Menú principal

sábado, 12 de febrero de 2011

[Whitepaper] iPad: Puntos que se incumplen de la Ley de Protección de Datos y el Esquema Nacional de Seguridad

En la actualidad no es inusual que un dispositivo como iPad, que presentaba originalmente el doméstico como su mercado potencial, se incorpore a entornos corporativos como un sistema informático más y para una utilización profesional del mismo. Sin embargo, y en lo que a la seguridad de la información se refiere, las necesidades de cumplimiento de las organizaciones no son las mismas que para un usuario particular. Por lo tanto, es necesario evaluar por parte de las empresas las condiciones de uso para este nuevo tipo de tecnologías.

En relación a lo anterior, desde Informática 64 se ha realizado un análisis, y se ha emitido el correspondiente informe asociado, evaluando el cumplimiento de un par de las normativas exigibles para este tipo de dispositivos en las empresas situadas en territorio nacional. Para ello se ha tomado como referencia, tanto la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de Desarrollo, como el Esquema Nacional de Seguridad (ENS) en el ámbito de la administración pública electrónica, con tecnologías iPad.

El análisis realizado toma como premisa la aplicación de las medidas técnicas exigidas por ambas normas, evaluando su cumplimiento y teniendo en consideración para ello tanto las funcionalidades propias del dispositivo como de las aplicaciones que para éste pueden ser descargadas desde Apple Store. Las pruebas se han realizado sin modificar las condiciones de garantía proporcionadas por el fabricante. También se han tenido en consideración las recomendaciones que éste proporciona para su uso y gestión en entornos empresariales.

Se plantean, en los análisis realizados, distintos escenarios de uso, donde un iPad por sus características de movilidad pudiera ser un elemento fundamental en las operaciones de un usuario. Las pruebas llevadas a cabo atienden a los siguientes aspectos técnicos: Autenticación, almacenamiento, cifrado, comunicaciones, trazabilidad y medidas de protección.

Las medidas técnicas evaluadas han sido tratadas desde dos perspectivas diferentes. Por una parte, el uso local del dispositivo y por otra la utilización del mismo en un entorno de red. De igual modo, los resultados del análisis han tenido en consideración las limitaciones impuestas por el sistema iOS incorporado en el dispositivo. Finalmente en el estudio se ha intentado localizar la existencia de alternativas viables que permitan el cumplimiento de las medidas exigidas.

Tras la realización del análisis y de las diferentes pruebas que éste ha incorporado, se llega a la conclusión de que no es aconsejable la utilización de iPad para el tratamiento de datos de carácter personal en un entorno profesional y de empresa. La falta de mecanismos de autenticación local o los sistemas de trazabilidad son algunas de las problemáticas críticas que se han encontrado para que un iPad pueda ser utilizado para la gestión y almacenamiento de información sujeta a LOPD. La movilidad de este tipo de dispositivos, los hacen propicios para utilizarlos fuera del trabajo, sin embargo sus características no son adecuadas para el cumplimiento normativo tal y como se ha indicado.

Una circunstancia similar se da en el cumplimiento del ENS, donde a algunos requisitos ya exigidos por la LOPD, se suman otros como los de gestión, inventariado, operacionales y de protección que no son adecuadamente atendidos por este tipo de dispositivos. Algunas de las carencias pueden ser subsanadas mediante la adquisición de elementos adicionales, pero en múltiples escenarios y por las propias características técnicas del dispositivo, no se llega al cumplimiento de norma necesario. Las concurrencias de medidas específicas para estos dispositivos, sumadas a las generales de toda la organización, incrementarán los costes tanto económicos como operacionales, teniendo en ocasiones que plantear sistemas duales de administración.

Aunque la utilización de dispositivos iPad en determinados sectores pudiera ser atractiva, hay que calibrar adecuadamente su utilización cuando concurran necesidades de cumplimiento normativo. El análisis realizado y cuyos resultados se reflejan en el documento, permitirá tener la visión de qué aspectos de normativa son cumplimentados y cuáles no. En cualquier caso no debe olvidarse en ningún momento que la ley no aplica soluciones parciales, se cumple o no se cumple.

Puedes descargar el documento completo desde la siguiente URL: iPad: LOPD y ENS. El autor, Juan Luís G. Rambla, es también el escritor del libro sobre la Implantación de la LOPD en la empresa y Consultor de Seguridad en Informática64.

49 comentarios:

  1. No voy hacer ningún comentario especifico sobre este documento, ya que ello me llevaría un tiempo que no tengo.

    Solo voy a dejar los lectores de este blog, un par de enlaces, para valorar en su justa medida la "calidad" de este... digamos, documento.

    http://developer.apple.com/programs/ios/enterprise/

    Ejemplo de las posibilidades para empresas:
    http://developer.apple.com/library/ios/#featuredarticles/FA_Wireless_Enterprise_App_Distribution/Introduction/Introduction.html%23//apple_ref/doc/uid/TP40009979-CH1-SW2

    ResponderEliminar
  2. @Dekkar la "calidad" de ese... digamos documento, está en base a la legislación española.

    Lo que tu pones son documentos de iOS en la empresa, que nada tiene que ver con la legislación española.

    Aquí hemos hablado de gestionar Mac en la empresa.

    Por último, tu comentario sobre la "calidad" de ese documento, me parece soez e insultante, más cuando aún reconoces que no te has leido el documento. Entiendo que te escondas si todas las críticas las haces así, sin leer el documento y faltando al respeto.

    Si crees que aportar valor consiste en lanzar dos links rápidamente de unos documentos que no han tenido en cuenta la legislación española, para para criticar un documento que no has leido, tienes mucho que aprender sobre comportarte en Internet.

    Saludos!

    ResponderEliminar
  3. Por cierto, el otro comentario que no salió publicado fue porque el filtro antispam de Google lo detuvo, por algo será. No fuimos nosotros.

    Saludos!

    ResponderEliminar
  4. Los enlaces que pongo, no tiene nada que ver con ninguna legislación.

    Son las posibilidades que disponen las empresas, para el uso de terminales iOS y que este "super documento" se salta a la torera.
    Y cubre, muchas (quizás no todas) de las lagunas señaladas en el documento.

    Pero lo que es un ........ es hablar sobre el iPad en la empresa, sin hacer referencia a dichas herramientas empresariales. Y eso es lo que quería señalar.

    Y creo que es una critica valida.

    Sobre lo de los comentarios, no se a que te refieres, todos los que he puesto yo están publicados.

    ResponderEliminar
  5. @DekkaR, se han tenido en cuenta las herramientas disponibles, así que por favor, si puedes, leete el documento antes de criticarlo.

    ResponderEliminar
  6. @DekkaR, tras leerme tus links, veo que hablan de despliegue pero no de las carencias en cumplimiento LOPD y Esquema Nacional de Seguridad que cita el Whitepapper.

    De verdad, tus comentarios son de fanboy, no de alguien que trabaja en seguridad profesionalmente.

    ResponderEliminar
  7. Se me olvidaba..

    SI me he leido el documento.
    Como no podia ser de otra manera, si se leen mis comentarios.

    Y a ver...
    Si esto fuera Engadget, ni perdía un segundo en comentar cosas de este tipo....
    Pero vosotros se supone, que específicamente, tratáis de temas de seguridad y creo que se os puede pedir algo mas...

    ResponderEliminar
  8. @Dekkar, si te lo has leído, dinos que está mal del Whitepapper, estaremos encantados de mejorarlo. Pero no digas: la "calidad" de ese... documento, como si fuera basura.

    En cuanto a lo de pedir más ¿Te parece pocco 45 páginas de análisis?

    ResponderEliminar
  9. "De verdad, tus comentarios son de fanboy, no de alguien que trabaja en seguridad profesionalmente."

    No solo se trata de distribución.

    Las posibilidades, a partir del momento que una empresa, dispone de su propia AppStore son infinitas, y estoy seguro que vuestra capacidad, da para llegar a ellas....

    Y... tienes razón... no trabajo en la "seguridad profesionalmente".
    Creo que se nota...

    ResponderEliminar
  10. Maligno a veces me paso un poco, lo siento.

    Pero creo que mi critica es valida, a poco que investiguéis en el tema.

    ResponderEliminar
  11. @Dekkar, lo que tu has puesto es que Apple certifique una app para que la distribuya solo en mi empresa, no que se puede cambiar la forma de trabajar con iPad.

    Además, para entrar en ese programa primero hay que conseguir un DUNS Number, cosa "muy sencilla" en USA.

    Leete primero bien el whitepaper que hemos escrito y nos cuentas qué parte es mejorable.

    Saludos!

    ResponderEliminar
  12. En castellano:
    http://www.apple.com/es/iphone/business/apps/in-house/resources.html

    "
    Distribución interna
    Las apps para el iPhone distribuidas con el método corporativo NO SON REMITIDAS al App Store. Las apps de desarrollo interno pueden alojarse en un sitio web o en un sistema de archivos compartidos, o bien se pueden enviar directamente a los usuarios por correo electrónico. Para su instalación, el usuario solo tiene que sincronizar el iPhone con iTunes.
    "
    A partir de hay... el infinito y mas alla...

    A partir de esto que partes del documento son validas o no.... podría ser tajante, pero no lo voy a ser.

    Pero una segunda revisión del documento, puede ser factible y no desmerece a nadie.

    Las grandes firmas de seguridad, constantemente hacen revisiones de sus documentos y no pasa nada. Es más, es señal de profesionalidad y calidad.

    ResponderEliminar
  13. @Dekkar, estamos construyendo una aplicación para un cliente que la quiere en iPad y, mientras que todas las aplicaciones corran como usuario, puedes construir una o un millón, que, sin hacer jailbreak, hay entornos en los que no se cumple la LOPD y el ENS, es así de sencillo.

    Saludos!

    ResponderEliminar
  14. No perdamos la perspectiva de que Informática 64 trabaja en estrecha colaboración con Microsoft...

    ResponderEliminar
  15. @Freeneonia, sí, y con muchísimos otros fabricantes de software. Pero nuestro foco es la seguridad informática desde hace años y hemos plasmado en un documento de 45 páginas nuestras conclusiones. Hemos analizado punto por punto las leyes. Tienes el trabajo publicado ahí.

    Hemos expuesto públicamente nuestro trabajo para, si quieres, criticarlo, pero intentar desacreditar el mensaje por el mensajero es un truco muy sucio, parece que incitas a la gente a no leer el documento.

    Saluods!

    ResponderEliminar
  16. Me estoy leyendo atentamente el artículo y si hay algo en lo que discrepe lo comentaré, pero he leído todos los comentarios y todavía nadie ha dicho en el punto X.2 de la pag xx se dice que "xxxxx" y yo creo que eso es incorrecto porque "argumento".
    Independientemente de para quién trabaje Informática64, que puede ser criticable o no por su objetividad, nadie en los comentarios ha aportado nada.
    Un poco de seriedad, vamos a enriquecer un poco...

    ResponderEliminar
  17. La LOPD la incumplen las personas, no los dispositivos.

    Cualquier PC con Windows sin contraseña de acceso y que tenga un fichero en su HD también lo incumple.

    ResponderEliminar
  18. @Maria Rosa

    Tienes razon, pero si yo quiero cumplir la ley y el dispositivo no me lo permite, tambien es culpa mia???

    ResponderEliminar
  19. @BernardoCiriza, gracias por decir una verdad como un templo.

    @María Rosa, tras hacer múltiples auditorías te puedo dar la razón. El problema es, como te han dicho, que no haya solución técnica.

    ResponderEliminar
  20. @Anónimo Cualquier dispositivo móvil incumple la LOPD.

    Cuano das de alta un fichero, dices donde está alojado. En cuanto lo copies en otro dispositivo, ya incumples la LOPD.

    Así que da igual las guerras entre marcas.

    ResponderEliminar
  21. @SeguridadApple

    Por ejemplo, y con todos mis respetos, otro ejemplo de incumplimiento de la LOPD podría ser este sitio.

    Seguro que sabes que la AEPD considera un "dato personal" el dato que identifica a un usuario inequivocamente frente a otros.

    En este sentido, si yo pusiera mi nombre y apellidos aqui, en este comentario, y mi url personal, ya es un dato personal para la AEPD.

    Sin embargo, no veo ningún enlace (obligatorio según la LOPD) donde pueda acceder, cancelar etc etc mis datos en este sitio.

    Este sitio usa la tecnología de Blogger... Que está hospedado en EEUU,junto con los datos de los que hemos hablado, lo que también podría incumplir la LOPD.

    Como veis, la LOPD tiene muchos puntos a discutir.

    ResponderEliminar
  22. @Maria Rosa

    ERROR - Cuando inscribes un fichero en la AEPD no tienes que decir dónde está alojado. No hay ningún campo en el formulario NOTA en el que se te pida dicha información.
    Por lo que tu afirmación de que si copias una información en otro dispositivo estas incumpliendo la LOPD no es correcta.

    Y SÍ, la LOPD tiene muchas lagunas y SÍ, las personas somos las que incumplimos las normas, no los dispositivos, aunque es obligación de la empresa dotar sus instalaciones y dispositivos de las medidas de seguridad necesarias para el cumplimiento de la LOPD.

    Si el trabajador dispone de medios técnicos suficientes para cumplir la ley, pero los usa de forma incorrecta, será culpa del trabajador y aunque la LOPD sancione a la empresa, habrá una responsabilidad que la empresa podrá reclamar por otras vías al empleado.

    Si es la empresa la que no facilita los medios técnicos necesarios para el cumplimiento de la ley, el trabajador no tendrá ninguna responsabilidad, siendo la empresa la responsable total del incumplimiento de la LOPD.

    ResponderEliminar
  23. @bernardoiriza

    Por "alojado" pon "encargado del tratamiento" en el NOTA si deseas más tecnicismo.

    Y, aparte, en referencia al resto, cualquier pc con windows y sin contraseña incumple la LOPD.

    En serio, dejad la guerra de marcas, en absurdo.

    ResponderEliminar
  24. @María Rosa, a un PC con Windows, en las auditorías LOPD o de ENS le ponemos usuario y contraseña. A un iPad no se puede. No creo que sea tan difícil de entender el concepto. Lo que tú estas haciendo es ¿abogar por no cumplir la ley? En España hace años que se ponen multas por no cumplir la LOPD, lo que tú propones no es responsable.

    Saludos!

    ResponderEliminar
  25. @seguridadApple

    :-) Decir que asesinar es un delito no es abogar por asesinar :-)

    Puedes proteger el acceso al iPad mediante contraseña: Ajustes / General / Bloqueo con código.

    Por favor, aunque este blog (con publicidad de Microsoft) sea de un partner de Microsoft, se llama "Seguridad Apple"y deberíais saber algo así...

    ResponderEliminar
  26. @María Rosa, eso que acabas de comentar no tiene ningún sentido. Que puedas poner un código no te permite cumplir la LOPD. Tu comentario es un insulto a los auditores de LOPD.

    Por favor, lee el documento que hemos publicado y dejar de intentar matar al mensajero, que parece que es el único argumento que te ha quedado. En él encontrarás un tratamiento al código de acceso del iPad en muchas partes.

    Saludos!

    ResponderEliminar
  27. Yo no mato al mensajero, sólo pienso que no es muy imparcial.

    Venga, un saludo. :-)

    ResponderEliminar
  28. @María Rosa, el documento tiene opiniones y análisis acorde de leyes que hemos plasmado en él. Las opiniones son subjetivas, al igual que tus comentarios, pero la parte acorde de ley no es nada parcial, es comprobable.

    Saludos!

    ResponderEliminar
  29. @María Rosa
    Según la LOPD Artículo 3 g)
    Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

    A mi esto no me parece la definición de un dispositivo (ni de apple, ni un PC con Windows), ni un cuaderno con apuntes...

    ResponderEliminar
  30. La LOPD es tan picajosa que todo dispositivo lo incumple, no hay duda.

    Recuerdo a Chema Alonso, vuestro director, en un evento, que ante cientos de personas demostró cómo se podía acceder a los portatiles de todos los asistentes vía la wifi del evento.

    Y te aseguro que muchos de ellos usaban PC portatiles :)

    He de reconocer que vería con otros ojos este estudio si a su autor no se le citara en varias webs como "Rambla es un experto en seguridad TIC que trabaja mano a mano con Microsoft" http://www.borrmart.es/articulo_redseguridad.php?id=1840

    También lo vería con otros ojos si la empresa dueña de este blog no fuera partner de Microsoft, ni tuviera publicidad de MS.

    También si, siendo partner de MS, creara la web "Seguridadmicrosoft.com"

    Todo ello, efectivamente, me condiciona a creer en la idependencia del documento.

    P.D.: Acordaros de poner la información que exige la LOPD en esta web. Como veis, hasta en las mejores familias la incumplen :-)

    ResponderEliminar
  31. @bernardociriza

    Puedes preguntar a la AEPD (901 100 099) y quedarás asombrado :-)

    P.D.: Las personas usan hardware.

    ResponderEliminar
  32. @María Rosa, me alegra que te acuerdes de mis demos }:)) De todas formas, usar Firesheep y Wireshark para robar cookies de sesión y hacer un hijacking. Sin embargo, eso no tiene nada que ver con la LOPD.

    Respecto a este blog, me encargaré de decirles que revisen todos los aspectos para cumplir la LOPD. Creo que se puede hacer con Blogger sin ningún problema, así que en la información de contacto añadiremos lo que falte.

    Por último, insistes en menospreciar el documento porque lo haya escrito un experto en tecnologías Microsoft. Te olvidas de que Juan Luís es experto en LOPD, LSSI y ENS.

    En todos tus comentarios atacas a mi empresa y a las personas, pero nunca al documento. ¿Por qué María Rosa?

    ¿Tienes algún problema o interés con el documento en cuestión? ¿Tendremos que revisar tus filiaciones para entender tus comentarios? ¿No crees que sería un debate mucho más productivo si nos centramos en el documento?

    En este blog hemos hablado de muchas cosas de seguridad de apple, fallos, herramientas de fortificación, hacking, hardening, etc... ¿No crees que descalificarlo por que nuestra empresa vendar MS Office para Mac es un poco simplista?

    Saludos Malignos de Chema Alonso.

    ResponderEliminar
  33. Chema, las opiniones como bien decía tu compañero son muy subjetivas, y se con certeza que respetas las mias.

    He leido el documento, y sabes lo que pensaba mientras lo hacía?. Que por un "error" del iPad había muchos más de Windows.

    Si os habeis sentido atacados lo siento, no era mi intención, simplemente expreso mis sensaciones.

    ResponderEliminar
  34. @Maria Rosa.
    No todo dispositivo incumple normativas como LOPD o el ENS, solamente hay que utilizarlos en su justa medida. En el tratamiento de datos locales, un dispositivo como el iPad no permite en su inicio de sesión el uso de credenciales. El uso de un elemento como clave de acceso único no permite la diferenciación de usuarios, cuestión que era válida para el antiguo Real Decreto de desarrollo vinculado a la LORTAD para ficheros de nivel básico, pero no en el RD 1720/2007 que es exigible desde el nivel básico. El objetivo fundamental es la capacidad para diferenciar las acciones vinculadas a usuarios. Los sistemas con cuentas genéricas no deben utilizarse, salvo que exista un único usuario del tratamiento y este sea además el responsable.

    Un sistema MAC, como un Linux o un Windows, si permiten el cumplimiento de esta medida. iPad y otros dispositivos, no. Otra cuestión es que la desidia de los usuarios o la de las empresas no exija que se haga en las estaciones de trabajo, aunque haya mecanismos que permitan dicho cumplimiento.

    ResponderEliminar
  35. Juan Luis Garcia Rambla14 de febrero de 2011, 11:12

    @Maria Rosa.
    Con respecto a los blogs, hay que tener en cuenta que el cumplimiento del LOPD requiere estar en condición de cumplir una serie requisitos para su cumplimentación. Concretamente en este sentido con el blog de Seguridad Apple, no existe un acuerdo contractual con cualquiera que accede, ni desde aquí se tiene la capacidad de gestionar la cuenta, el acceso o conocer la dirección IP del que accede, cuestión que implica a Google por estar alojado en blogspot. Por lo tanto si un usuario quiere ejercer sus derechos ARCO, lo hará en este caso hacia Google.

    Es por tanto Google la que en base a los acuerdo internacionales que se mantienen con EEUU presta el servicio y debe cumplimentar las normativas exigibles. Es google la que tiene la capacidad final para cerrar un blog, por ejemplo por demanda judicial. El blogger no deja también ser partícipe del sistema al mantener un contrato con Google como usuario del sistema.

