Mobile Connect

Download PDF

En el post anterior hablaba de los diferentes riesgos y amenazas que existen y como afectaban a las organizaciones. Además, durante los anteriores posts hemos estado viendo como las contraseñas son una de las cosas más complicadas, ya que los usuarios pueden abandonar o dejar de utilizar los servicios que ofrece una compañía por el simple hecho del olvido de las mismas o por considerar que son poco seguras.

En el apuro por abrir nuevos canales digitales, las empresas no pueden darse el lujo de perder de vista la necesidad de identificar y conectarse con aquellos individuos que usan una enorme cantidad de dispositivos móviles. El dominio de las identidades digitales puede transformar la posición de una organización en la economía digital. La simple verdad es esta: las empresas que logren aprovechar el tema de la identidad podrán sacar poderosos productos y servicios con más rapidez y efectividad que las que no lo logren. Un estudio de Oracle descubrió que casi dos tercios (64%) de los encuestados dice quehero-mobile_connect los canales digitales son altamente importantes para los ingresos de sus compañías (el 27% piensa que son fundamentales para la misión y el 37% que son muy importantes). 72% dice que el tema de la seguridad es el principal peligro para manejar la identidad personal y solo el 19% está muy bien preparado para cumplir con los requisitos de seguridad. Permitir que los clientes controlen sus propios datos de identidad es considerado como una medida altamente eficaz para el 48% de los adoptantes. [1]

Según diferentes líderes en seguridad biométrica, para 2020 las contraseñas desaparecerán en países que realicen altas inversiones en mecanismos robustos de seguridad. [2] Y según la Asociación de operadores móviles y compañías relacionadas (GSMA), actualmente los gobiernos y empresas están buscando una autenticación más fuerte para reducir los riesgos, especialmente en los dispositivos móviles. Cuentan con un programa llamado Vision 2020 que tiene como objetivo encontrar una solución de autenticación basada en la red móvil para abolir el uso de contraseñas y dar paso a la autenticación digital desde dispositivos móviles. [2] Según datos de GSMA, el 87% de las personas abandonan los sitios web cuando se les pide que se registren, el 40% admite haber utilizado la función de “recuperar contraseña” al menos una vez al mes, y el 83% de los usuarios están preocupados por el uso de su información personal cuando acceden a Internet o a las apps. [3]

El Grupo de Trabajo Técnico y Terminales (TECT) de GSMA Latino América se reunió en marzo del año pasado en Río de Janeiro, Brasil, y sirvió como catalizador para seguir actualizando a los operadores móviles en los temas técnicos que la GSMA impulsa a nivel global. El encuentro atrajo a más de 60 14635686191830ejecutivos de las áreas de las operadoras y los principales fabricantes del ecosistema móvil latinoamericano. Se habló sobre distintos temas, pero el que a nosotros nos importa es el seminario de servicios de identidad, en el cual se dio a conocer el Mobile Connect. Se trata de un servicio de autenticación que los operadores han lanzado en todo el mundo que pretende dar una alternativa a los numerosos usuarios y contraseñas del mundo digital. Además, se revisaron las evoluciones del servicio para dar servicios de autorización, atributos, pagos o identidad. [4]

Hoy en día muchas compañías telefónicas ofrecen el uso de esta tecnología de una forma gratuita y segura, simplemente tendrás que recordar tu número de teléfono para poder loguearte en todo tipo de páginas webs y apps, sin necesidad de recordar contraseñas. [5]

 

La inquietud que me surge es que si los mecanismos de autenticación más seguros son los biométricos (huellas, voz, etc.) y los menos seguros los basados en “algo que tú sabes o tienes” (contraseñas, tarjeta de proximidad, etc.). ¿Cómo sabemos que este método es seguro, si se trata de un mecanismo de autenticación basado en algo que tú tienes (el móvil)? Es decir, si en algún momento pierdo el móvil o me lo roban, pierdo esa seguridad y cualquiera podría entrar a cualquier portal que pueda activar con mi dispositivo. ¿No debería tener una estrategia de doble autenticación? En cualquier caso, me parece una buena idea siempre que las páginas que necesiten un grado más elevado de seguridad lo combinen con otros mecanismos de autenticación.


Referencias

[1] Mercado. <<El gran problema de la identidad digital>>. Acceso el 31 de octubre de 2017. http://www.mercado.com.ar/notas/8019653

[2] Reporte digital. <<Autenticación digital, la tendencia que revoluciona la identidad digital>>. Acceso el 31 de octubre de 2017. http://reportedigital.com/seguridad/autenticacion-digital-identidad/

[3] El País. <<Movistar lanza el servicio que elimina las contraseñas para registrarse>>.  Acceso el 1 de noviembre de 2017. https://elpais.com/economia/2016/04/14/actualidad/1460620789_925132.html

[4] GSMA. <<Reunión del TECT en Brasil: trabajo conjunto para traer la estrategia Vision 2020 de la GSMA a América Latina>>. Acceso el 1 de noviembre de 2017. https://www.gsma.com/latinamerica/es/reunion-del-tect-en-brasil-trabajo-conjunto-para-traer-la-estrategia-vision-2020-de-la-gsma-a-america-latina

[5] Orange. <<Mobile Connect:  La solución universal, segura y cómoda para registrarse sin contraseñas>>. Acceso el 1 de noviembre de 2017. http://mobileconnect.orange.es/

 

Phishing

Download PDF

El post anterior trataba sobre algunos factores de riesgo en las aplicaciones móviles y algunos controles básicos con los que abordarlos. Además de las amenazas que se nombraban en aquel post, existe otra más de la cual considero que es fundamental tener ciernas nociones, y es ésta la que me gustaría tratar en este último post. Es por ello que he seguido leyendo sobre la Gestión del Riesgo Institucional en el Mundo Móvil, y esta vez he investigado acerca del impacto que produce el Phishing en el Mundo Móvil.

