Hoy he encontrado un blog bastante chulo. Se llama “La vida como director de sistemas de información sanitarios“… como supondréis, he tardado 0,2 segundos en suscribirme (RSS).
El primer artículo que he leído explica algunas sencillas normas para proteger la información contenida en un iPad o iPhone 4. Dada la popularidad que están cobrando estos dispositivos en el ámbito sanitario, bien merece la pena comentar estos consejos.
- Tener el dispositivo actualizado SIEMPRE. Es curioso, pero existe un miedo inexplicable en el usuario medio a las actualizaciones… cuando ven una pantalla informando de una actualización, o pulsan “Cancelar” o lo ignoran hasta que desaparece por sí solo. Creo que este miedo viene por dos motivos fundamentales: desconocimiento y la costumbre de tener aplicaciones pirateadas (por ejemplo Windows… y ese típico consejo de tu informátic@ de cabecera diciendo: “No actualices que te lo pillan y se congela el ordenador”). Mi consejo: actualizad siempre… todo lo que tengáis… y no pirateéis aplicaciones, el software libre os puede ayudar en todo lo que podáis necesitar.
- Instalad la aplicación gratuita “Find my iPhone” y configúrala con tu cuenta de Mobile Me, añadiendo tu iPad o iPhone y configurando las opciones de seguimiento.
- Configura el autobloqueo, con una contraseña larga (y segura) y que todo el contenido se borre tras 10 intentos fallidos de acceso. Podéis consultar la entrada para ver cómo hacer todo esto, la ayuda de vuestro dispositivo o San Google.
Bueno, tras todo esto… un día perdemos el dispositivo o nos lo roban (ojalá que no)… ¿qué hacemos?
Si hemos seguido todos los pasos, podemos considerar nuestra información relativamente segura, pero, toda precaución es poca: cambia toda contraseña o PIN (de tarjetas, accesos a banca online, etcétera) que pudieras tener almacenada en el dispositivo.
LO MÁS IMPORTANTE: Usa “Find my iPhone” o Mobile Me para borrar todo el contenido de tu dispositivo de forma remota.
Algunas consideraciones:
- Los certificados para saltar esta seguridad están guardados en el PC con el que tengas sincronizado el dispositivo (se generan durante la instalación y primera sincronización). Si te roban el iPad con tu Mac o PC (la mochila, vamos), el dispositivo será tan vulnerable como lo sea el portátil, así que, protege todos tus dispositivos como si te los pudieran robar en cualquier momento.
- La clave de encriptación del sistema de ficheros es conocida por Apple (la tienen para poder desbloquear cualquier dispositivo por orden judicial)… esto es una gran vulnerabilidad, que se pone de manifiesto en lo fácil que es piratear el iPhone (del iPad no sé nada, pero supongo que no será complicado)… ¿qué quiere decir esto? Que CUALQUIERA tiene las claves de encriptación de Apple, ya que es la única manera de que la hayan pirateado como lo han hecho. Tenemos otros ejemplos de ataques a claves de encriptación corporativas para hardware… el pirateo de la PlayStation 3. Si la clave no la has generado tú… fíate poco.
- Si el que lo ha robado sabe lo que hace, lo normal es que saque la tarjeta SIM en cuanto pueda, dificultando mucho la posibilidad del borrado remoto (aún quedaría la posibilidad de que se conectara a Internet por WIFI, pero si ha sido precavido en lo primero, no confiéis en que cometa un error en esta segunda opción).
- Aunque el dispositivo esté bloqueado, lo normal es que esté continuamente comunicándose con Internet, por lo que no sería complicado interceptar estas comunicaciones y recolectar usuarios y contraseñas de tus redes sociales, por ejemplo (si tenemos instalado algún cliente de Twitter o Facebook).
- Se conseguiría mayor protección si se usara alguna aplicación para encriptar el espacio de datos del usuario. El blog pone un ejemplo: MobileIron… pero estas cosas ya no son gratuitas…
Mi opinión al respecto es que cuantos menos datos tenga almacenado el dispositivo, menor será el riesgo.
En este sentido, la estrategia de Google (con su Chrome OS) me parece magnífica… puedes perder el dispositivo que dará igual; te pillas otro, pones tu usuario y contraseña y a seguir por donde ibas. Os dejo un enlace a un vídeo (subtitulado) que explica este sistema operativo. Pero claro, surgirán las típicas suspicacias de que la información está en manos de Google y tal.
Para los que piensen así, hay otras alternativas muy interesantes: Jolicloud, un sistema operativo completo en la nube… vaaaale, también está la información en el servidor de un tercero… Para los desconfiados recalcitrantes, tenemos EyeOS (sistema de escritorio virtual de software libre que puedes montarte en tu intranet… y ya todo depende de ti).
Otra opción es guardar nuestros datos sensibles en un gestor documental de nuestra empresa y no dejar nada guardado en el dispositivo.
Pero bueno, no me quiero alargar más, que me estoy desviando del tema.
Si tuviera que resumir toda la entrada en un par de líneas, os diría que no hay nada invulnerable, que la prudencia es tu mejor amiga a la hora de proteger tu información, que el desconocimiento y la despreocupación son sus peores enemigos y que tienes que estar preparado para que pierdas/te roben tu dispositivo cuando menos te lo esperes.
Espero que esta entrada os resulte útil.
Fuente: Life as a Healthcare CIO.