Phishing

Download PDF

El post anterior trataba sobre algunos factores de riesgo en las aplicaciones móviles y algunos controles básicos con los que abordarlos. Además de las amenazas que se nombraban en aquel post, existe otra más de la cual considero que es fundamental tener ciernas nociones, y es ésta la que me gustaría tratar en este último post. Es por ello que he seguido leyendo sobre la Gestión del Riesgo Institucional en el Mundo Móvil, y esta vez he investigado acerca del impacto que produce el Phishing en el Mundo Móvil.

Phishing

¿Qué es Phishing?:

El termino Phishing es utilizado para referirse a uno de los métodos utilizados por delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de la víctima. Estos ataques se producen de la siguiente manera:

  1. Todo comienza con un correo electrónico no deseado, o spam. Normalmente nadie acostumbraría a leer el correo electrónico no deseado, pero, puesto que a veces el correo legítimo no atraviesa los filtros y se queda con el no deseado, comprobar esta “bandeja” no resultaría extraño. Otra opción podría ser que el filtro de correo electrónico no hubiera sido capaz de detener el intento de estafa. Sea como sea, el destinatario del correo acaba leyendo el correo.
  2. Este correo contiene una URL que direcciona al dominio del atacante, y se espera que el usuario que recibe el correo acceda a ella con una de las siguientes escusas:
    1. Cambio en la normativa del banco.
    2. Cierre incorrecto de la sesión del usuario.
    3. Mejoras en las medidas de seguridad.
    4. Detectada intrusión en sus sistemas de seguridad.
    5. Bloqueo de la cuenta por motivos de seguridad.
    6. Etc.
  3. Una vez en el dominio del atacante, se espera que la víctima introduzca los datos que el atacante desea, para ello el atacante hace que su dominio se parezca, tanto en nombre como apariencia, al dominio al que la víctima cree estar accediendo.

Y además, según un artículo de ElevenPaths (la unidad global de ciberseguridad de Telefónica), es mucho más fácil atacar haciendo Phishing a una empresa a través de los dispositivos móviles. Las oportunidades que ofrecen los dispositivos a los atacantes para realizar ataques son las siguientes:

  • Las dimensiones de la pantalla: Cuando el usuario entra a un sitio web el dispositivo móvil intenta ofrecer la mayor visibilidad posible en la pantalla. Esto hace que en algunos navegadores la barra de direcciones desaparezca rápidamente. No saber en qué página se está, aumenta el peligro y facilita la labor de los atacantes.
  • Las vistas incrustadas en las aplicaciones móviles: Algunas aplicaciones de redes sociales como Facebook, Twitter, o los gestores de correo, utilizan vistas web embebidas con el fin de proporcionar comodidad al usuario y estética. Cargan la dirección URL enlazada desde la aplicación móvil, y por defecto no muestran la dirección URL en ningún lugar de la aplicación móvil.
  • Los subdominios: Otro problema de espacio que presentan las barras de direcciones en los navegadores de los dispositivos móviles es que suele desplazar la vista de forma que se muestran normalmente los subdominios más a la izquierda. Este detalle permite al atacante diseñar en su sitio web un subdominio con, por ejemplo, un formato como el siguiente www.defensa.gob.es.dominiomalicioso.com. En este caso, si se accede desde Android al sitio web se vería lo siguiente:

Subdominios

  • Y qué ocurre con el SSL: Se supone que el SSL, al igual que en cualquier ordenador, debería ser la mejor defensa contra el Phishing. ¿Lo ponen fácil en las versiones más ligeras del navegador? En general, si la conexión no está cifrada, la barra de direcciones ni siquiera muestra el protocolo por el que se navega.

¿Qué podemos hacer?:

Los empleados de la organización deben estar concienciados de lo que un atacante es capaz de hacer mediante el Phishing. Por eso todo empleado tiene que saber que debe:

  • No lanzar la precaución por la ventana cuando se cambia del ordenador al dispositivo móvil.
  • Evitar hacer clic en enlaces de mensajes SMS.
  • Comprobar si una página está utilizando HTTPS.

El dispositivo móvil no es más seguro, simplemente porque no es lo mismo que un ordenador. E independientemente desde qué dispositivo se facilita la información personal o una contraseña, si se hace en el sitio equivocado, esa información va a acabar en las manos de personas equivocadas…

Referencias:

Otros:

«¿QUÉ ES EL PHISHING?», Info Spyware, acceso el 27 de noviembre de 2016,
https://www.infospyware.com/articulos/que-es-el-phishing/.

«Phishing en dispositivos móviles: ¿es más fácil?», ElevenPaths, acceso el 27 de noviembre de 2016,
http://blog.elevenpaths.com/2013/11/phishing-en-dispositivos-moviles-es-mas.html.

«Phishing a través de SMS», naked security, acceso el 27 de noviembre de 2016,
https://nakedsecurity.sophos.com/es/2016/02/12/phishing-via-sms-crooks-target-australian-mobile-banking-users/.

Factores de riesgo en las aplicaciones móviles y algunos controles básicos con los que abordarlos

Download PDF

Con la continua evolución tecnológica, especialmente en el ámbito empresarial, la auditoría del TI y los profesionales de seguridad deben adaptarse al escenario de las amenazas cambiante creado por las aplicaciones móviles adelantándose al riesgo. Para ello deben poner controles apropiados y probar las aplicaciones móviles desde su concepción hasta su lanzamiento. Es por ello que he seguido leyendo sobre la Gestión del Riesgo Institucional en el Mundo Móvil, y esta vez he investigado acerca de los factores de riesgo en las aplicaciones móviles y algunos controles básicos con los que abordarlos. En este Post he utilizado como fuente un artículo de una revista llamada ISACA Journal: mobile apps.