Phishing

¿Qué es Phishing?:

El termino Phishing es utilizado para referirse a uno de los métodos utilizados por delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de la víctima. Estos ataques se producen de la siguiente manera:

  1. Todo comienza con un correo electrónico no deseado, o spam. Normalmente nadie acostumbraría a leer el correo electrónico no deseado, pero, puesto que a veces el correo legítimo no atraviesa los filtros y se queda con el no deseado, comprobar esta “bandeja” no resultaría extraño. Otra opción podría ser que el filtro de correo electrónico no hubiera sido capaz de detener el intento de estafa. Sea como sea, el destinatario del correo acaba leyendo el correo.
  2. Este correo contiene una URL que direcciona al dominio del atacante, y se espera que el usuario que recibe el correo acceda a ella con una de las siguientes escusas:
    1. Cambio en la normativa del banco.
    2. Cierre incorrecto de la sesión del usuario.
    3. Mejoras en las medidas de seguridad.
    4. Detectada intrusión en sus sistemas de seguridad.
    5. Bloqueo de la cuenta por motivos de seguridad.
    6. Etc.
  3. Una vez en el dominio del atacante, se espera que la víctima introduzca los datos que el atacante desea, para ello el atacante hace que su dominio se parezca, tanto en nombre como apariencia, al dominio al que la víctima cree estar accediendo.

Y además, según un artículo de ElevenPaths (la unidad global de ciberseguridad de Telefónica), es mucho más fácil atacar haciendo Phishing a una empresa a través de los dispositivos móviles. Las oportunidades que ofrecen los dispositivos a los atacantes para realizar ataques son las siguientes:

  • Las dimensiones de la pantalla: Cuando el usuario entra a un sitio web el dispositivo móvil intenta ofrecer la mayor visibilidad posible en la pantalla. Esto hace que en algunos navegadores la barra de direcciones desaparezca rápidamente. No saber en qué página se está, aumenta el peligro y facilita la labor de los atacantes.
  • Las vistas incrustadas en las aplicaciones móviles: Algunas aplicaciones de redes sociales como Facebook, Twitter, o los gestores de correo, utilizan vistas web embebidas con el fin de proporcionar comodidad al usuario y estética. Cargan la dirección URL enlazada desde la aplicación móvil, y por defecto no muestran la dirección URL en ningún lugar de la aplicación móvil.
  • Los subdominios: Otro problema de espacio que presentan las barras de direcciones en los navegadores de los dispositivos móviles es que suele desplazar la vista de forma que se muestran normalmente los subdominios más a la izquierda. Este detalle permite al atacante diseñar en su sitio web un subdominio con, por ejemplo, un formato como el siguiente www.defensa.gob.es.dominiomalicioso.com. En este caso, si se accede desde Android al sitio web se vería lo siguiente:

Subdominios

  • Y qué ocurre con el SSL: Se supone que el SSL, al igual que en cualquier ordenador, debería ser la mejor defensa contra el Phishing. ¿Lo ponen fácil en las versiones más ligeras del navegador? En general, si la conexión no está cifrada, la barra de direcciones ni siquiera muestra el protocolo por el que se navega.

¿Qué podemos hacer?:

Los empleados de la organización deben estar concienciados de lo que un atacante es capaz de hacer mediante el Phishing. Por eso todo empleado tiene que saber que debe:

  • No lanzar la precaución por la ventana cuando se cambia del ordenador al dispositivo móvil.
  • Evitar hacer clic en enlaces de mensajes SMS.
  • Comprobar si una página está utilizando HTTPS.

El dispositivo móvil no es más seguro, simplemente porque no es lo mismo que un ordenador. E independientemente desde qué dispositivo se facilita la información personal o una contraseña, si se hace en el sitio equivocado, esa información va a acabar en las manos de personas equivocadas…

Referencias:

Otros:

«¿QUÉ ES EL PHISHING?», Info Spyware, acceso el 27 de noviembre de 2016,
https://www.infospyware.com/articulos/que-es-el-phishing/.

«Phishing en dispositivos móviles: ¿es más fácil?», ElevenPaths, acceso el 27 de noviembre de 2016,
http://blog.elevenpaths.com/2013/11/phishing-en-dispositivos-moviles-es-mas.html.

«Phishing a través de SMS», naked security, acceso el 27 de noviembre de 2016,
https://nakedsecurity.sophos.com/es/2016/02/12/phishing-via-sms-crooks-target-australian-mobile-banking-users/.

