El uso de SIG móvil ofrece flexibilidad y proporciona una funcionalidad muy beneficiosa como parte de un SIG corporativo. La seguridad juega un papel primordial a la hora de asegurar que se mantiene la confidencialidad, integridad y disponibilidad de los datos en un entorno móvil en evolución. En este tema se describen algunas de las recomendaciones de mejores prácticas para reducir riesgos específicos de la aplicación móvil como parte de un SIG corporativo.
A continuación, se enumeran una serie de recomendaciones y recursos generales de seguridad móvil para mejorar la seguridad de las implementaciones móviles. Para obtener una lista exhaustiva de los riesgos de las aplicaciones móviles y estrategias para reducirlos, consulte OWASP Mobile Top 10.
Una solución de administración de dispositivos móviles (MDM) corporativa es un excelente punto de partida para un planteamiento móvil más seguro. La MDM es la administración de dispositivos móviles de una organización. Normalmente se aplica con software que permite la centralización y la optimización de la administración de la funcionalidad y de la seguridad para dispositivos móviles. El software normalmente incluye un componente de servidor que envía comandos de administración a dispositivos móviles que tienen un componente de cliente para recibir y ejecutar los comandos de administración.
Una solución de MDM normalmente incluye las siguientes funcionalidades:
- Monitorización, reinicio y cifrado de dispositivos
- Aplicación de políticas de contraseñas, restablecimiento de contraseña
- Ajustes predefinidos de wifi/configuración de una red privada virtual (VPN)
- Eliminar capacidades de bloqueo y eliminación
- Aplicación de configuración de copia de seguridad
- Detección de fuga
La administración de aplicaciones móviles (MAM) proporciona un nivel adicional de seguridad para dispositivos móviles; es el uso de software y servicios que aprovisionan y controlan el acceso de aplicaciones individuales en dispositivos. Permite a los administradores tener un control más detallado a nivel de aplicación para administrar y proteger los datos de la aplicación. Una solución de software de MDM puede incluir funcionalidades de MAM como parte de su función.
Esri ha observado que los productos de MAM centrados en MDM que requieren la reconstrucción de la aplicación con el Kit de desarrollo de software (SDK) MDM normalmente no funcionan bien. Esri tiene algunos clientes que utilizan productos de MAM que no requieren la incorporación de un SDK MDM. Esri proporcionará soporte para las versiones publicadas de la tienda, enumeradas solo dentro del soporte de ciclo de vida del producto.
Para obtener más información, el equipo de Seguridad y privacidad del software de Esri ha publicado un documento técnico titulado Patrones de implementación móviles y seguros de ArcGIS para servir de guía a administradores de TI y administradores de SIG a la hora de implementar un SIG corporativo con un componente de campo móvil.
Autenticación
La autenticación implica verificar las credenciales de un intento de conexión para confirmar la identidad del cliente. Asegúrese de que la autenticación para acceder a los servicios SIG está activada. Hay varias opciones posibles específicas para móviles en función de los recursos disponibles en su empresa, como, por ejemplo, si hay una puerta de enlace de seguridad móvil o si hay una red privada virtual (VPN) existente que puedan aprovechar los dispositivos móviles. Incluyen las siguientes:
- Autenticación integrada de Windows (IWA): utiliza Kerberos (o si no está disponible, NTLM), que ofrece una experiencia de inicio de sesión único en un entorno basado en Windows.
- Autenticación basada en token: utiliza tokens de ArcGIS, que ofrece autenticación en todo ArcGIS.
- Específica de la organización que utiliza SAML 2.0 u OpenID Connect: ArcGIS Online o ArcGIS Enterprise permite a los clientes utilizar SAML 2.0 u OpenID Connect para proporcionar una experiencia de inicio de sesión único web.
Autorización
La autorización es el proceso mediante el cual se verifican los permisos del cliente antes de acceder a un recurso o de realizar una función específica. A los usuarios se les deben asignar privilegios basados en el rol que desempeñan y en el principio de privilegios mínimos. Para uso móvil, puede hacerse en distintos niveles:
- Administrar adecuadamente la autorización en los roles disponible en ArcGIS como, por ejemplo, administrador, publicador y usuario
- En el nivel EMM, usar el aprovisionamiento y la autorización a nivel de aplicación de detalle menos preciso
Cifrado
El cifrado es el proceso de transformación de los datos de modo que sean ilegibles para los que no tienen acceso a la clave de descifrado.
- Cifre los datos en tránsito que requieran HTTPS en todo su SIG corporativo.
- Cifre los datos sin actividad en el dispositivo móvil. Se puede aplicar técnicamente utilizando lo siguiente:
- Una MDM corporativa
- MS Exchange ActiveSync si se utiliza Microsoft Exchange
Registro y auditoría
El registro implica grabar los eventos de interés de un sistema. La auditoría es la práctica de inspeccionar esos registros para asegurarse de que el sistema funciona de la forma adecuada o para dar respuesta a una pregunta acerca de una transacción concreta que se ha producido. El registro y la auditoría se pueden facilitar en los siguientes niveles para aplicaciones móviles:
- A nivel del dispositivo, tal y como los facilita la solución de administración de movilidad corporativa
- En el nivel de la aplicación, mediante el registro de transacciones específicas del usuario
Estos resultados deben incluirse en una solución corporativa de gestión de información de seguridad y eventos (Security Information and Event Management, SIEM) para facilitar la correlación automática de los datos registrados con el fin de contribuir a la detección de actividades malintencionadas.
Endurecimiento
El endurecimiento es el proceso de configurar los sistemas de forma segura para reducir tantos riesgos de seguridad como sea posible. La superficie de ataque se puede minimizar para las implementaciones móviles de la siguiente forma:
- Reforzando los extremos de servidor
- Utilice una solución de administración de aplicaciones móviles (MAM) para restringir las aplicaciones.
- La seguridad del servidor se identifica como el riesgo móvil número uno según OWASP Mobile Top 10 (10 riesgos móviles principales de OWASP).
- Siga las recomendaciones estándar de endurecimiento de la seguridad para servidores que cumplan las mejores prácticas del sector.