Академический Документы
Профессиональный Документы
Культура Документы
Director
JOHN VELANDIA
INGENIERO DE SISTEMAS, MSc.
TIPO DE LICENCIA
Nota de aceptacin
______________________________________
______________________________________
______________________________________
______________________________________
Presidente del Jurado
______________________________________
Jurado
______________________________________
Jurado
Dedicatoria
Este trabajo est dedicado a Dios, quien nos supo guiar por el buen camino, dndonos
fuerzas para seguir adelante, y a nuestras familias, por su apoyo permanente e incondicional
en las adversidades para que no desfalleciramos en el intento y culminramos
exitosamente esta etapa de nuestras vidas.
Agradecimientos
Agradecemos primeramente a Dios por las bendiciones recibidas y por permitirnos
compartir esta experiencia de vida; a nuestros padres quienes han sido nuestros precursores
y quienes nos encaminaron por el sendero del conocimiento; a nuestras esposas y esposos
por su amor, paciencia y apoyo incondicional; a nuestros hijos e hijas por ceder el tiempo
de juegos y apapachos.
Agradecemos a nuestros maestros porque nunca dijeron no, porque aclararon
cualquier duda o incertidumbre, porque con su paciencia y dedicacin lograron hacer de
nosotros grandes personas y excelentes profesionales; a la Universidad Catlica de
Colombia por su intensa formacin en valores y por acogernos como en casa.
Abstract
CONTENIDO
GENERALIDADES
ANTECEDENTES
1.2.1
1.2.2
Objetivos
1.3.1
Objetivo general.
1.3.2
Objetivos especficos.
JUSTIFICACIN
DELIMITACIN
MARCO TERICO
10
1.6.1
10
1.6.2
10
1.6.3
12
1.6.4
14
1.6.5
16
1.6.6
20
1.6.7
23
1.6.8
24
1.6.9
26
Marco Conceptual
28
Metodologa
33
1.8.1
Tipo de estudio.
33
1.8.2
Fuentes de Informacin.
33
Diseo metodolgico.
34
resultados obtenidos
35
1.10.1
Caracterizacin de Vulnerabilidades.
35
1.10.2
40
1.10.3
44
45
48
CONCLUSIONES
53
RECOMENDACIONES
55
BIBLIOGRAFA
56
LISTA DE FIGURAS
pg.
13
14
34
37
39
46
LISTA DE TABLAS
pg.
LISTA DE ANEXOS
pg.
ANEXO 1: Gua para validar el nivel de seguridad de los permisos y uso de recursos de
una aplicacin mvil bajo plataformas Android.
ANEXO 1.A - CUESTIONARIO ISO 27001.
ANEXO A - CARACTERIZACIN DE VULNERABILIDADES.
ANEXO B - CONTROLES DE SEGURIDAD APP.
ANEXO C - GUA DE SEGURIDAD PARA APP SOBRE ANDROID.
ANEXO D - CUESTIONARIO ISO 27001_APP_PQRSD.
GENERALIDADES
ANTECEDENTES
Los avances tecnolgicos de la nueva era, estn encaminados a disminuir las
distancias, reducir el tiempo y agilizar los procesos; estas tecnologas han tenido una
evolucin bastante rpida en las ltimas dcadas, donde los seres humanos pasaron de
pensar en la automatizacin de los procesos para disminuir la carga laboral a contar con
sistemas para supervisar y controlar las actividades diarias de la labor, entrando en el
mundo de los datos y encontrando en la informacin un activo muy valioso que puede
hacer la diferencia ante la competencia.
Otra parte importante de los avances tecnolgicos, es la seguridad con la que cuentan
los mismos, en primera medida la seguridad fsica para los seres humanos y posteriormente
la seguridad informtica de los sistemas.
La norma NIST 800-163 refiere que mientras las nuevas tecnologas pueden ofrecer
ganancias en productividad y nuevas capacidades, tambin puede presentar nuevos riesgos,
y que por ende los profesionales y usuarios de estas tecnologas deben concientizarse de
estos riesgos y desarrollar planes para mitigarlos o aceptar sus consecuencias (NIST,
2015). La norma tambin brinda informacin que orienta a las organizaciones a tener de
manera clara cmo manejar los procesos de validacin de la seguridad en las aplicaciones
mviles, tambin indica requisitos para el desarrollo de la seguridad en dichas aplicaciones
y finalmente ayuda a que se defina si la aplicacin es realmente confiable y segura para
poder desplegarse en dispositivos mviles.
