Mejores prácticas en seguridad de aplicaciones móviles para proteger datos corporativos
Las medidas prácticas de seguridad para las aplicaciones móviles pueden mitigar los riesgos de la entrega de aplicaciones móviles.
Las aplicaciones móviles no pueden desempeñarse bien a menos que hayan sido construidas sobre una base sólida como una roca. Pero las medidas prácticas de seguridad para las aplicaciones móviles, tales como una buena gestión de dispositivos móviles y el cifrado de datos almacenados, pueden mitigar los riesgos de la entrega de aplicaciones móviles.
Después de todo, las aplicaciones móviles solo pueden ser tan seguras como la base sobre la cual están construidas: los dispositivos móviles y los sistemas operativos en los que se ejecutan. Así que es imperativo entender los riesgos inherentes asociados con los dispositivos móviles, las medidas de seguridad nativas integras en los sistemas operativos móviles y las mejores prácticas para mitigar los riesgos de seguridad de las aplicaciones móviles.
Los smartphones y tabletas perdidos o robados suponen un riesgo significativo. El robo de teléfonos está creciendo, y representó el 14% de los principales crímenes en la ciudad de Nueva York el año pasado, así como 38% de los robos en Washington, D.C. Las empresas están en lo correcto al estar preocupadas, ya que el análisis forense de los dispositivos revendidos puede generalmente recuperar algunos de los datos del usuario anterior. Si no se aplica ninguna seguridad, un dispositivo perdido o robado puede llevar fácilmente a una brecha en los datos de negocios almacenados, que incluyen mensajes de correo electrónico, contactos, registros de los clientes, contraseñas y más.
Más aún, los dispositivos móviles perdidos permiten la intrusión a redes y servicios corporativos. Un smartphone configurado con acceso al correo electrónico corporativo, Wi-Fi o red privada virtual, puede ser una puerta trasera abierta hacia sistemas de otro modo seguros, evitando la seguridad del perímetro. Si bien lo mismo puede decirse de las laptops, los usuarios pierden smartphones y tabletas mucho más seguido. Casi siempre contienen contraseñas guardadas, y es menos probable que verifiquen la identidad del usuario con una autenticación de dos factores.
Estos riesgos en la seguridad de las aplicaciones móviles y la red están exacerbados por el malware móvil. De acuerdo con Nielsen, el smartphone promedio en los Estados Unidos tiene 41 aplicaciones descargadas por el usuario. Si bien la mayoría de aplicaciones viene de sitios de buena reputación, como la App Store de Apple o la Play Store de Google, el malware móvil está creciendo rápidamente, especialmente para el sistema operativo de fuente abierta Android. Incluso apps legítimas muchas veces tienen acceso a datos sensibles y servicios tales como contactos y ubicación. Un dispositivo ejecutando una app maliciosa o demasiado inquisitiva, combinada con acceso a datos, redes o servicios corporativos, supone un gran riesgo de negocios.
De hecho, el malware se extiende explotando vulnerabilidades del sistema operativo móvil y las aplicaciones. Los ecosistemas móviles están muy por detrás de la infraestructura establecida de parches para los sistemas de escritorio y laptops. Cuando los escritores de parches encuentran un nuevo bug de Android para explotar, una forma de arreglarlo debe ir a través de Google, luego a través de los fabricantes de dispositivos y luego a través de los operadores de redes celulares antes de ser ofrecida a los usuarios móviles. Como resultado, TI tiene poca visión hacia dentro y ningún control efectivo sobre la gestión de vulnerabilidad en la seguridad de las aplicaciones móviles.
Finalmente, quizás el mayor riesgo de todos es la mano humana que sostiene un teléfono inteligente o tableta. Los usuarios finales a menudo ignoran actualizaciones sugeridas, advertencias de permisos y avisos de contraseñas. De acuerdo con la Corporación de Defensa de la Información, 71% de los directores de seguridad dijeron que los dispositivos móviles han contribuido a los incidentes en seguridad, generalmente debido al descuido de empleados que carecen de conciencia de seguridad. El comportamiento del usuario supone un riesgo incluso mayor dada la tendencia poco asegurada y de uso mixto de traer sus propios dispositivos (BYOD).