¿Qué es la gestión unificada de puntos finales (UEM)?

UEM permite a los equipos de TI y seguridad supervisar, gestionar y proteger todos los dispositivos de usuario final en la red de manera coherente, utilizando una herramienta.

Dos trabajadores sentados en una sala de servidores trabajando en un ordenador
¿Qué es UEM?

UEM, o gestión unificada de puntos finales, es software para supervisar, gestionar y proteger todos los dispositivos de usuario final de una organización (ordenadores de escritorio y portátiles, teléfonos inteligentes, tablets, dispositivos portátiles y más) desde una única consola, independientemente del sistema operativo o la ubicación. UEM fortalece la seguridad de los puntos finales simplificándola, lo que permite a los equipos de seguridad y TI proteger todos los dispositivos de punto final utilizando una sola herramienta de manera coherente.

Con una tecnología relativamente nueva, UEM combina las prestaciones de las soluciones de gestión móvil existente, incluyendo MDM (gestión de dispositivos móviles) y MAM (gestión de aplicaciones móviles), con las de las herramientas utilizadas para gestionar PC en local y en remoto. Ya popular para gestionar programas BYOD (traiga su propio dispositivo) y plantillas híbridas (combinación de trabajadores en local y en remoto), el uso de UEM se ha disparado a medida que los departamentos de seguridad y TI se están adaptando para ampliar el soporte al trabajo remoto (desde casa) tras la pandemia de COVID-19. Esta tendencia parece que se mantendrá en el futuro próximo: una encuesta sobre el futuro del trabajo realizada por OMDIA en 2021 (enlace externo a ibm.com) concluyó que el 58 % de los empleados trabajará principalmente desde casa o en un formato híbrido tras superarse la pandemia.


La evolución de UEM

UEM es la más reciente de una serie de herramientas de gestión de seguridad móvil, que surgieron y evolucionaron en respuesta a la relación cambiante entre organizaciones, empleados, dispositivos móviles y estilos de trabajo en las últimas dos décadas.

De MDM...

Los primeros dispositivos móviles que se introdujeron en el lugar de trabajo eran propiedad de la empresa, y se desarrollaron herramientas para la gestión de dispositivos móviles (MDM) para facilitar a los administradores de TI la gestión y protección de estos dispositivos. Las herramientas de MDM daban a los administradores un control total sobre todas las funciones de un dispositivo. Podrían suministrar, inscribir y cifrar dispositivos, configurar y controlar el acceso sin cables, instalar y gestionar aplicaciones empresariales, realizar el seguimiento de la ubicación de los dispositivos y bloquear y limpiar un dispositivo en caso de pérdida o robo.

...a MAM...

La MDM era una solución de gestión móvil aceptable hasta que los teléfonos inteligentes se volvieron tan populares que los empleados querían utilizar los suyos personales para el trabajo (en lugar de llevar un dispositivo personal y uno para el trabajo). Así nació BYOD. Y pronto, los empleados empezaron a indignarse por tener que entregar el control total de sus teléfonos personales y datos personales a MDM.

Entonces, apareció una nuevo solución la gestión de aplicaciones móviles (MAM). En lugar de centrarse en controlar la gestión de todo el dispositivo móvil, MAM se centraba en la gestión de aplicaciones. Con MAM, los administradores podían ejercer un control total sobre las aplicaciones corporativas y los datos corporativos asociados a ellas; también mantenían un control suficiente sobre las aplicaciones personales de los empleados para proteger los datos corporativos, sin tocar o incluso ver los datos personales de los empleados.

...a EMM...

Pero las soluciones MAM también toparon con sus límites, la mayoría de los cuales debido a su absoluta incapacidad para seguir el ritmo de la explosión de nuevas aplicaciones que los empleados podían añadir a sus dispositivos iOS o Android. En respuesta, los proveedores combinaron MDM, MAM y algunas herramientas relacionadas para crear suites de gestión de movilidad empresarial (EMM). EMM proporcionó la seguridad de MDM para los datos corporativos, la experiencia del empleado superior que ofrece MAM y gestión y control de seguridad sobre todos los dispositivos utilizados fuera de la oficina, no solo teléfonos inteligentes, sino también portátiles y PC.

...a UEM

EMM presentaba una carencia en la gestión de puntos finales (y potencial vulnerabilidad de seguridad). Como no ofrecía prestaciones para gestionar los dispositivos de los usuarios finales en el sitio, requería que los administradores utilizaran herramientas y políticas separadas para la gestión de dispositivos y la seguridad en el sitio y fuera del sitio. Esto generaba trabajo adicional, confusión y posibilidad de error, justo en el momento en que se disparó el número de empleadores que intentaban facilitar el teletrabajo a sus empleados.

UEM surgió como la solución a este problema. Combina la funcionalidad de EMM con las prestaciones de las herramientas de gestión de clientes (CMT) utilizadas tradicionalmente para gestionar los PC y portátiles en local. La mayoría de las herramientas de UEM también incluyen, integran o interactúan con herramientas de seguridad de puntos finales, como software antivirus y antimalware, software de control web, soluciones de analítica de comportamiento de entidades y usuarios (UEBA), cortafuegos integrados y más.


Cómo UEM mejora la seguridad de los puntos finales

El uso de varios herramientas de gestión de puntos finales para gestionar y proteger diferentes dispositivos de punto final en distintas ubicaciones genera una gran cantidad de trabajo manual y repetitivo para los equipos de seguridad y TI, y aumenta la probabilidad de inconsistencias, errores de configuración y otra clase de errores que pueden dejar expuestos a los puntos finales y la red a posibles ataques. UEM reduce en gran medida el trabajo y el riesgo mediante la creación de un único panel de control central donde los administradores de TI y los equipos de seguridad pueden ver, gestionar y proteger todos los dispositivos de punto final conectados a la red empresarial.

Las herramientas de UEM funcionan en todos los sistemas operativos de PC y móviles, incluidos Apple iOS y MacOS, Google ChromeOS y Android, Linux y Microsoft Windows. (Algunas soluciones, en particular Blackberry UEM, también son compatibles con los sistemas operativos móviles Blackberry OS y Windows Phone). Muchas soluciones de UEM también admiten impresoras y otros dispositivos de IoT de usuario final, relojes inteligentes y otro dispositivos wearables, cascos de realidad virtual, asistentes virtual —cualquier cosa que un empleado o business partner pueda utilizar para conectarse a la red y realizar su trabajo.

UEM controla todos los dispositivos en la red, independientemente del tipo de conexión, la frecuencia con la que se conectan y desde dónde se conectan. Incluso puede detectar dispositivos conectados que los administradores o equipos de seguridad no conocen, en tiempo real.

Desde este panel de control central, los administradores pueden realizar o automatizar tareas de gestión y seguridad críticas para cualquier dispositivo, o para todos ellos, incluyendo:

