lunes, 5 de noviembre de 2007

Programar con Seguridad

Las vulnerabilidades de software son la principal causa (por mucho) de los ataques computacionales, ya sea en forma de gusanos, virus o troyanos. Las vulnerabilidades se deben a una mala programación, claro, desde el punto de vista de seguridad. Obviamente muchos programas están bien diseñados y programados desde el punto de vista funcional, y efectivamente funcionan para lo que los usuarios los necesitan.

Sin embargo, que sea funcional y que haga lo que necesito no quiere decir que es seguro, son dos cosas separadas. Hay programas inclusive que no sólo carecen de seguridad sino que tampoco son funcionales.

Muchos (bueno, sinceramente no tantos) programadores me han dicho que "los de seguridad" les decimos que programen de manera segura pero que jamás les decimos cómo hacerlo. Y tienen razón. ¿Cómo pedirles que programen software seguro pero nadie les dice qué significa esto ni las técnicas básicas para hacerlo? Y esto es un gran problema, sobre todo en México no conozco casi ningún programa o capacitación de programación segura, que se centre totalmente en seguridad.

Y a propósito de la programación segura, el SANS (www.sans.org) tiene una certificación en programación segura, llamada GIAC Secure Software Programmer (https://www2.sans.org/gssp07/). GIAC significa Global Information Assurance Certification. La certificación puede ser para JAVA o C . Se pueden tomar exámenes en línea en http://www.sans-ssi.org/. Es importante mencionar que esta certificación asume que ya uno tiene ciertas habilidades de programación, ya que no es una capacitación sino una certificación. Ahora bien, concretamente para la capacitación, uno puede obtener información también en www.sans-ssi.org.

Pero hay malas noticias. Esta certificación hasta donde leí, se toma en Estados Unidos. Por otro lado, aunque el SANS tiene la opción de tomar capacitaciones en línea, no encontré que hubiera capacitación de programación segura en esta modalidad. Así es que para el caso de México, seguiremos teniendo programadores sin muchas opciones para capacitarse formalmente en seguridad, así es que queda Internet y algunos libros mientras tanto.

2 comentarios:

Carlos Guerra dijo...

Es cierto, me dedico a la programación desde hace más de 10 años, me he encontrado de todo, pero ahora con el boom de la web cada vez encuentro pequeños desarrollos más vulnerables y peor gestionados.

La seguridad es importante, sobre todo cuando hay proyectos que contienen información privada de usuarios.

Me has dado una idea con la seguridad :D

Gracias

http://www.dkreativo.es

MC Fausto Cepeda, CISSP, CISA, CISM. dijo...

Gracias por el comentario. Pienso que para un programador un diferenciador debería de ser que lo sepa hacer con seguridad; desgraciadamente en México todavía no se valora eso y se sigue con la idea de hacer software que sirva únicamente, relegando a la seguridad...