PROTEGER Y HABILITAR

A LA ORGANIZACIN CONECTADA
CON MICROSOFT ENTERPRISE MOBILITY SUITE (EMS)

Microsoft Corporation, noviembre de 2015

Contenido
Resumen ejecutivo .......................................................................................................................................... 3
Cul es el prximo paso: el control en la nube ........................................................................................... 4
Examinar el cambio: por qu se est produciendo? ................................................................................. 7
Administracin de la identidad ...............................................................................................................................................7
Administracin de dispositivos ...............................................................................................................................................9
Proteccin de la informacin ................................................................................................................................................ 11
Detectar a los atacantes antes del golpe: Advanced Threat Analytics ................................................................. 13
Escenarios: qu puede ofrecer EMS ............................................................................................................14
Productividad mvil administrada ...................................................................................................................................... 14
Proteccin de la informacin de punto a punto ........................................................................................................... 15
Seguridad impulsada por la identidad ............................................................................................................................. 17
Resumen .........................................................................................................................................................20

Resumen ejecutivo
Como lder de TI, la administracin de la identidad, la administracin de dispositivos, as como
la proteccin de la informacin son una parte importante de lo que hace. No obstante, se est
produciendo un gran cambio en las tres reas del que quizs no est al tanto.
Tradicionalmente, estas tres reas se basan en el software que se usa en su propia organizacin.
Esta era una buena solucin cuando las identidades, los dispositivos y la informacin tambin residan
en gran parte en la organizacin. Sin embargo, hoy en da, las personas que trabajan en la organizacin
llevan sus dispositivos mviles a todos lados, y estos se usan para obtener acceso a aplicaciones locales
y de software como un servicio (SaaS).
Los usuarios desean tener acceso a aplicaciones SaaS como Office 365, Salesforce.com y Box. Tambin
desean tener acceso a las aplicaciones personalizadas de la organizacin que se ejecutan en plataformas
en la nube, como Microsoft Azure y Amazon Web Services (AWS). Y desean poder hacer todo esto
desde sus dispositivos Windows, iOS y Android, ya sea que estn sentados en una la sala de conferencias
o esperando en una fila en Starbucks. Este es el mundo donde las prioridades son la movilidad y la nube
que espera el personal moderno.
De qu manera las soluciones locales existentes para administracin de la identidad, administracin
de dispositivos y proteccin de la informacin pueden abordar con eficacia este mundo moderno?
La respuesta es simple: no pueden. En cambio, el plano de control para todos estos servicios debe
trasladarse desde su propio centro de datos a la nube. Ello le permite ofrecer todo lo que esperan los
usuarios mientras entrega la proteccin y el control que necesita. Con la misma importancia, los servicios
que elija deben crearse desde cero para un mundo donde las prioridades son la movilidad y la nube.
Ningn otro enfoque funcionar porque los problemas que presenta este mundo difieren de los que
ha enfrentado tradicionalmente.
Estos servicios tambin deben funcionar bien en conjunto. Sin ellos no puede hacer cosas como otorgar
acceso a un usuario a una aplicacin solo si est utilizando un dispositivo configurado de forma correcta
en una ubicacin conocida. Es poco probable que tenga xito al intentar integrar usted mismo soluciones
de nube dispares. Necesita una solucin diseada para que funcione en conjunto.
Microsoft Enterprise Mobility Suite (EMS) se cre para ayudarlo a abordar esta transformacin hacia
los servicios integrados. Sus tres componentes principales (Microsoft Azure Active Directory Premium,
Microsoft Intune y Microsoft Azure Rights Management) se concibieron desde un principio como
servicios en la nube. Se crearon para que funcionen en conjunto, lo que entrega una familia de
tecnologa integrada nica en el mercado actual. Para detectar los ataques locales, EMS ahora incluye
Microsoft Advanced Threat Analytics. Con EMS, puede permitir que las personas sean productivas
con los dispositivos que les encantan a la vez que protegen los activos de la empresa.

EMS tambin funciona bien con las inversiones locales actuales. Azure Active Directory se conecta
a la perfeccin con Active Directory existente; por ejemplo, mientras Microsoft Intune se conecta
con System Center Configuration Manager para que funcione con todos los dispositivos de cliente.
Al usarse en conjunto, estas tecnologas integradas locales y en la nube pueden proteger y administrar
sus identidades y datos en todos los dispositivos, dondequiera que se encuentren.
El mundo de TI est cambiando, nuevamente, y todo lder de TI debe cambiar en consecuencia.
Microsoft EMS tiene un papel importante que desempear para guiarlo en este cambio.

Cul es el prximo paso: el control en la nube

Uno de los mayores desafos para los lderes de TI es reconocer los principales cambios tecnolgicos
y adaptar su organizacin para que se beneficie de ellos. En la actualidad, muchos de estos cambios
surgen de las demandas de empleados, socios y clientes que desean usar los dispositivos que les
encantan con el poder de la nube.
Un ejemplo importante de esto es el cambio que se produce en la manera en que administramos y
protegemos la identidad, los dispositivos y los datos. En el mundo previo a la nube, las tecnologas que
acostumbraban realizar estas tareas se ejecutaban exclusivamente en el entorno local (Figura 1). Dnde
ms se podran ejecutar? Antes de la llegada de la informtica en nube no haba una alternativa real.

Figura 1: la administracin de la identidad, la administracin de dispositivos y la proteccin

de la informacin se realizaron por completo dentro del entorno local de una organizacin.

El mundo era un lugar mucho ms sencillo entonces. La mayora de sus preocupaciones se enmarcaba
dentro del permetro de su red y estaba en gran parte bajo su control.
Esos das quedaron en el olvido. Hoy en da, todo lder de TI debe competir con un mundo mucho
ms complicado, uno que no solo incluye a clientes y servidores tradicionales, sino tambin dispositivos
mviles, plataformas de nube, aplicaciones SaaS y quizs mucho ms (Figura 2).

Figura 2: la informtica en la nube de hoy en da incluye aplicaciones SaaS, plataformas en la nube,

dispositivos mviles y quizs mucho ms.
Ahora los requisitos para la identidad son mucho ms exigentes. Los dispositivos que debe administrar
son ms diversos y con frecuencia estn fuera del permetro de su red. Y la informacin que debe
proteger no solo reside dentro del firewall, sino tambin en aquellos dispositivos y en la nube.

El enfoque tradicional para hacer todas estas actividades, que se basa nicamente en las tecnologas
locales, ya no funciona. En cambio, la organizacin debe trasladarse a una solucin basada en la nube
(Figura 3).

Figura 3: ahora las tecnologas principales para la administracin de la identidad (IM),

la administracin de dispositivos (DM) y la proteccin de la informacin (IP)
deben ejecutarse en la nube.
Las tecnologas locales existentes para trabajar con la identidad, los dispositivos y la informacin todava
son importantes y lo sern por algn tiempo. Sin embargo, sin las soluciones de nube simplemente no
puede resolver los desafos que plantea el mundo moderno. Debido a esto, se espera que se enfoque en
todas estas reas para cambiar del enfoque local que podra estar usando en la actualidad a un nuevo
centro en la nube.
Para ayudarlo a abordar este cambio, Microsoft cre Enterprise Mobility Suite (EMS). De manera individual,
los componentes en EMS ofrecen soluciones en la nube para la administracin de identidades y de
dispositivos, la proteccin de la informacin y mucho ms. Al usarlas en conjunto, estas tecnologas
son incluso ms eficaces, lo que permite cosas como el acceso condicional, donde puede prohibirse
la capacidad de un usuario de tener acceso a la informacin segn quin sea, dnde se encuentre
y el dispositivo que est usando, entre otros factores.
La celeridad con que cambie las soluciones de identidad y administracin a la nube depende de usted.
Lo que ahora importa es que se d cuenta de por qu se est produciendo este cambio y comprenda
lo que debe hacer para beneficiarse del mismo. Lo siguiente explica este proceso y demuestra cmo
Microsoft EMS admite esta transicin.

Examinar el cambio: por qu se est produciendo?

Administrar la identidad, administrar dispositivos, proteger la informacin: ninguna de estas tareas
es simple. Para comprender los problemas y captar por qu son esenciales las soluciones en la nube,
debemos guiarlo un paso a la vez. Tambin necesitamos echar un vistazo a la forma en que los
componentes de EMS abordan todas estas reas.

