Día con día la seguridad informática cobra más importancia, en menos de dos meses hackers atacaron y lograron vulnerar a: CompraNet 5.0, Fox.com, Sony, MySQL, Nintendo, FBI, BMG, Senado de los EU, Electronic Arts, Sega, CIA, Dirección General de Migración, RSA, Apple (nuevos virus) y la lista sigue y sigue.
Para estas organizaciones y empresas una vulnerabilidad explotada es un gran impacto para sus activos y por tanto se resume en perdidas millonarias ¿y porqué se da esto? la respuesta es simple: por no prestarle importancia a la seguridad informática.
Evalúa tu empresa y responde las siguientes preguntas:
¿Cuánto dinero invertimos en nuestras herramientas de protección?
¿Cuánto dinero nos ahorran o generan estas inversiones?
¿Cuáles son las métricas que utilizamos para medir este desempeño?
¿Cuál es la ventaja competitiva de tener un esquema automatizado de prevención y auditoría de seguridad?
Si no pudiste responder entonces es hora de pensar en invertir en un plan de prevención, análisis de riesgos y de seguridad.
Yo soy de la idea que es necesario asociar el progreso a la educación para que el país avance y por ello aplaudo a la Universidad Autónoma de Campeche, ya que en la semana de la ingeniería tuvieron la iniciativa de traer como invitado al Sr. Armando de Anda González quien es especialista en seguridad informática y actualmente trabaja para la empresa NOKIA.
Armando hizo énfasis en lo que siempre hemos hecho mención en el blog, que cerca del 24% de las compañías en México carecen de un programa eficiente en cuanto a seguridad informática, debido principalmente a una falta de CULTURA y de CAPACITACIÓN.
También dijo que hoy en día las compañías que deciden asegurarse destinan muy poco de sus gastos a la seguridad informática, y no deciden invertir como se debe en seguridad hasta que han sido vulnerados «Tu inversión va en la medida de lo que desees proteger».
La conferencia de Armando fue en relación al Desarrollo de Software seguro mediante buenas prácticas y el hizo mención de algunas normas o reglas que pueden disminuir el número de vulnerabilidades al momento de desarrollar software por ejemplo: PLOVERT Taxonomy, CWE Common Weakness Enumeration,CLASP,Seven Pernicious Kingdoms,WASC Threat Classification,Landwehr Flaws,Bishop Taxonomy.
Sin embargo Armando lo resumió en 13 preguntas clave que se ligan directamente al ciclo de vida del desarrollo de software:
Armando de igual manera hizo énfasis en modelos para desarrollo SDL el cual se enfoca en la capacitación de seguridad que deben tomar los miembros de un equipo de Desarrollo ya que la mayoría de proyectos no cubren este aspecto de capacitación a sus miembros en temas de seguridad y a veces la excusa es la falta de tiempo o la prioridad a otras fases del proyecto, pero estos equipos no saben el gran error que están cometiendo ya que en cada fase se incrementara la posibilidad de tener más vulnerabilidades.
Recomendó seguir algunas técnicas para esto como: Symmantec SSDL, Microsoft SDL, CLASP, iCMM and CMMI, Correctness by Construction.
Bueno en resumen puedo decir que la conferencia fue muy provechosa y ojalá así como lo hizo lo UAC las instituciones educativas y privadas presten más atención a este tipo de temas ya que la seguridad en la actualidad es algo fundamental para todos.
Diapositivas de la presentación:
Software Security
