Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y Consultora de la Gestin Informtica

Auditora de seguridad en aplicaciones mviles

Profesor Gabriel Alczar Jimnez

Alumnos: Calvo Miranda, Leonardo Jimnez Delgado, Antonio Francisco Rivera Vargas, Keilyn Rodrguez Ramrez, Carolina

CONTENIDO
CAPITULO I: Problema ..................................................................................................................... 3 1.1 1.2 Planteamiento del problema ............................................................................................ 3 Objetivos ......................................................................................................................... 4 1.2.1 Objetivo General .......................................................................................................... 4 1.2.2 Objetivos Especficos .................................................................................................. 4 1.3 Justificacin..................................................................................................................... 5 1.4 Alcance ............................................................................................................................ 5 1.5 Limitaciones .................................................................................................................... 6

CAPITULO II: Marco Terico ........................................................................................................... 7 2.1 Control de aplicaciones corporativas .............................................................................. 7 2.1.1 Subsistema mvil ........................................................................................................ 7 2.1.2 Portal mvil web ......................................................................................................... 8 2.1.3 MEAPs ........................................................................................................................ 9 2.2 2.3 2.4 Seguridad en soluciones empresariales ......................................................................... 10 Riesgos en dispositivos mviles .................................................................................... 11 Estndares del ISACA ................................................................................................... 19 2.4.1.1 Que es ISACA? ...................................................................................................... 19 2.4.1.2 Estndares del ISACA para auditoria para dispositivos mviles ........................... 20 2.5 Seguridad en dispositivos mviles ................................................................................ 20 2.5.1 La informacin y los dispositivos mviles.............................................................. 21 2.5.2 Proteccin de la informacin y encriptacin ........................................................... 22 2.5.3 Directrices para la seguridad de los dispositivos mviles y la informacin que almacenan .......................................................................................................................... 23 2.5.4 Arquitectura de seguridad en aplicaciones mviles para smartphones y tablets ........... 25

CAPITULO III: Marco metodolgico............................................................................................... 26 CAPITULO IV: Anlisis e Interpretacin de los Resultados ............................................................ 28 4.1 4.2 Anlisis de las entrevistas ............................................................................................. 28 Gua de planificacin de auditora de aplicaciones mviles ......................................... 30

CAPITULO V : Conclusiones........................................................................................................... 33 BILIOGRAFIA ................................................................................................................................. 34 ANEXOS........................................................................................................................................... 36 1

A. Entrevistas........................................................................................................................... 36 B. Minutas................................................................................................................................ 43 C. Project Gantt ....................................................................................................................... 54

ILUSTRACIONES
Ilustracin 1. Subsistema mvil .......................................................................................................... 8 Ilustracin 2. Portal Mvil Web .......................................................................................................... 8 Ilustracin 3. MEAP............................................................................................................................ 9 Ilustracin 4. Soluciones Empresariales............................................................................................ 11 Ilustracin 5. Arquitectura de seguridad ........................................................................................... 25

TABLAS
Tabla 1. Tabla de vulnerabilidades, amenazas y riesgos en dispositivos mviles (ISACA, 2012) ... 15 Tabla 2. Tabla de manejos de dispositivos mviles y procesos relevantes del marco de trabajo (ISACA, 2012) .................................................................................................................................. 17

CAPITULO I: Problema

1.1 Planteamiento del problema

Las auditoras permiten a las empresas monitorear y verificar que todos los procesos establecidos se cumplan acorde a los estndares establecidos. En el caso de la auditora en sistemas de informacin, las mismas se pueden enfocar en el cumplimiento de procesos de implementacin y resolucin de problemas, estndares de seguridad tanto a nivel de software como de hardware, entre otros. Actualmente los negocios se dan 24 horas al da, 7 das a la semana alrededor del mundo, creando una constante necesidad al acceso de informacin, provocando que el uso de tecnologas mviles (como smartphones y tablets)1 se haya popularizado en la sociedad actual. Tanto las empresas como sus colaboradores y sus clientes buscan la disponibilidad inmediata de la informacin, sean transacciones, avances de proyectos, paso de data o un simple correo, es posible gracias a esta gama de mviles que se va incrementando en el uso de la vida personal y en el mbito de los negocios. En muchas ocasiones la informacin manejada por estos dispositivos, es informacin sensible, por lo que el tema de la seguridad debe tratarse a un nivel semejante al que se trabaja con las aplicaciones que son accedidas desde computadoras de escritorio o laptops. Para esto es importante definir normas tanto a nivel de software como de hardware para asegurar que la informacin permanezca segura en todo momento. Al ser dispositivos que por lo general son utilizados para ocio y uso personal, son ms propensos a exponer dicha informacin. En la siguiente investigacin se abordarn temas relacionadas a dispositivos mviles. Se expondrn estndares y paradigmas que se utilizan actualmente a nivel lgico y fsico de dichos dispositivos para el aseguramiento de la informacin. Asimismo se
1

Dispositivos porttiles que cuentan con propiedades de interactividad por medio de sistemas operativos mviles complejos, generalmente basados en UNIX o Linux

abordarn las opciones que se ofrecen en el mercado mvil, a nivel de usuario, que permitan proteger la informacin de su empresa. Los estndares y paradigmas que se exponen a continuacin estn centrados en los sistemas operativos de Android & iOS (ambos basados en las familias de UNIX & Linux, por lo que informacin relevante al NDK de los mismos es tomada en cuenta para aspectos de seguridad).

1.2 Objetivos

1.2.1

Objetivo General

Describir los procedimientos necesarios para realizar una gua como base para la planeacin de una auditora de seguridad en dispositivos mviles.

1.2.2

Objetivos Especficos

Analizar la utilidad que se le da actualmente a los dispositivos mviles. Investigar las principales normas que existen para realizar auditoras de seguridad en dispositivos mviles. Identificar los riesgos de seguridad ms comunes presentes en las aplicaciones mviles. Determinar los aspectos e importancia que toman los desarrolladores mviles para aplicar seguridad en sus aplicaciones.

1.3 Justificacin

En la actualidad los estndares de seguridad de la informacin se han convertido en la principal preocupacin de la mayora de empresas. Gracias a los dispositivos y redes mviles, la informacin est disponible a cualquier usuario, sin importar su nivel de conocimiento en sistemas informticos. La tecnologa mvil ha evolucionado rpidamente y sus usuarios crecen da con da. Por lo anterior, es sumamente importante garantizar la disponibilidad de la informacin pero an ms importante garantizar que sta es consistente y precisa. Esto implica desarrollar estndares de seguridad y por ende, la auditoria de estos dispositivos se vuelve una situacin inevitable. Dada la popularidad de los dispositivos mviles y su evidente uso para el acceso y manejo de informacin, la siguiente investigacin abordar los temas relacionados a la auditora de dispositivos y aplicaciones mviles. Claro est que la segmentacin de los mismos es variada segn la infraestructura de sus sistemas operativos, polticas nativas de proteccin de medios de I/O y polticas propias de cada aplicacin (en caso de que se deseara auditar una aplicacin en especfico).

1.4 Alcance

La investigacin toma lugar en varias compaas de desarrollo mvil a nivel nacional. Se realizan entrevistas acerca de aplicaciones desarrolladas para telfonos inteligentes y tabletas, con los sistemas operativos de Android 4.01, iOS 6, WP 7 y WP 8. Se evaluarn los resultados obtenidos respecto a las tendencias actuales de desarrollo de dispositivos mviles.

1.5 Limitaciones

No existen suficientes empresas dedicadas al desarrollo de aplicaciones mviles. La mayora de personas dedicadas al desarrollo de aplicaciones mviles trabajan de manera informal. Poco acceso a estndares de desarrollo mvil

CAPITULO II: Marco Terico

2.1 Control de aplicaciones corporativas

Desde hace varios aos las compaas han intentado migrar sus sistemas de trabajo hacia la plataforma mvil, de tal manera que el acceso y la presentacin de datos sean ms agradables y que se pueda incrementar la productividad de los colaboradores y administrativos independientemente del lugar fsico en el cual se encuentre. Existen varios tipos de soluciones para poder utilizar sistemas actuales en las empresas de manera mvil, de las cuales se pueden mencionar: Creacin de un subsistema mvil Portal Web Mvil MEAPs

2.1.1

Subsistema mvil

La creacin de un subsistema mvil consta en la creacin de un sistema de procesamiento de datos que por lo general comparte la base de datos del sistema padre. Sin embargo existen otros tipos de acercamiento menos comunes, por ejemplo, si el sistema mvil solo busca consultar datos, posee su propio datacenter, el cual puede ser una base de datos ms pequea que replica datos peridicamente del sistema central. Generalmente aunque el sistema hijo tenga dependencia hacia la base de datos del padre, tiene medidas cautelares de disponibilidad parcial de datos en caso de que el sistema central falle o haya un atraso en el proceso de la informacin.

