Universidad Don Bosco

Escuela de Postgrados

Seguridad en la Comunicación de Datos y Dispositivos Personales

Catedrático:
Mgtr. Leonel Maye

Tarea 3:

Instalación de un MDM (versión Open Source)

Integrantes:

Guillermo Alfonso Diaz Jiménez DJ222799

Alejandro Eduardo Orellana Mulato OM100092

Nelson Rafael Puente Echegoyen                                 PE990316

Jonathan Orlando Sura Cárcamo SC100156

Ricardo Ernesto Valle Linares VL100723

San Salvador, 19 junio 2023

Objetivo
Realizar prueba de concepto sobre las funcionalidades de un MDM

Requerimientos
1. Instalación virtualizada de Headwind MDM
2. Definir las políticas de seguridad que serán aplicadas a los móviles
3. Identificar cada una de las políticas del ítem 2 con los controles de la
ISO 27001 aplicables
4. Realizar el enrolamiento de al menos un dispositivo

Nota: El reporte escrito debe contener:

● Una(s) captura de pantalla de los requerimientos 1 y 4
● Url de software: https://h-mdm.com/
Fecha de entrega:
● Lunes 23:59 del 19 de junio 2023
 1. Instalación virtualizada de Headwind MDM

Previamente se debe haber realizado la virtualización del equipo a utilizar para las
pruebas a realizar.

Server colocado para la implementacion de headwind MD

Dominio utilizado para la implementación

A continuación se mostraran los pasos para instalar el software ejecutando los

siguientes comandos:
apt update
apt install -y apt tomcat9 postgresql vim certbot unzip net-tools

Luego se procede a instalar la base de datos usando los siguientes comandos:

su - postgres
psql
postgres=# CREATE USER hmdm WITH PASSWORD 'topsecret';
postgres
=# CREATE DATABASE hmdm WITH OWNER=hmdm;
postgres=# \q
exit

Como siguiente paso se realizará la descarga y se descomprimirá el instalador, se

usan los siguientes comandos:

wget https://h-mdm.com/files/hmdm-5.18-install-ubuntu.zip
unzip hmdm-5.18-install-ubuntu.zip
cd hmdm-install/

Una vez realizado esto se procede con la instalación de Headwind MDM

./hmdm_install.sh
Después de este paso ya es posible revisar que ya se tiene acceso al panel Web
de Headwind MDM accediendo al URL http://build.h-mdm.com:8080 usando
cualquier navegador.

Se recomienda validar la instalación, validando que el panel de administrador esté

funcionando, el url https://npuente.site debe abrir el panel web. El usuario y
contraseña por defecto será admin/admin respectivamente (se nos indicará que se
cambie la contraseña a una más segura).

2. Definir las políticas de seguridad que serán aplicadas a los móviles

Política de seguridad para dispositivos móviles

1. Creación de contraseñas seguras: Todos los dispositivos móviles de la empresa

deben tener una contraseña segura, que contenga al menos doce caracteres, con
una combinación de letras, números, y símbolos para garantizar que sólo el
usuario del teléfono autorizado conozca la contraseña.

2. Proceso de actualizaciones de software: Todos los dispositivos móviles

empresariales deben estar actualizados con el software más reciente del
fabricante para garantizar que se incluyan las últimas correcciones de seguridad
proporcionadas para el dispositivo móvil y esto se debe de realizar en un periodo
no mayo a 5 días luego del lanzamiento de la actualización en el mercado.

3. Implementación de la Encriptación en los dispositivos: Todos los datos

almacenados en los dispositivos móviles deben estar encriptados. Esto incluye las
copias de seguridad, los archivos y las comunicaciones cabe resaltar que es
obligación del usuario del móvil realizar el backup correspondiente de información
para resguardar los datos empresariales.

4. Implementaciones de restricciones de descarga: Los usuarios deben estar

restringidos a descargar aplicaciones provenientes de fuentes no confiables y sólo
se pueden descargar los aplicativos desde fuentes fiables y oficiales del proveedor
del teléfono, como por ejemplo Google Play o App Store para evitar la descarga de
aplicaciones maliciosas o comprometidas.

