jueves, 22 de enero de 2009

La seguridad en el código informático es cada vez más una inquietud de todos

Continuando con la serie de entrevistas realizadas por iProfesional.com y republicada en Cryptex en el post "La mayoría del software no es suficientemente seguro" presentamos a continuación la entrevista a Jorge Cella:


Jorge Cella, gerente de Iniciativas de Seguridad de la filial argentina de Microsoft, el mayor fabricante mundial de programas de computación, habló con iProfesional sobre los riesgos en el desarrollo y la generación del software.
Puntos Importantes
  • - En Microsoft generaron un modelo de seguridad mejorado que incluye encriptación de la base de datos y configuraciones predeterminadas seguras.

  • - Igualmente, en la empresa afirman que es importante desarrollar tecnologías innovadoras como fomentar la planificación de la seguridad y la prevención.

  • - Para aumentar la seguridad en el desarrollo de código se requiere tanto la adopción de prácticas seguras en manos de los desarrolladores como seguridad en tecnología de la plataforma de desarrollo.

El grupo incluye, entre otros, al Ministerio de Seguridad Interior de Estados Unidos y la agencia de seguridad NSA, la organización japonesa IPA y empresas como Microsoft y Symantec. De acuerdo al documento, la mayoría de estos errores son desconocidos entre los propios programadores, y no integran los estudios de los desarrolladores.
iProfesional entrevistó sobre la seguridad en el desarrollo de los códigos a tres especialistas en seguridad informática argentinos: Ivan Arce, CTO de Core Security Technologies; Roberto G. Langdon, presidente y CEO de 2Minds; y Jorge Cella, gerente de Iniciativas de Seguridad de Microsoft Argentina.


Entrevista a Cella:

-¿Por qué el código seguro no es aún una realidad?
En la industria se trabaja fuertemente para que el software sea cada vez más seguro y que los códigos no sufran vulnerabilidades. Se ha avanzado mucho en este sentido mejorándose los estándares, pero el trabajo en seguridad siempre es arduo y requiere de la suma de esfuerzos de todos los actores además de una fuerte inversión en innovación.

Sabemos además que existen en paralelo redes delictivas que buscan lucro económico realizando ataques en seguridad que nos llevan a superarnos en desarrollo de tecnologías y capacitación de los usuarios para protegerlos. Desde Microsoft a partir de las opiniones y devoluciones de los desarrolladores con los que trabajamos y aquellos que son usuarios y pertenecen a la comunidad. Net, estamos invirtiendo y destinando recursos para seguir mejorando el nivel de seguridad de la plataforma de desarrollo.

-¿Las empresas desarrolladoras de software están preocupadas para que el código que escriben sea más seguro?
Vemos un interés generalizado en la problemática que afecta a toda la industria. Este interés se ve reflejado en la inversión que hacen las empresas para desarrollar plataformas seguras, en mejorar sus productos, en buscar soluciones que cubran las expectativas del mercado.

-¿Qué medidas están tomando en ese sentido?
-Desde Microsoft hemos realizado una gran inversión en tecnología para mejorar nuestros productos progresivamente y esto lo vemos, por ejemplo el SQL Server 2005 constituye un hito que desde su lanzamiento hasta la fecha, tiene vulnerabilidad 0. Tomamos este producto como ejemplo de superación en innovación y desarrollo de tecnología en seguridad.
Incluso este modelo de seguridad mejorado que incluye encriptación de la base de datos, configuraciones predeterminadas seguras, ejecución de la política de identificación y control de permisos detallados y que hoy podemos comprobar a partir de 3 años de uso sin vulnerabilidad alguna, puede ser superado en el desarrollo de plataformas más seguras que vemos en el nuevo SQL Server 2008.
Pero creemos que es igualmente importante desarrollar tecnologías innovadoras como fomentar la planificación de la seguridad y la prevención y fundamentalmente favorecer la capacitación de los usuarios para asegurar que los clientes y organizaciones tengan ambientes TI seguros, por eso también pusimos nuestro foco en estos puntos preventivos. De este modo la experiencia con la tecnología es mejor gracias a la innovación, pero también a la responsabilidad de las personas.

-¿Se debe replantear por completo la forma en que se escribe el código?
-La seguridad en el desarrollo de código es cada vez más una inquietud de todos. Se requiere tanto la adopción de prácticas seguras en manos de los desarrolladores como seguridad en tecnología de la plataforma de desarrollo. En ambos sentidos trabajamos y creemos que esta combinación generará una base sólida como cimiento para avanzar en un entorno más seguro para el desarrollo de software.

César Dergarabedian
(©) iProfesional.com

1 comentario:

Adolfo Estévez, Revista semanal virtual SAFE WORLD dijo...

No se, pienso que se podía haber solucionado ya este problema de seguridad. Espero que se lo tomen más en serio a partir de ahora.