Administracin de la identidad
Todo usuario desea un inicio de sesin nico (SS) en aplicaciones mltiples. Todos detestamos tener
que recordar diferentes nombres y contraseas de inicio de sesin. Es por este motivo que nuestras
organizaciones han usado por bastante tiempo las tecnologas de administracin de la identidad,
como Active Directory.
Pero, con la popularidad cada vez mayor de las aplicaciones SaaS, ya no basta con confiar solo en la
administracin de la identidad local. El motivo es simple: para proporcionar SSO, una tecnologa local
como Active Directory debe contener cada una de las aplicaciones a las que desean tener acceso los
usuarios. Si todas esas aplicaciones estn en su propio centro de datos, es fcil de hacer: cada aplicacin
se conecta con su instancia local de Active Directory. A medida que ms aplicaciones migran a la nube,
surgen los problemas. Si todas las aplicaciones SaaS se conectan directamente con cada tecnologa de
administracin de identidad local de la empresa, el resultado es el caos (Figura 4). Esta es exactamente
la situacin en que se encuentran muchas organizaciones hoy en da.

Figura 4: crear una conexin directa entre la solucin de administracin de la identidad

de cada organizacin y cada aplicacin SaaS se tornara demasiado compleja
de administrar muy rpidamente.

Un enfoque ms simple es usar una solucin en la nube para la administracin de la identidad:

Microsoft Azure Active Directory (AD) Premium. El servicio de directorio local todava es esencial,
pero ahora se conecta solo con Azure AD. Azure AD, a su vez, puede conectarse directamente
con cada aplicacin SaaS (Figura 5).

Figura 5: la administracin de la identidad basada en la nube con Azure Active Directory simplifica
enormemente la administracin del inicio de sesin nico en las aplicaciones SaaS.
El resultado es SSO sin el caos. Las identidades de los usuarios
todava provienen de su propio servicio de directorio (usted an
tiene el control), pero al explotar el poder la nube, les ha otorgado
acceso fcil a las aplicaciones locales y SaaS con un inicio de sesin
nico. Ha mejorado la vida de los usuarios y la ha simplificado
para los administradores de TI.

Ms de un 80 % de los
empleados admite el uso
de aplicaciones SaaS no
aprobadas en sus trabajos
Stratecast, Frost & Sullivan

Azure AD actualmente ofrece SSO a ms de 2500 aplicaciones en

la nube, incluidos Office 365, Salesforce.com, Dropbox, Workday
y ServiceNow. Estos servicios brindan mucho ms que un inicio
de sesin nico, tambin ofrecen:

La verdad oculta detrs del TI en la

sombra: seis tendencias que afectan la
postura de seguridad

La compatibilidad de la autenticacin multifactor (MFA) que le permite exigir a los usuarios

que proporcionen una contrasea y algo ms, como un cdigo enviado a su telfono mvil,
para iniciar sesin.

Una herramienta para detectar qu aplicaciones SaaS estn usando realmente los empleados
(podra sorprenderse).

El acceso remoto seguro a las aplicaciones locales sin usar una red privada virtual (VPN).

La integracin con algunas de las aplicaciones SaaS ms populares, incluidas Salesforce, Workday
y otras que van ms all de SSO; por ejemplo, puede agregar automticamente a un usuario
a estas aplicaciones cuando se agregue un usuario nuevo a Azure AD.

Administracin de dispositivos
La movilidad es el nuevo modelo. Debido a esto, administrar dispositivos mviles como telfonos
y tabletas ahora es esencial para la mayora de las organizaciones. Es importante que usted mismo
administre los dispositivos, lo que se denomina comnmente administracin de dispositivos mviles
(MDM), as como tambin las aplicaciones que incluyen, lo que se conoce como administracin de
aplicaciones mviles (MAM).

El cincuenta y dos por ciento

de los trabajadores de la
informacin de 17 pases

Los dispositivos mviles se popularizaron antes del surgimiento

de la informtica en la nube, y las soluciones MDM y MAM
tradicionales de punto de ejecutaban localmente. Esto tena
sentido siempre que las aplicaciones a las que tenan acceso

informan del uso de tres o ms

los usuarios desde estos dispositivos mviles se ejecutaran de

dispositivos para trabajar

manera local. Sin embargo, en la actualidad esas aplicaciones

Forrester Research

tienen por lo menos las mismas probabilidades de ejecutarse

BT Futures Report: Info workers will erase

dispositivos an se ejecuta de manera local, es comn que se le

boundary between enterprise & consumer

exija enrutar las comunicaciones entre dispositivos y aplicaciones

technologies

a travs de los servidores locales (Figura 6).

en la nube. No obstante, si la solucin de administracin de

Figura 6: a menudo, las soluciones tradicionales para MDM y MAM requieren que la comunicacin
entre dispositivos mviles y aplicaciones en la nube pasen por un cuello de botella local.

Como muestra la figura, una solucin de administracin de dispositivos normalmente implementa

la directivas en los dispositivos que administra (paso 1). Una vez que las directivas estn en vigor,
las aplicaciones de los dispositivos administrados pueden tener acceso a aplicaciones locales y SaaS.
Toda esa comunicacin, incluso con las aplicaciones SaaS, se enruta comnmente a travs de la solucin
de administracin de dispositivos local.
Este enfoque plantea algunas preocupaciones evidentes, incluido el rendimiento y la escalabilidad.
Por qu limitar la velocidad de la interaccin entre los dispositivos y las aplicaciones en la nube
en funcin de la capacidad de la solucin de administracin de dispositivos local? Por qu exigirle
a su propia organizacin de TI que se preocupe de escalar para lograr este fin? Tiene ms sentido
mover la administracin de dispositivos a la nube, tanto MDM y MAM (Figura 7).

Figura 7: al ofrecer MDM y MAM como un servicio en la nube, Microsoft Intune proporciona
un enfoque ms sencillo y sensible.
Con este enfoque, ejemplificado por Microsoft Intune, los dispositivos mviles an reciben las directivas
implementadas por la solucin de administracin de dispositivos (paso 1). Sin embargo, una vez que
estas directivas estn en vigor, las aplicaciones de estos dispositivos pueden comunicarse directamente
con aplicaciones locales y en la nube (paso 2). Adis al cuello de botella local.

10

Trasladar la administracin de dispositivos a la nube tambin tiene otros beneficios. Por ejemplo,
en lugar de exigirle que ejecute y administre sus propios servidores y software para la administracin
de dispositivos, Microsoft Intune lo hace por usted. Piense en el desafo de actualizar el software de
administracin de dispositivos, iOS, Android y Windows se actualizan con frecuencia, a menudo de formas
que afectan la manera en que se administran estos dispositivos. Esto exige actualizaciones al software
de administracin de dispositivos que aprovechan estas caractersticas nuevas. Con la administracin de
dispositivos local, los proveedores de MSM y MAM deben enviar nuevas revisiones a cada cliente, lo que
toma tiempo. Todos los clientes, incluido usted, deben volver a instalar y probar estas revisiones, lo que
toma ms tiempo. Multiplique esto por el nmero de diferentes sistemas operativos mviles que admite,
y el resultado ser claro: probablemente nunca estar al da.
Con la administracin de dispositivos en la nube, este problema desaparece. Por ejemplo, cuando se
implementa una nueva versin de iOS, Microsoft actualiza el servicio en la nube de Intune para admitir
cualquier cambio que pueda traer esta actualizacin. Siempre estar al da y nunca deber preocuparse
de instalar revisiones.
Microsoft Intune tambin entrega otros beneficios, entre ellos:

La capacidad nica para administrar y proteger eficazmente las aplicaciones mviles de Office
en los dispositivos iOS, Android y Windows de los usuarios (examinaremos con mayor detalle
lo que esto significa ms adelante).

La capacidad de borrar de forma selectiva toda la informacin corporativa del dispositivo de

un usuario, a la vez que se dejan intactos los datos personales; por ejemplo, podra hacer esto
cuando un empleado deja la organizacin o cuando el dispositivo deja de estar en cumplimiento.

Una solucin de administracin de punto final unificada que le permite administrar

los dispositivos mviles y equipos de escritorio de la organizacin en el mismo entorno
administrativo; este se basa en la estrecha integracin que cre Microsoft entre Intune
y System Center Configuration Manager.

Proteccin de la informacin
A quin se le permite tener acceso a un documento especfico? Qu tipo de acceso se permite: lectura,
edicin o algo ms? Cmo se asegura de que los datos estn protegidos desde el nacimiento y que
la proteccin acompaa a los datos dondequiera que vayan? Ofrecer este tipo de control era importante
incluso antes de la llegada de los dispositivos mviles y la informtica en la nube. En un mundo donde las
prioridades son la movilidad y la nube, con los usuarios y las aplicaciones extendidos por todo el planeta,
esto importa mucho ms.