Sistema Hijo

Sistema Padre

Ilustracin 1. Subsistema mvil

2.1.2

Portal mvil web

Un portal mvil web consta simplemente en la utilizacin del sistema actual (sea web o desktop) y crear una GUI (graphical user interface) que se adapte a los dispositivos mviles de la empresa. Est solucin a pesar de tener un costo menor que las otras 2 (subsistemas mviles y MEAPs), presenta varios inconvenientes, siendo el principal que la aplicacin no est adaptada al sistema operativo del dispositivo en un 100% y est limitado a lo que el WebView nativo le permita controlar. A pesar de que los estndares de HTML han ayudado a la creacin de aplicaciones web mviles muy poderosas, es an muy temprano para poder juzgar la interconectividad que poseen con elementos propios del sistema operativo.

Mvil

Desktop

Sistema Principal

Servidor de Apps

Ilustracin 2. Portal Mvil Web

8

Al ser una solucin ms econmica hay muchos negocios que implementan este paradigma como la solucin principal, pero tiene un alto costo a nivel de seguridad, debido que para la transmisin y presentacin de datos deben basarse en estndares web, los cuales por lo general dejan la informacin expuesta, algo que se podra evitar usando los controles nativos que implementan los subsistemas y las MEAPs.

2.1.3

MEAPs

Los MEAPs (Mobile Enterprise Application Platafforms) es la tercera solucin para la utilizacin de un sistema actual empresarial a nivel mvil. Consisten en un set de componentes, productos y servicios, brindados por un software corporativo para la creacin de aplicaciones mviles. Al existir una amplia gama de dispositivos y formas de presentar la informacin final (web, nativo y desktop) los MEAPs surgen como una solucin de crear una aplicacin nica que se transcompila para los tipos de dispositivos mviles, como tablets, laptops y smartphones, teniendo la facilidad que la lgica de negocios no se altera y el nivel de presentacin es nativo para cada dispositivo sin tener que alterar la estructura interna para cada puerto que se genere. El objetivo principal de los MEAPs es desarrollar todo en una plataforma comn y poder correr el programa virtualmente en cualquier dispositivo.

Cdigo MEAP

Ilustracin 3. MEAP

Este tipo de solucin no solo permite el ahorro de cdigo cuando se cree la aplicacin, sino que garantiza una experiencia y funcionamiento de la aplicacin igual entre todos los dispositivos seleccionados, cubriendo una falla muy comn en otras soluciones, la cual es la falta de funcionalidades de la aplicacin para dispositivos de escritorio o no mviles. Varias casas vendedoras de MEAPs son: IBM Kony Pyxis SAP-Sybase Microsoft Oracle

2.2 Seguridad en soluciones empresariales Independientemente del paradigma que la empresa elija para la resolucin mvil dichas soluciones tienen vulnerabilidades que deben ser estudiadas para poder aplicar un control efectivo y mitigar riesgos potenciales hacia el negocio. En el caso de los subsistemas mviles estn limitados a la seguridad que se emplee en la recepcin y transmisin de datos a nivel mvil, pero cuentan con pocas a ninguna de las caractersticas de seguridad que el mismo sistema tiene para un nivel de escritorio o no mvil. Mientras tanto en el acercamiento web, debido a que comparte el kernel de la aplicacin principal, cuenta con toda la seguridad a nivel del ncleo, pero con lo que respecta a seguridad en el nivel mvil y de despliegue de datos, queda sujeto a los estndares web y aquellos que implemente el sistema operativo gestor. Posiblemente el mejor acercamiento a la seguridad es el de los MEAPs, dado a que el ncleo y la aplicacin mvil son construidas al mismo tiempo y con los mismos niveles

10

seguridad, garantizando de que cuando la aplicacin se transcompile no haya cambios en la capa de control de acceso, proteccin de datos y de control y gestin de sesiones. Claro est que la limitacin de la seguridad de los MEAP yace en lmites de compatibilidad entre los API de cada plataforma (por ejemplo en el acercamiento web, las polticas estn sujetas a estndares bajo un mismo motor web, WebKit, lo cual garantiza la eficacia de las mismas en dicho caso). Aunque la aplicacin sea transcompilada, no significa que todas las polticas y controles son las ptimas para todos los sistemas operativos. (Ver ilustracin 4)
Dispositivo 1

Cdigo MEAP

Dispositivo 2

Dispositivo 3

Ilustracin 4. Soluciones Empresariales

En la ilustracin 4, los mviles tienen un sistema operativo de la familia de UNIX/LINUX, pero en el dispositivo 2 (el marcado con el crculo rojo) por no implementar polticas de SELinux, no todas las polticas de seguridad inherentes a la aplicacin pueden ser aplicadas.

2.3 Riesgos en dispositivos mviles En la actualidad, el uso de la tecnologa aumenta tanto para el uso personal como en el mbito laboral, pues sta cada vez presenta muchos y avanzados beneficios para la ayuda y organizacin de tareas habituales de una manera fcil y cmoda, pues la tecnologa aumenta rpidamente en lo que se refiere a capacidad y desarrollo, pero disminuye en la estructura fsica, lo que permite a las personas trasladarse siempre con la tecnologa al alcance en cualquier momento.
11

Los dispositivos mviles se han convertido en los compaeros esenciales para cualquier persona, as como para las empresas ya que estos dispositivos les permiten obtener mejor comunicacin entre profesionales de stas, permitindoles acceder a informacin laboral rpidamente en el momento que sea necesario y localizado en cualquier lugar, lo cual es un aspecto fundamental para una compaa pues ayuda a crear posibilidades de una mayor productividad, flexibilidad, disponibilidad y conveniencia para sta. Desde enviar correos electrnicos, mensajes de texto y voz, realizar llamadas, hasta tareas como navegar en internet, crear conexin a la intranet o a aplicaciones propias de o para asuntos de negocio, son actividades que se vuelven ms comunes en los dispositivos mviles y cada vez existen ms facilidades que stos le brindan a personas para uso personal y profesional. Por estas razones, al convertirse la tecnologa mvil en una herramienta importante para las personas y empresas, pueden existir ms amenazas e incidentes malintencionados en busca de informacin privada o simplemente ladrones que buscan vender los dispositivos robados para obtener ganancias "fciles", que dependiendo la utilidad que se le proporcione al dispositivo mvil es un riesgo muy alto la prdida de ste. Por lo tanto es importante identificar y conocer los principales riesgos e impacto que puede ocasionar el descuido o mal uso de la tecnologa mvil. Entre los riesgos ms comunes definidos de una forma global que pueden ser causa de problemas con los dispositivos mviles y/o informacin sensible almacenada en stos, se pueden mencionar los siguientes:

a) Robo de datos confidenciales

Un mal uso por parte del usuario de los dispositivos mviles, puede ocasionar prdida de informacin sensible y personal por hurto de la misma, datos como contactos, mensajes, notas, entre otros, por lo tanto, el manejo de la informacin personal es uno de los aspectos principales a tomar en cuenta la aplicacin de seguridad, en los cuales se
12

pueden establecer algunos controles como mecanismos de encriptacin de datos, contraseas que bloqueen y restrinjan el acceso al menos en reas de almacenamiento importantes, adems de mantener un manejo adecuado de herramientas de acceso inalmbrico como bluetooth, la cual para mayor seguridad, debe estar deshabilitada mientras se encuentre fuera de uso, evitando el paso a intrusos. Un riesgo como el robo de datos sensibles puede afectar la reputacin y acciones legales de las personas o empresas, por violacin de informacin privada y confidencial.

b) Prdida o dao del dispositivo mvil

Uno de los casos ms comunes es el robo de los dispositivos mviles, debido a su fcil portabilidad, lo cual se vuelve un gran problema pues la informacin de trabajo, personal y confidencial, adems de aplicaciones de negocio, se puede ver expuesta a un manejo inadecuado por personas ajenas con malas intenciones, o simplemente destruir datos que para el dueo era realmente indispensable para sus labores profesionales y/o personales. El robo o dao de un dispositivo muchas veces puede ser difcil de impedir, por lo que aplicar, por ejemplo, medios de autenticacin seguros en cualquier tipo de acceso de informacin o aplicaciones sensibles, puede ser de gran ayuda para evitar que en caso de robo no puedan ver ni conocer lo que almacena el dispositivo, adems de mantener respaldos seguros y debidamente encriptados de los datos que se encontraban en el dispositivo mvil perdido o daado.

c) Virus u otros agentes maliciosos.

