Los ciberdelincuentes están calientes en el rastro del dinero - y el camino está conduciendo directamente a aplicaciones móviles desprotegidas en las industrias fintech y bancarias. Según el Informe del Índice de Seguridad Móvil 2020 de Verizon, el 39% de las organizaciones encuestadas experimentaron un compromiso de seguridad que involucraba un dispositivo de seguridad móvil en 2020, frente al 33% en 2019 y el 27% el año anterior.
Ante la ineficacia de la seguridad perimetral tradicional para mantener a salvo las aplicaciones móviles utilizadas fuera del cortafuegos, las organizaciones están recurriendo a soluciones que protegen la aplicación, en lugar de la red. Estas soluciones de seguridad de aplicaciones pueden añadirse a las aplicaciones móviles para salvaguardar los datos almacenados en los dispositivos móviles y cumplir las normativas sobre privacidad de los datos de los consumidores, como GDPR, NY Shield o CCPA. También evitan que las aplicaciones vulneradas se conviertan en un vector de ataque a los recursos dentro de la infraestructura corporativa más amplia.
Las soluciones de seguridad para aplicaciones impiden a los atacantes realizar ingeniería inversa en las aplicaciones móviles para encontrar vulnerabilidades en el código y explotarlas para robar datos o acceder a la red corporativa. Ofrecen protección en tres niveles:
- La ofuscación del código impide el análisis estático de su estructura.
- Las comprobaciones del entorno garantizan que el código se ejecuta en un entorno seguro y fiable, bloqueando los intentos de analizar dinámicamente el funcionamiento del código.
- La tecnología antimanipulación impide que los atacantes modifiquen el código de la aplicación para realizar actividades maliciosas.
Aunque es evidente que la seguridad de las aplicaciones cubre una importante laguna de seguridad, es posible que su organización se pregunte cómo elegir al proveedor adecuado. Si todavía no está seguro de si crear la seguridad de las aplicaciones internamente o subcontratarla, nuestro nuevo libro electrónico ofrece listas de pros y contras, listas de comprobación de cumplimiento y consideraciones:
Ebook
Guía de planificación esencial para garantizar las solicitudes de financiación
Si está listo para investigar a los proveedores y poner en marcha el proceso, añadir estas diez preguntas a sus solicitudes de propuestas de seguridad de aplicaciones le permitirá garantizará que su solución ofrezca el máximo nivel de seguridad de forma oportuna y con un impacto impacto mínimo en sus procesos de desarrollo de aplicaciones.
1. ¿Proporcionan seguridad a las aplicaciones de Android e iOS para evitar que sean modificadas mediante ingeniería inversa?
Si el código de una aplicación no está debidamente reforzado, los piratas informáticos pueden descompilar la aplicación, encontrar sus puntos débiles y crear un ataque. Una protección adecuada del código impide que una aplicación móvil se convierta en un vector de ataque.
Un puñado de técnicas específicas protegen las aplicaciones de la ingeniería inversa y la modificación, como las comprobaciones del entorno, la tecnología antimanipulación y la ofuscación. Siempre es mejor que la solución de un proveedor implemente varios métodos de protección contra estas amenazas.
2. ¿Son compatibles las nuevas versiones de Android e iOS antes de que se publiquen? Por favor, indique su cadencia de lanzamiento en las notas.
Si una nueva versión de Android o iOS está disponible para los usuarios finales antes de que el software de protección de aplicaciones haya sido modificado para abordarla, la protección no funcionará con la nueva versión del sistema operativo. Eso significa que cuando Apple o Google saquen una actualización, un gran porcentaje de su base de usuarios quedará aislado.
Debe asegurarse de forma proactiva de que la protección funciona con cada nueva versión antes de que los usuarios reciban las actualizaciones del sistema operativo. Manténgase al día buscando un proveedor que proporcione versiones frecuentes que se adapten a estos desarrollos. Lo ideal es buscar un proveedor que proporcione actualizaciones al menos trimestralmente.
3. ¿Su protección está disponible como herramienta local que podamos ejecutar en nuestro entorno de desarrollo?
Muchas organizaciones se sienten más seguras si las herramientas que utilizan para ofrecer protección de aplicaciones se ejecutan in situ Una solución que ofrezca herramientas in situ permite a estas organizaciones mantener el control sobre sus herramientas de seguridad de aplicaciones para que ninguna aplicación o dato salga de su entorno.
4. ¿Su protección está disponible como servicio en la nube que podamos utilizar?
Mientras que algunas organizaciones prefieren el control de una implantación in situ, otras pueden exigir las ventajas de una solución en la nube. Las soluciones en la nube permiten una implantación más rápida, garantizan que siempre se dispone de la última versión sin necesidad de actualizarla, y funcionan con el hardware del proveedor en lugar de exigirle que compre, implante, configure, gestione, mantenga y actualice el software, el hardware y un centro de datos propio.
Un proveedor que ofrezca tanto una solución local como una basada en la nube le permitirá elegir el modelo de implantación que mejor se adapte a su empresa y cambiar de uno a otro a medida que ésta evolucione.
5. ¿Cuáles son las principales características o innovaciones que distinguen su producto de los de la competencia?
Descubrir los elementos diferenciadores de un proveedor debería ser clave a la hora de solicitar ofertas de seguridad para aplicaciones. Está claro que para un producto de protección de aplicaciones, el nivel de seguridad que el producto puede proporcionar es primordial. Igualmente importante es que esa seguridad sea fácil de aplicar. La facilidad de uso permite al equipo de desarrollo dedicar menos tiempo a la seguridad y más al desarrollo de aplicaciones. Una herramienta de este tipo permitirá mejorar la seguridad y agilizar el proceso de desarrollo del producto.