La Figura 1, muestra el contexto de seguridad para una aplicacin mvil y que son
lineamientos a tener en cuenta a la hora de implementar o adquirir dichas aplicaciones. El
crecimiento reciente en el despliegue de aplicaciones mviles en las organizaciones con el
fin brindar mejor acceso y eficacia en sus procesos y en sus negocios, han permitido que la
productividad crezca constantemente; mantener conectados a los empleados de las
organizaciones en todo momento, permitindoles herramientas que en cualquier instante de
tiempo, desde cualquier lugar geogrfico y sin lmite de cobertura, puedan utilizar desde su
dispositivo Celular Android ofrece altos niveles de rendimiento.
(NIST, 2015) establece que para ayudar a mitigar los riesgos asociados a las
vulnerabilidades de las aplicaciones, las organizaciones deben desarrollar niveles
adecuados de seguridad, por ejemplo, como se deben asegurar los datos utilizados por una
aplicacin, el entorno en que se implementara esta, y el nivel de riesgo aceptable para una
aplicacin (NIST, 2015). Para ayudar a asegurar que una aplicacin se ajusta a dichos
requisitos, se debe realizar un proceso de seleccin de aplicaciones; precisamente por este
3
motivo el presente proyecto tiene como base de trabajo esta norma, pues brinda
informacin necesaria para poder llegar a generar un documento que sirva de gua a las
organizaciones que manejen aplicaciones mviles. Un proceso de seleccin de aplicaciones
comprende dos actividades principales: la prueba de aplicaciones y aplicaciones de
aprobacin/rechazo.
La prueba de aplicaciones tiene que ver con la verificacin que se ejecute sobre estas
para determinar si existen vulnerabilidades que comprometan la seguridad de la
informacin y as generar informes que permitan comenzar a validar los mtodos de gestin
del riesgo y la aprobacin/rechazo de las aplicaciones (NIST, 2015). Lo cual implica hacer
una revisin de estos informes generados en el paso anterior para determinar si la App
cumple los requisitos de seguridad necesarios.
La implementacin de
Restricciones App
Aprenda como implementar
restricciones de aplicaciones y
opciones de configuracin que se
puede cambiar por otras
aplicaciones en el mismo
dispositivo
App RestrictionSchema
App Restriccin Enforcer
Este ejemplo muestra como
Este ejemplo muestra como
utilizar las restricciones de
establecer restricciones a otras
aplicaciones.
aplicaciones como propietario de
Esta aplicacin cuenta con una un perfil. Use muestra
restriccin booleano con una
AppRestrictionEnforcer como una
can_Say_Hello clave que
aplicacin con restricciones
define si la nica caracterstica disponibles
de esta aplicacin (pulse el
mensaje para mostrar el
mensaje Hola) esta activado
o desactivado.
La Construccin de una Policy
Controller Trabajo
Aprenda como desarrollar un
controlador de las actividades
de poltica para crear y
administrar un perfil
gestionado en el dispositivo
de un empleado
La
Figura 2, muestra como Android tambin ofrece unos lineamientos mnimos de
seguridad a tener en cuenta, este repertorio de recomendaciones es ofrecido para que sean
los desarrolladores los que decidan las medidas ms convenientes para su aplicacin; Por
supuesto, Android cuenta con una serie de medidas a nivel de sistema operativo: Sandbox,
Marco de aplicacin de Android, Sistema de cifrado del sistema de ficheros entre otros.
(Rubio, 2012). Estas son apenas unas de las pocas medidas que se deben implementar para
probar las aplicaciones y asegurarse de que se ha minimizado el riesgo de que estas sean
vulneradas.
revisar el nivel de seguridad que ofrecen las App, an ms si se usan a nivel corporativo, ya
que estas tienen conexin directa con otras aplicaciones y redes internas de la organizacin.
1.2.2
a las actividades diarias del negocio y una exigencia del mercado, la necesidad de procesos
que permitan transaccionalidad, consulta y registro desde un dispositivo mvil se hace una
necesidad vital, obligando a las organizaciones a desarrollar o adquirir aplicaciones mviles
que les permitan dar solucin a las necesidades de sus usuarios y a la vez generar diferencia
competitiva.
OBJETIVOS
1.3.1
Objetivo general.
Elaborar una gua para validar el nivel de seguridad de una aplicacin mvil para
plataformas Android.
1.3.2
Objetivos especficos.
Extraer los controles del estndar ISO 27001-2013, que apliquen a las
vulnerabilidades de las aplicaciones mviles para plataforma Android
caracterizadas.
JUSTIFICACIN
La justificacin de este proyecto de grado, se sustenta principalmente en la gran
importancia que tiene la seguridad de la informacin para las organizaciones y como esa
seguridad tambin debe ser evaluada en las App mviles que se usan para apoyar los
procesos del negocio, permitiendo que los usuarios puedan trabajar de manera eficiente,
rpida, pero con niveles ptimos de seguridad para la organizacin y para ellos mismos.
Partiendo de lo anterior, es que este proyecto de grado busca dar solucin a esta
necesidad, proponiendo una gua que permita validar la seguridad de una App en una
organizacin.
DELIMITACIN
El propsito de esta investigacin es generar un mecanismo gua que permita a una
organizacin, validar en cualquier instante la seguridad de una aplicacin mvil usada bajo
dispositivos Android, aplicando la norma ISO 27001; a las vulnerabilidades que apliquen a
los permisos y al uso de recursos.
La investigacin utilizar como apoyo las normas ISO 27001 y NIST 800-163, se
ejecuta con el propsito principal de generar una gua, para validar el nivel de seguridad de
una aplicacin mvil bajo plataformas Android, contemplada para entornos
organizacionales, donde sea posible establecer el nivel de seguridad de las aplicaciones,
mediante la validacin de vulnerabilidades posibles encontradas en las App que quieran ser
lanzadas a produccin y de esta manera poder realizar una gestin adecuada sobre estas,
para llegar a obtener un cumplimiento de los objetivos de manera eficaz y eficiente en las
organizaciones hacia las cuales est orientada la gua propuesta.
MARCO TERICO
1.6.1
1.6.2
PC), muestra que casi la totalidad de los usuarios dispone de telfono mvil convencional,
y en el caso del Smartphone el porcentaje de encuestados que posee este tipo de terminal
inteligente se sita en un 50,3%.
Por otro lado el porcentaje de usuarios que utiliza su Smartphone para acceder al
correo electrnico, se sita en el 2 cuatrimestre de 2011 en un 64,9%, este porcentaje es
similar al de aquellos que lo utilizan para realizar descargas de programas o aplicaciones
(que llega hasta el 64,5%).
10
Adems, una amplia mayora (91,2%) lleva a cabo el buen hbito de seguridad de
realizar las descargas de programas o aplicaciones desde sitios oficiales (como por ejemplo
AppStore de Apple o Android Market de Google).
Aplicaciones mviles existen muchas y para todos los entornos que se deseen, las
cuales pueden ser de entretenimiento, productividad, transferencia de informacin y en fin
de cualquier tipo; y teniendo en cuenta las estadsticas mencionadas es preciso cumplir con
una serie de pruebas, validaciones y mejores prcticas, para garantizar que al utilizar las
App, realmente va a ser beneficioso y no se van a generar ms riesgos para el usuario.
