Seguridad y experiencia de usuario

La seguridad es importante para cualquier organización, pero es necesario lograr un equilibrio entre la seguridad y la experiencia de usuario. Por ejemplo, podrías tener un entorno altamente seguro que sea difícil de usar para los usuarios. O bien, tu entorno podría ser tan fácil de usar que el control de acceso no sea tan estricto. Las otras secciones de este manual virtual cubren las características de seguridad en detalle. El propósito de este artículo es ofrecer una visión general de las preocupaciones de seguridad comunes y las opciones de seguridad disponibles en Citrix Endpoint Management.

• Aquí tienes algunas consideraciones clave a tener en cuenta para cada caso de uso:

• ¿Quieres proteger ciertas aplicaciones, todo el dispositivo o ambos?
• ¿Cómo quieres que tus usuarios autentiquen su identidad? ¿Quieres usar LDAP, autenticación basada en certificados o una combinación de ambos?
• ¿Cuánto tiempo quieres que dure la sesión de un usuario antes de que caduque? Ten en cuenta que hay diferentes valores de tiempo de espera para los servicios en segundo plano, Citrix ADC y para poder acceder a las aplicaciones sin conexión.
• ¿Quieres que los usuarios configuren un código de acceso a nivel de dispositivo y un código de acceso a nivel de aplicación? ¿Cuántos intentos de inicio de sesión quieres permitir? Ten en cuenta los requisitos adicionales de autenticación por aplicación que podrían implementarse con MAM y cómo los usuarios podrían percibirlos.

• ¿Qué otras restricciones quieres imponer a los usuarios? ¿Quieres dar a los usuarios acceso a servicios en la nube como Siri? ¿Qué pueden hacer con cada aplicación que les pones a disposición y qué no pueden hacer? ¿Quieres implementar políticas de red corporativa (Wi-Fi) para evitar que se utilicen planes de datos móviles desde dentro de la oficina?

• Aplicación frente a dispositivo

Una de las primeras cosas a considerar es si quieres proteger:

• Solo ciertas aplicaciones (administración de aplicaciones móviles, o MAM)
• Todo el dispositivo (administración de dispositivos móviles, o MDM).
• MDM+MAM

Lo más común es que, si no necesitas control a nivel de dispositivo, solo tengas que administrar las aplicaciones móviles, especialmente si tu organización admite Trae Tu Propio Dispositivo (BYOD). | C1 | C2 | C3 | C4 | Los usuarios con dispositivos que Citrix Endpoint Management no administra pueden instalar aplicaciones a través de la tienda de aplicaciones. En lugar de controles a nivel de dispositivo, como el borrado selectivo o completo, controlas el acceso a las aplicaciones a través de políticas de aplicación. Según los valores que configures, las políticas requieren que el dispositivo compruebe Citrix Endpoint Management periódicamente para confirmar que las aplicaciones aún tienen permiso para ejecutarse.

MDM te permite proteger un dispositivo completo, incluida la capacidad de hacer un inventario de todo el software en un dispositivo. MDM te permite evitar la inscripción si el dispositivo tiene jailbreak, está rooteado o tiene software inseguro instalado. Sin embargo, asumir este nivel de control hace que los usuarios desconfíen de permitir tanto poder sobre sus dispositivos personales y puede reducir las tasas de inscripción.

Autenticación

| Name | Description | Type | Default |

• La autenticación es donde tiene lugar gran parte de la experiencia de usuario. Si tu organización ya está ejecutando Active Directory, usar Active Directory es la forma más sencilla de que tus usuarios accedan al sistema.

• Otra parte importante de la experiencia de usuario de autenticación son los tiempos de espera. Un entorno de alta seguridad podría hacer que los usuarios inicien sesión cada vez que acceden al sistema. Esa opción podría no ser ideal para todas las organizaciones o casos de uso.

Entropía de usuario

Para mayor seguridad, puedes habilitar una función llamada entropía de usuario. Citrix Secure Hub y algunas otras aplicaciones a menudo comparten datos comunes como contraseñas, PIN y certificados para asegurar que todo funcione correctamente. Esta información se almacena en una bóveda genérica dentro de Citrix Secure Hub. Si habilitas la entropía de usuario a través de la opción Cifrar secretos, Citrix Endpoint Management crea una bóveda llamada UserEntropy. Citrix Endpoint Management mueve la información de la bóveda genérica a esta nueva bóveda. Para que Citrix Secure Hub u otra aplicación acceda a los datos, los usuarios deben introducir una contraseña o un PIN.

