bien ofrecer acceso redunda en beneficios de productividad para Cisco, también representa considerables riesgos (ver barra lateral: “Riesgos potenciales del acceso desde cualquier dispositivo”). Cisco optó por un enfoque pragmático y proporcionó un conjunto de servicios controlados (correo electrónico y calendario) para dispositivos móviles a través de acceso por proxy. Los usuarios pueden elegir su dispositivo, mientras que Cisco refuerza las políticas de seguridad que maximizan la seguridad y la confidencialidad de los datos. Por ejemplo, los usuarios deben configurar e ingresar un PIN de cuatro dígitos para acceder a su correo electrónico o calendario. Tras diez intentos fallidos, el servicio se bloquea y, si se superan los diez minutos de inactividad, se desconecta la sesión. Asimismo, en caso de robo o pérdida del smartphone, el trabajador simplemente llama al representante de servicio de soporte de Cisco, quien puede borrar los datos del dispositivo.
Si bien este enfoque puede no ser infalible, si hubiéramos rechazado esta solución se podrían haber causado mayores riesgos a la organización. A medida que los dispositivos móviles acceden continuamente a la red corporativa a través de redes LAN inalámbricas (WLAN), además de aquellos que eligen acceder a capacidades que exceden el control de la empresa, como Yahoo IM y Gmail, Cisco no tenía ningún control sobre nuestra postura de seguridad antes del lanzamiento de este servicio. Al permitir el acceso al correo electrónico móvil, Cisco proporcionó a los usuarios un paquete atractivo de acceso, en el que incorporó un control de acceso simple, pero efectivo. Actualmente, Cisco ha protegido cerca de 35.000 terminales portátiles 3a través del acceso al correo electrónico móvil. A medida que Cisco ofrece nuevos accesos a otros recursos corporativos por medio de smartphones, los requisitos de seguridad también irán aumentando.
Paso 2: acceso remoto total desde cualquier dispositivoLuego de que TI de Cisco implementó los servicios de correo móvil para dispositivos de bolsillo, abordó la actualización y expansión del acceso remoto para todos los dispositivos portátiles. Tradicionalmente, los trabajadores remotos con equipos portátiles proporcionados por TI accedían a la red corporativa de Cisco vía VPN. Sin embargo, la demanda fue aumentando por parte de los empleados que deseaban utilizar computadoras Mac, Windows, y Linux, independientemente de que TI las proporcionara o no. Además, la creciente popularidad de las tablets creó la necesidad de acceso remoto de usuarios de estos dispositivos también. Estos pedidos presentaron un desafío considerable para el paradigma de seguridad de Cisco de activos controlados por TI.
Como resultado, Cisco introdujo el concepto de “dispositivo confiable”. Un dispositivo confiable puede ser cualquier tipo de dispositivo, pero debe cumplir requisitos de seguridad para obtener acceso remoto total a la red corporativa. Cisco define un dispositivo confiable según los siguientes principios de arquitectura:
•Garantía de postura de seguridad del dispositivo: Cisco debe ser capaz de identificar los dispositivos únicos cuando ingresan a la red corporativa y se vinculan a un usuario específico, así como de controlar la postura de seguridad de los dispositivos utilizados para la conexión a los servicios corporativos. Esta capacidad es clave para los equipos de identificación de accidentes de Cisco.
•Autenticación y autorización de usuarios: Cisco requiere que los usuarios corporativos sean autenticados. La autenticación identifica usuarios y previene los accesos no autorizados con credenciales de usuario. Además, Cisco previene la autenticación de empleados que han sido despedidos y les niega el acceso a los activos y los datos de la organización.
•Almacenamiento seguro de datos: las actividades utilizadas para servicios corporativos (por ejemplo, lectura de correo electrónico, acceso a documentos, o colaboración mediante la plataforma de colaboración empresarial Cisco Quad™) deben asegurar los datos almacenados de modo local en el dispositivo. Los usuarios deben poder acceder y almacenar datos en el dispositivo sin riesgo de pérdida de datos de la empresa, lo que podría conllevar un acceso no autorizado.
