Auditoría de aplicaciones móviles (AAM)
Objetivos:
La auditoría de aplicaciones móviles permite conocer la situación de seguridad IT de éstas aplicaciones y su nivel de riesgo.
Se elaborará un plan de mejoras y minimización del riesgo (recomendaciones) que puede constituir la base para un posterior Plan Director de Seguridad o de gestión de riesgos.
Alcance general y metodología:
• 1 Test de la aplicación móvil en una plataforma (iOS o Android).
• Se revisará e intentará comprometer la seguridad de la aplicación móvil durante 2 semanas para la plataforma seleccionada.
• La auditoría de seguridad se realizará valorando los 10 principales riesgos de seguridad en aplicaciones móviles descritas en la última versión del “mobile checklist OWASP Top 10”
• El cliente deberá proporcionar el código de la aplicación a los auditores para que puedan efectuar la auditoría en los laboratorios.
• Se realizará una evaluación de riesgos con las vulnerabilidades encontradas con una metodología basada en los valores de CVSS 3.0 y el impacto de negocio
Entregables:
• Introducción: Objetivo, alcance, metodología y fases seguidas.
• Resumen ejecutivo por parte de un analista sénior con las conclusiones más significativas, incluyendo una tabla resumen de las vulnerabilidades encontradas ordenadas por criticidad y estatus.
• Informe técnico
• Datos técnicos del test: ID de la auditoria, fechas de la auditoria, alcance, tipo de auditoria y equipo participante.
• Vulnerabilidades: para cada vulnerabilidad se especifica el ID, el estado, la descripción, el control referencia (si existe) con respecto al estándar utilizado, ratios de riesgo, la descripción del riesgo, evidencias y posibles soluciones o recomendaciones para eliminar o minimizar el riesgo.
• Detalle de las tareas realizadas en la auditoria (“Statement of tasks”).