La activación de la entropía de usuario agrega otra capa de autenticación en varios lugares. Como resultado, cada vez que una aplicación requiere acceso a datos compartidos en la bóveda de UserEntropy (incluidas contraseñas, PIN y certificados), los usuarios deben autenticarse. | Name | Description | Type | Default | Puedes obtener más información sobre la entropía de usuario leyendo Acerca de MDX Toolkit. Para activar la entropía de usuario, puedes encontrar los ajustes relacionados en las Propiedades del cliente. | Name | Description | Type | Default | | Name | Description | Type | Default |

Directivas

| Cell 1 | Cell 2 | Cell 3 | Cell 4 | Tanto las directivas MDX como las MDM ofrecen una gran flexibilidad a las organizaciones, pero también pueden restringir a los usuarios. Es posible que desees esa restricción en algunas situaciones, pero las directivas también pueden hacer que un sistema sea inutilizable. Por ejemplo, es posible que desees bloquear el acceso a aplicaciones en la nube como Siri o iCloud que tienen el potencial de enviar datos confidenciales a ubicaciones externas. Puedes configurar una directiva para bloquear el acceso a estos servicios, pero ten en cuenta que dicha directiva puede tener consecuencias no deseadas. Por ejemplo, el micrófono del teclado de iOS depende del acceso a la nube.

Aplicaciones

• Enterprise Mobility Management (EMM) se divide en Mobile Device Management (MDM) y Mobile Application Management (MAM). Mientras que MDM permite a las organizaciones proteger y controlar los dispositivos móviles, MAM facilita la entrega y la administración de aplicaciones. Con la creciente adopción de BYOD, normalmente puedes implementar una solución MAM, como Citrix Endpoint Management, para ayudar con lo siguiente:

• entrega de aplicaciones
• licencias de software
• configuración
• administración del ciclo de vida de las aplicaciones

Con Citrix Endpoint Management, puedes agregar más seguridad a estas aplicaciones configurando directivas MAM y ajustes de VPN específicos para evitar fugas de datos y otras amenazas de seguridad. Citrix Endpoint Management ofrece a las organizaciones la flexibilidad de incluir la funcionalidad MDM y MAM en el mismo entorno.

• Además de la capacidad de entregar aplicaciones a dispositivos móviles, Citrix Endpoint Management ofrece la contenedorización de aplicaciones mediante la tecnología MDX. MDX protege las aplicaciones mediante cifrado que es independiente del cifrado a nivel de dispositivo proporcionado por la plataforma. Puedes borrar o bloquear aplicaciones. Las aplicaciones están sujetas a controles granulares basados en directivas. Los proveedores de software independientes (ISV) pueden aplicar estos controles mediante el SDK de aplicaciones móviles.

En un entorno corporativo, los usuarios usan varias aplicaciones móviles para ayudar en su función laboral. Las aplicaciones pueden incluir aplicaciones de la tienda de aplicaciones pública, aplicaciones desarrolladas internamente o aplicaciones nativas. Citrix Endpoint Management clasifica estas aplicaciones de la siguiente manera:

• Aplicaciones públicas: Estas aplicaciones incluyen aplicaciones gratuitas o de pago disponibles en una tienda de aplicaciones pública, como Apple App Store o Google Play. Los proveedores externos a la organización a menudo ponen sus aplicaciones a disposición en las tiendas de aplicaciones públicas. Esta opción permite a sus clientes descargar las aplicaciones directamente de Internet. Es posible que uses muchas aplicaciones públicas en tu organización según las necesidades de los usuarios. Ejemplos de estas aplicaciones incluyen GoToMeeting, Salesforce y las aplicaciones de EpicCare.

• Citrix® no admite la descarga de binarios de aplicaciones directamente de las tiendas de aplicaciones públicas para luego empaquetarlos con el MDX Toolkit para la distribución empresarial. Para habilitar aplicaciones de terceros con MDX, ponte en contacto con tu proveedor de aplicaciones para obtener los binarios de la aplicación. Puedes empaquetar los binarios usando el MDX Toolkit o integrar el SDK de MAM con los binarios.