Factores de riesgo en las aplicaciones móviles y algunos controles básicos con los que abordarlos

Download PDF

Con la continua evolución tecnológica, especialmente en el ámbito empresarial, la auditoría del TI y los profesionales de seguridad deben adaptarse al escenario de las amenazas cambiante creado por las aplicaciones móviles adelantándose al riesgo. Para ello deben poner controles apropiados y probar las aplicaciones móviles desde su concepción hasta su lanzamiento. Es por ello que he seguido leyendo sobre la Gestión del Riesgo Institucional en el Mundo Móvil, y esta vez he investigado acerca de los factores de riesgo en las aplicaciones móviles y algunos controles básicos con los que abordarlos. En este Post he utilizado como fuente un artículo de una revista llamada ISACA Journal: mobile apps.

Los riesgos en las aplicaciones móviles se pueden dividir en cuatro categorías:

Cuatro categorías.

Riesgos y controles en la categoría de Dispositivos móviles:

  1. Almacenamiento de datos:
    • Riesgo: Pérdida y divulgación de datos.
    • Control: El cifrado de los datos en reposo en el dispositivo móvil se establece en el Estándar de Cifrado Avanzado (Advanced Encryption Standard: AES) de 128, 192 o 256. Mediante este control los datos se almacenan de forma segura para evitar la extracción maliciosa de la aplicación cuando los datos están en reposo.
  2. Transmisión de datos:
    • Riesgo: Pérdida y divulgación de datos.
    • Control: El cifrado de datos se aplica para los datos en transmisión a través de la Capa de Puertos Seguros (Secure Sockets Layer: SSL) y fuertes protocolos de seguridad tales como:
      • Acceso Web – HTTPS vs. HTTP
      • Transferencia de archivos – FTPS, SFTP, SCP, WebDAV sobre HTTPS vs. FTP, RCP
      • Protocolos de seguridad – Seguridad en la Capa de Transporte (Transport Layer Security: TLS)

Mediante este control la transmisión datos de la aplicación móvil está cifrada cuando no se dispone de datos en reposo.

IMPORTANTE: Estos dos primeros riesgos tratan sobre la pérdida y la divulgación de datos, tema que hace referencia a la DLP y a la gestión de contenido móvil (MCM).

  1. Aplicación de gestión de acceso y seguridad:
    • Riesgo: Acceso no autorizado y fraude.
    • Control: La gestión de aplicaciones móviles (MAM) se utiliza para gestionar el acceso y el despliegue de la aplicación. Además, se mantienen unas adecuadas listas blancas y listas negras. Mediante este control la aplicación está configurada para limitar el acceso y configurada adecuadamente para uso autorizado limitado.
  2. Llevar dispositivos móviles fuera del perímetro empresarial:
    • Riesgo: Pérdida o robo del dispositivo móvil, haciendo posible el acceso no autorizado a las aplicaciones móviles del dispositivo y al fraude de los datos de éstas.
    • Control: (MAM) *Leer el control 3.2 de esta categoría.

Riesgos y controles en la categoría de Red:

  1. Conectividad inalámbrica:
    • Riesgo: Pérdida y divulgación de datos (DLP & MCM).
    • Control: La transmisión de datos utiliza, como mínimo, SSL o TLS. Ambos protocolos criptográficos para la transmisión segura de datos. Mediante este control el cifrado se aplica cuando se activa la conexión Wi-Fi.
  2. Secuestro de sesión (Session hijacking):
    • Riesgo: Pérdida y divulgación de datos y acceso no autorizado (DLP & MCM).
    • Control: Los protocolos de conexión para el Localizador Uniforme de Recursos (Uniform Resource Locator: URL) a través de TLS son a través de HTTPS en lugar de HTTP para conectarse de forma segura a una URL. Mediante este control se evita el secuestro de una sesión debido a un protocolo de conexión inseguro.

Riesgos y controles en la categoría de Servidor web:

  1. Gestión de acceso:
    • Riesgo: Pérdida y divulgación de datos y acceso no autorizado (DLP & MCM).
    • Control: Todos los servidores web aplicables se asignan a los propietarios de sistemas técnicos y empresariales. Los roles y responsabilidades definidos son adecuados, especialmente para el personal interno y de terceros. Mediante este control los roles y responsabilidades de la propiedad son establecidos, documentados y comunicados.
  2. Ataque de fuerza bruta:
    • Riesgo: Acceso no autorizado y fraude, disponibilidad de la aplicación.
    • Control: Los protocolos de bloqueo están habilitados para cuentas con varios intentos de contraseña incorrectos. Se recomienda la utilización de CAPTCHA (programa que distingue entre seres humanos y ordenadores) para evitar DoS (Denegación de Servicio). Mediante este control la gestión de la estrategia de DoS abarca programas adecuados para bloquear los protocolos no autorizados.

Riesgos y controles en la categoría de Base de datos:

  1. Acceso privilegiado:
    • Riesgo: Acceso no autorizado y fraude.
    • Control: El acceso a la BD está limitado a las personas apropiadas, y las revisiones de acceso adecuadas y las cuentas del sistema documentadas se mantienen archivadas. Todas las cuentas y contraseñas predeterminadas se deshabilitan al aplicar controles de contraseña estrictos. Mediante este control el acceso elevado a las BBDD se asegura adecuadamente utilizando las mejores prácticas.
  2. Inyección SQL (SQL injection):
    • Riesgo: Acceso no autorizado y fraude.
    • Control: Se da lugar a la técnica de validación de entrada; existen reglas específicamente definidas para el tipo y la sintaxis contra las reglas clave de negocio. Mediante este control el acceso a la BD del Back-end está protegido adecuadamente de vulnerabilidades utilizando técnicas de validación de entrada apropiadas.
  3. Validación de la entrada de la aplicación (cliente):
    • Riesgo: Acceso no autorizado y fraude.
    • Control: La limpieza de los datos de usuario de la aplicación procedentes de la aplicación móvil se protege adecuadamente mediante comprobaciones de lógica incorporada dentro de la aplicación. La correcta implementación de las comprobaciones lógicas está habilitada en el lado del servidor. Mediante este control los datos procedentes de aplicaciones móviles son examinados antes de confiar en ellos para extraerlos o enviarlos a la capa de BD.
  4. Servicios de BD de aplicaciones.
    • Riesgo: Acceso no autorizado y fraude.
    • Control: El servidor de BD se prueba adecuadamente y se protege contra ataques maliciosos. Los formularios de inicio de sesión requieren HTTPS. Las conexiones SSL son obligatorias.

¿Y el último post?:

No se han tratado amenazas como el Phishing. Puesto que considero que es fundamental tener ciernas nociones de esta amenaza, mi último post, tratará sobre ésta.

Referencia:

Revista de ISACA:

J. Khan, Mohammed «Mobile App Security Audit Framework», ISACA Journal: mobile apps, nº 4 (2016): 14-17.

Cuida tu privacidad

Download PDF

15569479_s(1)

Debido a la evolución de la forma en que interactuamos en la red y como compartimos nuestra información, la perspectiva de privacidad de nuestros datos personales en Internet ha cambiado de forma considerable. Esta evolución supone unos cambios que generan una seria de riesgos y amenazadas para la privacidad, y, además, cada vez son más acelerados.

Lo primero que debemos tener en cuenta es que hay que ser conscientes de cuáles son las amenazas que pueden llegar a afectar la privacidad de nuestra información. Y es que existen diversos riesgos que pueden afectar a nuestra privacidad como las redes sociales, los dispositivos móviles y aplicaciones, los buscadores de Internet, el correo electrónico, los servicios de mensajería instantánea, los servicios de geolocalización, comercio electrónico… La lista puede llegar a ser eterna, es por eso que me voy a centrar en hablar de los más comunes y a los que estamos más expuestos. [1]

Buscadores

Cuando una persona realiza una búsqueda online por primera vez, hay mucha información que queda guardada de distintas formas, pues los buscadores tratan un amplio abanico de datos para la prestación de sus servicios: direcciones IP, logs, registro de cookies o información que el propio usuario aporta. De esta manera, con el tratamiento de esos datos, se pueden realizar perfiles de hábitos de conducta de los usuarios. Además, Los buscadores también pueden indexar la información contenida en páginas web y otros servicios de Internet como redes sociales, otorgándoles una difusión masiva y universal. [2]

Dispositivos móviles y aplicaciones

Los smartphones se utilizan casi las veinticuatro horas del día, difuminando la distinción entre el mundo online y el offline, y permitiendo la transformación de nuevas aplicaciones y servicios. Por ejemplo, las aplicaciones móviles pueden proporcionar servicios e información sensible a la ubicación y la actividad que se realiza. Pueden registrar lo que el usuario hace, ve y oye; y pueden realizar un seguimiento de los encuentros de un usuario con los dispositivos de otros usuarios cercanos.privacidad-seguridad-datos-personales-smartphone-celular-movil-apps-gps-ubicacion-check-in

Es por eso que se puede dar el caso de que ocurran una serie de nuevas amenazas a la privacidad de los usuarios. Mientras un usuario lleva un dispositivo móvil consigo, éste puede capturar un registro completo de la ubicación del usuario, las actividades online y offline y los encuentros sociales, incluyendo potencialmente un registro audiovisual. Si bien este registro es muy útil para un usuario para su propio beneficio y para permitir nuevas aplicaciones, también es altamente sensible e intrínsecamente privado. [3]

 

Correo electrónico

Al enviar un mensaje de correo electrónico a una o varias personas, asumimos que su contenido permanecerá reservado a ese grupo y no será accesible a terceros. Pero siempre existe la posibilidad de que ocurran fallos que den lugar a filtraciones de información. Pueden deberse tanto a factores que están en manos de los usuarios, como a circunstancias externas que no están en su control.

Y es que el correo electrónico es el cauce más habitual para recibir ataques de ingeniería social y por el que se difunden virus, gusanos y malware en general. La dirección de correo es la forma más común de registrar la identidad de una persona en Internet y puede utilizarse como base para acumular información sobre ella. [4]

Redes sociales

Las redes sociales… Me atrevería a decir que es posiblemente el mayor peligro para nuestra privacidad. Las redes sociales son importantes canales de comunicación e interacción que han obsequiado a todo el mundo con grandes beneficios, pero, ante la gran cantidad de información personal que los usuarios exponen en estas redes (y no sólo de ellos, sino también la de sus conocidos), se hace necesario prestar atención a la protección de la misma.

Uno de los principales riesgos de privacidad que se identifican en las redes sociales es la información personal que los usuarios exponen en ellas y la pérdida de anonimato. De hecho, se han detectado muchos los casos de perfiles falsos o de suplantación de la identidad de otros usuarios que cometen delitos bajo un supuesto anonimato. [5]

Si bien siempre hay que estar atentos cuando publicamos y compartimos información en las redes sociales, en el caso de menores de edad hay que estar todavía mucho más a alerta. Las redes sociales son muy útiles para hablar con amigos y compañeros de clase, e incluso para conocer gente nueva, pero la mayoría de jóvenes no siempre son conscientes de la importancia de la privacidad y las consecuencias que puede tener un mal uso de los datos personales. Las redes sociales, debido a toda la información que almanacenan, son en frecuentes ocasiones usadas por personas malintencionadas para acosa, difamar, hacer spam y phising con actos como el grooming, el sexting y el ciberbulling entre otros.

Alertan-robo-datos-personales-1144057

 

En definitiva, lectores, todo lo que hacemos en Internet deja un rastro. Nuestra información personal es muy valiosa para nosotros, para otras personas, empresas e incluso para los ciberdelincuentes, por este motivo, si no queremos que se haga un uso indebido de ella, debemos ser cuidadosos con la información que compartimos, antes de hacer uso de un servicio informarnos y leer bien las políticas de privacidad y ser precavidos con nuestros dispositivos y los lugares públicos.

Me despido con este vídeo para concienciaros de la importancia de la privacidad de los datos personales y la de personas cercanas a nosotros en las redes sociales :)

 

REFERENCIAS

[1] Agencia Española de Protección de Datos. (2016). Servicios de Internet y riesgos para sus datos personales. Disponible en: https://www.agpd.es/portalwebAGPD/jornadas/dia_internet_2016/servicios_y_riesgos-ides-idphp.php [Consulta 20 Nov. 2016].

[2] Elizalde, P. (2016). Buscadores web que respetan la privacidad del usuario. About.com en Español. Disponible en: http://buscadores.about.com/od/seguridad/a/Buscadores-Que-Respetan-La-Privacidad.htm [Consulta 20 Nov. 2016].

[3] Dl.acm.org. (2016). Brave new world: privacy risks for mobile users. Disponible en: http://dl.acm.org/ft_gateway.cfm?id=2646585&ftid=1498471&dwn=1&CFID=695789979&CFTOKEN=84098391 [Consulta 20 Nov. 2016].

[4] Interbel. (2016). Como mantener la Privacidad en mi correo electrónico. Disponible en: http://www.interbel.es/como-mantener-la-privacidad-en-mi-correo-electronico/ [Consulta 20 Nov. 2016].

[5] Pcworld.com.mx. (2016). Redes sociales: beneficios y riesgos para la privacidad de los datos – PC World México. Disponible en: http://www.pcworld.com.mx/articulos/12591.htm [Consulta 20 Nov. 2016].

Gestión de aplicaciones móviles

Download PDF

He seguido leyendo sobre la Gestión del Riesgo Institucional en el Mundo Móvil, y esta vez he investigado acerca de la gestión de aplicaciones móviles (MAM) y de una herramienta llamada XenMobile, la cual tiene como función proporcionar gestión de dispositivos móviles (MDM), gestión de aplicaciones móviles (MAM) y gestión de contenido móvil (MCM).

EMM

MAM, MDM y MCM son tres tipos de software, los cuales forman la gestión de movilidad empresarial (EMM). Pero en vez de centrarme en EMM y tratar los tres tipos de software por igual, he preferido tratar solo MAM, puesto que es, con diferencia, la más importante y porque también permite tratar el conjunto software de MDM y de MCM.

¿Qué es MAM?:

Para saber que es MAM he consultado un documento de IEEE Xplore cuyo título es Power-Aware Mobile Application Management y según este documento la gestión de aplicaciones móviles (MAM) describe el software responsable de aprovisionar y controlar el acceso a aplicaciones móviles. Esta funcionalidad permite a los administradores de TI instalar remotamente, actualizar y eliminar aplicaciones móviles, las cuales podrían ser MEAs de la propia empresa. Además, con un software de MAM, los administradores pueden deshabilitar remotamente las aplicaciones móviles que se sabe que alojan software malicioso (malware).

La idea general es que utilizando MAM, una empresa puede bloquear, controlar y proteger todas sus MEAs de una forma más óptima y agradable, y en una organización de más de cien empleados la implementación de un software de MAM puede ser de gran importancia. Una vez que la empresa supera este tamaño, la administración de aplicaciones móviles puede convertirse en un trabajo de tiempo completo para los administradores de TI. Sin embargo, existen tres desafíos a los que el administrador de TI tendría que enfrentarse:

  • Soporte de plataformas y dispositivos móviles. En la actualidad existen infinidad de plataformas móviles (por ejemplo, Android, iOS, BlackBerry, Mac OS, Symbian y Windows Phone), es por eso que los administradores de TI deben buscar una manera de hacer posible el uso de las aplicaciones móviles en cualquier plataforma móvil. Por otro lado, también existe una gran variedad de dispositivos móviles (por ejemplo, Tablets, netbooks, portátiles, teléfonos inteligentes y phablets), por lo que es fundamental que el administrador de TI proporcione un software que permita asegurar, monitorear y administrar dispositivos móviles sin importar el operador de telefonía o proveedor de servicios, también conocido como un software de gestión de dispositivos móviles (MDM).
  • Impacto mínimo en la energía de la batería de los dispositivos móviles. La mayor queja cuando se trata de dispositivos móviles es que sus vidas de la batería han ido disminuyendo mucho en los últimos años. MAM reduce aún más la vida operacional de los dispositivos móviles porque los dispositivos agotan sus baterías cada vez que necesitan instalar, actualizar o eliminar aplicaciones móviles. Por lo tanto, los administradores de TI deben tratar de minimizar el impacto de MAM en la energía de la batería.
  • Control del almacenamiento y transmisión de los datos. Es decir, que los datos estén seguros de extracciones maliciosas cuando estén almacenados y que estén encriptados cuando estén siendo transferidos. Este desafío se refiere a la DLP (Date Loss Prevention) y a la gestión de contenido móvil (MCM).

A medida que la tendencia bring-your-own-device (BYOD) sigue creciendo, estos desafíos se vuelven aún más complicados debido a que los dispositivos móviles están proliferando en la empresa a un ritmo exponencial, y esto afecta muchísimo a la gestión de aplicaciones móviles (MAM), a la gestión de dispositivos móviles (MDM) y a la gestión de contenido móvil (MCM). Otra importante tendencia tecnológica que también afecta al software de MDM es el despliegue continuo en nubes de Infraestructura como Servicio (IaaS) para una gestión más rápida y rentable de dispositivos móviles.

Hasta aquí se puede apreciar que los software de MAM tienen gran importancia en el Mundo Móvil, a pesar de que existen tendencias que hacen que este tipo de software se vea afectado negativamente, puesto que este tipo de software ayuda a bloquear, controlar y proteger todas las MEAs de una organización.

¿Y qué herramientas existen para gestionar aplicaciones móviles? Existen aplicaciones como Microsoft Intune, Appaloosa o Kaseya, entre otras. Yo he investigado sobre XenMobile.

XenMobile:

Citrix XenMobile

En el año 2013, una empresa llamada Citrix lanzó la herramienta XenMobile MDM, que fue fruto de la compra de Zenprise. En el momento de su lanzamiento, XenMobile MDM solo era un software de gestión de dispositivos móviles (MDM) que otorgó a los usuarios la posibilidad de escoger el dispositivo que querían utilizar mientras que permitió a la empresa hacer frente a sus necesidades de gestión y cumplimiento.

Con el paso del tiempo Citrix fue incorporando software de gestión de aplicaciones móviles (MAM) y software de gestión de contenido móvil (MCM) a la herramienta, transformándola así en un software de gestión de movilidad empresarial (EMM), con lo que XenMobile MDM, pasó a llamarse XenMobile a secas.

Para finalizar, facilito un vídeo que explica que es, en la actualidad, XenMobile:

Referencias:

IEEE Xplore:

Arne Koschel, Carsten Kleiner e Irina Astrova, «Power-Aware Mobile Application Management», Information Society (i-Society), nº 1 (2014): 251-258.

Otros:

«UNDERSTANDING HOW YOUR EXISTING “MDM” SOLUTION CAN HELP YOU DISTRIBUTE, CONTROL AND SECURELY CONNECT YOUR MOBILE APPLICATIONS», MSC, acceso el 4 de noviembre de 2016,
http://www.mscmobility.com.au/mobility-news/mobile-application-management.

«MDM, MAM und MCM – Was bedeuten diese Begriffe?», MOBILITYADMIN, acceso el 4 de noviembre de 2016,
http://www.mobilityadmin.de/mobile-device-management/mdm-mam-und-mcm-was-bedeuten-diese-begriffe.

«Citrix lanza XenMobile, una solución MDM», ChannelBiz, acceso el 4 de noviembre de 2016,
http://www.channelbiz.es/2013/02/21/citrix-lanza-xenmobile-una-solucion-mdm/.

«XenMobile», Citrix, acceso el 4 de noviembre de 2016,
https://www.citrix.es/products/xenmobile/.

Relevancia que ha tenido hasta ahora en la industria el Mundo Móvil y MEA

Download PDF

He seguido leyendo sobre la Gestión del Riesgo Institucional en el Mundo Móvil, y me gustaría dedicar parte de este post a proporcionar evidencias prácticas de la relevancia que han tenido hasta ahora en la industria tanto las aplicaciones móviles, como todo tipo de dispositivos, así como algunas estimaciones de cara al futuro. Un documento de la Librería Digital de ACM, cuyo título en español es Diseño de un Proceso para Identificar y Gestionar los Beneficios de las Aplicaciones Empresariales Móviles en la Industria de los Seguros, ha sido una de las fuentes que he utilizado para buscar evidencias, y de la que he sacado la información que se expone a continuación:

  • El avance de las tecnologías móviles y el correspondiente aumento del uso de aplicaciones móviles en la última década han dado como resultado el uso de estas tecnologías en todas partes.
  • Las estimaciones indican que en 2018 la mitad de todos los usuarios móviles usará teléfonos inteligentes.
  • Desde la introducción del iPhone en 2007 se ha producido un rápido crecimiento de las aplicaciones móviles.
  • Aproximadamente en el año 2014 se descargaron un total de 76’9 trillones de aplicaciones.
  • El uso diario de aplicaciones de consumo en dispositivos inteligentes también está influyendo en el comportamiento en un contexto de trabajo.
  • Una encuesta realizada por Sybase en 2011 de 250 gerentes de tecnología de información reveló que el 90% creía que habían desarrollado una aplicación empresarial móvil antes de finales de 2011. Además, en relación al hallazgo de este estudio, se descubrió que el 55 % de los gestores no tenían una estrategia a largo plazo para el uso de las aplicaciones empresariales móviles dentro de sus procesos de negocio. Lo que se hizo aún más evidente a partir de este estudio fue que había un interés en las aplicaciones empresariales móviles, así como una disposición a invertir en su desarrollo, sin embargo las empresas no tienen estrategias de cómo utilizar y obtener el máximo beneficio de esta nueva tecnología.
  • Las oportunidades de negocio creadas por los dispositivos móviles inteligentes han sido posibles gracias a las aplicaciones móviles.
  • Las aplicaciones móviles que se debaten son las que se ejecutan en los teléfonos inteligentes y Tablets, comúnmente conocido como “aplicaciones móviles”. Las aplicaciones móviles utilizadas en los negocios se llaman MEA y son una de las diez tendencias tecnológicas estratégicas más importantes desde 2014.

