• Home

  • Documents

  • PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que...
20
PROTEGER Y HABILITAR A LA ORGANIZACIÓN CONECTADA CON MICROSOFT ENTERPRISE MOBILITY SUITE (EMS) - Microsoft Corporation, noviembre de 2015

PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

Embed Size (px)

Citation preview

Page 1: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

PROTEGER Y HABILITAR A LA ORGANIZACIÓN CONECTADA CON MICROSOFT ENTERPRISE MOBILITY SUITE (EMS)

- Microsoft Corporation, noviembre de 2015

Page 2: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

2

Contenido Resumen ejecutivo .......................................................................................................................................... 3

Cuál es el próximo paso: el control en la nube ........................................................................................... 4

Examinar el cambio: ¿por qué se está produciendo? ................................................................................. 7

Administración de la identidad ............................................................................................................................................... 7

Administración de dispositivos ............................................................................................................................................... 9

Protección de la información ................................................................................................................................................ 11

Detectar a los atacantes antes del golpe: Advanced Threat Analytics ................................................................. 13

Escenarios: qué puede ofrecer EMS ............................................................................................................14

Productividad móvil administrada ...................................................................................................................................... 14

Protección de la información de punto a punto ........................................................................................................... 15

Seguridad impulsada por la identidad ............................................................................................................................. 17

Resumen .........................................................................................................................................................20

Page 3: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

3

Resumen ejecutivo Como líder de TI, la administración de la identidad, la administración de dispositivos, así como la protección de la información son una parte importante de lo que hace. No obstante, se está produciendo un gran cambio en las tres áreas del que quizás no esté al tanto.

Tradicionalmente, estas tres áreas se basan en el software que se usa en su propia organización. Esta era una buena solución cuando las identidades, los dispositivos y la información también residían en gran parte en la organización. Sin embargo, hoy en día, las personas que trabajan en la organización llevan sus dispositivos móviles a todos lados, y estos se usan para obtener acceso a aplicaciones locales y de software como un servicio (SaaS).

Los usuarios desean tener acceso a aplicaciones SaaS como Office 365, Salesforce.com y Box. También desean tener acceso a las aplicaciones personalizadas de la organización que se ejecutan en plataformas en la nube, como Microsoft Azure y Amazon Web Services (AWS). Y desean poder hacer todo esto desde sus dispositivos Windows, iOS y Android, ya sea que estén sentados en una la sala de conferencias o esperando en una fila en Starbucks. Este es el mundo donde las prioridades son la movilidad y la nube que espera el personal moderno.

¿De qué manera las soluciones locales existentes para administración de la identidad, administración de dispositivos y protección de la información pueden abordar con eficacia este mundo moderno? La respuesta es simple: no pueden. En cambio, el plano de control para todos estos servicios debe trasladarse desde su propio centro de datos a la nube. Ello le permite ofrecer todo lo que esperan los usuarios mientras entrega la protección y el control que necesita. Con la misma importancia, los servicios que elija deben crearse desde cero para un mundo donde las prioridades son la movilidad y la nube. Ningún otro enfoque funcionará porque los problemas que presenta este mundo difieren de los que ha enfrentado tradicionalmente.

Estos servicios también deben funcionar bien en conjunto. Sin ellos no puede hacer cosas como otorgar acceso a un usuario a una aplicación solo si está utilizando un dispositivo configurado de forma correcta en una ubicación conocida. Es poco probable que tenga éxito al intentar integrar usted mismo soluciones de nube dispares. Necesita una solución diseñada para que funcione en conjunto.

Microsoft Enterprise Mobility Suite (EMS) se creó para ayudarlo a abordar esta transformación hacia los servicios integrados. Sus tres componentes principales (Microsoft Azure Active Directory Premium, Microsoft Intune y Microsoft Azure Rights Management) se concibieron desde un principio como servicios en la nube. Se crearon para que funcionen en conjunto, lo que entrega una familia de tecnología integrada única en el mercado actual. Para detectar los ataques locales, EMS ahora incluye Microsoft Advanced Threat Analytics. Con EMS, puede permitir que las personas sean productivas con los dispositivos que les encantan a la vez que protegen los activos de la empresa.

Page 4: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

4

EMS también funciona bien con las inversiones locales actuales. Azure Active Directory se conecta a la perfección con Active Directory existente; por ejemplo, mientras Microsoft Intune se conecta con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, estas tecnologías integradas locales y en la nube pueden proteger y administrar sus identidades y datos en todos los dispositivos, dondequiera que se encuentren.

El mundo de TI está cambiando, nuevamente, y todo líder de TI debe cambiar en consecuencia. Microsoft EMS tiene un papel importante que desempeñar para guiarlo en este cambio.