11

Este estilo de proteccin de la informacin se ofreca tradicionalmente en las soluciones

locales. Por ejemplo, Microsoft ha ofrecido lo que ahora se conoce como Active Directory
Rights Management Services por varios aos. No obstante, abordar este problema con
una solucin local tiene limitaciones (Figura 8).

Figura 8: basarse en la tecnologa local para la proteccin de la informacin requiere

configurar manualmente las conexiones punto a punto para la administracin
de la identidad entre organizaciones individuales.
Suponga que dos organizaciones, A y B, desean compartir un documento protegido. Quizs solo un
grupo determinado de personas en cada empresa puede leerlo, as es que cualquier intento de abrirlo
debe comprobarse mediante un servicio de proteccin de la informacin. La tecnologa de la proteccin
de la informacin local puede resolver este problema, pero lograrlo exige configurar una relacin de
punto a punto entre las soluciones de administracin de la identidad en que se basan las tecnologas de
proteccin de la informacin. Tomarse todas estas molestias solo para compartir documentos protegidos
con frecuencia no se consideraba una tarea prctica, y compartir documentos entre los lmites de la
organizacin no era tan seguro como deba. Sin embargo, con la solucin de la nube, conseguirlo es
mucho ms simple (Figura 9).

Figura 9: usar una solucin de nube compartida para la administracin de la identidad y la

proteccin de la informacin mejora considerablemente el control del acceso a los documentos.

12

Como muestra la figura, las dos organizaciones ya no necesitan configurar conexiones directas entre s.
En cambio, pueden conectarse a los servicios en la nube, Azure AD y Azure Rights Management (RMS),
solo una vez. Independientemente de la cantidad de organizaciones con la que comparta documentos,
debe conectarse solo una vez a los servicios en la nube. Con este modelo, desaparece la complejidad
que plagaba el uso compartido de documentos protegidos entre organizaciones.
Azure RMS tambin entrega otros beneficios, entre ellos:

La compatibilidad de plantillas de directivas personalizadas, lo que permite definir las directivas

para el uso compartido de documentos protegidos; por ejemplo, una organizacin podra definir
una plantilla que restringe el acceso a un documento especfico solo a las personas en su grupo
de marketing.

El seguimiento de documentos que supervisa los intentos de acceso correctos e incorrectos

de los destinatarios a un documento protegido, lo que les brinda a los propietarios de los
documentos informacin sobre la forma en que se usa el documento (o hace mal uso de este);
tambin ofrece la capacidad de revocar el acceso a un documento.

La opcin de cifrar los documentos con su propia clave en lugar de una ofrecida por Microsoft.

Detectar a los atacantes antes del golpe: Advanced Threat Analytics

Partes importantes de la infraestructura, como la administracin de la identidad, la administracin
de dispositivos y la proteccin de la informacin, se estn trasladando a la nube. Pero esto no hace
que proteger el entorno local sea menos importante. Microsoft reconoce esto, motivo por el cual
EMS tambin incorpora Advanced Threat Analytics (ATA).
ATA no se ejecuta en la nube: funciona por completo dentro de la organizacin, y su objetivo
es ayudarlo a identificar las actividades sospechosas antes de que provoquen daos. Para ello,
crea un mapa de todas las relaciones entre usuarios, dispositivos y recursos. Por ejemplo, ATA lleva
un control de los dispositivos que usan normalmente los empleados, a qu recursos acceden
(incluidas las aplicaciones) y los horarios en que tienen lugar los accesos. Si de improviso un
usuario comienza a acceder a aplicaciones poco comunes desde distintos dispositivos en horarios
poco habituales, ATA advertir al personal de seguridad, quienes pueden investigar la situacin.
Es posible que el atacante haya asumido la identidad del usuario, probablemente para robar
su nombre de usuario y contrasea.
En lugar de esperar que un atacante dae a la organizacin, ATA lo ayuda a detectar los ataques
mucho antes. Esta oferta tambin ayuda a la organizacin de otras maneras, como detectar los
ataques malintencionados conocidos. Y mientras ATA funciona de forma local, puede licenciarse
como parte de EMS.

13

Escenarios: qu puede ofrecer EMS

Al considerarse individualmente, existe un razonamiento atractivo para realizar la administracin
de la identidad, la administracin de dispositivos y la proteccin de la informacin en la nube.
Pero el razonamiento se fortalece an ms cuando estos servicios en la nube se usan en conjunto,
como lo estn en EMS. Para demostrarle por qu esto es vlido, examinaremos tres escenarios:

Productividad mvil administrada

Proteccin de la informacin de punto a punto

Seguridad impulsada por la identidad

Productividad mvil administrada

Usamos dispositivos mviles porque nos permiten ser mucho ms productivos de forma mvil. Pero si
estos dispositivos no se pueden administrar eficazmente, la compensacin no vale la pena; los riesgos
son muy altos. Debido a esto, debe pensar en la productividad mejorada y la administracin eficaz como
un solo objetivo. Lo que necesita es la productividad mvil administrada.
Para ver cmo Microsoft EMS hace que esto sea posible, comenzaremos a examinar un ejemplo de cmo
un usuario actual (por ejemplo, Anna), agrega un iPad nuevo a la red corporativa (Figura 10).

Figura 10: EMS puede inscribir automticamente un dispositivo y hacer cumplir las directivas
para obtener acceso a las aplicaciones.

14

La identidad es la base de todo, as es que el proceso comienza con el inicio de sesin de Anna en
Azure AD (paso 1). Es posible que el iPad que est utilizando sea de su propiedad o podra ser uno que
le haya entregado la organizacin. En cualquiera de estos casos, lo primero que hace despus de iniciar
sesin es intentar acceder a una aplicacin SaaS. En este ejemplo, esa aplicacin es Exchange Online,
parte de Office 365: Anna desea obtener acceso a su correo electrnico corporativo. Sin embargo, dado
que su nuevo iPad an no est administrado, esta solicitud se redirige a Intune (paso 2).
A continuacin, Intune establece una relacin de administracin con el iPad de Anna (con su permiso,
desde luego) para permitir la administracin de este dispositivo, aplicando cualquier directiva que se haya
definido para los iPad (paso 3). Por ejemplo, los administradores podran haber especificado que para
formar parte del entorno corporativo el iPad debe tener definida una contrasea de desbloqueo, cifrar
los datos corporativos que almacena y contar con un correo electrnico administrado. Definir y aplicar
estas directivas se basa tanto en Azure AD como en Intune.
Ahora que el dispositivo est administrado, Anna puede tener acceso correcto a su correo electrnico
corporativo (paso 4). Antes de que pueda hacer esto, Azure AD e Intune funcionan en conjunto
para asegurarse de que Anna cumpla con otra directiva: la definida para esta aplicacin especfica.
Por ejemplo, una directiva de Exchange Online podra requerir que las solicitudes provengan de los
dispositivos administrados por Intune que aplicaron todas las actualizaciones disponibles. Este es
un ejemplo del acceso condicional, donde se permite que un usuario haga algo solo si se cumplen
varias condiciones: la identidad correcta, el tipo correcto de dispositivo con las caractersticas precisas
y quizs ms. El acceso condicional es una caracterstica poderosa y solo es posible cuando varios
servicios funcionan en conjunto, como en EMS. Esta sinergia es un aspecto esencial, y un claro beneficio,
de una solucin de nube unificada.

Proteccin de la informacin de punto a punto

Una vez que Anna tiene acceso a Exchange Online, comenzar a recibir su correo electrnico corporativo.
Aun cuando est usando su iPad para este fin, quizs desde el saln de un aeropuerto o desde otro lugar
pblico, su correo incluye informacin que la organizacin debe proteger. Necesita una manera de evitar
que enve (accidental o deliberadamente) esta informacin a extraos, como a travs del correo
electrnico o al copiar en aplicaciones no aprobadas. Necesita proteccin de la informacin de punto a
punto. EMS puede ofrecer esta caracterstica mediante Azure AD, Intune y Azure RMS, los que funcionan
en conjunto (Figura 11).