  • Inscripción y suministro de dispositivos: para reducir la carga administrativa de BYOD, las soluciones de UEM proporcionan un portal en el que los usuarios pueden autoinscribirse y suministrar sus dispositivos automáticamente. UEM también impone automáticamente la inscripción y el suministro para cualquier dispositivo nuevo o desconocido que intente conectarse a la red.
  • Aplicación y cumplimiento de las políticas de seguridad: los administradores pueden especificar autenticación de multifactores, la longitud y la complejidad de las contraseñas, renovaciones de contraseña, métodos de cifrado de datos y mucho más. Al permitir que los administradores distribuyan políticas coherentes en todos los dispositivos con una sola herramienta, UEM reduce en gran medida el trabajo manual para los departamentos de TI y el personal de seguridad.
  • Aplicación de parches y actualizaciones: UEM puede analizar los puntos finales para detectar vulnerabilidades de software, firmware o sistema operativo y aplicar automáticamente parches donde sea necesario.
  • Control de aplicaciones: los empleadores pueden aprobar o prohibir el uso de aplicaciones específicas, e impedir que las que no estén autorizadas accedan a los datos empresariales. Muchas herramientas de UEM permiten crear una tienda de aplicaciones, donde los usuarios pueden descargar, instalar y actualizar periódicamente aplicaciones de escritorio y móviles aprobadas por la empresa.
  • Aislamiento de datos corporativos y datos personales: con esto se protegen los datos corporativos y datos personales, y se proporciona la experiencia del usuario óptima para BYOD.
  • Actualización de las soluciones de seguridad de punto final: los administradores pueden instalar las últimas definiciones de antivirus en los dispositivos, actualizar los filtros web con los último sitios web en la lista negra o en la lista blanca e incluso ajustar los cortafuegos para repeler las últimas amenazas.
  • Protección de conexiones: UEM permite a los administradores especificar el tipo de conexión —por ejemplo, wifi o VPN— por dispositivo, por usuario o incluso por aplicación.
  • Identificación y corrección de amenazas: al integrarse con UEBA, detección y respuesta de puntos finales (EDR) y otras tecnologías de seguridad, UEM puede ayudar a identificar comportamientos anormales del dispositivo que indican amenazas en curso o potenciales, y activar otras herramientas de seguridad para tomar medidas contra ellas.
  • Limpieza y/o bloqueo de dispositivos perdidos, robados o al final del ciclo de vida: como última línea de defensa, UEM permite a los administradores o equipos de seguridad ubicar, limpiar, bloquear o restaurar dispositivos perdidos, robados o retirados, impedir el acceso no autorizado a la red y evitar que los datos sensibles del dispositivo caigan en las manos equivocadas. También puede restablecer dispositivos dados de baja para un uso personal posterior.

La principal ventaja es que para estas y otro tareas, el enfoque integral de UEM permite que los departamentos de seguridad y TI ignoren las distinciones entre dispositivos dentro y fuera del sitio, dispositivos de escritorio y móviles, sistemas operativos Windows, Mac, Chrome o Linux, y simplemente se centren en la gestión de la seguridad y los dispositivos.


BYOD, teletrabajo y otros casos de uso de UEM

Como se ha mencionado anteriormente, UEM evolucionó a partir de la aparición de tecnologías innovadoras para gestionar y proteger las políticas de BYOD de las organizaciones, las plantillas cada vez más híbridas y la expansión de los programas de teletrabajo. Pero las organizaciones adoptaron UEM para dar soporte a otras iniciativas de seguridad y gestión estratégicas, que incluyen:

Conformidad con la normativa simplificada. Las plantillas híbridas pueden añadir complejidad al tener que demostrar y garantizar la conformidad con las normativas sobre privacidad de datos y del sector. Las soluciones de UEM le ayudan a reducir esa complejidad. Por ejemplo, UEM permite a una organización establecer una única política que garantice que todos los dispositivos cumplan con los requisitos de cifrado especificados por el RGPD (Reglamento general de protección de datos), la HIPAA (Health Insurance Portability and Accountability Act) y otras normativas sobre privacidad de datos. Las funciones de control de aplicaciones y aislamiento de datos de UEM ayudan a los administradores asegurarse de que solo las aplicaciones de escritorio o móviles autorizadas puedan acceder a los datos altamente regulados.

Seguridad de confianza cero. En un enfoque de seguridad de confianza cero, de forma predeterminada, todos los puntos finales se consideran hostiles. A todas las entidades (usuarios, dispositivos, cuentas) se les otorga el acceso privilegiado mínimo requerido para sus trabajos o funciones, y se supervisan continuamente, además de renovar su autorización periódicamente mientras se mantenga el acceso. UEM admite la implementación de confianza cero de varias maneras, desde simplificar el suministro de todos los dispositivos para el acceso privilegiado mínimo, hasta proporcionar visibilidad en tiempo real sobre cada dispositivo conectado a la red.