Cuál es el próximo paso: el control en la nube

Uno de los mayores desafíos para los líderes de TI es reconocer los principales cambios tecnológicos y adaptar su organización para que se beneficie de ellos. En la actualidad, muchos de estos cambios surgen de las demandas de empleados, socios y clientes que desean usar los dispositivos que les encantan con el poder de la nube.

Un ejemplo importante de esto es el cambio que se produce en la manera en que administramos y protegemos la identidad, los dispositivos y los datos. En el mundo previo a la nube, las tecnologías que acostumbraban realizar estas tareas se ejecutaban exclusivamente en el entorno local (Figura 1). ¿Dónde más se podrían ejecutar? Antes de la llegada de la informática en nube no había una alternativa real.

Figura 1: la administración de la identidad, la administración de dispositivos y la protección de la información se realizaron por completo dentro del entorno local de una organización.

Page 5: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

5

El mundo era un lugar mucho más sencillo entonces. La mayoría de sus preocupaciones se enmarcaba dentro del perímetro de su red y estaba en gran parte bajo su control.

Esos días quedaron en el olvido. Hoy en día, todo líder de TI debe competir con un mundo mucho más complicado, uno que no solo incluye a clientes y servidores tradicionales, sino también dispositivos móviles, plataformas de nube, aplicaciones SaaS y quizás mucho más (Figura 2).

Figura 2: la informática en la nube de hoy en día incluye aplicaciones SaaS, plataformas en la nube, dispositivos móviles y quizás mucho más.

Ahora los requisitos para la identidad son mucho más exigentes. Los dispositivos que debe administrar son más diversos y con frecuencia están fuera del perímetro de su red. Y la información que debe proteger no solo reside dentro del firewall, sino también en aquellos dispositivos y en la nube.

Page 6: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

6

El enfoque tradicional para hacer todas estas actividades, que se basa únicamente en las tecnologías locales, ya no funciona. En cambio, la organización debe trasladarse a una solución basada en la nube (Figura 3).

Figura 3: ahora las tecnologías principales para la administración de la identidad (IM), la administración de dispositivos (DM) y la protección de la información (IP)

deben ejecutarse en la nube.

Las tecnologías locales existentes para trabajar con la identidad, los dispositivos y la información todavía son importantes y lo serán por algún tiempo. Sin embargo, sin las soluciones de nube simplemente no puede resolver los desafíos que plantea el mundo moderno. Debido a esto, se espera que se enfoque en todas estas áreas para cambiar del enfoque local que podría estar usando en la actualidad a un nuevo centro en la nube.

Para ayudarlo a abordar este cambio, Microsoft creó Enterprise Mobility Suite (EMS). De manera individual, los componentes en EMS ofrecen soluciones en la nube para la administración de identidades y de dispositivos, la protección de la información y mucho más. Al usarlas en conjunto, estas tecnologías son incluso más eficaces, lo que permite cosas como el acceso condicional, donde puede prohibirse la capacidad de un usuario de tener acceso a la información según quién sea, dónde se encuentre y el dispositivo que esté usando, entre otros factores.

La celeridad con que cambie las soluciones de identidad y administración a la nube depende de usted. Lo que ahora importa es que se dé cuenta de por qué se está produciendo este cambio y comprenda lo que debe hacer para beneficiarse del mismo. Lo siguiente explica este proceso y demuestra cómo Microsoft EMS admite esta transición.

Page 7: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

7

Examinar el cambio: ¿por qué se está produciendo? Administrar la identidad, administrar dispositivos, proteger la información: ninguna de estas tareas es simple. Para comprender los problemas y captar por qué son esenciales las soluciones en la nube, debemos guiarlo un paso a la vez. También necesitamos echar un vistazo a la forma en que los componentes de EMS abordan todas estas áreas.

Administración de la identidad Todo usuario desea un inicio de sesión único (SS) en aplicaciones múltiples. Todos detestamos tener que recordar diferentes nombres y contraseñas de inicio de sesión. Es por este motivo que nuestras organizaciones han usado por bastante tiempo las tecnologías de administración de la identidad, como Active Directory.

Pero, con la popularidad cada vez mayor de las aplicaciones SaaS, ya no basta con confiar solo en la administración de la identidad local. El motivo es simple: para proporcionar SSO, una tecnología local como Active Directory debe contener cada una de las aplicaciones a las que desean tener acceso los usuarios. Si todas esas aplicaciones están en su propio centro de datos, es fácil de hacer: cada aplicación se conecta con su instancia local de Active Directory. A medida que más aplicaciones migran a la nube, surgen los problemas. Si todas las aplicaciones SaaS se conectan directamente con cada tecnología de administración de identidad local de la empresa, el resultado es el caos (Figura 4). Esta es exactamente la situación en que se encuentran muchas organizaciones hoy en día.

