Llegamos a ustedes gracias a:



Reportajes y análisis

Ocho preguntas de seguridad antes de crear aplicaciones móviles

[02/05/2011] Las organizaciones empresariales se están apresurando en construir aplicaciones para el iPhone, iPad, Android y BlackBerry con el fin de profundizar la experiencia de sus clientes y ampliar las formas en que sus clientes pueden comprarlas.

La demanda de estas aplicaciones está impulsando su desarrollo a un rápido ritmo. Por desgracia, los riesgos asociados con las aplicaciones móviles son diferentes a las del típico software empresarial. Además, la seguridad no suele ser un proyecto piloto en el mundo del software móvil.
Los encargados de la línea de negocio deben asegurarse de que los directores de marketing y de TI que se encuentran creando aplicaciones móviles, están protegiendo los datos de los clientes y que no están abriendo -sin darse cuenta- agujeros de seguridad inesperados para los atacantes de fuera. Aquí hay ocho preguntas que hay que hacerles antes de continuar.
1. ¿Cómo es que el riesgo de software en los dispositivos móviles funciona distinto que en el software empresarial?
La definición misma de software para móviles es que existe en un dispositivo fuera de su entorno empresarial, en el celular o la tablet de una persona del exterior, tal vez un cliente. Se puede asumir que al dispositivo se le habrá aplicado jail break y e ingeniería inversa de código fuente. Además, tendrá poca -o ninguna- indicación de que alguien está jugando con su aplicación móvil. En cambio, gran parte de la prevención de ataques y la detección, tendrá que basarse en el análisis de cómo es que el dispositivo móvil interactúa con los servidores internos.
2. ¿Cómo es que estas aplicaciones móviles interactúan con nuestros servidores internos?
Gran parte de la atención de los medios de seguridad móvil se centra en la seguridad del dispositivo. En realidad, la mayor parte del riesgo existe cuando el dispositivo móvil interactúa con servidores que tienen conexión con el exterior. El modelo de riesgos y pruebas de una organización debe reflejar esa realidad. Si el dispositivo puede ser sometido a jailbreak (violado) y a ingeniería inversa, un atacante con habilidades modestas puede identificar el servidor de destino que recibe peticiones de entrada desde sus dispositivos móviles. En ese momento, el servidor tiene que ser capaz de soportar una variedad de ataques a las aplicaciones y a la red.
3. ¿Tenemos establecida la habilidad interna para gestionar ese riesgo?
Dada la explosión de la demanda de aplicaciones para el iPhone, iPad, Android y Blackberry, hasta los desarrolladores de software más modestos están siendo altamente demandados por los líderes de las empresas. Haga un esfuerzo concertado para cuantificar sus habilidades internas en el desarrollo móvil, o vaya rápidamente hacia la pequeña pero creciente comunidad de expertos en software de seguridad móvil para que le ayuden a asegurar sus aplicaciones móviles.
4. ¿Los desarrolladores móviles tienen más o menos probabilidades de entender los conceptos de seguridad que otros desarrolladores
Desafortunadamente, para muchos la respuesta es "menos", pero algunas cuestiones de alto perfil del código móvil pueden estar cambiando esto. Gran parte del talento en este mercado emergente viene del mundo interactivo y creativo, y del mundo del desarrollo de dispositivos de sistema cerrado. Tampoco se utilizan para la construcción de software empresarial robusto que soporte los rigores de los ataques de Internet. Por otra parte, los desarrolladores no familiarizados con los entornos móviles pueden llevar a errores con consecuencias para la seguridad.
5. ¿Estamos seguros de que la información confidencial del cliente no se quedará en un dispositivo después de que una sesión haya terminado?
Los desarrolladores de software deben escribir código que no permita que los datos privados persistan después de que un cliente ha terminado su sesión de navegación, dada la naturaleza de los dispositivos móviles vulnerables. Además, una organización debe mantenerse al tanto de si ciertos navegadores o sistemas operativos eluden estos controles. Es una necesidad mantener la vista en el navegador móvil y las debilidades del sistema operativo.
6. ¿Qué procesos están en su lugar para responder si hubiera una pérdida de datos del cliente, o incumplimiento asociado con una aplicación móvil?
Los procesos de respuesta a incidentes que existen para la empresa deberían ser asignados al mundo móvil, incluyendo tanto actores internos como externos. Haga puntos de referencia para los demás, y considere la realización de un ejercicio basado en la pérdida de datos de clientes. Los que no lo han hecho han sido sorprendidos por quien interactúa con el desarrollo de móviles en la empresa. ¿Está usted preparado para tirar del enchufe de los teléfonos móviles cuando una vulnerabilidad particularmente desagradable sale a la luz?
7. ¿Qué organización (empresa, proveedor de dispositivos, proveedor de sistema operativo móvil) es responsable de la seguridad?
Teniendo en cuenta que hay varias dependencias arquitectónicas clave, si se produce una violación, ¿quién es responsable de qué aspecto del medio ambiente, ya sea dispositivo, sistema operativo o aplicación? La comprensión de este ecosistema le ayudará a manejar un incidente de seguridad con una aplicación móvil.
8. ¿Qué enfoques de desarrollo se han establecido para crear aplicaciones móviles más seguras?
¿El enfoque de desarrollo para aplicaciones móviles ha cambiado, debido a la debilidad inherente del entorno móvil? ¿Qué normas de codificación tiene usted para el código móvil? ¿Cómo se aplican estas normas? ¿Se comprueban con frecuencia? ¿Se comprueban solo para algunas versiones de alto perfil? Los proyectos de desarrollo móvil de última generación deben estar alineados con las normas de la organización para el desarrollo de software seguro, y esas normas deben ser aumentadas para reflejar modelos de amenazas más complicadas asociadas con las aplicaciones móviles.
Los gerentes de seguridad más sabios están bien servidos al preguntar estas cuestiones -tarde o temprano- en el proceso de creación de aplicaciones móviles. Las aplicaciones móviles están aquí para quedarse, y las organizaciones que definen rápidamente estrategias de seguridad móvil, permiten que las unidades del negocio capitalicen las oportunidades que presenta el software para móviles.
John Dickson, CSO (US)