Profesor en EAE Business School, Escritor en Anaya Multimedia, Fundador de Adulame, Seindor y PublicacionesDidácticas.

Los desarrolladores de software necesitan saber hacer software seguro

26/10/2012  |  Por: Miguel Angel Acera  |  Puedes leerlo en 2 minutos.

Figura 1. Los desarrolladores con conocimientos sobre seguridad son más felices. |  Foto: bobfamiliar (Attribution License).

Figura 1. Los desarrolladores con conocimientos sobre seguridad son más felices. | Foto: bobfamiliar (Attribution License).

Ayer tuvo lugar en Conference Agile Spain 2012 (#CAS2012) una exposición titulada “¿Está el desarrollo ágil de software alineado con los objetivos de seguridad?” que me ha llamado mucho la atención porque ha puesto de relieve una necesidad. En ella se explicaba que se debía dedicar un sprint exclusivamente al tema de seguridad partiendo de la idea de que no se había abordado previamente de ninguna forma.  Hablamos de seguridad en el sentido de, por ejemplo, evitar que se inyecte códido a través de un formulario de un sitio web. Así, muy esquemática estaríamos ante lo siguiente:

  1. Se desarrolla software, se entrega.
  2. Se desarrolla, se entrega.
  3. Se desarrolla, se entrega.
  4. Se aborda el tema de software seguro y se modifica el software ya desarrollado para hacerlo seguro (refactorización), se entrega.

Se despertó una pequeña polémica sobre por qué no se consideró la seguridad desde el principio para incluirla de forma natural en el desarrollo. Desde luego, al menos en mi opinión, el desarrollo de software seguro es un requisito implícito y debe formar parte del desarrollo desde su diseño y no debe ser pospuesto, pues incrementaría tiempos y costes. Sobre esto hay mucho escrito y con sólo “googlear” un poco aparecen varios millones de entradas sólo en español.

Otra cosa es que se acuda a personas o empresas externas para comprobar si el software creado es tan seguro como se cree. Incluso, se pueden ofrecer recompensas para quien descubra una brecha. Este es el caso de Google a través de su programa de recompensas “Chromium Security Rewards Program”, que premiaba con 60.000 dólares a quien encontrase una vulnerabilidad en Google Chrome. Un adolescente que se hace llamar “Pinkie Pie” lo consiguió el pasado 10 de octubre.

La conclusión a la que se llegó es que los desarrolladores de software necesitan formación en seguridad para que puedan diseñar y desarrollar software seguro, al menos, en cuanto a unos requisitos mínimos se refiere. Y es que estamos hablando de calidad del software. El problema puede estar en un tema de metodología o de conocimiento o de ambas, pero desde luego conocer qué tipo de vulnerabilidades existen es primordial para considerarlas desde el principio. Aquí hay una oportunidad para los profesionales del campo de la seguridad en formar a desarrolladores.

ARTÍCULOS RELACIONADOS
COMENTAR
Los comentarios enviados serán publicados después de ser aprobados, por lo que no aparecerán inmediatamente.

 

Etiquetas: ···

desarrollo

26/10/2012 - Miguel Angel Acera en Google+