Guía de seguridad
BES12
Versión 12.4
Seguridad de BES12 ...6
Novedades ... 6
Características de seguridad del dispositivo ... 8
Características de seguridad que se aplican a todos los dispositivos...8
Características de seguridad para dispositivos con BlackBerry 10 dispositivos... 9
Características de seguridad para PRIV de BlackBerry ...10
Características de seguridad para todos los dispositivos iOS, OS X, Android y Windows ...12
Características compatibles nativas en iOS y en Android ...13
Características de seguridad para dispositivos Samsung que utilizan KNOX MDM...13
Características de seguridad para dispositivos Samsung con KNOX Workspace ...14
Verificación de Trusted Boot... 15
Compatibilidad con TIMA (TrustZone-base Integrity Measurement Architecture)... 16
Características de seguridad para dispositivos Android for Work ... 16
Características de seguridad para dispositivos con Secure Work Space ...17
Uso de la aplicación Good for BES12 o BES12 Client ... 20
Uso de BES12 para administrar la seguridad de los dispositivos ...21
Activación de dispositivos... 21
Cómo protegen los espacios de trabajo las aplicaciones y los datos de trabajo...22
Espacios de trabajo en los dispositivos con BlackBerry 10 ... 22
Secure Work Space para dispositivos iOS y Android ... 27
Protección de los datos con cifrado... 28
Cifrado de datos en los dispositivos con BlackBerry 10 ... 29
Cifrado de datos en Secure Work Space ... 33
Administración de aplicaciones en dispositivos... 35
Control de las aplicaciones personales en los dispositivos...35
Administración de las aplicaciones de trabajo en los dispositivos con BlackBerry 10 ... 36
Aplicaciones de productividad de Good Dynamics ...41
Aplicaciones protegidas en los dispositivos con Secure Work Space ...41
Contraseñas... 45
Cambio de las contraseñas... 45
Contraseñas de los dispositivos con BlackBerry 10 ...48
Borrado de los dispositivos iOS, OS X, Android y Windows ...58
Eliminación de los datos de trabajo de los dispositivos con BlackBerry 10 ... 59
Borrado de los datos de trabajo de los dispositivos iOS, OS X, Android y Windows ...61
Garantía del cumplimiento de los dispositivos...63
Garantía de la integridad del dispositivo con BlackBerry 10 ... 64
Protección de los dispositivos con Secure Work Space contra jailbreak o rooting...64
Cómo impedir que los usuarios instalen aplicaciones específicas...65
Buscando dispositivos... 65
Uso de las políticas de TI para administrar los dispositivos... 66
Restricción o autorización de las capacidades del dispositivo... 66
Control de las características de los dispositivos con BlackBerry 10 ...67
Administración del modo en que los dispositivos utilizan las tarjetas inteligentes...72
Control del acceso de BlackBerry Link a los dispositivos... 74
Cómo protege BES12 los datos en tránsito... 75
Protección de los datos en tránsito a través de BlackBerry Infrastructure ... 75
Protección de los datos de administración del dispositivo enviados entre BES12 y los dispositivos...76
Envío de datos de administración del dispositivo entre los dispositivos y BES12 ... 76
Tipos de cifrado utilizados para enviar datos de administración del dispositivo a los dispositivos... 77
Cómo se autentica BES12 con BlackBerry Infrastructure ...77
Flujo de datos: autenticación de BES12 con BlackBerry Infrastructure cuando se envían datos de administración del dispositivo...78
Flujo de datos: autenticación de BES12 con BlackBerry Infrastructure al enviar datos de trabajo a los dispositivos....78
Cómo se conectan los dispositivos a BlackBerry Infrastructure ...79
Cifrado de la conexión con BlackBerry Infrastructure ...80
Flujo de datos: apertura de una conexión TLS entre BlackBerry Infrastructure y un dispositivo... 80
Cómo se conectan los dispositivos a los recursos...80
Protección de los datos de trabajo en tránsito entre dispositivos con BlackBerry 10 y sus recursos ...81
Protección de los datos de trabajo en tránsito entre dispositivos con Secure Work Space y sus recursos...87
Protección de los datos de trabajo en tránsito mediante BlackBerry Secure Connect Plus ... 89
Conexión a una VPN... 90
Protección de la comunicación con dispositivos mediante certificados... 92
Integración de certificados de cliente en los dispositivos... 92
Uso de SCEP para inscribir certificados de cliente en los dispositivos...94
Integración en los dispositivos de acceso de registro único a la red de su empresa...102
Uso de Kerberos para proporcionar un registro único desde los dispositivos...103
Protección de las conexiones a BES12 con BlackBerry Router ...104
Uso de BlackBerry Router o un servidor proxy con BES12 ...104
Instalación de BES12 en una DMZ... 105
Seguridad del dispositivo con BlackBerry OS...107
Glosario...109
Aviso legal... 113
Seguridad de BES12
BES12 incluye muchas características que ayudan a proporcionar seguridad, privacidad y continuidad a la empresa, tales como:
• Cifrado para mantener sus datos protegidos mientras se encuentran en tránsito
• Modelo de desarrollo de software que se centra en la seguridad
• Arquitectura diseñada para proporcionar un vínculo seguro entre el correo de la empresa y los servidores y dispositivos de contenido
• Certificado FIPS. Cada instancia de BES12 cifra todos los datos que guarda directamente y escribe indirectamente en los archivos mediante un módulo de cifrado validado mediante FIPS.
Novedades
En la tabla siguiente se enumeran las características de seguridad actualizadas de la versión 12.4 de BES12 que se describen en este documento:
Función Descripción
Compatibilidad con dispositivos OS X
BES12 es ahora compatible con equipos Mac con OS X (versión 10.8 y posteriores).
Compatibilidad con Good Dynamics
BES12 ahora proporciona acceso a los dispositivos iOS y Android a las aplicaciones de productividad de Good Dynamics.
Copias de seguridad de los datos de trabajo
Los usuarios de dispositivos con BlackBerry 10 ahora pueden realizar copias de seguridad y restaurar aplicaciones y datos de trabajo en los dispositivos con BlackBerry Link. Puede utilizar BES12 para generar y enviar claves de cifrado a los dispositivos y controlar el acceso de BlackBerry Link a las aplicaciones y los datos de trabajo.
Compatibilidad de BlackBerry Secure Connect Plus con los dispositivos iOS
Esta versión incorpora compatibilidad con los dispositivos iOS con iOS 9 y posteriores con el tipo de activación "Controles de MDM". Puede permitir que todas las aplicaciones de los dispositivos iOS utilicen el túnel seguro, o bien puede especificar aplicaciones mediante una VPN por aplicación.
Compatibilidad con el software de PKI de OpenTrust
Si la empresa utiliza el software de OpenTrust para proporcionar servicios de PKI, podrá ampliar la autenticación basada en certificados a los dispositivos que administra con BES12. Puede configurar una conexión con OpenTrust PKI o OpenTrust CMS y utilizar
1
Función Descripción Restricción de paquetes cifrados
en los dispositivos con BlackBerry 10
BES12 le permite restringir qué paquetes cifrados de la biblioteca SSL deben ser compatibles con los dispositivos con BlackBerry 10. Puede hacer esto si desea anular la compatibilidad de un paquete cifrado que tiene una vulnerabilidad de seguridad y los recursos de su empresa no requieren este paquete cifrado para la comunicación.
Búsqueda de los dispositivos Android
Los perfiles de servicios de ubicación son ahora compatibles con los dispositivos Android.
Características de seguridad del dispositivo
BES12 administra las características de seguridad de los dispositivos con BlackBerry 10, BlackBerry OS (versión 5.0 a 7.1), iOS, OS X, Android y Windows.
Cada tipo de dispositivo proporciona su propio conjunto de características de seguridad que BES12 puede ayudarle a gestionar.
Características de seguridad que se aplican a todos los dispositivos
Las características de seguridad siguientes son comunes a todos los dispositivos y opciones de administración de dispositivos:
Función Descripción
Comandos de administración Todos los dispositivos le permiten tanto a usted como a un usuario bloquear el dispositivo, cambiar la contraseña del mismo y eliminar la información que contiene. Algunas
opciones de administración del dispositivo son compatibles con comandos de administración adicionales.