Con tantos usuarios que seleccionan sus propios dispositivos móviles y los conectan a la red de la empresa, la red se vuelve vulnerable a las debilidades de seguridad, y se ponen en riesgo los activos de datos y TI en riesgo. Cisco AnyConnect™ Secure Mobility, que incluye un cliente VPN, Cisco Adaptive Security Appliances, como firewall y cabecera VPN, y la seguridad web en la nube o en las instalaciones de Cisco, resuelve este problema al brindar una experiencia de conectividad inteligente, transparente y “siempre activa” con una política de seguridad sensible al contexto, integral y preventiva, además de movilidad segura en todos los dispositivos móviles administrados y no administrados actuales (Figura 3).
Política de dispositivos confiablesLos principios de arquitectura deben estar reflejados en especificaciones técnicas con el fin de guiar a las organizaciones en la implementación de soluciones posibles. Los dispositivos confiables deben seguir los requisitos de cumplimiento de políticas y administración de activos que se detallan a continuación:
Cumplimiento de políticasLos dispositivos con acceso a los servicios corporativos deben validar la implementación de los siguientes controles de seguridad antes de su conexión. La eliminación no autorizada de estos controles debeRÁ inhabilitar el acceso a los recursos de la empresa:•Controles de acceso local que
refuerzan las contraseñas seguras (mayor complejidad), desconexión cuando se supera el tiempo de espera de inactividad de 10 minutos y bloqueo luego de 10 intentos fallidos de inicio de sesión.
•Cifrado de datos que incluye el cifrado del dispositivo y de medios extraíbles.
•Capacidades de borrado de datos y bloqueo remotos ante el despido de un empleado o en el caso de pérdida o robo del dispositivo.
•Seguimiento de inventarios para verificar la presencia de un software de seguridad específico, actualizaciones de revisiones y aplicaciones corporativas.
Administración de recursosLos dispositivos con acceso a los servicios corporativos deben cumplir los siguientes controles:•Identificación exclusiva donde esta no
se falsifique de modo trivial.•Autorización expresa e individual
para acceso corporativo, registrada y rastreable a un usuario específico.
•Capacidad de bloquear el acceso corporativo.
•Capacidad de producir datos forenses de registros (por ejemplo, registros de software de seguridad, cambios en la configuración, autenticación y autorización de usuarios) de ser necesario en una posible investigación.
El cliente VPN con capa de sockets seguros (SSL, Secure Sockets Layer) Cisco AnyConnect comprende muchos de los desafíos de seguridad asociados con que los empleados de Cisco tengan la flexibilidad necesaria para utilizar dispositivos que no se encuentran bajo el control o la administración de TI. TI de Cisco permite que solo los dispositivos registrados se conecten a la red. Para asegurarse de que un dispositivo que intenta establecer una sesión VPN con SSL está registrado, la aplicación AnyConnect de Cisco verifica el certificado del dispositivo contra su número de serie. La solicitud de registro del dispositivo también asocia el dispositivo con una persona, y de esta manera ayuda a las investigaciones de seguridad y a reforzar la responsabilidad del usuario.
TI de Cisco utiliza Cisco ASA de la serie 5500 Adaptive Security Appliances para verificar el cumplimiento de los dispositivos con las normas corporativas de seguridad. Por ejemplo, los usuario de Cisco no pueden establecer una conexión por VPN a menos que hayan configurado una contraseña de bloqueo de pantalla. Cisco AnyConnect ayuda a prevenir que terceros no empleados de Cisco se conecten a la red de la empresa mediante dispositivos perdidos. Si un empleado informa a TI de Cisco sobre la pérdida de un dispositivo, TI de Cisco finaliza inmediatamente las sesiones de VPN activas y previene nuevas conexiones por VPN desde ese dispositivo. TI de Cisco también puede, fácilmente, borrar las cuentas de empleados que abandonan la empresa.4 La seguridad en dispositivos móviles iPhone, Nokia y Android es aún mayor ya que sus certificados se distribuyen a través de una solución de administración de dispositivos móviles. Esa solución permite una ejecución más detallada de las políticas de seguridad, la administración del inventario y el borrado remoto de dispositivos en el caso de despido de un empleado o pérdida de un dispositivo.
