El Chief Technology officer de Ushiro Security, Juan Carlos Herrera Marchetti, durante una visita a El Salvador mencionó que las nuevas tendencias en la producción y seguridad del Software a nivel mundial incorporan principios básicos que restan importancia a un proceso riguroso y dan énfasis a las personas, comprendiendo que se equivocan, y por lo tanto la solución no es más control sino darles una formación que les permita tener herramientas, técnicas y métodos que agreguen valor a las aplicaciones que desarrollan.
En la actualidad las compañías se enfrentan a verdaderas amenazas en el tema de seguridad de sus datos, y lo demuestran los estudios recientes de prestigiosas instituciones como Gartner, Forrester y Voke donde se revela que muchas aplicaciones informáticas tienen vulnerabilidades como SQL Injection (infiltración de código intruso que puede ser dañino) y XSS (un agujero de seguridad informática presente en las aplicaciones Web).
Herrera Marchetti destacó que en el último reporte de “Estado de la Seguridad del Software”, presentadao el pasado 12 abril por la compañía Veracode, se revela que más del 84% de las aplicaciones Web de compañías públicas son vulnerables a los diez riesgos más importantes en aplicaciones Web, conocidos como OWASP Top 10.
“El software malicioso, conocido como malware, es el mayor problema para las aplicaciones Web porque al ser muy sofisticado explota todo el software defectuoso que nos rodea” afirma Herrera Marchetti.
Estas declaraciones fueron expresadas por Herrera Marchetti al ofrecer el pasado 8 de mayo en San Salvador la conferencia “Gestión de Calidad ¿Cómo producir un software seguro?” organizada por Ushiro Security y Grupo CONSISA.
El experto de origen chileno dio consejos para verificar la integridad y seguridad de un programa informático, con el propósito de minimizar los riesgos de producción de las aplicaciones que reciben las compañías y los usuarios en general.
Herrera Marchetti admite que es difícil el control de calidad de un software, pues no existe un método único ni efectivo para hacerlo porque aunque existen certificaciones no son más que una declaración de buenas intenciones, pero que no inciden en la calidad de esta herramienta informática.
Por lo tanto, los compradores de software deben fijarse en que la fabricación de éstos haya estado en manos de profesionales competentes, a través de un proceso que garantice la calidad no con controles, sino a través de prácticas y principios.
Considera de vital importancia que incluya en la formación de los programadores enseñarles a programar de forma defensiva con el objetivo de visualizar peligros como detectar funciones inseguras, y actualizaciones continuas.
El Chief Technology officer de Ushiro Security aconseja verificar y validar lo que se utiliza, porque es común que las organizaciones echen mano de software de terceros ya sea de código abierto o cerrado. También recomienda incorporar prácticas y principios de ingeniería de desarrollo de software seguro en todas y cada una de las actividades que componen el proceso para producir un programa informático.
Recalca que es necesario la incorporación de herramientas que permitan buscar vulnerabilidades de manera automática y eficiente una vez el software esté fabricado.
Herrera Marchetti menciona que existen bases de conocimiento públicas y gratuitas como son OWASP Top 10 y SANS Top 21 que permiten a personas con pocos conocimientos en informática verificar la integridad de una aplicación. Pero en general, las compañías que quieren asegurarse de no adquirir un software defectuoso pueden solicitar servicios y herramientas existentes en el mercado para realizar esta verificación.
Temas como la integridad del software cobran importante relevancia luego que en el 2011 se diera una explosión de ciberataques cuando los piratas informáticos, conocidos como “hacker”, tumbaron sitios web, atacaron servidores de los gobiernos, realizaron intrusiones a redes y centros de datos afectando a usuarios de grandes compañías e instituciones, donde incluso robaron información confidencial y la divulgaron.
El caso Sony es ya un emblema, pues su red de juegos fue “hackeada” y miles de datos confidenciales. “Los hackers en este caso atacaron una vulnerabilidad de SQL Injection, que fue reportada como riesgo por OWASP (Proyecto Abierto de Seguridad de Aplicaciones Web) desde 2008”, detalla el especialista en integridad del Software.
Según el experto de Ushiro Security, el universo de vulnerabilidades de seguridad de aplicaciones es extenso, y todas las técnicas tienen fortalezas y debilidades. Por eso aconseja un análisis completo que incluya: análisis estático (Caja Blanca), análisis dinámico (Caja Negra), pruebas de penetración, revisión de rediseño y “modelamiento” de amenazas.
| Perfil corporativo |
Sobre Grupo CONSISA es un grupo de Empresas con más de 25 años de operación, con gran experiencia en el campo de la tecnología de información orientada a proveer soluciones de negocios, para que las empresas dispongan de información segura y ágil en su toma de decisiones; así como de herramientas que les permita agilizar sus procesos de negocio. Cuenta con aliados de calidad mundial, personal certificado con muchos años de experiencia, metodologías apropiadas para cada una de las soluciones y con oficinas en El Salvador, Guatemala y Honduras para atender las demandas de dichos mercados y del resto de la región. Mayor información puede encontrarla en sus sitio web: http://www.consisa.com/ SOBRE USHIRO SECURITY Ushiro Security es una empresa especializada en seguridad informática que ofrece servicios, consultoría y entrenamiento en las siguientes áreas: seguridad sistémica, seguridad del Software y seguridad en ingeniería del Software. Es representante para Latino América de las empresas líderes en integridad del software y seguridad de aplicaciones web. Tiene presencia en Argentina, Bolivia, Perú, Colombia, Chile y Estados Unidos. Mayor información puede encontrarla en sus sitio web: http://www.ushiro-sec.com/es |