Contraseña y controles del dispositivo
Todos los dispositivos permiten configurar los requisitos de la contraseña y desactivar las funciones del dispositivo mediante las reglas de políticas de TI, por ejemplo, la cámara.
Algunas opciones de administración del dispositivo proporcionan conjuntos mejorados de políticas de TI para disponer de un control más exhaustivo.
Control de la conectividad de red Todos los dispositivos son compatibles con perfiles Wi-Fi, lo cual permite controlar el modo en que los dispositivos pueden conectarse a la red de la empresa mediante Wi-Fi.
Algunas opciones de administración del dispositivo también son compatibles con la conectividad VPN y de la empresa a través de BlackBerry Infrastructure.
Conformidad Todas las opciones de administración son compatibles con la aplicación de los requisitos de la empresa para los dispositivos, por ejemplo, indicar qué aplicaciones deben
instalarse. En algunos dispositivos también se pueden restringir los dispositivos en los que se ha realizado jailbreak o rooting, o bien aquellos que no tengan una determinada versión del sistema operativo del dispositivo.
2
Función Descripción
Administración de aplicaciones Todas las opciones de administración son compatibles con la instalación de las aplicaciones de trabajo en los dispositivos. Puede especificar si las aplicaciones son obligatorias en los dispositivos y puede ver si una aplicación de trabajo está instalada en ellos.
Algunas opciones de administración permiten separar las aplicaciones de trabajo de las aplicaciones personales mediante un perfil de contenedor o de trabajo.
Autenticación basada en certificados
Todos los dispositivos son compatibles con la autenticación basada en certificados entre los dispositivos y las redes o los servidores del entorno de la empresa.
Todos los dispositivos son compatibles con el envío de certificados de CA a dispositivos.
La mayoría de los dispositivos son compatibles con el envío de certificados de cliente a dispositivos. Algunas opciones de administración permiten inscribir los certificados de cliente en los dispositivos mediante SCEP.
BES12 puede eliminar automáticamente los perfiles y los certificados cuando un dispositivo infringe una de las condiciones de cumplimiento (por ejemplo, las de los dispositivos en los que se ha realizado jailbreak o rooting), lo que evita que el dispositivo se conecte a los recursos de la empresa cuando se utiliza la autenticación basada en certificados.
Control de los dispositivos que pueden acceder a Exchange ActiveSync
Si la empresa utiliza Exchange ActiveSync, todas las opciones de administración del dispositivo serán compatibles con los enlaces de Microsoft Exchange. Puede configurar Microsoft Exchange para que evite que los dispositivos utilicen Exchange ActiveSync a menos que se hayan agregado explícitamente a una lista de admitidos en Microsoft Exchange. El uso de enlaces en BES12 permite controlar qué dispositivos se agregan a la lista de admitidos. Cuando se agrega un dispositivo a la lista de admitidos, el usuario podrá acceder al correo de trabajo y demás información del dispositivo.
Características de seguridad para dispositivos con BlackBerry 10 dispositivos
Los dispositivos con BlackBerry 10 están diseñados para proporcionar un elevado nivel de seguridad a los usuarios y a las empresas. En la tabla siguiente se presenta un resumen de muchas de las características de seguridad disponibles en los dispositivos con BlackBerry 10 administrados mediante BES12:
Función Descripción
Protección con BlackBerry 10 OS BlackBerry 10 OS es un sólido sistema operativo a prueba de manipulaciones, que incluye numerosas características de seguridad para proteger los datos, las aplicaciones y los recursos de los dispositivos.
Conectividad segura para los recursos de la empresa
Los dispositivos BES12 y con BlackBerry 10 proporcionan una conexión segura a la red de la empresa a través de BES12 y BlackBerry Infrastructure.
Tecnología BlackBerry Balance La tecnología BlackBerry Balance permite crear un espacio personal para los usuarios donde se tiene un control limitado y un espacio de trabajo en el que se puede disponer de un control total sobre las aplicaciones y los datos, o un dispositivo que solo tiene espacio de trabajo que ofrezca control sobre todas las aplicaciones y los datos del dispositivo.
Conjunto de políticas de TI Los dispositivos BlackBerry 10 son compatibles con un amplio conjunto de reglas de políticas de TI que ofrecen un gran nivel de control sobre las características del dispositivo.
VPN Puede enviar perfiles de VPN de trabajo a los dispositivos con BlackBerry 10 para proporcionar acceso VPN a la red de la empresa.
Administración de aplicaciones Puede controlar qué aplicaciones pueden instalar los usuarios en el espacio de trabajo.
Puede instalar y eliminar aplicaciones internas en el espacio de trabajo.
Comandos de administración para el espacio de trabajo
BES12 incluye comandos de administración que permiten restablecer las contraseñas del dispositivo y del espacio de trabajo.
BES12 incluye comandos de administración que permiten eliminar contenido del dispositivo o del espacio de trabajo.
Características de seguridad para PRIV de BlackBerry
PRIV de BlackBerry es un dispositivo profesional y seguro que lleva las características de seguridad de BlackBerry a Android OS. En la tabla siguiente se resumen muchas de las características de seguridad disponibles con PRIV gestionado por BES12.
Función Descripción
Protección por capas La seguridad está incorporada en cada capa del dispositivo, incluido el hardware, el firmware, el sistema operativo y las aplicaciones de comunicación segura y de colaboración y, como consecuencia, un enfoque de protección por capas lleva a Android a un nuevo nivel de
Función Descripción
seguridad. Cada zona del dispositivo colabora conjuntamente para proteger la privacidad, la integridad y la confidencialidad de sus datos y aplicaciones.
Raíz de confianza del hardware
Una raíz de confianza basada en hardware se establece durante la fabricación del procesador mediante la inserción de material cifrado que posteriormente se utiliza para la autenticación del dispositivo y su arranque seguro.
BlackBerry Secure Compound En BlackBerry Secure Compound, se proporciona un entorno de ejecución de confianza para guardar los datos confidenciales y ejecutar las aplicaciones centradas en la seguridad, tales como BlackBerry Integrity Detection.
Arranque seguro En el proceso de arranque seguro se garantiza que solo pueda cargarse un sistema operativo firmado de BlackBerry en PRIV y que este no haya sido manipulado. En cada fase del proceso de arranque seguro se comprueba que el componente siguiente no se haya manipulado antes de cargarse.
Con la prevención del cambio a una versión anterior se evita que un usuario cargue una versión antigua del sistema operativo en PRIV después de que se haya actualizado el dispositivo. De este modo, protege contra algunas situaciones como el hecho de que un usuario cargue una versión del sistema operativo que no tiene las últimas correcciones de errores de seguridad o que un usuario malintencionado aproveche una vulnerabilidad en una antigua versión del sistema operativo.
BlackBerry Integrity Detection En BlackBerry Integrity Detection, se comprueban continuamente los cambios de eventos o de configuración que podrían indicar que la seguridad del dispositivo está en peligro.
BES12 se integra con BlackBerry Integrity Detection para realizar acciones, como generar alertas, poner en cuarentena el dispositivo para evitar que se acceda a recursos de trabajo o eliminar datos del dispositivo, en caso de detectarse un daño potencial.
Refuerzo del kernel En PRIV, se ejecuta un kernel Linux que se ha reforzado con parches y con cambios en la configuración para reducir la probabilidad de que ocurra algún daño causado por una vulnerabilidad en la seguridad. Además, los procesos con determinados privilegios elevados solo se ejecutarán desde un sistema de archivos de comprobación de la integridad desde una imagen firmada por BlackBerry.
Datos de usuario cifrados De forma predeterminada, todos los datos de usuario (personales y de trabajo) se cifran mediante un motor de cifrado compatible con FIPS 140-2. Las claves de cifrado están protegidas por BlackBerry Secure Compound.
Tipos de activación de BES12 PRIV es compatible con los tipos de activación "Android for Work", "Secure Work Space" y
"Controles de MDM".
Características de seguridad para todos los dispositivos iOS, OS X, Android y Windows
El tipo de activación "Controles de MDM" le permite utilizar las características de seguridad que están disponibles de forma predeterminada en los dispositivos iOS, OS X, Android y Windows. No se crea un contenedor cifrado e independiente y las aplicaciones y datos de trabajo no son independientes de las aplicaciones y datos personales del usuario. Los controles de MDM no resuelven todos los problemas relacionados con la privacidad del usuario ni proporcionan características de seguridad mejoradas. Los controles de MDM no se recomiendan normalmente si la empresa mantiene unos requisitos de seguridad estrictos para evitar la fuga de datos.