• Aplicaciones internas: Muchas organizaciones tienen desarrolladores internos que crean aplicaciones que ofrecen una funcionalidad específica y que se desarrollan y distribuyen de forma independiente dentro de la organización. En ciertos casos, algunas organizaciones también pueden tener aplicaciones que proporcionan los ISV. Puedes implementar estas aplicaciones como aplicaciones nativas o puedes contenedorizar las aplicaciones usando una solución MAM, como Citrix Endpoint Management. Por ejemplo, una organización sanitaria puede crear una aplicación interna que permita a los médicos ver la información del paciente en dispositivos móviles. Una organización puede entonces habilitar con el SDK de MAM o empaquetar con MDM la aplicación para proteger la información del paciente y habilitar el acceso VPN al servidor de la base de datos de pacientes de back-end.

  • Aplicaciones web y SaaS: Estas aplicaciones incluyen aplicaciones a las que se accede desde una red interna (aplicaciones web) o a través de una red pública (SaaS). Citrix Endpoint Management también te permite crear aplicaciones web y SaaS personalizadas mediante una lista de conectores de aplicaciones. Estos conectores de aplicaciones pueden facilitar el inicio de sesión único (SSO) a las aplicaciones web existentes. Para obtener más información, consulta Tipos de conectores de aplicaciones. Por ejemplo, puedes usar Google Apps SAML para SSO basado en Security Assertion Markup Language (SAML) para Google Apps.

Aplicaciones de productividad móvil: Las aplicaciones de productividad móvil son aplicaciones desarrolladas por Citrix que están incluidas con la licencia de Citrix Endpoint Management. Para obtener más información, consulta Acerca de las aplicaciones de productividad móvil. Citrix también ofrece otras aplicaciones listas para empresas. Los ISV desarrollan aplicaciones listas para empresas mediante el SDK de aplicaciones móviles.

Aplicaciones HDX: Las aplicaciones HDX son aplicaciones alojadas en Windows que publicas con StoreFront. Si tienes un entorno de Citrix Virtual Apps and Desktops, puedes integrar las aplicaciones con Citrix Endpoint Management para ponerlas a disposición de los usuarios inscritos.

Según el tipo de aplicaciones móviles que planees implementar y administrar con Citrix Endpoint Management, la configuración y la arquitectura subyacentes difieren. Supongamos que muchos grupos de usuarios con varios niveles de permisos usan una sola aplicación. En ese caso, puedes crear grupos de entrega separados para implementar dos versiones de la aplicación. Asegúrate de que la pertenencia a los grupos de usuarios sea mutuamente excluyente para evitar incoherencias de directivas en los dispositivos de los usuarios.

Es posible que también quieras administrar las licencias de aplicaciones iOS mediante Apple Volume Purchase. Esta opción requiere que te registres en el programa Apple Volume Purchase. Y debes usar la consola de Citrix Endpoint Management para configurar los ajustes de Volume Purchase. Esa configuración te permite distribuir las aplicaciones con las licencias de Volume Purchase. Varios casos de uso como estos hacen que sea importante evaluar y planificar tu estrategia de MAM antes de implementar el entorno de Citrix Endpoint Management. Puedes empezar a planificar tu estrategia de MAM definiendo lo siguiente:

• Tipos de aplicaciones: Enumera los diferentes tipos de aplicaciones que planeas admitir. Luego, clasifica las aplicaciones, como públicas, nativas, aplicaciones de productividad móvil de Citrix, web, internas y aplicaciones de ISV. Además, clasifica las aplicaciones para diferentes plataformas de dispositivos, como iOS y Android. Esta clasificación te ayuda a alinear los ajustes de Citrix Endpoint Management que se requieren para cada tipo de aplicación. Por ejemplo: Ciertas aplicaciones podrían no ser aptas para el wrapping. O bien, algunas aplicaciones podrían requerir el uso del SDK de aplicaciones móviles para habilitar API especiales para la interacción con otras aplicaciones.

Requisitos de red: Configura las aplicaciones con requisitos específicos de acceso a la red con los ajustes adecuados. Por ejemplo, ciertas aplicaciones podrían necesitar acceso a tu red interna a través de una VPN. Algunas aplicaciones podrían requerir acceso a Internet para enrutar el acceso a través de la DMZ. Para permitir que dichas aplicaciones se conecten a la red requerida, tienes que configurar varios ajustes en consecuencia. Define los requisitos de red por aplicación para ayudar a finalizar tus decisiones arquitectónicas de antemano. Ese trabajo agiliza el proceso general de implementación.

