Desde la proliferación de los smartpho­nes, la línea de separación entre el contexto puramente personal y el profesional se ha difuminado, hasta el punto de que prácticamente ha desaparecido. De hecho, cada vez menos personas quieren llevar “el móvil del trabajo” junto con el suyo, el personal; sencillamen­te, porque es incómodo. De ahí que las iniciativas del tipo BYOD (bring your own device) sean cada vez más comunes en compañías de todo tipo.

Pero dar respuesta a esta comodidad que demandan los usuarios tiene también sus in­convenientes para las empresas. Por una parte, ya no controlan qué tipo de dispositivo se va a usar y se pierde la uniformidad que proporciona el que todos los usuarios adopten determinados modelos dentro de su catálogo de smartphones. Esto, lógicamente, complica la ges­tión de la seguridad y de los accesos autorizados.

Pero mucho más importante es el hecho de que, en un mismo dispositivo, se encuentran alojados datos personales y empresariales que, en ambos casos, requieren un elevado nivel de sensibilidad y privacidad. Ante este reto, ni siquiera los dispositivos de tipo Dual SIM ofrecen una respuesta adecuada, ya que los datos siguen almacenados en el mismo dispositivo.

Esto es algo que preocupa mucho a los departamentos de TI, sobre todo a la vista de los millones de ciberataques que sufren los dispositivos móviles todos los años. Pero, como contrapartida, es importante resaltar el hecho de que este tipo de prácticas han mejorado de forma evidente la productividad de los empleados. De este modo, se presenta la dicotomía entre las claras ven­tajas que aporta para la empresa y los riesgos inherentes que representa.

Samsung Knox proporciona un contenedor seguro sin mezclar datos personales y corporativos

Seguridad desde el inicio

Samsung Knox es una solución segura para dispositivos móviles basados en Android. El sistema se apoya directamente en hardware para garantizar la seguridad desde el mismo inicio del smartphone, con el bootloader y el kernel del sistema, y aprovechando todas las facilidades trusted platform que ofrecen los procesadores ARM. Sobre esta base, Knox crea un entorno para proteger las apps corporativas y sus datos, que se complementa con una serie de herramientas de seguridad entre las que se incluyen las siguientes: una red privada virtual (VPN), SSO (single sign on) y EMM (enterprise mobility management).

Una particularidad de este entorno seguro es que permite que la seguridad sea inspeccionada y validada por terceros, para que puedan decidir si el estado del dispositivo cumple con sus requerimientos específicos de seguridad. Esto, por otro lado, impide que se pueda modificar un dispositivo físicamente, por ejemplo, alterando el hardware o el software. Si eso ocurriera, el sistema empresarial al que pertenece el
smartphone lo podría detectar e impedir el acceso del dispositivo modificado.

Sin embargo, en vista de que —en los últimos años— los hackers han mejorado su capacidad para realizar ataques contra el kernel, la BIOS, así como contra máquinas virtuales, Samsung Knox vincula sus autocomprobaciones de integridad a una contraseña secreta almacenada en hardware seguro y fuera del alcance de adversarios físicos o de software.

Toda la información del espacio de trabajo seguro se cifra cuando se apaga el dispositivo

Dos mundos separados

Las características principales de Samsung Knox incluyen Secure Boot, Trusted Boot, ARM TrustZone-based Integrity Measurement Architecture (TIMA), Security Enhancements for Android (SE for Android), así como una serie de servicios de seguridad basados en Trust-Zone.

Esto permite generar un contenedor seguro en el que ubicar el espacio de trabajo, de forma que quede separado y aislado del área de usuario (que se ejecuta sobre el mismo hardware). Además, el contenido es cifrado y queda protegido de los posibles ataques, aunque estos provengan del propio dispositivo,

La solución ofrece diversas herramientas de administración, así como  utilidades que permiten su gestión desde los departamentos de TI correspondientes. De esta forma se propone una solución adecuada a los principales problemas de seguridad de las estrategias empresariales COPE (corporate owned personally enabled) y COBO (corporately owned, business only). Entre ellos, los siguientes:

• Android. Samsung Knox aporta un grado adicional de seguridad a los dispositivos con sistema operativo Android, especialmente en el ámbito del inicio seguro.
• Rooteado del dispositivo. Para impedir que el usuario consiga acceso como root al dispositivo, y realice modificaciones no autorizadas, se puede controlar la integridad de la plataforma desde fuera.
• Mezcla de datos empresariales con apps de usuario. La clara división de los datos ofrece garantías no solo a la empresa, sino también al propio usuario, que no ve expuestos sus ficheros personales.
• Robo del dispositivo. Knox evita que sea el usuario el que tenga que acordarse de activar medidas de protección para los datos del teléfono. Toda la información del espacio de trabajo seguro se cifra cuando se apaga el dispositivo y, como el cifrado está ligado a una clave dependiente del hardware, es imposible restaurar los datos si no es en el mismo dispositivo.

Dificultad para asegurar aplicaciones empresariales personalizadas. Las aplicaciones empresariales desarrolladas en la propia compañía, en ocasiones, no implementan las medidas de seguridad apropiadas, pero, al ejecutarse en el entorno seguro de Samsung Knox, quedan protegidas.

Conclusión

Samsung Knox proporciona un entorno seguro para poder utilizar datos y aplicaciones empresariales en el mismo dispositivo que el usuario emplea para su vida privada, sin que exista la posibilidad de mezclar ambos entornos. Se garantiza la seguridad del contenedor seguro de Knox, ya que está basado en hardware y se impide el acceso accidental o intencionado de apps externas al contenedor.

Con un sistema de comprobación de integridad desde el exterior y cifrado permanente, Samsung Knox permite mantener los datos personales y laborales separados con todas las garantías, así como detectar posibles alteraciones del hardware o del software de inmediato.