La crisis de la COVID-19 lleva a los organismos a investigar alternativas a las VPN y plantea la necesidad de apoyo de sistemas BYOD

Hace un año, incluso un mes, solo parte de los empleados y contratistas federales trabajaban a distancia. Ahora, en medio de la pandemia de coronavirus, hay una orden emitida por la Oficina de Administración y Presupuesto (OMB M:2016) de maximizar el teletrabajo, mantener la misión de la agencia u organismo y animar a todos los empleados y contratistas que puedan trabajar desde casa, a que lo hagan. Esto presenta un desafío en términos de seguridad y de acceso que los organismos deben abordar rápidamente. MobileIron ofrece las soluciones de categoría gubernamental que se detallan a continuación y que ya están en vigor en algunos organismos.

 

El gran cambio

El rápido aumento del número de empleados que se conectan a las redes federales ha sido drástico y se ha producido casi de la noche a la mañana. A algunos de estos empleados se les había equipado para trabajar a distancia, al menos de manera ocasional o en circunstancias apremiantes. Sin embargo, la mayoría de las agencias federales quizá hayan tenido, a lo sumo, un 20 % de su plantilla conectada en remoto, incluso durante cierres prolongados por cuestiones climatológicas. Ahora, algunas tienen al 80 % o más de su plantilla intentando conectarse desde casa y, con la orden de la OMB, esta cifra aumentará y seguirá siendo alta en el futuro cercano. Para muchos usuarios no se han previsto prestaciones que les permitan teletrabajar oficialmente. No tienen ni equipo suministrado por el gobierno (GFE) ni la formación adecuada sobre cómo conectarse, iniciar sesión y acceder a las redes, aplicaciones y recursos federales. Utilizan sus propios dispositivos, como móviles, tabletas y, a menudo, ordenadores portátiles y de sobremesa más antiguos y con menos mantenimiento, con sistemas operativos y antivirus anticuados (o inexistentes).

El tsunami de conexiones de los dispositivos personales de los usuarios a las redes federales ha dado lugar a la relajación de algunas políticas de acceso y seguridad y a la elusión de otras. Además, aunque los usuarios accedan a una red gubernamental a través de una red privada virtual (VPN) establecida, las VPN no se diseñaron con la capacidad de aceptar este volumen de tráfico, ni tampoco para proporcionar controles de seguridad adicionales para los dispositivos de tipo BYOD (es decir, los dispositivos propiedad de los empleados) y los dispositivos móviles en general.

El aumento de los empleados que teletrabajan y las conexiones de red ha aumentado la superficie de ataque y, ahora más que nunca, las agencias y los empleados federales están en peligro. Estos dispositivos personales imprevistos pueden carecer de las capacidades de autenticación apropiadas, y muchos quizá no estén utilizando credenciales multifactoriales ni credenciales derivadas autorizadas. Hay un aumento del fraude de identidad, de los ataques de phishing diseñados para capturar y comprometer las credenciales de autenticación (especialmente las identificaciones y contraseñas de los usuarios), de código malintencionado y de las amenazas persistentes avanzadas. Asimismo, estas amenazas tienen cada vez más probabilidades de éxito debido al aumento del volumen de trabajadores a distancia, especialmente los que tienen menos experiencia con los procesos y la tecnología de seguridad. En los últimos días, hemos visto ataques contra el Departamento de Salud y Servicios Humanos de los EE. UU. en forma de ataques estado-nación para difundir la desinformación y aumentar el miedo y la incertidumbre entre la población estadounidense. También prevemos un aumento de los ataques por denegación de servicio (denial-of-service, DoS), de intermediarios (man-in-the-middle, MITM) y de fuerza bruta contra los portales de acceso a la autenticación básica.

 

El reto

Una de las formas en que las agencias federales están tratando de proteger sus redes y recursos informáticos es obligando a los usuarios a emplear una VPN. Aunque hay varios tipos distintos de VPN —como el acceso remoto, de sitio a sitio, Layer 3 Multiprotocol Label Switching (L3MPLS), VPN multipunto dinámica (DMVPN), etc.—, todos ellos tienen objetivos en común para cifrar y garantizar las comunicaciones de extremo a extremo, así como algunas limitaciones en común. Casi todas las VPN pueden funcionar en diferentes modos, como, por ejemplo, en todo el dispositivo, siempre activas, bajo petición o por aplicación. El modo por aplicación solo se inicia cuando se inicia la aplicación configurada y solo el tráfico de esa aplicación atraviesa el túnel cifrado. Como resultado, el consumo de batería es menor que con una VPN siempre activa, pero el tráfico que se protege es muy concreto. En el caso del usuario que teletrabaja, la VPN de acceso remoto es la más pertinente. Las VPN de las redes tradicionales de las empresas son caras e implementarlas es difícil y conlleva mucho tiempo. Terminan con el perímetro de la red de la empresa, tienen una capacidad limitada de número de conexiones simultáneas permitidas y se rigen por las claves de licencia. Estas VPN requieren un tiempo y un esfuerzo significativo por parte de los administradores de la red para configurar e implementar los puntos de terminación apropiados.

