jueves, 12 de mayo de 2016

Seguridad, un incómodo invitado. Lecciones de una aplicación móvil III


El caso descrito en las previas semanas resalta los obstáculos que el desarrollo de una aplicación móvil puede tener. Este caso de la vida real tiene otras implicaciones pero hay algunos que vale la pena resaltar. Como todo desarrollo de software, el proyecto tiene que involucrar a todas las partes interesadas desde el principio. Esto retrasa el arranque del proyecto pero es vital para el éxito de una empresa. Segundo, cuando una organización decide que sus datos o información crítica pueden ser accedidos remotamente usando dispositivos no sancionados por la organización el criterio de seguridad y protección es bien diferente.
 
Y este nuevo criterio y las presunciones que se asumen difieren a los de una aplicación web tradicional. En muchas ocasiones los departamentos de sistemas se pierden en los detalles técnicos sin considerar la verdadera necesidad de la organización. Hay muchas soluciones BYOD en el mercado que cumplen sus funciones a cabalidad, pero estas herramientas de software no proveerán la protección necesaria para información que pueda ser accedida por clientes o socios comerciales y en cuyos dispositivos la herramienta BYOD no aplica. 

No es necesario ser un experto desarrollador o un arquitecto hábil para orientarse en este nuevo ámbito. El personal del proyecto debe estar familiarizado con la legislación de privacidad donde la aplicación se vaya a utilizar. La legislación norteamericana de Estados Unidos respecto a privacidad de información es menos restrictiva que la europea y bien diferente de la de varios países latinoamericanos. Este aspecto es muy importante a la hora de tomar decisiones que pueden afectar la arquitectura de la aplicación. 

Hay otras preguntas bien importantes respecto a la validación del usuario. ¿Serán los usuarios validados por la organización directamente, o la aplicación aceptara validación de terceros vía Open ID o similares? 

Sobre todo es importante es necesario tener claridad acerca de la información que la organización desea hacer pública o accesible por dispositivos que no controla. Y esto último es mucho más difícil porque la organización debe clasificar y definir que desea proteger.  Y eso, aunque irónico, no es claro muchas veces.