Actualmente, Cisco está en proceso de integración del cliente Cisco AnyConnect con la solución Cisco ScanSafe para la seguridad web en la nube y Cisco IronPort™ Web Security Appliance (WSA) para la seguridad web en las instalaciones. Estas soluciones complementarias protegen a los usuarios contra software malicioso en la web, estén conectados o no a través de una conexión activa de VPN con SSL. La solución Cisco ScanSafe bloquea las infecciones de software malicioso, protege los dispositivos (y la red de la empresa), aun si los usuarios navegan por direcciones URL maliciosas, ya sea que estén conectados a la red o a través de VPN.
Riesgos potenciales de Cisco Any DeviceLas organizaciones deben programar cómo abordar los riesgos potenciales de Cisco Any Device:•Pérdida de control sobre los datos de la
empresa que se almacenan en el dispositivo, incluidos los datos de normas o de clientes.
•Pérdida de control sobre la postura del dispositivo:
– Un menor control sobre la seguridad del dispositivo podría incrementar el riesgo de explotación y crear un vector de ataque a la infraestructura y a los servicios de Cisco. – Los dispositivos pueden no cumplir con los modelos de operación y de políticas, lo que puede perjudicar las relaciones comerciales o afectar los requisitos legales o regulatorios.
•Una menor visibilidad de los dispositivos conectados a la red, es decir, dónde están ubicados y a quién pertenecen y quién los opera, puede causar inconvenientes en cuanto a la seguridad, las licencias, la garantía legal y regulatoria, y las auditorías.
Acceso interno desde Cisco Any DevicePaso 1: enfoque en los controles de software malicioso basado en la redUn dispositivo de propiedad de la empresa es una herramienta clave para mantener la seguridad e integridad de los datos corporativos. Cisco realiza un trabajo brillante de protección de nuestros entornos con alojamiento administrado al instalar y administrar múltiples capas de defensa en nuestras computadoras que son implementadas por la empresa y pertenecen a esta. Entre ellas, se incluyen la protección contra correo no deseado, contra software espía, antivirus administrado, prevención de intrusiones basada en host y administración de parches. Sin embargo, a medida que Cisco se aleja de los entornos de alojamiento administrado y de los dispositivos de propiedad de la empresa, esos mismos controles deben migrarse y crearse dentro de la red administrada. Actualmente, Cisco utiliza herramientas tales como Cisco IronPort Web Security Appliance (WSA), Cisco IronPort Email Security Appliance (ESA) y Cisco Intrusion Prevention Systems (IPS), además de la protección desarrollada por terceros para NetFlow, protección de software malicioso de día cero y herramientas de administración de eventos, entre otras, a fin de proteger nuestra red (vea la Figura 4).
Figura 4. Controles de seguridad de la red en un entorno Cisco Any Device
Identidad y postura del dispositivo (TrustSec)
Prevención y detección de intrusiones (IPS)
Seguridad de correo electrónico (ESA)
Seguridad en la Web (WSA)
Seguridad nativa del sistema operativo
Política (dispositivos no administrados)
Controles y prevención de pérdida de datos (ESA, WSA, ScanSafe)
Supervisión de llamadas y respuesta ante incidentes (WSA, Net�ow)
Plataforma con able
Capa con ableEntorno virtualizado
Entorno de red
• Cumplimiento de las normativas
• Administración• Ejecución• Corrección
Explotación
Un proxy de seguridad como Cisco IronPort WSA en Internet perimetral reduce considerablemente las amenazas entrantes desde redes cableadas e inalámbricas. Si bien se cumple con los requisitos de seguridad en la red de la estrategia de Cisco Any Device, la distribución de Cisco IronPort WSA también protege la empresa. En su distribución inicial en las puertas de enlace de Internet de Cisco en la zona del este de los Estados Unidos, la WSA bloqueó más de 3.000.000 de operaciones maliciosas en 5un lapso de 45 días6.
Cisco IronPort ESA es una puerta de enlace de correo electrónico con prevención de amenazas líder en el sector contra correo electrónico no deseado, virus, software malicioso y ataques dirigidos. Incorpora controles en los elementos salientes con prevención de pérdida de datos, cumplimiento de políticas de uso aceptable y cifrado de mensajes. El cambio en la seguridad del correo electrónico que ingresa a la red no solo protege una gran cantidad de dispositivos sino que también mejora la productividad. Por ejemplo, en un mes, Cisco IronPort ESA bloqueó 280 millones de7 mensajes de correo electrónico a direcciones Cisco.com, lo que representa el 88% del total de los mensajes entrantes.
5. Incluye descargas de software malicioso, software de secuestro de datos en navegadores, software de publicidad no deseada, entrada de botnets y entradas de troyanos (de puerta trasera)
6. Del 14 de abril al 31 de mayo de 20117. Datos del primer trimestre del año 2011
Cisco también confía en la capacidad de detección de Cisco IPS para el monitoreo inteligente y las alertas en nuestras redes. La TI y la seguridad de Cisco pueden operar rápidamente controles inteligentes ante amenazas, permitiéndonos identificar y responder sin depender del terminal. Debido a que Cisco IPS está disponible en aplicaciones dedicadas o integradas a las plataformas de firewall, switches y routeres de Cisco, se implementa en todas las ubicaciones de Cisco en el mundo. Esta cobertura permite que el equipo Cisco Computer Security Incident Response Team (CSIRT) actúe rápidamente en los incidentes que surgen en toda la red. A medida que TI de Cisco cambia de dispositivos arrendados y administrados a dispositivos proporcionados por el usuario, la capacidad de inspeccionar detalladamente la capa de la red se vuelve fundamental. Al tener menos visibilidad en los dispositivos, las inversiones deben enfocarse en tecnologías que brinden un reconocimiento integral de la situación en tiempo real cuando se producen amenazas a la capa de red.
Paso 2: control más estricto de acceso de los dispositivosAnteriormente, el CSIRT de Cisco confiaba plenamente en sistemas de TI tales como los inventarios, la administración de activos y los sistemas de administración de host para vincular dispositivos involucrados en incidentes a usuarios. Si un dispositivo se ha puesto en situación de riesgo, Cisco CSIRT puede buscarlo en los sistemas de inventario de hardware y software, vincularlo a un usuario específico y comunicarse con ese usuario para solucionar el problema. Esta solución no es posible en el mundo de Cisco Any Device. Cisco CSIRT ha cambiado considerablemente las herramientas de los sistemas de TI para la estrategia Any Device, por ejemplo, mediante la vinculación de los registros del Protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol) y las direcciones MAC con información de inicio de sesión de la aplicación y no del dispositivo para ayudar a determinar la identidad el usuario.
En un futuro cercano, la arquitectura Cisco TrustSec®, que proporciona control de acceso basado en políticas, red con reconocimiento de identidad y servicios de integridad y confidencialidad de datos, ayudará a resolver este problema. A través del protocolo 802.1x, el inicio de sesión de la red Cisco TrustSec identifica a los usuarios y los asocia con sus dispositivos. También permite que Cisco proporcione acceso diferencial en un entorno de red dinámico y fortalece el cumplimiento para un amplio conjunto de dispositivos de red y de uso personal. Por ejemplo, la tecnología Cisco TrustSec puede aprovechar la base de seguridad de un dispositivo confiable. Cuando los dispositivos se definen como confiables, se les concede acceso total a los recursos de la empresa en la red interna. Asimismo, la plataforma de Cisco Identity Services Engines (ISE), la solución consolidada de control de acceso e identidad de Cisco, proporciona la arquitectura de última generación para la administración de políticas e identidades.
Acceso por virtualización de equipos de escritorio desde cualquier dispositivoLa movilidad y los nuevos dispositivos aceleraron la estrategia Cisco Any Device. A su vez, apareció rápidamente un tercer factor: cómo integrar las adquisiciones y administrar las relaciones con subcontratistas fuera de las instalaciones y en el extranjero.
Durante los últimos años, Cisco adquirió varias empresas, cuya integración presentó desafíos para las áreas de TI y seguridad de Cisco. Cada empresa adquirida tenía sus propios dispositivos, políticas y normas de seguridad, que, en muchos casos, eran muy diferentes de los que se utilizaban en Cisco. El equipo de seguridad de la información de Cisco fue responsable de asegurar que los terminales cumplieran con las normas y políticas de Cisco. Solo había dos soluciones posibles, cada una de ellas con sus desafíos. La primera era reemplazar los dispositivos de las empresas adquiridas con dispositivos admitidos y suministrados por Cisco, y capacitar a los trabajadores en el uso de estos dispositivos. Este proceso ocasionaría una transición costosa y larga que afectaría la productividad por semanas o meses. La segunda opción era mantener los dispositivos existentes, y arriesgarse a bajar la postura de seguridad de toda la organización. Era necesario encontrar otra solución.
El cambio a la tercerización también influyó en las políticas corporativas. Quince años antes, la tercerización se limitaba a tareas simples. Al día de hoy, esto sucede en la mayor parte de la organización y afecta a muchos procesos comerciales. Las personas que trabajan de forma temporal para Cisco en la actualidad alcanzan a 45 000. De ellas, 17 000 realizan actividades en forma diaria desde 350 ubicaciones de terceros. Cisco también posee relación con partners subcontratados de más de 200 empresas.
Al día de la fecha, la mayoría de los empleados temporales internos y externos ha recibido dispositivos admitidos por TI de Cisco que cumplen con sus políticas. En el caso de subcontratistas fuera de las instalaciones y en el extranjero, TI de Cisco mantiene una infraestructura de red externa que admite todas las conexiones de red de terceros. TI de Cisco administra el 70% de todas las conexiones de red externa de punta a punta, incluidos los dispositivos, la conectividad WAN y la red remota en la ubicación de terceros. Sin embargo, debido a que la subcontratación por parte de Cisco ha aumentado en volumen y complejidad, este modelo ya no cumple con las expectativas de la empresa en cuanto al tiempo de lograr la capacidad necesaria y el costo total de propiedad (TCO).
La virtualización de equipos de escritorio, junto con las capacidades de seguridad de la red mencionadas anteriormente en este informe, ayudarán a superar estos desafíos y proporcionar considerables beneficios (ver la barra lateral “Beneficios y desafíos de la virtualización de equipos de escritorio”). Cisco pronostica que la virtualización de equipos de escritorio tendrá como resultado un ahorro en costos de más del 20% y del 40 al 60% de mejora en el tiempo de lograr las capacidades necesarias en el caso de adquisiciones y ubicaciones de subcontratistas en el extranjero y fuera de las instalaciones. Este servicio centralizado, completamente escalable e independiente de la ubicación, también mejorará la seguridad de los datos y el cumplimiento normativo de los dispositivos. Cisco ya ha iniciado un piloto de virtualización de equipos de escritorio con 2.000 usuarios en los Estados Unidos. Más adelante en 2011, se probarán otras ubicaciones del mundo.
Lecciones aprendidas en CiscoEl desarrollo y la implementación de una estrategia Any Device es un cambio importante para cualquier empresa; una transformación de este estilo será aceptada con más facilidad y éxito con una estructura de gestión uniforme. En este proceso de aplicación de Any Device en toda la empresa, TI de Cisco y los profesionales de seguridad han aprendido muchas lecciones:
•El proceso Any Device requiere un esfuerzo conjunto de los departamentos de equipos de escritorio, seguridad, infraestructura de red y comunicaciones.
•Las organizaciones deberían contratar un solo patrocinante ejecutivo que asuma la responsabilidad de organizar el equipo conformado por las distintas áreas, capacitar a los ejecutivos y brindar información sobre resultados y métricas.
•No subestime el esfuerzo necesario para segmentar la población de usuarios y realizar un análisis de ellos. Este análisis debe determinar qué usuarios están facultados para acceder a qué servicios, y debe ser la primera medida de Any Device.
Beneficios y desafíos de la virtualización de equipos de escritorioLa virtualización de equipos de escritorio es un modelo de computación que centraliza programas, aplicaciones, servicios y datos. Si bien la experiencia de usuario es bastante similar a una experiencia típica frente a una computadora, los datos, el sistema operativo y las aplicaciones no se encuentran en el dispositivo del usuario final. Este modelo de computación, también llamado Infraestructura de equipos de escritorio virtuales (VDI, Virtual Desktop Infrastructure), tiene muchas ventajas posibles:•Experiencia homogénea: los usuarios
poseen la misma interfaz en todos los dispositivos con VDI habilitada.