Además, las licencias de VPN son caras y a menudo no se pueden ampliar dinámicamente para dar cabida a un aumento drástico del número de usuarios y de las horas diarias durante las cuales esos usuarios estarán conectados. Muchas agencias federales siguen confiando en estos tipos de VPN de redes empresariales tradicionales. Las iniciativas federales para modernizar la tecnología de la información han dado lugar a que algunos organismos adopten una solución VPN por aplicación, que proporciona un mayor control pormenorizado de los extremos de conexión de inicio y fin del túnel VPN, un cifrado más seguro y otras prestaciones. Sin embargo, esta solución también añade restricciones de ancho de banda, costes de licencias y complejidad a la labor de los administradores de la red para proporcionar el mantenimiento y las actualizaciones necesarias, configurar los parámetros de las gateways de la VPN y gestionar la criptografía y los certificados necesarios.

En casi todos los casos, estas VPN no se diseñaron para dispositivos móviles ni para el tráfico de dispositivos móviles. Las redes VPN de las empresas no tienen la capacidad de hacer cumplir las políticas de seguridad en un dispositivo móvil ni de evaluar el cumplimiento de un dispositivo móvil con los requisitos de base establecidos.

 

Qué ofrecemos y por qué es distinto y más eficaz

La solución de MobileIron hace uso de un componente de VPN integrado llamado Tunnel, que se usa con el sistema operativo nativo, la administración unificada de puntos de conexión de MobileIron, para la seguridad de los datos en reposo y la aplicación de políticas de ciberseguridad que pueden validar el estado de cumplimiento del dispositivo antes de iniciar la aplicación y otorgar el acceso. MobileIron puede determinar si al dispositivo se le ha hecho un jailbreak, si el sistema operativo está actualizado, si el dispositivo está en una red Wi Fi autorizada (o no autorizada o pública), si la aplicación está aprobada y proviene de una app store de confianza y si el dispositivo está actualmente protegido por una solución de defensa contra amenazas móviles que detecte y repare las amenazas y las aplicaciones malintencionadas. Asimismo, MobileIron proporciona una autenticación multifactorial más sólida y un conocimiento contextual del usuario, el dispositivo y las credenciales, que pasan a formar parte del control de acceso zero sign on.

MobileIron Tunnel permite a los organismos habilitar cualquier aplicación empresarial, incluidas las aplicaciones internas y de terceros, para acceder a los recursos de la red o la intranet corporativas mediante una conexión de red segura. Se pueden establecer las VPN de aplicaciones en cualquier red, incluidas las redes móviles, para garantizar que los datos federales estén siempre seguros. Tunnel también hace uso del avanzado motor de cumplimiento de bucle cerrado de MobileIron para garantizar que los dispositivos que no cumplan con las normas no puedan acceder a los datos confidenciales de la agencia.

Además, Tunnel mejora significativamente la experiencia del usuario al establecer conexiones VPN de aplicaciones a petición o siempre activas, sin que el usuario tenga que tomar ninguna medida adicional. Las aplicaciones personales y malintencionadas se bloquean para que solo circulen los datos apropiados a través de Tunnel, lo que proporciona una mayor protección de los datos gubernamentales y de la privacidad del usuario.

En octubre de 2019, Branko Bokan, de la Agencia de Seguridad de la Infraestructura y la Ciberseguridad (CISA), parte del Departamento de Seguridad Nacional, declaró que «Para proporcionar la máxima cobertura contra amenazas móviles, las organizaciones deben implementar capacidades de la Administración de movilidad empresarial (Enterprise Mobility Management, EMM), Defensa contra amenazas móviles (Mobile Threat Defense, MTD) y el Examen de aplicaciones móviles (Mobile App Vetting, MAV) juntas como solución integrada, y no como una serie de productos independientes».

MobileIron es una solución integrada y con todas las funciones que proporciona una plataforma de ciberseguridad innovadora para dispositivos iOS, Android, MacOS y Win10, que combina las capacidades de EMM, MTD y MAV en una única solución de seguridad zero trust orientada a la movilidad. Este modelo ofrece a los organismos un control total sobre los datos gubernamentales mientras circulan a través de dispositivos, aplicaciones, redes y servicios en la nube.

Con el confinamiento a causa de la COVID-19 en vigor, la necesidad de este despliegue de capacidades se ha acelerado rápidamente. Si desea más información, haga clic aquí para que un representante de MobileIron se ponga en contacto con usted.

Bill Harrod

Bill Harrod

Federal CTO, MobileIron

About the author

Bill Harrod is the Federal CTO at MobileIron. He is an accomplished information security executive and cybersecurity professional with experience managing cybersecurity risk and designing and delivering security solutions to federal agencies and Fortune 500 companies. He is an expert on Federal Identity, Credential and Access Management Architecture (FICAM). Previously, he served as a senior manager at Deloitte and senior principal consultant at CA Technologies.