miércoles, 5 de agosto de 2009

Metodología para el desarrollo de software seguro (BSIMM)

El tema de mejorar la seguridad del software lleva años tratando de solucionarse. Cada fabricante ha establecido sus propias metodologías con el objetivo de garantizar que las aplicaciones son creadas con criterios de seguridad desde el diseño, para evitar en la medida de lo posible la aparición de vulnerabilidades.
Y no es sólo un tema de hacer las cosas bien desde el principio. Es un tema de costes. Siempre solucionar los problemas a posteriori es más caro que a priori, en el diseño. En el mundo del software vale más diseñar y pensar bien las cosas antes de lanzarlas al mercado que una vez que las aplicaciones ya se han comercializado como se describe en el estudio realizado en este artículo.



Los beneficios de esta estrategia de la seguridad son claros. Valga como ejemplo la metodología SDLC que Microsoft lleva utilizando desde que se inició la Trustworthy Computing que tan buenos resultados les está dando, como demuestran las gráficas de sus informes del Microsoft Security Intelligence Report (SIR).



Además es ya una tendencia que las aplicaciones maliciosas estén trasladando sus ataques contra las aplicaciones, dado que los sistemas operativos cada vez les presentan más resistencia y se actualizan más a menudo.

Ahora, un grupo de expertos han decidido unificar las metodologías de desarrollo que están utilizando empresas como Google, EMC, Microsoft, QUALCOMM o Adobe.

El resultado es "the Building Security In Maturity Model (BSIMM)" elaborado por Gary McGraw, Brian Chess (Fortify), and Sammy Migues, y que está liberado bajo licencia creative commons en http://bsi-mm.com.

Este marco divide las fases de desarrollo en doce partes y podéis navegar por el modelo a través del siguiente enlace.

Es quizás otro ejemplo más de cómo aplicando las enseñanzas de Sun Tzu y su famoso libro "El arte de la guerra", se puede lograr mejorar la seguridad. Como resumen valga recordar la famosa frase "Si eres ignorante de tu enemigo y de ti mismo, puedes estar seguro de ser derrotado en cada batalla. Si eres ignorante de tu enemigo pero te conoces a ti mismo, tus oportunidades de ganar o perder son las mismas. Conoce a tu enemigo y conócete a ti mismo; en cien batallas, nunca saldrás derrotado."

4 comentarios:

Anónimo dijo...

Me parece muy interesante y excelente el que hagan alianzas para desarrollar software mucho mas seguros como para empresas y usuarios en general. Es algo en el que hay que seguir trabajando fuertemente...recordemos que no es solo desarrollarlo, es probarlo para así mismo irlo actualizando con el fin de tener un software en el cual las empresas confíen y todos los usuarios adopten este tipo de metodologías

Unknown dijo...

Pienso que la preocupación por la seguridad integral de la información que contienen tanto sistemas operativos como demás aplicativos, es vital para el éxtio y el impacto que genere determinado programa de gestión de información. Saber que como usuario cuento con los mecanismos y herramientas para tener la información que ingreso siempre protegida, es tan e incluso más importante que garantizar que cuento con software de alto rendimiento o de fácil manipulación. Desde la planeación que implica el desarrollo de programas para gestión de información se deben contemplar, integralmente, todos estos aspectos para tener como resultado software confiable, válido y funcional.

ALUCARD dijo...

con respecto al tema de mejorar la seguridad del software, me parece que a consecuencia que se inician nuevos metodos de seguridad para permitir que los sofware obtengan mas garantia en relacion a la confidencialidad de empresas y personas; tambien aumenta las posibilidades de que se creen nuevas estrategias para romper la garantia y crear nuevos sistemas que permitan infiltrarse dentro de las redes y recopilar la informacion que necesiten.

la seguridad demanda que otras personas se esfuerzen por crear nuevas tecnicas para filtrar todo tipo de informacion.

JOHNATAN OSUNA

ALUCARD dijo...

la seguridad en los sistemas informaticos han evolucionado a medida que avanza los años. Probablemnte se crean variedad de sistemas operativos que permiten tener confianza al usarlos.
Pero la misma creacion determina la creacion de nuevos sistemas para filtrar la informacion y definitivamente la seguridad se pierde y se hace nula cualquier metodo de seguridad.

johnatan osuna
69411

 
;