Llegamos a ustedes gracias a:



Noticias

SAFECode emite pautas para comprar software seguro

[30/11/2015] Es difícil imaginar qué tan seguro es el software, pero el Software Assurance Forum for Excellence in Code (SAFECode) ha emitido pautas para hacerlo más fácil, especialmente para las empresas que están tratando de decidir qué productos comprar.

El gremio industrial publicó un white paper, "Principles for Software Assurance Assessment, que recomienda preguntas que los compradores de software corporativos deberían realizar previamente a sus proveedores para terminar con productos con menos probabilidades de estar plagados de fallas de seguridad.

Uno de los grandes problemas que pueden enfrentar estos compradores es que no saben las preguntas pertinentes, afirmó Eric Baize, presidente y director senior de Seguridad de Productos e Ingeniería Confiable de EMC.

Para llegar a esas preguntas, SAFECode encuestó a sus miembros -que incluyen a Adobe Systems, CA Technologies, EMC, Intel, Microsoft, SAP, Siemens y Symantec- sobre los tipos de documentación que ofrecen a los clientes. También preguntó a importantes empresas que compran software qué es lo que consideran útil preguntar y cuál es la información que encuentran útil para recibir de los proveedores, afirmó el paper.

Las preocupaciones planteadas por los clientes y proveedores revelan que a menudo no están acordes a pesar de que ambos quieren lo mismo -la seguridad de que el software es seguro y confiable.

Por ejemplo, los clientes dicen que necesitan entender si un proveedor de software tiene un proceso de desarrollo seguro y si se aplicó el producto que están pensando en comprar.

Al mismo tiempo, los proveedores de software afirman no hay un acuerdo sobre lo que deben pedir específicamente los clientes, y que algunas de las cosas que sí piden, en realidad, no se encuentran alineadas con las prácticas de desarrollo seguro del mundo real, afirmó el documento.

Por el lado de los clientes, SAFECode recomienda primero averiguar con qué tipo de proveedores se está tratando. Algunos no tienen programas de aseguramiento de software bien establecidos o no dicen cuál es su proceso de aseguramiento. Otros tienen programas bien desarrollados que están basados en estándares. Sin embargo, otros tienen procesos sólidos pero que no están basados en estándares internacionales.

Para el primer grupo, SAFECode recomienda el uso de herramientas de evaluación como el análisis de código binario. Para el segundo, documentos de que cumplen con los estándares que afirman cumplir.

Para el tercer grupo, el documento recomienda obtener las respuestas sobre la forma en que los proveedores prueban y mejoran la seguridad de sus productos y cómo miden aquellos factores. Deberían preguntar si los desarrolladores están obligados a capacitarse en prácticas de seguridad de software y si la seguridad de su trabajo es revisada y aprobada por los administradores.

Los proveedores deben demostrar que emplean un proceso formal para reparar las vulnerabilidades que encuentran y que colaboran con los clientes para corregir las fallas encontradas después de la venta de los productos.

Uno de los problemas es que los estándares relevantes están aún en desarrollo y puede que no sean aprobados en años, afirmó Baize.

El principal estándar, ISO 27034, está disponible para que los proveedores cumplan con él, pero hasta ahora no existe ningún proceso de revisión por parte de terceros para verificar que realmente cumplen con el estándar, afirma Howard Schmidt, director ejecutivo de SAFECode y ex asesor de ciberseguridad de la Casa Blanca bajo el presidente Obama.

"Hoy estamos en el Salvaje Oeste", afirma. "Hay una enorme carga sobre los proveedores. Los compradores no siempre están observando lo correcto".