10 recomanacions en mesures de seguretat per smartphones i tablets per complir amb la normativa de Protecció de dades personals.

El gran augment dels darrers anys de l’ús de dispositius mòbils (tablets i smartphones), ha comportat un revolució en l’ús d’Internet, de les comunicacions, de manera de treballar i dels hàbits de relacions humanes. Ara disposem d’ordinadors amb connexió a Internet molt potents a la butxaca, fent que ens puguem connectar a Internet i usar un munt d’aplicacions des de qualsevol lloc sempre que tinguem cobertura.

L’ús d’aquest dispositius, comença a generar dubtes sobre la seva seguretat. Darrerament i força sovint amb pregunten: tens antivirus al mòbil? com podem adaptar tablets i mòbils a la LOPD? és per això que he decidit fer aquest article.

Mesures de Seguretat

La seguretat dels smatphones o tablets depèn de l’ús que si faci, igual que en l’ordinador. Si l’utilitzem com a eina de treball, encara hem de tenir més precaucions, des del mòbil es gestionen un munt de dades personals susceptibles a la Llei de Protecció de dades.

Primer de tot, cal tenir en compte que moltes de les mesures de e seguretat estan relacionades directament amb les funcions i aplicacions concretes de cada model de dispositiu (accés per reconeixement facial o de empremta digital). Els mòdels més nous i de categoria més alta incorporen més opcions de seguretat.

10 recomanacions en mesures de seguretat:

1. La primer mesura de seguretat d’identificació per entrar als nostres dispositius, com ara: contrasenyes, indentificació facial, indentificació per empremta digital, regles d’accés…. És simple però important i imprescindible per ús professional.

Recomanacions:

• Disposar de mesures de recuperació de contrasenyes.
• Canviar-les períodicament.
• No utilitzar les mateixa per totes les nostres comptes.
• Si deixem d’utilitzar temporalment el dispositiu que salti la protecció d’identificació.
• Si utilitzem contrasenyes, salvagurardar-les i protegir-les.
• Utilitzar contrasenyes complexes, utilitzant:

Lletres
Números
Minúscules i majúscules
Signes: (&%;: )
Mínim 9 caràcters.

2. Còpies de seguretat, sobretot de les dades susceptible de la Llei de protecció de dades. Això és resolt molt bé amb aplicacions al núvol, com ara: dropbox, calendar, Owncloud, Gmail (versió professional), Office 365, etc…

Els serveis al núvol com els backups remots, han de ser els premium o professionals, és a dir, els de pagament. S’haurà de mirar si aquest serveis hi ha moviment internacional de dades i com es documentaria el domicili on es resideixen les dades.

3. Només descarregar aplicacions i sistema operatiu de llocs de confiança. –IMPORTANT

4. Mantenir el sistema operatiu actualitzat. Moltes de les millores i actualitzacions estan relacionades amb la seguretat.

5. Mantenir les aplicacions instal·lades actualitzades.

6. Wifi: S’aconsell connectar-se en xarxes que la seva propietat estigui verificada. Tenir en compte que connectar-se a un xarxa implica que l’administrador pot intervenir el tràfic.

7. Si teniu moltes dades i documents residents en la memòria interna o Micro SD del vostre dispositiu i susceptibles de la Llei de Protecció de Dades, caldria xifrar-les.

8. En funcions professionals, ús exclusiu del propietari del dispositiu o persona autoritzada segons la normativa de Protecció de dades.

Hi ha sistemes operatius que ja permeten disposar de diversos perfils com ara Android 4.2 .

9. Conèixer l’IMEI (número que identifica el terminal) per poder-lo donar de baixa en cas de pèrdua o robatori.

10. Evitar el phishing.  El Phishing és una tècnica que consisteix a enganyar a l’usuari per robar-li informació confidencial, claus d’accés, etc., fent-li creure que està en un lloc de total confiança.

