1

Ocho preguntas que hay responder antes de crear aplicaciones móviles

Las empresas se están apresurando en construir aplicaciones para el iPhone, iPad, Android y BlackBerry con el fin de profundizar la experiencia de sus clientes y ampliar la forma en que éstos pueden comprarlas.

 La demanda de estas aplicaciones está impulsando su desarrollo a gran velocidad. Desafortunadamente, los riesgos asociados con las aplicaciones móviles son diferentes a las del típico software empresarial. Además, es muy raro que la seguridad sea un proyecto piloto en el mundo del software móvil.
Los ejecutivos de la empresa deben asegurarse de que los directores de mercadotecnia y de TI que se encuentran creando aplicaciones móviles, están protegiendo los datos de los clientes y que no están abriendo -sin darse cuenta- brechas de seguridad inesperadas para los atacantes externos. A continuación, las ocho preguntas que hay que formularles antes de continuar.
1. ¿Cómo se diferencia el riesgo de software en los dispositivos móviles del software empresarial?
La definición misma de software móvil es que existe en un dispositivo fuera de su entorno empresarial, en el celular o la tablet de una persona que está afuera, tal vez un cliente. Puede suponer que al dispositivo se le habrá aplicado jail break e ingeniería inversa de código fuente. Además, tendrá poca -o ninguna- indicio de que alguien está jugando con su aplicación móvil. En cambio, gran parte de la prevención de ataques y la detección tendrá que basarse en el análisis de cómo es que el dispositivo móvil interactúa con los servidores internos.
2. ¿Cómo estas aplicaciones móviles interactúan con nuestros servidores internos?
Gran parte de la atención de los medios en seguridad móvil se centra en la seguridad del dispositivo. En realidad, mucho del riesgo existe cuando el dispositivo móvil interactúa con servidores que tienen conexión con el exterior. El modelo de riesgos y pruebas de una organización debe reflejar esa realidad. Si el dispositivo puede ser atacado y se le aplica la ingeniería inversa, un atacante con habilidades mínimas puede identificar el servidor de destino que recibe peticiones de entrada desde sus dispositivos móviles. En ese momento, el servidor tiene que ser capaz de soportar una variedad de ataques a las aplicaciones y a la red.
3. ¿Tenemos establecida la capacidad interna para manejar este riesgo?
Dada la explosión de la demanda de aplicaciones para el iPhone, iPad, Android y Blackberry, incluso los desarrolladores de software más modestos están siendo altamente solicitados por los líderes de las empresas. Haga un esfuerzo por cuantificar sus habilidades internas en el desarrollo móvil, o vaya rápidamente hacia la pequeña pero creciente comunidad de expertos en software de seguridad móvil para que le ayuden a asegurar sus aplicaciones móviles.
4. ¿Los desarrolladores de código móvil entienden más o menos los conceptos de seguridad que otros desarrolladores?
Desafortunadamente, para muchos la respuesta es “menos”, pero algunas cuestiones de alto perfil del código móvil pueden estar cambiando esto. Gran parte del talento en este mercado emergente viene del mundo interactivo y creativo, y del mundo del desarrollo de dispositivos de sistema cerrado. Tampoco se utilizan para la construcción de software empresarial “resistente” que soporte los rigores de los ataques de Internet. Por otra parte, los desarrolladores no familiarizados con los entornos móviles pueden llevar a errores con consecuencias para la seguridad.
5. ¿Estamos seguros de que la información confidencial de los clientes no se quedará en un dispositivo después de que una sesión haya terminado?
Los desarrolladores de software deben escribir código que no permita que los datos privados persistan después de que un cliente ha terminado su sesión de navegación, dada la naturaleza de los dispositivos móviles vulnerables. Además, una organización debe mantenerse al tanto de si ciertos navegadores o sistemas operativos eluden estos controles. Es una necesidad mantener la vista en el navegador móvil y las debilidades del sistema operativo.
6. ¿Qué procesos existen para responder si hubiera una pérdida de datos del cliente, o una brecha asociada con una aplicación móvil?
Los procesos de respuesta a incidentes que existen para la empresa deberían ser asignados al mundo móvil, incluyendo tanto a jugadores internos como externos. Establezca benchmarks (pruebas de ejecución) para otros, y considere la realización de un ejercicio basado en la pérdida de datos de clientes. Los que no lo han hecho han sido sorprendidos por quien interactúa con el desarrollo de móviles en la empresa. ¿Está usted preparado para desconectar los teléfonos móviles cuando una vulnerabilidad particularmente peligrosa sale a la luz?
7. ¿Qué organización (empresa, proveedor de dispositivos, proveedor de sistema operativo móvil) es responsable de la seguridad?
Teniendo en cuenta que hay varias dependencias arquitectónicas clave, si se presenta una brecha, ¿quién es responsable de qué aspecto del entorno, ya sea dispositivo, sistema operativo o aplicación? La comprensión de este ecosistema le ayudará a manejar un incidente de seguridad con una aplicación móvil.
8. ¿Qué modelos de desarrollo se han establecido para crear aplicaciones móviles más seguras?
¿El método de desarrollo para aplicaciones móviles ha cambiado, debido a la debilidad inherente del entorno móvil? ¿Qué normas de codificación tiene usted para el código móvil? ¿Cómo se aplican estas normas? ¿Se revisan con frecuencia? ¿Se revisan sólo para algunas versiones de alto perfil? Los proyectos de desarrollo móvil de última generación deben estar alineados con las normas de la organización para el desarrollo de software seguro, y esas normas deben ser aumentadas para reflejar modelos de amenazas más complicadas asociadas con las aplicaciones móviles.
Los directores de seguridad expertos deben hacer estas preguntas más temprano que tarde en el proceso de creación de aplicaciones móviles. Las aplicaciones móviles están aquí para quedarse, y las organizaciones que definen rápidamente estrategias de seguridad móvil, permiten que las unidades del negocio capitalicen las oportunidades que presenta el software para móviles.

-John Dickson, CSO

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.