Requisitos de seguridad: Define los requisitos de seguridad que se aplican a aplicaciones individuales o a todas las aplicaciones. Algunos ajustes, como las directivas MDX, se aplican a aplicaciones individuales. Los ajustes de sesión y autenticación se aplican a todas las aplicaciones. Algunas aplicaciones podrían tener requisitos específicos de cifrado, contenerización, wrapping, autenticación, geocercado, código de acceso o uso compartido de datos. Esboza esos requisitos con antelación para simplificar tu implementación.

Requisitos de implementación: Es posible que quieras usar una implementación basada en directivas para permitir que solo los usuarios conformes descarguen las aplicaciones publicadas. Por ejemplo, es posible que quieras que ciertas aplicaciones requieran que:

• el cifrado basado en la plataforma del dispositivo esté habilitado
  • el dispositivo esté administrado
  • el dispositivo cumpla una versión mínima del sistema operativo
  • ciertas aplicaciones estén disponibles solo para usuarios corporativos

Esboza esos requisitos con antelación para que puedas configurar las reglas o acciones de implementación adecuadas.

Requisitos de licencia: Registra los requisitos de licencia relacionados con las aplicaciones. Esas notas te ayudan a administrar el uso de licencias de manera efectiva y a decidir si necesitas configurar funciones específicas en Citrix Endpoint Management para facilitar la concesión de licencias. Por ejemplo, si implementas una aplicación iOS gratuita o de pago, Apple impone requisitos de licencia en la aplicación haciendo que los usuarios inicien sesión en su cuenta de Apple Store. Puedes registrarte en Apple Volume Purchase para distribuir y administrar estas aplicaciones a través de Citrix Endpoint Management. Volume Purchase permite a los usuarios descargar las aplicaciones sin tener que iniciar sesión en su cuenta de Apple Store. Además, herramientas como Samsung Knox tienen requisitos de licencia especiales, que debes cumplir antes de implementar esas funciones.

Requisitos de lista de permitidos y lista de bloqueados: Es probable que quieras evitar que los usuarios instalen o usen algunas aplicaciones. Crea una lista de permitidos de aplicaciones que hacen que un dispositivo no cumpla con las normas. Luego, configura directivas para que se activen cuando un dispositivo deje de cumplir con las normas. Por otro lado, una aplicación podría ser aceptable para su uso, pero podría estar en la lista de bloqueados por alguna razón. En ese caso, puedes agregar la aplicación a una lista de permitidos e indicar que la aplicación es aceptable para usar, pero no es obligatoria. Además, ten en cuenta que las aplicaciones preinstaladas en los dispositivos nuevos pueden incluir algunas aplicaciones de uso común que no forman parte del sistema operativo. Esas aplicaciones podrían entrar en conflicto con tu estrategia de lista de bloqueados.

Caso de uso de aplicaciones

Una organización de atención médica planea implementar Citrix Endpoint Management para que sirva como solución MAM para sus aplicaciones móviles. Las aplicaciones móviles se entregan a usuarios corporativos y BYOD. TI decide entregar y administrar las siguientes aplicaciones:

• Aplicaciones de productividad móvil: Aplicaciones iOS y Android proporcionadas por Citrix.
• Citrix Files: Aplicación para acceder a datos compartidos y para compartir, sincronizar y modificar archivos.

Tienda de aplicaciones pública

• Citrix Secure Hub: Cliente utilizado por todos los dispositivos móviles para comunicarse con Citrix Endpoint Management. TI envía configuraciones de seguridad, configuraciones y aplicaciones móviles a los dispositivos móviles a través del cliente Citrix Secure Hub. Los dispositivos Android e iOS se inscriben en Citrix Endpoint Management a través de Citrix Secure Hub.
• Citrix Workspace app: Aplicación móvil que permite a los usuarios abrir en dispositivos móviles aplicaciones alojadas por Citrix Virtual Apps.
• GoToMeeting: Un cliente de reuniones en línea, uso compartido de escritorio y videoconferencias que permite a los usuarios reunirse con otros usuarios de PC, clientes o colegas a través de Internet en tiempo real.
• SalesForce1: Salesforce1 permite a los usuarios acceder a Salesforce desde dispositivos móviles y reúne todo Chatter, CRM, aplicaciones personalizadas y procesos de negocio en una experiencia unificada para cualquier usuario de Salesforce.
• RSA SecurID: Token basado en software para autenticación de dos factores.
• EpicCare apps: Estas aplicaciones proporcionan a los profesionales de la salud acceso seguro y portátil a historiales de pacientes, listas de pacientes, programaciones y mensajería.
  • Haiku: Aplicación móvil para iPhone y teléfonos Android.
  • Canto: Aplicación móvil para iPad.
  • Rover: Aplicaciones móviles para iPhone y iPad.