6. ¿Se puede aplicar la protección sin necesidad de modificar el código? ¿Hay alguna excepción?
Muchas soluciones de seguridad integradas en la aplicación imponen restricciones a la forma en que los desarrolladores de aplicaciones realizan su codificación para aprovechar las ventajas de la solución. Una solución sin código no sólo puede simplificar el uso, sino que también puede ofrecer a los desarrolladores la flexibilidad necesaria para trabajar como deseen. Dicha flexibilidad permite a los desarrolladores proteger las aplicaciones y crear las capacidades que necesitan, al tiempo que los mantiene contentos y a bordo con la solución elegida.
Por supuesto, la mayoría de los entornos no son totalmente de código cero. Siempre hay excepciones. Por ejemplo, sus desarrolladores pueden querer crear una respuesta personalizada a una amenaza concreta en lugar de aceptar la reacción por defecto de la solución. La solución ideal dará a los desarrolladores la opción de crear respuestas personalizadas, según sea necesario.
7. ¿Proporcionan formación sobre el uso de su solución?
Algunos proveedores de software de protección de aplicaciones no incluyen formación con sus productos. Se limitan a venderle el producto y luego le proporcionan un enlace para descargar el manual. Aunque este enfoque puede ser menos costoso al principio, puede acarrear costes adicionales e inesperados más adelante, ya que puede llevarle algún tiempo aprender a utilizar el software. Otra posibilidad es que tenga que pagar más por la formación. Un proveedor que incluya la formación en el coste del software y le facilite todo lo necesario para conseguirlo.
8. Facilite información detallada sobre el servicio de asistencia técnica que presta.
El soporte técnico debe ser de alta calidad y estar disponible cuando y donde lo necesite. Lo ideal es que el proveedor ofrezca atención al cliente 24 horas al día, 7 días a la semana, 365 días al año en todo el mundo, que disponga de agentes con amplia experiencia en protección de aplicaciones que puedan agilizar la asistencia para la implantación, integración, pruebas y mantenimiento, así como una elevada puntuación en satisfacción del cliente. Pregunte si el proveedor tiene premios a la excelencia en el servicio al cliente que demuestren sus afirmaciones.
9. ¿Se ha utilizado su protección en soluciones de seguridad certificadas o evaluadas por laboratorios de seguridad independientes? En caso afirmativo, indique los detalles.
Dado que la naturaleza de la seguridad de las aplicaciones es compleja y de bajo nivel, a menudo puede resultar difícil validar las afirmaciones de un proveedor sobre la fortaleza y solidez de sus soluciones. Esto significa que los clientes que necesitan seguridad para sus aplicaciones pueden acabar simplemente eligiendo al proveedor que les cuente la mejor historia.
Afortunadamente, evaluadores externos con un alto nivel de experiencia proporcionan evaluaciones objetivas que puede utilizar para comparar la seguridad ofrecida por distintos proveedores. Organizaciones como Mastercard y Visa certifican las aplicaciones de pago por móvil que operan en sus redes. Esto requiere niveles de seguridad extremadamente altos que deben ser certificados por laboratorios independientes autorizados.
Tenga en cuenta que estas organizaciones no pueden certificar que la herramienta en sí sea segura. Verifican la seguridad de la aplicación cuando utiliza la herramienta. Por lo tanto, es importante averiguar si el proveedor tiene varios clientes cuyas aplicaciones (protegidas con su herramienta) han sido certificadas por una de estas organizaciones. Un proveedor que no tenga constancia de haber pasado y superado estas revisiones de seguridad independientes debería hacer saltar las alarmas.
10. ¿Cuánto tiempo se tarda en desplegar el sistema?
El tiempo es oro. Si sus desarrolladores dedican demasiadas horas a integrar protecciones de seguridad en su producto, es tiempo que no se emplea en crear nuevas funciones que añadan valor para sus clientes. Por tanto, pregunte a su proveedor cuánto tiempo suele tardar en añadir la solución a su aplicación. Recomendamos que la solución tarde sólo un día por aplicación.
Preguntarse "¿cómo de seguro?" no es suficiente
Como se puede ver, "¿cómo de seguro?" es sólo el principio de las preguntas que necesita responder al seleccionar una solución de protección integrada en la aplicación. Las respuestas de un proveedor a estas preguntas de la RFP deben proporcionarle una comprensión mejor y más completa de sus soluciones, incluidas sus capacidades, cadencia de actualización, diferenciadores, implementación, soporte, formación y certificación.
Este es el primer paso para fijar las expectativas y garantizar el éxito de la relación laboral con su proveedor. ¿No está seguro de cómo trazar el camino a seguir? Todavía está decidiendo entre crear la seguridad de la aplicación internamente o subcontratarla. Lea nuestro eBook, "The Essential Planning Guide for Securing Financial Applications" para obtener listas de pros y contras, consideraciones y listas de comprobación del cumplimiento.
Ebook
Guía de planificación esencial para garantizar las solicitudes de financiación
Si se pregunta cómo responde Verimatrix a estas preguntas sobre nuestras soluciones de blindaje de aplicaciones, póngase en contacto hoy mismo para obtener una demostración y reservar una consulta con un especialista en seguridad.
