La batalla entre Apple y el FBI destaca las fallas de TI y la necesidad de una administración sólida de dispositivos móviles

Los errores de TI informados en las historias de Apple y el FBI ofrecen lecciones para la administración de dispositivos móviles. Las siguientes son las mejores prácticas de MDM que TI debe seguir.

El FBI quiere conocer los detalles y los motivos del tiroteo masivo de Syed Farook y su esposa Tashfeen Malik en diciembre de 2015 en San Bernardino, California. Como resultado, el iPhone 5C que el empleador de Farouk, el condado de San Bernardino, envió a Farouk se convirtió en tema de controversia y debate.

El iPhone podría proporcionar más pistas sobre los planes detrás del tiroteo y quién más pudo haber estado involucrado o ayudado a Farook y Malik. Sin embargo, los iPhones bloqueados (sin configuraciones de seguridad de huellas dactilares) están actualmente fuera del alcance de cualquiera, y el FBI le ha pedido a Apple que cambie el software en el teléfono para que no elimine todos los datos después de una cierta cantidad de intentos fallidos de contraseña.

escuchar: El enfrentamiento del FBI de Apple: por qué es mucho más grande que irrumpir en un dispositivo

En lugar de contribuir al ya abarrotado campo de debate, quería centrarme en el aspecto de la gestión de dispositivos móviles (MDM) de este caso.

Errores y mejores prácticas de MDM

La última copia de seguridad del iPhone de Farook en iCloud fue el 19 de octubre de 2015, y esta información se proporcionó al FBI. Sin embargo, las llamadas añadidas o recibidas desde entonces probablemente tengan información que podría ayudar en la investigación del FBI.

Para hacer otra copia de seguridad en iCloud, se debe llevar el iPhone a un área con una red Wi-Fi conocida, como la casa de Farook.Lamentablemente, el 6 de diciembre de 2015, el departamento de TI del condado de San Bernardino restableció la contraseña del ID de Apple de Farook (supuestamente en la dirección El FBI, aunque hay informacion contradictoria sobre ese detalle). Esto, a su vez, evita que el teléfono haga una copia de seguridad de los datos en iCloud la próxima vez que se conecte a una red Wi-Fi conocida.

Esta situación podría y debería haberse evitado.Reuters informó el 19 de febrero de 2023 que El condado de San Bernardino contrata al proveedor de software MDM MobileIron Inc., pero el software no se ha instalado en el teléfono de Farook. El software habría permitido que el departamento de TI del condado desbloqueara su teléfono después de la masacre. Desde la perspectiva de las mejores prácticas de MDM, esto es un gran error.

Mirar: Política de dispositivos móviles de Tech Pro Research

Las siguientes prácticas recomendadas de MDM se deben aplicar en este caso y se deben aplicar en su organización para dispositivos corporativos:

• Requerir que el departamento de TI apruebe la adición de dispositivos móviles a la red corporativa/sistema de mensajería a través de mecanismos de aislamiento;
• requiere contraseñas complejas;
• Activar el bloqueo de pantalla después de un período de inactividad (por ejemplo, 60 segundos);
• Forzar el borrado automático del dispositivo después de 5 o 10 intentos fallidos de inicio de sesión;
• Hacer cumplir el cifrado de almacenamiento en tarjetas micro-SD internas y externas (si corresponde);
• Forzar copias de seguridad automáticas a una ubicación accesible para el departamento de TI;
• Proteja los dispositivos con software antimalware e informe de la actividad de malware;
• Establecer aplicaciones y funciones aprobadas y deshabilitar aplicaciones y funciones que no cumplan con los estándares de la empresa;
• Solo permita la instalación de aplicaciones desde ubicaciones aprobadas;
• Configure el acceso solo a las redes requeridas (o bloquee el acceso a redes Wi-Fi abiertas y no seguras);
• Configure los ajustes de VPN a pedido a través de la administración de MDM;
• Utilice la «contenedorización» para separar la información comercial y personal en el dispositivo;
• Implemente configuraciones de administración de contenido para caducar documentos y/o restringir que los usuarios compartan o editen estos elementos, si lo desea;
• Determine si se requieren múltiples estrategias (dependiendo de los empleados involucrados) y personalícelas según sea necesario;
• Supervise e informe el estado del dispositivo. El departamento de TI debe estar al tanto de cualquier dispositivo que no se registre durante varios días y tomar medidas para determinar la causa (¿el dispositivo se perdió, fue robado o dañado? ¿Los empleados lo usan en vacaciones?); y
• Limite la intervención del usuario o deshabilite cualquier configuración necesaria para administrar, mantener o respaldar adecuadamente el dispositivo.

La clave de todas estas configuraciones (y las anteriores) es que TI debería poder cambiarlas o restaurarlas según sea necesario para cualquier teléfono proporcionado por la empresa. El teléfono debe tener acceso a la red para recibir configuraciones actualizadas. Si el usuario pone el teléfono en modo avión, muere en el agua. También tiene sentido desactivar el Modo avión después de un período de tiempo determinado (digamos dos días), momento en el cual el dispositivo restablecerá una conexión de red. No conozco una estrategia de MDM que pueda hacer esto en este momento, pero debería valer la pena para los proveedores de MDM que buscan una mayor flexibilidad y control para los departamentos de TI que pueden encontrarse en una situación reflexiva en el condado de San Bernardino.

Otra posibilidad es que el departamento de TI elija y proporcione contraseñas de dispositivos móviles a los usuarios y luego restrinja el cambio de esas contraseñas. Esto puede ser tedioso, pero garantiza el acceso al dispositivo en tales casos.

Con los controles de MDM adecuados, el departamento de TI debería tener acceso completo a cualquier dispositivo publicado o conectado a la empresa y a los datos de ese dispositivo.