En función del tipo de dispositivo, es posible que disponga de las características de seguridad que se indican a continuación, además de las características de seguridad disponibles para todos los tipos de dispositivos:
Dispositivo Característica de seguridad
iOS • Conectividad VPN mediante perfiles de VPN
• Inscripción mediante SCEP de los certificados
• Aplicación del cumplimiento en los dispositivos en los que se ha realizado jailbreak
• Reglas de políticas de TI para controlar las distintas aplicaciones nativas, las funciones del dispositivo, los dispositivos supervisados y para configurar las clasificaciones de contenidos admitidos
• Conectividad segura con BlackBerry Secure Connect Plus (requiere el tipo de activación "Controles de MDM")
OS X • Conectividad VPN mediante perfiles de VPN
• Inscripción mediante SCEP de los certificados
• Reglas de política de TI para controlar los requisitos de la contraseña
Android • Aplicación de cumplimiento en los dispositivos en los que se ha realizado rooting
• Regla de política de TI para el cifrado del dispositivo
Windows • Reglas de políticas de TI para controlar la conectividad del dispositivo mediante Bluetooth o NFC, funcionalidad del dispositivo, aplicaciones nativas y dispositivos propiedad de la empresa
• Los dispositivos Windows 10 son compatibles con la conectividad VPN mediante perfiles de VPN
Características compatibles nativas en iOS y en Android
Las características siguientes son nativas en iOS y en Android y también son compatibles con BES12. Para obtener más información sobre estas características, consulte la documentación de iOS y de Android disponible en Apple y en Google.
Función Descripción
Cifrado de disco completo El cifrado de disco completo garantiza que todos los datos del dispositivo se guarden de forma cifrada y sean accesibles para los usuarios que introducen un PIN o una
contraseña de cifrado. BES12 es compatible con el cifrado de disco completo nativo que se ofrece en iOS y en Android.
Aleatorización de la distribución del espacio de direcciones
La aleatorización de la distribución del espacio de direcciones dificulta a los posibles atacantes acceder a un dispositivo y ejecutar su propio código. Esta técnica aleatoriza la ubicación de los componentes del sistema en la memoria, de modo que los posibles atacantes no puedan saber dónde hay una vulnerabilidad. BES12 es compatible con la aleatorización de la distribución del espacio de direcciones nativas que se ofrece en iOS y en Android.
Características de seguridad para dispositivos Samsung que utilizan KNOX MDM
BES12 puede administrar dispositivos Samsung mediante KNOX MDM. KNOX MDM incluye las funciones de seguridad que proporciona Samsung para sus dispositivos. Cuando se activa un dispositivo, BES12 identifica automáticamente si es compatible con KNOX MDM.
Además de las características de seguridad estándar de Android, en la tabla siguiente se describen las capacidades de seguridad adicionales en los dispositivos que son compatibles con KNOX MDM:
Característica de seguridad Descripción
Conectividad VPN BES12 incluye perfiles de VPN que puede enviar a los dispositivos con KNOX MDM para que puedan conectarse a redes VPN IPSec o SSL. Puede utilizar la autenticación basada en contraseñas o en certificados.
Conjunto de políticas de TI mejoradas
Puede controlar los dispositivos con Samsung KNOX MDM con un conjunto de políticas de TI mejoradas. Por ejemplo, las reglas permiten controlar la contraseña del dispositivo, las aplicaciones nativas, las funciones del dispositivo, la conectividad (incluido Bluetooth y NFC) y la configuración del navegador.
Característica de seguridad Descripción Administración mejorada de las
aplicaciones
Puede instalar y desinstalar aplicaciones en modo silencioso, desactivar aplicaciones restringidas que se instalaron antes de que BES12 aplicara la política de TI y prohibir la instalación de aplicaciones restringidas.
Los dispositivos KNOX se pueden activar sin un contenedor o con un contenedor como KNOX Workspace o Secure Work Space.
Características de seguridad para dispositivos Samsung con KNOX Workspace
Samsung KNOX Workspace es un contenedor cifrado protegido mediante contraseña en un dispositivo Samsung que incluye sus aplicaciones y datos de trabajo. Separa las aplicaciones y datos personales del usuario de las aplicaciones y datos de la empresa y protege las aplicaciones y datos mediante las capacidades de seguridad y administración mejoradas que ha desarrollado Samsung.
Si utiliza KNOX Workspace, podrá obtener acceso a las funciones de seguridad disponibles para dispositivos con KNOX MDM y a las características de seguridad que se indican en la tabla siguiente:
Característica de seguridad Descripción
Seguridad del hardware De forma predeterminada, los dispositivos Samsung compatibles con KNOX Workspace utilizan las siguientes medidas de seguridad para el hardware y el sistema operativo:
• Arranque seguro y de confianza que verifica la autenticidad del kernel y el sistema operativo
• TIMA que verifica el kernel y supervisa la presencia de cambios
SE para Android De forma predeterminada, los dispositivos Samsung utilizan SE para Android. SE para Android divide el sistema operativo en dominios de seguridad para evitar que las aplicaciones o los procesos accedan a los datos y a los recursos a los cuales no se les permite el acceso. Por ejemplo, a las aplicaciones que están fuera de KNOX Workspace no se les permite el acceso a los datos de las aplicaciones dentro del espacio de trabajo.
Cifrado del contenedor De forma predeterminada, los dispositivos Samsung utilizan AES-256 para el cifrado de KNOX Workspace.
Conjunto de políticas de TI mejoradas
Puede controlar KNOX Workspace con un conjunto de políticas de TI mejoradas. Por ejemplo, las reglas permiten controlar las funciones siguientes:
• Contraseña del espacio de trabajo
Característica de seguridad Descripción
• Si las aplicaciones de trabajo necesitan comprobar certificados según las CRL
• Verificación de Trusted Boot
• Separación de los datos de trabajo y los personales (por ejemplo, si se admiten archivos de trabajo en el espacio personal)
• Si se pueden sincronizar los datos de trabajo y personales (por ejemplo, contactos, calendario o notificaciones)
• Autenticación de la tarjeta inteligente para el navegador y el correo
• Conectividad, incluido Bluetooth y NFC
• Configuración del navegador
Comandos de administración para el espacio de trabajo
BES12 incluye comandos de administración que le permiten tanto a usted como a un usuario bloquear solamente el espacio de trabajo, restablecer la contraseña del mismo o eliminarlo.
Autenticación basada en certificados mediante SCEP
Se pueden enviar certificados a los dispositivos mediante SCEP. Los dispositivos pueden utilizar estos certificados para las conexiones a través de VPN, Exchange ActiveSync y Wi- Fi.
Conectividad segura mediante BlackBerry Secure Connect Plus
Se pueden configurar BES12 y dispositivos con KNOX Workspace para abrir una conexión segura a la red de su empresa mediante BlackBerry Secure Connect Plus.
Certificación KNOX Workspace ha recibido las siguientes certificaciones:
• Certificado FIPS 140-2 de nivel 1 para datos almacenados y datos en tránsito
• Cumplimiento de DISA MOS SRG
Para obtener más información, visite https://www.samsungknox.com/en/products/knox- workspace/technical.
Verificación de Trusted Boot
Trusted Boot es una característica de Samsung KNOX con la que se puede verificar el kernel y el sistema operativo cuando se inicia un dispositivo. Trusted Boot comprueba la integridad de un dispositivo KNOX Workspace para que sepa que no se ejecuta firmware no autorizado. Si un usuario instala firmware no autorizado, la característica Trusted Boot fusionará el bit de garantía de KNOX, por lo que no se podrá acceder a KNOX Workspace y ya no se podrá administrar el dispositivo mediante Samsung KNOX. Es más, si el dispositivo está cifrado, quedará inservible.
De forma predeterminada, la verificación Trusted Boot está desactivada. Puede activar la verificación de Trusted Boot mediante la regla de política de TI "Activar verificación de Trusted Boot". Para obtener más información sobre esta regla, descargue la
hoja de cálculo de referencia de políticas en help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet- zip/.
Para obtener más información sobre Trusted Boot, visite https://www.samsungknox.com/en/products/knox-workspace.
Compatibilidad con TIMA (TrustZone-base Integrity Measurement Architecture)
TIMA comprueba que el kernel del dispositivo no haya estado comprometido durante el tiempo de ejecución. Si activa un dispositivo con KNOX Workspace, BES12 ofrecerá compatibilidad con los siguientes aspectos de TIMA:
• TIMA CCM, que guarda los certificados de cliente que las aplicaciones pueden utilizar para cifrar, descifrar, firmar y verificar contenido. TIMA CCM es similar a una tarjeta inteligente. BES12 guarda automáticamente los certificados de Wi-Fi, los certificados necesarios para la conectividad con BlackBerry Infrastructure, los certificados compartidos, los certificados de usuario y las credenciales de usuario en el entorno de TIMA CCM. Solo las aplicaciones permitidas en KNOX Workspace que conocen el alias del certificado pueden acceder a un certificado que esté guardado en el entorno de TIMA CCM. Los certificados de CA se guardan en el almacén de certificados en KNOX Workspace, no en TIMA CCM. Esta característica está disponible para dispositivos que sean compatibles con KNOX 2.1 o posterior.
• El almacén de claves de TIMA, que guarda las claves utilizadas para cifrar KNOX Workspace y proporciona a las aplicaciones servicios para generar y mantener las claves criptográficas.
Características de seguridad para dispositivos Android for Work
Android for Work es una característica desarrollada por Google que proporciona seguridad adicional a las empresas que desean administrar dispositivos Android. Crea un perfil de trabajo que contiene sus aplicaciones y datos de trabajo.
Si utiliza Android for Work, podrá obtener acceso a las características de seguridad disponibles para todos los dispositivos y a las que se indican en la tabla siguiente:
Función Descripción
Cifrado del dispositivo De forma predeterminada, al activar un dispositivo Android for Work se cifra todo el dispositivo.
Perfil de trabajo Al activar un dispositivo con Android for Work, se crea un perfil de trabajo que separa las aplicaciones de trabajo de las personales. El perfil de trabajo incluye su propio sistema de archivos, espacios aislados de aplicaciones y el almacén de claves de certificado.
Comandos de administración para BES12 incluye comandos de administración que le permiten tanto a usted como a un
Función Descripción
Administración de certificados Puede enviar certificados de cliente y certificados de CA a los dispositivos mediante varios tipos de perfiles en función de la fuente del certificado.
Administración de aplicaciones Puede especificar las aplicaciones de trabajo obligatorias y asegurarse de que los dispositivos cumplan las normas. Todas las aplicaciones que haya implementado serán aplicaciones de trabajo que se han instalado en espacios aislados de aplicación en el perfil de trabajo.
Puede configurar las opciones de las aplicaciones con el fin de que especifiquen las capacidades de una aplicación.
Conectividad segura mediante BlackBerry Secure Connect Plus
Puede configurar BES12 y dispositivos Android for Work para abrir una conexión segura a la red de la empresa mediante BlackBerry Secure Connect Plus.
Esta característica requiere que los dispositivos se activen con el tipo de activación
"Trabajo y personal: privacidad de usuario (Android for Work: Premium)" o "Solo espacio de trabajo (Android for Work: Premium)".
Características de seguridad para dispositivos con Secure Work Space
Secure Work Space es un contenedor que proporciona un mayor nivel de control y seguridad a los dispositivos iOS y Android.
Secure Work Space incluye las aplicaciones protegidas e independientes de las aplicaciones y los datos personales. Las aplicaciones protegidas incluyen una aplicación de correo integrado, aplicaciones de calendario, contactos y un navegador seguro de empresa, así como aplicaciones para ver y editar documentos seguros. El navegador de trabajo permite que los usuarios naveguen de forma segura en la intranet de trabajo y en Internet.
En la tabla siguiente se enumeran las características de seguridad que son específicas de Secure Work Space:
Función Descripción
Protección de los datos en tránsito entre BES12 y un dispositivo
BES12 protege los datos en tránsito entre BES12 y un dispositivo con Secure Work Space.
BES12 y un dispositivo pueden comunicarse mediante el protocolo TLS con el algoritmo AES-256.
Capacidad de conectarse a los recursos de trabajo sin utilizar una VPN o puertos de entrada en el firewall
Un dispositivo Secure Work Space envía los datos a BlackBerry Infrastructure, que se comunica, a continuación, con BES12 a través del puerto bidireccional de llamada saliente 3101. Los datos se transmiten desde BES12 al dispositivo a través de la misma ruta.
Función Descripción Protección de los datos del
espacio de trabajo en un dispositivo
• El espacio de trabajo incluye aplicaciones protegidas. Son aplicaciones de trabajo que el espacio de trabajo protege con características de protección adicionales.
• De forma predeterminada, las aplicaciones protegidas protegen los datos mediante el cifrado AES-256. Si permite que todas las aplicaciones accedan a los datos en el espacio de trabajo, las aplicaciones protegidas no cifrarán los datos.
• Las aplicaciones protegidas cifran mediante hash las contraseñas antes de guardarlas.
• El espacio de trabajo aísla los datos del espacio de trabajo del resto de datos.
Una aplicación protegida solo puede comunicarse y compartir datos con otra aplicación protegida, a menos que permita que todas las aplicaciones accedan a los datos del espacio de trabajo.
• El espacio de trabajo permite al usuario copiar y pegar de una aplicación protegida en otra, pero no en una aplicación de trabajo o personal.
Certificación FIPS para el cifrado de los datos del espacio de trabajo
El espacio de trabajo cifra todos los datos que guarda directamente y escribe
indirectamente en los archivos mediante un módulo de cifrado validado mediante FIPS.
Conjunto de políticas de TI mejoradas
El conjunto de políticas de TI de Secure Work Space permite configurar una contraseña del espacio de trabajo, especificar lo que debe hacer el dispositivo tras un periodo de inactividad y controlar los contactos de trabajo.
Comandos de administración para el espacio de trabajo
BES12 incluye comandos de administración que le permiten tanto a usted como a un usuario bloquear solamente el espacio de trabajo, restablecer la contraseña del mismo o eliminarlo.
Protección del sistema operativo • El espacio de trabajo puede reiniciar un proceso para una aplicación protegida que haya dejado de responder sin afectar negativamente a otros procesos.
• El espacio de trabajo valida las solicitudes de recursos que las aplicaciones realizan en el dispositivo.
Protección de los datos de las aplicaciones a través de espacio aislado de aplicaciones
El espacio de trabajo emplea espacios aislados para separar y restringir las capacidades y los permisos de las aplicaciones protegidas que se ejecutan en el dispositivo. Cada proceso de aplicación del espacio de trabajo se ejecuta en su propio espacio aislado.
El espacio de trabajo evalúa las solicitudes que cursan los procesos de una aplicación protegida para obtener memoria fuera de su espacio aislado.
Administración de permisos para acceder a las funciones
El espacio de trabajo evalúa cada solicitud cursada por una aplicación protegida para acceder a una función del dispositivo.
Función Descripción Capacidad de agregar sus propias
aplicaciones protegidas
La empresa puede convertir aplicaciones internas en aplicaciones protegidas que se pueden instalar y ejecutar en el espacio de trabajo. Para convertir una aplicación en protegida, debe proteger el archivo binario de la aplicación mediante la consola de gestión de BES12 y, a continuación, el desarrollador de la aplicación deberá volver a firmar la aplicación (y si es necesario para una aplicación de iOS, crear un archivo de derechos). A continuación, puede instalar la aplicación en el espacio de trabajo de los dispositivos.
Capacidad de agregar
aplicaciones protegidas de otros proveedores
Los desarrolladores de aplicaciones de terceros pueden proteger y volver a firmar sus aplicaciones y hacer que estén disponibles en App Store o en Google Play para que pueda enviarlas a los usuarios.
Las aplicaciones de App Store o de Google Play que no se consideren aplicaciones protegidas no se podrán instalar ni ejecutar en el espacio de trabajo. Solamente el proveedor de aplicaciones puede proteger y volver a firmar una aplicación para que pueda instalarse en el espacio de trabajo.
Protección del administrador de cuentas en un dispositivo
Algunos dispositivos utilizan un administrador de cuentas para guardar las credenciales en distintas cuentas de usuario. El espacio de trabajo protege las credenciales guardadas por aplicaciones protegidas, de este modo las credenciales pueden compartirse entre aplicaciones protegidas pero no entre otras aplicaciones.
