Habiendo implementado teléfonos móviles y tabletas corporativos, tenemos MDM implementado que nos permite implementar aplicaciones de forma centralizada para todos nuestros usuarios, y podemos realizar borrado remoto en caso de pérdida de un dispositivo, etc., sin embargo, para que el dispositivo se pueda De cualquier uso real para los usuarios, también necesitan poder instalar aplicaciones a su propia discreción. Si bien podemos controlar qué aplicaciones se instalan con el software MDM, no tenemos una manera real de identificar qué aplicaciones, si las hay, presentan un riesgo potencial alto para nuestros datos corporativos.
Para la mayoría de las aplicaciones es muy difícil de determinar:
-
Si los datos se almacenan de forma remota "en la nube" en un servidor administrado por el proveedor de la aplicación, o si todos los datos se almacenan en el propio dispositivo;
-
Si los datos enviados / recibidos se transmiten de forma segura entre el dispositivo y las ubicaciones remotas mediante una implementación segura conocida de SSL;
-
Las ubicaciones geográficas y las compañías de alojamiento donde se almacenan o procesan los datos de forma remota, junto con las reputaciones conocidas de seguridad de datos, listas locales, aplicación activa, etc.
-
Si la aplicación realmente ha sido publicada por la compañía, dice que ha sido;
-
¿En qué compañía se ha escrito el código fuente y cuál es su reputación para el desarrollo y las pruebas seguras?
-
¿Alguna compañía de seguridad de terceros ya ha analizado la aplicación y le ha otorgado una calificación o revisión particular?
La superficie de ataque se convierte en una gran incógnita cuando permitimos que los usuarios usen aplicaciones móviles y los publicadores de aplicaciones rara vez divulgan este tipo de información.
Para dar un ejemplo, hemos identificado una aplicación de escaneo de tarjetas de visita que almacena sus datos en servidores de Medio Oriente, que se encuentran fuera de la UE, haciendo uso de ellos en ciertas circunstancias ilegal bajo la ley de protección de datos británica, y si se usa para En los contactos comerciales, las autoridades de esa región podrían utilizar la inteligencia competitiva en la que se aplican leyes diferentes.
Aunque a menudo no es legal utilizar un software de ingeniería inversa, no puedo creer que alguien realmente tenga tiempo para hacer esto con cada aplicación que se presente, por lo que debe haber un enfoque realista que no se base únicamente en conjeturas.
¿Alguien sabe de algún servicio o aplicación alojados que ofrezca algún tipo de verificación de aplicaciones para verificar aplicaciones de terceros o una base de datos con este tipo de información? Si bien deseamos adoptar la tecnología y usar las grandes aplicaciones disponibles para fines comerciales genuinos, debemos asegurarnos de que lo estamos haciendo dentro de los límites de la ley, el cumplimiento contractual, etc. ¿Cómo abordan este problema otros profesionales de la seguridad de la información? p>