Con el uso creciente de los dispositivos móviles en las organizaciones es fundamental evaluar los riesgos y las contramedidas que garanticen el almacenamiento y la seguridad de la información que se transmite.
Por: Felipe Silgado, Gerente de consultoría en seguridad de la información PwC
El rápido crecimiento y la amplia adopción para el uso empresarial de los dispositivos móviles (teléfonos inteligentes y tabletas) ha sobrepasado todas las expectativas. Las personas que los tienen navegan más de la mitad del tiempo desde este dispositivo y no desde su computador de escritorio o equipo portátil, como ocurría hace algunos años.
El acelerado crecimiento y la tendencia de las organizaciones a nivel mundial de contar por lo menos con una aplicación móvil o un sitio web para móviles convierte en un factor crítico la seguridad de la información transmitida desde y hacia estos dispositivos.
El uso de las aplicaciones móviles puede ser diverso dependiendo del objetivo que persiga la organización. Se puede utilizar para consultas (directorios, lista de clientes y de precios), descarga de información (información de servicios adquiridos, pasabordos, exámenes de salud, etc.) y procesamiento de información (cotizaciones, órdenes de pedido, facturas, etc.), por citar algunos ejemplos.
Al tener tantas posibilidades de consultar, enviar, almacenar, procesar y compartir información mediante dispositivos móviles es necesario cuestionarse cuáles son los nuevos riesgos a los cuales se enfrenta una organización.
Según la encuesta global de seguridad de la información de PwC 2014, solo el 38% de las empresas tienen una política de seguridad para dispositivos móviles, mientras que menos de la mitad (un 42%) indica tener una estrategia de seguridad enfocada en esta área.
El análisis de riesgos de seguridad de la información para las aplicaciones móviles es crucial para identificar los niveles de exposición actuales de la información transmitida a través de estos dispositivos. La organización puede partir de un portafolio de riesgos estándar para validar cuáles riesgos corresponden a la aplicación móvil específica de la compañía y cuáles no.
Por ejemplo, puede basarse en los riesgos técnicos definidos en el OWASP Mobile Security Project (Open Web Application Security Project https://www.owasp.org/index.php/OWASP_Mobile_Security_Project), y luego realizar una definición del impacto que tendrían en la información o en el negocio.
A continuación se muestran los diez riesgos técnicos de OWASP Mobile Security Project. Estos portafolios no pretenden abarcar todos los posibles riesgos a los que está expuesta una aplicación móvil, sino únicamente ilustrar algunos aspectos críticos que deben ser tenidos en cuenta.
1. Debilidad en los controles del lado del servidor de la aplicación.
2. Almacenamiento de datos inseguros.
3. Protección insuficiente en la capa de transporte.
4. Fuga de datos involuntaria.
5. Autenticación y autorización pobres.
6. Criptografía rota.
7. Inyección del lado del cliente.
8. Decisiones de seguridad vía entradas no confiables.
9. Manejo de sesiones inapropiado.
10. Falta de protección de los binarios.
Impactos en la información y en el negocio
Los impactos en la información y en el negocio que pueden traer los riesgos asociados a aplicaciones móviles son diversos. Estos son algunos ejemplos de cómo una organización se podría ver afectada:
•Fuga de información (del negocio o personal)
• Fraude
• Modificación de información no autorizada
• Pérdida de información (del negocio o personal)
• Acceso no autorizado
• Ingeniería social
• Incumplimiento regulatorio
• Incumplimiento de contratos y SLAs
Recomendaciones para mitigar los riesgos
El primer aspecto a tener en cuenta es que la organización defina una política de seguridad para aplicaciones móviles y una estrategia de seguridad para su manejo. Con esto tendrá, al menos, un gobierno de seguridad definido.
Posteriormente, se recomienda establecer un marco de seguridad para aplicaciones móviles, que cubra cuatro frentes principales:
1. Desarrollo: En este aspecto se deben tener en cuenta el almacenamiento de datos, la autenticación, autorización, manejo de sesiones, registro de eventos y auditoría, manejo de la memoria, entre otros.
2. Arquitectura: Este punto contempla la escalabilidad, disponibilidad, conectividad, arquitectura de la aplicación en cuanto a componentes de seguridad, entre otros.
3. Manejo de la seguridad: En esta categoría se tienen en cuenta las políticas de privacidad, valoración de riesgos, pruebas de seguridad, revisión de código fuente, entre otros.
4. Infraestructura: En este ítem se incluye el acceso a recursos de red y conectividad, comportamiento de la aplicación, Sistemas MDM (Mobile Device Management), aprovisionamiento de la aplicación y entrega, entre otros.
Una vez aplicado este marco de seguridad para aplicaciones móviles, se espera que las organizaciones puedan tener una base de seguridad al momento de desarrollar aplicaciones móviles tanto para su uso interno como para servicios a clientes. Por lo pronto, según la encuesta global de seguridad de la información de PwC 2014, se espera que este año un 25% de las empresas dediquen sus esfuerzos de seguridad a implementar controles en sus dispositivos móviles tales como: cifrado de smartphones, definición de estrategia para empleados para el uso de dispositivos personales en la empresa y la implementación de herramientas MDM.