Controles para la Gestión del Riesgo Empresarial en el Mundo Móvil

Download PDF

Con los cambios continuos en el ámbito tecnológico y empresarial, surgen nuevas amenazas creadas por las nuevas aplicaciones móviles, por ello los auditores de TI y los profesionales de la seguridad deben adaptarse a estos cambios y anticiparse a los riesgos aplicar controles apropiados.

Para seleccionar dichos controles, primero se deben de localizar las capas de riesgo, los cuales hemos desarrollado en el anterior post “Gestión del Riesgo Empresarial en el Mundo Móvil”. En este post se explicaban las principales áreas de riesgo relacionadas con Mobile Workforce, pero si nos paramos a analizarlos la mayoría tienen un factor de riesgo común que afecta directamente a la organización: la información del dispositivo. Alrededor de este factor podemos segmentarlo en cuatro categorías principales de seguridad de aplicaciones móviles como se muestra en la figura 1.

Mobile-App-Security

Para afrontar el reto los auditores de TI hacen uso de los siguientes puntos mostrados en la siguiente tabla, de esta forma resulta más sencillo detectar la amenaza debido a la clasificación de los riesgos en dichas categorías [1].

MARCO DE PRUEBAS DE AUDITORÍA PARA APLICACIONES MÓVILES
ÁREA DE AMENAZA TEMA DEL CONTROL CONTROL A VERIFICAR PRUEBA DE CONTROL RIESGO MITIGADO
Dispositivos móviles Almacenamiento de datos Los datos se almacenan de forma segura para evitar las extracciones maliciosas cuando los datos están en reposo.

 

El cifrado de los datos en reposo en el dispositivo móvil se establece en el Estándar de cifrado Avanzado (Advanced Encryption Standard:AES) 128, 192 o 256. Pérdida y divulgación de datos
Transmisión de

datos

Los datos transferidos de la aplicación móvil están encriptados. El cifrado de datos se aplica a los datos en transmisión a través de la Capa de Puertos Seguros (Secure Sockets Layer: SSL) y protocolos de seguridad como:

  • Acceso web – HTTPS vs. HTTP
  • Transferencia de archivos – FTPS, SFTP, SCP, WebDAV sobre HTTPS vs. FTP, RCP
  • Protocolos de seguridad – Seguridad en la Capa de Transporte (Transport Layer Security: TLS)
Gestión de acceso a aplicaciones y seguridad La aplicación está configurada para limitar el acceso y configurada de forma adecuada para el uso autorizado limitado. La gestión de aplicaciones móviles (MAM) se utiliza para gestionar el acceso y el despliegue de la aplicación. Además, las listas blancas y listas negras se mantienen. Acceso no autorizado y fraude
Redes Conectividad inalámbrica El cifrado se aplica cuando se activa la conexión Wi-Fi. Para garantizar la seguridad de los datos, la transmisión de datos utiliza, al menos, los protocolos SSL o TLS. Pérdida y divulgación de datos
Secuestro de sesión (Session hijacking) Evitar conexiones inseguras para prevenir el secuestro de una sesión. Los protocolos de conexión para el

Localizador Uniforme de Recursos (URL) a través de TLS son a través de HTTPS

en lugar de HTTP para garantizar la seguridad a una URL.

Pérdida y divulgación de datos, acceso no autorizado
Servicios Web Gestión de acceso Roles y responsabilidades para la propiedad han sido establecidos, documentados y comunicados. Todos los servidores web aplicables se asignan a propietarios de sistemas técnicos y negocios. Los roles y

las responsabilidades definidas son adecuadas, especialmente para el personal interno y de terceros.

Ataque de fuerza bruta La estrategia de gestión de Denegación de Servicio (DoS) incluye programas adecuados para bloquear protocolos no autorizados. Los protocolos de bloqueo están habilitados para cuentas con varios intentos de contraseña incorrecta. Se recomienda el uso de CAPTCHA (programa que distingue entre humanos y ordenadores) para evitar DoS. Acceso no autorizado y fraude, disponibilidad de la aplicación
Base de Datos Acceso privilegiado El acceso elevado a las bases de datos se asegura adecuadamente utilizando las mejores prácticas. El acceso a la BD está limitado a las personas adecuadas, y las revisiones de acceso apropiadas y las cuentas documentadas del sistema se mantienen archivadas. Todas las cuentas y contraseñas predeterminadas se deshabilitan aplicando estrictos controles de contraseña. Acceso no autorizado y fraude
Inyección SQL El acceso a la BD del Back-end está protegido apropiadamente contra vulnerabilidades utilizando técnicas de validación de entrada adecuadas. Existe una técnica de validación de entrada; Existen reglas específicamente definidas para el tipo y la sintaxis de las reglas clave del negocio.
Validación de la entrada de la aplicación (cliente) Los datos procedentes de las aplicaciones móviles deben examinarse antes de extraerlos o enviarlos a la capa de BD. La limpieza de los datos del usuario de la aplicación móvil se protege adecuadamente mediante comprobaciones lógicas integradas dentro de la aplicación. La correcta implementación de las comprobaciones lógicas está en el lado del servidor.
Servicios de BD de aplicaciones El software de la BD del servidor se actualiza a las versiones seguras más actuales. El servidor de la BD está probada adecuadamente y reforzado contra ataques maliciosos. Los formularios de inicio de sesión requieren HTTPS. Las conexiones SSL son obligatorias

 

Por otro lado, si analizamos la ISO/IEC 27002 (código de práctica para los controles de seguridad de la información) podremos destacar el punto 6.2 “Dispositivos para la movilidad y teletrabajo” el cual pertenece al punto 6 “Aspectos organizativos de la seguridad de la información” [2]. Este punto trata por un lado la política de uso de dispositivos para la movilidad y por otro el teletrabajo [3].

Con estos controles se demuestra que los auditores TI deben trabajar mano a mano con todos los equipos dentro de la organización responsable del desarrollo de aplicaciones móviles, (negocio, desarrollo TI, seguridad TI, legal y cumplimiento). Además, deben de facilitar el proceso que determine un mínimo de controles de seguridad que pueda aplicarse al vulnerable mundo móvil. No debemos olvidar que dichos controles deben realizarse según la aplicación móvil es actualizada y nuevas tecnologías se implementen para dar soporte a la aplicación. De esta forma, se reducirá el riesgo de vulnerabilidades internas y externas que pueden poner en un compromiso los datos.

Referencias:

[1] Mohammed J. Khan, « Mobile App Security Audit Framework », ISACA Journal, volume 4 (2016): 1 – 4. https://www.isaca.org/Journal/archives/2016/volume-4/Documents/Mobile-App-Security-Audit-Framework_joa_Eng_0716.pdf .

[2] ISO 27002:2013, acceso 25 de noviembre de 2018, http://www.iso27000.es/download/ControlesISO27002-2013.pdf .

[3] ISO 27002:2013, acceso 25 de noviembre de 2018, Sección 6, http://www.iso27001security.com/html/27002.html#Section6 .

The following two tabs change content below.

M.B.

Latest posts by M.B. (see all)

Comments

  1. RCGRCG says

    Bien pero te has desviado del tema, ligeramente, y no lo has tratado con amplitud, por otra.. Te has movido a un punto muy concreto que son las aplicaciones móviles, …. dejando de lado todos los controles que tienen que ver con las personas ‘móviles’. Posiblemente investigar un poco más sobre el punto 6.2 te hubiera llevado a otras cuestiones …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *