Não é novidade que muitas corporações correm contra o tempo para desenvolver soluções para smartphones e tablets buscando aprimorar a experiência para o cliente, ganhar novos canais de relacionamento e oferecer o ambiente mais dinâmico para os funcionários.
A demanda por essas aplicações se desenvolve rapidamente, mas, infelizmente, os riscos associados com aplicações móveis são diferentes dos enfrentados por softwares típicos.
Os gerentes, de negócios e de TI, envolvidos com o projeto devem se certificar de que os dados dos clientes não estarão vulneráveis por furos de segurança encontrados por ataques externos. Nessa etapa, devem levar em consideração oito questões centrais.
1 – Qual a diferença entre software móveis e tradicionais em se tratando de segurança?
O software móvel pode estar do lado do cliente, muitas vezes em dispositivos modificados, como é o caso de iPhones e iPads que passaram por jailbreak, o que significa que o código pode ser analisado com engenharia reversa. Com isso, a segurança deve ser trabalhada em outras camadas.
2 – Como os aplicativos móveis interagem com os servidores internos?
Muita da atenção e até da cobertura jornalística em se tratando de mobilidade é a segurança focada no dispositivo. Na verdade, a maior parte do risco reside na interação entre os dispositivos com servidores internos e externos. Um aparelho desbloqueado pode ajudar um criminoso virtual a identificar para quais servidores ele envia resposta. Com isso, o servidor na ponta do processo de mobilidade deve estar preparado para resistir a esses ataques.
3 – Há talentos internos para gerenciar esse risco?
Desenvolvedores de software para mobilidade, mesmo com pouca experiência, são muito procurados por líderes empresariais interessados em montar uma boa equipe na área de desenvolvimento para dispositivos móveis. As empresas devem se preocupar mais em quantificar o conjunto de habilidades que a equipe reúne e buscar profissionais nas comunidades que reúnem especialistas em software móvel para contar com um desenvolvimento seguro.
4 – Os desenvolvedores de código para mobilidade entendem os conceitos de segurança mais ou menos do que os outros desenvolvedores?
Infelizmente, para muitos casos a resposta é que os especialistas em software móvel entendem menos de segurança. Muitos dos talentos desse mercado emergente vêm de ambientes móveis e não estão acostumados com a forte segurança dos que constroem softwares tradicionais. A situação pode piorar com desenvolvedores que não têm familiaridade com ambientes móveis, aumentando as chances de erros.
5 – Há a certeza de que informações confidenciais do cliente não permanecerão no dispositivo após o fim da sessão?
Os desenvolvedores de softwares devem escrever códigos que impedem a permanência de dados confidenciais no equipamento após o encerramento de um aplicativo ou browser. A organização, por sua vez, deve se acostumar a manter conhecimento sobre sistemas operacionais e browsers, conhecendo suas fraquezas e pontos fortes.
6 – Com quais processos a empresa conta para responder uma situação de crise, na qual haja vazamento de dados associado a uma aplicação móvel?
A empresa deve ter planos para responder a esse tipo de questão associado a dispositivos móveis. É recomendável fazer um estudo para comparar condutas de concorrentes, avaliar casos e se preparar para o pior. Cabe também outra pergunta: a empresa está preparada para puxar a tomada da infraestrutura para mobilidade se uma vulnerabilidade vier à luz?
7 – Que organização (companhia, provedor de serviços, fornecedor de sistema operacional móvel) está à frente da segurança?
Dadas as diversas questões relacionadas à arquitetura, se uma brecha ocorre quem é responsável por qual aspecto do ambiente, seja dispositivo, sistema operacional ou aplicação? Entender esse ecossistema ajuda na melhor gestão de incidentes de segurança com aplicativos móveis.
8 – Quais são as abordagens estruturadas de desenvolvimento para a criação de aplicações mais seguras?
As abordagens para a construção de aplicações móveis mudaram, dada a fraqueza do ambiente móvel? Quais são os padrões que a empresa possui para os códigos? Como se garante esses padrões e como eles são conferidos? Eles são checados sempre ou em somente em determinadas versões? O desenvolvimento de software deve estar dentro de padrões muito bem controlados, além de sofrerem atualizações constantes, em razão da crescente complexidade das ameaças associadas com aplicações móveis.