Antes de ser instalada y utilizada por empresas o empleados, cualquier aplicación debe someterse a un control de seguridad, ya sean aplicaciones de traducción, calendarios compartidos o plataformas de mensajería. ¿Cómo debes asegurarte de que la aplicación es segura? Daniel Chromek, director de seguridad de la información de ESET, comparte las preguntas más importantes que cualquier especialista en TI debe hacerse al determinar la seguridad de una aplicación.
1) ¿Tenemos una lista de verificación preparada?
“Cuando tratamos de determinar si una aplicación o un servicio es seguro, generalmente seguimos una lista de verificación preparada”, explica Chromek. Ese es también su primer consejo: prepara dos listas de verificación:
• una que se centre en lo que necesitas buscar en el acuerdo de licencia de la aplicación o el contrato de servicio/términos de servicio
• y una segunda sobre la propia aplicación y su uso
La primera lista de verificación se puede basar en el estándar ISO 27002 y la segunda en el estándar de verificación de seguridad de aplicaciones OWASP (móvil), así como en tus propias experiencias previas. ¿Qué deberían incluir? Las siguientes preguntas te darán una pista.
2) ¿Existe un acuerdo de confidencialidad en el contrato?
Con cualquier aplicación, los especialistas en TI deben asegurarse de que el contrato incluya un acuerdo de confidencialidad (NDA). “En términos de servicio, un NDA a menudo se define vagamente. Normalmente podemos encontrar una frase genérica sobre protección de datos, pero si queremos asegurarnos de que la aplicación es segura, es posible que necesitemos buscar más información. Se pueden incluir más datos, por ejemplo, en la descripción de seguridad de una aplicación o en los informes de auditoría de seguridad (por ejemplo, el informe SOC2). Estos pueden dar a los especialistas de TI una pista sobre lo que sucede con los datos en la aplicación, si están encriptados o no, y así sucesivamente”, dice Chromek.
Otro aspecto que debe tenerse en cuenta cuando se trata de la NDA es lo que sucede con los datos después de la finalización del uso de la aplicación. “¿Seguirán protegidos? ¿Serán eliminados? ¿La empresa los recuperará? Esas son preguntas importantes que deben responderse antes de determinar la seguridad de una aplicación”, agrega el CIO de ESET.
Términos de Servicio: No leído Este Web (y el complemento de navegador relacionado) ofrece una descripción general de los términos y condiciones de varias aplicaciones y las califica de A a F – como en la escuela. El sitio puede ser útil tanto para los usuarios como para los administradores de TI y, aunque no debe verse como la fuente principal, puede brindarles a sus lectores una mejor idea sobre la seguridad de la aplicación. |
3) ¿Qué sucede cuando la aplicación falla o tiene una interrupción?
“Debemos recordar que una aplicación puede depender de un servicio, que puede fallar. Entonces, debemos preguntarnos: ¿Qué sucede con nuestros datos cuando el servicio no funciona? Chromek explica. Un especialista en TI debe verificar cómo el contrato trata las posibles fallas del servicio y buscar informes o páginas de estado que proporcionen estadísticas que muestren con qué frecuencia la aplicación experimenta interrupciones y cuánto tiempo suelen durar.
Un contrato de servicio también debe especificar qué tipo de compensación deben esperar sus clientes cuando el servicio falla, o cuando la funcionalidad y el índice de fallas se desvían de los números esperados. Hay diferentes tipos de fallas que la aplicación puede experimentar, desde un pequeño problema interno hasta grandes fallas en la continuidad del negocio (como un incendio en el centro de datos de OVHcloud) e incluso “fallas de energía mayores” (por ejemplo, debido a una guerra o desastres naturales). Las indemnizaciones designadas serán normalmente diferentes en cada uno de estos supuestos, pudiendo incluirse algunos de los supuestos mencionados en los párrafos de limitación de responsabilidad o fuerza mayor.
Interrupción de Atlassian en 2022 En abril de 2022, Atlassian, una empresa de software australiana, experimentó una interrupción que dejó a sus clientes sin acceso a sus servicios durante semanas. La empresa había estado recibiendo mensajes de sus clientes sobre el problema, pero durante días solo ofrecieron información muy vaga sobre el problema o la posible solución. Al final, varios clientes de Atlassian sufrieron grandes pérdidas, por lo que podrían ser compensados solo con créditos/descuentos por los servicios de Altalassian. En este cso, es discutible si la compensación es adecuada o incluso deseable para los clientes. Fuente: The Pragmatic Engineer, 2022. |
4) ¿Podemos hacer pruebas de hackeo ético?
