PDF de programación - Recomendaciones de seguridad para Dispositivos Portátiles y Smartphones

Recomendaciones de seguridad para
Dispositivos Portátiles y Smartphones



www.securizame.com



19 de Febrero de 2014



4
0
4
8
3
5
-
M

a
o
H

j

i


,
1

n
ó
c
p
i
r
c
s
n
I

,
2
6

o

i
l

o
F


,
6
1
9
.
9
2


o
m
o
T


,

d
i
r
d
a
M


.
c
r
e
M


.

g
e
R
–



.
.

.

.



U
L
S
n
ó
c
a
m
r
o
n

f

i

I


a

l


e
d



d
a
d
i
r
u
g
e
S

y

s
e
n
o
c
a
c
n
u
m
o
C

i

i




 


 


 


 


 


 


 

1. Indice
 

1.
 
Indice
 .....................................................................................................................................
 2
 
2.
  Presentación
 ..........................................................................................................................
 4
 
3.
  Alcance
 del
 documento
 .........................................................................................................
 5
 
4.
  Recomendaciones
 de
 seguridad
 comunes
 ............................................................................
 6
 
4.1
  Gestión
 centralizada
 de
 equipos
 .....................................................................................
 6
 
4.2
  Maquetado
 homogéneo
 ..................................................................................................
 6
 
4.3
  Selección
 de
 software
 seguro
 ..........................................................................................
 6
 
Instalación
 desde
 medios
 originales
 ................................................................................
 6
 
4.4
 
4.5
  Contraseña
 de
 arranque
 ..................................................................................................
 6
 
4.6
  Política
 de
 contraseñas
 ....................................................................................................
 7
 
4.7
  Bloqueo
 de
 sesión
 por
 inactividad
 ...................................................................................
 7
 
4.8
  Filtros
 de
 privacidad
 ........................................................................................................
 7
 
4.9
  Tapar
 físicamente
 las
 cámaras
 integradas
 .......................................................................
 7
 
4.10
  Cifrado
 de
 dispositivo
 ....................................................................................................
 8
 
4.11
  Gestión
 de
 contraseñas
 .................................................................................................
 8
 
4.12
  Actualizaciones
 de
 software
 ..........................................................................................
 8
 
4.13
  Herramientas
 de
 Tracking
 y
 borrado
 remoto
 ................................................................
 9
 
4.14
  Provisioning
 redes
 Wifi
 y
 VPN
 .......................................................................................
 9
 
5.
  Recomendaciones
 de
 seguridad
 para
 ordenadores
 portátiles
 ............................................
 10
 
5.1
  Contraseña
 en
 acceso
 a
 BIOS
 .........................................................................................
 10
 
5.2
  Deshabilitar
 medios
 externos
 ........................................................................................
 10
 
5.3
  Usuarios
 no-­‐privilegiados
 ..............................................................................................
 10
 
5.4
  Software
 instalado
 (lista
 blanca)
 ...................................................................................
 10
 
5.5
  Antimalware
 corporativo
 ...............................................................................................
 10
 




 

Página 2




 


 


 


 


 

5.6
  Conexión
 VPN
 obligatoria
 ..............................................................................................
 11
 
6.
  Recomendaciones
 de
 seguridad
 para
 teléfonos
 móviles
 y
 tablets
 ......................................
 12
 
6.1
  No
 Jailbreak/Rooteo
 ......................................................................................................
 12
 
6.2
  Antimalware
 corporativo
 (Android)
 ..............................................................................
 12
 
6.3
  Posibilidad
 de
 borrado
 remoto
 ......................................................................................
 12
 
Licencia
 de
 este
 documento
 ................................................................................................
 13
 

7.
 




 

Página 3




 


 

2. Presentación
 


 


 


 


 

“Comunicaciones y Seguridad de la Información, S.L.”, en adelante Securízame, es una
empresa sustentada en 13 años de experiencia profesional por parte de sus integrantes,
en grandes y medianos proyectos de seguridad informática, peritaje y formación.

Securízame cuenta en su plantilla con profesionales especializados en seguridad
informática, ponentes en Congresos Nacionales e Internacionales, y con amplia
experiencia en formación reglada en seguridad informática. Además, trabaja en estrecha
relación con partners reconocidos en el sector de la auditoría y consultoría de seguridad.

Securízame lleva a cabo proyectos en importantes clientes de la industria nacional y
multinacional. Como referencias podemos destacar las siguientes:

Ilustre Colegio de Abogados de Guadalajara


 




 

Página 4



ISDelgado

•
• Estructuras de Venta Directa / Grupo de Mercados Telemáticos
• Yoigo
• Ayuntamiento de Guadalajara
• Diputación de Guadalajara
• Abogados Martínez-Sarralde Asociados
• eTaxi
•
• Tribunal Constitucional de España
• EXIDE
• APYCE, Gestión de la comunicación
• Oxford University Press
• Consultec
• Diximedia
• Torresol Energy
• Grupo Caamaño
•
• Valeo
•
• PCMancha
•
• RIU Hotels & Resorts
• RebajasVIP
• Grupo de Delitos Telemáticos Guardia Civil
• Diario Online El Confidencial

Instituto de Desarrollo Urbano IDU en Colombia

Invías: Instituto Nacional de Vías de Colombia

INTECO




 

3. Alcance
 del
 documento
 


 


 


 


 


<El Cliente>, empresa concienciada de la sensibilidad de la información existente en
sus dispositivos móviles (ordenadores portátiles, tablets y smartphones), ha encargado a
Securízame, empresa especializada en servicios de seguridad
informática y
comunicaciones, el desarrollo del presente documento con medidas de mejora de la
seguridad de los mismos.

El presente documento pretende dejar constancia de diferentes medidas de seguridad
tecnológicamente viables para mejorar la seguridad de los dispositivos móviles
propiedad de <El Cliente>, así como de los mecanismos de conexión remota existentes.

El resto de medidas de seguridad complementarias, relativas a concienciación a usuarios
ante la actitud a tener ante situaciones tales como la conexión de redes inalámbricas
públicas, la ejecución o apertura de ficheros de fuentes no confiables, el acceso a
enlaces acortados, URLs no necesarias para su trabajo, etc, etc,… quedan fuera del
presente documento.




 

Página 5



4. Recomendaciones
 de
 seguridad
 comunes
 


 


 


 


 


 


 

Tanto para ordenadores portátiles como para
recomendaciones comunes a tener en cuenta son las siguientes:

tablets y

smartphones,

las

4.1
 Gestión
 centralizada
 de
 equipos
 

Una de las mejores formas de tener controlado el parque de equipos móviles
(ordenadores portátiles como dispositivos móviles) es que todos los equipos estén
inventariados en una misma plataforma. Existe en el mercado soluciones de gestión
MDM (Mobile Device Management) que permiten registrar el estado de cada uno de los
mismos, tanto para obligar una política común a todos ellos (o incluso diferentes
políticas dependiendo de una clasificación por grupos) como para monitorizar si alguno
de ellos incumple las directrices estipuladas por la organización.

4.2
 Maquetado
 homogéneo
 

Derivado de la recomendación anterior, para llevar a cabo una correcta gestión, el
maquetado de todos los dispositivos móviles y ordenadores portátiles, deberá ser el
mismo. La instalación del sistema operativo deberá contar con los mínimos requisitos
de servicios software posibles. Esto implica el sistema operativo en su mínima
expresión. A partir de ahí, se evaluarán los complementos necesarios para trabajar:
Máquina Virtual Java, Plugins Adobe como Flash, Shockwave, codecs de video, etc,…

4.3
 Selección
 de
 software
 seguro
 

Si se puede elegir el software a instalar, siendo que varias soluciones permitan llevar a
cabo la misma funcionalidad, como por ejemplo podría ser permitir el acceso a
documentos PDF, se recomienda la selección de software que, aun no siendo muy
conocido, sea igualmente compatible y que no esté “en el punto de mira permanente”.
Es decir, que se evite la utilización de software más proclive a que existan exploits
públicos o 0-Day ante vulnerabilidades, por lo altamente extendido, a nivel estadístico,
del software.

4.4
 Instalación
 desde
 medios
 originales
 

Tanto la instalación del sistema operativo, como del softwar