•Aumento de la productividad: los usuarios pueden acceder a los datos y las aplicaciones desde cualquier dispositivo con VDI, independientemente de su ubicación. En muchos casos, el acceso a las aplicaciones es más rápido ya que el entorno de VDI se encuentra en el centro de datos.
•Menor riesgo de existencia de software malicioso: TI puede asegurar que las aplicaciones estén actualizadas, que los parches se refuercen de manera consistente y que los usuarios instalen los parches.
•Menor riesgo de pérdida de datos y propiedad intelectual: los datos están centralizados, con copia de respaldo y disponibles, aun si el dispositivo presenta fallas y en casos de robo o pérdida.
•Tiempo de comercialización más rápido: los usuarios importantes, tales como compradores y partners, pueden integrarse con sus dispositivos al entorno corporativo de forma veloz.
•Compatibilidad de aplicaciones: la virtualización de equipos de escritorio puede actuar como un puente de compatibilidad para ejecutar aplicaciones corporativas en un entorno de operación conocido.
•Soporte más fácil: es más rápido proporcionar un escritorio virtual que una nueva PC, y la virtualización facilita un modelo de soporte de TI centralizado.
La virtualización de equipos de escritorio puede no ser una solución para todas las aplicaciones o comunidades de usuarios. Los desafíos más significativos incluyen:•Inadecuado para algunas aplicaciones:
actualmente, se presentan desafíos con las aplicaciones que hacen un uso intensivo del ancho de banda, como las aplicaciones de diseño asistido por com putadora, video y comunicaciones unificadas.
•Inadecuado para algunos dispositivos: la experiencia del usuario en la virtualización de equipos de escritorio no está adaptada para algunos dispositivos, como smartphones o tablets con pantallas pequeñas.
•Plataformas limitadas: la mayoría de las soluciones de virtualización de equipos de escritorio se enfocan principalmente en dispositivos con Windows.
•Entornos de latencia alta: VDI se puede utilizar en entornos de red de latencia alta.
Las organizaciones realizan inversiones significativas para cumplir con las normas aplicables a la seguridad, integridad, privacidad y auditoría de los datos. En el año 2010, Cisco actualizó su Código de Conducta Empresarial a fin de incluir pautas de uso de dispositivos personales. Además, el Departamento de seguridad de la información se encuentra revisando muchas de sus políticas de seguridad para que se centren más en los datos. No obstante, en algunos casos, estas inversiones pueden contradecir la visión de Cisco Any Device. Por ejemplo, Cisco emplea médicos y enfermeros en el sitio para proporcionar servicios de cuidado de la salud a los empleados. Las tablets táctiles son una valiosa herramienta para que estos médicos las usen con todos los pacientes en un entorno de cuidado de la salud, también para su uso junto con el sistema de conferencia Cisco TelePresence® para diagnosticar y tratar pacientes de modo remoto. Sin embargo, estas tablets están expuestas a los datos de la Ley de Responsabilidad y Transferibilidad de los Seguros Médicos (HIPAA, Health Insurance Portability and Accountability Act). Cisco no permite que los empleados del sector del cuidado de la salud utilicen sus tablets personales en esta configuración y verifica el cumplimiento de las medidas de seguridad y los protocolos de administración de datos solamente en los dispositivos que pertenecen a la empresa.
Primeros pasos en su proceso de implementación de Cisco Any DeviceEn el inicio del proceso de implementación de Any Device con Cisco, identificamos 13 áreas comerciales clave afectadas por este nuevo paradigma. En la Tabla 1 se muestran estas áreas y se proporciona una lista de preguntas que han ayudado a Cisco, y pueden ayudar a otros, a reconocer y solucionar posibles problemas, así como a determinar cómo la mejor manera de tratar estas consideraciones en el proceso. Analice estas preguntas y responda honestamente a medida que avance en su proceso.
Tabla 1. Preguntas para el proceso de implementación la estrategia Any Device
Área de negocio Preguntas comerciales para responder
Planificación de la continuidad de los negocios y recuperación ante desastres
•Los dispositivos no corporativos, ¿deberían tener acceso a la planificación de continuidad de los negocios o el acceso debería estar restringido?