Incluso si los términos del servicio parecen buenos, el estado técnico real de la seguridad del servicio puede no serlo. Muchas aplicaciones y servicios no brindan información sobre las pruebas de seguridad en sus informes y, además, los términos y condiciones a menudo prohíben estrictamente las acciones que son una parte interna de las pruebas, como intentar el acceso no autorizado u omitir la autenticación.
Sin embargo, las pruebas de hackeo ético pueden ser esenciales para determinar si el servicio protege los datos de los clientes de manera efectiva o no. En consecuencia, los especialistas de TI deben tratar de comunicarse con los desarrolladores de una aplicación y obtener más información sobre los resultados de las pruebas de hackeo ético anteriores por las que pasó la aplicación
o intentar crear un acuerdo separado que permita que se realicen dichas pruebas.
5) ¿La aplicación se ha desarrollado y funciona de forma segura?
Volviendo al hecho de que puede estar utilizando un servicio diferente solo al instalar una aplicación, los especialistas en TI no solo deben determinar si la aplicación en sí es segura, sino también asegurarse de que se desarrolle y opere de manera segura. Para obtener esta información, deben buscar informes de auditoría ya existentes, como el informe SOC2 Tipo II, o hacer que se audite al nuevo proveedor.
6) ¿Cuál es el plan de respuesta a incidentes de seguridad del proveedor?
Además de los problemas de interrupción ocasionales, una aplicación también puede enfrentar otros incidentes graves, incluidas las filtraciones de datos. “Cuando esto sucede, debemos asegurarnos de que el proveedor nos informe. Dado que las empresas tienen una responsabilidad con sus clientes, socios y empleados, deben responder rápidamente a cualquier incidente”, explica Chromek. Si los servicios procesan datos personales, la necesidad de notificación de incumplimiento puede provenir de regulaciones como GDPR o CCPA.
El estándar de verificación de seguridad de aplicaciones OWASP Este proyecto proporciona los conceptos básicos para la seguridad de las apliaciones web, pero como explica Daniel Chromek , es extenso y algunas partes pueden reutilizarse para "aplicaciones de clientes". Los especialistas en TI pueden utilizarlo como una guía inspiradora y elegir los puntos que consideren más relevantes para su negocio. |
7) ¿Cómo tratar la aplicación la propiedad intelectual?
Los especialistas en TI deben prestar mucha atención a cómo la aplicación verificada trata con la propiedad intelectual. “El contrato a menudo puede establecer que la aplicación no es responsable de ningún contenido que se descargue para proteger a los proveedores de servicios de demandas por derechos de autor (por ejemplo, bajo DMCA). También puede especificar que la aplicación puede utilizar algún contenido para fines específicos, como "mejoras del servicio", lo que puede conducir al desarrollo de productos competitivos. Todos estos detalles deben tenerse en cuenta”, afirma Chromek.
8) ¿A qué tiene derecho la aplicación?
Cuando se trata, por ejemplo, de aplicaciones de mensajería, se necesita habilitar muchos tipos diferentes de acciones: enviar mensajes y medios, grabar llamadas, incluso compartir la ubicación, etc. Sin embargo, algunas aplicaciones no necesitan tantos derechos: “Por ejemplo, cuando tenemos una aplicación que se enfoca en eventos en línea y exige tu ubicación, acceso a tus llamadas telefónicas, envío de SMS, etc., no tiene sentido. Trata de pensar en lo que hace la aplicación y luego verifica si los requisitos de la aplicación no exceden las necesidades razonables”, concluye Chromek.
Leyendo entre líneas “Una aplicación o servicio no puede ocultar lo que hace y mantener el negocio en funcionamiento. Si recopila datos o si comparte la información con otras empresas, será en términos de servicio. Sin embargo, la aplicación a veces puede intentar eclipsar información importante con frases genéricas, enumeraciones largas o adiciones en letra pequeña. Vale la pena leer los términos y condiciones detenidamente y buscar también otras fuentes, como informes".
Daniel Chromek, Director de Seguridad de la Información de ESET |