El cdigo de carcter malicioso, o llamados virus informticos, cada vez tienen su mercado ms amplio, pues su objetivo no es solamente aplicaciones de escritorio y sistemas operativos comunes, sino que ahora el software mvil es una presa fcil que por su gran popularidad puede llegar a ser la vctimas ms comunes y vulnerables.
13

Los virus pueden ocasionar consecuencias como la corrupcin, prdida total y la falta de disponibilidad de la informacin necesaria. Principalmente cuando los dispositivos mviles tienen uso en labores de negocio, las empresas deben tener en cuenta reglas de seguridad indispensables, como la implementacin de certificados de seguridad y software antivirus efectivo. Adems de cuidados que, como dueo del dispositivo, debe complementarlas con el rechazo y la y descarga precavida de actualizaciones y software de identidad desconocida o sitios web inseguros. Pueden existir muchas amenazas a la integridad de los dispositivos mviles, as mismo aspectos que algunos pueden ser ocasionados por el descuido, desconocimiento y despreocupacin de sus propios dueos los cuales los hacen vulnerables sus dispositivos a consecuencias que pueden ser de gran impacto. Para una empresa que permite el uso de los dispositivos mviles como herramienta de trabajo y comunicacin para sus empleados, deben mantener polticas de seguridad como las mencionas en los puntos anteriores, de manera que proteja la integridad y confidencialidad de la informacin, pues de no ser as, el uso de los dispositivos mviles puede convertirse en lugar de una ventaja de disponibilidad y flexibilidad para la empresa, en un riesgo de gran impacto para sta, exponindola a grandes peligros ante intrusos, descuidos, o uso inadecuado de los dispositivos mviles. Dentro del marco de seguridad para los dispositivos mviles, el ISACA public en agosto del 2010 un trabajo sobre el tema, el cual nos brinda un marco de trabajo para administrar el riesgo. En este trabajo, cabe rescatar el apartado que nos expone los riesgos y problemas asociados a los dispositivos mviles. Los dispositivos mviles pueden traer un nmero de beneficios, no solo para la empresa, sino tambin para los empleados y sus clientes. Pero por otro lado estn expuestos a una gran cantidad de riesgos. Es por eso que ISACA se encarg de compilar una lista de vulnerabilidades y riesgos asociados a los que estn expuestos las empresas a la hora de trabajar con dispositivos mviles. La misma se presenta a continuacin.

14

Tabla 1. Tabla de vulnerabilidades, amenazas y riesgos en dispositivos mviles (ISACA, 2012)

Vulnerabilidad Amenaza Riesgo informacin

Informacin viaja a travs de Personas malintencionados ajenas Interceptar redes inalmbricas, las cuales a la empresa pueden causar dao menos seguras que las redes cableadas

provocando una brecha en la sensibilidad de los datos, la reputacin de la empresa, la adherencia a la regulacin y acciones legales

Usuarios

de

proveedores Dispositivos

mviles

cruzando Propagacin

de

malware,

mviles con la oportunidad de limites y permetros de redes, resultando en filtracin de los salirse de los lmites de la introduciendo malware dentro de datos, corrupcin de los datos y empresa y eliminar controles de la red de la empresa seguridad no disponibilidad de los datos necesarios del dispositivo,

La tecnologa Bluetooth es muy Los hackers pueden descubrir el Corrupcin conveniente usuarios conversaciones para para en muchos dispositivo y lanzar un ataque tener modo

perdida de datos, intercepcin de llamadas, posible exposicin a informacin sensitiva

manos-libres, sin embargo al quedarse encendido puede

quedar el descubierto Informacin no encriptada En el evento que un persona ajena Exposicin a datos sensitivos, malintencionada intercepta los resultando en daos hacia la

almacenada en el dispositivo

datos en transferencia, roba el empresa, los clientes o los dispositivo, si el empleado empleados pierde el dispositivo, los datos estn disponibles y pueden ser utilizados

15

La perdida de datos puede Los dispositivos mviles muy ser Trabajadores que dependen de afectar la productividad de los robados o extraviados debido a su dispositivos mviles no siendo empleados portabilidad. Los datos dentro de capaces de trabajar en el caso estos dispositivos no siempre son de el dispositivo se dae, pierda respaldados o sea robado y los datos no fueron respaldados El dispositivo no tiene En el caso de que el dispositivo se Exposicin de los datos,

requerimientos de autenticacin extravi o sea robado, personas resultando en daos para la aplicados ajenas tienen acceso al dispositivo empresa y todos sus datos y problemas de

responsabilidad y regulaciones de de los datos, malware, de cual

La empresa no administra el Si no existe una estrategia para Filtracin dispositivo dispositivos empleados mviles, pueden elegir los propagacin

en desconocimiento

utilizar sus dispositivos propios e informacin se ha perdido en el inseguros. Aunque estos caso de que el dispositivo se

dispositivos pueda ser que no se extravi o sea robado conecten interactuar electrnico al VPN, con o el pueden correo almacenar

documentos sensitivos El dispositivo permite la Las aplicaciones pueden portar Propagacin de malware,

instalacin de aplicacin de malware que propaguen Troyanos terceros no registradas o virus; las aplicaciones tambin pueden transformar el dispositivo en una puerta de acceso para que personas ajenas malintencionadas entren a la red de la empresa

filtracin de datos, intrusin en la red de la empresa

16

En el mundo actual los dispositivos mviles van ganando importancia y terreno dentro de las operaciones de las empresas. Es por eso que los mandos de gerencia deben estar muy consientes en asignar recursos para administrar los riesgos a los que se ven expuestos los dispositivos mviles. Si se toma en consideracin que el mercado se mueve a pasos acelerados y la disponibilidad e introduccin de nuevos dispositivos es cada vez ms corta; las empresas tienen que invertir tiempo en crear y mantener actualizadas estrategias para el manejo de dispositivos mviles. Una vez ms, ISACA nos brinda una lista de estrategias, las cuales esta mapeadas a los marcos de trabajo ya existentes por parte de la organizacin. Esta tabla se muestra a continuacin.

Tabla 2. Tabla de manejos de dispositivos mviles y procesos relevantes del marco de trabajo (ISACA, 2012) Riesgo Estrategia Marcos de trabajo de ISACA asociado Prdida o robo del Implementar una consola de COBIT DS5 manejo central para controlar Riesgos TI RR3 los dispositivos remotos. (Ej.: posicionamiento geogrfico,

dispositivo mvil

limpieza de datos, cambio de contrasea procedimientos de autenticacin robustos Reforzar las polticas de la Ganar visibilidad de todos los COBIT PO1, PO6, DS5 empresa estndar para dispositivos dispositivos conectados a la Riesgos TI RR2 infraestructura

Proveer soporte a la variedad Migrar a un esquema de COBIT DS5 gestores de plataforma17

de dispositivos

cruzada

administrados Riesgos TI RR2, RR3

centralmente para dispositivos mviles Controlar el flujo de datos en Asegurar que el acceso a los COBIT DS5, DS11 mltiples dispositivos sistemas autorizacin, requieren Riesgos TI RR2 inscripcin y

control de los privilegios Prevenir que los datos sean Monitorear y restringir la COBIT DS5, DS11

sincronizados en dispositivos transferencia de datos hacia Riesgos TI RR2, RR3 mviles de una manera no dispositivos porttiles de autorizada almacenamiento removible y medios desde una consola nica y centralizada Mantener el uso de los Crear conciencia del uso de COBIT PO6 mejores y mas modernos los activos, riesgos y valor de Riesgos TI RR1, RE3 dispositivos la informacin Promover responsabilidad y Monitorear la forma es que se COBIT PO4, ME2 transparencia con el uso de utilizan los dispositivos facilitar y Riesgos TI RR1 retroalimentacin dispositivos

regular a la gerencia

En resumen de algunas de las soluciones comunes que actualmente son recomendadas como medidas de seguridad para la proteccin de la informacin confidencial en los dispositivos mviles, que ayuden a minimizar el impacto de los riesgos, son los siguientes:

18

Crear polticas de seguridad en las empresas, con la utilizacin de estndares como ISACA y COBIT, por ejemplo. De manera que sean cumplidas y utilizadas de forma obligatoria.