Los riesgos en las aplicaciones móviles se pueden dividir en cuatro categorías:

Cuatro categorías.

Riesgos y controles en la categoría de Dispositivos móviles:

  1. Almacenamiento de datos:
    • Riesgo: Pérdida y divulgación de datos.
    • Control: El cifrado de los datos en reposo en el dispositivo móvil se establece en el Estándar de Cifrado Avanzado (Advanced Encryption Standard: AES) de 128, 192 o 256. Mediante este control los datos se almacenan de forma segura para evitar la extracción maliciosa de la aplicación cuando los datos están en reposo.
  2. Transmisión de datos:
    • Riesgo: Pérdida y divulgación de datos.
    • Control: El cifrado de datos se aplica para los datos en transmisión a través de la Capa de Puertos Seguros (Secure Sockets Layer: SSL) y fuertes protocolos de seguridad tales como:
      • Acceso Web – HTTPS vs. HTTP
      • Transferencia de archivos – FTPS, SFTP, SCP, WebDAV sobre HTTPS vs. FTP, RCP
      • Protocolos de seguridad – Seguridad en la Capa de Transporte (Transport Layer Security: TLS)

Mediante este control la transmisión datos de la aplicación móvil está cifrada cuando no se dispone de datos en reposo.

IMPORTANTE: Estos dos primeros riesgos tratan sobre la pérdida y la divulgación de datos, tema que hace referencia a la DLP y a la gestión de contenido móvil (MCM).

  1. Aplicación de gestión de acceso y seguridad:
    • Riesgo: Acceso no autorizado y fraude.
    • Control: La gestión de aplicaciones móviles (MAM) se utiliza para gestionar el acceso y el despliegue de la aplicación. Además, se mantienen unas adecuadas listas blancas y listas negras. Mediante este control la aplicación está configurada para limitar el acceso y configurada adecuadamente para uso autorizado limitado.
  2. Llevar dispositivos móviles fuera del perímetro empresarial:
    • Riesgo: Pérdida o robo del dispositivo móvil, haciendo posible el acceso no autorizado a las aplicaciones móviles del dispositivo y al fraude de los datos de éstas.
    • Control: (MAM) *Leer el control 3.2 de esta categoría.

Riesgos y controles en la categoría de Red:

  1. Conectividad inalámbrica:
    • Riesgo: Pérdida y divulgación de datos (DLP & MCM).
    • Control: La transmisión de datos utiliza, como mínimo, SSL o TLS. Ambos protocolos criptográficos para la transmisión segura de datos. Mediante este control el cifrado se aplica cuando se activa la conexión Wi-Fi.
  2. Secuestro de sesión (Session hijacking):
    • Riesgo: Pérdida y divulgación de datos y acceso no autorizado (DLP & MCM).
    • Control: Los protocolos de conexión para el Localizador Uniforme de Recursos (Uniform Resource Locator: URL) a través de TLS son a través de HTTPS en lugar de HTTP para conectarse de forma segura a una URL. Mediante este control se evita el secuestro de una sesión debido a un protocolo de conexión inseguro.

Riesgos y controles en la categoría de Servidor web:

  1. Gestión de acceso:
    • Riesgo: Pérdida y divulgación de datos y acceso no autorizado (DLP & MCM).
    • Control: Todos los servidores web aplicables se asignan a los propietarios de sistemas técnicos y empresariales. Los roles y responsabilidades definidos son adecuados, especialmente para el personal interno y de terceros. Mediante este control los roles y responsabilidades de la propiedad son establecidos, documentados y comunicados.
  2. Ataque de fuerza bruta:
    • Riesgo: Acceso no autorizado y fraude, disponibilidad de la aplicación.
    • Control: Los protocolos de bloqueo están habilitados para cuentas con varios intentos de contraseña incorrectos. Se recomienda la utilización de CAPTCHA (programa que distingue entre seres humanos y ordenadores) para evitar DoS (Denegación de Servicio). Mediante este control la gestión de la estrategia de DoS abarca programas adecuados para bloquear los protocolos no autorizados.

Riesgos y controles en la categoría de Base de datos:

  1. Acceso privilegiado:
    • Riesgo: Acceso no autorizado y fraude.
    • Control: El acceso a la BD está limitado a las personas apropiadas, y las revisiones de acceso adecuadas y las cuentas del sistema documentadas se mantienen archivadas. Todas las cuentas y contraseñas predeterminadas se deshabilitan al aplicar controles de contraseña estrictos. Mediante este control el acceso elevado a las BBDD se asegura adecuadamente utilizando las mejores prácticas.
  2. Inyección SQL (SQL injection):
    • Riesgo: Acceso no autorizado y fraude.
    • Control: Se da lugar a la técnica de validación de entrada; existen reglas específicamente definidas para el tipo y la sintaxis contra las reglas clave de negocio. Mediante este control el acceso a la BD del Back-end está protegido adecuadamente de vulnerabilidades utilizando técnicas de validación de entrada apropiadas.
  3. Validación de la entrada de la aplicación (cliente):
    • Riesgo: Acceso no autorizado y fraude.
    • Control: La limpieza de los datos de usuario de la aplicación procedentes de la aplicación móvil se protege adecuadamente mediante comprobaciones de lógica incorporada dentro de la aplicación. La correcta implementación de las comprobaciones lógicas está habilitada en el lado del servidor. Mediante este control los datos procedentes de aplicaciones móviles son examinados antes de confiar en ellos para extraerlos o enviarlos a la capa de BD.
  4. Servicios de BD de aplicaciones.
    • Riesgo: Acceso no autorizado y fraude.
    • Control: El servidor de BD se prueba adecuadamente y se protege contra ataques maliciosos. Los formularios de inicio de sesión requieren HTTPS. Las conexiones SSL son obligatorias.

