La Seguretat Informàtica és tema que preocupa a les Empreses. És habitual que rebem consultes sobre antivirus, privacitat i seguretat dels ordinadors de treball o dels servidors. Hi ha un aspecte de seguretat que molt sovint s’oblida i que té una importància cabdal. La seguretat del mòbil.
El Mòbil s’ha convertit en una eina de treball imprescindible i queden poques empreses que no tinguin accés des del mòbil a eines d’administració o gestió sigui a través d’una APP o d’una web de gestió que s’accedeix des del mòbil. Donat que el mòbil és normalment administrat pel propi usuari és una font de possibles vulnerabilitats que cal saber gestionar.
Hem fet un recull de les accions per mantenir un mòbil dins de l’entorn empresarial de forma segura. Com que estan de moda els decàlegs ho fem amb aquest format:
#ContrasenyesSegures
Les recomanacions generals per una contrasenya segura són:
- Més de 6 caràcters
- Contenir més d’una paraula
- Signes de puntuació, nombres, minúscules, majúscules…
- Recordables (per evitar tenir-les anotades)
- Diferents per cada servei
Si intentem fer això que es demana podem tenir contrasenyes del tipus GºFeR5tP cosa que es fa impossible de recordar. Però si utilitzem una sèrie de regles mnemotècniques pot ser molt fàcil. Estem preparant un article sobre aquest punt.
#Bloqueja’l
En cas de pèrdua, robatori o atac del teu mòbil cal que a qui li arribi no pugui accedir a dades personals teves.
Si deixem el telèfon desbloquejat i arriba a mans indesitjables podran estirar molta informació només d’un sol dispositiu. No ho posem fàcil. Cal que tinguem una protecció de desbloqueig sigui patró, pin o empremta.
#UsuarisContrasenyes
Molt sovint podem accedir a serveis de la pròpia empresa a través del mòbil. Quan és així, normalment, cal introduir les credencials d’accés (usuari i password). Cal no emmagatzemar-les mai en el mòbil. En cas de pèrdua, qui el trobés podria tenir accés a moltes funcionalitats privades de l’empresa.
#APPsSegures
La majoria de vulnerabilitats dels mòbils venen per aplicacions instal·lades que rebenten els sistemes de seguretat. Per tant, cal que sempre tinguem sempre molt present que no hem d’instal·lar aplicacions si no estem absolutament segurs de l’origen.
Sovint, per afegir una funcionalitat a un mòbil ens demanen que el rootegem (canviem el root del mòbil), instal·lem un programa de proves (*.apk) o altres coses per l’estil. Pot estar molt bé per provar alguna cosa però si algun component és maliciós, el mòbil veurà compromesa la seva seguretat per sempre més. Si tens dubtes de si s’ha instal·lat algun component perillós sempre pots ressetejar el mòbil: tornar a la instal·lació de fàbrica amb uns senzills passos (compte que pot ocasionar pèrdua de dades).
No pots confiar cegament amb el software de Google Play o Apple Store. Així que abans d’instal·lar cap App assegura’t que hi confies. I no està de més passar un antivirus (si, pel mòbil) de tant en tant.
Totes les APPs demanen permisos d’accés: a contactes, a memòria, a fotografies… Abans de donar permís sempre pensa si aquell programa realment ho necessita. A tall d’exemple, hi ha jocs que demanen accés a càmera per poder afegir una foto a un personatge del joc. ¿Qui ens diu que no utilitzaran l’accés a càmera per gravar-nos quan estem amb el joc encès?
#Significació
No donarem lliçons de com s’ha de gestionar la visibilitat de la ideologia d’una empresa (si en té). Es tracta que aquesta visibilitat sigui controlada i desitjada. És a dir, cal vigilar d’evitar errors en el maneig de les Xarxes Socials que facin que opinions fetes des de l’àmbit personal afectin a la visió de l’empresa.
Val la pena, doncs, que se segueixin les següents recomanacions:
- Revisar periòdicament el perfil de la pròpia empresa per cercar possibles errors del Community Manager (persona que s’encarregui de la gestió de XXSS)
- Evitar l’enllaç de l’empresa a les XXSS dels seus empleats/directius si aquests hi tenen opinions que no van en la línia “oficial” de l’empresa. En cas de voler fer-se l’enllaç pot ser convenient crear comptes de XXSS laborals/empresarials.
#AtacsBluetooth
Una de les formes més habituals d’atac indiscriminat a mòbils és via Bluetooth. Si detectes un intent de connexió a Bluetooth que no tens clar d’on ve cal que deneguis la connexió immediatament i que et posis en alerta i investiguis una mica d’on prové l’intent de connexió
#WIFIsPúbliques
La connexió a WIFIs públiques hauria d’estar prohibida en qualsevol mòbil, més encara si se’n fa un ús empresarial. És extremadament fàcil perpetrar atacs del tipus MiM (Man in th Midle) a través d’aquesta tècnica. En cas que la connexió a una wifi publica fos imprescindible, recomanem fer un canvi general de contrasenyes tan bon punt es tingui una connexió segura.
#ConfiguraNúvol
Els mòbils que tenim, emmagatzemen molta informació al núvol: indrets on hem estat, horaris, alarmes, informacions de cerques… Revisa la configuració del teu compte per saber que s’està emmagatzemant i què no. Si no ho tens clar, demana-li a algú de confiança que t’hi ajudi.
#AltaPrivacitat
Si necessites un nivell alt de privacitat, bé perquè maneges informació considerada molt delicada o perquè ets un bon objectiu per hackers caldrà que extremis les precaucions en quant a privacitat. Aquests són alguns dels elements a tenir en compte:
- Missatgeria: WhatsApp, Telegram i Signal Cal saber quina utilitzar en cada moment
- Apagar el mòbil o determinats connectors (Mode avió)
- GPS: Informació històrica de moviments
- Navegació Privada (VPN/Tor, Orbot…)
#AntiPhising
Mai obris un fitxer adjunt a un correu si no estàs segur de què conté, de la mateixa manera no informis mai camps en una app o web que hi hagis arribat via un enllaç d’un correu (sigui qui sigui qui te l’enviï). El Phishing és el tipus d’atac més habitual contra usuaris i pot arribar a fer molt mal.