Comparteix:

Decàleg de recomanacions de seguretat dels dispositius mòbils

Decàleg de recomanacions de seguretat dels dispositius mòbils del Centre Criptològic Nacional

L'ús creixent de les comunicacions mòbils juntament amb les tecnologies sense fil situa els dispositius mòbils com un dels objectius principals per als atacants. La proliferació de dispositius mòbils unida al desenvolupament de capacitats, prestacions i possibilitats d'utilització d’aquests aparells, fan necessari plantejar-se quina és la seguretat oferta per aquest tipus de dispositius respecte a la informació que gestionen, tant dins dels entorns corporatius com en l'àmbit particular.

1. El dispositiu mòbil ha d'estar protegit mitjançant un codi d'accés robust associat a la pantalla de bloqueig (o, si no, una empremta dactilar digital). El codi d'accés ha de ser sol·licitat immediatament després que s’hagi apagat la pantalla, que hauria de bloquejar-se automàticament tan aviat com fos possible si l’usuari no està actiu. No s'ha de deixar el dispositiu mòbil desatès sense bloquejar.

2. S'han d’utilitzar les capacitats natives de xifratge del dispositiu mòbil amb l'objectiu de protegir-ne totes les dades i la informació emmagatzemades.

3. El sistema operatiu del dispositiu mòbil ha d'estar sempre actualitzat, igual que totes les aplicacions mòbils.

4. No s’ha de connectar el dispositiu mòbil a ports USB desconeguts i no s’ha d’acceptar cap relació de confiança a través d'USB si no es té constància que s’està connectant el dispositiu mòbil a un ordinador de confiança.

5. S’han de deshabilitar totes les interfícies de comunicació sense fil del dispositiu mòbil (NFC, Bluetooth i BLE, wifi, serveis de localització, etc.) que l’usuari no hagi d’utilitzar de forma permanent. S’haurien d'habilitar només quan s’utilitzin i tornar a deshabilitar-les quan es deixen de fer servir.

6. No s’ha de connectar el dispositiu mòbil a xarxes wifi públiques obertes (o wifi hotspots) que no tinguin implementada cap tipus de seguretat.

7. No s’ha d’instal·lar cap app que no provingui d'una font de confiança, com ara els mercats oficials d'apps (Google Play, App Store...).

8. Es recomana no atorgar permisos innecessaris o excessius a les apps, amb la qual cosa se’n limiten les dades i la funcionalitat a la qual tindran accés.

9. Sempre que sigui possible s'ha de fer servir el protocol HTTPS (mitjançant la inserció del text "https: //" abans de l'adreça web del servidor a què es contactar). Mai s'hauria d'acceptar un missatge d'error de certificat digital vàlid.

10. S'han de fer còpies de seguretat periòdicament, i preferiblement automàtiques, de tots els continguts de seguretat del dispositiu mòbil que es vol protegir i conservar.

Referència:

Informe CCN-CERT BP-03/16, Buenas Prácticas en Dispositivo móviles, capacidad de respuesta a incidentes de seguridad de la Información del Centro Criptológico Nacional.

https://www.ccn-cert.cni.es/informes/informes-ccn-cert-buenas-practicas-bp/1757-ccn-cert-bp-03-dispositivos-moviles/file.html