¿Y el último post?:

No se han tratado amenazas como el Phishing. Puesto que considero que es fundamental tener ciernas nociones de esta amenaza, mi último post, tratará sobre ésta.

Referencia:

Revista de ISACA:

J. Khan, Mohammed «Mobile App Security Audit Framework», ISACA Journal: mobile apps, nº 4 (2016): 14-17.

Gestión de aplicaciones móviles

Download PDF

He seguido leyendo sobre la Gestión del Riesgo Institucional en el Mundo Móvil, y esta vez he investigado acerca de la gestión de aplicaciones móviles (MAM) y de una herramienta llamada XenMobile, la cual tiene como función proporcionar gestión de dispositivos móviles (MDM), gestión de aplicaciones móviles (MAM) y gestión de contenido móvil (MCM).

EMM

MAM, MDM y MCM son tres tipos de software, los cuales forman la gestión de movilidad empresarial (EMM). Pero en vez de centrarme en EMM y tratar los tres tipos de software por igual, he preferido tratar solo MAM, puesto que es, con diferencia, la más importante y porque también permite tratar el conjunto software de MDM y de MCM.

¿Qué es MAM?:

Para saber que es MAM he consultado un documento de IEEE Xplore cuyo título es Power-Aware Mobile Application Management y según este documento la gestión de aplicaciones móviles (MAM) describe el software responsable de aprovisionar y controlar el acceso a aplicaciones móviles. Esta funcionalidad permite a los administradores de TI instalar remotamente, actualizar y eliminar aplicaciones móviles, las cuales podrían ser MEAs de la propia empresa. Además, con un software de MAM, los administradores pueden deshabilitar remotamente las aplicaciones móviles que se sabe que alojan software malicioso (malware).

La idea general es que utilizando MAM, una empresa puede bloquear, controlar y proteger todas sus MEAs de una forma más óptima y agradable, y en una organización de más de cien empleados la implementación de un software de MAM puede ser de gran importancia. Una vez que la empresa supera este tamaño, la administración de aplicaciones móviles puede convertirse en un trabajo de tiempo completo para los administradores de TI. Sin embargo, existen tres desafíos a los que el administrador de TI tendría que enfrentarse:

  • Soporte de plataformas y dispositivos móviles. En la actualidad existen infinidad de plataformas móviles (por ejemplo, Android, iOS, BlackBerry, Mac OS, Symbian y Windows Phone), es por eso que los administradores de TI deben buscar una manera de hacer posible el uso de las aplicaciones móviles en cualquier plataforma móvil. Por otro lado, también existe una gran variedad de dispositivos móviles (por ejemplo, Tablets, netbooks, portátiles, teléfonos inteligentes y phablets), por lo que es fundamental que el administrador de TI proporcione un software que permita asegurar, monitorear y administrar dispositivos móviles sin importar el operador de telefonía o proveedor de servicios, también conocido como un software de gestión de dispositivos móviles (MDM).
  • Impacto mínimo en la energía de la batería de los dispositivos móviles. La mayor queja cuando se trata de dispositivos móviles es que sus vidas de la batería han ido disminuyendo mucho en los últimos años. MAM reduce aún más la vida operacional de los dispositivos móviles porque los dispositivos agotan sus baterías cada vez que necesitan instalar, actualizar o eliminar aplicaciones móviles. Por lo tanto, los administradores de TI deben tratar de minimizar el impacto de MAM en la energía de la batería.
  • Control del almacenamiento y transmisión de los datos. Es decir, que los datos estén seguros de extracciones maliciosas cuando estén almacenados y que estén encriptados cuando estén siendo transferidos. Este desafío se refiere a la DLP (Date Loss Prevention) y a la gestión de contenido móvil (MCM).

A medida que la tendencia bring-your-own-device (BYOD) sigue creciendo, estos desafíos se vuelven aún más complicados debido a que los dispositivos móviles están proliferando en la empresa a un ritmo exponencial, y esto afecta muchísimo a la gestión de aplicaciones móviles (MAM), a la gestión de dispositivos móviles (MDM) y a la gestión de contenido móvil (MCM). Otra importante tendencia tecnológica que también afecta al software de MDM es el despliegue continuo en nubes de Infraestructura como Servicio (IaaS) para una gestión más rápida y rentable de dispositivos móviles.

Hasta aquí se puede apreciar que los software de MAM tienen gran importancia en el Mundo Móvil, a pesar de que existen tendencias que hacen que este tipo de software se vea afectado negativamente, puesto que este tipo de software ayuda a bloquear, controlar y proteger todas las MEAs de una organización.

¿Y qué herramientas existen para gestionar aplicaciones móviles? Existen aplicaciones como Microsoft Intune, Appaloosa o Kaseya, entre otras. Yo he investigado sobre XenMobile.

XenMobile:

Citrix XenMobile

En el año 2013, una empresa llamada Citrix lanzó la herramienta XenMobile MDM, que fue fruto de la compra de Zenprise. En el momento de su lanzamiento, XenMobile MDM solo era un software de gestión de dispositivos móviles (MDM) que otorgó a los usuarios la posibilidad de escoger el dispositivo que querían utilizar mientras que permitió a la empresa hacer frente a sus necesidades de gestión y cumplimiento.

Con el paso del tiempo Citrix fue incorporando software de gestión de aplicaciones móviles (MAM) y software de gestión de contenido móvil (MCM) a la herramienta, transformándola así en un software de gestión de movilidad empresarial (EMM), con lo que XenMobile MDM, pasó a llamarse XenMobile a secas.

Para finalizar, facilito un vídeo que explica que es, en la actualidad, XenMobile:

Referencias:

IEEE Xplore:

Arne Koschel, Carsten Kleiner e Irina Astrova, «Power-Aware Mobile Application Management», Information Society (i-Society), nº 1 (2014): 251-258.