Protección de aplicaciones protegidas frente a troyanos y software malintencionado
Las aplicaciones de huellas digitales del espacio de trabajo garantizan que solo las aplicaciones conocidas y de confianza se pueden ejecutar como aplicaciones protegidas.
Las aplicaciones protegidas se validan antes de enviarse al espacio de trabajo del dispositivo y cada vez que el dispositivo las ejecuta.
Detección del estado de jailbreak o rooting
Si se ha realizado jailbreak o rooting en el dispositivo, el usuario tendrá acceso de raíz al sistema operativo del dispositivo. BES12 se ha diseñado para detectar si en el dispositivo se ha realizado jailbreak o rooting. Puede notificar o requerir que el usuario elimine el software con el cual haya realizado jailbreak o rooting desde el dispositivo. Si se ha realizado jailbreak o rooting en el dispositivo, el usuario no podrá instalar el espacio de trabajo ni acceder a él si ya está instalado.
Dominios de correo permitidos y restringidos
Para prevenir la fuga de datos, los dispositivos con Secure Work Space son compatibles con los dominios permitidos y restringidos para el correo, el calendario y los datos del organizador. Las listas de dominios permitidos y restringidos determinan a qué vínculos pueden tener acceso los usuarios desde el correo de trabajo y los datos del organizador, y a qué usuarios pueden enviar mensajes de correo, invitaciones de calendario y datos del organizador.
Información relacionada
Secure Work Space para dispositivos iOS y Android, en la página 27
Uso de la aplicación Good for BES12 o BES12 Client
La aplicación Good for BES12 en los dispositivos iOS y BES12 Client en los dispositivos Android y Windows Phone 8.x permite que BES12 se comunique con los dispositivos. Ambas aplicaciones usan un módulo criptográfico validado por FIPS para cifrar todos los datos que guardan directamente y escriben indirectamente en los archivos.
Para activar los dispositivos iOS, Android y Windows Phone con BES12, los usuarios deben instalar la aplicación Good for BES12 o BES12 Client en los dispositivos en primer lugar. Los usuarios pueden descargar la versión más reciente de la
aplicación Good for BES12 de App Store para los dispositivos iOS o BES12 Client de Google Play para los dispositivos Android, o bien de Windows Marketplace para los dispositivos Windows Phone.
Una vez que los usuarios activen los dispositivos, la aplicación Good for BES12 o BES12 Client les permite realizar las siguientes acciones:
• Comprobar si los dispositivos son compatibles con los estándares de la empresa
• Ver los perfiles que se han asignado a sus cuentas de usuario
• Ver las reglas de políticas de TI que se han asignado a sus cuentas de usuario
• Desactivar sus dispositivos
Los dispositivos Windows 10 y OS X no utilizan la aplicación Good for BES12 ni BES12 Client.
Uso de BES12 para administrar la seguridad de los dispositivos
En función del tipo de dispositivo, BES12 ofrece una serie de funciones de administración de los dispositivos. Las funciones disponibles dependen también de las opciones de administración de los dispositivos que elija cuando los active.
Activación de dispositivos
La activación del dispositivo asocia un dispositivo con una cuenta de usuario en BES12 y establece un canal de comunicación segura entre el dispositivo y BES12 a través de BlackBerry Infrastructure. Una vez que el dispositivo esté activado, se puede administrar mediante BES12.
Para proteger el proceso de activación, los usuarios deben introducir una contraseña para activar un dispositivo. Puede
especificar durante cuánto tiempo es válida una contraseña de activación antes de que caduque. También puede especificar la longitud predeterminada de la contraseña generada automáticamente que se envía a los usuarios en el mensaje de correo de activación.
De forma predeterminada, los usuarios se registran con BlackBerry Infrastructure cuando se agregan a BES12. La información enviada a BlackBerry Infrastructure se envía y se guarda de forma segura. Puede desactivar el registro del usuario con
BlackBerry Infrastructure si no desea enviar información del usuario a BlackBerry.
La ventaja del registro es que los usuarios no tienen que introducir la dirección del servidor cuando activan un dispositivo, solo su dirección de correo y la contraseña. Enterprise Management Agent en los dispositivos con BlackBerry 10, la aplicación Good for BES12 o BES12 Client, se comunica con BlackBerry Infrastructure para recuperar la dirección del servidor. Se establece una conexión segura con BES12 con una intervención mínima del usuario.
En los tipos de activación se configura el nivel de control que se tiene sobre los dispositivos activados. Por ejemplo, puede tener control total sobre un dispositivo que ha entregado a un usuario o puede garantizar que no dispone de ningún control sobre los datos personales de un dispositivo que es propiedad de un usuario y que utiliza en el trabajo. Los tipos de activación que puede utilizar la empresa dependen de los tipos de dispositivos que administre y de las licencias que haya adquirido.
Si desea obtener más información sobre la activación de los dispositivos y los tipos de activación, consulte el contenido de Administración. Para obtener más información sobre los flujos de datos de activación, consulte el contenido de Arquitectura.
3
Cómo protegen los espacios de trabajo las aplicaciones y los datos de trabajo
En función del tipo de activación que elija, es posible que se cree un espacio de trabajo en el dispositivo. Un espacio es una zona específica del dispositivo que permite la segregación y la administración de los diferentes tipos de datos, aplicaciones y conexiones de red. Los distintos espacios pueden tener diferentes normas para el almacenamiento de datos, los permisos de las aplicaciones y el enrutamiento de red. Los dispositivos que tienen tanto un espacio personal como de trabajo permiten que la empresa mantenga controles más estrictos sobre las aplicaciones y los datos de trabajo, lo que permite a los usuarios tener el control sobre sus datos y aplicaciones personales.
BES12 es compatible con varias opciones de espacio de trabajo, en las que se incluyen:
• BlackBerry Balance en los dispositivos con BlackBerry 10
• Secure Work Space en los dispositivos iOS y Android
• Android for Work en los dispositivos Android
• Samsung KNOX Workspace en los dispositivos Samsung
Para obtener más información sobre cómo Android for Work protege sus aplicaciones y datos, consulte https://
www.google.com/work/android/.
Para obtener más información sobre cómo Samsung KNOX Workspace protege sus aplicaciones y datos, consulte https://
www.samsungknox.com/en/products/knox-workspace/technical.
Espacios de trabajo en los dispositivos con BlackBerry 10
Todos los dispositivos con BlackBerry 10 que se activan en BES12 tienen un espacio de trabajo. Cuando activa los dispositivos con BlackBerry 10, puede elegir entre tres tipos de activación para crear diferentes opciones de gestión del espacio de trabajo:
• Trabajo y personal - Empresa
• Trabajo y personal - Regulado
• Solo espacio de trabajo
Protección de los dispositivos BlackBerry Balance
Puede activar los dispositivos BlackBerry 10 mediante el tipo de activación "Trabajo y personal - Empresa" para proporcionar a los usuarios dispositivos BlackBerry Balance. Estos dispositivos tienen un espacio personal y un espacio de trabajo, si bien solo podrá controlar el espacio de trabajo. La empresa puede utilizar la tecnología BlackBerry Balance para permitir a los usuarios utilizar los dispositivos tanto para un uso personal como para su uso en el trabajo. Por ejemplo, es posible que la empresa desee permitir que los usuarios activen los dispositivos personales en BES12 o que utilicen los dispositivos que la empresa adquiera
Las características de seguridad de BES12 y BlackBerry Balance pueden controlar cómo protegen los dispositivos el contenido y los recursos de la empresa (datos, aplicaciones y conexiones de red) y permiten a los dispositivos tratar las aplicaciones y datos de trabajo de una forma diferente a las aplicaciones y los datos personales. Estas características y opciones tienen las ventajas siguientes:
• Permiten a la empresa controlar el acceso a las aplicaciones y a los datos de trabajo en los dispositivos
• Contribuyen a evitar riesgos para los datos de la empresa
• Proporcionan una experiencia unificada a los usuarios cuando tienen acceso a los datos personales y a los datos de trabajo dentro de algunas aplicaciones principales
• Permiten administrar y controlar las aplicaciones que la empresa desea ofrecer como aplicaciones de trabajo
• Permiten eliminar las aplicaciones y los datos de la empresa de los dispositivos personales cuando los usuarios ya no forman parte de ella
• Permiten controlar las conexiones de red tanto para aplicaciones personales como de trabajo
Protección de dispositivos regulados mediante BlackBerry Balance
Puede activar los dispositivos con BlackBerry 10 mediante el tipo de activación "Trabajo y personal - Regulado" para
proporcionar a los usuarios dispositivos regulados mediante BlackBerry Balance. Estos dispositivos tienen un espacio personal y un espacio de trabajo, por lo que dispondrá de control de ambos espacios. La empresa puede utilizar la tecnología BlackBerry Balance para permitir que los usuarios utilicen los dispositivos tanto para su uso en el trabajo como para su uso personal y seguir ofreciendo a la empresa el control sobre las características del dispositivo.
