Touch and Greetings as a Semiotic tool

Para poder validar la guía, se realizó una solicitud formal (ver Figura 13), ante la entidad Ministerio de Ambiente y Desarrollo sostenible, con el fin de aplicar la guía validando la App móvil PQRSD.

Una vez se obtuvo respuesta del Ministerio para poder validar la guía (ver Figura 14), se procedió al envió de la guía junto con sus anexos al responsable en el Ministerio. El resultado fue entregado días más tarde en donde se obtuvo que la aplicación tiene un nivel de seguridad bajo la norma ISO 27.001 del 80,75% en el cumplimiento de los controles que la norma exige, sin embargo se dieron algunas recomendaciones para cumplir a cabalidad con los dominios de la norma que se relacionan con las App móviles.

La respuesta a la validación se evidencia en el (ANEXO D - CUESTIONARIO ISO 27001_APP_PQRS.xlsx)

47

48

49

1.11.1 Informe de Ejecución de la Guía por parte del Ministerio.

Introducción: El siguiente informe tiene como finalidad realizar la descripción del proceso y los resultados obtenidos al realizar la evaluación del aplicativo APP PQRSD para el Ministerio de Ambiente y Desarrollo Sostenible ( Desde ahora MADS).

Antecedentes: Teniendo en cuenta que el desarrollo del aplicativo App de PQRSD del MADS se encuentra conformado por una integración al sistema WEB existente para la gestión de las solicitudes (PQRSD) de los ciudadanos, es importante realizar una

evaluación previa de las oportunidades y aspectos de mejora , como también de los riesgos que se pueden identificar con la ayuda del cuestionario entregado por los estudiantes de la especialización, con el fin de evitar posibles daños o afectaciones a la información existente en el sistema PQRSD WEB del MADS.

Proceso: El proceso que se realizó para evaluar cada una de las preguntas del cuestionario entregado por los estudiantes de la especialización fue el siguiente:

En primera instancia se desplego un ambiente de pruebas del web services que se desarrolló para integrar la información existente del sistema WEB de PQRSD del MADS con el aplicativo APP. Posteriormente se realizó el despliegue del aplicativo App en un

50

Smartphone Android con el fin de evaluar las preguntas del cuestionario contras las funcionalidades que se implementaron dentro del aplicativo en su primera versión:

Las funcionalidades que actualmente se contemplan dentro de la primera versión del aplicativo App PQRSD del MADS son:

 Login de usuarios al sistema PQRSD.  Logout de usuarios al sistema PQRSD.  Ver solicitudes.

 Crear solicitud.

 Ver detalle de solicitud.

Luego de esto se empezó a evaluar cada una de las preguntas que se contemplan dentro del cuestionario de la guía; verificando tanto la aplicación App PQRSD del MADS como también el funcionamiento interno de gestión por parte del grupo técnico de

desarrollo.

Esta evaluación fue efectuada de forma conjunta entre los Ingenieros Camilo Pulido y Freddy Gómez contratistas de la oficina TICS quienes al responder cada una de las

51

tener en cuenta dentro del cuestionario para hacerlo más dinámico y parametrizable frente a las necesidades de las empresas o personas naturales que quieran hacer uso de este:

Hallazgos de mejora del cuestionario:

1. Dentro de las preguntas, existen del cuestionario algunas de estas hacen referencia a temas que no tienen que ver con la evaluación directa del aplicativo móvil, como por ejemplo: “¿Se tienen definidas responsabilidades y roles de seguridad?” 2. Existen preguntas que deben orientarme más a los procesos y metodologías de las

pruebas de software más que al personal desarrollador ya que esto se enfoca más a las empresas y no permite que el cuestionario sea aplicado totalmente por una persona natural que quiera validar la seguridad a través de la guía, como tal en un aplicativo móvil.

3. Se debe contemplar que si el cuestionario es para uso y evaluación en aplicativos móviles este debe permitir evaluar el aseguramiento y cumplimiento de las buenas practicas que la guía para plataformas WEB Services, servicios en la nuble de Google y Apple ya que muchos aplicativos de vanguardia requieren de estas herramientas de terceros para su correcto funcionamiento.

52

 Gracias a la evaluación con el cuestionario se identificó que dentro del grupo de desarrollo de la oficina TIC, encargada de desarrollar este aplicativo es fundamental el uso de una metodología de desarrollo de software como por ejemplo SCRUM, ya que esta permite controlar la interacción entre los requerimientos del cliente,

documentación del proceso de desarrollo y garantizar que el software cumpla con los requerimientos del cliente.

 Se identificó que como tal no existen establecidos procesos y documentos de pruebas de “software” funcionales y no funcionales, lo que permite identificar BUGS del software de forma puntual y no definir el funcionamiento a través de pruebas que no se encuentren programadas a evaluar un requerimiento y el funcionamiento de un proceso interno del software.

 También se logró identificar que no existe un procedimiento establecido para la puesta en pre producción (Pruebas piloto del aplicativo) lo cual es fundamental para poder verificar toda la seguridad del software y cumplimiento de la guía antes de sacarlo a producción.

 Aunque existen controles de cambios en la infraestructura a través de reuniones de cambios, no se identifica un procedimiento establecido para lograr controlar los cambios de versiones del software, documentos que soporten dichos cambios con el fin de llevar la trazabilidad de la evolución del software.

 No se identificó un manual o procedimiento sobre cómo gestionar las contraseñas y administración de los aplicativos, en este caso la administración de las tiendas que alojarán el aplicativo PQRSD APP del MADS.

53

 No se identificó un procedimiento o manual para la gestión de Logs dentro del aplicativo App PQRSD, como también el personal encargado de realizar la revisión de dichos archivos de logs.

 No se identificó un procedimiento sobre la gestión de errores en ejecución que puedan encontrarse dentro del funcionamiento del aplicativo APP PQRSD, personal encargado de revisar estos archivos de LOGS y procedimiento o acciones a tomar para dar solución a estos errores.

 No se detectó un documento o especificación para establecer el cifrado dentro del aplicativo APP y el web services PQRSD.

 No se detectó de forma adecuada el manual correspondiente para realizar la instalación en caso de emergencias del aplicativo APP PQRSD.

 No se detectó comunicación cifrada entre el aplicativo APP PQRSD y el web services que realiza la comunicación entre el aplicativo WEB PQRSD.  No existe una base de conocimientos o blog que garantice la información y

resolución de errores previamente conocidos con el fin de manejar estándares de codificación frente a dichos errores que se puedan manejar de forma frecuente.

54

2 CONCLUSIONES

Al analizar la norma NIST 800-163 y caracterizar las vulnerabilidades que se pueden presentar en una aplicación móvil, las relacionadas con la integridad de la información son las más latentes a presentarse.

El desarrollo de App para organizaciones, debe ser validado de manera adecuada y cumpliendo cada uno de los procesos indicados por la Norma NIST 800-163 y por la guía indicada en este proyecto; pero una vez la App sea liberada y puesta en producción, se debe adicionalmente capacitar a los usuarios para que no incurran en cometer errores que puedan ocasionar fugas de información y las vulnerabilidades se puedan materializar.

La norma ISO 27001:2013, es un estándar a seguir en la implementación de la seguridad de la información, sin embargo a la hora de validar los controles relacionados a las aplicaciones móviles, no es tan específica y deja a interpretación del usuario final en buen proceder en este tipo de tecnologías.

Sin importar la cantidad de controles que la norma señale que deben existir, la actividad humana sobre los controles tiene gran influencia, ya que es una de las vulnerabilidades más atacadas.

55

Debe existir una relación costo beneficio al momento de implementar los controles que se crean necesarios para minimizar el riesgo de que las vulnerabilidades se

materialicen, pues no es óptimo establecer controles que afecten de manera significativa la inversión de las organizaciones.

Se desarrolla una guía bajo el apoyo de la norma NIST 800-163, donde se encuentran vulnerabilidades orientadas a las App, pero se deben tener presentes los repositorios donde se encuentran otra serie de vulnerabilidades, para poder tener un proceso de validación de las App sólido.

La guía propuesta, fue de buena aceptación en la entidad aplicada, no solo porque es un procedimiento más organizado y metódico, sino porque crea conciencia en la

administración de la seguridad de la información y a la misma entidad en procedimientos de calidad y validación periódicos sobre las tecnologías de información usadas en la organización.

Aplicar la guía desarrollada a una App permitió establecer la cantidad posible de vulnerabilidades en donde puede existir fuga de información o perdida de la misma, con el fin de identificar las recomendaciones sugeridas bajo la norma ISO 27001:2013.

56

3 RECOMENDACIONES

Es necesario realizar seguimiento por medio de Auditorías al proceso de validación de seguridad de la información en las aplicaciones móviles, ya que no basta solo con la

aplicación de la guía y determinar un nivel de seguridad aceptable, sino que con cada cambio, modificación de norma o simplemente por supervisión se debe mantener este seguimiento dentro del plan de auditoría.

La guía permite hacer una revisión inicial de las App, para determinar sus vulnerabilidades y los posibles controles a implementar, pero se debe tener en cuenta información adicional de repositorios donde existen otra serie de vulnerabilidades y recomendaciones ya definidas, con el fin de hacer una adecuada validación de la App y definir su viabilidad para que sea enviada a producción.

Tener presenta la norma NIST 800-163 donde se indica todo el proceso de validación de las App es fundamental para mejorar los procesos de envió a producción en las

organizaciones de dichas App.

Una vez se aplicó la guía para validarla, se encontró que el lenguaje utilizado en el cuestionario era muy amplio y confundía al usuario; se hicieron ajustes en las preguntas que presentaron dicha inconsistencia, y se recomienda para futuras adecuaciones tener presente el léxico hacia el usuario.