Proteger tanto el acceso al dispositivo fsico como el acceso a aplicaciones y VPN (Virtual Private Network) por medio de contraseas y certificados de seguridad. Mantener los documentos de datos confidenciales encriptados y bloqueados con contraseas. Establecer privilegios limitados para el acceso de aplicaciones, especialmente aquellas que involucren aspectos de negocio. Reducir la navegacin en internet y limitar el acceso a sitios web por medio de firewalls. Utilizar antivirus para dispositivos mviles efectivos. Proporcionar una formacin especializada a los usuarios de dispositivos mviles incluyendo directrices simples para la seguridad fsica y aplicativa de los dispositivos.

Utilizar mecanismos de copias de seguridad efectivas en caso de prdida o dao del dispositivo. Mantener desactivados herramientas como va Bluetooth, infrarrojos y WiFi, mientras no sean utilizadas.

2.4 Estndares del ISACA

2.4.1.1 Que es ISACA?

Es una organizacin mundial que tiene presencia en 180 pases y cuenta como ms de 100 mil miembros. Dentro de sus funciones principales podemos mencionar que (ISACA, 2012) desarrolla estndares internacionales de auditora y control de sistemas de informacin que ayudan a sus miembros a garantizar la confianza y el valor de los sistemas de informacin.

19

2.4.1.2 Estndares del ISACA para auditora para dispositivos mviles

Como se mencion anteriormente, uno de los mayores esfuerzos del ISACA es la creacin de estndares para auditorias en sistemas de informacin. En el apartado de dispositivos mviles existe una gua para la realizacin de auditoras en dispositivos mviles. Esta gua se conoce con el nombre G27 Mobile Computing. La misma puede ser obtenida desde el sitio web del ISACA, especficamente desde la siguiente direccin: http://www.isaca.org/Knowledge-Center/Standards/Pages/IS-Auditing-Guideline-G27Mobile-Computing1.aspx. La gua expone los puntos necesarios para la planificacin de una auditoria aplicada a dispositivos mviles. Entre los cuales podemos mencionar la recoleccin de informacin, el anlisis de riesgos, los objetivos de la auditoria, y el plan de trabajo. Adems menciona aspectos a tomar en consideracin a la hora de ejecutar el trabajo de auditora, como lo son su ejecucin misma y los reportes que deben ser generados como producto de la auditoria.

2.5 Seguridad en dispositivos mviles

Los dispositivos mviles han sido una invencin relativamente nueva en el mundo de la tecnologa. Actualmente es difcil encontrar a una persona que no maneje un celular, que no haya trabajado con un computadora porttil o una tableta, da con da estos dispositivos forman parta de nuestras tareas diarias y se han vuelto indispensable para el uso personal y para los negocios. Se cree que el Apple Newton fue el primer dispositivo, era una PDA que reconoca escritura de un stylus y podan sincronizarse con una computadora de escritorio. Posteriormente existieron dos dispositivos muy populares Pilot y Pocket PC y posteriormente sali al mercado la popular Palm.

20

En la actualidad podemos encontrar diferentes tipos que se ajustan a las necesidades de las personas. Su tamao y variedad de funciones los hacen muy atractivos a los consumidores. Gran parte de estos dispositivos son utilizados en negocios, ya sea para acceder alguna aplicacin o para consultar y almacenar informacin en ellos. Al ser informacin sensible en la mayora de casos, es importante que el uso de estos dispositivos este regido por estndares que garanticen la seguridad de la informacin.

2.5.1

La informacin y los dispositivos mviles

Antes de desarrollar temas de seguridad es importante definir dos conceptos: informacin mvil y dispositivos mviles. Informacin mvil se refiere a cualquier tipo de informacin que se mueva de un lugar a otro. Este movimiento puede ser a travs de redes o a travs de dispositivos. El autor Stephen Fried en su libro Device Security: A Comprehensive Guide to Securing Your Information in a Moving World rescata una caracterstica importante en esta definicin: La informacin se convierte en informacin mvil en el momento que deja un ambiente cerrado. En ste se pierde cualquier capacidad de manejar el ambiente en el que se encuentra, la informacin no est sujeta a las restricciones del sistema al cual perteneca. Tambin son citados algunos ejemplos de situaciones en las que la informacin se convierte en mvil: Copiar una presentacin de la computadora de trabajo a un dispositivo de almacenamiento USB Copiar y pegar informacin de la empresa en algn blog o red social. Sincronizar calendarios, contactos y correos del correo laboral a un PDA Ahora bien luego de tener un concepto claro de informacin mvil es importante definir que es un dispositivo mvil en s.

21

Bsicamente cualquier dispositivo que se pueda transportar de un lugar a otro se convierte en un dispositivo mvil. Para trminos de esta investigacin un dispositivo mvil ser aquel que permita almacenar una cantidad considerable de informacin de un lado a otro. Algunos ejemplos de dispositivos mviles son: Telfonos celulares o Smartphones. Tabletas. CD, DVD. Dispositivos USB. Computadoras porttiles.

Cuando hablamos de dispositivos mviles el riesgo tanto a nivel del dispositivo (hardware) como de la informacin que el contiene aumenta notablemente a comparacin de dispositivos que se encuentran en estaciones de trabajo fijas con polticas de seguridad tanto externas (fsicas como acceso a la estacin de trabajo) como internas (a nivel de software como autentificacin para el acceso a la informacin).

2.5.2

Proteccin de la informacin y encriptacin

Una de las metodologas ms apropiadas para proteger la informacin en dispositivos mviles es la encriptacin de sta. La encriptacin de un dispositivo mvil tiene la misma funcionalidad que en una computadora porttil o de escritorio, sta crea una barrera fuerte ante el acceso a la informacin por parte de terceros. Puede ser manejada a varios niveles: ya sea que solo archivos o carpetas especficas o que el dispositivo completo sea encriptado, este ltimo se convierte en un tema complejo dado que implicara la encriptacin de cualquier aplicacin que el usuario descargara y/o interacta lo que hace el alcance de esto casi incontrolable. Existen varias compaas dedicadas a trabajar el tema de la seguridad en dispositivos mviles, la mayora de ellas soportan los sistemas operativos ms populares

22

para dispositivos mviles como lo son: Android, iOs, Windows Mobile y HP Palm Os. Algunas de ellas son: Mobile Active Defense: Algunos de sus principales servicios son: Encriptacin completa, firewalls, anti virus, seguridad para correos electrnicos, filtros de contenidos y la implementacin de polticas de seguridad de la empresa en dispositivos mviles. Jpiter Networks: Aparte de ofrecer polticas de seguridad a los dispositivos mviles, provee visibilidad de los usuarios que ingresan a la red por medio de procesos de autentificacin localizacin y roles. Good: Entre sus principales soluciones est el control de aplicaciones de redes sociales en los dispositivos mviles, seguridad de documentos y la encriptacin de datos a nivel de aplicacin, de dispositivo y de transferencia. McAfee: Ofrece antivirus para dispositivos mviles y soluciones para identificar y asignar polticas de seguridad a dispositivos mviles. Sybase: Ofrece soluciones de seguridad para actividades ms especficas como ecommerce. Mobile Iron: Ofrece soluciones especficas para el manejo de aplicaciones, seguridad, implementacin polticas para el manejo de informacin.

