Usted está aquí:
Controles de seguridad de aplicaciones móviles altamente recomendados
Este conjunto de controles aplica un entorno móvil endurecido.
Nombre de control
Controles de seguridad de aplicaciones móviles altamente recomendados
Configuración recomendada
- Anclaje de certificado de servidor de autenticación - Seleccione "Activo"
- Anclaje de certificado de recurso - Seleccione "Activo"
- Requerir contraseña de dispositivo - Seleccione "Activo" y Nivel de gravedad.
- Bloquear 3D Touch - Seleccione "Activo"
- Bloquear micrófono - Seleccione "Activo"
- Bloquear cámara: Seleccione "Activo"
- Bloquear contactos: Seleccione "Activo"
- Bloquear calendario: Seleccione "Activo"
- Esquema de URI del navegador móvil - Seleccione "Activo" y especifique el valor
- Controlador de aplicación de llamada telefónica: Seleccione "Activo" y especifique el valor
- Bloquear captura de pantalla - Seleccione "Activo"
- Registrar correo electrónico: Seleccione "Activo"
- Registrar llamada telefónica: Seleccione "Activo"
- Registrar SMS: Seleccione "Activo"
- Bloquear teclado personalizado - Seleccione "Activo"
- Activar estrictos controles de protección contra fugas de datos: seleccione "Activo"
Descripción general de control
Este conjunto de control aplica un entorno móvil endurecido obligando al anclaje de certificados criptográficos, la autenticación de dispositivos locales y estrictas restricciones a nivel de hardware para evitar la exfiltración de datos no autorizada.
Riesgo de seguridad si no está configurado
Sin estas políticas, los dispositivos móviles se vuelven vulnerables a ataques de intermediarios a través del tráfico de red interceptado y el robo de datos local si el dispositivo se pierde, se roba o se compromete por aplicaciones externas maliciosas.
Escenarios de amenazas
Un atacante utiliza una red inalámbrica comprometida para interceptar el tráfico de aplicaciones desancladas o explota un teclado personalizado deshonesto para registrar pulsaciones de teclas y credenciales confidenciales directamente desde la interfaz móvil.
Intervalo de puntuación de CVSS estimado
Alto (7,0–8,9).
Consideraciones sobre el impacto del riesgo
La ausencia de estas protecciones permite interceptar el tráfico cifrado, omitir la seguridad de dispositivos locales y la transferencia no autorizada de datos corporativos a través de funciones de hardware como la cámara, el micrófono y el portapapeles.
Riesgo más alto cuando
Los empleados utilizan dispositivos personales no gestionados para acceder a información confidencial del cliente o cuando la aplicación móvil se utiliza en entornos de red pública de alta amenaza.
Bajo riesgo cuando
Si los dispositivos móviles ya están gestionados por una solución de gestión de movilidad empresarial sólida que aplica el cifrado de todo el sistema y las funciones de borrado remoto.
Consideraciones comerciales y de integración
La implementación de estos estrictos controles puede afectar a la experiencia del usuario desactivando funciones comunes como copiar-pegar o teclados externos, posiblemente requiriendo formación especializada para trabajadores móviles.
Remediación recomendada
Vaya a la sección Seguridad móvil en Configuración y active las políticas específicas para anclaje de certificados, contraseñas de dispositivos y protección contra fugas de datos (por ejemplo, Bloquear controles) para la aplicación móvil. Cuando corresponda, seleccione el nivel de gravedad apropiado para la acción requerida (por ejemplo, crítico, error, advertencia, información).
Directrices de revisión del estado de seguridad
Security Health Review identifica estas políticas como altamente recomendadas dependiendo del caso de uso de la aplicación móvil ya que estos controles ayudan a garantizar que la aplicación permanece segura independientemente del estado del dispositivo subyacente o la integridad de la red.