Las características de seguridad de BES12 y BlackBerry Balance regulado pueden controlar cómo protegen los dispositivos el contenido y los recursos de la empresa (datos, aplicaciones y conexiones de red) y permiten a los dispositivos tratar las aplicaciones y datos de la empresa con un enfoque distinto al de las aplicaciones y datos personales.
Los dispositivos regulados mediante BlackBerry Balance tratan los datos personales y de trabajo de la misma forma que los dispositivos BlackBerry Balance. Todo lo que puede hacer para administrar los dispositivos BlackBerry Balance, incluido el uso de reglas de políticas de TI, se puede hacer con los dispositivos regulados mediante BlackBerry Balance. Sin embargo, los dispositivos regulados mediante BlackBerry Balance también ofrecerán opciones de administración adicionales como:
• Desactivar las características del dispositivo, incluso cuando los usuarios se encuentren en el espacio personal
• Evitar que los usuarios tengan cuentas personales en el dispositivo
• Bloquear las rutas de comunicación para las llamadas de teléfono, SMS y BBM
• Bloquear las rutas de comunicación como Wi-Fi, Bluetooth y NFC
• Utilizar la protección de los datos avanzados en espera para los datos del espacio de trabajo
Los usuarios con dispositivos regulados mediante BlackBerry Balance deben ser conscientes de que la empresa puede auditar los datos personales en sus dispositivos. Cuando se activa un dispositivo mediante el tipo de activación "Trabajo y personal - Regulado", el usuario recibe un descargo general de responsabilidad que establece que el dispositivo está administrado por la empresa y el usuario debe aceptar dicho descargo de responsabilidad para que la activación continúe. Puede configurar un aviso adicional que resuma los términos y condiciones que el usuario debe seguir para cumplir con los requisitos de seguridad de la empresa. Para los dispositivos regulados mediante BlackBerry Balance que ejecutan la versión 10.3.1 de BlackBerry 10
OS y posteriores, puede especificar en la política de TI si un dispositivo muestra el aviso de la empresa cada vez que un usuario reinicia el dispositivo.
Protección de los dispositivos que solo tienen espacio de trabajo
Puede activar los dispositivos con BlackBerry 10 mediante el tipo de activación "Solo espacio de trabajo" para proporcionar dispositivos que solo tienen espacio de trabajo a los usuarios. Estos dispositivos tienen un solo espacio que está considerado como un espacio de trabajo y es seguro. Todos los datos y las aplicaciones de estos dispositivos se clasifican como recursos de trabajo. Puede activar los dispositivos que solo tienen espacio de trabajo si los usuarios van a utilizar los dispositivos casi exclusivamente para fines de trabajo o si tienen puestos de trabajo de un nivel muy específico en la empresa y requieren una completa administración de los dispositivos.
Con esta opción de activación, tendrá un control total sobre los dispositivos y podrá:
• Aprobar todas las aplicaciones y los servicios de los dispositivos
• Desactivar las características del dispositivo, por ejemplo, la cámara o el GPS
• Bloquear las rutas de comunicación como Wi-Fi o Bluetooth
• Controlar las aplicaciones que los usuarios pueden descargar
• Impedir el acceso a los servicios de mensajería de correo personales
• Utilizar la protección de los datos avanzados en espera para los datos del espacio de trabajo
La protección de la contraseña en los dispositivos que solo tienen espacio de trabajo no es opcional. Para proteger los datos de trabajo en estos dispositivos, los usuarios deben establecer una contraseña para el dispositivo durante la activación.
Los usuarios con dispositivos que solo tienen espacio de trabajo deben ser conscientes de que la empresa puede auditar todos los datos de sus dispositivos, aunque los utilicen para uso personal. Cuando se activa un dispositivo mediante el tipo de
activación "Solo espacio de trabajo", el usuario recibe un descargo general de responsabilidad que establece que el dispositivo está administrado en su totalidad por la empresa y que el usuario debe aceptar dicho descargo de responsabilidad para que la activación continúe. Puede configurar un aviso adicional que resuma los términos y condiciones que el usuario debe seguir para cumplir con los requisitos de seguridad de la empresa. En los dispositivos que solo tienen espacio de trabajo que ejecutan la versión 10.3.1 de BlackBerry 10 OS y posteriores, puede especificar en la política de TI si quiere que un dispositivo muestre el aviso de la empresa cada vez que el usuario lo reinicie.
Si un dispositivo tiene un espacio personal o un espacio de trabajo antes de activarlo, se borrará durante el proceso de activación, así como los datos, las aplicaciones o las conexiones de red que el dispositivo ha utilizado antes de la activación.
Para obtener más información, consulte el contenido de Administración.
Cómo clasifican los dispositivos BlackBerry Balance las aplicaciones y los datos
Los dispositivos BlackBerry Balance y los dispositivos regulados mediante BlackBerry Balance pueden distinguir entre los datos destinados al uso en el trabajo y los datos para el uso personal. Los dispositivos clasifican los datos como datos personales o de trabajo en función de la fuente de los datos y estas clasificaciones determinan cómo se guardan, protegen y administran los datos en los dispositivos. Se consideran como datos de trabajo los que puedan administrar las aplicaciones en el espacio de
cuenta personal, se almacenan en el espacio personal en el dispositivo. Una vez que los dispositivos clasifican los datos como datos de trabajo o de carácter personal, los datos personales no se podrán clasificar como datos de trabajo y los datos de trabajo no se podrán clasificar como datos personales.
Todos los datos y aplicaciones de los dispositivos que solo tienen espacio de trabajo se clasifican como recursos de trabajo, incluso si los usuarios utilizan dichos dispositivos para tareas personales como visitar páginas web personales o recibir mensajes de correo personales.
En la tabla siguiente se describen las clasificaciones de aplicaciones para dispositivos con un espacio personal y se enumeran ejemplos de aplicaciones que pertenecen a cada clasificación de aplicaciones:
Descripción Aplicaciones
Aplicaciones que solo están disponibles en el espacio de
trabajo y que solo muestran los datos de trabajo • BlackBerry World for Work
• Cualquier aplicación que los usuarios descarguen de BlackBerry World for Work
Aplicaciones que solo están disponibles en el espacio
personal y que solo muestran los datos personales • BBM, BBM Video, mensajería de texto SMS y correo de voz visual (con acceso a los contactos de trabajo salvo si se impide con la regla de política de TI "Permitir que las aplicaciones personales accedan a los contactos de trabajo")
• BlackBerry World
• Aplicaciones de mensajería instantánea de consumidor
• Cualquier aplicación que los usuarios descarguen de BlackBerry World (incluido BlackBerry Runtime para aplicaciones Android)
Aplicaciones que estén disponibles en los espacios de trabajo y personal y que muestren los datos de trabajo y personales en una vista unificada
Estas aplicaciones clasifican los datos que se utilizan como datos de trabajo o personales en función de la fuente de los datos y administran cada tipo de datos en el espacio al cual pertenecen.
Estas aplicaciones administran los datos de trabajo dentro de las restricciones, políticas, permisos y normas del sistema de archivos de trabajo para garantizar que los datos están protegidos dentro del espacio de trabajo y que no hay datos disponibles para los usuarios cuando el espacio de trabajo está bloqueado. Estas aplicaciones están estrictamente controladas y limitadas a aplicaciones principales desarrolladas únicamente por BlackBerry.