15

Figura 11: EMS protege la informacin corporativa al permitir su uso y copia solo dentro de un
entorno administrado, y al integrar controles de acceso directamente en los archivos cifrados.
Suponga que Anna recibe un correo electrnico corporativo con una

El sesenta y un por ciento

de los trabajadores
mezcla tareas personales
y laborales en sus
dispositivos
Forrester

hoja de clculo de Excel adjunta (paso 1). Abre este archivo adjunto con
la aplicacin mvil Excel en el iPad e intenta copiar y pegar los datos de
la hoja de clculo en la aplicacin integrada Notas del iPad. Con EMS
en funcionamiento, este intento sera infructuoso (paso 2).
El motivo por el que falla es que Intune separa las aplicaciones
administradas en su iPad de las aplicaciones personales. Como muestra
la figura, las aplicaciones de Office de Anna estn todas marcadas

BT Futures Report: Info workers will

erase boundary between enterprise
& consumer technologies

como administradas, lo que significa que los datos de estas

aplicaciones no pueden copiarse a aplicaciones no administradas.
En este ejemplo, la opcin Pegar simplemente no aparecer cuando
intente mover datos de la hoja de clculo de Excel a la aplicacin Notas

de iOS. Podr mover informacin entre aplicaciones administradas, como de la hoja de clculo de Excel
a un documento de Word, pero eso es todo. Y aunque no se muestre en la figura, las aplicaciones
administradas tambin pueden adquirirse de otros proveedores de software o personalizarse para
la organizacin; no se limita a usar las aplicaciones de Microsoft.

16

Solo Microsoft puede ofrecer este tipo de proteccin de la informacin para las aplicaciones mviles de
Office en dispositivos iPads y Android; ningn otro proveedor de MAM puede hacerlo. Y si Anna quiere
usar las aplicaciones mviles de Office para el trabajo de la empresa y personal, puede hacerlo. Todo lo
que debe hacer es iniciar sesin con otra identidad. Intune se asegurar de que las directivas corporativas
se apliquen a los datos corporativos, y dejar los datos personales sin alterar.
La proteccin de la informacin que ofrece Intune para dispositivos mviles es esencial, pero no
es suficiente. Suponga que Anna recibe un correo electrnico con otro archivo adjunto con datos
corporativos confidenciales (paso 3). Es posible que nunca lo abra en su iPad, pero imagine que lo reenva
accidentalmente a una persona fuera de la oficina, entonces? O bien, qu sucede si el archivo adjunto
se envi a Anna por error y no se supone que ella tenga acceso a este? Proporcionar proteccin de la
informacin de punto a punto requiere abordar estas preocupaciones.
Azure RMS se cre para resolver problemas como este. Si el archivo adjunto que Anna recibi est
protegido con Azure RMS, est cifrado, lo que quiere decir que ningn software puede abrirlo sin primero
comunicarse con este servicio en la nube (paso 4). Azure RMS usa la identidad de Anna, proporcionada
a travs de Azure AD, junto con la informacin en el documento protegido en s para determinar qu
derechos de acceso tiene. Por ejemplo, es posible que solo pueda leer este documento o leerlo y
modificarlo, o pueda hacer otras cosas, segn lo que haya permitido el creador del documento.
Azure RMS protege la informacin dondequiera que est. Intune protege la informacin cuando
se accede a esta desde dispositivos mviles. Estos dos componentes, junto con la informacin de
la identidad que entrega Azure AD, permiten que EMS proporcione proteccin de la informacin real
de punto a punto.

Seguridad impulsada por la identidad

Todo lo descrito hasta ahora se basa en la identidad. Intune
usa la identidad de Anna para decidir qu directivas se
aplican a su dispositivo, y Azure RMS decide qu nivel de
acceso tiene a un documento protegido segn su identidad.

El setenta y cinco por ciento de

las intrusiones en la red explotan
debilidades o credenciales robadas.
Informe de investigacin de filtracin de datos

La identidad es central para todo lo que hace EMS.

de Verizon

Pero, qu sucede si un atacante puede poner en riesgo la

identidad de Anna? Imagine que elige una contrasea fcil
de adivinar o alguien roba sus credenciales a travs de la ingeniera social. Este es exactamente el tipo
de ataque utilizado en varias filtraciones de alto perfil: es una amenaza real.

17

Detectar este tipo de amenaza requiere la seguridad impulsada por la identidad, algo que EMS
proporciona de varias maneras. Por ejemplo, Azure AD puede detectar autenticaciones anmalas
y advertirle al personal de seguridad sobre los riesgos (Figura 12).

Figura 12: Azure AD puede advertir sobre varios tipos de inicios de sesin falsos.
Imagine que un atacante compra el nombre y la contrasea de inicio de sesin de Anna en un sitio
de hackers y usa esta informacin para iniciar sesin en la organizacin (paso 1). Dado que Microsoft
supervisa estos sitios, Azure AD sabe que las credenciales de Anna estn disponibles en el mercado negro.
Cuando detecta este inicio de sesin, Azure AD le advierte al personal de seguridad sobre esta situacin
(paso 2). O imagine que otro atacante inicia sesin con las credenciales de Anna, pero el dispositivo
de cliente en que inicia sesin est infectado con malware (paso 3). Azure AD tambin puede advertir
al personal de seguridad sobre esta situacin (paso 4).
La capacidad de detectar estos tipos de actividad anmala de inicio de sesin es exclusiva de Azure AD,
y depende de los amplios recursos en la nube de Microsoft. La informacin que Microsoft obtiene de los
ataques en cualquiera de sus ofertas de la nube, Office 365, Azure, Xbox y otras, la recibe de Azure AD
para ayudarlo a que la empresa sea ms segura. Tambin es posible tomar medidas cuando se detecta
este tipo de problema. Por ejemplo, una vez que el personal de seguridad se entera de que las
credenciales de Anna fueron robadas, puede bloquear el acceso.

18

Azure AD tambin informa otros comportamiento inusuales. Si Anna inicia sesin en su cuenta desde
Los Angeles, California, y cinco minutos despus lo hace desde Lima, Per, claramente algo no est bien:
Azure AD lo informar. Tambin sealar comportamientos fuera de lo comn, como usar una tableta
Android por primera vez cuando Anna normalmente usa un iPad. Y, desde luego, Azure AD informa
sobre las preocupaciones habituales, como exceder el nmero de intentos de inicio de sesin.
Pero, imagine que un atacante se las arregla para superar todas estas barreras. De qu manera puede
detectarse este tipo de ataque una vez que se produjo el inicio de sesin? La respuesta depende de
reconocer que un atacante que usa una identidad robada se comporta distinto del propietario correcto de
esa identidad. ATA puede detectar estas diferencias y alertar al personal de seguridad sobre el problema
(Figura 13).

Figura 13: con ATA, EMS puede detectar y sealar la actividad sospechosa, alertando al personal
de seguridad cuando una cuenta podra estar en riesgo.
Imagine que Anna inicia sesin en Azure Active Directory (paso 1), y trabaja con su programa diario tpico.
Anna forma parte del departamento de recursos humanos, as es que es muy probable que acceda a la
aplicacin y los datos de recursos humanos de la organizacin (paso 2). Ahora imagine que un atacante
inicia sesin como Anna con sus credenciales robadas (paso 3). Tambin acceder a la mayora de los
recursos de RR. HH. durante el da de trabajo normal? Ciertamente no; en cambio, el atacante acceder
a otras aplicaciones y otros tipos de datos. Tambin es probable que lo haga en horarios diferentes, al
menos porque podra estar trabajando desde un huso horario distinto al otro lado del mundo (paso 4).

19

ATA puede detectar esta variacin del comportamiento. Al supervisar el trfico que entra y sale de
Active Directory local, usar la tecnologa de aprendizaje de la mquina para analizar este trfico, ATA
puede aprender rpidamente los patrones de acceso habituales de los usuarios. Cuando un usuario
se desva de estos patrones, como sucedi con Anna, ATA puede alertar al personal de seguridad
sobre la posible infraccin (paso 5).
Una vez que el atacante penetr la organizacin, por lo general merodea por meses en busca de
oportunidades. Con frecuencia, no es detectado hasta que ya aprovech estas oportunidades (y quizs
ni siquiera entonces). Usar ATA junto con los servicios de informes proporcionados por Azure AD puede
ayudarlo a detectar y detener estos ataques antes de que perjudiquen a la empresa. Con Azure AD en la
nube y ATA de forma local, EMS ofrece una solucin integral para la seguridad impulsada por la identidad.

Resumen
Microsoft Enterprise Mobility Suite permite que los empleados sean productivos con los dispositivos
que les encantan a la vez que protegen los activos de la empresa. Al trasladar los servicios locales a la nube,
EMS ayuda a que la organizacin sea ms productiva, est mejor administrada y sea ms segura en el
mundo actual donde las prioridades son la movilidad y la nube. Y al integrar estos servicios entre s y con
los activos locales, proporciona una solucin completa, a diferencia de cualquier oferta de la industria de
hoy en da. Al implementar EMS, puede mejorar un poco la vida de los empleados, los socios de negocio
y los clientes.

20