Otros:

«UNDERSTANDING HOW YOUR EXISTING “MDM” SOLUTION CAN HELP YOU DISTRIBUTE, CONTROL AND SECURELY CONNECT YOUR MOBILE APPLICATIONS», MSC, acceso el 4 de noviembre de 2016,
http://www.mscmobility.com.au/mobility-news/mobile-application-management.

«MDM, MAM und MCM – Was bedeuten diese Begriffe?», MOBILITYADMIN, acceso el 4 de noviembre de 2016,
http://www.mobilityadmin.de/mobile-device-management/mdm-mam-und-mcm-was-bedeuten-diese-begriffe.

«Citrix lanza XenMobile, una solución MDM», ChannelBiz, acceso el 4 de noviembre de 2016,
http://www.channelbiz.es/2013/02/21/citrix-lanza-xenmobile-una-solucion-mdm/.

«XenMobile», Citrix, acceso el 4 de noviembre de 2016,
https://www.citrix.es/products/xenmobile/.

Relevancia que ha tenido hasta ahora en la industria el Mundo Móvil y MEA

Download PDF

He seguido leyendo sobre la Gestión del Riesgo Institucional en el Mundo Móvil, y me gustaría dedicar parte de este post a proporcionar evidencias prácticas de la relevancia que han tenido hasta ahora en la industria tanto las aplicaciones móviles, como todo tipo de dispositivos, así como algunas estimaciones de cara al futuro. Un documento de la Librería Digital de ACM, cuyo título en español es Diseño de un Proceso para Identificar y Gestionar los Beneficios de las Aplicaciones Empresariales Móviles en la Industria de los Seguros, ha sido una de las fuentes que he utilizado para buscar evidencias, y de la que he sacado la información que se expone a continuación:

  • El avance de las tecnologías móviles y el correspondiente aumento del uso de aplicaciones móviles en la última década han dado como resultado el uso de estas tecnologías en todas partes.
  • Las estimaciones indican que en 2018 la mitad de todos los usuarios móviles usará teléfonos inteligentes.
  • Desde la introducción del iPhone en 2007 se ha producido un rápido crecimiento de las aplicaciones móviles.
  • Aproximadamente en el año 2014 se descargaron un total de 76’9 trillones de aplicaciones.
  • El uso diario de aplicaciones de consumo en dispositivos inteligentes también está influyendo en el comportamiento en un contexto de trabajo.
  • Una encuesta realizada por Sybase en 2011 de 250 gerentes de tecnología de información reveló que el 90% creía que habían desarrollado una aplicación empresarial móvil antes de finales de 2011. Además, en relación al hallazgo de este estudio, se descubrió que el 55 % de los gestores no tenían una estrategia a largo plazo para el uso de las aplicaciones empresariales móviles dentro de sus procesos de negocio. Lo que se hizo aún más evidente a partir de este estudio fue que había un interés en las aplicaciones empresariales móviles, así como una disposición a invertir en su desarrollo, sin embargo las empresas no tienen estrategias de cómo utilizar y obtener el máximo beneficio de esta nueva tecnología.
  • Las oportunidades de negocio creadas por los dispositivos móviles inteligentes han sido posibles gracias a las aplicaciones móviles.
  • Las aplicaciones móviles que se debaten son las que se ejecutan en los teléfonos inteligentes y Tablets, comúnmente conocido como “aplicaciones móviles”. Las aplicaciones móviles utilizadas en los negocios se llaman MEA y son una de las diez tendencias tecnológicas estratégicas más importantes desde 2014.

Aplicaciones móviles utilizadas en los negocios (MEA), o aplicaciones empresariales móviles. Reconozco que no es la primera vez que leo acerca de este tema, y sé que tampoco será la última, pero creo que es necesario que empiece a explicarlo ahora debido a su importancia.

Entonces,…

¿Qué son los MEA? ¿Por qué usar MEA?:

Entre las evidencias que he mencionado anteriormente se encontraba la siguiente frase: Los MEA se definen como “… aplicaciones diseñadas para los dispositivos móviles y que ayudan a los usuarios dentro de los procesos centrales y / o de soporte de sus empresas”.

Los MEA que existen hoy y en un futuro próximo tienen el potencial para la transformación incremental de una organización. Pero a medida que aumenta el número de empresas que utilizan estas aplicaciones, y a medida que las tecnologías como la Nube maduran para administrar mejor las aplicaciones y el contenido, se puede imaginar la promesa de un Mundo Móvil en el cual todas las actividades de oficina se pueden realizar desde cualquier lugar en cualquier momento. Un entorno en el que los MEA son el ímpetu para cambiar las prácticas de negocios de una manera que reduce los costos de transacción en toda la organización, entre otros beneficios.

¿Y cuáles son esos beneficios? La mejora de la eficiencia de los procesos de negocio, un mejor intercambio de conocimientos y flujo de comunicación, la eliminación de tareas innecesarias para procesos empresariales, la reducción del tiempo de entrega del proceso, un mejor servicio al cliente, un mejor control de la propia organización,…

Son muchos los beneficios que se pueden obtener, pero cada empresa hace uso de las MEAs dando importancia a algunos beneficios por encima de otros. Entonces esto genera otra pregunta: ¿Cuál es el beneficio más importante que una organización espera obtener de las implementaciones de MEAs?

Beneficios de MEA

La productividad.

Se ha demostrado que los beneficios del uso de MEA influyen positivamente tanto en los empleados como en los procesos de negocio, lo que repercute positivamente en el desempeño del negocio. A fin de que este valor de negocio pueda ser llevado a cabo, los beneficios de su uso deben ser gestionados, pero ha habido insuficiente investigación sobre cómo se puede hacer.

