Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Defensa como requisito en un nuevo entorno de SOA móvil

La seguridad debe construirse desde el dispositivo móvil hasta la aplicación de escritorio, no sólo en la interfaz basada en web.

Mientras que nuevas tecnologías, como las nubes híbridas, soluciones de datos grandes, plataformas móviles y herramientas de código abierto se convierten en algo común en los sitios de trabajo, los profesionales de TI de todo tipo debe seguir siendo diligentes en mantener la seguridad de sus sistemas. 

En tanto las organizaciones exponen un número creciente de aplicaciones, servicios, datos y otros recursos en un mundo cada vez más interconectado, los departamentos de TI se descubren con menos rigidez en el control sobre sus sistemas. Simples reglas de gobierno no son suficientes para mantener la seguridad de los datos, si no existe la capacidad o la autoridad para hacerlas cumplir. La solución es empezar a construir la seguridad desde la arquitectura y las aplicaciones, y hacerlo correctamente desde el principio. Eso significa hacerlo en todas partes, desde el dispositivo móvil hasta la aplicación de escritorio, no sólo en la interfaz basada en web que ha sido históricamente el mayor riesgo para la seguridad.

Fácil acceso se traduce en problemas

La movilidad ha creado problemas de seguridad que los diseñadores simplemente no están tomando en cuenta. Matt Brasier de C2B2 Consulting, coautor del Oracle SOA Suite 11g Performance Cookbook, señala dos factores que están elevando los riesgos. En primer lugar, escribir aplicaciones se ha convertido en algo muy fácil –así que los hackers están teniendo un día de campo. En segundo lugar, las organizaciones no tienen tanto control sobre los consumidores de sus servicios. "Hay que ser mucho más cuidadosos con la programación y el diseño defensivo de su arquitectura y aplicaciones en estos días. Incluso si usted no está exponiendo una aplicación a través de un servicio web público, si la información está en una página web todavía hay riesgos. Alguien por ahí escribirá una aplicación móvil que puede raspar el HTML y extraer los datos", dijo Brasier. Por otra parte, la propia interfaz de móvil no es necesariamente algo sobre lo que se tiene control. Podría ser un componente de terceros. Esto significa que usted tiene que construir la seguridad en esos aspectos del recurso sobre el que tiene control.

Pocas empresas están ejerciendo precaución

Godfrey Nolan, autor de Decompiling Android, dice que su firma se especializa en demostrar lo fácil que es romper un APK de Android. Hay un montón de herramientas de des compilación disponibles que cualquier persona puede tener en sus manos. Estas herramientas pueden fácilmente aplicar ingeniería inversa de la APK y utilizar la información almacenada en formato de texto plano, la que puede incluir datos sensibles como nombres de usuario y contraseñas, para causar estragos en el backend empresarial de una organización. "Nuestro equipo ha descargado y probado alrededor de 100 aplicaciones. Sólo una de ellas fue protegida adecuadamente con código consciente de la seguridad", dijo Nolan. Nolan recomienda el uso de herramientas como HoseDex2Jar para crear una barrera contra la des compilación. Este potenciador de código inserta programación que hace que las actuales herramientas de des compilación sean inútiles.

Los CSO deben estar en la jugada

Ann Thomas Manes, vicepresidente analista distinguido de Gartner, dice que es trabajo del director de Seguridad asegurarse de que los nuevos requisitos de seguridad no funcional no sean eludidos durante el diseño, desarrollo o implementación. "En primer lugar, usted necesita decidir qué tipo de datos son realmente sensibles. Algunos de ellos pueden estar disponibles en el dispositivo sin mucho riesgo. Los datos que requieren más seguridad tal vez necesiten ser encapsulados para evitar que sean fácilmente expuestos. No demore su estrategia móvil, pero considere cómo ajustar su estrategia de arquitectura". Soluciones físicas, administrativas y tecnológicas, juegan un papel en el diseño defensivo.

La movilidad crea un juego de extremos abiertos

Y en cuanto a los requisitos no funcionales, los móviles están afectando más que la forma en que las organizaciones hacen frente a la seguridad, mientras que el rendimiento y la facilidad de uso se suman al juego. Matt Brasier subraya que la proliferación móvil está afectando los requisitos no funcionales de las aplicaciones, como la seguridad y el rendimiento, y por lo tanto afectar el diseño. Por lo menos, dice que debe cambiar la forma en que se usa el diseño SOA para los móviles. De hecho, se lamenta de que demasiadas empresas no están considerando el tipo de cuestiones que la movilidad pone sobre la mesa. No todo el mundo pone primero a los móviles. "Ellos colocan la estrategia móvil al final, lo cual no es la forma correcta de acercarse a ella", dice Brasier. Sólo uno de los escenarios que pueden dejarlo girando en el viento es la repentina interrupción del servicio como cuando un usuario sale del rango o una transacción se termina antes de completarse. Ese es el tipo de cosa que rara vez ocurrió con los accesos desde el escritorio. Con la movilidad, es muy común y tiene un impacto definitivo en la forma en que se debe estructurar la prestación de servicios.

La conclusión es que los usuarios interactúan con nuestras arquitecturas basadas en SOA de una manera que nunca fueron previstos cuando se construyeron hace cinco, diez o incluso quince años. Los profesionales de TI deben seguir siendo diligentes, y asegurarse de que se están tomando las medidas adecuadas para garantizar la seguridad de los datos de una organización, y la integridad de la arquitectura basada en SOA de una organización.

Investigue más sobre Movilidad

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close