    Un saludo

    ResponderEliminar
  36. Juan Luis, con todo mi cariño, eso sería así si el dominio fuera seguridadapple.blogger.com

    Al estar bajo el dominio seguridadapple.com, bajo propiedad de informatica64, el servicio lo prestais vosotros, useis el CMS que useis.

    Un abrazo a todo el equipo :-)

    ResponderEliminar
  37. Juan Luis GarcíaRambla14 de febrero de 2011, 15:43

    Muy buenas María Rosa.

    El control que se realiza sobre el blog, es muy significativo desde el punto de vista de la LOPD. Me explico. Informática 64 no tiene control alguno con la información de acceso de tipo personal que se realiza a este blog. La información de usuarios y direccionamiento IP, se almacena en una base de datos fuera del alcance de la administración y tratamiento por parte de Informática 64.

    Cualquier persona que tenga cuenta en Google, puede subir comentarios, editarlos o eliminarlos. En caso de querer crear o modificar el perfil, eliminarlo o acceder a la información que de él se maneje como su direccionamiento IP, es Google la entidad que posee dicha información, no Informática 64. Informática 64 no presta servicio porque no posee, ni gestiona, ni trata la información de tipo personal.

    Un saludo.

    Pd. Con este último comentario cierro por mi parte este tema, puesto que creo que estamos desvirtuando el objetivo del post.

    ResponderEliminar
  38. En el punto 2.1 creo que se esta haciendo una interpretación del iPad desde un punto de vista de un PC o un Mac.
    El iPad, como por defecto ya indica el nombre que se le da, es el iPad de su dueño. NO es un dispositivo multiusuario, sino monousuario, y su dueño no solo se identifica por el nombre que da al "iPad de fulanito", sino que ademas esta identificado y registrado en iTunes y en su caso con su operador telefónico.
    Por otra parte no es mas inseguro que un PC con una cuenta de usuario abierta, pues tener un codigo de usuario no garantiza que sepamos que persona lo usa, sino mas bien lo contrario, y como los PCs dispone de mecanismo de autobloqueo con contraseña.
    Por ultimo comentar que la captura de la pantalla de bloqueo (Fig 3) no es la mas adecuada pues podría llevar a pensar que solo se puede emplear un pin numérico, y no es así como se indica en el mismo documento, se puede emplear el teclado completo del iPad igual que en un PC o Mac, con las mismas restricciones de tamaño y composición por tipo de caracteres de la clave o contreseña.

    ResponderEliminar
  39. @Anónimo, en primer lugar te contesto y no te borro los comentarios, pero te agradecería que no insultaras, como has hecho en el otro post.

    Respecto a este comentario, he de decirte que no todos los iPad deben estar monitorizados por las compañías de teléfono. Yo sé que a muchos les gustaría que así fuera, pero el ENS no lo permite en muchos entornos, además de que por algo se vende el iPad sin 3G.

    Respecto a tu idendificación que haces de un usuario, es evidente que la LOPD no la hace así. Por supuesto, un iPad puedes contemplarlo como un teléfono móvil sin usuarios administrados, y, como tal, deberás actuar en consecuencia y no permitir el acceso a ciertas aplicaciones para cumplir la LOPD.

    Por último, que el código sea complejo o el básico de 4 dígitos, haría bajo tu punto de vista lucir más "la seguridad" de iPad, pero es irrelevante a la hora de gestionar la trazabilidad de los datos de un usuario. No obstante, agradecemos esa puntualización.

    Saludos!

    ResponderEliminar
  40. Juan Luis Garcia Rambla14 de febrero de 2011, 17:33

    Muy buenas. La interpretación es la correspondiente al RD 1720/2007. Este exige que exista mecanismo de autenticación que permita identificar al usuario cuando más de un usuario trate los ficheros de carácter personal. Si es solo uno no hay problema. Creo que la circunstancia no es que el dispositivo sea o no monousuario, si no, si el acceso a los datos de carácter personal sea para más de una persona, que es lo que establece la LOPD en toda cicunstancia. Por ejemplo en la trazabilidad del acceso a la información cuando los datos sean de nivel alto, si más de un usuario puede acceder a los datos personales, la trazabilidad es exigible. si accede solo un usuario y es el responsable del fichero, no será necesaria.

    Por lo tanto la seguridad no lo debe imponer como criterio el tipo de dispositivo, sino el tratamiento de los datos de carácter personal.

    En lo corcerniente a si es necesario pin o clave más compleja, la LOPD no estable el criterio, solamente que debe existir y debe almacenarse en formato no legible. Cuidado en este sentido puesto que determinadas credenciales son almacenadas en texto plano, tal y como se recogio en este mismo blog en el artículo "Si pierdes un iPhone o un iPad, pierdes las password".

    Saludos.

    ResponderEliminar
  41. Cómo me gusta una buena "discusión" a la americana, compartiendo y debatiendo puntos diferentes de ver las cosas.

    Pero creo que ha llegado el momento de trasladar esta charla delante de un café, al que por supuesto yo invito :-)

    Gracias por debatir, un abrazo a todos. :)

    ResponderEliminar
  42. Para maligno, Anónimo no es uno, y Anonimous son muchos mas :). No he insultado, ni hablado antes, pero bueno entiendo como van estos debates.
    Respecto a lo del usuario, le puedes poner como fondo de la pantalla de inicio una captura de la pantalla de windows, linux o macos con tu foto y nombre de usuario, pero no veo diferencia entre el iPad y otro OS con una sola cuenta de usuario. Además Apple puede identificar sin lugar a error el nombre del usuario o dueño que ha registrado y usa el iPad por su cuenta en iTunes, cosa que no puede hacer con sus Mac ni Microsoft con sus PCs, pues no se registran para activarlos ni actualizarlos.