57

BIBLIOGRAFÍA

Agustín López Neira, J. R. (s.f.). ISO27000.ES. Obtenido de ISO27000.ES: http://www.iso27000.es

calidad, A. e. (2015). Seguridad de la información. Obtenido de QAEC:

http://www.aec.es/web/guest/centro-conocimiento/seguridad-de-la-informacion CVE - Common Vulnerabilities and Exposures. (2011). Common Vulnerabilities and

Exposures. Obtenido de Common Vulnerabilities and Exposures: https://cve.mitre.org/

David Galisteo Cantero, R. M. (s.f.). Man in the middle. Obtenido de Seguridad en TIC: http://ns2.elhacker.net/MITM.pdf

Deficición.MX. (12 de 10 de 2015). Deficición.MX. Obtenido de Deficición.MX: http://definicion.mx/proceso/

ESET. (2014). Guía de seguridad para usuarios de Smartphones. EUMED. (2015). Autenticación. Obtenido de EUMED:

http://www.eumed.net/cursecon/ecoinet/seguridad/autentificacion.htm Eumed.net. (01 de 10 de 2015). Eumed.net. Obtenido de Eumed.net:

http://www.eumed.net/cursecon/ecoinet/seguridad/autentificacion.htm

Galisteo Cantero, D., & Moya Reyes, R. (2009). Man in the Middle - Ataque y Detección. Gelbstein, D. (2011). Integridad de datos. Obtenido de ISACA:

http://www.isaca.org/Journal/archives/2011/Volume-6/Pages/Data-Integrity- Information-Securitys-Poor-Relation-spanish.aspx

58

Gelbstein, D. E. (2011). La integridad de los datos: el aspecto más relegado de la seguridad de la información. Isaca Journal, 6, 6. Obtenido de ISACA:

http://www.isaca.org/Journal/archives/2011/Volume-6/Pages/Data-Integrity- Information-Securitys-Poor-Relation-spanish.aspx

INTECO. (20 de Marzo de 2012). Estudio sobre seguridad en dispositivos móviles y Smartphones. Obtenido de www.incibe.es:

https://www.incibe.es/CERT/guias_estudios/Estudios//estudio_moviles_2C2011 Interactive Advertising Bureau - IAB. (30 de Septiembre de 2014). IV Estudio Anual

Mobile Marketing 2014. Obtenido de http://www.iabspain.net/wp-

content/uploads/downloads/2014/09/VI_Estudio_Anual_Mobile_Marketing_versio n_abierta1.pdf

IOACTIVE LABS. (8 de Enero de 2014). Servicios de Seguridad IOACTIVE. Obtenido de http://blog.ioactive.com/2014/01/personal-banking-apps-leak-info-through.html ITU. (agosto de 2009). Aplicaciones móviles. Obtenido de Unión Internacional de

Telecomunicaciones: https://www.itu.int/net/itunews/issues/2009/06/04-es.aspx Jaime, A. T. (2009). Desarrollo de Aplicaciones para dispositivos móviles bajo la

pplataforma Android de Google. tesis, Universidad Carlos III de Madrird, Madrid. Karpesky Lab Zao. (17 de Enero de 2014). Karpesky Lab. Obtenido de

https://blog.kaspersky.es/vulnerabilidades-en-las-apps-bancarias-de-ios/2148/ Kaspersky. (2015). Cifrado. Obtenido de Kaspersky:

59

Maulini R., M. (Marzo de 2013). Checklist de los procesos de autenticación e ingreso. Obtenido de www.e-securing.com: http://www.e-securing.com/novedad.aspx?id=89 Mcafee. (Febrero de 2015). http://www.mcafee.com. Obtenido de

http://www.mcafee.com/es/resources/reports/rp-quarterly-threat-q4-2014.pdf MITRE. (s.f.). Common Vulnerabilities and Exposures. Obtenido de MITRE:

http://makingsecuritymeasurable.mitre.org/docs/capec-intro-handout.pdf

National Vulnerability Database. (2014). National Vulnerability Database. Obtenido de National Vulnerability Database - NIST: https://nvd.nist.gov/

NIST. (01 de 10 de 2015). National Institute of Standar and Tecnology. Obtenido de http://scap.nist.gov/

NIST. (Febrero de 2015). Vetting the Security of Mobile Applications (SP 800-163). Obtenido de http://dx.doi.org/10.6028/nist.sp.800-163

Rúben, C. M. (s.f.). Tecnologías Moviles.

Rubio, D. (2012). Análisis De Seguridad De Aplicaciones Para Android. España. Salesforce . (2015). Entornos Sandbox. Obtenido de Salesforce :

https://help.salesforce.com/apex/HTViewHelpDoc?id=data_sandbox_environments. htm&language=es

SCAP. (2015). Security Content Automation Protocol . Obtenido de SCAP: http://scap.nist.gov/

Wordpress. (2013). https://protejete.wordpress.com. Obtenido de Géstión de riesgos en la seguridad informátca: