TI y seguridad

Seguridad de las pantallas
de sala en iPad

OAuth vs. cuentas de servicio, minimización de permisos, almacenamiento en Keychain y bloqueo físico: la lista de revisión de seguridad para pantallas de sala en iPad.

Respuesta corta: las cuatro cosas que verificar antes de aprobar cualquier app de pantalla de sala: (1) credenciales guardadas en almacenamiento respaldado por hardware (Keychain de iOS), (2) permisos de calendario limitados a lo necesario, (3) si los datos pasan por los servidores del proveedor o van directos del dispositivo a la API, y (4) bloqueo físico (modo kiosco + soporte con cierre). Acierte en esos cuatro y un iPad de pasillo es un dispositivo de bajo riesgo.

Un iPad montado en la pared que lee los calendarios de la empresa es justo el tipo de compra pequeña que llega a la mesa de TI para una aprobación de seguridad. Esta es la revisión real, en el orden que importa.

1. ¿Dónde viven las credenciales?

La credencial (token OAuth o clave de cuenta de servicio) debe guardarse en el Keychain de iOS: respaldado por hardware, cifrado en reposo, inaccesible para otras apps. The Room Display guarda las credenciales así. Señales de alarma en cualquier app: credenciales en archivos de texto plano, en las preferencias de la app o sincronizadas a una nube del proveedor.

2. OAuth 2.0 vs. cuenta de servicio: ¿cuál usar?

OAuth 2.0 (opción recomendada por defecto): la pantalla se autentica como una cuenta de usuario dedicada que usted crea (p. ej. salas@suempresa.com). El acceso es visible en su consola de administración, revocable con un clic y auditable como cualquier usuario. Dé a esa cuenta acceso solo a los recursos de sala.

Cuenta de servicio con delegación a todo el dominio (Google) / registro de aplicación (Microsoft): mejor para despliegues de flota: sin inicio de sesión interactivo por iPad, gestión central de claves. La disciplina necesaria: acote la delegación de forma estricta. La delegación a todo el dominio concede los permisos que usted autorice, así que autorice solo permisos de calendario, nunca de administración amplios.

En cualquier caso, el principio es idéntico: la pantalla recibe su propia identidad, nunca el inicio de sesión de un empleado real.

3. Minimización de permisos

Una pantalla de sala necesita: leer los calendarios de sala, crear eventos en ellos y listar los recursos de sala. En concreto, eso significa permisos de lectura/escritura de calendario más lectura del directorio de recursos. No necesita: permisos de correo, Drive/SharePoint, escritura del directorio de usuarios ni permisos de administración. Si una app pide más que permisos de calendario + recursos, pregunte por qué antes de aprobar.

4. ¿Por dónde fluyen los datos?

La pregunta de arquitectura que los proveedores esperan que no haga: ¿los datos de calendario pasan por los servidores del proveedor? Muchas plataformas sincronizan su calendario a su nube (así funcionan sus paneles). The Room Display habla directamente desde el iPad con las API de Google/Microsoft: los datos de reuniones nunca tocan nuestra infraestructura, porque no tenemos ninguna en la ruta de datos. Para una revisión de privacidad, esa es la versión corta: no hay un tercero que evaluar.

5. Lista de seguridad física

  • Carcasa con cierre: el iPad no debería irse con un visitante
  • Acceso Guiado o Modo de App Única: sin escapar a Ajustes o Safari (nuestra guía de kiosco)
  • Los títulos de reunión en la pantalla: decida la política. Mostrar «Ocupado hasta las 15:00» en lugar de «Reunión de fusión con Acme» es una elección de privacidad de un solo interruptor que conviene hacer conscientemente en pasillos visibles para clientes
  • Wi-Fi/VLAN dedicada si su política de red segmenta los dispositivos de clase IoT: la pantalla solo necesita salida HTTPS hacia Google/Microsoft

Preguntas frecuentes

¿Un iPad de pantalla robado puede filtrar datos? Contiene una credencial guardada en Keychain limitada a los calendarios de sala. Revoque la cuenta/clave en su consola de administración y el dispositivo queda inerte. Con Buscar + Bloqueo de Activación activados, además es un pisapapeles.

¿La app necesita MDM? No, pero el MDM hace más agradables las flotas: vea nuestra guía de ABM/MDM.

¿Soporte de SSO? El flujo OAuth usa su inicio de sesión normal de Google/Microsoft: las políticas de SSO y de acceso condicional existentes se aplican a la cuenta de salas como a cualquier usuario.


Esta entrada está escrita para reenviarse tal cual al revisor de seguridad: debería responder sus primeras seis preguntas antes de la reunión.