    Respecto a la consideración de Juan Luis, decir que el iPad se podía contemplar del mismo modo que un archivador metálico personal con llave.
    Es un fichero para la ley, pero no tiene un login o nombre de usuario por ser personal, o sea de un dueño que es tan responsable de dejarlo abierto, como de dejar el iPad desbloqueado o su PC en su cuenta.

    La "trazabilidad" es máxima porque no hay duda sobre su propietario y único usuario, y como dispositivo portátil que es, al pesarle datos está sujeto a la autorización previa del articulo 86 por lo que ya constará en el documento de seguridad.
    Si el acceso se hace por red, deben ser los servidores los que pidan la información necesaria para poder garantizar quien y como accede a los datos que contienen.

    Sobre las claves, no hay mucha diferencia con las de un PC con cualquier OS, en ese articulo se habla de una utilidad de iOS, pero podríamos hablar también de la herramienta similar de firefox, mucho mas vulnerable que esa, y disponible en windows, linux y macos.
    Hay herramientas para reforzar esa seguridad, como se dice en ese documento, véase http://support.apple.com/kb/HT4175.
    Lo discutible es que sea necesario para todos los usuarios. Cuantos Windows tiene autologin y cuantos tienen permisos básicos y no ACLs.

    Lo importante no es la clave, sino los datos y puedes llevarlos en iPad con la misma encriptación que en un PC o Mac, pues ademas el iPad ofrece por hardware encriptación basada en AES de 256-bit, otra cuestión es que las aplicaciones la usen o no.

    Por otra parte es evidente que no vas a tener el fichero de datos solo en el iPad, y que datos de nivel alto no son susceptibles de ponerlos en un iPad, como no los pondríamos en una llave USB o en un teléfono móvil. Creo que esto no resta utilidad al iPad en un entorno corporativo o empresarial, pero como con los datos cada cual en su calidad.

    ResponderEliminar
  43. Juan Luis García Rambla14 de febrero de 2011, 19:41

    @Anónimo

    Muy buenas.
    El iPad no puede tener la misma consideración que un archivador metálico, puesto que el primero trata ficheros de tipo automatizado y el segundo no. Al achivador le es de aplicación otros articulados también recogidos en el RD 1720/2007.

    Hay que recordar que el hecho de que se declare en el documento de seguridad el paso de información al iPad para el tratamiento fuera de los locales, no le exime del cumplimiento de obligaciones de seguridad que exige el propio artículo y cito "deberán garantizar un nivel de seguridad equivalente al tipo de fichero tratado". También el artículo 87, establece que una copia de fichero debe cumplir los niveles de seguridad establecidos en función del tipo de fichero.

    Los responsables de la autenticación y trazabilidad no pueden ser ni Apple, ni Microsoft, sino la empresa responsable. "Artículo 93. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios".

    Con respecto al uso del iPad, existen usos que se dan en el ámbito sanitario donde los informes médicos se almacenan en los dispositivos, para la realización de las visitas. Es más en circunstancias estos dispositivos serán compartidos para la prestación del servicio. De hecho se han desarrollado aplicaciones para almacenar y analizar, resonancias, radiografías, etc. Estos datos son de nivel alto, y se tratan en los iPad.

    Con respecto a las claves, el artículo 93.4 establece la necesidad, de además del cambio periódico no superior a un año, que estas se almacenen en formato no legible.

    @María Rosa.

    Eso está hecho.

    Saludos

    ResponderEliminar
  44. Lo del archivador es en lo referente a Identificación y autenticación, no a otras consideraciones como es evidente.

    En el siguiente párrafo el mismo batido, hablamos de que el problema era solo si es o no posible el seguimiento de las transferencia de datos, que es el punto en cuestión, y con lo que tratáis de probar el incumplimiento y no cabe la prueba de inocencia, es al revés.

    En lo de Apple o Microsoft ya te contradices.
    Es una garantía adicional, no la unica. Y si les compete pues en el sistema de usuario/contraseña quien garantiza que AD o el OS funcione bien, y no deje entrar a cualquiera es Apple o Microsoft. O le vamos a pedir al responsable del fichero que le haga una auditoria al sistema de AAA de Microsoft ??

    Respecto al potencial uso medico del IPad lo mas normal es que se haga sin guardar nada en el iPad, sino como simple terminal de un servidor remoto. El nivel de protección de los datos personales, vendría por la propia aplicación que es quien accede a ellos y los guarda (siempre encriptados). Ademas con el uso de VPN se garantiza la seguridad en la transmisión igual que en otros OS.

    Tampoco esta claro que sean datos personales las imágenes, pues se pueden impersonalizar al bajarlas al iPad para verlas o manipularlas.
    El usuario ya sabe de quien son.

    No veo argumentaciones, y la única diferencia es no tener nombre de usuario, y como tu mismo citas el articulo 93 habla de "correcta identificación" no de con nombre de usuario o por biometría, y creo que está mas que demostrada esa condición en el iPad.

