"Nadie es perfecto: los errores de los cocineros se tapan con mayonesa, los errores de los albañiles se tapan con cemento y los errores de los médicos se tapan con tierra". Esta frase atribuida a Frank Lloyd Wright va a ser el origen del post de esta semana.
Todo parte de una noticia que guardé hace unos días (vía Instapaper que recomiendo usar a aquellos que quieren mejorar su productividad y no verse arrastrados por la navegación compulsiva) donde David Rice, nuevo responsable de seguridad de Apple plantea un impuesto sobre vulnerabilidades como idea para la mejora de la seguridad del software.
Esta propuesta no es nueva y forma parte del discurso de Bruce Schneier que siempre habla de la "economía de la inseguridad". Su planteamiento viene a explicar que la filosofía con la que la industria en general trabaja es el pago por los efectos de la inseguridad, sin atajar la esencia del problema.
Lo curioso del tema es que realmente no se sabe si este enfoque resulte económicamente más rentable que intentar fortalecer la seguridad desde el diseño. Microsoft a base de sufrirlo en sus propias carnes decidió cambiar radicalmente su filosofía y paso a una "seguridad por defecto" como planteamiento de diseño. Y las cosas se hicieron bien desde el principio, atacando el problema desde la raíz, en el proceso de construcción del software. Fruto de aquello, hoy utilizan y aplican la metodología de desarrollo seguro SDLC de la que ya he hablado en este blog en más de una vez.
Lo que sí creo es que empieza a llegar un momento en donde debiera plantearse el proceso industrial de la Ingeniería en Informática, estableciendo unos requisitos mínimos a cumplir y unas garantías mínimas exigibles a los productos hardware o software que se lanzan al mercado. Y no garantías físicas respecto a la seguridad industrial del producto (consumo, rendimiento eléctrico, etc.) sino garantías respecto a los aspectos programados por el software, atribuibles al código que se ejecuta en el dispositivo.
Porque hay una cosa clara, mientras el error o fallo no afecte directamente a la cuenta de resultados de la Empresa que lo causa o genera, la Industria no cambiará. Esa "cláusula comodín" del software que lo primero que dice es que se encuentra ante un producto del que no es exigible ningún tipo de responsabilidad se tiene que acabar. En otras áreas de la Industria se realiza un esfuerzo enorme por garantizar la robustez y fiabilidad de los productos y la Informática no está todavía por desgracia a esa altura. Sólo hay que pensar en las disciplinas asociadas a la seguridad de los materiales de construcción, la seguridad del automóvil, etc... para darse cuenta de lo importante que es el diseño seguro. Las cifras de Gartner estiman que costará alrededor de $ 1 millón al año en promedio para una empresa con entre 2.500 y 3.000 máquinas la aplicación de parches de software.
Las noticias recogidas en prensa dan tal sensación de cotidianidad a este tema que tenemos más que asumido el "error informático" como parte del precio que hay que pagar por el alto desarrollo industrial. Obviamente la complejidad de los sistemas va en aumento y la torre de cartas es cada vez más alta, lo que hace que cualquier problema en una de ellas tenga consecuencias. En cualquier caso, la dificultad no debe ser nunca excusa para no abordar el problema. Hay incidentes que sí tienen una culpabilidad clara y que si debieran penalizar a la empresa que lo genera. Esta semana también ha sido conocido el problema de seguridad de los "Cargadores USB Energizer" que incluyen de regalo un troyano.
No nos damos cuenta pero hay software por todos lados, incrustado sobre hardware o desarrollado sobre sistemas operativos pero casi todo los electrodomésticos están transformándose en "inteligentes" debido al software de control que llevan embebido. Y pronto cada uno de estos cacharros tendrá una IP. ¿Tendremos que ver cómo una oleada de malware inutiliza los frigoríficos de medio mundo para tomarnos en serio esto de considerar como fase indispensable del diseño a la "seguridad".
"Nadie es perfecto: los errores de los cocineros se tapan con mayonesa, los errores de los albañiles se tapan con cemento y los errores de los medicos se tapan con tierra". En el futuro habrá que añadir, "Los informáticos lo tienen más facil, basta con apagar y volver a encender para solucionarlo". Así nos ve la sociedad y así nos paródia como se puede ver en la serie "Los Informáticos". Es triste pero es nuestra realidad. Lo que más duele es que en otras áreas y disciplinas jamás se habría dado lugar a esta situación, pero como la "Informática" no es una "Ingeniería real" como el resto y no tiene atribuciones profesionales, pues así estamos. Sabemos que "la informática es una ciencia", "un arte" y en el futuro "una religión". Habrá que creer y tener fe en ella para que las cosas funcionen.
Suscribirse a:
Enviar comentarios (Atom)
5 comentarios:
TODAS las empresas eluden sus responsabilidades si las dejan. En el caso de la informática es más penoso aún. Pero quien tiene el poder para hacer algo no lo hace. Hoy estoy cabreado, mi coche pierde gasoil (3 años), el fallo una junta de goma que está mal. Mano de obra + junta 180 € ¿Por qué tengo que pagar yo un error en una pieza de la que no soy responsable? Claro, así da gusto, fabrico mal y ya lo pagara el tonto de siempre...
Un saludo para todos. Hay un mundo diferente pero nos costará cambiarlo.
Llevo varios años en esto, he desarrollado programas para empresas y he trabajado con programas desarrollados por empresas, es decir he estado en los dos lados de la mesa, lo curioso es que cuando un usuario mete la pata y tenemos que arreglarlo cobramos para que la próxima vez no metan la pata, pero ¿Cuando la metemos nosotros? claro que con lo que cobramos...
Acabo de descubrir tu blog y estoy encantada. Cuánta información, qué cantidad de detalles, qué gran elaboración.
Yo acabo de empezar en esto, muchas gracias por tus aportaciones.
Lidia
Como en otro tipo de profesiones, los errores o fallos informáticos deberían llevar penalización, sobre todo en errores de programación que trastocan todo.
Gran blog por cierto!
Pero también habría que hacerse una pregunta: ¿Las empresas que contratan el software estarían dispuestas a pagar el canon de seguridad?. Creo que sí en los casos en que el software influya directamente en los resultados/beneficios de la empresa. En los demás me temo que prebalaceria el factor coste.
Publicar un comentario