• BlackBerry Remember
• BlackBerry Hub
• Calendario
• Contactos
Descripción Aplicaciones Aplicaciones que tienen una instancia en el espacio de trabajo
y una instancia independiente en el espacio personal Estas instancias de las aplicaciones funcionan de forma independiente en ambos espacios, tanto el personal como el de trabajo, en los dispositivos. Por ejemplo, la aplicación Documents To Go que se encuentra en el espacio de trabajo solo puede administrar los archivos que se encuentran en el espacio de trabajo y BlackBerry 10 OS evita que esta
aplicación interactúe con los archivos que se encuentran en el espacio personal.
Las instancias de estas aplicaciones son independientes entre sí y cada aplicación funciona según las reglas y las
restricciones que se aplican al espacio en el que están instaladas. Por ejemplo, la aplicación Administrador de archivos solo muestra archivos de trabajo cuando el usuario abre la aplicación en el espacio de trabajo y muestra solo los archivos personales cuando el usuario abre la aplicación en el espacio personal.
• Adobe Reader
• Navegador
• Documents To Go
• Administrador de archivos
• Ayuda
• Imágenes
Control del acceso al contenido
Los dispositivos BlackBerry Balance y los dispositivos regulados mediante BlackBerry Balance controlan lo que pueden hacer los usuarios con el contenido personal y de trabajo de la manera siguiente:
• Los dispositivos no permiten a los usuarios trasladar archivos desde el espacio personal al espacio de trabajo ni desde el espacio de trabajo al espacio personal.
• Los dispositivos no permiten a los usuarios cortar, copiar ni pegar texto de las aplicaciones del espacio de trabajo en las aplicaciones del espacio personal. Los dispositivos permiten a los usuarios cortar, copiar y pegar texto de las aplicaciones del espacio personal en las aplicaciones del espacio de trabajo. Los dispositivos solo guardan los datos que los usuarios copian de las aplicaciones del espacio de trabajo en el espacio de trabajo y los datos que los usuarios copian de las aplicaciones del espacio personal en el espacio personal.
• Las aplicaciones que están disponibles en el espacio personal y en el espacio de trabajo en una vista unificada pueden tener como adjuntos archivos personales para enviarlos al espacio de trabajo de la aplicación. Por ejemplo, los usuarios pueden adjuntar archivos personales a los mensajes de correo de trabajo. Los dispositivos utilizan versiones de solo lectura de estos archivos y no pueden transferir ni copiar dichos archivos desde el sistema de archivos personal en el sistema de archivos de trabajo.
De forma predeterminada, las aplicaciones de trabajo pueden acceder a los archivos compartidos que se encuentran en el espacio personal si el usuario lo permite. Cuando un usuario instala una aplicación de trabajo, el dispositivo muestra un
compartidos, compruebe que no se ha seleccionado la regla de política de TI "Permitir acceso de las aplicaciones del espacio personal a los archivos del espacio de trabajo". De este modo se evitará que las aplicaciones de trabajo accedan a los archivos compartidos o al contenido que se encuentra en el espacio personal, independientemente de la configuración del usuario en el dispositivo. También se evita que los usuarios adjunten archivos personales a los mensajes que envían desde una cuenta de correo de trabajo y que compartan archivos personales o contenido personal con las aplicaciones de trabajo a través de la opción "Compartir".
De forma predeterminada, todas las aplicaciones en el espacio personal pueden acceder a los datos necesarios para los contactos de trabajo. Los usuarios también pueden utilizar las opciones "Copiar en" y "Guardar como" para los contactos de trabajo en la aplicación Contactos.
Puede cambiar la configuración de las reglas de políticas de TI para:
• Evitar que las aplicaciones personales accedan a los datos de los contactos de trabajo en todo momento mediante la configuración de la regla de política de TI "Permitir a las aplicaciones personales acceder a los contactos de trabajo"
en Ninguno.
• Permitir que solo las aplicaciones personales desarrolladas por BlackBerry siguientes accedan a los datos de los contactos de trabajo mediante la configuración de la regla de política de TI "Permitir que las aplicaciones personales accedan a los contactos de trabajo" en "Solo las aplicaciones de BlackBerry": Teléfono, BBM (incluido BBM Video y BBM Voice), Mensajes de texto, Etiquetas inteligentes y correo de voz visual.
• Impedir que los usuarios compartan las pantallas de trabajo con otros participantes de un chat BBM Video durante un chat BBM Video. Si no permite que los usuarios compartan las pantallas de trabajo durante un chat BBM Video, el dispositivo bloqueará el espacio de trabajo cuando un usuario comparta la pantalla durante un chat BBM Video y dicho usuario no podrá desbloquear el espacio de trabajo hasta que la parte de la pantalla compartida del chat BBM Video esté completa.
Secure Work Space para dispositivos iOS y Android
Con Secure Work Space se crea un espacio de trabajo en los dispositivos iOS y Android cuando se activan en BES12. El espacio de trabajo es una zona independiente del dispositivo para recursos de trabajo donde los usuarios pueden crear, editar y guardar documentos de trabajo. El espacio de trabajo también guarda los datos de la configuración del servidor y cualquier información asociada a ellos, por ejemplo, credenciales y perfiles de Microsoft Active Directory.
Las características de seguridad de BES12 y de Secure Work Space controlan la forma en que los dispositivos protegen los datos, las aplicaciones y las conexiones de red de la empresa y requieren que los dispositivos traten los datos y las aplicaciones de la empresa de forma distinta a los datos y las aplicaciones personales. Esto significa que puede:
• Permitir que la empresa controle su información, aunque se guarde en dispositivos que sean propiedad de los empleados y que utilicen en el trabajo
• Controlar el acceso a los datos y las aplicaciones de la empresa en los dispositivos
• Evitar que los datos se vean comprometidos
• Instalar y administrar las aplicaciones de la empresa en los dispositivos
• Eliminar los datos y las aplicaciones de la empresa de los dispositivos siempre que sea necesario
• Controlar las conexiones de red que utilizan las aplicaciones personales y de trabajo
• Permitir que la empresa controle su información, aunque se guarde en dispositivos que sean propiedad de los empleados y que utilicen en el trabajo.
Información relacionada
Características de seguridad para dispositivos con Secure Work Space, en la página 17
Creación de espacios de trabajo en los dispositivos mediante Secure Work Space
Para crear un espacio de trabajo en un dispositivo mediante Secure Work Space, puede activar el dispositivo en BES12 con el tipo de activación "Trabajo y personal: control total (Secure Work Space )" o "Trabajo y personal: privacidad de usuario (Secure Work Space)". Durante el proceso de activación, el dispositivo cifra el espacio de trabajo.
Durante el proceso de activación, en los dispositivos con Secure Work Space se solicita que los usuarios establezcan una contraseña del espacio de trabajo. La contraseña del espacio de trabajo se utiliza para proteger los datos y las aplicaciones protegidas de dicho espacio. Puede utilizar las reglas de políticas de TI para controlar los requisitos de las contraseñas, por ejemplo, la complejidad y la longitud.
Una vez se ha activado el dispositivo en BES12, todavía contiene un espacio personal y los datos, las aplicaciones o las conexiones de red que el usuario utilizaba antes de que se activara el dispositivo. Los usuarios pueden utilizar sus dispositivos en actividades que no permitirían las políticas de seguridad de la empresa, por ejemplo, descarga de vídeos, juegos
multijugador en línea o carga de fotos personales y entradas de Facebook, sin exponer los datos de trabajo que se guardan en el dispositivo.
Protección de los datos con cifrado
BES12 protege los datos en los dispositivos mediante cifrado.
Los dispositivos BlackBerry 10 cifran todos los datos almacenados en el espacio de trabajo. Puede utilizar las reglas de políticas de TI para obligar a los dispositivos a cifrar también todos los datos en el espacio personal y en las tarjetas de memoria.
Secure Work Space cifra todos los datos guardados en el espacio de trabajo.Los dispositivos Android con Secure Work Space también cifran los datos del espacio de trabajo en la tarjeta de memoria.
Según el tipo de activación, puede utilizar reglas de políticas de TI para obligar a los dispositivos Android a cifrar todos los datos en el espacio personal y en las tarjetas de memoria.
Para obtener más información sobre el cifrado de datos de Android for Work, consulte https://support.google.com/work/
android.
Para obtener más información sobre el cifrado de datos de Samsung KNOX Workspace, consulte https://
www.samsungknox.com/en/products/knox-workspace/technical.
