Llegamos a ustedes gracias a:



Noticias

¿Una nueva esperanza para el software de seguridad?

[10/03/2009] Ciertas escenas de Star Wars vienen a la mente cuando se piensa en los esfuerzos realizados en el campo de la seguridad del software.

Recordamos al piloto de la nave X-Wing quien repetidamente dice ya casi a medida que se va acercando a un puerto de desfogue de la Estrella de la Muerte, solo para disparar sus torpedos y verlos estallar sin que causen daño sobre la superficie. Los profesionales de la seguridad siempre están intentando cerrar los agujeros de sus infraestructuras TI de tal forma que los ataques se queden sin hacer daño en la superficie, aunque los chicos malos lo intentan de todas formas, dejando atrás esa mala sensación de la que Luke Skywalker y Han Solo siempre se quejan.
En el mundo del desarrollo de software, siempre va a haber el riesgo de que se deje atrás una falla que luego pueda ser explotada por el lado oscuro. Pero la gente de las firmas de seguridad Cigital y Fortify han presentado un nuevo modelo de madurez, que esperan ayude a los escritores de software a construir una superestructura más segura alrededor de su código.
El resultado es BSIMM (Building Security In Maturity Model). Es un conjunto de mejores prácticas que Cigital y Fortify han desarrollado analizando datos del mundo real de nueve iniciativas líderes en seguridad de software y creando un sistema basado en áreas comunes de éxito.
Nuestra esperanza es ayudar a transportar el concepto de la seguridad del software de la alquimia a la ciencia empírica, señala Gary McGraw, CTO de Cigital, defensor por mucho tiempo del incremento de la seguridad en el proceso de la escritura de los códigos. Luego de una década de intentar convencer a todos que la seguridad del software es importante y que hay mejores prácticas que se pueden seguir, ha llegado el momento de estudiar qué compañías están haciendo lo necesario para hacer del software algo seguro.
Al estudiar qué es lo que están haciendo estas nueve iniciativas, los creadores de BSIMM estuvieron en capacidad de construir un modelo de mejores prácticas que se divide en 12 categorías que los creadores de software pueden seguir:
1. Estrategia y métricas
2. Cumplimiento y políticas
3. Capacitación
4. Modelos de ataque
5. Características y diseño de seguridad
6. Estándares y requerimientos
7. Análisis de la arquitectura
8. Revisión del código
9. Testeo de seguridad
10. Testeo de penetración
11. Ambiente de software
12. Configuración y administración de la vulnerabilidad
Ahondando aún más, el modelo BSIMM recomienda acciones como la de emplear a un profesional dedicado a la seguridad por cada cien desarrolladores de software en el personal.
El fundador de Fortify y jefe científico, Brian Chess, afirma que él ya está viendo que algunos profesionales se están apegando a esta sugerencia. Hemos visto que algunas compañías que estaban considerando reducir su personal utilizan los datos del BSIMM para darse cuenta que estaban rezagados en seguridad de software, y que reducir la cantidad de especialistas en seguridad solo empeoraría las cosas, señala Chess.
El sitio web de BSIMM señala que aunque las metodologías particulares difieren (OWASP CLASP, Microsoft SDL o Cigital Touchpoints, por ejemplo), muchas iniciativas comparten un mismo terreno.
Este terreno común es captado y descrito en el BSIMM. Como una característica organizada introducimos y utilizamos el Software Security Framework (SSF) que proporciona un andamiaje conceptual para el BSIMM, afirman. Usado apropiadamente, el BSIMM puede ayudarlo a determinar en dónde se encuentra su organización con respecto a las iniciativas en seguridad del software del mundo real y qué pasos se pueden tomar para hacer que su enfoque sea más efectivo.
Bill Brenner, CSO (USA)