11
1.6.3
Tablet vuelve a ser protagonista con un crecimiento de 14 puntos porcentuales, al igual que
los TVs con internet integrado, ambos dispositivos muestran crecimientos significativos en
comparacin al 2013. (Interactive Advertising Bureau - IAB, 2014)
Figura 3: Equipamiento Tecnolgico
12
Al incrementar el uso de dispositivos mviles y con ellos el uso de Apps, tambin una
tendencia creciente son las comprar online, como lo ilustra la Figura 6, de cada 10
internautas mviles, 9 han usado en alguna ocasin el Smartphone en el momento de
decidir una compra. Hoy en da el e-commerce se considera algo habitual, en donde se
pueden adquirir toda clase de productos, an ms ya existen varios almacenes que han
creado sus propias App para brindar al usuario nuevas opciones para comprar. (Interactive
Advertising Bureau - IAB, 2014)
1.6.4
14
Los consumidores (as como para los desarrolladores de apps comerciales y sus
clientes), plantean problemas de seguridad y privacidad difciles de solucionar. Algunos de
15
1.6.5
de iOS.
Un gran nmero de aplicaciones bancarias para iOS, muy utilizadas por los clientes de
las entidades financieras ms conocidas de todo el mundo, contienen vulnerabilidades que
exponen a los usuarios al robo de datos y a la violacin de sus cuentas (IOACTIVE LABS,
2014). De hecho, si los cibercriminales supieran de estas vulnerabilidades, podran
monitorizar el comportamiento de los usuarios a travs de ataques Man-in-the-Middle,
entrar en sus cuentas mediante hacking y provocar problemas en la memoria que
acarrearan el colapso del sistema y el robo de datos.
16
Alguien con la habilidad adecuada podra utilizar esta informacin para encontrar
otras vulnerabilidades y luego podra desarrollar un exploit o un malware que
comprometiese los datos del usuario de las aplicaciones bancarias afectadas, ha afirmado
Snchez. Se trata del primer paso hacia una potencial amenaza de seguridad.
17
La meta, era realizar una caja negra y un anlisis esttico de los apps mviles
mundiales de las actividades bancarias caseras. La investigacin utiliz los dispositivos de
iPhone/iPad para probar un total de 40 apps de las actividades bancarias caseras de los 60
bancos ms influyentes superiores del mundo.
Una vez realizadas dichas pruebas se obtuvo que el 40% de los apps revisados no
validaron la autenticidad de los certificados del SSL presentados, y tambin Algunos apps
(menos el de 20%) no tenan ejecutable independiente de la posicin (PIE) y no compilaron
para separar las cookies y las sesiones. Esto poda ayudar a atenuar el riesgo de los ataques
de la corrupcin de la memoria. (IOACTIVE LABS, 2014)
Con el fin de minimizar el impacto de lo que implica instalar una aplicacin mvil
dentro de las organizaciones; ste trabajo de investigacin busca analizar estndares de
seguridad orientados a verificar y validar los niveles de seguridad con los que cuenta una
aplicacin mvil.
18
cualquier medida de seguridad, que podamos tomar para proteger este rea de cuya
vulnerabilidad, o fuerza depende en gran medida el xito del sistema (Maulini R., 2013).
Debe haber un proceso que normalmente indique los pasos a seguir para tener claro
que una aplicacin es segura y que cualquier organizacin podra disponer de ella para
mejorar su productividad; en este mismo artculo se mencionan algunos pasos para cubrir la
necesidad de seguridad en las aplicaciones mviles, y dada su importancia se mencionaran
a continuacin:
Maulini tambin afirma que hay que asegrese de que todas las secciones de la
aplicacin que requieran autenticacin estn realmente cubiertas por el componente de
autenticacin y que la autenticacin no pueda ser dejada de lado por ataques de fuerza bruta
al recurso y da una serie de recomendaciones, que se mencionaran ya que hacen parte la
mitigacin a los riesgos funcionales que se pueden presentar en una aplicacin mvil.
Hay que tener en cuenta que los pasos anteriores son apenas algunos de los mltiples
que se pueden aplicar dependiendo del tipo de aplicacin y de muchos factores que hacen
que las aplicaciones sean diferentes; se debe conocer que para lograr mitigar el riesgo de
vulneracin de las aplicaciones, es necesario siempre ejercer controles permanentes.
1.6.6
En este mismo informe ESET expone que el xito en la propagacin de cualquier tipo
de amenaza informtica (exceptuando la prdida del telfono) radica principalmente en las
estrategias de Ingeniera Social que el cibercriminal utilice.
