ISACA Journal
Volume 4, 2,016 

Translated Articles 

Marco de Auditoria de Seguridad de Aplicaciones Móviles 

Mohammed J. Khan, CISA, CRISC, CIPM 

El 3 de Abril de 1973, Martin Cooper, un investigador y ejecutivo de Motorola, efectuó la primera llamada móvil desde un teléfono que pesaba un poco más de 1 kg. Avanzando rápido al 2016. El teléfono móvil promedio es mucho más liviano y más rápido que la versión de 1973, ofrece más funcionalidades y contiene mas poder computacional que las primeras computadoras personales. Queda claro que la tecnología móvil ha llegado para quedarse, ya que un número creciente de consumidores y empresas por igual adoptan su conveniencia, velocidad y beneficios. “A medida que el numero de personas que poseen y usan teléfonos celulares continua creciendo, lo mismo ocurre con el uso de teléfonos inteligentes. 91% de la población adulta de los Estados Unidos actualmente es propietaria de un teléfono celular y de ese 91%, 61% son teléfonos inteligentes.”1 Con tales cambios tecnológicos, especialmente en el ámbito empresarial, auditoria de TI y los profesionales de la seguridad deben adaptarse al cambiante panorama de amenazas creadas por las aplicaciones (apps) móviles anticipándose a los riesgos y poniendo controles apropiados y efectuar pruebas de las aplicaciones móviles desde su concepción hasta su liberación.

Para que los controles adecuados para las aplicaciones móviles sean desarrollados y probados, uno primero debe diseccionar las capas de riesgo. Como se muestra en la figura 1, pueden existir multitud de capas, pero los segmentos de riesgo básico pueden ser divididos en cuatro categorías principales de seguridad de aplicaciones móviles:

  • Dispositivos Móviles
  • Redes Móviles
  • Servidores Web de Aplicaciones Móviles
  • Bases de Datos de Aplicaciones Móviles

Construyendo un marco a nivel del consumidor y de la empresa

Las aplicaciones empresariales o de consumo comparten los mismos tipos de riesgos y amenazas. Sin embargo, algunos factores de riesgo empresariales son únicos en sus propias formas y, para hacer frente a este riesgo, uno tiene que evaluar la propuesta de valor de negocios para la creación de aplicaciones empresariales. De acuerdo a un articulo, “Dispositivos móviles dominan el uso del consumidor hasta el punto de que las empresas están viendo el valor de integrarlos en el lugar de trabajo también”.2 Hay tres ventajas deseadas:

  • Eficiencia—La capacidad para que la fuerza de trabajo pueda llevar a cabo las tareas que habitualmente se realizan en una plataforma de cliente-servidor se debe replicar para que se pueda realizar de la misma manera en una aplicación móvil para conseguir la máxima movilidad y beneficiarse de la creciente capacidad de Internet de las Cosas (IoT).
  • Servicios—Los empleados deben poder maximizar los servicios que ellos le proveen a los clientes siendo empoderados de realizar actividades a nivel de empresa en la misma forma en que están acostumbrados a trabajar con las aplicaciones de escritorio. La aplicación debe proveer el mismo tipo de soporte y disponibilidad de datos según lo esperado de los servicios que no son de aplicaciones de nivel empresarial.
  • Satisfacción del Cliente—Es importante proveerle a los clientes el mismo nivel de satisfacción empresarial y de cumplir con los indicadores clave de rendimiento (KPIs) que forman parte de la razón por la cual el cliente se ha registrado para la solución de la empresa en primer lugar.

Uno de los retos con los que se enfrentan los auditores es evaluar específicamente como hacer frente a los factores de riesgo de las aplicaciones móviles. Las capas ilustradas en la figura 1 ayudan al auditor en disecar las áreas de amenazas. También, deben existir algunos controles básicos en su lugar para que controles mas complejos sean abordados e implementados. Aunque, el marco de prueba propuesto en figura 2 no encapsula todos los controles complementarios, si se centra en los controles clave requeridos que tengan un nivel de madurez básico relacionados con el fortalecimiento de la seguridad de las aplicaciones móviles.

Conclusión

Es esencial que los auditores de TI trabajen con todos los equipos dentro de la organización responsables por el desarrollo de aplicaciones móviles-negocio, desarrollo TI, Seguridad TI, legal y Cumplimiento. Los auditores deben facilitar el proceso de vigilancia de los esfuerzos de desarrollo de aplicaciones móviles e implementar un marco básico robusto que determine un mínimo de controles de seguridad que permitan a las aplicaciones móviles a soportar el operar en un ambiente móvil vulnerable. Además del marco básico de auditoria definido en este articulo, se recomienda utilizar un marco de pruebas de penetración que aplique a todas las aplicaciones móviles antes de su liberación. Además, las pruebas de penetración deben ser efectuadas según la aplicación móvil es actualizada y nuevas tecnologías se implementen para dar soporte a la aplicación. Esto reduce el riesgo de vulnerabilidades internas como externas que pueden resultar en el compromiso de los datos.

Notas Finales

1 Collat School of Business, “The Future of Mobile Application,” infographic, University of Alabama, Birmingham, USA, http://businessdegrees.uab.edu/resources/infographics/the-future-of-mobile-application/
2 Poole College of Management Enterprise Risk Management Initiative, “Managing Risks of the Mobile Enterprise,” North Carolina State University, USA, 1 October 2012, https://erm.ncsu.edu/library/article/manage-risks-mobile-enterprise

Mohammed J. Khan, CISA, CRISC, CIPM
Es un gerente de auditoria global en Baxter, una compañía de dispositivos médicos global. El trabaja con el director ejecutivo de auditoria, con el director de seguridad de la información y el director de privacidad. El ha encabezado auditorias global en multinacionales en varias áreas, incluyendo sistemas de planificación de recursos empresariales, centros de datos globales, revisión de terceros, reingeniería de procesos y mejoras, evaluaciones globales de privacidad (Unión Europea y los Estados Unidos), e iniciativas de ciberseguridad en varios mercados los últimos cinco años. Recientemente, ha adquirido más experiencia en el área de ciberseguridad de dispositivos médicos. Khan previamente ha trabajado como consultor senior de aseguramiento y asesoría para Ernst & Young y como un analista de sistemas de negocios para Motorola.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.