Professional Documents
Culture Documents
A LA ORGANIZACIN CONECTADA
CON MICROSOFT ENTERPRISE MOBILITY SUITE (EMS)
Contenido
Resumen ejecutivo .......................................................................................................................................... 3
Cul es el prximo paso: el control en la nube ........................................................................................... 4
Examinar el cambio: por qu se est produciendo? ................................................................................. 7
Administracin de la identidad ...............................................................................................................................................7
Administracin de dispositivos ...............................................................................................................................................9
Proteccin de la informacin ................................................................................................................................................ 11
Detectar a los atacantes antes del golpe: Advanced Threat Analytics ................................................................. 13
Escenarios: qu puede ofrecer EMS ............................................................................................................14
Productividad mvil administrada ...................................................................................................................................... 14
Proteccin de la informacin de punto a punto ........................................................................................................... 15
Seguridad impulsada por la identidad ............................................................................................................................. 17
Resumen .........................................................................................................................................................20
Resumen ejecutivo
Como lder de TI, la administracin de la identidad, la administracin de dispositivos, as como
la proteccin de la informacin son una parte importante de lo que hace. No obstante, se est
produciendo un gran cambio en las tres reas del que quizs no est al tanto.
Tradicionalmente, estas tres reas se basan en el software que se usa en su propia organizacin.
Esta era una buena solucin cuando las identidades, los dispositivos y la informacin tambin residan
en gran parte en la organizacin. Sin embargo, hoy en da, las personas que trabajan en la organizacin
llevan sus dispositivos mviles a todos lados, y estos se usan para obtener acceso a aplicaciones locales
y de software como un servicio (SaaS).
Los usuarios desean tener acceso a aplicaciones SaaS como Office 365, Salesforce.com y Box. Tambin
desean tener acceso a las aplicaciones personalizadas de la organizacin que se ejecutan en plataformas
en la nube, como Microsoft Azure y Amazon Web Services (AWS). Y desean poder hacer todo esto
desde sus dispositivos Windows, iOS y Android, ya sea que estn sentados en una la sala de conferencias
o esperando en una fila en Starbucks. Este es el mundo donde las prioridades son la movilidad y la nube
que espera el personal moderno.
De qu manera las soluciones locales existentes para administracin de la identidad, administracin
de dispositivos y proteccin de la informacin pueden abordar con eficacia este mundo moderno?
La respuesta es simple: no pueden. En cambio, el plano de control para todos estos servicios debe
trasladarse desde su propio centro de datos a la nube. Ello le permite ofrecer todo lo que esperan los
usuarios mientras entrega la proteccin y el control que necesita. Con la misma importancia, los servicios
que elija deben crearse desde cero para un mundo donde las prioridades son la movilidad y la nube.
Ningn otro enfoque funcionar porque los problemas que presenta este mundo difieren de los que
ha enfrentado tradicionalmente.
Estos servicios tambin deben funcionar bien en conjunto. Sin ellos no puede hacer cosas como otorgar
acceso a un usuario a una aplicacin solo si est utilizando un dispositivo configurado de forma correcta
en una ubicacin conocida. Es poco probable que tenga xito al intentar integrar usted mismo soluciones
de nube dispares. Necesita una solucin diseada para que funcione en conjunto.
Microsoft Enterprise Mobility Suite (EMS) se cre para ayudarlo a abordar esta transformacin hacia
los servicios integrados. Sus tres componentes principales (Microsoft Azure Active Directory Premium,
Microsoft Intune y Microsoft Azure Rights Management) se concibieron desde un principio como
servicios en la nube. Se crearon para que funcionen en conjunto, lo que entrega una familia de
tecnologa integrada nica en el mercado actual. Para detectar los ataques locales, EMS ahora incluye
Microsoft Advanced Threat Analytics. Con EMS, puede permitir que las personas sean productivas
con los dispositivos que les encantan a la vez que protegen los activos de la empresa.
EMS tambin funciona bien con las inversiones locales actuales. Azure Active Directory se conecta
a la perfeccin con Active Directory existente; por ejemplo, mientras Microsoft Intune se conecta
con System Center Configuration Manager para que funcione con todos los dispositivos de cliente.
Al usarse en conjunto, estas tecnologas integradas locales y en la nube pueden proteger y administrar
sus identidades y datos en todos los dispositivos, dondequiera que se encuentren.