HDX: Citrix Virtual Apps entrega aplicaciones HDX a Citrix Workspace.

• Epic Hyperspace: Aplicación cliente de Epic para la gestión de registros de salud electrónicos.

ISV

• Vocera: Aplicación móvil de mensajería y voz sobre IP compatible con HIPAA que extiende los beneficios de la tecnología de voz de Vocera en cualquier momento y lugar a través de smartphones iPhone y Android.

Aplicaciones internas

• HCMail: Aplicación que ayuda a redactar mensajes cifrados, buscar libretas de direcciones en servidores de correo internos y enviar los mensajes cifrados a los contactos utilizando un cliente de correo electrónico.

Aplicaciones web internas

• PatientRounding: Aplicación web utilizada para registrar información de salud del paciente por diferentes departamentos.
• Outlook Web Access: Permite el acceso al correo electrónico a través de un navegador web.
• SharePoint: Se utiliza para el intercambio de archivos y datos en toda la organización.

La siguiente tabla enumera la información básica necesaria para la configuración de MAM.

• Epic Hyperspace

  Aplicación HDX™

  NA

  Sí

• Vocera

  Aplicación ISV

  Sí

  Sí

  Sí

• HCMail

  Aplicación interna

  Sí

  Sí

  • PatientRounding

    Aplicación web

    NA

    Sí

    Sí

  • Outlook Web Access	Aplicación web	NA	Sí	Sí
    SharePoint	Aplicación web	NA	Sí

Las siguientes tablas enumeran los requisitos específicos que puedes consultar al configurar las políticas de MAM en Citrix Endpoint Management.

-  | Nombre de la aplicación | VPN requerida | Interacción \(con aplicaciones fuera del contenedor) | Interacción \(desde aplicaciones fuera del contenedor) | Cifrado basado en la plataforma del dispositivo |
-  | --------------- | --------------- | -------------------- | --------------- | -------------------------------- |
-  | Citrix Secure Mail | S | Permitido selectivamente | Permitido | No requerido | | Citrix Secure Web | S | Permitido | Permitido | No requerido |

• Citrix Files	S	Permitido	Permitido	No requerido
  Citrix Secure Hub	S	N/A	N/A	N/A
  Citrix Workspace app	S	N/A	N/A	N/A
  GoToMeeting	N	N/A	N/A	N/A

  • SalesForce1

    N

    N/A

    N/A

    N/A

  • RSA SecurID

    N

    N/A

    N/A

    N/A

  • Epic Haiku

    S

    N/A

    N/A

    N/A

  • Epic Canto

    S

    N/A

    N/A

    N/A

  • Epic Rover

    S

    N/A

    N/A

    N/A

  • Epic Hyperspace

    S

    N/A

    N/A

    N/A

  • Vocera

    S

    Bloqueado

    Bloqueado

    No requerido

  • HCMail

    S

    Bloqueado

    Bloqueado

    Requerido

• PatientRounding

  S

  N/A

  N/A

  Requerido

  • Outlook Web Access

    S

    N/A

    N/A

    No requerido

  • SharePoint

    S

    N/A

    N/A

    No requerido

  • Nombre de la aplicación

    Filtrado de proxy

    Licencias

    Geocercado

    SDK de aplicaciones móviles

    Versión mínima del sistema operativo

  • Citrix Secure Mail	Requerido	N/A	Requerido selectivamente	N/A	Aplicado
    Citrix Secure Web	Requerido	N/A	No requerido	N/A	Aplicado

