En el artículo anterior indicamos los riesgos que se producen al utilizar el dispositivo móvil para comprar por medio de internet. ¿Cómo podríamos prever esos riesgos? La respuesta se impondrá en este artículo en el cual se mostrará lo diferentes controles de auditoría que se deberán hacer.
Auditoria de pagos móviles
Para que la seguridad sea adecuada se dividen las diferentes partes que componen una aplicación de pagos móviles las cuales se muestran en la imagen[1]:
Cada uno de los componentes tienen sus controles y pruebas que se le hacen para prever la pérdida de la información, el acceso a persona no autorizadas y la pérdida de datos. En estas tablas se indica tanto donde se debe realizar el control como que tipo de prueba deberemos llevar a cabo.
Dispositivos móviles
Zona de riesgo |
Prueba de control |
Prever que cuando el dispositivo esté suspendido se evite la extracción de datos | ¿El dispositivo móvil utiliza AES?
Para prever la extracción de datos el dispositivo móvil debe estar configurado para realizar un cifrado avanzado AES(Advanced Encryption Standard). |
La transmisión de datos debe estar cifrada |
¿El cifrado se realiza mediante SSL(Secure Sockets Layer)? ¿Se usa HTTPS para el acceso a la web (Hypertext Transfer Protocol Secure)? ¿Se hace uso de FTPS (Comúnmente referido como FTP/SSL)para la transferencia de archivos? ¿Se usa TLS(Transport Layer Security)para los protocolos de seguridad? |
La app limita el acceso la configuración apropiadamente |
¿Se hace uso de un gestor de aplicaciones móviles MAM(Mobile Application Management) para administrar los accesos? Un ejemplo de MAM podrían ser MobileIron, Airwatch. |
El código de la aplicación está protegido contra un intruso a través de protecciones binarias |
¿La aplicación permite modificar el código? La aplicación debe estar configurar para limitar el acceso y la configuración adecuada para el uso limitado. Gestión de aplicaciones móviles MAM se utiliza para administrar acceso y despliegue de la aplicación. |
Red
Zona de riesgo |
Prueba de control |
El cifrado del Wifi esta activada |
¿La transmisión se realiza por medio de SSL o TLS(Transport Layer Security) para que la transmisión sea segura? La transmisión se realiza por medio de SSL(Secure Sockets Layer) o TLS(Transport Layer Security) ambos protocolos cifrados para que la transmisión sea segura. |
Nombre del dominio sistema(DNS) realizando Spoofing. El DNS está protegido para evitar
|
¿Se utiliza la configuración adecuada para el filtrado de paquetes? Se utiliza la configuración adecuada para el filtrado de paquetes utilizando TLS(Transport Layer Security), SSH y HTTPS(Hypertext Transfer Protocol Secure) debe estar habilitado,para, verificar la dirección de origen y bloquear paquetes con dirección conflictiva. |
Perdida de datos de logueo debido a una conexión insegura. |
¿Las conexiones de la URL son a través de HTTPS? Las conexiones de las URL (Uniform Resource Locator ) a través de la TLS son a través de HTTPS en lugar de HTTP para asegurarse conectarse a una URL |
Servidor web
Zona de riesgo |
Prueba de control |
Roles y responsabilidades para la propiedad ha sido establecida | ¿Hay diferentes roles para los usuarios del servidor web?
Los roles están correspondientemente definidos y cada uno de los roles con los accesos específicos. |
Denegación de DoS( Disk Operating System) bloquear el acceso a los programas. |
¿Se hace uso de protocolos de bloqueo y captchas para evitar ataques de DoS realizados por máquinas? Usar protocolos de bloqueo y CAPTCHAS para que diferencie máquinas de humanos.
|
Identificar y actualizar la aplicación para aumentar los parches de seguridad |
¿Se ha encontrado una vulnerabilidad nueva? ¿Se ha generado la actualización para hacer frente a esta vulnerabilidad? Si se encuentra alguna nueva vulnerabilidad se debe gestionar un nuevo parche para solucionar esa falla de seguridad. |
Base de datos
Zona de riesgo |
Prueba de control |
El acceso de alto nivel a las bases de datos |
¿Los usuarios que tratan con la base de datos tiene diferentes roles? Asegurarse que tipo de acceso se tiene a la base de datos para cada persona. Todo esto se realizará por medio de cuentas y contraseñas |
Consulta estructurada de la Base de datos |
¿Se cumplen las reglas de sintaxis en la base de datos? Para cada tipo de sintaxis habrá unas reglas plenamente definidas con su respectiva valoración.
|
Los datos provenientes del móvil deben ser revisados antes de enviarlos a la base de datos |
¿Los datos de la aplicación móviles están protegidos contra ataques mediante verificaciones lógicas? Los datos provenientes de la aplicación móvil deben estar protegidas a través de verificaciones lógicas dentro de la aplicación. |
Gestor de aplicaciónes
Zona de riesgo |
Prueba de control |
El código fuente de la aplicación tiene correcto funcionamiento |
¿La aplicación cuenta con la firma de la empresa desarrolladora? La aplicación utiliza el certificado de empresa desarrolladora además de su firma. |
La información existe para mitigar el riesgo o la perdida de dispositivos comprometidos |
¿Se hace uso de un MAN para facilitar la limpieza remota? Empleados de la empresa que hacen uso del control remoto de software de gestión móvil, como mobileIron para facilitar la limpieza remota |
Las actuaciones de la tienda de aplicaciones so las correctas utilizando un ciclo de vida |
¿La aplicación específica en la tienda la actualización que ha tenido y las modificaciones que se han realizado? Se le especifica a la tienda de aplicaciones las actualizaciones y modificaciones que se harán en la aplicación |
En conclusión, los auditores TI deberán trabajar en la organización de responsables de la aplicación. Los auditores deben crear un proceso de vigilancia que determine un mínimo de controles de seguridad para que las aplicaciones puedan funcionar en una zona con amenazas. Además de este tipo de pruebas también se deberían hacer las pruebas de penetración cada vez que la aplicación móvil vaya a ser actualizada.
MobileIron
Es una empresa que se encarga de gestionar y administrar las aplicaciones para dispositivos inteligentes de forma segura y ahorrando costes. MobileIron hace uso de una plataforma virtual propia, donde se encuentran todas las aplicaciones móviles y se pueden descargar Mediante el uso de la plataforma se reducen los errores por ello se reducen los costes económicos, se aumenta la productividad y aumenta la prevención de riesgos [2].
Biografía
[1] “Journal volume 4 2016 spanish Issues https://www.isaca.org/Journal/archives/2016/volume-4/Documents/Journal-volume-4-2016-Spanish.pdf , (Consultado el 21/11/17).
[2] “MobileIron, aplicaciones para móviles en la nubehttp://empresayeconomia.republica.com/newsletter/mobileiron-aplicaciones-para-moviles-en-la-nube.html , (Consultado el 21/11/17).