El mundo de TI est cambiando, nuevamente, y todo lder de TI debe cambiar en consecuencia.
Microsoft EMS tiene un papel importante que desempear para guiarlo en este cambio.
El mundo era un lugar mucho ms sencillo entonces. La mayora de sus preocupaciones se enmarcaba
dentro del permetro de su red y estaba en gran parte bajo su control.
Esos das quedaron en el olvido. Hoy en da, todo lder de TI debe competir con un mundo mucho
ms complicado, uno que no solo incluye a clientes y servidores tradicionales, sino tambin dispositivos
mviles, plataformas de nube, aplicaciones SaaS y quizs mucho ms (Figura 2).
El enfoque tradicional para hacer todas estas actividades, que se basa nicamente en las tecnologas
locales, ya no funciona. En cambio, la organizacin debe trasladarse a una solucin basada en la nube
(Figura 3).
Administracin de la identidad
Todo usuario desea un inicio de sesin nico (SS) en aplicaciones mltiples. Todos detestamos tener
que recordar diferentes nombres y contraseas de inicio de sesin. Es por este motivo que nuestras
organizaciones han usado por bastante tiempo las tecnologas de administracin de la identidad,
como Active Directory.
Pero, con la popularidad cada vez mayor de las aplicaciones SaaS, ya no basta con confiar solo en la
administracin de la identidad local. El motivo es simple: para proporcionar SSO, una tecnologa local
como Active Directory debe contener cada una de las aplicaciones a las que desean tener acceso los
usuarios. Si todas esas aplicaciones estn en su propio centro de datos, es fcil de hacer: cada aplicacin
se conecta con su instancia local de Active Directory. A medida que ms aplicaciones migran a la nube,
surgen los problemas. Si todas las aplicaciones SaaS se conectan directamente con cada tecnologa de
administracin de identidad local de la empresa, el resultado es el caos (Figura 4). Esta es exactamente
la situacin en que se encuentran muchas organizaciones hoy en da.
Figura 5: la administracin de la identidad basada en la nube con Azure Active Directory simplifica
enormemente la administracin del inicio de sesin nico en las aplicaciones SaaS.
El resultado es SSO sin el caos. Las identidades de los usuarios
todava provienen de su propio servicio de directorio (usted an
tiene el control), pero al explotar el poder la nube, les ha otorgado
acceso fcil a las aplicaciones locales y SaaS con un inicio de sesin
nico. Ha mejorado la vida de los usuarios y la ha simplificado
para los administradores de TI.
Ms de un 80 % de los
empleados admite el uso
de aplicaciones SaaS no
aprobadas en sus trabajos
Stratecast, Frost & Sullivan
Una herramienta para detectar qu aplicaciones SaaS estn usando realmente los empleados
(podra sorprenderse).
El acceso remoto seguro a las aplicaciones locales sin usar una red privada virtual (VPN).
La integracin con algunas de las aplicaciones SaaS ms populares, incluidas Salesforce, Workday
y otras que van ms all de SSO; por ejemplo, puede agregar automticamente a un usuario
a estas aplicaciones cuando se agregue un usuario nuevo a Azure AD.
Administracin de dispositivos
La movilidad es el nuevo modelo. Debido a esto, administrar dispositivos mviles como telfonos
y tabletas ahora es esencial para la mayora de las organizaciones. Es importante que usted mismo
administre los dispositivos, lo que se denomina comnmente administracin de dispositivos mviles
(MDM), as como tambin las aplicaciones que incluyen, lo que se conoce como administracin de
aplicaciones mviles (MAM).
Forrester Research
technologies
Figura 6: a menudo, las soluciones tradicionales para MDM y MAM requieren que la comunicacin
entre dispositivos mviles y aplicaciones en la nube pasen por un cuello de botella local.
Figura 7: al ofrecer MDM y MAM como un servicio en la nube, Microsoft Intune proporciona
un enfoque ms sencillo y sensible.
Con este enfoque, ejemplificado por Microsoft Intune, los dispositivos mviles an reciben las directivas
implementadas por la solucin de administracin de dispositivos (paso 1). Sin embargo, una vez que
estas directivas estn en vigor, las aplicaciones de estos dispositivos pueden comunicarse directamente
con aplicaciones locales y en la nube (paso 2). Adis al cuello de botella local.