Para este tipo de dispositivos es comn que se usen temticas especficas para este
segmento como troyanos que se expanden con la excusa de ser algn determinado juego
mvil, o incluso se han llegado a reemplazar cdigos QR legtimos por otros que no lo son,
para dirigir al usuario a un sitio que descarga alguna clase de cdigo malicioso. (ESET,
2014),
21
22
1.6.7
que proporciona un entorno seguro de ejecucin. Por defecto, ninguna aplicacin tiene
permiso para realizar ninguna operacin o comportamiento que pueda impactar
negativamente en la ejecucin de otras aplicaciones o del sistema mismo. Por ejemplo,
acciones como leer o escribir ficheros privados del usuario (contactos, telfonos, etc.), leer
o escribir ficheros de otras aplicaciones, acceso de red, habilitacin de algn recurso
hardware del dispositivo, etc., no estn permitidas. (ESET, 2014).
Sandbox es una especie de aislamiento de procesos para poder ejecutar varios programas con
23
1.6.8
Problemas de privacidad
1.6.9
Debilidad de los controles del lado del servidor: corresponde a las inyecciones
de cdigo.
Inyeccin del lado del cliente: atacante que inyectan exploits sencillos a las
aplicaciones mviles.
MARCO CONCEPTUAL
Tecnologa Mvil: La tecnologa mvil bsicamente en su concepto es la conexin
que pueden tener dispositivos y a su vez las personas sin utilizar medios almbricos de
conexin donde el medio es el aire y este transmite la informacin mediante ondas
electromagnticas; tiene mucho tiempo de estar en funcionamiento, dado a que se buscan
simplificar las actividades diarias para agilizar los procedimientos que diariamente
queremos o necesitamos desarrollar.
Android: ms que un sistema operativo, representa toda una pila de software para
dispositivos mviles que incluye gran cantidad de drivers, gestor de bases de datos, una
completa framework de aplicaciones, y numerosas aplicaciones de usuario. Android est
basado en el ncleo de Linux y todas sus aplicaciones se escriben en lenguaje Java,
disponiendo adems de una mquina virtual especfica llamada Dalvik.
28
NIST 800-163: Es una norma responsable del desarrollo de las normas y directrices de
seguridad de la informacin, incluyendo requisitos mnimos para los sistemas de
informacin federales de los EE UU; este documento permite a las organizaciones entender
los procesos de verificacin de la seguridad de las aplicaciones mviles, el plan para la
implementacin de un proceso de aplicacin de investigacin de antecedentes, los
requisitos para el desarrollo de las aplicaciones de manera segura, entender los tipos de
vulnerabilidades que pueden afectas estas aplicaciones y determinar finalmente si una
aplicacin es aceptable o no para entrar en produccin en una organizacin. (NIST, 2015)
29
informacin en cualquier tipo de organizacin con o sin fines de lucro, privada o pblica,
pequea o grande. (Agustn Lpez Neira, s.f.)
Amenazas: Posible peligro para el sistema. Puede ser una persona (hacker), un
programa (virus, caballo de Troya), o un suceso natural o de otra ndole (fuego, inundacin,
30
etc.). Representan los posibles atacantes o factores que aprovechan las debilidades del
sistema. (Wordpress, 2013)
Man in the middle: El ataque Man in the middle, traducido al espaol como El
hombre en el medio, es un ataque PASIVO, que se lleva a cabo tanto en redes LAN como
WLAN. Es un ataque en el que en la transmisin de informacin por una red, se intenta
modificar esta para alterarla, sin que ninguna de las dos partes, emisora y receptora conozca
que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e
interceptar mensajes entre las dos vctimas. (Galisteo Cantero & Moya Reyes, 2009)
Pero hemos dejado pendiente un problema: las claves privadas suelen estar alojadas en
mquinas clientes y cualquiera que tenga acceso a estas mquinas puede utilizar las claves
que tenga instaladas y suplantar la identidad de su legtimo usuario. (EUMED, 2015)
METODOLOGA
1.8.1
Tipo de estudio.
El resultado de este trabajo de grado es de carcter cualitativo, porque parte de un
1.8.2
Fuentes de Informacin.
