Seguridad en los dispositivos móviles
Introducción
Hoy en día, el uso de dispositivos móviles (discos duros externos, ordenadores portátiles, memorias flash, memoria USB, teléfonos móviles, CD, DVD…) está en auge, puesto que ofrecen una alta disponibilidad y facilidad de transporte de la información digital de cualquier tipo.
Pero con el aumento de su uso, especialmente debido a su gran movilidad, se han incrementado también los riesgos a lo que se expone la información que almacenan. Por ello es imprescindible aplicar unas medidas de seguridad básicas con el fin de preservar la disponibilidad, la confidencialidad y la integridad de la información contenida en estos dispositivos.
La amenaza más probable a la que están expuestos estos dispositivos es la pérdida o el robo. En caso de pérdida o sustracción de un dispositivo móvil, queda comprometida la información almacenada, además de la pérdida que supone del valor del hardware. En muchos casos, la pérdida del hardware genera un gasto adicional y asumible, por lo que este aspecto quedaría relegado a un hecho de importancia menor.
Sin embargo, la máxima preocupación llegaría a la hora de valorar la información que no se pueda recuperar al no disponer de copia de seguridad, como puede ser el caso de fotos y archivos personales o la información profesional que pueda caer en manos de personas no autorizadas y que pueda ser utilizada en contra de la organización responsable de la información, como se suele ver últimamente en los noticiarios.
En cualquier caso, es importante recordar que, en el caso del Servicio de Salud —tal como establece el Código de buenas prácticas— está prohibido trasladar fuera de las instalaciones habituales de trabajo cualquier dato o información, tanto en formato digital como impresos en papel o bien en cualquier otro soporte, sin la autorización correspondiente de la dirección o la gerencia.
Por todo ello, desde la Oficina de Seguridad consideramos necesario aleccionar sobre el deber de extremar las precauciones respecto al uso de los dispositivos portátiles. A continuación ofrecemos recomendaciones básicas de seguridad para preservar la confidencialidad, la integridad y la disponibilidad de los datos almacenados en este tipo de dispositivo.
Recomendaciones
Utilizar el candado del ordenador portátil para prevenir los robos.
Activar el bloqueo automático y la contraseña de los teléfonos inteligentes (smartphones), de los ordenadores portátiles, etc.
Desactivar el Bluetooth y la conexión Wi-Fi siempre que no se estén usando.
Utilizar aplicaciones para cifrar el contenido de los dispositivos portátiles.
No llevar nunca las copias de seguridad junto con los dispositivos que contengan la información original.
No guardar en dispositivos las credenciales de usuario de inicio de sesión en las distintas aplicaciones (como el correo electrónico) y cerrar las sesiones al terminar de usar el ordenador.
Hacer regularmente copias de seguridad de la información en un CD o en otro disco duro.
No perder de vista los dispositivos móviles.
No dejar los dispositivos móviles en un lugar visible si hay que dejarlos desatendidos.
Evitar conectarse a redes ajenas, públicas, que no sean de confianza. Algunos
Algunos incidentes reales:
Tal como comentamos en el boletín anterior, en los medios de comunicación aparecen muchas noticias de incidentes relacionados con la pérdida o el robo de dispositivos portátiles con información confidencial. A continuación citamos algunos ejemplos más de incidentes reales:
• Roban dos portátiles con los datos de más de 320.000 donantes de sangre
• El robo de información por medio del Wi-phishing prolifera durante el verano. El Wi-phishing es la sustracción de datos personales utilizando falsas redes públicas de acceso Wi-Fi, y se convierte en una amenaza especial en verano al conectarse más a menudo desde hoteles y establecimientos públicos.
Preguntas más frecuentes sobre el Código de buenas prácticas (V)
Tal como hemos venido haciendo en boletines anteriores, en este número traslada-mos las preguntas más frecuentes relacionadas con el uso de las redes, Internet y el correo electrónico y las agendas en el ámbito del Servicio de Salud.
Uso de redes
¿Está permitido conectarse a redes externas al Servicio de Salud?
No está permitido el uso de otros medios de conexión con redes externas sin autorización.
¿Es necesaria la autorización para habilitar las conexiones remotas?
Cualquier conexión remota que deba habilitarse a solicitud de un usuario in-terno o de un proveedor externo debe estar autorizada previamente por el responsable correspondiente.
Uso de Internet
¿Se pueden enviar datos de carácter personal por correo electrónico?
Todo usuario debe evitar enviar por Internet datos de carácter personal. En cualquier caso, esa transferencia solo puede hacerse utilizando mecanismos que garanticen la integridad de los datos y con la autorización previa corres-pondiente.
¿Qué acciones se consideran como uso incorrecto de Internet?
El acceso a sitios de Internet y la distribución de mensajes con contenidos en que se promueva la pornografía, la segregación racial, sexual o religiosa o con contenidos de violencia.
La descarga y la transmisión indiscriminada de imágenes, sonido y vídeo.
La distribución de virus o troyanos y cualquier actividad encaminada a acce-der ilícitamente a otros sistemas de información.
La piratería de cualquier material multimedia con derechos de la propiedad intelectual.
El acceso a chats y a juegos en Internet.
La publicación en Internet de información relacionada con el Servicio de Sa-lud, salvo en los casos en que se obtenga autorización expresa para ello.
Uso del correo electrónico y de la agenda
¿Qué se entiende por correo electrónico?
El correo electrónico es un medio de comunicación interpersonal, no un me-dio de difusión masiva e indiscriminada de información.
¿Se puede acceder al correo dirigido a otros usuarios?
Está expresamente prohibido leer, borrar, copiar o modificar mensajes de correo electrónico o archivos dirigidos a otros usuarios.
¿Qué datos deben contener los contactos profesionales en la agenda?
Nombre y apellidos.
Función o puesto desempeñado.
Dirección postal y/o electrónica profesionales.
Teléfono profesional.
Número de fax profesional.