•¿Debería ser posible borrar en forma remota los datos de un dispositivo con acceso a la red en caso de pérdida o robo?
Administración del host (revisiones)
•Los dispositivos no corporativos, ¿deberían tener permitido unirse a transmisiones con administración de host corporativas?
Administración de la configuración de clientes y validación de seguridad de dispositivos
•¿Cómo se valida y actualiza el cumplimiento del dispositivo con los protocolos de seguridad?
Estrategias de acceso remoto
•¿Quién debería tener acceso a qué servicios y plataformas, y en qué dispositivos?•¿Se debería conceder a un empleado temporal los mismos derechos de dispositivo,
aplicaciones y datos?
Licencia de software •¿Se debería cambiar la política para permitir la instalación de software con licencia corporativa en dispositivos no corporativos?
•Los contratos de software actuales, ¿responden por los usuarios que acceden a las mismas aplicaciones de software a través de varios dispositivos?
Requisitos de cifrado •Los dispositivos no corporativos, ¿deberían cumplir con los requisitos actuales de cifrado de disco?
Autenticación y autorización
•¿Se esperará o permitirá que los dispositivos no corporativos se unan a los modelos actuales de Microsoft Active Directory?
Administración de cumplimiento con las normas
•¿Qué política corporativa se aplicará en el caso de los dispositivos no corporativos que se utilicen en situaciones donde se exige un alto nivel de cumplimiento o el riesgo es muy alto?
Administración e investigación de incidentes
•¿Cómo administrará TI, seguridad y privacidad corporativas los incidentes y las investigaciones en el caso de los dispositivos no corporativos?
Interoperabilidad de aplicaciones
•¿Cómo manejará la organización las pruebas de interoperabilidad de aplicaciones en los dispositivos no corporativos?
Administración de activos
•La organización, ¿necesita cambiar la forma de identificación de los dispositivos de su propiedad para identificar aquellos que no son de su propiedad?
Soporte •¿Cuáles serán las políticas de la organización para proporcionar soporte a los dispositivos no corporativos?
Próximos pasosEl proceso de implementación de Any Device en Cisco es una inversión continua de largo plazo. En los próximos años, Cisco continuará nuestro plan de traspaso de datos y aplicaciones importantes de dispositivos a la red o la nube, de fortalecimiento de la seguridad de la red y de integración de los controles de identidad y cumplimiento de políticas en los dispositivos a medida que estos interactúan en la red. Los próximos pasos de este plan ayudarán a abordar los desafíos de Any Device en las siguientes áreas comerciales:
Interoperabilidad de aplicacionesSi bien cerca del 60% de los dispositivos conectados actualmente a la red de Cisco son equipos de escritorio con el sistema operativo Windows, este porcentaje se reduce cada vez más a medida que crece la popularidad de otros dispositivos. En el futuro, Cisco tendrá menos control sobre los tipos o las versiones de software instalados en los dispositivos, lo que aumentará la probabilidad de problemas de interoperabilidad entre las aplicaciones, los navegadores, las versiones y los entornos de tiempo de ejecución. La prevalencia de aplicaciones en la red ha simplificado el problema, pero no lo ha resuelto. A medida que la variedad de equipos de escritorio, smartphones y tablets siga creciendo, también lo hará la cantidad de entornos de navegación. Los ejecutivos de Cisco han propuesto una iniciativa de “navegador estándar” para las aplicaciones internas en red, sobre la base de las normas de red mundial (World Wide Web Consortium - W3C). Los estándares de desarrollo web del sector facilitan la interoperabilidad de aplicaciones en un ecosistema que incluye distintos navegadores, sistemas operativos y dispositivos.
Cisco también invoca la virtualización de equipos de escritorio para presentar un entorno operativo compatible en cualquier sistema operativo. El piloto de virtualización de equipos de escritorio, que actualmente se aplica en miles de usuarios, estará disponible, según las planificaciones, para 18 000 empleados en julio de 2012.