Referencias:

ACM Digital Library:

Henri Knoesen y Lisa F. Seymour, «Designing a Process for Identifying and Managing the Benefits of Mobile Enterprise Applications in the Insurance Industry», SAICSIT 2016, nº 18 (2016): 1-10.

Otros:

«Mobile Business Apps», WIPRO, acceso el 2 de noviembre de 2016,
http://www.wipro.com/documents/resource-center/Woodcock_NextEnterprise_FINAL_ONLINE_PDF.pdf.

«What are the Biggest Benefits of Mobile Enterprise Applications?», Enterprise Irregulars, acceso el 2 de noviembre de 2016,
https://www.enterpriseirregulars.com/74514/biggest-benefits-mobile-enterprise-applications/.

¿Qué impacto produce el Mundo Móvil en la Auditoría Interna? ¿Qué hacemos? (BYOD)

Download PDF

He estado leyendo sobre la Gestión del Riesgo Institucional en el Mundo Móvil, ya que el uso de aplicaciones móviles es muy frecuente dentro de una empresa y en la actualidad existe una variedad inmensa de amenazas contra estos dispositivos. Aprovecho ahora para remarcar que el Mundo Móvil hace referencia a los dispositivos móviles, por lo que no está única y exclusivamente compuesto por teléfonos móviles o Smartphones, también están incluidas las Tablets y las PDAs, al igual que otros muchos dispositivos portátiles que puedan ser utilizados para desempeñar una función dentro de una empresa. Una vez asimilado esto, el siguiente paso es preguntarse:

¿Qué impacto produce el Mundo Móvil en la Auditoría Interna?:

Es un hecho que las aplicaciones móviles evolucionan rápida y constantemente, por lo que la auditoría interna debe asegurarse de que está al día con la tecnología móvil que está siendo utilizada por sus organizaciones y que estas están considerando todas las posibles exposiciones de riesgo en todo momento. Para entender mejor el impacto, he consultado el Top 10 de Principales Prioridades de la Auditoría Interna en Organizaciones de Servicios Financieros y he descubierto que las aplicaciones móviles se encuentran en este top, concretamente en el séptimo puesto. En la explicación del top, justifican que las aplicaciones móviles tienen lugar en el top por los riesgos que suponen las aplicaciones móviles para las empresas, en especial en relación a la autentificación del usuario.

Entonces, una vez asumido que las aplicaciones móviles pueden suponer un problema en algunas organizaciones, queda preguntarse cuáles podrían ser unas buenas medidas a tomar dentro de las organizaciones para evitar los problemas. En algún post siguiente a este, trabajaré los riesgos más importantes, así como los controles a tomar para cada uno de ellos, pero de momento, en este post solo pondré, según la explicación del top, los puntos de acción que los auditores jefes ejecutivos y las funciones de auditoría interna necesitan considerar:

  1. Garantizar que las aplicaciones móviles y la banca están completamente cubiertas en el universo de auditoría (todos los productos / servicios, plataformas, proveedores, etc.).
  2. Asegurarse de que los terceros son tenidos en cuenta en las políticas y procedimientos de gestión de proveedores.
  3. Considerar la posibilidad de riesgo de fraude en relación con las transacciones móviles dentro de los procesos de cara al cliente (orígenes y servicio).
  4. Entender el enfoque de la seguridad por tener una presencia móvil.
  5. Considerar el proceso de extremo a extremo de cara al servicio. Los móviles son la típica puerta de entrada a otros servicios y plataformas.
  6. Entender los planes y controles de gestión del cambio de aplicaciones móviles.
  7. Considerar todas las plataformas móviles compatibles aplicables (iOS, Android, Windows, etc.) en los planes de auditoría.
  8. Si procede, tener en cuenta los controles necesarios para apoyar un modelo de entrega de software ágil.
  9. Considerar la posibilidad de la gestión del servicio multiplataforma, incluyendo los componentes de otros fabricantes.
  10. Tener en cuenta las responsabilidades de las empresas, las políticas y procedimientos en relación al aprovisionamiento de cuentas en los dispositivos móviles.

Y entonces, viendo los riesgos e impacto: ¿Todo está perdido? ¿Qué hacemos?

Llegados a este punto la solución es tomar una decisión estratégica. ¿Pero cuál?

¿Qué hacemos? (BYOD):

Según un documento de ISACA existen varias posibles decisiones estratégicas, cada una con sus respectivas ventajas y desventajas. A continuación, enumero algunas de las decisiones estratégicas que ISACA propone:

  • Solución de plataformas estandarizadas.
  • BYOD “Puro”.
  • Estrategia combinada.

Aquí algo llamó mi atención. ¿BYOD? ¿Seguro? Para quienes no sepan muy bien que es esto del BYOD: BYOD significa Bring Your Own Device y es una estrategia que permite a los empleados, proveedores y otros usuarios el utilizar dispositivos seleccionados y comprados por ellos para ejecutar aplicaciones de la empresa (Típicamente Smartphones y Tablets, pero también se pueden usar en PCs).

BYOD

BYOD, provocó la tendencia BYOx, o Bring Your Own “Everything”:

P1 - Sarabia González, Jorge.

Entonces, ¿qué implica ofrecer a todos los empleados la posibilidad de utilizar su propio material para trabajar? A priori, una gran comodidad para el empleado, lo que le mantiene motivado en su trabajo, con lo que aumenta considerablemente la productividad de la organización. ¿Pero a qué precio? ¿Dónde reside la seguridad en este caso? En el empleado, que no necesariamente va a controlar el uso que va a hacer de sus dispositivos. Esto es una fuente de incidencias de seguridad.