• Secure Notes

  Requerido

  N/A

  No requerido

  N/A

  Aplicado

• Citrix Files

  Requerido

  N/A

  No requerido

  N/A

  Aplicado

• Citrix Secure Hub

  No requerido

  Compra por volumen

  No requerido

  N/A

  No aplicado

• Citrix Workspace app	No requerido	Compra por volumen	No requerido	N/A	No aplicado
  GoToMeeting	No requerido	Compra por volumen	No requerido	N/A	No aplicado

• SalesForce1

  No requerido

  Compra por volumen

  No requerido

  N/A

  No aplicado

• RSA SecurID

  No requerido

  Compra por volumen

  No requerido

  N/A

  No aplicado

• Epic Haiku

  No requerido

  Compra por volumen

  No requerido

  N/A

  No aplicado

• Epic Canto

  No requerido

  Compra por volumen

  No requerido

  N/A

  No aplicado

• Epic Rover

  No requerido

  Compra por volumen

  No requerido

  N/A

  No aplicado

• Epic Hyperspace

  No requerido

  N/A

  No requerido

  N/A

  No aplicado

• Vocera

  Requerido

  N/A

  Requerido

  Requerido

  Aplicado

• HCMail

  Requerido

  N/A

  Requerido

  Requerido

  Aplicado

• PatientRound-ing

  Requerido

  N/A

  No requerido

  N/A

  No aplicado

• Outlook Web Access

  Requerido

  N/A

  No requerido

  N/A

  No aplicado

• SharePoint

  Requerido

  N/A

  No requerido

  N/A

  No aplicado

Comunidades de usuarios

Cada organización consta de diversas comunidades de usuarios que operan en diferentes roles funcionales. Estas comunidades de usuarios realizan diferentes tareas y funciones de oficina utilizando diversos recursos que tú proporcionas a través de dispositivos de usuario. Los usuarios pueden trabajar desde casa o en oficinas remotas utilizando los dispositivos móviles que tú les proporcionas. O bien, los usuarios pueden ser propietarios de sus dispositivos móviles, lo que les permite acceder a herramientas sujetas a ciertas reglas de cumplimiento de seguridad.

A medida que más comunidades de usuarios comienzan a utilizar dispositivos móviles en sus roles laborales, la Gestión de la Movilidad Empresarial (EMM) se vuelve fundamental para prevenir fugas de datos. La EMM también es fundamental para aplicar las restricciones de seguridad de una organización. Para una Gestión de Dispositivos Móviles eficiente y más sofisticada, puedes categorizar tus comunidades de usuarios. Hacerlo simplifica la asignación de usuarios a los recursos y alinea las políticas de seguridad adecuadas con los usuarios.

El siguiente ejemplo ilustra cómo se clasifican las comunidades de usuarios de una organización de atención médica para la EMM.

Caso de uso de comunidades de usuarios

Esta organización de atención médica de ejemplo proporciona recursos tecnológicos y acceso a muchos usuarios, incluidos empleados de red y afiliados, y voluntarios. La organización ha optado por implementar la solución EMM solo para usuarios no ejecutivos.

Los roles y funciones de los usuarios para esta organización se pueden dividir en subgrupos que incluyen: clínicos, no clínicos y contratistas. Los usuarios seleccionados reciben dispositivos móviles corporativos, mientras que otros pueden acceder a recursos limitados de la empresa desde sus dispositivos personales. Para aplicar el nivel adecuado de restricciones de seguridad y prevenir fugas de datos, la organización decidió que el departamento de TI corporativo gestiona cada dispositivo inscrito. Esos dispositivos pueden ser propiedad de la empresa o Trae Tu Propio Dispositivo (BYOD). Además, los usuarios solo pueden inscribir un único dispositivo.

La siguiente sección proporciona una descripción general de los roles y funciones de cada subgrupo:

Clínicos

• Enfermeros
• Médicos (doctores, cirujanos, etc.)
• Especialistas (dietistas, anestesiólogos, radiólogos, cardiólogos, oncólogos, etc.)
• Médicos externos (médicos no empleados y personal de oficina que trabaja desde oficinas remotas)
• Servicios de Salud a Domicilio (personal de oficina y móvil que realiza servicios médicos para visitas a domicilio de pacientes)
• Especialista en Investigación (trabajadores del conocimiento y usuarios avanzados en seis Institutos de Investigación que realizan investigación clínica para encontrar respuestas a problemas en medicina)
• Educación y Formación (enfermeros, médicos y especialistas en educación y formación)