2.5.3

Directrices para la seguridad de los dispositivos mviles y la informacin que almacenan

En el artculo Guidelines for Securing Mobile Computing Devices publicado por la Universidad de Standford, exponen las siguientes directrices que si bien fueron establecidas para el uso de dispositivos mviles dentro de esta universidad, pueden ser aplicadas a cualquier ambiente que trabaje con informacin sensible en dispositivos mviles:

23

a) Telfonos Celulares

Etiquetar el dispositivo con informacin que permita, en caso de prdida, devolverlo fcilmente. Habilitar el bloqueo por medio de una clave para acceder al dispositivo. Configurar un tiempo de inactividad para que el telfono se bloque automticamente. Mantener el software actualizado. Enrollar el dispositivo a un ambiente controlado, que mantenga las configuraciones polticas de seguridad y privacidad establecidas.

b) Computadoras porttiles

Configurar la computadora de manera que una contrasea sea requerida cada vez que se utilice. Configurar un tiempo de inactividad para que la computadora se bloque automticamente. Computadoras que manejen informacin altamente sensitiva deben tener un software de encriptado.

c) Dispositivos de almacenamiento porttiles

Configurar un usuario y una contrasea para acceder a la informacin del dispositivo. Dispositivos que manejen informacin sensible deben estar encriptados.

24

2.5.4

Arquitectura de seguridad en aplicaciones mviles para smartphones y tablets2

En la actualidad para poder llamar a una aplicacin segura varios rubros deben ser tomados en cuenta. Uno de los ms importantes es la arquitectura de cmo se implementa dicha seguridad. Para poder garantizar la confidencialidad de la informacin que se encuentre ligada a la aplicacin y por ende al dispositivo mvil, mecanismos como la encriptacin de datos en la base de datos interna son aplicados, as tambin como la utilizacin de configuration files3, para guardar informacin necesaria de configuracin y evitar guardar informacin innecesaria. Otro mecanismo utilizado en trminos de seguridad es la utilizacin de validacin de conexiones para poder garantizar la disponibilidad de la informacin. Claro est que dicho proceso generalmente utiliza mecanismos secundarios de validacin, como lo son la validacin de sesiones y el envo de llaves encriptadas, con el fin de asegurar un manejo seguro de la conexin. La integridad siendo una parte importante de los datos que sern manejados por la aplicacin, se puede ejecutar por medio de mecanismos de doble validacin (ver Ilustracin 5), es decir, de validacin de datos a nivel del dispositivo mvil (por parte de la aplicacin) y a nivel de servidor. Adems de esto, es recomendado utilizar conexiones encriptadas (con checksum4) para poder garantizar que la informacin no sea adulterada fcilmente.

Validacin
Validacin

Ilustracin 5. Arquitectura de seguridad

2 3

Aplicable a dispositivos mviles con Android & iOS. Archivos utilizados para configuracin de una aplicacin. 4 Mecanismo de comprobacin de cadenas de texto, archivos, datos por medio de su nmero de bytes.

25

CAPITULO III: Marco metodolgico

3.1 Nivel de investigacin

La investigacin tiene un nivel descriptivo. Este tipo de investigacin consiste en no solamente la recoleccin de datos sino tambin el anlisis y el resumen de la informacin obtenida. Se enfoca en una poblacin finita y se utilizan diferentes herramientas para la recoleccin de informacin. El objetivo es describir los procedimientos necesarios para realizar una gua como base para la planeacin de una auditora de seguridad en dispositivos mviles. Se dise una entrevista con el fin de analizar las tendencias en una poblacin especfica: Desarrolladores mviles en Costa Rica, as tambin se tom punto de partida el framework y estndares de ISACA relacionados a la seguridad mvil, de no ms de 5 aos de antigedad. La investigacin est enfocada especficamente en smartphones y tabletas con sistemas

operativos iOs 5 y 6, Android Gingerbread y Ice Cream Sandwich y WP 7.5 y WP 8.

3.2 Diseo de la investigacin

El estudio realizado a la seguridad en las aplicaciones mviles se dise como una Investigacin de Campo, pues permite el anlisis por medio de la recoleccin de datos de situaciones y/o comentarios reales sobre la seguridad en el desarrollo de software mvil, proporcionadas por personas desarrolladoras de estas aplicaciones, sin necesidad de manipular o controlar alguna variable del tema propuesto. En funcin a este tipo de investigacin de desea elaborar una gua que funciones como base en el desarrollo de una planeacin de auditora de seguridad en el software de los dispositivos mviles.

26

3.3 Instrumentos de recoleccin de informacin

Para esta investigacin la informacin se obtuvo a travs de la aplicacin de entrevistas a desarrolladores de aplicaciones mviles del mbito nacional que actualmente se dediquen a desarrollar en cualquiera de estos sistemas operativos: iOS, Android y Windows Phone. El nico instrumento que se utilizo en la entrevista. El objetivo era conocer cul es la importancia que se le da al tema de la seguridad en el desarrollo de las aplicaciones mviles; as como cuales estndares y buenas prcticas se utilizan en el contexto nacional.

3.4 Poblacin y muestra

El tipo de poblacin a la cual se le realizarn las entrevistas, fue a una poblacin accesible. Dicha poblacin son desarrolladores de aplicaciones mviles con experiencia en diversas reas de la informtica. Debido a que el nmero de personas que laboran en el campo de accin necesario (desarrollando aplicaciones mviles con un mnimo de 4 meses de experiencia, con experiencia mnima de 2 aos en otros campos de la informtica) para la entrevista, no se tom muestra de las entrevistas realizadas.

27

CAPITULO IV: Anlisis e Interpretacin de los Resultados 4.1 Anlisis de las entrevistas

Durante el proceso de las entrevistas se not que el campo de desarrollo de aplicaciones mviles en el mbito nacional es de carcter incipiente, debido a las siguientes razones: Ninguno de los entrevistados posee ms de 3 aos de experiencia Hay una escasez de programadores mviles La mayora de desarrolladores trabajan en modalidad freelance

El desarrollo de aplicaciones mviles va con la tendencia de programacin hacia los sistemas operativos de Android y iOS, con menor tendencia en Windows Phone. As mismo, se lograron identificar ciertos aspectos claves que los desarrolladores toman en cuenta en el mbito de la seguridad a la hora de disear y programar sus aplicaciones. En este aspecto podemos mencionar que se le presta mucha atencin al tema de las bases de datos y al uso de Web Services con conexin segura para transferir datos desde y hacia servidor central con los clientes. El desarrollo de aplicaciones mviles es relativamente nuevo, por lo que es comn que existan debilidades en las aplicaciones. Durante la entrevista temas como encriptacin, utilizacin de sockets y conexiones no seguras son consideradas las principales debilidades de las aplicaciones mviles sin embargo temas legales como derechos de autor, permisos inapropiados de las aplicaciones y la falta de revisin por parte de los markets forman parte de ellas. Los desarrolladores a nivel nacional, tienen sus preferencias en cuanto a cuales mecanismos de seguridad utilizan, entre los ms importantes sobresalen, la utilizacin de encriptacin de datos (sea en envo o almacenamiento de los mismos), la utilizacin de la doble validacin (validar los datos del lado cliente, as como la recepcin de los mismos), utilizar webservices para hacer las llamadas a bases de datos ( siempre y cuando las mismas sean hechas internamente por Store Procedures) y validar las sesiones cuando se desea ingresar a datos sensibles ligados al usuario.
28

Adems uno los datos ms importantes mencionados por los entrevistados, fue el uso de guardar la data de manera inteligente, es decir, solo guardar datos extremadamente necesarios en la base de datos local del dispositivo mvil, debido a que en prdida del mismo dispositivo, no toda la informacin del usuario queda comprometida. Un aspecto importante que se logr analizar con el desarrollo de las entrevistas, es el desconocimiento de estndares de seguridad en la aplicaciones mviles, los estndares de programacin mvil a nivel nacional son prcticamente inexistentes y generalmente slo se utilizan normas y polticas bsicas que son establecidas por las empresas de software o propiamente cada desarrollador, segn criterios personales o de negocio. Algunas de estas polticas de seguridad y control ms comunes son: El control de versiones de software La encriptacin de datos La utilizacin de Web Services con procedimientos almacenados

29

4.2 Gua de planificacin de auditora de aplicaciones mviles

Gua para auditora de aplicaciones mviles - Seguridad

Smartphones Tablets

El propsito de esta gua es ser utilizada por parte del auditor durante la etapa de planeacin en una auditora de aplicaciones mviles, enfocada al rea de seguridad. Este documento debe ser utilizado en aplicaciones de ndole masivas o corporativas que tengan interaccin con uno o ms servidores en la nube. Est gua es de libre uso libre y modificacin, teniendo como objetivo principal la evaluacin del cumplimiento de los aspectos crticos de seguridad que tienen que ser considerados por parte de los desarrolladores de aplicaciones mviles. La misma servir de base para definir los objetivos de una futura auditora.