Licencia de softwareAl igual que la mayoría de las empresas, Cisco utiliza sistemas de administración de activos para rastrear licencias de software. Cisco debe abordar muchas preguntas de políticas sobre escenarios de licencia de software Any Device, por ejemplo:
•¿Los usuarios podrán instalar software corporativo en sus dispositivos?•Los contratos existentes con proveedores de software, ¿permiten la instalación de software
corporativo en dispositivos no corporativos? •¿Cisco necesitará rastrear los dispositivos no corporativos? Si es así, ¿cómo lo hará?
Cisco se encuentra investigando el uso de la información recolectada por la tecnología Cisco TrustSec, como la identidad del usuario y la dirección MAC, a fin de implementar un sistema de administración de activos que rastree todos los dispositivos, así como mecanismos de informes detallados que respondan por los activos de hardware y software no corporativos.
Planificación de continuidad de los negocios y recuperación ante desastres Algunos trabajadores de Cisco utilizan activos corporativos en otras ubicaciones; además, hay trabajadores temporarios en las oficinas de Cisco en el mundo. ¿Quién es responsable de asegurar que los datos permanecen seguros e intactos? Cisco realiza copias de respaldo de sus computadoras con sistema operativo Windows en forma centralizada, pero muchos de sus partners no desean que su información protegida por derechos de propiedad intelectual tenga una copia de respaldo en el sistema de un tercero. Si los usuarios no están incluidos en los servicios corporativos de continuidad de los negocios, ¿qué otras disposiciones vigentes se aplican para que los usuarios vuelvan al trabajo inmediatamente en caso de cortes de energía? Una solución posible es la virtualización de equipos de escritorio, que puede eliminar la asociación a datos confidenciales en los dispositivos.
Cisco ha iniciado la administración de nuestras interacciones de usuarios en la red. La empresa confía en un futuro con menos aplicaciones y datos en equipos de escritorio, con una combinación de virtualización de equipos de escritorio y Software como servicio (SaaS, Software as a Service) o computación en la nube. Algunas aplicaciones o ubicaciones corporativas pasarán a más de un enfoque basado en transacciones, donde los usuarios, las acciones y los datos se puedan administrar, rastrear y respaldar de modo uniforme. Esta evolución llevará a TI de Cisco a “cualquier servicio, en cualquier dispositivo y en cualquier lugar" en forma efectiva y segura en el futuro, con el último paso de la creación de la empresa virtual.
Más informaciónCisco está progresando considerablemente hacia la implementación del entorno de cualquier servicio, en cualquier dispositivo y en cualquier lugar para nuestra empresa, y continuaremos compartiendo nuestras experiencias y aprendizajes para ayudar a resolver problemas que puedan aparecer en el proceso. El conocimiento y la metodología de Cisco se ha utilizado para transformar a nuestra empresa y a nuestros entornos de TI hacia la estrategia Any Device y más allá, para su aplicación en otras empresas, sean pequeñas, medianas o grandes.
Consulte a su representante de Cisco para saber cómo posicionar su empresa, área de TI e infraestructura de seguridad para las arquitecturas de cualquier dispositivo.
Más información sobre las soluciones de Cisco que permiten Any Device:
•Cliente Cisco AnyConnect Secure Mobility•Estrategias de virtualización•Tecnología Cisco TrustSec•Cisco IronPort Email Security Appliances•Cisco IronPort Web Security Appliances
Cisco tiene más de 200 oficinas en todo el mundo. Las direcciones y los números de teléfono y de fax están disponibles en el sitio web de Cisco: www.cisco.com/go/offices.
Cisco y el logotipo de Cisco son marcas registradas de Cisco Systems, Inc. y/o de sus filiales en los Estados Unidos o en otros países. Para obtener una lista de las marcas comerciales de Cisco, visite www.cisco.com/go/trademarks. Las marcas comerciales de terceros mencionadas en este documento son propiedad de sus respectivos
titulares. El uso de la palabra "partner" no implica que exista una relación de asociación entre Cisco y otra empresa. (1005R)
Sede central en América Cisco Systems, Inc. San José, CA
Sede Central en Asia-Pacífico Cisco Systems (EE. UU.) Pte. Ltd. Singapur
Sede Central en Europa Cisco Systems International BV, Ámsterdam, Países Bajos