    Lo de las claves ya me hace desistir del debate, porque si te relees el documento, en la Fig 2 se ve claramente "Periodo máximo de validez del código" y lo explica en castellano como "Numero de días tras el cual debe cambiarse", mas claro no puede ser.

    Adiós.

    ResponderEliminar
  45. Juan Luis Garcia Rambla14 de febrero de 2011, 21:30

    @Anónimo.

    No creo que me contradiga. Esto es lo que has escrito con respecto a Apple:

    "Además Apple puede identificar sin lugar a error el nombre del usuario o dueño que ha registrado y usa el iPad por su cuenta en iTunes, cosa que no puede hacer con sus Mac ni Microsoft con sus PCs, "

    Que tiene que ver que Apple haga trazabilidad con que lo haga la empresa con respecto a datos de carácter personal. Apple puede trazar iTunes, y ... ¿de qué le vale a una empresa que debe cumplir la norma?

    Respecto al potencial uso médico del iPad, aunque tú digas que lo normal es que se haga sin guardar nada en el iPad, esto no es realmente así. Se almacenan para tratar la información localmente.

    No hay que obviar tampoco el potencial perfil de usuarios de iPad en las empresas. Principalmente usuarios móviles, que seguramente llevarán los documentos en el dispositivo en vez tener que carga con un Portátil. Por ejemplo comerciales como departamento significativo.

    Con respecto a la autenticación puedes leer también el punto 2 del artículo 93 sobre identificación, que complementa al punto 1 que citas. La frase clave en este texto es "identificación de forma inequívoca y personalizada". Un código de acceso no permite identificar de forma inequívoca al que accede.

    Saludos

    ResponderEliminar
  46. Antes de contestar nada, comentar que no busco malos rollos, sólo opino y creo que con todo mi respeto, si alguien se siente ofendido, que me lo haga saber, gracias.

    2.1
    En principio, cualquier equipo o dispositivo móvil, smartphone, por defecto, no tiene ningún "juego de usuarios" creados suficientes para cubrir las necesidades de la ley, como mucho, tendrá un usuario administrador nativo/root/X y el perfil definido para el usuario final, pero esto le pasa creo que a todos los SS.OO. ya sean GNU/Linux, IOS, Windows*, RIM, etc., ¿no es así?

    Por otro lado, no hace falta depender de un MS Exchange para centralizar políticas, Lotus notes también lo hace y hay muchas aplicaciones para la gestión de políticas para este tipo de dispositivos, quizás por este tipo de comentarios, se marcó esta entrada como Microsoft-ista ;)

    2.2
    Originalmente, estos dispositivos se desarrollan como algo personal e intransferible, se permite la opción de cifrar el contenido, pero una vez tocado este tema, casi sería mejor implantar soluciones DLP en todos los dispositivos con camacidad de almacenamiento, incluyendo fotos con interfaces USB, moviles normales con camara de fotos, y un largo etc, de nuevo, el objetivo de este punto de control, vuelve a ser el Ipad, cuando realmente aplica a todos lso dispositivos, con lo que alguien puede interpretar que esta entrada es ... Microsof-ista.

    "Se entiende que todo usuario que accede al dispositivo tendrá la capacidad total para el tratamiento de cualquier información existente en el mismo." Cualquier usuario que utilice la cuenta "mobile" podrá acceder a los recursos para los que tenga permiso, el usuario root sigue existiendo y el sistema de archivos permite el cambio de permisos, aunque para ello sea necesario lanzar un terminal o acceder por ssh al dispositivo. En cualquiera de los casos, hay herramientas para generar "jaulas" cifradas para este tipo de problemas.

    Insisto, el hecho de que el S.O. no disponga de este tipo de herramientas, no quiere decir que no existan, para eso existen empresas que desarrollan software, ¿no?, apenas hay sistemas operativos completos, que vengan de serie con una aplicación de retoque fotográfico, un compresor, un gestor de máquinas virtuales, un sniffer, un gestor de contraseñas, etc.

    2.3
    Me remito al punto anterior, en cualquiera de los casos, la posibilidad de eliminar la información del dispositivo es la opción última aplicable en el dispositivo (en todos los demás también) que cumpliría con el tratamiento de la información. Lo que si que desconozco es el grado de seguridad de la eliminación de datos, cuantas pasadas o los métodos utilizados.

    Con respecto al tema de la seguridad del correo, si mal no recuerdo, hay herramientas como OpenPGP Lite, SecuMail, etc. aunque estoy de acuerdo con vosotros en que es un tema que deberían mejorar ;)

    2.4
    Estoy de acuerdo con lo que comentáis, sin embargo, en base al apartado 6a/b, si partimos de la base que es un dispositivo unipersonal, creo que podría cogerse con pinzas. Hay otras tecnologías que se encargan específicamente de ello.

    Creo que la idea que más habría que repetir es la dependencia de software de otras empresas para llevar a cabo un cumplimiento más funcional de la LOPD

    La opción más tajante sería de la prohibir el acceso a información clasificada al marcarlo como dispositivo no "homologado" para el trabajo empresarial.

