Reflexiones sobre el futuro del sector de seguridad TI
Resulta curioso ver cómo en determinados ámbitos, la implantación de la tecnología avanza a un ritmo al que hace tan sólo pocos años resultaría impensable. El sector de la seguridad TI se enfrenta contínuamente a nuevos retos: Cloud Computing, Virtualización, movilidad , etc. Por el contrario, algunas cosas parece que nunca cambian, o si lo hacen, uno tiene la sensación de que el cambio no se está produciendo a la velocidad que cabría esperar.
¿Cómo es posible que en el año 2010, vulnerabilidades como XSS o Inyección SQL sigan teniendo tanta repercusión? ¿Se conseguirá reducir la inseguridad del software a unos niveles aceptables durante los próximos años?
Desde mi punto de vista las causas de esta situación son varias, por una parte falta concienciación, no sólo de los usuarios sino también de la industria, que quizás se esté mostrando incapaz de evolucionar y madurar lo suficiente. Por otra parte, si pensamos en el alto grado de externalización del sector TI (y todo parece indicar que irá a más), no es difícil darse cuenta de que existen problemas de fondo a los que inevitablemente habrá que hacer frente durante los próximos años. A pesar de que se ha avanzado mucho, el progreso a mi parecer sigue siendo insuficiente.
Una de los motivos, posiblemente, sea la subcontratación en el desarrollo de software a terceros, unida a una carencia en formación específica sobre seguridad, que bien podría fomentarse en etapas previas al ámbito laboral (ej: inclusión de más asignaturas sobre seguridad en los planes de estudios, o simplemente la presencia de capítulos sobre buenas prácticas en los libros de programación de software). Otra de las razones por las cuales la seguridad aún no forma parte intrínseca de la industria TI, es la ausencia de más regulación en algunos ámbitos. Si bien es cierto que en algunos aspectos la presencia de normativas como puedan ser las referentes al tratamiento de tarjetas de crédito (PCI DSS) o números de cuentas bancarias, parece que comienzan a surtir efecto.
Entonces ¿cómo será la evolución del sector de la seguridad TI durante los años venideros?. Si esperabas una predicción al más puro estilo Rappel siento decepcionarte. Sin embargo, y al hilo de lo que comentaba en párrafos anteriores, en la reciente conferencia IBWAS 09 ya celebrada los pasados días 10 y 11 de Diciembre en Madrid, el público asistente pudo disfrutar de una interesante charla de Bruce Schneier en la que este reconocido experto del sector expuso sus predicciones.
Como la charla es bastante extensa, os resumo brevemente algunos puntos clave según el Sr.Schneier: "La seguridad dejará de ser algo aislado y comenzará a ser incluida en los productos y servicios que consumimos". "Los proveedores de servicios externos serán confiables".
El ejemplo más claro que expuso fue el siguiente: pensemos en una simple botella de agua, no necesitamos seguridad extra cuando compramos agua, ya damos por sentado que el agua es potable. La seguridad de aquellos que van a disfrutar del producto o servicio ya ha sido contemplada, no es ningún extra.
La seguridad ya incluida en el proceso, pasará a ser un factor diferenciador en la venta de productos y servicios. Es lógico pensar que todo esto provocará cambios en el sector, en realidad ya se están produciendo. Un claro ejemplo es lo que está sucediendo con determinados nichos de mercado, como los productos de cifrado de discos cuya compra empieza a carecer de sentido, ya que las últimas versiones de los sistemas operativos comienzan a incluir de serie estas funcionalidades. Tal es el caso de las soluciones Filevault en OSX, BitLocker que ya está incluido en las versiones Ultimate y Enterprise de Windows Vista, Windows Server 2008 y en Windows 7 o, también, la posibilidad de realizar una instalación cifrada de algunas versiones de linux como Ubuntu si usamos el cd "alternate".
¿Estará en lo cierto el Sr.Schneier? ya se verá, me gustaría pensar que sí. Lo que parece evidente es que aún queda un largo camino por recorrer si queremos que la seguridad comience a dejar de venderse como un extra y entre a formar parte del propio proceso de creación y prestación de productos y servicios TI.
Personalmente, creo que la adopción de iniciativas similares al SDL de Microsoft (Security Development Lifecycle), y la labor de organizaciones como OWASP, a nivel internacional, o INTECO, a nivel nacional, serán las piezas clave que determinen tanto la concienciación definitiva en materia de seguridad como la evolución que se espera del mercado.
Comentarios
Mr.Byte: Muchas gracias por tu extenso comentario. Me parece interesante que menciones esa fé ciega en frameworks o librerias supuestamente seguras ya que en ocasiones no han sido revisadas con rigurosidad o bien se hace un uso inseguro de ellas.
Me parece interesante esta reflexion sobre la evolucion de la seguridad en las TIC y me gustaria añadir mi punto de vista. Al principio del articulo hablas de fallos como XSS o inyeccion SQL; todos ellos en un 99% de los casos debidos a una codificacion no segura. Creo que todos los motivos que podemos decir aqui tienen una misma causa inicial: falta de concienciacion de la seguridad, por parte de cliente, proveedor, universidades, etc. Es verdad que se esta haciendo algun esfuerzo en algunas partes, pero todavia son acogidos timidamente, no de manera masiva. La realidad es ue la seguridad en la actualidad esta lejos de ser algo acogido como algo que añada valor al producto y aplicada de manera uniforme en todos los aspectos: - En las carreras de informatica nos encontramos que apenas se cita la seguridad de pasada. Cuando se hacen asignaturas sobre software, etc. la seguridad es un tema que se toca muy marginalmente, nunca como parte integrante del SDLC. En algunos casos no existe ni siquiera una asignatura sobre seguridad y en otros esta no es obligatoria. - En el desarrollo de una aplicacion, el programador en muchos casos, si es que tiene en cuenta la seguridad durante el desarrollo suele ser utilizando frameworks o librerias seguras y poco mas. Confia ciegamente en ellas. Pero que pasa cuando esos frameworks no estan bien configurados o los servidores donde se va a correr la aplicacion no se han securizado adecuadamente? La encapsulacion segura fallara entonces. - Por parte de los clientes, a la hora de subcontratar, en muchos casos la seguridad no es una cosa a tener en cuenta en el contrato o no se suele hacer demasiado hincapie. En el mejor de los casos se habla de seguridad en el codigo, como si fuera un concepto abstracto y todopoderoso, sin especificar que se va a hacer realmente... y quien y como va a revisar que se haya seguido. - Por parte de los proveedores, en muchos casos no suelen tener un ciclo de vida del software donde la seguridad se ha integrado en todas las etapas de dicho ciclo de vida, no hay rigurosidad ni metodo a la hora de revisar las cosas (que suele ser el pan nuestro de cada dia), etc. De todos modos, creo que si se empieza a tender hacia donde dice el Sr. Schneier, pero quizas con mas parsimonia de la debida. Empiezan a utilizarse y a nombrarse cada vez mas las metodologias seguras que se han creado y estas empiezan a ser un referente, pero, como digo, con tranquilidad. Al menos me parece el caso de España, que ya sabemos que "is different". Un saludo.
Añadir comentario