Llegamos a ustedes gracias a:



Conversando con...

Steve Boyce, director de Estrategia y Programas de Ciberseguridad de Microsoft

La seguridad debe incorporarse desde el inicio

Steve Boyce, director de Estrategia y Programas de Ciberseguridad de Microsoft.
Steve Boyce Microsoft

[19/05/2015] Hace unos días conversamos con Steve Boyce, director de Estrategia y Programas de Ciberseguridad de Microsoft, sobre la forma en que actualmente se plantea la ciberseguridad.

Boyce nos indicó que los problemas de ciberseguridad siguen siendo los de hace unos años, y que esto se debe a que no se aplica algo tan simple como un parche. Pero, además, nos señaló que para lograr una buena seguridad, ésta debe de encontrarse incorporada incluso desde la construcción de las aplicaciones. Es bueno comprar herramientas de seguridad, pero también es muy necesario construir la infraestructura y las aplicaciones para que sean seguras desde un inicio.

¿Cómo percibe el entorno de seguridad en la actualidad?

Los clientes han estado muy enfocados en políticas, controles y no se han enfocado en lo que realmente importa, que es clasificar los activos de alto valor y luego colocar niveles de control y seguridad sobre ellos. Si proteges todo de la misma forma, en realidad no estás protegiendo nada. La gente se concentra en estándares, en marcos de control.

¿Entonces cuantos tipos de seguridad debe de tomar en cuenta una empresa?

En términos de nuestra experiencia, las redes y su infraestructura no han sido diseñadas para las amenazas de la actualidad y su ambiente, y por ello sugerimos a las organizaciones que se realice una transformación en la seguridad, que se transforme la forma en que sus redes son diseñadas para que tengan una adecuada seguridad.

Si observamos los reportes recientes, como por ejemplo el de Verizon, y ves las vulnerabilidades a las que se ha estado expuesto, vemos que el 70% de las vulnerabilidades que se produjeron fueron ataques DNS. Estos son ataques que conocemos desde hace un tiempo y para los cuales se han producido parches. Lo que sugerimos es que las personas deben tener una buena administración de la configuración, asegurarse que sus sistemas tengan la tecnología más reciente y parches, porque las amenazas a las cuales las personas han estado expuestas son temas muy serios. No se están diseñando las redes para protegerse contra estas amenazas.

Entonces, una vez que un ataque obtiene acceso a la red de una organización es fácil para ellos, dentro de las primeras 48 horas, tener un pleno control de la red. Entonces, las organizaciones han estado expuestas a vulnerabilidades que ya se conocen, que tienen parches que no se han usado, y las amenazas más grandes -como el robo de credenciales- pueden ocurrir porque la arquitectura de la red no está hecha para defenderse contra ellas.

¿Debe darse seguridad a las comunicaciones?

A las comunicaciones de la red. Tradicionalmente los presupuestos han sido gastados en tecnologías de red para proteger las comunicaciones y el tráfico web esperado, pero lo que sabemos es que las inversiones se tienen que realizar en asegurarse que los endpoints están configurados de forma segura. Y lo que mucha gente no reconoce es que sus aplicaciones web de línea de negocio, que han estado corriendo por años y que han comprado a proveedores, no han sido evaluadas para encontrar si es que tienen vulnerabilidades. Por ello diría que las inversiones han estado bien encaminadas al ponerlas en las comunicaciones, pero algo similar se debería hacer en las aplicaciones que están usando y que poseen, para asegurarse que no tienen vulnerabilidades.

¿Entonces las aplicaciones deben construirse con la seguridad como algo embebido?

Así es. Hace 15 años, con las amenazas que ocurrían entonces, reconocimos que era realmente muy importante la forma en que desarrollamos software. Bill Gates envió un memo a todos los empleados y dijo que todos se tenían que capacitar en cómo hacer un desarrollo seguro de software. Y lo que esto significa es que un graduado de una universidad sabe cómo hacer los requerimientos funcionales para que una aplicación haga sus tareas, pero no toman en consideración que pasa si alguien trata de hacer algo que no es un requerimiento funcional; así que le dijimos a nuestros programadores que tomen en consideración los requerimientos que no son funcionales, y así se generó la metodología SDL (Security Development Lifecycle) y la hemos usado desde entonces para construir nuestras aplicaciones.

Hace un par de años un organismo de estándares creo un enfoque para la creación de software seguro generando un estándar y señala que el SDL de Microsoft es un ejemplo de enfoque que satisface el estándar, y por eso otras grandes compañías han tomado este enfoque para el desarrollo de software. Lo que necesitamos hacer es asegurarnos que nuestros clientes, cuando construyan sus aplicaciones, hagan lo mismo, que construyan software seguro y por eso esperamos un cambio en las inversiones, que se enfoquen en el desarrollo seguro, no solo en appliances de red para instalar.

¿Y que hay con las aplicaciones que ya están construidas y que no fueron desarrolladas tomando en cuenta la seguridad?

Los clientes tienen cientos de aplicaciones con estos problemas, y lo que hacemos es determinar qué datos son los de alto riesgo. Tenemos la esperanza de que los clientes tengan esta información, que hayan clasificado sus aplicaciones y hayan identificado cuáles se pueden considerar de alto riesgo. No se pueden vigilar las 300 que se tienen, pero de éstas hay que determinar cuáles procesan datos de alto valor y a éstas hay que evaluarlas.

De acuerdo a mi experiencia, los clientes desarrollan sus aplicaciones y luego las evalúan en busca de vulnerabilidades; es decir, sí lo están haciendo, pero no están comenzando unos pasos antes, pensando en construir la aplicación segura desde un inicio.

Jose Antonio Trujillo, CIO Perú