Para obtener más información sobre el cifrado de datos de iOS, consulte https://www.apple.com/business/docs/
iOS_Security_Guide.pdf.
Cifrado de datos en los dispositivos con BlackBerry 10
Los dispositivos con BlackBerry 10 utilizan el cifrado para proteger los siguientes tipos de datos. Solo se cifra el contenido de los archivos, pero no los archivos ni los nombres de directorio.
Tipo de datos Descripción
Datos del espacio de trabajo Los dispositivos protegen los datos de trabajo mediante el cifrado de los archivos guardados en el espacio de trabajo. El cifrado del espacio de trabajo no es opcional.
Datos del espacio personal Los dispositivos con un espacio personal pueden proteger los datos personales mediante el cifrado de los archivos guardados en el espacio personal.
El cifrado del espacio personal es opcional. Puede utilizar la regla de política de TI "Forzar el cifrado de los datos del espacio personal" para activar el cifrado del espacio personal en un dispositivo.
Los usuarios también pueden activar el cifrado de los datos personales mediante las opciones "Cifrado del dispositivo" en la configuración de "Seguridad y privacidad" en el dispositivo.
Datos de la tarjeta de memoria Los dispositivos pueden proteger los datos de la tarjeta de memoria mediante el cifrado de los archivos guardados en dichas tarjetas:
• De forma predeterminada, los dispositivos con un espacio personal permiten que los usuarios solo guarden los datos personales en las tarjetas de memoria y que los datos se guarden en un formato sin cifrar.
• De forma predeterminada, los dispositivos que solo tienen espacio de trabajo permiten que los usuarios guarden los datos en las tarjetas de memoria y que los datos se guarden en un formato sin cifrar.
El cifrado de la tarjeta de memoria es opcional. Puede utilizar la regla de política de TI
"Forzar cifrado de la tarjeta de memoria" para activar el cifrado de la tarjeta de memoria. En
Tipo de datos Descripción
los dispositivos que solo tienen espacio de trabajo, como los usuarios pueden guardar los datos de las tarjetas de memoria en un formato no cifrado de forma predeterminada, se recomienda activar el cifrado de la tarjeta de memoria con la regla de política de TI "Forzar cifrado de la tarjeta de memoria".
Los usuarios también pueden activar el cifrado de la tarjeta de memoria mediante la opción
"Cifrado de la tarjeta de memoria" en la configuración de "Seguridad y privacidad" del dispositivo.
La tarjeta de memoria se desactiva si otro dispositivo cifra los datos que contiene. Tanto en los dispositivos regulados mediante BlackBerry Balance como en los dispositivos que solo tienen espacio de trabajo, el cifrado de la tarjeta de memoria solo se permite si se
selecciona la regla de política de TI "Permitir tarjeta de memoria".
Cómo protegen los dispositivos con BlackBerry 10 los datos de trabajo
El cifrado del espacio de trabajo para dispositivos con BlackBerry 10 cifra los datos guardados en el sistema de archivos de trabajo mediante XTS-AES-256. Puesto que los dispositivos que solo tienen espacio de trabajo únicamente disponen de dicho espacio, cifran todos los datos mediante XTS-AES-256.
Un dispositivo genera de forma aleatoria una clave de cifrado para cifrar el contenido de un archivo. Las claves de cifrado del archivo están protegidas mediante un sistema jerárquico de claves de cifrado de la manera siguiente:
• El dispositivo cifra la clave de cifrado del archivo con la clave de dominio de trabajo y guarda la clave de cifrado del archivo cifrado como un atributo de metadatos del archivo.
• La clave de dominio de trabajo es una clave generada de forma aleatoria que se guarda en los metadatos del sistema de archivos y que está cifrada mediante la clave principal de trabajo.
• La clave principal de trabajo también se genera de forma aleatoria. Esta clave principal de trabajo se guarda en la NVRAM en el dispositivo y se cifra con la clave principal del sistema.
• La clave principal del sistema se guarda en el bloque de memoria protegida de reproducción del dispositivo.
• El bloque de memoria protegida de reproducción se cifra con una clave incorporada en el procesador cuando este se fabrica.
Las claves de cifrado del archivo, la clave de dominio de trabajo, la clave principal de trabajo y la clave principal del sistema se generan mediante el kernel de cifrado de BlackBerry OS, que ha recibido la certificación FIPS 140-2 para BlackBerry 10 OS.
Cómo protegen los dispositivos con BlackBerry 10 los datos personales
El cifrado del espacio personal para dispositivos con BlackBerry 10 cifra los datos guardados en el sistema de archivos personal mediante XTS-AES-256. Un dispositivo genera de forma aleatoria una clave de cifrado para cifrar el contenido de un archivo.
Las claves de cifrado del archivo están protegidas mediante un sistema jerárquico de claves de cifrado de la manera siguiente:
• El dispositivo cifra la clave de cifrado del archivo con la clave de dominio personal y guarda la clave de cifrado del archivo cifrado como un atributo de metadatos del archivo.
• La clave de dominio personal es una clave generada de forma aleatoria que se guarda en los metadatos del sistema de archivos y que está cifrada mediante la clave principal personal.
• La clave principal personal también se genera de forma aleatoria. Esta clave principal personal se guarda en la NVRAM en el dispositivo y se cifra con la clave principal del sistema.
• La clave principal del sistema se guarda en el bloque de memoria protegida de reproducción del dispositivo.
• El bloque de memoria protegida de reproducción se cifra con una clave incorporada en el procesador cuando este se fabrica.
Si se selecciona la regla de política de TI "Forzar cifrado de datos del espacio personal", también deberá seleccionarse la regla de política de TI "Requerir contraseña para todo el dispositivo" para que la contraseña del espacio de trabajo se aplique a todo el dispositivo. Si no se selecciona la regla de política de TI "Forzar cifrado de datos del espacio personal" y el usuario decide activar el cifrado del espacio personal, el dispositivo solicita al usuario que escriba una nueva contraseña si el dispositivo no tiene una.
Los dispositivos también pueden cifrar todos los archivos guardados en las tarjetas de memoria que se insertan en los dispositivos. Los usuarios solo pueden guardar datos de carácter personal en las tarjetas de memoria.
Las claves de cifrado del archivo, la clave de dominio personal, la clave principal personal y la clave principal del sistema se generan mediante el kernel de cifrado de BlackBerry OS, que ha recibido la certificación FIPS 140-2 para BlackBerry 10 OS.
Cómo protegen los datos de la tarjeta de memoria los dispositivos con BlackBerry 10
El cifrado de la tarjeta de memoria de los dispositivos con BlackBerry 10 cifra los archivos guardados en dicha tarjeta. Un dispositivo genera de forma aleatoria una clave de cifrado para cifrar el contenido de los archivos en la tarjeta de memoria. La clave de cifrado está protegida de la manera siguiente:
• El dispositivo concatena la clave de dominio personal y una clave generada de forma aleatoria y las cifra para generar una clave de la tarjeta de memoria. Si el dispositivo es un dispositivo que solo tiene espacio de trabajo o si el cifrado de datos del espacio personal no se ha activado, el dispositivo generará primero una clave de dominio personal.
• El dispositivo cifra la clave de cifrado del archivo con la clave de la tarjeta de memoria y guarda la clave de cifrado del archivo como un atributo de metadatos del archivo.
• Se guarda un hash de la clave de la tarjeta de memoria en el bloque de memoria protegida de reproducción del dispositivo para permitir que se verifique la clave de la tarjeta de memoria.
• El bloque de memoria protegida de reproducción se cifra con una clave incorporada en el procesador cuando este se fabrica.
Solo se pueden guardar datos personales en tarjetas de memoria en los dispositivos BlackBerry Balance. El cifrado de la tarjeta de memoria es opcional. Puede solicitar el cifrado de la tarjeta de memoria en la política de TI. Dado que los usuarios pueden guardar datos de trabajo en las tarjetas de memoria, se recomienda que se active el cifrado de dicha tarjeta en los dispositivos que solo tienen espacio de trabajo. Tanto en los dispositivos regulados mediante BlackBerry Balance como en los dispositivos que solo tienen espacio de trabajo puede evitarse también el uso de las tarjetas de memoria en la política de TI. Los usuarios también pueden activar el cifrado de la tarjeta de memoria mediante los ajustes del dispositivo.