Figura 4: crear una conexión directa entre la solución de administración de la identidad de cada organización y cada aplicación SaaS se tornaría demasiado compleja

de administrar muy rápidamente.

Page 8: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

8

Más de un 80 % de los empleados admite el uso de aplicaciones SaaS no aprobadas en sus trabajos – Stratecast, Frost & Sullivan “La verdad oculta detrás del TI en la sombra: seis tendencias que afectan la postura de seguridad”

Un enfoque más simple es usar una solución en la nube para la administración de la identidad: Microsoft Azure Active Directory (AD) Premium. El servicio de directorio local todavía es esencial, pero ahora se conecta solo con Azure AD. Azure AD, a su vez, puede conectarse directamente con cada aplicación SaaS (Figura 5).

Figura 5: la administración de la identidad basada en la nube con Azure Active Directory simplifica enormemente la administración del inicio de sesión único en las aplicaciones SaaS.

El resultado es SSO sin el caos. Las identidades de los usuarios todavía provienen de su propio servicio de directorio (usted aún tiene el control), pero al explotar el poder la nube, les ha otorgado acceso fácil a las aplicaciones locales y SaaS con un inicio de sesión único. Ha mejorado la vida de los usuarios y la ha simplificado para los administradores de TI.

Azure AD actualmente ofrece SSO a más de 2500 aplicaciones en la nube, incluidos Office 365, Salesforce.com, Dropbox, Workday y ServiceNow. Estos servicios brindan mucho más que un inicio de sesión único, también ofrecen:

La compatibilidad de la autenticación multifactor (MFA) que le permite exigir a los usuarios que proporcionen una contraseña y algo más, como un código enviado a su teléfono móvil, para iniciar sesión.

Una herramienta para detectar qué aplicaciones SaaS están usando realmente los empleados (podría sorprenderse).

Page 9: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

9

El cincuenta y dos por ciento de los trabajadores de la información de 17 países informan del uso de tres o más dispositivos para trabajar –Forrester Research “BT Futures Report: Info workers will erase boundary between enterprise & consumer technologies”

El acceso remoto seguro a las aplicaciones locales sin usar una red privada virtual (VPN).

La integración con algunas de las aplicaciones SaaS más populares, incluidas Salesforce, Workday y otras que van más allá de SSO; por ejemplo, puede agregar automáticamente a un usuario a estas aplicaciones cuando se agregue un usuario nuevo a Azure AD.

Administración de dispositivos La movilidad es el nuevo modelo. Debido a esto, administrar dispositivos móviles como teléfonos y tabletas ahora es esencial para la mayoría de las organizaciones. Es importante que usted mismo administre los dispositivos, lo que se denomina comúnmente administración de dispositivos móviles (MDM), así como también las aplicaciones que incluyen, lo que se conoce como administración de aplicaciones móviles (MAM).

Los dispositivos móviles se popularizaron antes del surgimiento de la informática en la nube, y las soluciones MDM y MAM tradicionales de punto de ejecutaban localmente. Esto tenía sentido siempre que las aplicaciones a las que tenían acceso los usuarios desde estos dispositivos móviles se ejecutaran de manera local. Sin embargo, en la actualidad esas aplicaciones tienen por lo menos las mismas probabilidades de ejecutarse en la nube. No obstante, si la solución de administración de dispositivos aún se ejecuta de manera local, es común que se le exija enrutar las comunicaciones entre dispositivos y aplicaciones a través de los servidores locales (Figura 6).

Figura 6: a menudo, las soluciones tradicionales para MDM y MAM requieren que la comunicación entre dispositivos móviles y aplicaciones en la nube pasen por un cuello de botella local.

Page 10: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

10

Como muestra la figura, una solución de administración de dispositivos normalmente implementa la directivas en los dispositivos que administra (paso 1). Una vez que las directivas están en vigor, las aplicaciones de los dispositivos administrados pueden tener acceso a aplicaciones locales y SaaS. Toda esa comunicación, incluso con las aplicaciones SaaS, se enruta comúnmente a través de la solución de administración de dispositivos local.

Este enfoque plantea algunas preocupaciones evidentes, incluido el rendimiento y la escalabilidad. ¿Por qué limitar la velocidad de la interacción entre los dispositivos y las aplicaciones en la nube en función de la capacidad de la solución de administración de dispositivos local? ¿Por qué exigirle a su propia organización de TI que se preocupe de escalar para lograr este fin? Tiene más sentido mover la administración de dispositivos a la nube, tanto MDM y MAM (Figura 7).

Figura 7: al ofrecer MDM y MAM como un servicio en la nube, Microsoft Intune proporciona un enfoque más sencillo y sensible.