Aplicaciones móviles utilizadas en los negocios (MEA), o aplicaciones empresariales móviles. Reconozco que no es la primera vez que leo acerca de este tema, y sé que tampoco será la última, pero creo que es necesario que empiece a explicarlo ahora debido a su importancia.

Entonces,…

¿Qué son los MEA? ¿Por qué usar MEA?:

Entre las evidencias que he mencionado anteriormente se encontraba la siguiente frase: Los MEA se definen como “… aplicaciones diseñadas para los dispositivos móviles y que ayudan a los usuarios dentro de los procesos centrales y / o de soporte de sus empresas”.

Los MEA que existen hoy y en un futuro próximo tienen el potencial para la transformación incremental de una organización. Pero a medida que aumenta el número de empresas que utilizan estas aplicaciones, y a medida que las tecnologías como la Nube maduran para administrar mejor las aplicaciones y el contenido, se puede imaginar la promesa de un Mundo Móvil en el cual todas las actividades de oficina se pueden realizar desde cualquier lugar en cualquier momento. Un entorno en el que los MEA son el ímpetu para cambiar las prácticas de negocios de una manera que reduce los costos de transacción en toda la organización, entre otros beneficios.

¿Y cuáles son esos beneficios? La mejora de la eficiencia de los procesos de negocio, un mejor intercambio de conocimientos y flujo de comunicación, la eliminación de tareas innecesarias para procesos empresariales, la reducción del tiempo de entrega del proceso, un mejor servicio al cliente, un mejor control de la propia organización,…

Son muchos los beneficios que se pueden obtener, pero cada empresa hace uso de las MEAs dando importancia a algunos beneficios por encima de otros. Entonces esto genera otra pregunta: ¿Cuál es el beneficio más importante que una organización espera obtener de las implementaciones de MEAs?

Beneficios de MEA

La productividad.

Se ha demostrado que los beneficios del uso de MEA influyen positivamente tanto en los empleados como en los procesos de negocio, lo que repercute positivamente en el desempeño del negocio. A fin de que este valor de negocio pueda ser llevado a cabo, los beneficios de su uso deben ser gestionados, pero ha habido insuficiente investigación sobre cómo se puede hacer.

Referencias:

ACM Digital Library:

Henri Knoesen y Lisa F. Seymour, «Designing a Process for Identifying and Managing the Benefits of Mobile Enterprise Applications in the Insurance Industry», SAICSIT 2016, nº 18 (2016): 1-10.

Otros:

«Mobile Business Apps», WIPRO, acceso el 2 de noviembre de 2016,
http://www.wipro.com/documents/resource-center/Woodcock_NextEnterprise_FINAL_ONLINE_PDF.pdf.

«What are the Biggest Benefits of Mobile Enterprise Applications?», Enterprise Irregulars, acceso el 2 de noviembre de 2016,
https://www.enterpriseirregulars.com/74514/biggest-benefits-mobile-enterprise-applications/.

¿Qué impacto produce el Mundo Móvil en la Auditoría Interna? ¿Qué hacemos? (BYOD)

Download PDF

He estado leyendo sobre la Gestión del Riesgo Institucional en el Mundo Móvil, ya que el uso de aplicaciones móviles es muy frecuente dentro de una empresa y en la actualidad existe una variedad inmensa de amenazas contra estos dispositivos. Aprovecho ahora para remarcar que el Mundo Móvil hace referencia a los dispositivos móviles, por lo que no está única y exclusivamente compuesto por teléfonos móviles o Smartphones, también están incluidas las Tablets y las PDAs, al igual que otros muchos dispositivos portátiles que puedan ser utilizados para desempeñar una función dentro de una empresa. Una vez asimilado esto, el siguiente paso es preguntarse:

¿Qué impacto produce el Mundo Móvil en la Auditoría Interna?:

Es un hecho que las aplicaciones móviles evolucionan rápida y constantemente, por lo que la auditoría interna debe asegurarse de que está al día con la tecnología móvil que está siendo utilizada por sus organizaciones y que estas están considerando todas las posibles exposiciones de riesgo en todo momento. Para entender mejor el impacto, he consultado el Top 10 de Principales Prioridades de la Auditoría Interna en Organizaciones de Servicios Financieros y he descubierto que las aplicaciones móviles se encuentran en este top, concretamente en el séptimo puesto. En la explicación del top, justifican que las aplicaciones móviles tienen lugar en el top por los riesgos que suponen las aplicaciones móviles para las empresas, en especial en relación a la autentificación del usuario.

