Controles de seguridad de aplicaciones móviles recomendados encarecidamente

Nombre de control

Controles de seguridad de aplicaciones móviles recomendados encarecidamente

Configuración recomendada

• Anclaje de certificado de servidor de autenticación: seleccione "Activo"
• Anclaje de certificado de recurso: seleccione "Activo"
• Requerir contraseña de dispositivo: seleccione "Activo" y Nivel de gravedad.
• Bloquear 3D Touch: seleccione "Activo"
• Bloquear micrófono: seleccione "Activo"
• Bloquear cámara: seleccione "Activa"
• Bloquear contactos: seleccione "Activo"
• Bloquear calendario: seleccione "Activo"
• Esquema de URI del navegador móvil: seleccione "Activo" y especifique el valor
• Controlador de aplicación de llamada telefónica: seleccione "Activo" y especifique el valor
• Bloquear captura de pantalla: seleccione "Activo"
• Registrar email: seleccione "Activo"
• Registrar llamada telefónica: seleccione "Activo"
• Registrar SMS: Seleccione "Activo"
• Bloquear teclado personalizado: seleccione "Activo"
• Activar controles de protección contra fugas de datos estrictos: seleccione "Activo"

Descripción general de control

Este conjunto de control aplica un entorno móvil endurecido obligando al anclaje de certificados criptográficos, la autenticación de dispositivos locales y estrictas restricciones a nivel de hardware para evitar la exfiltración de datos no autorizada.

Riesgo de seguridad si no está configurado

Sin estas políticas, los dispositivos móviles se vuelven vulnerables a ataques de intermediarios a través del tráfico de red interceptado y el robo de datos locales si el dispositivo se pierde, se roba o se ve comprometido por aplicaciones externas maliciosas.

Escenarios de amenazas

Un atacante utiliza una red inalámbrica comprometida para interceptar el tráfico de aplicaciones no ancladas o explota un teclado personalizado erróneo para registrar pulsaciones de teclado y credenciales confidenciales directamente desde la interfaz móvil.

Intervalo de puntuaje de CVSS estimado

Alto (7,0 a 8,9).

Consideraciones de impacto de riesgo

La ausencia de estas protecciones permite la interceptación del tráfico cifrado, el omisión de la seguridad de dispositivos locales y la transferencia no autorizada de datos corporativos a través de funciones de hardware como la cámara, el micrófono y el portapapeles.

Mayor riesgo cuando

Los empleados utilizan dispositivos personales no gestionados para acceder a información confidencial del cliente o cuando la aplicación móvil se utiliza en entornos de red pública de alta amenaza.

Bajo riesgo cuando

Si los dispositivos móviles ya están gestionados por una solución de gestión de movilidad empresarial sólida que aplica el cifrado de todo el sistema y las funciones de borrado remoto.

Consideraciones de negocio e integración

La implementación de estos estrictos controles puede afectar a la experiencia del usuario desactivando funciones comunes como copiar-pegar o teclados externos, lo que podría requerir capacitación especializada para trabajadores móviles.

Remediación recomendada

Vaya a la sección Seguridad móvil en Configuración y active las políticas específicas para anclaje de certificados, contraseñas de dispositivos y protección contra fugas de datos (por ejemplo, Bloquear controles) para la aplicación móvil. En su caso, seleccione el nivel de gravedad apropiado para la acción requerida (por ejemplo, crítico, error, advertencia, información).

Directrices de revisión del estado de seguridad

Security Health Review identifica estas políticas como muy recomendadas dependiendo del caso de uso de la aplicación móvil ya que estos controles ayudan a garantizar que la aplicación permanece segura independientemente del estado del dispositivo subyacente o la integridad de la red.