BYOD-Security-vs-Productivity

Y yo me pregunto, ¿dónde está el punto a favor de introducir BYOD en una empresa? Lo que en realidad se propone con el BYOD “Puro” es el cambio de migrar los datos a otro sitio y que no se almacenen en el dispositivo desde el que se accede a ellos. El objetivo es crear un sistema de acceso remoto a los recursos que los empleados necesitan para realizar su trabajo. De esta forma, se evita que un problema de seguridad en el equipo local se pueda transmitir a la red de la empresa. Aun así es necesario que las comunicaciones entre el equipo BYOD y los recursos se realicen de forma segura, sobre todo cuando el empleado no se encuentre dentro de las instalaciones de la empresa.

Por último y para concluir este post, el BYOD se vende como un ahorro y aunque ISACA propone el BYOD “Puro” como una decisión estratégica de cara a minimizar el riesgo, yo considero que el cambio de no tener BYOD a tenerlo se debe hacer si el objetivo es aumentar la productividad de la empresa, no la seguridad.

BYOD demasiado lejos.

Referencias:

KnowledgeLeader:

Ed Page y Jason Goldberg, «Coping With the Pace of Change in Mobile Applications», Top Priorities for Internal Audit in Financial Services Organizations, nº 1 (2016): 31-34.

ISACA:

«La información se mueve, ¿tu seguridad también?», ISACA, acceso el 14 de octubre de 2016,
http://www.isaca.org/chapters7/Monterrey/Events/Documents/20140409%20La%20Informacion%20se%20Mueve.pdf.

Otros:

«El BYOD la pesadilla del responsable de seguridad», EOI, acceso el 14 de octubre de 2016,
http://www.eoi.es/blogs/ciberseguridad/2016/04/19/el-byod-la-pesadilla-del-responsable-de-seguridad/.

«Cómo implementar una política segura de BYOD en la empresa», BBVA con tu empresa, acceso el 14 de octubre de 2016,
http://www.bbvacontuempresa.es/como-implantar-una-politica-segura-de-byod-en-la-empresa.

PCI DSS: Un aliado frente al ciberfraude

Download PDF

¿Cómo es posible que estés en tu casa y puedas reservar un hotel en la playa sin levantarte del sofá? ¿Cómo puedo ver el catálogo de productos de una marca de ropa y comprar un artículo introduciendo simplemente los datos de la tarjeta y sin firmar ningún resguardo? Son cuestiones que se plantean las personas mayores, como nuestros abuelos o incluso nuestros padres, que desconocen el mundo de la informática o que tienen nociones muy básicas sobre ella. No es sencillo explicárselo y que lo entiendan, pero pueden vivir sin comprenderlo, aunque ven el mundo tecnológico con cierta desconfianza, sobre todo a la hora de facilitar algunos datos personales necesarios en situaciones determinadas que los requieren, como por ejemplo, los datos asociados a sus tarjetas de pago en compras por Internet.

Desde los inicios de la humanidad, las personas se han visto obligadas a establecer relaciones económicas entre ellas para poder satisfacer sus necesidades básicas. Primero fue el trueque o intercambio de productos. Siglos más tarde llegó la moneda y el valor del dinero, y posteriormente mecanismos de pago más modernos como las tarjetas de crédito y débito. Con la llegada de Internet y de los ordenadores personales, primero las grandes multinacionales y después las pequeñas y medianas empresas, vieron la necesidad de anunciarse y promocionarse a través de ella. Poco después el comercio electrónico, las redes sociales, las comunicaciones móviles, los teléfonos inteligentes, etc, lo han vuelto a cambiar todo y se ha generado un abanico de posibilidades inimaginable hace unos pocos años.

Pero todo tiene su parte negativa. Los delincuentes han sabido adaptarse a los nuevos tiempos. Los primeros sistemas de pago conectados a Internet e implantados en tiendas virtuales eran muy básicos y sus mecanismos de seguridad muy precarios. Esta situación fue aprovechada por los ciberdelincuentes para apropiarse de millones de datos asociados a las tarjetas de pago con las que se habían efectuado transacciones. Dicho fraude supuso enormes pérdidas para las principales compañías que daban soporte a dichos sistemas de pago. Por lo que en el año 2006 Visa, MasterCard, American Express, Discover y JCB International formaron un comité denominado PCI SSC (Payment Card Industry Security Standards Council) para abordar el problema y definir una guía que ayudara a las organizaciones que procesan, almacenan y transmiten datos asociados a tarjetas de pago, con el fin de asegurar dichos datos y evitar los fraudes. Dichas directrices se aplicarían a todas las entidades involucradas en el procesamiento de las tarjetas de pago, incluyendo comerciantes, procesadores, adquirientes, emisores y proveedores de servicios. Fruto de estas directrices se definió la primera versión del estándar PCI DSS (Payment Card Industry Data Security Standard).

De acuerdo con el Privacy Rights Clearinghouse, más de 234 millones de registros con información sensible, han sido violados desde enero de 2005. El almacenamiento de datos sensibles sin las medidas de seguridad oportunas, expone a las empresas en mayor medida al fraude y a la piratería, de manera que aumenta el riesgo de tener que pagar miles de euros en daños y perjuicios al titular de la tarjeta afectado. Cumpliendo con el estándar PCI DSS, las empresas pueden disminuir en cierta medida dicho riesgo.

El PCI SSC cuenta con auditores autorizados conocidos como QSA (Qualified Security Assessor) que son los encargados de verificar periódicamente el cumplimiento del estándar PCI DSS por parte de las empresas que gestionan datos relacionados con las tarjetas de pago.

A lo largo de varios años, el PCI SSC ha hecho un trabajo encomiable en la definición y evolución de un conjunto coherente de normas, así como escuchar y adaptarse con el tiempo al feedback aportado por los comerciantes, bancos, proveedores de servicio y proveedores de tecnología” señala Derek Brink, vicepresidente de la compañía Aberdeen Group. Y seguramente tenga razón ya que, durante los últimos 10 años, dicho comité ha sabido adaptarse a los nuevos tiempos. De hecho, actualmente el estándar PCI DSS se encuentra en su versión 3.2 y continúa recibiendo actualizaciones.

La aplicación del estándar PCI DSS se trata de un proceso continuo de mejora en el que: primero se evalúan todos los procesos de negocio para analizar posibles vulnerabilidades que podrían exponer los datos de los titulares de las tarjetas; segundo, se presentan los registros de validación e informes de conformidad al banco adquiriente y a la compañía de tarjetas involucrada y finalmente se resuelven las vulnerabilidades y no se almacenan los datos de los titulares de la tarjeta a no ser que sea necesario.

Algunas empresas piensan el PCI DSS es un estándar difícil de aplicar y que requiere un esfuerzo enorme. Pero si se hace el ejercicio mental de imaginar cuáles podrían ser los daños directos y colaterales en caso de robo y/o pérdida de los datos de tarjetas confiados por clientes a una organización,  la posición y opinión respecto al estándar varía. Por otro lado, muchos comercios y proveedores de servicio grandes, medianos y pequeños han implementado de forma satisfactoria el estándar. En algunos de ellos probablemente la complejidad técnica sea más alta que la existente en su organización, pero aún así han realizado un análisis coste/beneficio y se han dado cuenta que es mejor implementar el estándar, que arriesgarse a perder su buena reputación y enfrentarse a multas y acciones legales.

Para concluir con este post me gustaría señalar que, a pesar de todas las medidas que se aplican para mejorar la seguridad en Internet y la legislación tan estricta que existe, lo que realmente suele suceder, es que los ciberdelincuentes siempre van un paso por delante. Con esto no quiero decir que robar datos sensibles y saltarse las leyes sea una tarea sencilla, y que los estándares y las medidas tomadas no sirven para nada. Todo lo contrario, la aplicación de estándares como el PCI DSS, en un ámbito tan sensible como los datos correspondientes a las tarjetas de pago, reduce las vulnerabilidades y riesgos de los sistemas que los gestionan, pero tampoco garantiza la total protección de los datos y correspondientemente de los usuarios, que son los que realmente sufren las consecuencias.

 

Referencias

La clave del éxito: Business Intelligence

Download PDF

Business-Intelligence1Hoy en día todavía existen muchos empresarios que se sienten muy cómodos en su zona de confort y siguen utilizando hojas de cálculo o registros a papel para realizar el seguimiento de la evolución de su negocio, incluso con la proliferación de nuevos sistemas innovadores en los últimos años. Sin embargo, los avances que existen actualmente en este campo aportan soluciones que van más allá. No solo ayudan en la gestión del negocio, sino que estas herramientas de Business Intelligence están también diseñadas para ayudar a las personas a tomar decisiones sobre el negocio, predecir riesgos que puedan ocurrir, plantear otros puntos de vista diferentes… etc.

¿Por qué es necesaria la implantación de una herramienta de Business Intelligence?

  • Visión global del negocio. Una herramienta de BI integrada en una empresa proporciona una visión global de todo lo que está sucediendo en la organización. A diferencia de los informes y los registros individuales, que pueden ser engorrosos y confusos, este punto de vista global da la posibilidad a los jefes de concentrarse en lo que es realmente importante, dando una visión transversal de todos los departamentos de la empresa.
  • Acceso en tiempo real a los análisis de datos. Todas las personas dentro de la organización pueden tener acceso a los conocimientos del sistema de BI. De esta forma, cualquier empleado de la organización es capaz de realizar un análisis de los datos e información de la compañía para proponer posibles puntos de mejora o cambios organizativos, que quizá los ejecutivos no vean tan claramente como lo pueden hacer los empleados. Por otro lado, también se puede controlar quién tiene acceso a qué información, y todo esto a tiempo real, ya que existe una interconexión entre todos los departamentos de la compañía.
  • Ahorro de costes. Uno de los objetivos principales a la hora de implantar una solución de BI es la gran cantidad de dinero que se ahorra. Según un estudio realizado por Nucleus Research, las organizaciones obtienen un retorno de 13.01$ por cada dólar que gastan en aplicaciones analíticas. Una fuente importante de este ahorro puede verse reflejada en la disminución del riesgo operacional, al estar automatizados todos los sistemas de gestión de la empresa. Es decir, cualquier error derivado de fallos humanos se vería mitigado gracias a estos sistemas.
  • Ahorro de tiempo. Una ventaja muy práctica de las herramientas de BI es el ahorro de tiempo que proporcionan. Al mejorar la eficiencia operativa y la eliminación de tareas irrelevantes o repetitivas que se hacían de forma manual, las empresas pueden reducir la cantidad de tiempo que dedican a la búsqueda y análisis de información. De acuerdo con un informe de Aberdeen Group, el 93 por ciento de la información necesaria está disponible en tiempo real en las organizaciones con soluciones de BI.

[Read more…]

Big data o Big….Brother

Download PDF

Hace unos días leía en la revista XLSemanal un artículo relacionado con un tema que nos viene como anillo al dedo. El titular era:

¿Se dejaría vigilar todo el tiempo en el trabajo?

