Muchas veces los equipos informáticos que compramos tienen usos que no imaginábamos cuando fueron creados. Con un equipo como el iPad, que mucha gente que no tenía demasiado claro el uso que podría darle ha pasado esto. Especialmente en la empresa le han surgido muchos usos distintos en el ámbito corporativo, pero hay que tener cuidado con la utilización que hacemos de datos personales, puesto que el iPad y la LOPD no hacen buenas migas.
Así lo pone de manifiesto un estudio realizado por Informáticas 64 donde analizan el uso del iPad en entornos corporativos con el cumplimiento de la LOPD y del Esquema Nacional de Seguridad. Y la verdad es que el dispositivo de Apple no sale precisamente bien parado.
Los principales aspectos en los que el iPad muestra sus deficiencias en lo que respecta a la protección de datos son:
- Autenticación que dispositivos como el iPad que pueden ser utilizados por distintos usuarios no quedan correctamente registrados de forma unívoca. Podemos utilizar códigos de acceso al dispositivo, pero no van ligados a un usuario. Es el equivalente a utilizar un usuario genérico para toda la empresa.
- Trazabilidad en este caso es consecuencia de la primera. Como no se identifican los usuarios no podemos determinar que usuario accedió en qué momento a determinados archivos que pueden contener información sensible sujeta a la LOPD.
- Cifrado que no dispone de las aplicaciones adecuadas para implementar su uso en el iPad. No se proporciona un cifrado adecuado para ficheros ni para todo el sistema, además de dar una respuesta inadecuada al envío de ficheros adjuntos cifrados. Esto en un dispositivo pensado para la movilidad es un punto débil en la seguridad de los datos.
Todos estos aspectos hacen que el iPad no sea recomendado para utilizarse si tenemos datos personales dentro del mismo, como podría ser un historial clínico, un listado de clientes, etc. Por lo tanto tenemos que tener en claro el uso que vamos a hacer de este dispositivo si no queremos llevarnos sorpresas por parte de la AEPD. No se trata ya sólo del cumplimiento de la LOPD, sino de no perder información de nuestros clientes que puedan caer en manos de la competencia.
Vía | Seguridad Apple
En Tecnología Pyme | Software en iPad para la empresa: TI
Comentarios
interesante
Con todos mis respesto hacia Juan Luis García Rambla (autor del informe) me voy a permitir el lujo de comentar algunas cuestiones sobre el informe y sobre la Normativa de LOPD (por cierto, yo no tengo ningún interés económico con Apple).
1) Presuponiendo que esté prescrito en el Documento de Seguridad que el Ipad es de uso individual, nos olvidamos del tema del acceso multiusuario.
2) Respecto al cifrado del dispositivo y de las comunicaciones del mismo... Si no manejamos datos de nivel medio y/o alto no hay necesidad de cifrado el dispositivo ni las comunicaciones.
3) Respecto a que es muy sencillo arrastrar ficheros a la zona Itunes, parece mentira que una empresa autorice el uso de Itunes a sus empleados, sobre todo si levan datos personales en sus dispositivos. En resumen, todos sabemos que la seguridad informática al 100% es imposible, pero hay que tener en cuenta qué dispositivos utilizamos para qué tareas. Un comercial podrá seguir usando su Ipad para presentar productos y servicios a clientes, pero no podremos llevar historiales médicos, ni consultarlos en el Ipad.
- Aviso a navegantes - Para todos aquellos que lleven maletín con documentos de nivel medio y/o alto: que no se olviden de comprar el maletín con cerradura o sistema de apertura no autorizada que impida la visualización del contenido por parte de terceras personas no autorizadas (ese contenido no va cifrado tampoco).
Un saludo.
Pues creo que ambos estáis de acuerdo. El informe refleja todo lo que has comentado, pero no podemos presuponer que el iPad va a ser de uso individual, tendrá datos personales de nivel bajo y no tendrá instalado iTunes... Si se desconoce en que medidas no es posible cumplir la LOPD con este dispositivo es complicado ajustar su uso como dispositivo general. Seguro que con la próxima versión Apple da un giro de tuerca que consiga vencer alguna de estas situaciones...
Un opción recomendable para un iPad en entorno multi-usuario y cumpliendo con toda la normativa de la LOPD es utilizarlo como herramienta de acceso remoto via web a todo el sistema de documentación de la empresa.
Un iPad que acceda al GoogleDocs (o similar) de la empresa vía web o a cualquier programa basado en web donde recupera información para mostrar a través de una conexión 3G via HTTPS, siempre que esos datos no se guarden en el iPad, no vulneran ningún artículo de la LOPD, ¿verdad?
La autentificación al servidor web identifica claramente al usuario. La trazabilidad de todo lo que se realiza con el documento queda registrada en el servidor. Y por su puesto el cifrado seguro en una conexión por HTTPS es obvio.
Lo único necesario es disponer de una buena cobertura para 3G y disponer los servicios corporativos adecuados en servidores alojados en Internet.
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect