"La seguridad en el código informático es cada vez más una inquietud de todos"
Jorge Cella, gerente de Iniciativas de Seguridad de la filial argentina de Microsoft, el mayor fabricante mundial de programas de computación, habló con iProfesional sobre los riesgos en el desarrollo y la generación del software.
Las aplicaciones informáticas se construyen a partir de diferentes códigos. Estas líneas de programación no son 100 por ciento seguras, y sus errores son aprovechados por delincuentes tecnológicos, a través de virus y acciones de espionaje. Así, millones de personas quedan expuestas a amenazas peligrosas y silenciosas.
La gravedad del problema fue expuesto por un grupo internacional de expertos que difundió una lista con los 25 errores de programación con mayor potencial de daño. Por ejemplo, dos de esos errores fueron explotados en 2008 para instalar código maligno en un millón y medio de sitios web, que luego propagaron código malicioso entre sus visitantes.
El grupo incluye, entre otros, al Ministerio de Seguridad Interior de Estados Unidos y la agencia de seguridad NSA, la organización japonesa IPA y empresas como Microsoft y Symantec. De acuerdo al documento, la mayoría de estos errores son desconocidos entre los propios programadores, y no integran los estudios de los desarrolladores.
iProfesional entrevistó sobre la seguridad en el desarrollo de los códigos a tres especialistas en seguridad informática argentinos: Ivan Arce, CTO de Core Security Technologies; Roberto G. Langdon, presidente y CEO de 2Minds; y Jorge Cella, gerente de Iniciativas de Seguridad de Microsoft Argentina.
La entrevista a Arce puede leerla aquí, la entrevista a Longdon se publicará en los próximos días. Aquí, la entrevista a Cella (en la foto):
-¿Por qué el código seguro no es aún una realidad?
-En la industria se trabaja fuertemente para que el software sea cada vez más seguro y que los códigos no sufran vulnerabilidades. Se ha avanzado mucho en este sentido mejorándose los estándares, pero el trabajo en seguridad siempre es arduo y requiere de la suma de esfuerzos de todos los actores además de una fuerte inversión en innovación.
Sabemos además que existen en paralelo redes delictivas que buscan lucro económico realizando ataques en seguridad que nos llevan a superarnos en desarrollo de tecnologías y capacitación de los usuarios para protegerlos. Desde Microsoft a partir de las opiniones y devoluciones de los desarrolladores con los que trabajamos y aquellos que son usuarios y pertenecen a la comunidad. Net, estamos invirtiendo y destinando recursos para seguir mejorando el nivel de seguridad de la plataforma de desarrollo.
-¿Las empresas desarrolladoras de software están preocupadas para que el código que escriben sea más seguro?
-Vemos un interés generalizado en la problemática que afecta a toda la industria. Este interés se ve reflejado en la inversión que hacen las empresas para desarrollar plataformas seguras, en mejorar sus productos, en buscar soluciones que cubran las expectativas del mercado.
-¿Qué medidas están tomando en ese sentido?
-Desde Microsoft hemos realizado una gran inversión en tecnología para mejorar nuestros productos progresivamente y esto lo vemos, por ejemplo el SQL Server 2005 constituye un hito que desde su lanzamiento hasta la fecha, tiene vulnerabilidad 0. Tomamos este producto como ejemplo de superación en innovación y desarrollo de tecnología en seguridad.
Incluso este modelo de seguridad mejorado que incluye encriptación de la base de datos, configuraciones predeterminadas seguras, ejecución de la política de identificación y control de permisos detallados y que hoy podemos comprobar a partir de 3 años de uso sin vulnerabilidad alguna, puede ser superado en el desarrollo de plataformas más seguras que vemos en el nuevo SQL Server 2008.
Pero creemos que es igualmente importante desarrollar tecnologías innovadoras como fomentar la planificación de la seguridad y la prevención y fundamentalmente favorecer la capacitación de los usuarios para asegurar que los clientes y organizaciones tengan ambientes TI seguros, por eso también pusimos nuestro foco en estos puntos preventivos. De este modo la experiencia con la tecnología es mejor gracias a la innovación, pero también a la responsabilidad de las personas.
-¿Se debe replantear por completo la forma en que se escribe el código?
-La seguridad en el desarrollo de código es cada vez más una inquietud de todos. Se requiere tanto la adopción de prácticas seguras en manos de los desarrolladores como seguridad en tecnología de la plataforma de desarrollo. En ambos sentidos trabajamos y creemos que esta combinación generará una base sólida como cimiento para avanzar en un entorno más seguro para el desarrollo de software. (©)
En los próximos días, la entrevista con Roberto G. Langdon.
César Dergarabedian
Fuente: iProfesional.com
Las aplicaciones informáticas se construyen a partir de diferentes códigos. Estas líneas de programación no son 100 por ciento seguras, y sus errores son aprovechados por delincuentes tecnológicos, a través de virus y acciones de espionaje. Así, millones de personas quedan expuestas a amenazas peligrosas y silenciosas.
La gravedad del problema fue expuesto por un grupo internacional de expertos que difundió una lista con los 25 errores de programación con mayor potencial de daño. Por ejemplo, dos de esos errores fueron explotados en 2008 para instalar código maligno en un millón y medio de sitios web, que luego propagaron código malicioso entre sus visitantes.
El grupo incluye, entre otros, al Ministerio de Seguridad Interior de Estados Unidos y la agencia de seguridad NSA, la organización japonesa IPA y empresas como Microsoft y Symantec. De acuerdo al documento, la mayoría de estos errores son desconocidos entre los propios programadores, y no integran los estudios de los desarrolladores.
iProfesional entrevistó sobre la seguridad en el desarrollo de los códigos a tres especialistas en seguridad informática argentinos: Ivan Arce, CTO de Core Security Technologies; Roberto G. Langdon, presidente y CEO de 2Minds; y Jorge Cella, gerente de Iniciativas de Seguridad de Microsoft Argentina.
La entrevista a Arce puede leerla aquí, la entrevista a Longdon se publicará en los próximos días. Aquí, la entrevista a Cella (en la foto):
-¿Por qué el código seguro no es aún una realidad?
-En la industria se trabaja fuertemente para que el software sea cada vez más seguro y que los códigos no sufran vulnerabilidades. Se ha avanzado mucho en este sentido mejorándose los estándares, pero el trabajo en seguridad siempre es arduo y requiere de la suma de esfuerzos de todos los actores además de una fuerte inversión en innovación.
Sabemos además que existen en paralelo redes delictivas que buscan lucro económico realizando ataques en seguridad que nos llevan a superarnos en desarrollo de tecnologías y capacitación de los usuarios para protegerlos. Desde Microsoft a partir de las opiniones y devoluciones de los desarrolladores con los que trabajamos y aquellos que son usuarios y pertenecen a la comunidad. Net, estamos invirtiendo y destinando recursos para seguir mejorando el nivel de seguridad de la plataforma de desarrollo.
-¿Las empresas desarrolladoras de software están preocupadas para que el código que escriben sea más seguro?
-Vemos un interés generalizado en la problemática que afecta a toda la industria. Este interés se ve reflejado en la inversión que hacen las empresas para desarrollar plataformas seguras, en mejorar sus productos, en buscar soluciones que cubran las expectativas del mercado.
-¿Qué medidas están tomando en ese sentido?
-Desde Microsoft hemos realizado una gran inversión en tecnología para mejorar nuestros productos progresivamente y esto lo vemos, por ejemplo el SQL Server 2005 constituye un hito que desde su lanzamiento hasta la fecha, tiene vulnerabilidad 0. Tomamos este producto como ejemplo de superación en innovación y desarrollo de tecnología en seguridad.
Incluso este modelo de seguridad mejorado que incluye encriptación de la base de datos, configuraciones predeterminadas seguras, ejecución de la política de identificación y control de permisos detallados y que hoy podemos comprobar a partir de 3 años de uso sin vulnerabilidad alguna, puede ser superado en el desarrollo de plataformas más seguras que vemos en el nuevo SQL Server 2008.
Pero creemos que es igualmente importante desarrollar tecnologías innovadoras como fomentar la planificación de la seguridad y la prevención y fundamentalmente favorecer la capacitación de los usuarios para asegurar que los clientes y organizaciones tengan ambientes TI seguros, por eso también pusimos nuestro foco en estos puntos preventivos. De este modo la experiencia con la tecnología es mejor gracias a la innovación, pero también a la responsabilidad de las personas.
-¿Se debe replantear por completo la forma en que se escribe el código?
-La seguridad en el desarrollo de código es cada vez más una inquietud de todos. Se requiere tanto la adopción de prácticas seguras en manos de los desarrolladores como seguridad en tecnología de la plataforma de desarrollo. En ambos sentidos trabajamos y creemos que esta combinación generará una base sólida como cimiento para avanzar en un entorno más seguro para el desarrollo de software. (©)
En los próximos días, la entrevista con Roberto G. Langdon.
César Dergarabedian
Fuente: iProfesional.com
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!