Controlar el acceso de las app a los archivos en macOS
Apple considera que los usuarios deberían tener completa transparencia, consentimiento y control sobre lo que las apps hacen con sus datos. En macOS 10.15, este modelo se aplica de forma obligatoria en el sistema para ayudar a garantizar que todas las apps deban obtener el consentimiento del usuario antes de acceder a archivos de Documentos, Descargas, Escritorio, iCloud Drive y volúmenes de red. En macOS 10.13 o versiones posteriores, las apps que requieran acceso al dispositivo de almacenamiento completo deben agregarse explícitamente en Configuración del Sistema (macOS 13 o posterior) o en Preferencias del Sistema (macOS 12 o anterior). Además, la accesibilidad y las capacidades de automatización requieren que el usuario dé su permiso para ayudar a garantizar que no se pasen por alto otras protecciones. Según la política de acceso, se podría solicitar, o incluso exigir, que los usuarios cambien esta configuración desde la ubicación correspondiente:
En macOS 13 o versiones posteriores: Configuración del Sistema > Privacidad y seguridad > Privacidad
En macOS 12 o versiones anteriores: Preferencias del Sistema > Seguridad y privacidad > Privacidad
Elemento | La app solicita una acción por parte del usuario | El usuario debe editar la configuración de privacidad del sistema |
|---|---|---|
Accesibilidad |
|
|
Acceso completo al almacenamiento interno |
|
|
Archivos y carpetas Nota: incluye Escritorio, Documentos, Descargas, volúmenes de red y volúmenes extraíbles |
|
|
Automatización (eventos de Apple) |
|
|
Los usuarios que activen FileVault en la Mac deben brindar credenciales válidas antes de continuar con el proceso de arranque y obtener acceso a los modos de inicio especializados. Sin las credenciales de acceso válidas o la clave de recuperación, el volumen entero permanece encriptado y protegido del acceso no autorizado, aunque el dispositivo de almacenamiento se retire físicamente y se conecte a otra computadora.
Para proteger los datos en un entorno empresarial, el departamento de TI debería definir e imponer políticas de configuración de FileVault utilizando una administración de dispositivos móviles (MDM). Las organizaciones tienen varias opciones para administrar los volúmenes encriptados, entre las que se incluyen las claves institucionales, las claves personales de recuperación (que se pueden almacenar de forma opcional en la MDM para su custodia), o una combinación de ambas. La rotación de claves también se puede establecer como política en la MDM.