10
Trasladar la administracin de dispositivos a la nube tambin tiene otros beneficios. Por ejemplo,
en lugar de exigirle que ejecute y administre sus propios servidores y software para la administracin
de dispositivos, Microsoft Intune lo hace por usted. Piense en el desafo de actualizar el software de
administracin de dispositivos, iOS, Android y Windows se actualizan con frecuencia, a menudo de formas
que afectan la manera en que se administran estos dispositivos. Esto exige actualizaciones al software
de administracin de dispositivos que aprovechan estas caractersticas nuevas. Con la administracin de
dispositivos local, los proveedores de MSM y MAM deben enviar nuevas revisiones a cada cliente, lo que
toma tiempo. Todos los clientes, incluido usted, deben volver a instalar y probar estas revisiones, lo que
toma ms tiempo. Multiplique esto por el nmero de diferentes sistemas operativos mviles que admite,
y el resultado ser claro: probablemente nunca estar al da.
Con la administracin de dispositivos en la nube, este problema desaparece. Por ejemplo, cuando se
implementa una nueva versin de iOS, Microsoft actualiza el servicio en la nube de Intune para admitir
cualquier cambio que pueda traer esta actualizacin. Siempre estar al da y nunca deber preocuparse
de instalar revisiones.
Microsoft Intune tambin entrega otros beneficios, entre ellos:
La capacidad nica para administrar y proteger eficazmente las aplicaciones mviles de Office
en los dispositivos iOS, Android y Windows de los usuarios (examinaremos con mayor detalle
lo que esto significa ms adelante).
Proteccin de la informacin
A quin se le permite tener acceso a un documento especfico? Qu tipo de acceso se permite: lectura,
edicin o algo ms? Cmo se asegura de que los datos estn protegidos desde el nacimiento y que
la proteccin acompaa a los datos dondequiera que vayan? Ofrecer este tipo de control era importante
incluso antes de la llegada de los dispositivos mviles y la informtica en la nube. En un mundo donde las
prioridades son la movilidad y la nube, con los usuarios y las aplicaciones extendidos por todo el planeta,
esto importa mucho ms.
11
12
Como muestra la figura, las dos organizaciones ya no necesitan configurar conexiones directas entre s.
En cambio, pueden conectarse a los servicios en la nube, Azure AD y Azure Rights Management (RMS),
solo una vez. Independientemente de la cantidad de organizaciones con la que comparta documentos,
debe conectarse solo una vez a los servicios en la nube. Con este modelo, desaparece la complejidad
que plagaba el uso compartido de documentos protegidos entre organizaciones.
Azure RMS tambin entrega otros beneficios, entre ellos:
La opcin de cifrar los documentos con su propia clave en lugar de una ofrecida por Microsoft.
13
Figura 10: EMS puede inscribir automticamente un dispositivo y hacer cumplir las directivas
para obtener acceso a las aplicaciones.
14
La identidad es la base de todo, as es que el proceso comienza con el inicio de sesin de Anna en
Azure AD (paso 1). Es posible que el iPad que est utilizando sea de su propiedad o podra ser uno que
le haya entregado la organizacin. En cualquiera de estos casos, lo primero que hace despus de iniciar
sesin es intentar acceder a una aplicacin SaaS. En este ejemplo, esa aplicacin es Exchange Online,
parte de Office 365: Anna desea obtener acceso a su correo electrnico corporativo. Sin embargo, dado
que su nuevo iPad an no est administrado, esta solicitud se redirige a Intune (paso 2).
A continuacin, Intune establece una relacin de administracin con el iPad de Anna (con su permiso,
desde luego) para permitir la administracin de este dispositivo, aplicando cualquier directiva que se haya
definido para los iPad (paso 3). Por ejemplo, los administradores podran haber especificado que para
formar parte del entorno corporativo el iPad debe tener definida una contrasea de desbloqueo, cifrar
los datos corporativos que almacena y contar con un correo electrnico administrado. Definir y aplicar
estas directivas se basa tanto en Azure AD como en Intune.
Ahora que el dispositivo est administrado, Anna puede tener acceso correcto a su correo electrnico
corporativo (paso 4). Antes de que pueda hacer esto, Azure AD e Intune funcionan en conjunto
para asegurarse de que Anna cumpla con otra directiva: la definida para esta aplicacin especfica.