Con este enfoque, ejemplificado por Microsoft Intune, los dispositivos móviles aún reciben las directivas implementadas por la solución de administración de dispositivos (paso 1). Sin embargo, una vez que estas directivas estén en vigor, las aplicaciones de estos dispositivos pueden comunicarse directamente con aplicaciones locales y en la nube (paso 2). Adiós al cuello de botella local.

Page 11: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

11

Trasladar la administración de dispositivos a la nube también tiene otros beneficios. Por ejemplo, en lugar de exigirle que ejecute y administre sus propios servidores y software para la administración de dispositivos, Microsoft Intune lo hace por usted. Piense en el desafío de actualizar el software de administración de dispositivos, iOS, Android y Windows se actualizan con frecuencia, a menudo de formas que afectan la manera en que se administran estos dispositivos. Esto exige actualizaciones al software de administración de dispositivos que aprovechan estas características nuevas. Con la administración de dispositivos local, los proveedores de MSM y MAM deben enviar nuevas revisiones a cada cliente, lo que toma tiempo. Todos los clientes, incluido usted, deben volver a instalar y probar estas revisiones, lo que toma más tiempo. Multiplique esto por el número de diferentes sistemas operativos móviles que admite, y el resultado será claro: probablemente nunca estará al día.

Con la administración de dispositivos en la nube, este problema desaparece. Por ejemplo, cuando se implementa una nueva versión de iOS, Microsoft actualiza el servicio en la nube de Intune para admitir cualquier cambio que pueda traer esta actualización. Siempre estará al día y nunca deberá preocuparse de instalar revisiones.

Microsoft Intune también entrega otros beneficios, entre ellos:

La capacidad única para administrar y proteger eficazmente las aplicaciones móviles de Office en los dispositivos iOS, Android y Windows de los usuarios (examinaremos con mayor detalle lo que esto significa más adelante).

La capacidad de borrar de forma selectiva toda la información corporativa del dispositivo de un usuario, a la vez que se dejan intactos los datos personales; por ejemplo, podría hacer esto cuando un empleado deja la organización o cuando el dispositivo deja de estar en cumplimiento.

Una solución de administración de punto final unificada que le permite administrar los dispositivos móviles y equipos de escritorio de la organización en el mismo entorno administrativo; este se basa en la estrecha integración que creó Microsoft entre Intune y System Center Configuration Manager.

Protección de la información ¿A quién se le permite tener acceso a un documento específico? ¿Qué tipo de acceso se permite: lectura, edición o algo más? ¿Cómo se asegura de que los datos están protegidos desde el “nacimiento” y que la protección acompaña a los datos dondequiera que vayan? Ofrecer este tipo de control era importante incluso antes de la llegada de los dispositivos móviles y la informática en la nube. En un mundo donde las prioridades son la movilidad y la nube, con los usuarios y las aplicaciones extendidos por todo el planeta, esto importa mucho más.

Page 12: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

12

Este estilo de protección de la información se ofrecía tradicionalmente en las soluciones locales. Por ejemplo, Microsoft ha ofrecido lo que ahora se conoce como Active Directory Rights Management Services por varios años. No obstante, abordar este problema con una solución local tiene limitaciones (Figura 8).

Figura 8: basarse en la tecnología local para la protección de la información requiere configurar manualmente las conexiones punto a punto para la administración

de la identidad entre organizaciones individuales.

Suponga que dos organizaciones, A y B, desean compartir un documento protegido. Quizás solo un grupo determinado de personas en cada empresa puede leerlo, así es que cualquier intento de abrirlo debe comprobarse mediante un servicio de protección de la información. La tecnología de la protección de la información local puede resolver este problema, pero lograrlo exige configurar una relación de punto a punto entre las soluciones de administración de la identidad en que se basan las tecnologías de protección de la información. Tomarse todas estas molestias solo para compartir documentos protegidos con frecuencia no se consideraba una tarea práctica, y compartir documentos entre los límites de la organización no era tan seguro como debía. Sin embargo, con la solución de la nube, conseguirlo es mucho más simple (Figura 9).

Figura 9: usar una solución de nube compartida para la administración de la identidad y la protección de la información mejora considerablemente el control del acceso a los documentos.

Page 13: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

13

Como muestra la figura, las dos organizaciones ya no necesitan configurar conexiones directas entre sí. En cambio, pueden conectarse a los servicios en la nube, Azure AD y Azure Rights Management (RMS), solo una vez. Independientemente de la cantidad de organizaciones con la que comparta documentos, debe conectarse solo una vez a los servicios en la nube. Con este modelo, desaparece la complejidad que plagaba el uso compartido de documentos protegidos entre organizaciones.

Azure RMS también entrega otros beneficios, entre ellos:

La compatibilidad de plantillas de directivas personalizadas, lo que permite definir las directivas para el uso compartido de documentos protegidos; por ejemplo, una organización podría definir una plantilla que restringe el acceso a un documento específico solo a las personas en su grupo de marketing.