Checklist para auditora de aplicaciones mviles - Servidor

Comprobar que existan tokens5 de sesin. Verificar validez de datos de sesin contra el servidor. Evidenciar que los procesos de modificacin y consulta de datos se realicen por medio de Store Procedures6. Verificar que la encriptacin del servidor sea one way datos de sesin.
7

cuando se reciben los

5 6

Cadena de texto alfa-numrica que identifica como nica una sesin. Procedimiento que encapsula parte de la lgica de negocio dentro de la base de datos. 7 Proceso de encriptacin sin opcin de desencriptar.

30

 Checklist para auditora de aplicaciones mviles - Conexin

Comprobar que las llamadas al servidor sean realizadas por un web service8. Verificar que la conexin entre el servidor y la aplicacin mvil tenga lugar en una conexin segura: SSL9 o HTTPS10. Verificar que la conexin entre el servidor y la base de datos se realice por medio de una conexin segura: SSL o HTTPS. Verificar que los datos enviados utilicen con encabezados encriptados.

8 9

Tipo de conexin para intercambiar datos entre aplicaciones. Protocolo criptogrfico para realizar conexiones seguras por internet. 10 Protocolo de transferencia de datos de hipertexto encriptados.

31

 Checklist para auditora de aplicaciones mviles - Aplicacin

Comprobar contra las especificaciones tcnicas de la aplicacin que esta utilice solamente los permisos pertinentes del dispositivo mvil. Verificar que cada aplicacin permita al usuario aceptar los Trminos y Condiciones del desarrollador. Comprobar que la aplicacin guarde la menor cantidad de datos sensibles segn el fujo de trabajo11. Verificar que exista un mecanismo de validacin de datos antes de realizar un request12 al servidor. Comprobrar la validez de sesin antes de escribir data sensible en la base de datos del dispositivo mvil. Evidenciar que los datos guardados localmente sean encriptados.

11 12

Diagrama de flujo y datos del funcionamiento de la aplicacin. Peticin del cliente hacia al servidor.

32

CAPITULO V Conclusiones

Debido al auge que han tenido los dispositivos mviles en los ltimos aos (a nivel personal y corporativo), la importancia de aspectos como el de seguridad, han tomado conciencia en los desarrolladores de aplicaciones mviles. Al verse afectada la seguridad, procesos como el de auditora han tomado relevancia en la validacin y control de la misma. Dado a que cada da son ms las empresas y particulares que utilizan dispositivos mviles para realizar negocios, no se puede obviar que la proteccin de informacin es uno de los principales objetivos en lo que seguridad respecta. Para poder garantizar la proteccin, se deben tomar en cuenta los siguientes aspectos en desarrollo de aplicaciones mviles:

Tipo de conexin del cliente a la nube. Forma de almacenamiento de datos. o o Cliente. Servidor.

Permisos utilizados por la aplicacin. Trminos y condiciones. Inspeccin por entes reguladoras (i.e. App Store & Google Play).

En el mbito nacional el tema de desarrollo de aplicaciones mviles tiene un carcter poco formal y se encuentra en una etapa inicial, debido a esto es que la utilizacin de estndares internacionales con respecto a seguridad es prcticamente nula. Sin embargo se ha podido comprobar que los desarrolladores utilizan prcticas generales de seguridad, las cuales estn creando una especie de estndar informal a nivel regional. Tomando en consideracin los puntos antes mencionados, se da a notar una carencia de un proceso formal de auditora para medir el nivel de madurez de las aplicaciones desarrolladas en un marco de seguridad. Es ah donde toma relevancia el contar con una gua bsica y adaptable, que permita identificar los puntos mnimos de seguridad que debe poseer una aplicacin mvil.

33

BILIOGRAFA
ISACA. (27 de Octubre de 2012). Acerca de ISACA. From ISACA:

http://www.isaca.org/spanish/Pages/default.aspx ISACA. (27 de Octubre de 2012). Securing Mobile Devices. From ISACA:

http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Securing-MobileDevices.aspx COMERCE, U. D. (2012). http://csrc.nist.gov/publications/nistpubs/800-124/SP800-124.pdf. From http://csrc.nist.gov/publications/nistpubs/800-124/SP800-124.pdf: http://csrc.nist.gov/publications/nistpubs/800-124/SP800-124.pdf R.Mantra. (10 de 2012). http://rmantras.com/blog/enterprise-mobility/mobile-enterpriseFrom http://rmantras.com/blog/enterprise-mobility/mobilehttp://rmantras.com/blog/enterprise-mobility/mobile-

application-platforms-meaps/.

enterprise-application-platforms-meaps/: enterprise-application-platforms-meaps/ ISACA. (2012).

http://www.isaca.org/Knowledge-Center/cobit/cobit-focus/Documents/COBITFrom http://www.isaca.org/Knowledge-Center/cobit/cobithttp://www.isaca.org/Knowledge-

Focus-Vol-4-2012.pdf.

focus/Documents/COBIT-Focus-Vol-4-2012.pdf:

Center/cobit/cobit-focus/Documents/COBIT-Focus-Vol-4-2012.pdf Fried, S. (2010). Mobile Device Security: A Comprehensive Guide to Securing Your Information in a Moving World. Florida: CRC Press. Standford University. (n.d.). Guidelines for Securing Mobile Computing Devices. Retrieved 24 de Octubre de 2012 from Standford University:

http://www.stanford.edu/group/security/securecomputing/mobile_devices.html Mobile Active Defense. (n.d.). Solutions. Retrieved 26 de Octubre de 2010 from Mobile Active Defense: http://www.mobileactivedefense.com/solutions/ Jupiter Networks. (n.d.). Mobility: Jupiter Networks. Retrieved 26 de Octubre de 2012 from http://www.juniper.net/us/en/solutions/enterprise/mobility/ Good. (n.d.). Mobility Management Solutions. Retrieved 26 de Octubre de 2012 from Solutions: http://www1.good.com/mobility-management-solutions McAfee. (n.d.). Seguridad Movil. Retrieved 26 de Octubre de 2012 from McAfee: http://www.mcafee.com/es/products/enterprise-mobility-management.aspx

34

Sybase. (n.d.). Enterprise Services. Retrieved 27 de Octubre de 2012 from Sybase: http://www.sybase.com/mobileservices/enterprise-services Mobile Iron. (n.d.). Solution Overview. Retrieved 27 de Octubre de 2012 from Mobile Iron : http://www.mobileiron.com/en/solutions/solutions-overview Campagna, R., Iyer, S., & Krishnan, A. (2011). Mobile Device Security for Dummies. John Wiley & Sons. CDW-G. (n.d.). Mobile Computing Security, Protecting Data on Devices Roaming on the Perimeter. Retrieved 28 de Octubre de 2012 from edtechmagazine:

http://www.edtechmagazine.com/sites/edtechmagazine.com.higher/files/legacy_docs/2008/09/mobil e-computing-security.pdf Jimenez, F. All Ilustrations. Mobile Illustrations. ULACIT, San Jose, SJ, CR. Google. (07 de 10 de 2012). android.com. (Google, Ed.) Retrieved 01 de 11 de 2012 from developer.android.com: http://developer.android.com/guide/topics/security/permissions.html

35

ANEXOS
A. Entrevistas A.1. Formato de la entrevista Grado Acadmico

1. Cunto tiempo lleva desarrollando aplicaciones mviles? 2. En cuales OS tiene de experiencia? 3. Cundo desarrolla un app mvil cul es el aspecto de seguridad ms importante para usted? 4. Cules son debilidades que ha visto en apps mviles con respecto al tema de seguridad? 5. Qu mecanismos mnimos de seguridad emplea usted generalmente en sus aplicaciones? 6. Cules estndares o prcticas de seguridad utiliza a la hora de desarrollar apps mviles?

A.2. Respuestas de la entrevista # 1 Grado Acadmico: Programador Jr. Terminando Bachiller

1. Cunto tiempo lleva desarrollando aplicaciones mviles? Llevo unos 8 meses. 2. En cuales OS tiene de experiencia? He programado fuertemente en windows 7.5 y windows 8 en windows store apps. Tambin en iOS con varios tutoriales. As como en sistemas de unicidad en sistemas, para laptops y tableta, desktops. 3. Cundo desarrolla un app mvil cul es el aspecto de seguridad ms importante para usted? Para mi es el tema de bases de datos y la seguridad del cliente. Si el cliente tiene una base de datos interna y si su app usa esa base de datos, la seguridad de la base de datos es fundamental: control de roles, utilizar Store Procedures (SP), encriptacin.

36

Utilizar Web Service (WS) en lugar sockets y que estos WS no tengan llamas directas a tablas o DMLS y que llamen mejor a SP.

Los datos deben ir serializados, deben convertirse en una lista para que el mvil lo pueda interpretar. Sin necesidad de generar cdigo extra la informacin va segura.

Hosting del WS en una nube segura, transmitir los datos de forma encriptada. El desarrollador puede elegir encriptar, pero esto aumenta la carga del telfono. Azurre transmitir de forma segura.

4. Cules son debilidades que ha visto en apps mviles con respecto al tema de seguridad? WP8: Bluetooth 3 stack est abierto. Los holders de los text en WP8 tienen un mal manejo de texto. iOS & Windows 8: Ubicacin GPS. Antes el track de gps y los permisos estaban abiertos y se poda trackear la persona. Android: No tiene validacin robusta en el market. No hay validacin directa de desarrollador. Hay estafa de apps. Falta de validacin y gestin de apps. 5. Qu mecanismos mnimos de seguridad emplea usted generalmente en sus aplicaciones? Validar contra flujo del programa. Control robusto de errores. Legalmente estar al da de los derechos de autor y conexin sin robo de datos. Intentar utilizar SP. Guardar datos mnimos en BD interna. Guardar datos que el usuario acepte guardar, por decisin propia. Isolated storage: arboles de datos para datos mnimo no seguros. Mantener offline, correos, solo si es necesario, tema ambiguo.

37

6. Cules estndares o prcticas de seguridad utiliza a la hora de desarrollar apps mviles? Validar informacin de registro desde el app mvil ahorro de datos y seguridad implcita antes de q entre al server, una vez en el server. Validar calves con alfanumricas y caracteres especiales. Mandar datos necesarios para sesin encriptados. Forget your password: siempre encriptado, porque es one way encription.

A.3. Respuestas de la entrevista # 2 Grado Acadmico: Bachiller en Ingeniera Informtica cursando Licenciatura

1. Cunto tiempo lleva desarrollando aplicaciones mviles? 6 meses. 2. En cuales OS tiene de experiencia? iOS. 3. Cundo desarrolla un app mvil cul es el aspecto de seguridad ms importante para usted? Validaciones fuertes del lado cliente y lado servidor. Lado servidor, limpiar el texto para evitar SQL injections. Lado servidor, limpiar el texto en caso de que haya cdigo JS que puede modificar la pgina. Nunca confiar en datos de nadie. Usar conexiones https encriptadas. Utilizar WS o XMLHTTPRequest (Restful), nada de sockets. Polticas y roles de la BD, tipo de conexin, conexin cifrada. Si es directa, se aplique SSL. Si es por medio de WS, Rest, que todo vaya encriptado. Password solo del lado servidor. Se guardan en cookies de sesin encriptados.

4. Cules son debilidades que ha visto en apps mviles con respecto al tema de seguridad? Guardar datos en cookies sin encriptar. Transmisin de datos en WS no seguros (sin HTTPS o SSL).
38

Datos sensibles en almacenamiento local.

5. Qu mecanismos mnimos de seguridad emplea usted generalmente en sus aplicaciones? Tomar en cuenta las reglas del negocio siempre como prioridad. User y password encriptados en cookie SSL y https. Doble validacin. Lado servidor, evitar cross side.

6. Cules estndares o prcticas de seguridad utiliza a la hora de desarrollar apps mviles? Reglas de negocios, validaciones de password y inscripcin de password.

A.4. Respuestas de la entrevista # 3 Grado Acadmico: Bachiller en Ingeniera Informtica cursando Licenciatura

1. Cunto tiempo lleva desarrollando aplicaciones mviles? 2 aos y medio. 2. En cuales OS tiene de experiencia? Android, iOS Windows Phone 6 /7. 3. Cundo desarrolla un app mvil cul es el aspecto de seguridad ms importante para usted? La transferencia de datos hacia el servidor principal. Casi todo es en la nube las aplicaciones envan headers sin seguridad, debera usarse siempre Web Services. 4. Cules son debilidades que ha visto en apps mviles con respecto al tema de seguridad? Informacin sin encriptar, guardar informacin sensitiva en bases de datos sin encriptar, guardar informacin de mas en el bases de datos del celular, utilizar sockets en vez de WS, falta de ssl y htpps, permisos de escritura sobre archivos dados a los usuarios, utilizacin de servicios GPS de manera inescrupulosa. 5. Qu mecanismos mnimos de seguridad emplea usted generalmente en sus aplicaciones?
39

Control de usuarios, ni nombre de usuario ni pss en la base de datos, todo en la cookie de sesin encriptada. Llamadas hacia al servidor por medio de WS seguros. Utilizar Ajax casi siempre, config files en vez de base de datos (ya estn encriptados estn hechos para una respuesta ms rpida y son validados con una cookie de sesin). Modificacin de datos SP no DML ni consultas directas. Claves encriptadas a nivel de servidor / token de sesin para comprobar que sea nica. 6. Cules estndares o prcticas de seguridad utiliza a la hora de desarrollar apps mviles? Validacin de sesiones con tokens encriptados, no se aplica ningn estndar, versionamiento de cdigo, todo los WS son encriptados. Estndar mvil: utilizar los permisos necesarios para Android.

A.5. Respuestas de la entrevista #4 Tipo de empresa: Privada Grado Acadmico: Licenciatura en Ingeniera en Informtica con nfasis en Desarrollo de Software. 1. Cunto tiempo lleva desarrollando aplicaciones mviles? 1 ao y 5 meses. 2. En cuales OS tiene de experiencia? Android. 3. Cundo desarrolla un app mvil cul es el aspecto de seguridad ms importante para usted? La seguridad en las bases de datos y utilizacin de servicios web. 4. Cules son debilidades que ha visto en apps mviles con respecto al tema de seguridad? Manejo de datos sin encriptar, los cuales quedan expuestos en cookies. 5. Qu mecanismos mnimos de seguridad emplea usted generalmente en sus aplicaciones? Encriptar principalmente datos confidenciales como passwords, desarrollar validaciones tanto en interfaces de usuario como en bases de datos.
40

6. Cules estndares o prcticas de seguridad utiliza a la hora de desarrollar apps mviles? WS encriptados, encriptacin de datos, reglas de negocio.

A.6. Respuestas de la entrevista #5 Grado Acadmico: Bachillerato en Informtica

1. Cunto tiempo lleva desarrollando aplicaciones mviles? 5 meses. 2. En cuales OS tiene de experiencia? Android & iOS. 3. Cundo desarrolla un app mvil cul es el aspecto de seguridad ms importante para usted? Seguridad en la base de datos, mecanismos de acceso usar store procedures. 4. Cules son debilidades que ha visto en apps mviles con respecto al tema de seguridad? Baja encriptacin. Validacin en los markets, los usuarios pueden descargar Apps que no son seguras y stas pueden accesar a informacin confidencial del usuario. 5. Qu mecanismos mnimos de seguridad emplea usted generalmente en sus aplicaciones? Usuarios y password encriptados. Tratar de guardar datos mnimos en el dispositivo. 6. Cules estndares o prcticas de seguridad utiliza a la hora de desarrollar apps mviles? Encripcin. Uso de store procedures para acceder la base de datos.

A.7. Respuestas de la entrevista #5 - Grado Acadmico Bachiller Informtica 1. Cunto tiempo lleva desarrollando aplicaciones mviles?