No clínicos

• Servicios Compartidos (personal de oficina que realiza diversas funciones administrativas, incluyendo RR. HH., Nóminas, Cuentas por Pagar y Servicio de Cadena de Suministro)
• Servicios Médicos (personal de oficina que realiza diversas funciones de gestión de atención médica, servicios administrativos y soluciones de procesos de negocio para proveedores, incluyendo: Servicios Administrativos, Análisis e Inteligencia de Negocio, Sistemas de Negocio, Servicios al Cliente, Finanzas, Administración de Atención Gestionada, Soluciones de Acceso al Paciente, Soluciones de Ciclo de Ingresos, etc.)
• Servicios de Soporte (personal de oficina que realiza diversas funciones no clínicas, incluyendo: Administración de Beneficios, Integración Clínica, Comunicaciones, Gestión de Compensaciones y Rendimiento, Servicios de Instalaciones y Propiedades, Sistemas de Tecnología de RR. HH., Servicios de Información, Auditoría Interna y Mejora de Procesos, etc.)
• Programas Filantrópicos (personal de oficina y móvil que realiza diversas funciones en apoyo de programas filantrópicos)

Contratistas

• Socios fabricantes y proveedores (conectados in situ y de forma remota a través de VPN de sitio a sitio, proporcionando diversas funciones de soporte no clínicas)

Basándose en la información anterior, la organización creó las siguientes entidades. Para obtener más información sobre los grupos de entrega en Citrix Endpoint Management, consulta Implementar recursos.

Unidades organizativas (OU) y grupos de Active Directory

Para la OU = Recursos de Citrix Endpoint Management:

• OU = Clínico; Grupos =
  • XM-Personal de Enfermería
  • XM-Médicos
  • XM-Especialistas
  • XM-Médicos Externos
  • XM-Servicios de Salud a Domicilio
  • XM-Especialistas en Investigación
  • XM-Educación y Formación
• OU = No Clínico; Grupos =
  • XM-Servicios Compartidos
  • XM-Servicios Médicos
  • XM-Servicios de Asistencia
  • XM-Programas Filantrópicos

• Usuarios y grupos locales de Citrix Endpoint Management

• Para el Grupo= Contratistas, Usuarios =

• Proveedor1
• Proveedor2
• Proveedor 3

• … Proveedor 10

• Grupos de entrega de Citrix Endpoint Management

• Clínico-Personal de Enfermería
• Clínico-Médicos
• Clínico-Especialistas
• Clínico-Médicos Externos
• Clínico-Servicios de Salud a Domicilio
• Clínico-Especialistas en Investigación
• Clínico-Educación y Formación
• No Clínico-Servicios Compartidos
• No Clínico-Servicios Médicos
• No Clínico-Servicios de Asistencia
• No Clínico-Programas Filantrópicos

Asignación de grupos de entrega y grupos de usuarios

Asignación de grupos de entrega y recursos

Las siguientes tablas ilustran los recursos asignados a cada grupo de entrega en este caso de uso. La primera tabla muestra las asignaciones de aplicaciones móviles. La segunda tabla muestra la aplicación pública, las aplicaciones HDX y los recursos de administración de dispositivos.

Notas y consideraciones

• Citrix Endpoint Management crea un grupo de entrega predeterminado llamado Todos los usuarios durante la configuración inicial. Si no deshabilitas este grupo de entrega, todos los usuarios de Active Directory tienen derecho a inscribirse en Citrix Endpoint Management.
• Citrix Endpoint Management sincroniza los usuarios y grupos de Active Directory bajo demanda utilizando una conexión dinámica al servidor LDAP.
• Si un usuario forma parte de un grupo que no está asignado en Citrix Endpoint Management, ese usuario no puede inscribirse. Del mismo modo, si un usuario es miembro de muchos grupos, Citrix Endpoint Management solo lo categoriza como parte de los grupos asignados a Citrix Endpoint Management.

Requisitos de seguridad

El alcance de las consideraciones de seguridad relacionadas con un entorno de Citrix Endpoint Management puede volverse rápidamente abrumador. Hay muchas piezas y configuraciones interconectadas. Es posible que no sepas por dónde empezar o qué elegir para asegurarte de que haya un nivel de protección aceptable disponible. Para simplificar estas elecciones, Citrix ofrece recomendaciones para seguridad Alta, Superior y Máxima, como se describe en la siguiente tabla.