Pensémoslo 5 segundos. [ . . . . . ] Seguramente nuestra respuesta, así a bote pronto sería NO. En el trabajo o en cualquier lugar, lo de sentirnos “1d744d3espiados” no termina de resultarnos cómodos. Pero… ¿tampoco nos sentimos así en las redes sociales, asistentes personales, pulseras de actividad, diferentes aplicaciones móviles y otras fuentes de captación de nuestra información? Puede parecer que no pero parándonos a pensar un momento nos daremos cuenta de que estamos bastante más vigilados de lo que seguramente nos gustaría…

Sin embargo, también es cierto que debido a todos los patrones que se identifican con los análisis de Big Data, se pueden llevar a cabo muchísimas prácticas beneficiosas para muchas organizaciones, desde hospitales con sus pacientes hasta recomendaciones personales de cualquier cosa que nos imaginemos. El caso que mostraba el artículo monitorizarde la revista anteriormente nombrada era precisamente un hospital estadounidense en el que los profesionales están monitorizados en toda su jornada laboral. Todo con unos objetivos claros: minimizar costes. Cada persona lleva un receptor en el que se puede saber en todo momento dónde está, cuánto tiempo pasa en el baño, en la sala de café, etc. Por supuesto, el dispositivo no es para nada obligatorio, aunque todos lo llevan.

Otra parte que me ha parecido curiosa es que Big Data está (o estará aún más) bastante relacionada con recursos humanos de la empresa. A día de hoy, hay aplicaciones que son utilizadas para contratar a los empleados que mediante una entrevista hecha por ordenador de unos 15 minutos, la máquina revela informes con información de carácter personal: dotes de mando, preocupaciones, aficionado al riesgo, y otros datos muy interesantes para los jefes de personal. El análisis es llamativo por el hecho de que no se fija en las respuestas dadas, sino en el volumen de la voz, la velocidad del habla, el número de negaciones o lo largas que son sus pausas. Los partidarios del Big Data aseguran que con este tipo de mecanismos y otros parecidos, los despidos y contratos serán más objetivos.

HR

Lo que está claro es que nos movemos en una era en la que Big Data y similares están en auge. Nuestras ciudades y “artilugios” más comunes se están convirtiendo en inteligentes (Smart cities, IoT, …), nuestra información es recopilada para una mejor experiencia en la red, para predecir acontecimientos, recomendarnos productos, etc. Podemos sentirnos como si realmente viviésemos en un Gran Hermano global, pero… si nos hace más mal que bien podríamos desconectar nuestros Smartphones, no tener Facebook, no utilizar tarjetas de crédito, … Todo es opcional.

Para finalizar el post y el año os dejo con un artículo en el que se muestra cómo cambiará nuestra vida en los próximos años con unos ejemplos.

2ab62dd

La información en las empresas

Download PDF

3d people in a round table having a meeting.La información es un recurso vital para toda organización, y el buen uso de ésta puede significar la diferencia entre el éxito o el fracaso para una empresa. El éxito de una organización ya  no depende sólo de la manera en que cada persona maneja sus recursos materiales, sino que es más importante el buen aprovechamiento de los activos intangibles tales como el know-how (hacer como), el conocimiento de cliente y de mercado, etc.

Para que la información cumpla con sus objetivos es necesario que posea ciertas características:

Debe ser relevante: tiene que ser importante y la que necesitamos.
Debe estar actualizada: debe utilizarse en el momento de ser generada.
Debe ser comparable: que permita ser confrontada con datos similares.
Debe ser confiable: debe permitir que los usuarios puedan depender de ella al tomar sus decisiones.
Debe ser económica: debe ser más barata la obtención que la ganancia de su explotación
Debe ser rápida: el acceso a la información debe realizarse de forma rápida y sencilla.
Debe ser de calidad: es importante que la información carezca de errores y sea completa.
Debe ser objetiva: no cabe opción a subjetividades.
Debe ser completa: el tener la información incompleta es peor que no tener nada.
Debe ser aplicable: la información debe ser adecuada para la toma de una decisión, además de ser importante y pertinente.

Los sistemas de información empresariales son una necesidad hoy en día, ya que las empresas manejan grandes cantidades de datos los cuales pueden ser analizados, de tal manera que se pueda encontrar la información relevante para tomar diferentes decisiones. Además, los sistemas de información aseguran que la información se comparta con todos los usuarios que necesiten utilizarla.

Hoy en día las empresas no pueden darse el lujo de solamente operar y ser eficientes, deben ir un paso adelante de la competencia visualizando el futuro. En este punto las tecnologías de información juegan un papel preponderante al brindar a las organizaciones la ventaja competitiva que supone contar con información oportuna, certera y en tiempo real.

Caso de éxito DHL

Download PDF

Podemos pensar que BYOD significa trabajadores utilizando sus dispositivos para trabajar desde casa pero, la verdad, es que abarca muchísimo más que eso. Recientemente, para ser exactos hace menos de dos semanas, DHL anunciaba el lanzamiento de su solución BYOD para la gestión de flotas en carretera. Esta aplicación permitirá el control de las rutas, entregas y  recogidas de mercancías realizadas por su flota que está compuesta por más de 800 camiones.

dhl_express_720x233

Los trabajadores podrán acceder a la aplicación desde su móvil personal (disponible desde cualquier plataforma ya sea iOS, Android, WindowsPhone o HTML5) mientras están en el vehículo y podrán gestionar las rutas que tiene que hacer, sus órdenes de trabajo, etc. Todo desde su móvil y desde cualquier parte, como indica la política BYOD.dhl1

La aplicación ha sido considerada una medida eficaz y rápida a la hora de actualizar sus propios sistemas y los de sus clientes, ya que, en vez de realizar llamadas telefónicas cada vez que hubiese una incidencia (que era lo que hacían hasta ahora) se podrán conocer los eventos que ocurran casi al momento debido a que la aplicación se integra con los sensores y el tacógrafo digital del vehículo, lo que refuerza la seguridad. Gracias a esto, se puede realizar un seguimiento más exhaustivo de la flota. Por otro lado, gestores de tráfico y clientes se podrán conectar a la aplicación para ver en tiempo real el estado de su mensajería.

[Read more…]