41

Llevo 5 meses. 2. En cuales OS tiene de experiencia? En Android. 3. Cundo desarrolla un app mvil cul es el aspecto de seguridad ms importante para usted? El aspecto ms importante en el desarrollo mvil en seguridad, sera el mecanismo de transferencia de datos a la nube. 4. Cules son debilidades que ha visto en apps mviles con respecto al tema de seguridad? - Generalmente guardan usuario y contrasea en la base datos. - Utilizacin de servicios inapropiados (por ejemplo. el uso de gps y de inspeccin de llamadas cuando es innecesario. - Envo de datos en conexiones no seguras. 5. Qu mecanismos mnimos de seguridad emplea usted generalmente en sus aplicaciones? -Encripcin de datos en conexiones seguras como https. -Encripcin de datos de sesiones. 6. Cules estndares o prcticas de seguridad utiliza a la hora de desarrollar apps mviles? Se utiliza mucho los logs de modificacin de cdigo para revisar que los enlaces seguros se mantengan. Adems se utilizan solo servicios necesarios de la aplicacin y se adjunta su uso en las notas de publicacin en Google Play, para que el usuario pueda leer porque se utilizan dichos servicios. Un mecanismo muy importante es que hacemos todas las llamadas al servidor por medio de WS y nunca por llamadas directas a la BD.

42

B. Minutas

Minuta de Reunin N1 Fecha: 15 de Setiembre Hora de Inicio : 9:00am Hora de Finalizacin: 10:00am Agenda - Definicin del tipo de proyecto a presentar. - Definicin del tema de investigacin. - Definicin de las herramientas de trabajo. Resumen de la reunin - Tema a desarrollar: Auditoras de seguridad en aplicaciones mviles. - Herramientas : Google Docs , Dropbox Siguiente Agenda Da: Lunes 17 setiembre. Hora: 7:00pm Lugar: Virtual/Skype Temas a tratar: - Propuestas para la justificacin del trabajo. - Aporte de bibliografas

Minuta de Reunin N2 Fecha: 17 de setiembre,2012 Hora de Inicio : 7:00pm Hora de Finalizacin: 8:30pm Agenda - Revisin de ideas para la justificacin - Envo de la propuesta al profesor. Resumen de la reunin - Redaccin de la justificacin. - Propuesta de posibles alcances del proyecto (Sistemas Operativos, Aplicaciones y dispositivos). - Revisin / Redaccin del correo con la propuesta - Francisco encargado de enviar el correo Siguiente Agenda Da: Domingo 30 setiembre, 2012 Hora: 7:00pm Lugar: Virtual/Skype 43

Temas a tratar: - Redaccin Introduccin. - Definicin de objetivo General y Especfico

Minuta de Reunin N3 Fecha: 30 setiembre,2012 Hora de Inicio : 7:00pm Hora de Finalizacin: 8:30 pm Agenda - Redaccin y revisin de la Introduccin. - Definicin de objetivos. Resumen de la reunin Se reviso y redact la introduccin y se definieron los objetivos de la investigacin para la primera entrega del 1 Octubre. Siguiente Agenda Da: 15 de octubre Hora: 5:00pm Lugar: ULACIT Temas a tratar: Discutir el enfoque de la investigacin Revisar documentacin bibliogrfica de ISACA

44

Minuta de Reunin N4 Fecha: 15 de octubre, 2012 Hora de Inicio : 5:00 pm Hora de Finalizacin: 6:00pm Agenda Discutir el enfoque de la investigacin, revisar documentacin bibliogrfica de ISACA Resumen de la reunin Mobile-Computing-Security-Audit-Prgm fue sugerido por el professor Siguiente Agenda Da: Mircoles 7 de noviembre Hora: 8:30 pm Lugar: Virtual / skype Temas a tratar: Redaccin de las conclusiones

45

Minuta de Reunin N5 Fecha: 7 de noviembre,2012 Hora de Inicio : 8:30 pm Hora de Finalizacin: 10:00pm Agenda - Revisin del documento entregado por el profesor - Definicin del proyecto prctico Resumen de la reunin Coordinar una reunin con el profesor. Francisco ordenar los captulos del marco terico Propuesta: Realizar una propuesta de auditora basada en marco terico (hablar con el profesor) -Cada integrante debe arreglar su parte y tenerla lista para la prxima reunin Siguiente Agenda Da: Lunes 12 Noviembre Hora: 5:30pm Lugar: Reunin Presencial /Universidad Temas a tratar: - Revisar cambios en el trabajo - Plantear la propuesta inicial en el caso que el profesor no haya contestado durante la semana

46

Minuta de Reunin N6 Fecha: 12 de noviembre,2012 Hora de Inicio : 8:30 pm Hora de Finalizacin: 10:00pm Agenda - Evacuacin de dudas en los cometarios realizados a la investigacin. - Consulta sobre el proyecto de aplicacin Resumen de la reunin Se aclararon las observaciones realizadas al trabajo. El profesor explic el tipo de gua que se poda realizar para el trabajo Siguiente Agenda Da: Mircoles 14 de noviembre Hora: 7:30pm Lugar: Reunin virtual Temas a tratar: - Revisar cambios en el trabajo - Plantear la propuesta inicial en el caso que el profesor no haya contestado durante la semana

47

Minuta de Reunin N7 Fecha: 14 de noviembre,2012 Hora de Inicio : 9:00 pm Hora de Finalizacin: 10:00pm Agenda - Definir tema - Realizar resumen de la reunin (martes 13) con el profesor Resumen de la reunin Seguridad a nivel de software. Francisco contactar a 3 desarrolladores. Se abri un documento en google docs para realizar un brainstorming Siguiente Agenda Da: Viernes 23 de noviembre Hora: 9:00 pm Lugar: Virtual Temas a tratar: - Terminar detalles de la entrevista -Reunin con el profesor -Presentar la propuesta al profesor

48

Minuta de Reunin N8 Fecha: 23 de noviembre,2012 Hora de Inicio : 5:00 pm Hora de Finalizacin: 8:00pm Agenda - Correccin del documento - Elaboracin del marco metodolgico - Divisin de tareas Resumen de la reunin Correccin de documento, anlisis de las entrevistas, elaboracin del mercado metodolgico. Siguiente Agenda Da: Mircoles 28 de noviembre Hora: 6:00 pm Lugar: ULACIT Temas a tratar: Anlisis entrevistas finalizacin marco metodolgico Conclusiones Gua

49

Minuta de Reunin N9 Fecha: 28 de noviembre,2012 Hora de Inicio : 5:00 pm Hora de Finalizacin: 8:00pm Agenda Anlisis entrevistas Conclusiones Gua Finalizacin marco metodolgico Resumen de la reunin Ajustes finales de la presentacin Siguiente Agenda Da: Viernes 30 de noviembre Hora: 6:00 pm Lugar: Presencial/ULACIT Temas a tratar: Anlisis entrevistas finalizacin marco metodolgico Conclusiones Gua

50

Minuta de Reunin N10 Fecha: Viernes 30 de noviembre, 2012 Hora de Inicio : 5:00 pm Hora de Finalizacin: 8:00pm Agenda Revisin final del anlisis de las entrevistas Definicin conclusiones Resumen de la reunin Anlisis de las entrevistas. Definicin de las conclusiones Siguiente Agenda Da: Sbado 1 de diciembre Hora: 11:30 pm Lugar: Virtual / skype Temas a tratar: Redaccin de las conclusiones

51

Minuta de Reunin N11 Fecha: 1 de diciembre, 2012 Hora de Inicio : 11:30 pm Hora de Finalizacin: 3:00pm Agenda Diseo organizacin de la presentacin final Resumen de la reunin Ajustes finales de la presentacin Siguiente Agenda Da: Domingo 2 de diciembre Hora: 11:30 pm Lugar: Virtual / skype Temas a tratar: Redaccin de las conclusiones

52

Minuta de Reunin N12 Fecha: 2 de diciembre,2012 Hora de Inicio : 11:30 pm Hora de Finalizacin: 3:00pm Agenda Redaccin de conclusiones Resumen de la reunin Redaccin final de las conclusiones. Finalizacin del trabajo

53

C. Project Gantt

54