5. Implementar la protección contra virus: Se deben utilizar la aplicaciones

anti-virus móviles empresarial designada para garantizar que no haya virus o
malware en el dispositivo móvil que puedan comprometer a la empresa.

6. Cumplir con el uso de redes seguras u oficiales: Los usuarios deben estar
limitados a conectarse solamente a las redes Wi-Fi oficiales y portadoras seguras,
se debe evitar redes públicas sin protección de ser posible realice el uso de VPN
móviles para evitar robos de información.

7. Cumplir con la política de uso de los dispositivos móviles: Los dispositivos

móviles deben ser utilizados exclusivamente con fines laborales y los usuarios no
deben descargar o realizar conversaciones de índole personal en los teléfonos
oficiales empresariales.

8. Cumplimiento con la restricción de acceso: Se debe tener mucho cuidado con

las aplicaciones que soliciten acceso a la información privada, como contactos,
ubicaciones, mensajes, y datos personales, de ser posible estas aplicaciones
deben ser instaladas con acceso limitado.

9. Se debe cumplir con la capacitación de empleados: Se debe mantener un

programa constante de capacitación para los empleados sobre las mejores
prácticas y recomendaciones para mantener la seguridad de los dispositivos
móviles. La formación debe incluir las políticas establecidas y los riesgos más
comunes

10 Política de "bring your own device" (trae tu propio dispositivo): Se debe

establecer una política clara para los dispositivos de uso personal de los
empleados, para evitar la conexión a la red empresarial a nivel de WI-FI, estos
dispositivos solo podrán conectarse a la red de invitados.

Al implementar esta política, se pueden reducir los riesgos de seguridad y los

costos asociados a la pérdida de datos y la recuperación de información en caso
de una violación de seguridad.

3. Identificar cada una de las políticas del ítem 2 con los controles de la ISO
27001 aplicables.

De Acuerdo a lo establecido en la ISO 27001 sobre las políticas de Seguridad de

la Información como medidas concretas que mitiguen los riesgos de la seguridad
de la información en el uso de dispositivos móviles en una organización para un
entorno de headwind MD tenemos:

El registro de nuevos dispositivos: en la empresa cada dispositivo móvil debe

ser registrado con el software utilizado por la empresa en nuestro caso el
headwind MD.
La cancelación de registro de dispositivos móviles: Si los dispositivos móviles
son desechados o puestos fuera de uso de los usuarios es necesario que el
administrador del Headwind MD realice el proceso para eliminarlo fuera del
programa, este proceso se realiza dando click en el botón eliminar.

Requisitos de seguridad física: Todo dispositivo registrado a nivel de la

compañía dentro del entorno de Headwind MD debe estar ligado a nivel del IMEI
del dispositivo.
Requisitos de seguridad técnica incluidas conexiones remotas: Dentro del
entorno de seguridad se debe restringir los permisos de los aplicaciones para el
acceso invasivo al entorno de headwing MD
Control de software: Las APP permitidas dentro del entorno del dispositivo móvil
serán establecidos previamente por el administrador de Headwind MD con el
objetivo de la mitigación de las vulnerabilidad de aplicativos poco seguros

Control de acceso y encriptación en reposo y de dispositivos en tránsito: La

encriptación no es parte del entorno de headwind MD debido a las restricciones
colocadas en el registro del dispositivo móvil, pero para un entorno de seguridad
se puede incluir el modo de encriptación el cual se aplica al iniciar el enrolamiento
de los dispositivos.
4. Realizar el enrolamiento de al menos un dispositivo
Para enrollar el dispositivo se debe considerar los siguientes ítems:
● Use un nuevo dispositivo Android 7.0+ o restablezca la configuración de
fábrica
● Toque 6 veces en una pantalla de inicio (por ejemplo, en un texto de "Hola")
● Configurar la conexión Wi-Fi
● Escanea el código QR
● Deje que la herramienta de aprovisionamiento administrado descargue e
instale la aplicación
● Otorgar los permisos que solicita la aplicación
● Introduce el ID del dispositivo si la aplicación te lo pide.

Inicio de despliegue
Enrolamiento finalizado y con las apps instaladas
Equipo enrolado en nuestro MDM