Las preocupaciones de seguridad no son la única consideración para el modo en que se inscriben tus dispositivos: MAM, MDM+MAM con MDM opcional o MDM+MAM con MDM obligatorio. También es importante revisar los requisitos del caso de uso y decidir si puedes mitigar las preocupaciones de seguridad antes de elegir tu modo de administración.

Alta: El uso de estas configuraciones proporciona una experiencia de usuario óptima a la vez que mantiene un nivel básico de seguridad aceptable para la mayoría de las organizaciones.

Superior: Estas configuraciones crean un equilibrio más sólido entre seguridad y usabilidad.

Máxima: Seguir estas recomendaciones proporciona un alto nivel de seguridad a costa de la usabilidad y la adopción por parte del usuario.

Consideraciones de seguridad del modo de administración

La siguiente tabla especifica los modos de administración para cada nivel de seguridad.

Notas:

• Dependiendo del caso de uso, una implementación solo con MAM puede cumplir los requisitos de seguridad y proporcionar una buena experiencia de usuario.
• Para casos de uso como BYOD en los que todos los requisitos empresariales y de seguridad podrían satisfacerse solo con la contenerización de aplicaciones, Citrix recomienda el modo solo MAM.
• Para entornos de alta seguridad (y dispositivos corporativos), Citrix recomienda MDM+MAM para aprovechar todas las capacidades de seguridad disponibles.

Consideraciones de seguridad de Citrix ADC y NetScaler Gateway

La siguiente tabla especifica las recomendaciones de Citrix ADC y NetScaler Gateway para cada nivel de seguridad.

Notas:

• Exponer el servidor de Citrix Endpoint Management a Internet a través de NAT o de proxies/equilibradores de carga de terceros existentes podría ser una opción para MDM. Sin embargo, en ese caso, el tráfico SSL termina en un servidor de Citrix Endpoint Management, lo que supone un riesgo de seguridad potencial.
• Para entornos de alta seguridad, NetScaler Gateway con la configuración predeterminada de Citrix Endpoint Management suele cumplir o superar los requisitos de seguridad.
• Para las inscripciones de MDM con las mayores necesidades de seguridad, la terminación SSL en NetScaler Gateway te permite inspeccionar el tráfico en el perímetro, manteniendo el cifrado SSL de extremo a extremo.
• Opciones para definir cifrados SSL/TLS.
• Para obtener más información, consulta Integración con NetScaler Gateway y Citrix ADC.

Consideraciones de seguridad para la inscripción

La siguiente tabla especifica las recomendaciones de Citrix ADC y NetScaler Gateway para cada nivel de seguridad.

Notas:

• Citrix generalmente recomienda que restrinjas la inscripción solo a los usuarios de grupos de Active Directory predefinidos. Esta restricción requiere deshabilitar el grupo de entrega integrado de todos los usuarios.
• Puedes usar invitaciones de inscripción para restringir la inscripción a usuarios con una invitación. Las invitaciones de inscripción no están disponibles para dispositivos Windows.
• Puedes usar invitaciones de inscripción con PIN de un solo uso (OTP) como solución de autenticación de dos factores y para controlar el número de dispositivos que un usuario puede inscribir. (Las invitaciones OTP no están disponibles para dispositivos Windows).

Consideraciones de seguridad para el código de acceso del dispositivo

La siguiente tabla especifica las recomendaciones de código de acceso del dispositivo para cada nivel de seguridad.

Notas:

• Citrix recomienda el uso de un código de acceso para el dispositivo.
• Puedes aplicar un código de acceso para el dispositivo mediante una política de MDM.
• Puedes usar una política MDX para que un código de acceso del dispositivo sea un requisito para usar aplicaciones administradas; por ejemplo, para casos de uso BYOD.
• Citrix recomienda combinar las opciones de política de MDM y MDX para aumentar la seguridad en las inscripciones de MDM+MAM.
• Para entornos con los requisitos de seguridad más altos, puedes configurar políticas de código de acceso complejas y aplicarlas con MDM. Puedes configurar acciones automáticas para notificar a los administradores o emitir borrados selectivos/completos del dispositivo cuando un dispositivo no cumple una política de código de acceso.