El referente de este trabajo fue el estndar NIST 800-163, algunos estudios de
seguridad por empresas reconocidas y la norma ISO 27001-2013, esta ltima alineada con
los Sistemas de Gestin de la Seguridad de la Informacin (SGSI), en donde se tomar la
norma NIST para identificar las vulnerabilidades en el funcionamiento de un App
desarrollada sobre Android y posteriormente se analizarn los componentes o dominios que
contiene la norma ISO 27001-2013 y se tomarn las pautas ms relevantes de estas normas
33
para cubrir y garantizar la seguridad sobre los datos y sobre las transacciones que se pueden
ejercer sobre dicha informacin.
DISEO METODOLGICO.
El diseo metodolgico de este trabajo se basa en la metodologa PHVA de la norma
ISO 27001 para los SGSI, en la Figura 8, se pone en contexto la metodologa propuesta en
este documento dentro de cada etapa del ciclo.
Fuente (Autores)
34
RESULTADOS OBTENIDOS
1.10.1 Caracterizacin de Vulnerabilidades.
Para el desarrollo de este objetivo, se extrajeron de la norma NIST 800-163 las
principales vulnerabilidades y sus caractersticas, para las aplicaciones que corren sobre
plataformas Android ver (CARACTERIZACIN DE VULNERABILIDADES.xlsx); este
Anexo cuenta con las siguientes hojas:
Fuente: Autores
35
Norma NIST: Indica el tem de la norma NIST 800-163 en donde hacen referencia
de la vulnerabilidad.
36
Una vez efectuado los criterios de evaluacin sobre las vulnerabilidades extradas de
la norma NIST se obtuvieron los siguientes resultados.
NO
Permisos y uso de
recursos
11
7
Autenticacin
13
Integridad
15
Fuente: Autores
37
12
10
8
11
4
2
0
SI
NO
Fuente: Autores
38
Integridad
16
14
12
10
8
6
4
2
0
15
3
SI
NO
Fuente: Autores
39
Autenticacin
14
12
10
8
13
6
4
2
0
SI
NO
Fuente: Autores
Fuente: Autores
41
Dominio: Dominio de la norma ISO 27001, que aplica a las aplicaciones mviles.
Objetivo de control: Objetivos de control que expone la norma para cumplir con el
dominio.
Fuente: Autores
La
43
Tabla 3, muestra resultado final de los controles de la norma ISO 27001, evaluados
bajo los criterios establecidos, y de los cuales son alcance de este proyecto los controles que
impactan los permisos y el uso de recursos de una App mvil.
45
Una vez se obtuvo respuesta del Ministerio para poder validar la gua (ver Figura 14),
se procedi al envi de la gua junto con sus anexos al responsable en el Ministerio. El
resultado fue entregado das ms tarde en donde se obtuvo que la aplicacin tiene un nivel
de seguridad bajo la norma ISO 27.001 del 80,75% en el cumplimiento de los controles que
la norma exige, sin embargo se dieron algunas recomendaciones para cumplir a cabalidad
con los dominios de la norma que se relacionan con las App mviles.
46
47
48
Proceso: El proceso que se realiz para evaluar cada una de las preguntas del
cuestionario entregado por los estudiantes de la especializacin fue el siguiente:
49
Smartphone Android con el fin de evaluar las preguntas del cuestionario contras las
funcionalidades que se implementaron dentro del aplicativo en su primera versin:
Ver solicitudes.
Crear solicitud.
Luego de esto se empez a evaluar cada una de las preguntas que se contemplan
dentro del cuestionario de la gua; verificando tanto la aplicacin App PQRSD del MADS
como tambin el funcionamiento interno de gestin por parte del grupo tcnico de
desarrollo.
Esta evaluacin fue efectuada de forma conjunta entre los Ingenieros Camilo Pulido y
Freddy Gmez contratistas de la oficina TICS quienes al responder cada una de las
preguntas de dicho cuestionario identifican los siguientes aspectos de mejora que se podran
50
tener en cuenta dentro del cuestionario para hacerlo ms dinmico y parametrizable frente a
las necesidades de las empresas o personas naturales que quieran hacer uso de este:
1. Dentro de las preguntas, existen del cuestionario algunas de estas hacen referencia a
temas que no tienen que ver con la evaluacin directa del aplicativo mvil, como
por ejemplo: Se tienen definidas responsabilidades y roles de seguridad?