    #

    La parte del ENS la verdad, la he dejado un poco de lado, por temas de tiempo, pero la conclusión es la misma, el dispositivo por si mismo no cumple con todo lo necesario, pero si dispone de software externo para superar gran cantidad de sus carencias, en cualquiera de los casos, parece que el dispositivo está deseando que APPLE desarrollo un IOS Enterprise y otro Home User, ¿no creeis?

    Muy buen trabajo ;)

    Un saludo.

    PD: Prometo leerme el apartado 3 con algo más de tiempo ;)

    ResponderEliminar
  47. Juan Luis García Rambla14 de febrero de 2011, 22:16

    @TyMoPHoNo.

    Muy buenas, y antes que nada gracias por tu comentario. Una aclaración, con respecto al documento.

    Bajo toda circunstancia el análisis lo hemos tenido en cuenta sin realizar el jailbreak del dispositivo, de tal forma que no se vulneraba las condiciones emitidas por el fabricante. Por eso en el tema de acceso al sistema de ficheros para lo bueno y para lo malo se encuentra limitado.

    El tema de Exchange, era simplemente curioso porque en la página de apple,en los documentos de seguridad se pone como mecanismo para la gestión del dispositivo a Exchange Server, "http://images.apple.com/ipad/business/docs/iPad_Security.pdf". Aunque como bien dices tú existen otros mecanismos de gestión, pero estos no se mencionan en Apple. Por ejemplo McAffe también tiene el suyo. Mi objetivo no era ni mucho menos la equiparación iPad - Windows, aunque de antemano ya sabía cuando empecé a escribir el documento, que estas harían su aparición en los comentarios :)

    Un problema que hemos visto y que ya se ha comentado, es que vemos muy forzado que un dispositivo con muchas analogías con un móvil pueda ser utilizado para el tratamiento de "determinado tipos de datos". No sería justo para otros sistemas Mac, Linux o Windows, que deben cumplir las medidas exigidas.

    Saludos

    ResponderEliminar
  48. Lo primero que me gustaría decir es que soy MCSA-S, MCSE-E, MCTIP, etc.. así que creo que no soy sospechoso.. (si alguien quiere mis credenciales para comprobarlo no tiene más que decírmelo). Tambien decir que, por desgracia, no he podido leerlo entero por falta de tiempo. Si digo algo que ya está resuelto más adelante en el documento pido perdón.

    Bueno, ahora centrándome en el whitepaper.

    Se centra sobremanera en los datos de carácter personal (DCP), y hay que tener en cuenta que una grandísima parte de la gente que lo utiliza no los trata. Por ejemplo, en mi empresa utilizamos pda’s para rellenar cuestionarios cuando estamos desplazados, en ningún momento tratamos dcp.

    Nosotros trabajamos en base a aplicaciones hechas a medida, las cuales te solicitan user+pass, si la validación no es correcta no te permite enviar los datos a la BBDD.

    Ante la frase: “Uno de los aspectos más significativos cuando se enciende por primera vez un dispositivo iPad, es la inexistencia por defecto de un mecanismo de control de acceso al dispositivo”, la verdad, ahora no caigo en qué dispositivos móviles si lo solicitan. Por mi trabajo he tenido que utilizar diversas PDA, y en ninguna me ha sucedido.

    Tras una lectura en diagonal del resto del documento no me ha parecido ver alusiones positivas al tema de mobile me, mediante el cual podemos borrar completamente el dispositivo en caso de pérdida.

    De verdad que me encantaría seguir con el tema, pero voy jodidísimo de tiempo.

    P.D.: No se si llega tarde este comentario...

    ResponderEliminar
  49. Juan Luis Garcia Rambla20 de febrero de 2011, 20:04

    @Dani Puente

    Muy buenas. Como bien dices tú, los dispostivos los utilizais con un fin de rellenar cuestionarios, pero no tratáis datos y asumo que el almacenamiento es remoto. Si el almacenamiento fuera local, la cosa cambiaría y deberías tratar el dispositivo en toda la amplitud de la ley, tal y como establece el RD 1720/2007 en sus artículos 86 y 87.

    No hay que obviar el hecho de que muchas organizaciones, sí utilizan dispositivos móviles para el tratamiento de datos. Por ejemplo comerciales que llevan ficheros almacenados de clientes. O bien personas que almacenan los correos con datos de carácter personal en su dispositivos. Cuando se hace tratamiento de datos de esta manera hay que cumplir cada medida requerida por el RD. Bien nuevamente por lo establecido en el artículo 86 o el 87. Un fichero con datos de caracter personal almacenado en un sistema diferente del lugar habitual, también le corresponden las mismas medidas que el fichero original. Cuidado en este sentido con aquellos datos que son almacenados como temporales, por ejemplo con apliaciones web, porque estos temporales adquieren las mismas condiciones que el fichero y requieren las mismas medidas.

    Con el tema de control de acceso existen dispositivos en el mercado que admiten sistemas de autenticación basado en smart-card o biometría. No hay que olvidar que muchos de los sistemas empleados, son multiusuarios.

    En el caso del borrado remoto se menciona la gestión con MS Exchange tal y como menciona Apple. Sin embargo para que se pueda eliminar la información de forma remota deben darse ciertas circunstancias que no siempre se cumplen, máxime si has sido un objetivo de un ataque físicon intencionado.

    Saludos.

    ResponderEliminar

Artículos relacionados

Otras historias relacionadas

Entradas populares