Con los cambios continuos en el ámbito tecnológico y empresarial, surgen nuevas amenazas creadas por las nuevas aplicaciones móviles, por ello los auditores de TI y los profesionales de la seguridad deben adaptarse a estos cambios y anticiparse a los riesgos aplicar controles apropiados.
Para seleccionar dichos controles, primero se deben de localizar las capas de riesgo, los cuales hemos desarrollado en el anterior post “Gestión del Riesgo Empresarial en el Mundo Móvil”. En este post se explicaban las principales áreas de riesgo relacionadas con Mobile Workforce, pero si nos paramos a analizarlos la mayoría tienen un factor de riesgo común que afecta directamente a la organización: la información del dispositivo. Alrededor de este factor podemos segmentarlo en cuatro categorías principales de seguridad de aplicaciones móviles como se muestra en la figura 1.
Para afrontar el reto los auditores de TI hacen uso de los siguientes puntos mostrados en la siguiente tabla, de esta forma resulta más sencillo detectar la amenaza debido a la clasificación de los riesgos en dichas categorías [1].
MARCO DE PRUEBAS DE AUDITORÍA PARA APLICACIONES MÓVILES | ||||
ÁREA DE AMENAZA | TEMA DEL CONTROL | CONTROL A VERIFICAR | PRUEBA DE CONTROL | RIESGO MITIGADO |
Dispositivos móviles | Almacenamiento de datos | Los datos se almacenan de forma segura para evitar las extracciones maliciosas cuando los datos están en reposo.
|
El cifrado de los datos en reposo en el dispositivo móvil se establece en el Estándar de cifrado Avanzado (Advanced Encryption Standard:AES) 128, 192 o 256. | Pérdida y divulgación de datos |
Transmisión de
datos |
Los datos transferidos de la aplicación móvil están encriptados. | El cifrado de datos se aplica a los datos en transmisión a través de la Capa de Puertos Seguros (Secure Sockets Layer: SSL) y protocolos de seguridad como:
|
||
Gestión de acceso a aplicaciones y seguridad | La aplicación está configurada para limitar el acceso y configurada de forma adecuada para el uso autorizado limitado. | La gestión de aplicaciones móviles (MAM) se utiliza para gestionar el acceso y el despliegue de la aplicación. Además, las listas blancas y listas negras se mantienen. | Acceso no autorizado y fraude | |
Redes | Conectividad inalámbrica | El cifrado se aplica cuando se activa la conexión Wi-Fi. | Para garantizar la seguridad de los datos, la transmisión de datos utiliza, al menos, los protocolos SSL o TLS. | Pérdida y divulgación de datos |
Secuestro de sesión (Session hijacking) | Evitar conexiones inseguras para prevenir el secuestro de una sesión. | Los protocolos de conexión para el
Localizador Uniforme de Recursos (URL) a través de TLS son a través de HTTPS en lugar de HTTP para garantizar la seguridad a una URL. |
Pérdida y divulgación de datos, acceso no autorizado | |
Servicios Web | Gestión de acceso | Roles y responsabilidades para la propiedad han sido establecidos, documentados y comunicados. | Todos los servidores web aplicables se asignan a propietarios de sistemas técnicos y negocios. Los roles y
las responsabilidades definidas son adecuadas, especialmente para el personal interno y de terceros. |
|
Ataque de fuerza bruta | La estrategia de gestión de Denegación de Servicio (DoS) incluye programas adecuados para bloquear protocolos no autorizados. | Los protocolos de bloqueo están habilitados para cuentas con varios intentos de contraseña incorrecta. Se recomienda el uso de CAPTCHA (programa que distingue entre humanos y ordenadores) para evitar DoS. | Acceso no autorizado y fraude, disponibilidad de la aplicación | |
Base de Datos | Acceso privilegiado | El acceso elevado a las bases de datos se asegura adecuadamente utilizando las mejores prácticas. | El acceso a la BD está limitado a las personas adecuadas, y las revisiones de acceso apropiadas y las cuentas documentadas del sistema se mantienen archivadas. Todas las cuentas y contraseñas predeterminadas se deshabilitan aplicando estrictos controles de contraseña. | Acceso no autorizado y fraude |
Inyección SQL | El acceso a la BD del Back-end está protegido apropiadamente contra vulnerabilidades utilizando técnicas de validación de entrada adecuadas. | Existe una técnica de validación de entrada; Existen reglas específicamente definidas para el tipo y la sintaxis de las reglas clave del negocio. | ||
Validación de la entrada de la aplicación (cliente) | Los datos procedentes de las aplicaciones móviles deben examinarse antes de extraerlos o enviarlos a la capa de BD. | La limpieza de los datos del usuario de la aplicación móvil se protege adecuadamente mediante comprobaciones lógicas integradas dentro de la aplicación. La correcta implementación de las comprobaciones lógicas está en el lado del servidor. | ||
Servicios de BD de aplicaciones | El software de la BD del servidor se actualiza a las versiones seguras más actuales. | El servidor de la BD está probada adecuadamente y reforzado contra ataques maliciosos. Los formularios de inicio de sesión requieren HTTPS. Las conexiones SSL son obligatorias |
Por otro lado, si analizamos la ISO/IEC 27002 (código de práctica para los controles de seguridad de la información) podremos destacar el punto 6.2 “Dispositivos para la movilidad y teletrabajo” el cual pertenece al punto 6 “Aspectos organizativos de la seguridad de la información” [2]. Este punto trata por un lado la política de uso de dispositivos para la movilidad y por otro el teletrabajo [3].
Con estos controles se demuestra que los auditores TI deben trabajar mano a mano con todos los equipos dentro de la organización responsable del desarrollo de aplicaciones móviles, (negocio, desarrollo TI, seguridad TI, legal y cumplimiento). Además, deben de facilitar el proceso que determine un mínimo de controles de seguridad que pueda aplicarse al vulnerable mundo móvil. No debemos olvidar que dichos controles deben realizarse según la aplicación móvil es actualizada y nuevas tecnologías se implementen para dar soporte a la aplicación. De esta forma, se reducirá el riesgo de vulnerabilidades internas y externas que pueden poner en un compromiso los datos.
Referencias:
[1] Mohammed J. Khan, « Mobile App Security Audit Framework », ISACA Journal, volume 4 (2016): 1 – 4. https://www.isaca.org/Journal/archives/2016/volume-4/Documents/Mobile-App-Security-Audit-Framework_joa_Eng_0716.pdf .
[2] ISO 27002:2013, acceso 25 de noviembre de 2018, http://www.iso27000.es/download/ControlesISO27002-2013.pdf .
[3] ISO 27002:2013, acceso 25 de noviembre de 2018, Sección 6, http://www.iso27001security.com/html/27002.html#Section6 .
M.B.
Latest posts by M.B. (see all)
- Smart Cities + Big Data - 20 enero, 2019
- ¿Cómo evitar la desmotivación laboral? - 31 diciembre, 2018
- Qué es BYOD y su cercana relación con el Mundo Móvil - 1 diciembre, 2018
Bien pero te has desviado del tema, ligeramente, y no lo has tratado con amplitud, por otra.. Te has movido a un punto muy concreto que son las aplicaciones móviles, …. dejando de lado todos los controles que tienen que ver con las personas ‘móviles’. Posiblemente investigar un poco más sobre el punto 6.2 te hubiera llevado a otras cuestiones …