Video: ISO 27001: Cómo identificar riesgos de seguridad de la información (Noviembre 2024)
SAN FRANCISCO - Un panel de dos personas de la Conferencia RSA abordó una pregunta provocativa: ¿Es la seguridad del software una pérdida de tiempo para la mayoría de las empresas?
Nadie sugería que las empresas deberían ignorar los errores en sus productos, pero la pregunta era más sobre cómo y cuándo deberían producirse las soluciones.
Microsoft, Adobe y algunas otras compañías abogan por un ciclo de vida de desarrollo de software seguro, donde los problemas de seguridad se aborden durante todas las fases de desarrollo. Todavía hay muchas compañías que creen que el tiempo y el dinero gastados en estas iniciativas de seguridad de software podrían usarse en otros lugares, y les interesa solucionar los errores después de que se envíen los productos.
Por un lado, hay empresas como Adobe, que tienen que lidiar con atacantes comprometidos con la intención de explotar vulnerabilidades en el software. "Un exploit que funciona contra Reader o Flash pone en riesgo a más de mil millones de computadoras", dijo Brad Arkin de Adobe en el panel. "El costo de obtener esas soluciones es tan alto que necesitamos invertir todo lo que podamos para solucionar esos problemas antes de enviar", dijo.
Y, por otro lado, hay empresas que nunca verán un retorno de la inversión en la implementación de iniciativas de desarrollo de software seguro, según el panelista John Viega, vicepresidente ejecutivo de SilverSky, anteriormente Perimeter E-Security. "Para la mayoría de las empresas, será mucho más barato y servirá mucho mejor a sus clientes si no hacen nada hasta que algo suceda. Es mejor esperar a que el mercado lo presione para que lo haga", dijo Viega.
Muy caro
Viega no era solo ser contrario y estar en desacuerdo con Arkin de Adobe. Anteriormente trabajó en seguridad de productos en McAfee y "hasta donde pudimos medir, fue una pérdida absoluta de dinero", dijo.
Por ejemplo, un año, McAfee tuvo tres fallas de seguridad divulgadas públicamente, que costaron menos de $ 50, 000 en total, dijo Viega. La cifra incluía todas las comunicaciones y el tiempo necesario para desarrollar y probar la solución. En contraste, un programa integral de seguridad de software, por el contrario, le costó a la compañía millones de dólares en costos directos, y aún más en costos indirectos, como la pérdida de productividad, dijo. Hasta donde podía ver, la compañía "encareció el trabajo del malo", pero no lo suficiente como para justificar los costos.
"Hay toda una clase de compañías en las que no tiene sentido hacer nada", dijo Viega.
Si bien la seguridad es importante, no debería ser la fuerza impulsora, sugirió Viega. Comparó la situación con la industria del automóvil. Si la seguridad fuera lo "más importante", entonces "tendríamos autos que no recorrerían más de 5 millas por hora", dijo. Mirar los costos económicos ayuda a determinar dónde deberían estar las compensaciones.
Para Adobe, esperar es demasiado costoso, por lo que se aseguran de que la seguridad del software sea una parte importante del proceso de desarrollo del producto, desde el concepto, el diseño, la codificación, las pruebas y la implementación. La compañía lleva a cabo una amplia capacitación en seguridad para todos sus ingenieros, independientemente de su nivel de habilidad y experiencia, para garantizar que todos vean la seguridad de manera unificada.
Arreglando cada pequeño insecto
Arkin tuvo cuidado de señalar que, si bien la compañía pasó una cantidad significativa de tiempo y recursos para encontrar y corregir vulnerabilidades durante el proceso de desarrollo, el objetivo no era eliminar todos los posibles errores. Fue un mejor uso de la energía y el dinero del equipo para abordar las categorías de errores, dijo.
"Si está reparando cada pequeño error, está perdiendo el tiempo que podría haber usado para mitigar clases enteras de errores", dijo.
Los clientes generalmente no tienen forma de saber qué compañía es una empresa de envío o reparación, dijo Viega. Los compradores no son lo suficientemente inteligentes, y no siempre están pensando en la seguridad de la aplicación cuando evalúan sus compras, dijo. "Hey, la gente todavía usa Adobe", dijo Viega.
¿Podría haber algún tipo de estándar para saber si un software dado es un producto "arreglarlo" o no? Viega no descartó la posibilidad, señalando que incluso una botella de agua tiene una etiqueta con información nutricional impresa.