Verifica les webs i aplicacions que consultem o instal·lem en els nostres dispositius.

No proporcionar informació confidencial:

• Phising és un engany i utilitzen un munt de tècniques. Per exemple: correu que ens fa guanyadors d’un premi, o que volen verificar les nostres dades i ens les demanen, o que el nostre compte està bloquejat per sobrepassar l’espai contracte i que tornem a posar les dades – NO FER CAS. Si tenim dubte trucar.
• On més és ceba el phinshing són amb els serveis bancaris. El teu banc mai et demanarà que li enviïs les teves claus o dades personals per correu.
• Introdueix les teves dades confidencials únicament en webs segures.
• Les webs segures han de començar per ‘https://’ i ha d’aparèixer en el teu navegador la icona d’un petit cadenat tancat.
• Accedir a webs amb informació confidencial posant directament l’adreça en el navegador. No accedir mitjançant enllaços, podem anar a parar a una web falça.

Recomanacions generals:

Utilitzar totes les aplicacions possible al núvol, com: dropbox, Gmail, Outook, Owncloud, Calendar, etc… En cas d’us professional, cal usuar les versions premium, com per exemple Google Apps for Bussines o Office 365. Alhora de consultar informació o documents, aquestes aplicacions no instal·len res en els nostres dispositius, ja que només els visualitzem, per tant, no hi ha tant de perill en poder descarregar algun programa maliciós en el nostre dispositiu. Si que s’ha de vigilar i protegir l’accés aquesta informació. També cal Disposar d’un mecanisme de seguretat localment en algun equip de confiança.

En cas de pèrdua o canvi de dispositiu, CANVIAR totes les contrasenyes de les aplicacions, sobretot les que tingui dades personals com ara el correu electrònic.

Tenir accés al compte d’usuari de la companyia per de Telecomunicacions. Allà podem gestionar el PIN, PUK i IMEI, així tenim l’opció bloquejar el nostre telefon (per exemple: Mi Vodafone)

Conclusions:

Hi ha força controvèrcia amb l’eficàcia de l’ús dels antivirus en general, però en especial en els dispositius mòbils. Cal tenir en compte que es mengen molta capacitat de processament del dispositius. De moment, no té el mateix risc que un ordinador amb Windows.

Els sistemes operatius dels dispositius mòbils, ja estan estructurats i disposen de mesures de seguretat per evitar virus o programes maliciosos. També cal tenir en compte que no tots els sistemes operatius per smatphones o tablet tenen programes d’Antivirus. Qui més opcions disposa és Android, però els iPhone, Ipad i Blackberry no en tenen. També podem trobar alguna cosa en Windows Phone .

Dins les mesures de seguretat, la llei no anomena explicitament els antiviurs, encara que per si sol ja és una mesura de seguretat.

Cal antiviirus? La meva recomanació és complir les mesures de seguretat que marca la llei protecció de dades, Si us heu de sentir més segurs i el mòbils us ho permet, us podeu instal·lar un antivirus.

Les mesures i recomanacions d’aquest article us poden ajudar a mantenir segurs els vostres dispositius.

Que diu la Llei? Articles i lleis destacats.

Ley Orgánica 15/1999 de Protección de datos de carácter personal, 13 de diciembre (BOE 14 de desembre 1999).
Articles 9 Seguridad de los datos:

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garantice la seguridad de los datos de carácter personal y evite su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana del medio físico o natural….

Articla 44 Tipos de saciones
…
3. Son infracciones graves:
h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
…

Real Decreto 1720/2007 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. Aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999. , 21 de diciembre de 2007. (BOE 8 de gener de 2008)

Artículo 101. Gestión y distribución de soportes
1. La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.
2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.
Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.
3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.

Artículo 102. Copias de respaldo y recuperación
Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación.

Els vídeos i les imatges poden ser l’eix central de la notícia, però això ho desenvoluparé en un altre article.