El seguimiento de documentos que supervisa los intentos de acceso correctos e incorrectos de los destinatarios a un documento protegido, lo que les brinda a los propietarios de los documentos información sobre la forma en que se usa el documento (o hace mal uso de este); también ofrece la capacidad de revocar el acceso a un documento.

La opción de cifrar los documentos con su propia clave en lugar de una ofrecida por Microsoft.

Detectar a los atacantes antes del golpe: Advanced Threat Analytics

Partes importantes de la infraestructura, como la administración de la identidad, la administración de dispositivos y la protección de la información, se están trasladando a la nube. Pero esto no hace que proteger el entorno local sea menos importante. Microsoft reconoce esto, motivo por el cual EMS también incorpora Advanced Threat Analytics (ATA).

ATA no se ejecuta en la nube: funciona por completo dentro de la organización, y su objetivo es ayudarlo a identificar las actividades sospechosas antes de que provoquen daños. Para ello, crea un mapa de todas las relaciones entre usuarios, dispositivos y recursos. Por ejemplo, ATA lleva un control de los dispositivos que usan normalmente los empleados, a qué recursos acceden (incluidas las aplicaciones) y los horarios en que tienen lugar los accesos. Si de improviso un usuario comienza a acceder a aplicaciones poco comunes desde distintos dispositivos en horarios poco habituales, ATA advertirá al personal de seguridad, quienes pueden investigar la situación. Es posible que el atacante haya asumido la identidad del usuario, probablemente para robar su nombre de usuario y contraseña.

En lugar de esperar que un atacante dañe a la organización, ATA lo ayuda a detectar los ataques mucho antes. Esta oferta también ayuda a la organización de otras maneras, como detectar los ataques malintencionados conocidos. Y mientras ATA funciona de forma local, puede licenciarse como parte de EMS.

Page 14: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

14

Escenarios: qué puede ofrecer EMS Al considerarse individualmente, existe un razonamiento atractivo para realizar la administración de la identidad, la administración de dispositivos y la protección de la información en la nube. Pero el razonamiento se fortalece aún más cuando estos servicios en la nube se usan en conjunto, como lo están en EMS. Para demostrarle por qué esto es válido, examinaremos tres escenarios:

Productividad móvil administrada

Protección de la información de punto a punto

Seguridad impulsada por la identidad

Productividad móvil administrada Usamos dispositivos móviles porque nos permiten ser mucho más productivos de forma móvil. Pero si estos dispositivos no se pueden administrar eficazmente, la compensación no vale la pena; los riesgos son muy altos. Debido a esto, debe pensar en la productividad mejorada y la administración eficaz como un solo objetivo. Lo que necesita es la productividad móvil administrada.

Para ver cómo Microsoft EMS hace que esto sea posible, comenzaremos a examinar un ejemplo de cómo un usuario actual (por ejemplo, Anna), agrega un iPad nuevo a la red corporativa (Figura 10).

Figura 10: EMS puede inscribir automáticamente un dispositivo y hacer cumplir las directivas para obtener acceso a las aplicaciones.

Page 15: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

15

La identidad es la base de todo, así es que el proceso comienza con el inicio de sesión de Anna en Azure AD (paso 1). Es posible que el iPad que está utilizando sea de su propiedad o podría ser uno que le haya entregado la organización. En cualquiera de estos casos, lo primero que hace después de iniciar sesión es intentar acceder a una aplicación SaaS. En este ejemplo, esa aplicación es Exchange Online, parte de Office 365: Anna desea obtener acceso a su correo electrónico corporativo. Sin embargo, dado que su nuevo iPad aún no está administrado, esta solicitud se redirige a Intune (paso 2).

A continuación, Intune establece una relación de administración con el iPad de Anna (con su permiso, desde luego) para permitir la administración de este dispositivo, aplicando cualquier directiva que se haya definido para los iPad (paso 3). Por ejemplo, los administradores podrían haber especificado que para formar parte del entorno corporativo el iPad debe tener definida una contraseña de desbloqueo, cifrar los datos corporativos que almacena y contar con un correo electrónico administrado. Definir y aplicar estas directivas se basa tanto en Azure AD como en Intune.

Ahora que el dispositivo está administrado, Anna puede tener acceso correcto a su correo electrónico corporativo (paso 4). Antes de que pueda hacer esto, Azure AD e Intune funcionan en conjunto para asegurarse de que Anna cumpla con otra directiva: la definida para esta aplicación específica. Por ejemplo, una directiva de Exchange Online podría requerir que las solicitudes provengan de los dispositivos administrados por Intune que aplicaron todas las actualizaciones disponibles. Este es un ejemplo del acceso condicional, donde se permite que un usuario haga algo solo si se cumplen varias condiciones: la identidad correcta, el tipo correcto de dispositivo con las características precisas y quizás más. El acceso condicional es una característica poderosa y solo es posible cuando varios servicios funcionan en conjunto, como en EMS. Esta sinergia es un aspecto esencial, y un claro beneficio, de una solución de nube unificada.

Protección de la información de punto a punto Una vez que Anna tiene acceso a Exchange Online, comenzará a recibir su correo electrónico corporativo. Aun cuando está usando su iPad para este fin, quizás desde el salón de un aeropuerto o desde otro lugar público, su correo incluye información que la organización debe proteger. Necesita una manera de evitar que envíe (accidental o deliberadamente) esta información a extraños, como a través del correo electrónico o al copiar en aplicaciones no aprobadas. Necesita protección de la información de punto a punto. EMS puede ofrecer esta característica mediante Azure AD, Intune y Azure RMS, los que funcionan en conjunto (Figura 11).

Page 16: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

16

Figura 11: EMS protege la información corporativa al permitir su uso y copia solo dentro de un entorno administrado, y al integrar controles de acceso directamente en los archivos cifrados.

Suponga que Anna recibe un correo electrónico corporativo con una hoja de cálculo de Excel adjunta (paso 1). Abre este archivo adjunto con la aplicación móvil Excel en el iPad e intenta copiar y pegar los datos de la hoja de cálculo en la aplicación integrada Notas del iPad. Con EMS en funcionamiento, este intento sería infructuoso (paso 2).

El motivo por el que falla es que Intune separa las aplicaciones administradas en su iPad de las aplicaciones personales. Como muestra la figura, las aplicaciones de Office de Anna están todas marcadas como administradas, lo que significa que los datos de estas aplicaciones no pueden copiarse a aplicaciones no administradas. En este ejemplo, la opción Pegar simplemente no aparecerá cuando intente mover datos de la hoja de cálculo de Excel a la aplicación Notas

de iOS. Podrá mover información entre aplicaciones administradas, como de la hoja de cálculo de Excel a un documento de Word, pero eso es todo. Y aunque no se muestre en la figura, las aplicaciones administradas también pueden adquirirse de otros proveedores de software o personalizarse para la organización; no se limita a usar las aplicaciones de Microsoft.

El sesenta y un por ciento de los trabajadores mezcla tareas personales y laborales en sus dispositivos –Forrester “BT Futures Report: Info workers will erase boundary between enterprise & consumer technologies”

Page 17: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

17

Solo Microsoft puede ofrecer este tipo de protección de la información para las aplicaciones móviles de Office en dispositivos iPads y Android; ningún otro proveedor de MAM puede hacerlo. Y si Anna quiere usar las aplicaciones móviles de Office para el trabajo de la empresa y personal, puede hacerlo. Todo lo que debe hacer es iniciar sesión con otra identidad. Intune se asegurará de que las directivas corporativas se apliquen a los datos corporativos, y dejará los datos personales sin alterar.

La protección de la información que ofrece Intune para dispositivos móviles es esencial, pero no es suficiente. Suponga que Anna recibe un correo electrónico con otro archivo adjunto con datos corporativos confidenciales (paso 3). Es posible que nunca lo abra en su iPad, pero imagine que lo reenvía accidentalmente a una persona fuera de la oficina, ¿entonces? O bien, ¿qué sucede si el archivo adjunto se envió a Anna por error y no se supone que ella tenga acceso a este? Proporcionar protección de la información de punto a punto requiere abordar estas preocupaciones.

Azure RMS se creó para resolver problemas como este. Si el archivo adjunto que Anna recibió está protegido con Azure RMS, está cifrado, lo que quiere decir que ningún software puede abrirlo sin primero comunicarse con este servicio en la nube (paso 4). Azure RMS usa la identidad de Anna, proporcionada a través de Azure AD, junto con la información en el documento protegido en sí para determinar qué derechos de acceso tiene. Por ejemplo, es posible que solo pueda leer este documento o leerlo y modificarlo, o pueda hacer otras cosas, según lo que haya permitido el creador del documento.

Azure RMS protege la información dondequiera que esté. Intune protege la información cuando se accede a esta desde dispositivos móviles. Estos dos componentes, junto con la información de la identidad que entrega Azure AD, permiten que EMS proporcione protección de la información real de punto a punto.

Seguridad impulsada por la identidad Todo lo descrito hasta ahora se basa en la identidad. Intune usa la identidad de Anna para decidir qué directivas se aplican a su dispositivo, y Azure RMS decide qué nivel de acceso tiene a un documento protegido según su identidad. La identidad es central para todo lo que hace EMS.

