sábado, febrero 12, 2011

Whitepapers y dispositivos móviles

Durante esta semana, desde Informática64, hemos estado involucrados en la publiación de un par de Whitepapers que tienen que ver con Smartphones y dispositivos móviles. Ya están disponibles para descarga, así que os informo de ellos:

iPad: La LOPD y el Esquema Nacional de Seguridad

Muchas empresas se están animando alegremente a introducir dispositivos iPad en sus entornos corporativos porque... ¡mola!. Seguro que algunos dicen que es más productivo, más cómodo, más... pamplinas, la verdad es que la verdadera razón es porque les parece molón. Sin embargo, el intentar convertir un dispositivo como iPad, que implementa un sistema operativo como iOS en una plataforma corporativa de ejecución de aplicaciones, puede ser una catastrofe para los equipos IT y legales.

En Informática 64 le encargamos a Juan Luis G. Rambla, autor entre otros, del libro de Aplicación de la LOPD en la empresa, que mirara si se pueden cumplir todos los aspectos de la LOPD y el Esquema Nacional de Seguridad con iPad. La respuesta, a parte de ser que no en muchos aspectos, la dejó plasmada en un documento de 45 páginas que tenéis disponible en la siguiente URL: iPad - LOPD y Esquema Nacional de Seguridad.

En el documento se analizan en detalles los puntos de las leyes que no se cumplen con un dispositivo iPad. Por supuesto, esto puede trasladarse también a los dispositivos iPhone.

Malware y Smartphones

Este whitepaper ha sido realizado desde el CNCCS, es decir, el Consejo Nacional Consultivo de CyberSeguridad, que no es nada más que un grupo de empresas que trabajan en seguridad informática que se han unido en una asociación privada con el objetivo de colaborar en la difusión y alerta de seguridad.

Desde el CNCCS se ha sacado este documento, de más de 30 páginas, en el que se hace un análisis de la situación actual en cuanto a smartphones y malware y, lo que es más importante, las recomendaciones de seguridad que deberían tenerse presentes para mantener seguros esos dispositivos que son:

- Habilitar medidas de acceso al dispositivo como el PIN o contraseña si está disponible.
- Configurar el smartphone para su bloqueo automático pasados unos minutos de inactividad.
- Antes de instalar una nueva aplicación revisar su reputación. Sólo instalar aplicaciones que provengan de fuentes de confianza.
- Prestar atención a los permisos solicitados por las aplicaciones y servicios a instalar.
- Mantener el software actualizado, tanto el Sistema Operativo como las aplicaciones.
- Deshabilitar características mientras no se usen: Bluetooth, infrarrojos o Wi-fi.
- Configurar el Bluetooth como oculto y con necesidad de contraseña.
- Realizar copias de seguridad periódicas.
- Cifrar la información sensible cuando sea posible.
- Utilizar software de cifrado para llamadas y SMS.
- Siempre que sea posible no almacenar información sensible en el smartphone, asegurándose que no se cachea en local.
- Al deshacerse del smartphone borrar toda la información contenida en el smartphone.
- En caso de robo o pérdida del smartphone informar al proveedor de servicios aportando el IMEI del dispositivo para proceder a su bloqueo.
- En determinados casos pueden utilizarse opciones de borrado remoto o automático (después de varios intentos de acceso fallidos).
- Monitorizar el uso de recursos en el smartphone para detectar anomalías.
- Revisar facturas para detectar posibles usos fraudulentos.
- Mantener una actitud de concienciación en el correcto uso de estos dispositivos y los riesgos asociados.
- Extremar la precaución al abrir un correo, un adjunto de un SMS o hacer click en un enlace. Cabe destacar que esta fue una de las vías de entrada del Zeus-Mitmo.
- Desconfiar de los archivos, enlaces o números que vengan en correos o SMS no solicitados.
- Evitar el uso de redes Wi-fi que no ofrezcan confianza.
- Tener en cuenta este tipo de dispositivos en su política de seguridad corporativa.


A estas medidas, los más preocupados por la seguridad, pueden añadir la de instalar un firewall para el dispositivo, foriticar las opciones de seguridad de cualquier aplicación instaladad en el equipo, configurar alguna solución antimalware para dispositivos smartphone o integrar los smartphones corporativos en los sistemas de administración y control corporativos de la empresa.

Puedes descargar el Whitepaper desde la siguiente URL: Malware y Smarphones

Todo esto hay que tenerlo muy presente ya que cada día van apareciendo nuevas formas de sacar información de smartphones no fortificados que sean robados o perdidos, como, por ejemplo para iPhone, que ya hay scripts de búsqueda de mensajes SMS, buenas herramientas forenses profesionales o técnicas para extraer todas las passwords almacenadas en él en menos de 6 minutos.

¡Ale!, ya tienes para leer el fin de semana }:))

Saludos Malignos!

7 comentarios:

DekkaR dijo...

"Muchas empresas se están animando alegremente a introducir dispositivos iPad en sus entornos corporativos porque... ¡mola!."

Que mas se puede decir, sobre este articulo ....

(Copy/Paste de comentario mío en SeguridadApple)
No voy hacer ningún comentario especifico sobre el pdf del iPad, ya que ello me llevaría un tiempo que no tengo.

Solo voy a dejar los lectores de este blog, un par de enlaces, para valorar en su justa medida la "calidad" de este... digamos, documento.

http://developer.apple.com/programs/ios/enterprise/

Ejemplo de las posibilidades para empresas:
http://developer.apple.com/library/ios/#featuredarticles/FA_Wireless_Enterprise_App_Distribution/Introduction/Introduction.html%23//apple_ref/doc/uid/TP40009979-CH1-SW2

palako dijo...

Demonios! El problema es que yo ya tengo un trabajo a tiempo completo, no se como voy a meter todo eso en mi dia para poder usar el movil.... Creo que me paso a las señales de humo. Algun documento de 75 paginas sobre la seguridad de eso?

Maligno dijo...

@DekkaR, te lo dije en el otro blog, te lo digo en éste: Por muchas aplicaciones que desarrolles, mientras no haya posibilidad de administrar el dispositivo, cumplir la LOPD y el ENS en muchos entornos es IMPOSIBLE.

Saludos!

UnaM1 dijo...

Interesantísimo el white paper sobre iPad. Creo que una buena parte de las conclusiones son extrapolables a otros dispositivos móviles (incluido Blackberry y dispositivos con Android).

Parece imparable el uso intensivo de tablets en el ámbito empresarial, pero hay un camino por recorrer antes de que la seguridad de estos dispositivos nos permita estar tranquilos cara a cumplimiento de normativas.

Es lo que tiene usar un teléfono móvil gigante para sustituir a un PC.

Saludos

Anónimo dijo...

Maligno! como estas? hace mucho que no pasaba por aquí, muy interesante el paper, pero tengo una duda, FOCA corre en Mac?

Chicho

SuperVHS dijo...

Hola,

acabo de leer esto:
http://www.hardware.com.br/noticias/2011-02/senhas-ios.html
(esta en portugués, pero demás que pueden buscar info relacionada en español/ingles).

salu2

SuperVHS dijo...
Este comentario ha sido eliminado por el autor.

Eleven Paths Blog

Seguridad Apple

Entradas populares