jueves, 14 de enero de 2016

Seguridad móvil


Cuando hablamos de seguridad móvil tendemos a pensar en la seguridad de los dispositivos móviles tales como iPads, Android, Blackberry, etc. Sin embargo, hay un componente que los profesionales de seguridad a veces no consideran y que es tan importante como la seguridad del dispositivo en particular. Este componente es el desarrollo de aplicaciones móviles. A pesar de la explosión en el desarrollo de aplicaciones móviles, la experiencia en el campo es más bien limitada dada la novedad del tema.  Como consecuencia tanto desarrolladores, programadores y profesionales de seguridad informática apenas están empezando a analizar los requerimientos que una aplicación de este tipo necesita. 

La siguiente historia refleja los problemas que una organización puede enfrentar cuando decide desarrollar una aplicación móvil, o App como es conocida. Esta compañía decidió usar un proveedor tradicional que le había dado muy buenos resultados en previas aplicaciones web. La empresa ya tenía una aplicación móvil de uso interno que su solución BYOD protegía. 

Esta nueva aplicación móvil estaba pensada para sus actuales y futuros clientes, y se calculaba que un poco más de un millón de usuarios podrían bajarla de las tiendas de aplicaciones Apple y Google.  La agenda para lanzar la aplicación era muy apretada, y por esa razón el proveedor decidió usar el acercamiento Agile, lo cual facilita la rapidez de desarrollo. Sin embargo, el cliente no estaba familiarizado con este acercamiento y prefería el desarrollo tradicional pero ante la presión del tiempo se acordó usar la propuesta del proveedor. 

Al inicio del proyecto las cosas marcharon sin mayor contratiempo, y el proveedor cumplió con los diversos tiempos acordados. Algunos requerimientos que no se podían entregar fueron posponiéndose de común acuerdo. Luego estos mismos retrasos fueron acumulándose y el cliente decidió cambiar el alcance del proyecto a uno menos ambicioso. A pesar de ese cambio, los problemas empezaron cuando el departamento interno de calidad de servicio empezó a realizar pruebas de calidad en la aplicación. Algunas de las esperadas características no funcionaban bien. En el caso de la versión Android, la respuesta era diferente según el dispositivo. Aunque la versión del sistema operativo Android era la misma, el funcionamiento no era igual en diferentes marcas de dispositivos. Esto obligó a concentrarse en iOS. Por fortuna el cliente observaba que su sitio móvil lo visitaban en su mayoría usuarios iOS, y era lógico dedicar energías a un App iOS. 

Quienes tienen experiencia en manejo de proyectos saben muy bien que estos continuos cambios en el alcance y características esperadas de un proyecto puede ser fatales.  Pero la historia no termina ahí. 

Como es usual, el departamento de seguridad tal cual niña fea fue invitado tarde a la fiesta. Y ahí empezó el verdadero retraso.