Por ejemplo, una directiva de Exchange Online podra requerir que las solicitudes provengan de los
dispositivos administrados por Intune que aplicaron todas las actualizaciones disponibles. Este es
un ejemplo del acceso condicional, donde se permite que un usuario haga algo solo si se cumplen
varias condiciones: la identidad correcta, el tipo correcto de dispositivo con las caractersticas precisas
y quizs ms. El acceso condicional es una caracterstica poderosa y solo es posible cuando varios
servicios funcionan en conjunto, como en EMS. Esta sinergia es un aspecto esencial, y un claro beneficio,
de una solucin de nube unificada.
15
Figura 11: EMS protege la informacin corporativa al permitir su uso y copia solo dentro de un
entorno administrado, y al integrar controles de acceso directamente en los archivos cifrados.
Suponga que Anna recibe un correo electrnico corporativo con una
hoja de clculo de Excel adjunta (paso 1). Abre este archivo adjunto con
la aplicacin mvil Excel en el iPad e intenta copiar y pegar los datos de
la hoja de clculo en la aplicacin integrada Notas del iPad. Con EMS
en funcionamiento, este intento sera infructuoso (paso 2).
El motivo por el que falla es que Intune separa las aplicaciones
administradas en su iPad de las aplicaciones personales. Como muestra
la figura, las aplicaciones de Office de Anna estn todas marcadas
de iOS. Podr mover informacin entre aplicaciones administradas, como de la hoja de clculo de Excel
a un documento de Word, pero eso es todo. Y aunque no se muestre en la figura, las aplicaciones
administradas tambin pueden adquirirse de otros proveedores de software o personalizarse para
la organizacin; no se limita a usar las aplicaciones de Microsoft.
16
Solo Microsoft puede ofrecer este tipo de proteccin de la informacin para las aplicaciones mviles de
Office en dispositivos iPads y Android; ningn otro proveedor de MAM puede hacerlo. Y si Anna quiere
usar las aplicaciones mviles de Office para el trabajo de la empresa y personal, puede hacerlo. Todo lo
que debe hacer es iniciar sesin con otra identidad. Intune se asegurar de que las directivas corporativas
se apliquen a los datos corporativos, y dejar los datos personales sin alterar.
La proteccin de la informacin que ofrece Intune para dispositivos mviles es esencial, pero no
es suficiente. Suponga que Anna recibe un correo electrnico con otro archivo adjunto con datos
corporativos confidenciales (paso 3). Es posible que nunca lo abra en su iPad, pero imagine que lo reenva
accidentalmente a una persona fuera de la oficina, entonces? O bien, qu sucede si el archivo adjunto
se envi a Anna por error y no se supone que ella tenga acceso a este? Proporcionar proteccin de la
informacin de punto a punto requiere abordar estas preocupaciones.
Azure RMS se cre para resolver problemas como este. Si el archivo adjunto que Anna recibi est
protegido con Azure RMS, est cifrado, lo que quiere decir que ningn software puede abrirlo sin primero
comunicarse con este servicio en la nube (paso 4). Azure RMS usa la identidad de Anna, proporcionada
a travs de Azure AD, junto con la informacin en el documento protegido en s para determinar qu
derechos de acceso tiene. Por ejemplo, es posible que solo pueda leer este documento o leerlo y
modificarlo, o pueda hacer otras cosas, segn lo que haya permitido el creador del documento.
Azure RMS protege la informacin dondequiera que est. Intune protege la informacin cuando
se accede a esta desde dispositivos mviles. Estos dos componentes, junto con la informacin de
la identidad que entrega Azure AD, permiten que EMS proporcione proteccin de la informacin real
de punto a punto.
de Verizon
17
Detectar este tipo de amenaza requiere la seguridad impulsada por la identidad, algo que EMS
proporciona de varias maneras. Por ejemplo, Azure AD puede detectar autenticaciones anmalas
y advertirle al personal de seguridad sobre los riesgos (Figura 12).
Figura 12: Azure AD puede advertir sobre varios tipos de inicios de sesin falsos.
Imagine que un atacante compra el nombre y la contrasea de inicio de sesin de Anna en un sitio
de hackers y usa esta informacin para iniciar sesin en la organizacin (paso 1). Dado que Microsoft
supervisa estos sitios, Azure AD sabe que las credenciales de Anna estn disponibles en el mercado negro.
Cuando detecta este inicio de sesin, Azure AD le advierte al personal de seguridad sobre esta situacin
(paso 2). O imagine que otro atacante inicia sesin con las credenciales de Anna, pero el dispositivo
de cliente en que inicia sesin est infectado con malware (paso 3). Azure AD tambin puede advertir
al personal de seguridad sobre esta situacin (paso 4).
La capacidad de detectar estos tipos de actividad anmala de inicio de sesin es exclusiva de Azure AD,
y depende de los amplios recursos en la nube de Microsoft. La informacin que Microsoft obtiene de los
ataques en cualquiera de sus ofertas de la nube, Office 365, Azure, Xbox y otras, la recibe de Azure AD
para ayudarlo a que la empresa sea ms segura. Tambin es posible tomar medidas cuando se detecta
este tipo de problema. Por ejemplo, una vez que el personal de seguridad se entera de que las
credenciales de Anna fueron robadas, puede bloquear el acceso.
18
Azure AD tambin informa otros comportamiento inusuales. Si Anna inicia sesin en su cuenta desde
Los Angeles, California, y cinco minutos despus lo hace desde Lima, Per, claramente algo no est bien:
Azure AD lo informar. Tambin sealar comportamientos fuera de lo comn, como usar una tableta
Android por primera vez cuando Anna normalmente usa un iPad. Y, desde luego, Azure AD informa
sobre las preocupaciones habituales, como exceder el nmero de intentos de inicio de sesin.
Pero, imagine que un atacante se las arregla para superar todas estas barreras. De qu manera puede
detectarse este tipo de ataque una vez que se produjo el inicio de sesin? La respuesta depende de
reconocer que un atacante que usa una identidad robada se comporta distinto del propietario correcto de
esa identidad. ATA puede detectar estas diferencias y alertar al personal de seguridad sobre el problema
(Figura 13).
Figura 13: con ATA, EMS puede detectar y sealar la actividad sospechosa, alertando al personal
de seguridad cuando una cuenta podra estar en riesgo.
Imagine que Anna inicia sesin en Azure Active Directory (paso 1), y trabaja con su programa diario tpico.
Anna forma parte del departamento de recursos humanos, as es que es muy probable que acceda a la
aplicacin y los datos de recursos humanos de la organizacin (paso 2). Ahora imagine que un atacante
inicia sesin como Anna con sus credenciales robadas (paso 3). Tambin acceder a la mayora de los
recursos de RR. HH. durante el da de trabajo normal? Ciertamente no; en cambio, el atacante acceder
a otras aplicaciones y otros tipos de datos. Tambin es probable que lo haga en horarios diferentes, al
menos porque podra estar trabajando desde un huso horario distinto al otro lado del mundo (paso 4).
19
ATA puede detectar esta variacin del comportamiento. Al supervisar el trfico que entra y sale de
Active Directory local, usar la tecnologa de aprendizaje de la mquina para analizar este trfico, ATA
puede aprender rpidamente los patrones de acceso habituales de los usuarios. Cuando un usuario
se desva de estos patrones, como sucedi con Anna, ATA puede alertar al personal de seguridad
sobre la posible infraccin (paso 5).
Una vez que el atacante penetr la organizacin, por lo general merodea por meses en busca de
oportunidades. Con frecuencia, no es detectado hasta que ya aprovech estas oportunidades (y quizs
ni siquiera entonces). Usar ATA junto con los servicios de informes proporcionados por Azure AD puede
ayudarlo a detectar y detener estos ataques antes de que perjudiquen a la empresa. Con Azure AD en la
nube y ATA de forma local, EMS ofrece una solucin integral para la seguridad impulsada por la identidad.
Resumen
Microsoft Enterprise Mobility Suite permite que los empleados sean productivos con los dispositivos
que les encantan a la vez que protegen los activos de la empresa. Al trasladar los servicios locales a la nube,
EMS ayuda a que la organizacin sea ms productiva, est mejor administrada y sea ms segura en el
mundo actual donde las prioridades son la movilidad y la nube. Y al integrar estos servicios entre s y con
los activos locales, proporciona una solucin completa, a diferencia de cualquier oferta de la industria de
hoy en da. Al implementar EMS, puede mejorar un poco la vida de los empleados, los socios de negocio
y los clientes.
20