2. Existen preguntas que deben orientarme ms a los procesos y metodologas de las
pruebas de software ms que al personal desarrollador ya que esto se enfoca ms a
las empresas y no permite que el cuestionario sea aplicado totalmente por una
persona natural que quiera validar la seguridad a travs de la gua, como tal en un
aplicativo mvil.
3. Se debe contemplar que si el cuestionario es para uso y evaluacin en aplicativos
mviles este debe permitir evaluar el aseguramiento y cumplimiento de las buenas
practicas que la gua para plataformas WEB Services, servicios en la nuble de
Google y Apple ya que muchos aplicativos de vanguardia requieren de estas
herramientas de terceros para su correcto funcionamiento.
51
53
CONCLUSIONES
Sin importar la cantidad de controles que la norma seale que deben existir, la
actividad humana sobre los controles tiene gran influencia, ya que es una de las
vulnerabilidades ms atacadas.
54
Debe existir una relacin costo beneficio al momento de implementar los controles
que se crean necesarios para minimizar el riesgo de que las vulnerabilidades se
materialicen, pues no es ptimo establecer controles que afecten de manera significativa la
inversin de las organizaciones.
Se desarrolla una gua bajo el apoyo de la norma NIST 800-163, donde se encuentran
vulnerabilidades orientadas a las App, pero se deben tener presentes los repositorios donde
se encuentran otra serie de vulnerabilidades, para poder tener un proceso de validacin de
las App slido.
55
RECOMENDACIONES
La gua permite hacer una revisin inicial de las App, para determinar sus
vulnerabilidades y los posibles controles a implementar, pero se debe tener en cuenta
informacin adicional de repositorios donde existen otra serie de vulnerabilidades y
recomendaciones ya definidas, con el fin de hacer una adecuada validacin de la App y
definir su viabilidad para que sea enviada a produccin.
Tener presenta la norma NIST 800-163 donde se indica todo el proceso de validacin
de las App es fundamental para mejorar los procesos de envi a produccin en las
organizaciones de dichas App.
Una vez se aplic la gua para validarla, se encontr que el lenguaje utilizado en el
cuestionario era muy amplio y confunda al usuario; se hicieron ajustes en las preguntas que
presentaron dicha inconsistencia, y se recomienda para futuras adecuaciones tener presente
el lxico hacia el usuario.
56
BIBLIOGRAFA
Agustn Lpez Neira, J. R. (s.f.). ISO27000.ES. Obtenido de ISO27000.ES:
http://www.iso27000.es
calidad, A. e. (2015). Seguridad de la informacin. Obtenido de QAEC:
http://www.aec.es/web/guest/centro-conocimiento/seguridad-de-la-informacion
CVE - Common Vulnerabilities and Exposures. (2011). Common Vulnerabilities and
Exposures. Obtenido de Common Vulnerabilities and Exposures:
https://cve.mitre.org/
David Galisteo Cantero, R. M. (s.f.). Man in the middle. Obtenido de Seguridad en TIC:
http://ns2.elhacker.net/MITM.pdf
Deficicin.MX. (12 de 10 de 2015). Deficicin.MX. Obtenido de Deficicin.MX:
http://definicion.mx/proceso/
ESET. (2014). Gua de seguridad para usuarios de Smartphones.
EUMED. (2015). Autenticacin. Obtenido de EUMED:
http://www.eumed.net/cursecon/ecoinet/seguridad/autentificacion.htm
Eumed.net. (01 de 10 de 2015). Eumed.net. Obtenido de Eumed.net:
http://www.eumed.net/cursecon/ecoinet/seguridad/autentificacion.htm
Galisteo Cantero, D., & Moya Reyes, R. (2009). Man in the Middle - Ataque y Deteccin.
Gelbstein, D. (2011). Integridad de datos. Obtenido de ISACA:
http://www.isaca.org/Journal/archives/2011/Volume-6/Pages/Data-IntegrityInformation-Securitys-Poor-Relation-spanish.aspx
57
58
60