Pero, ¿qué sucede si un atacante puede poner en riesgo la identidad de Anna? Imagine que elige una contraseña fácil de adivinar o alguien roba sus credenciales a través de la ingeniería social. Este es exactamente el tipo de ataque utilizado en varias filtraciones de alto perfil: es una amenaza real.

El setenta y cinco por ciento de las intrusiones en la red explotan debilidades o credenciales robadas. –Informe de investigación de filtración de datos

de Verizon

Page 18: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

18

Detectar este tipo de amenaza requiere la seguridad impulsada por la identidad, algo que EMS proporciona de varias maneras. Por ejemplo, Azure AD puede detectar autenticaciones anómalas y advertirle al personal de seguridad sobre los riesgos (Figura 12).

Figura 12: Azure AD puede advertir sobre varios tipos de inicios de sesión falsos.

Imagine que un atacante compra el nombre y la contraseña de inicio de sesión de Anna en un sitio de hackers y usa esta información para iniciar sesión en la organización (paso 1). Dado que Microsoft supervisa estos sitios, Azure AD sabe que las credenciales de Anna están disponibles en el mercado negro. Cuando detecta este inicio de sesión, Azure AD le advierte al personal de seguridad sobre esta situación (paso 2). O imagine que otro atacante inicia sesión con las credenciales de Anna, pero el dispositivo de cliente en que inicia sesión está infectado con malware (paso 3). Azure AD también puede advertir al personal de seguridad sobre esta situación (paso 4).

La capacidad de detectar estos tipos de actividad anómala de inicio de sesión es exclusiva de Azure AD, y depende de los amplios recursos en la nube de Microsoft. La información que Microsoft obtiene de los ataques en cualquiera de sus ofertas de la nube, Office 365, Azure, Xbox y otras, la recibe de Azure AD para ayudarlo a que la empresa sea más segura. También es posible tomar medidas cuando se detecta este tipo de problema. Por ejemplo, una vez que el personal de seguridad se entera de que las credenciales de Anna fueron robadas, puede bloquear el acceso.

Page 19: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

19

Azure AD también informa otros comportamiento inusuales. Si Anna inicia sesión en su cuenta desde Los Angeles, California, y cinco minutos después lo hace desde Lima, Perú, claramente algo no está bien: Azure AD lo informará. También señalará comportamientos fuera de lo común, como usar una tableta Android por primera vez cuando Anna normalmente usa un iPad. Y, desde luego, Azure AD informa sobre las preocupaciones habituales, como exceder el número de intentos de inicio de sesión.

Pero, imagine que un atacante se las arregla para superar todas estas barreras. ¿De qué manera puede detectarse este tipo de ataque una vez que se produjo el inicio de sesión? La respuesta depende de reconocer que un atacante que usa una identidad robada se comporta distinto del propietario correcto de esa identidad. ATA puede detectar estas diferencias y alertar al personal de seguridad sobre el problema (Figura 13).

Figura 13: con ATA, EMS puede detectar y señalar la actividad sospechosa, alertando al personal de seguridad cuando una cuenta podría estar en riesgo.

Imagine que Anna inicia sesión en Azure Active Directory (paso 1), y trabaja con su programa diario típico. Anna forma parte del departamento de recursos humanos, así es que es muy probable que acceda a la aplicación y los datos de recursos humanos de la organización (paso 2). Ahora imagine que un atacante inicia sesión como Anna con sus credenciales robadas (paso 3). ¿También accederá a la mayoría de los recursos de RR. HH. durante el día de trabajo normal? Ciertamente no; en cambio, el atacante accederá a otras aplicaciones y otros tipos de datos. También es probable que lo haga en horarios diferentes, al menos porque podría estar trabajando desde un huso horario distinto al otro lado del mundo (paso 4).

Page 20: PROTEGER Y HABILITAR A LA ORGANIZACIÓN … · con System Center Configuration Manager para que funcione con todos los dispositivos de cliente. Al usarse en conjunto, ... Para comprender

20

ATA puede detectar esta variación del comportamiento. Al supervisar el tráfico que entra y sale de Active Directory local, usar la tecnología de aprendizaje de la máquina para analizar este tráfico, ATA puede aprender rápidamente los patrones de acceso habituales de los usuarios. Cuando un usuario se desvía de estos patrones, como sucedió con Anna, ATA puede alertar al personal de seguridad sobre la posible infracción (paso 5).

Una vez que el atacante penetró la organización, por lo general merodea por meses en busca de oportunidades. Con frecuencia, no es detectado hasta que ya aprovechó estas oportunidades (y quizás ni siquiera entonces). Usar ATA junto con los servicios de informes proporcionados por Azure AD puede ayudarlo a detectar y detener estos ataques antes de que perjudiquen a la empresa. Con Azure AD en la nube y ATA de forma local, EMS ofrece una solución integral para la seguridad impulsada por la identidad.