Entonces, una vez asumido que las aplicaciones móviles pueden suponer un problema en algunas organizaciones, queda preguntarse cuáles podrían ser unas buenas medidas a tomar dentro de las organizaciones para evitar los problemas. En algún post siguiente a este, trabajaré los riesgos más importantes, así como los controles a tomar para cada uno de ellos, pero de momento, en este post solo pondré, según la explicación del top, los puntos de acción que los auditores jefes ejecutivos y las funciones de auditoría interna necesitan considerar:

  1. Garantizar que las aplicaciones móviles y la banca están completamente cubiertas en el universo de auditoría (todos los productos / servicios, plataformas, proveedores, etc.).
  2. Asegurarse de que los terceros son tenidos en cuenta en las políticas y procedimientos de gestión de proveedores.
  3. Considerar la posibilidad de riesgo de fraude en relación con las transacciones móviles dentro de los procesos de cara al cliente (orígenes y servicio).
  4. Entender el enfoque de la seguridad por tener una presencia móvil.
  5. Considerar el proceso de extremo a extremo de cara al servicio. Los móviles son la típica puerta de entrada a otros servicios y plataformas.
  6. Entender los planes y controles de gestión del cambio de aplicaciones móviles.
  7. Considerar todas las plataformas móviles compatibles aplicables (iOS, Android, Windows, etc.) en los planes de auditoría.
  8. Si procede, tener en cuenta los controles necesarios para apoyar un modelo de entrega de software ágil.
  9. Considerar la posibilidad de la gestión del servicio multiplataforma, incluyendo los componentes de otros fabricantes.
  10. Tener en cuenta las responsabilidades de las empresas, las políticas y procedimientos en relación al aprovisionamiento de cuentas en los dispositivos móviles.

Y entonces, viendo los riesgos e impacto: ¿Todo está perdido? ¿Qué hacemos?

Llegados a este punto la solución es tomar una decisión estratégica. ¿Pero cuál?

¿Qué hacemos? (BYOD):

Según un documento de ISACA existen varias posibles decisiones estratégicas, cada una con sus respectivas ventajas y desventajas. A continuación, enumero algunas de las decisiones estratégicas que ISACA propone:

  • Solución de plataformas estandarizadas.
  • BYOD “Puro”.
  • Estrategia combinada.

Aquí algo llamó mi atención. ¿BYOD? ¿Seguro? Para quienes no sepan muy bien que es esto del BYOD: BYOD significa Bring Your Own Device y es una estrategia que permite a los empleados, proveedores y otros usuarios el utilizar dispositivos seleccionados y comprados por ellos para ejecutar aplicaciones de la empresa (Típicamente Smartphones y Tablets, pero también se pueden usar en PCs).

BYOD

BYOD, provocó la tendencia BYOx, o Bring Your Own “Everything”:

P1 - Sarabia González, Jorge.

Entonces, ¿qué implica ofrecer a todos los empleados la posibilidad de utilizar su propio material para trabajar? A priori, una gran comodidad para el empleado, lo que le mantiene motivado en su trabajo, con lo que aumenta considerablemente la productividad de la organización. ¿Pero a qué precio? ¿Dónde reside la seguridad en este caso? En el empleado, que no necesariamente va a controlar el uso que va a hacer de sus dispositivos. Esto es una fuente de incidencias de seguridad.

BYOD-Security-vs-Productivity

Y yo me pregunto, ¿dónde está el punto a favor de introducir BYOD en una empresa? Lo que en realidad se propone con el BYOD “Puro” es el cambio de migrar los datos a otro sitio y que no se almacenen en el dispositivo desde el que se accede a ellos. El objetivo es crear un sistema de acceso remoto a los recursos que los empleados necesitan para realizar su trabajo. De esta forma, se evita que un problema de seguridad en el equipo local se pueda transmitir a la red de la empresa. Aun así es necesario que las comunicaciones entre el equipo BYOD y los recursos se realicen de forma segura, sobre todo cuando el empleado no se encuentre dentro de las instalaciones de la empresa.

Por último y para concluir este post, el BYOD se vende como un ahorro y aunque ISACA propone el BYOD “Puro” como una decisión estratégica de cara a minimizar el riesgo, yo considero que el cambio de no tener BYOD a tenerlo se debe hacer si el objetivo es aumentar la productividad de la empresa, no la seguridad.

BYOD demasiado lejos.

Referencias:

KnowledgeLeader:

Ed Page y Jason Goldberg, «Coping With the Pace of Change in Mobile Applications», Top Priorities for Internal Audit in Financial Services Organizations, nº 1 (2016): 31-34.

ISACA:

«La información se mueve, ¿tu seguridad también?», ISACA, acceso el 14 de octubre de 2016,
http://www.isaca.org/chapters7/Monterrey/Events/Documents/20140409%20La%20Informacion%20se%20Mueve.pdf.

Otros:

«El BYOD la pesadilla del responsable de seguridad», EOI, acceso el 14 de octubre de 2016,
http://www.eoi.es/blogs/ciberseguridad/2016/04/19/el-byod-la-pesadilla-del-responsable-de-seguridad/.

«Cómo implementar una política segura de BYOD en la empresa», BBVA con tu empresa, acceso el 14 de octubre de 2016,
http://www.bbvacontuempresa.es/como-implantar-una-politica-segura-de-byod-en-la-empresa.