Resumen Microsoft Enterprise Mobility Suite permite que los empleados sean productivos con los dispositivos que les encantan a la vez que protegen los activos de la empresa. Al trasladar los servicios locales a la nube, EMS ayuda a que la organización sea más productiva, esté mejor administrada y sea más segura en el mundo actual donde las prioridades son la movilidad y la nube. Y al integrar estos servicios entre sí y con los activos locales, proporciona una solución completa, a diferencia de cualquier oferta de la industria de hoy en día. Al implementar EMS, puede mejorar un poco la vida de los empleados, los socios de negocio y los clientes.


Como Habilitar a Controladora IBM Para Utilizar RAID5

Como Habilitar a Controladora IBM Para Utilizar RAID5

Documents
Habilitar Arduino UNO en LabVIEW

Habilitar Arduino UNO en LabVIEW

Documents
Habilitar Macros Office 2003sigec.mideplan.cl/sigec/docs/2380/habilitar macros office...Habilitar Macros Office 2003 1- Para activar esta opción (Habilitar Macros) y poder trabajar

Habilitar Macros Office 2003sigec.mideplan.cl/sigec/docs/2380/habilitar macros office...Habilitar Macros Office 2003 1- Para activar esta opción (Habilitar Macros) y poder trabajar

Documents
Cómo hacer que el matrimonio funcione bien

Cómo hacer que el matrimonio funcione bien

Health & Medicine
Configuracion de Pfsense Para Habilitar El Portal Cautivo2

Configuracion de Pfsense Para Habilitar El Portal Cautivo2

Documents
Cómo hacer que funcione la globalización

Cómo hacer que funcione la globalización

Education
Las funcione de los seres vivos

Las funcione de los seres vivos

Education
Como habilitar pantallas emergentes

Como habilitar pantallas emergentes

Internet
Habilitar código de barras

Habilitar código de barras

Documents
DIRECTRICES PARA HABILITAR SALAS DE

DIRECTRICES PARA HABILITAR SALAS DE

Documents
Habilitar Cookies en tu navegador

Habilitar Cookies en tu navegador

Documents
Funcione de Distribucion de Probabilidad Geometríca

Funcione de Distribucion de Probabilidad Geometríca

Documents
Elsecretoleyatraccion funcione-historiajuan

Elsecretoleyatraccion funcione-historiajuan

Economy & Finance
11. haciendo que el primer circulo funcione

11. haciendo que el primer circulo funcione

Education
es apropiado para usarse en casas prefabricadas

es apropiado para usarse en casas prefabricadas

Documents
CÓMO HACER QUE FUNCIONE EL SISTEMA PRESIDENCIAL

CÓMO HACER QUE FUNCIONE EL SISTEMA PRESIDENCIAL

Documents
Habilitar elementos emergentes en buscadores de internet

Habilitar elementos emergentes en buscadores de internet

Technology
Pueden usarse los juegos de computador para

Pueden usarse los juegos de computador para

Education
COMO HABILITAR SUCONTAS EM SUA LOJA SHOPEE

COMO HABILITAR SUCONTAS EM SUA LOJA SHOPEE

Documents
Haciendo que tu negocio funcione

Haciendo que tu negocio funcione

Automotive
Funcione con vectores y matrices en c

Funcione con vectores y matrices en c

Documents
363mo habilitar el servicio P2P.docx) - ARGSeguridad ... habilitar el...Cómo habilitar el servicio P2P • El servicio P2P (peer to conexión remota con una mínima configuración

363mo habilitar el servicio P2P.docx) - ARGSeguridad ... habilitar el...Cómo habilitar el servicio P2P • El servicio P2P (peer to conexión remota con una mínima configuración

Documents
Cómo crear contenido que funcione

Cómo crear contenido que funcione

Marketing
Formar y habilitar profe- MAESTRÍA EN PSICOLOGÍA

Formar y habilitar profe- MAESTRÍA EN PSICOLOGÍA

Documents
Habilitar f41 Excel Office 2007

Habilitar f41 Excel Office 2007

Documents
Funcione Obstetricas y neonatales

Funcione Obstetricas y neonatales

Documents
NOTA: ESTE DOCUMENTO SOLAMENTE DEBE USARSE CON …

NOTA: ESTE DOCUMENTO SOLAMENTE DEBE USARSE CON …

Documents
manual de las funcione de excel

manual de las funcione de excel

Documents
Reflexiones Por Una Venezuela Que Funcione

Reflexiones Por Una Venezuela Que Funcione

Documents
El Secreto Ley Atraccion Funcione Historia Juan

El Secreto Ley Atraccion Funcione Historia Juan

Documents