Por Steve Lipner, director asociado de Seguridad de software de Informática de seguridad y confianza, Microsoft

Ha pasado casi una década desde que Microsoft implementó su Ciclo de vida de desarrollo de seguridad (SDL).  Hubo muchos cambios durante ese tiempo.  

En la década pasada, el uso de Internet pasó de casi 350 millones de personas a más de 2,4 mil millones.  En la actualidad, existen más oportunidades que nunca para los desarrolladores. Windows 8 aún es relativamente nuevo, la nube se encuentra en sus primeras etapas de adopción y ha habido una explosión en los nuevos dispositivos móviles y en las nuevas plataformas. Mientras Internet ha creado muchas oportunidades y maneras nuevas de hacer negocios, también ha generado un entorno clandestino digital para el crimen en línea. Las violaciones a la seguridad que tienen consecuencias financieras o que conducen a pérdidas en la propiedad intelectual, la deformación de los sitios web o el espionaje se han vuelto una realidad en el panorama informático de la actualidad.

Muchos de los desarrolladores con los que converso generalmente reconocen la importancia del desarrollo de la seguridad. A pesar de esto, la evidencia sugiere que la amplia mayoría de las organizaciones aún no adopta el desarrollo de la seguridad como una disciplina profesional fundamental. Microsoft recientemente encuestó a más de 2.200 profesionales de TI y a más de 490 desarrolladores en todo el mundo.  La encuesta demostró que solo el 37 por ciento de los profesionales de TI mencionaron que sus organizaciones construían sus productos y servicios considerando la seguridad.  Además, el 61 por ciento de los desarrolladores no estaban aprovechando las tecnologías de mitigación que ya existen, tales como ASLR, SEHOP y DEP. Estas mitigaciones han estado disponibles de manera gratuita para la industria durante años y a menudo son solo adiciones a las prácticas de desarrollo y, a pesar de eso, solo una minoría de los desarrolladores las aprovechan.  Esto es una preocupación para mí y debería serlo para todos los que utilizan Internet.

Además, la encuesta reveló que los mayores obstáculos que evitan que las organizaciones adopten un proceso de desarrollo de seguridad eran 1) la falta de aprobación de gestión, 2) la falta de capacitación y soporte y 3) los costos.  Hoy, en la Conferencia de desarrollo de seguridad, Microsoft y otras empresas están tomando medidas para eliminar estas barreras y para ayudar a cerrar la brecha en cuanto a la adopción de desarrollos de seguridad.

Aprobación de gestión: la estandarización y el cumplimiento pueden ayudar a superar muchas de las barreras relacionadas con la aprobación de gestión.  La Organización internacional de normalización (ISO) y la Comisión electrotécnica internacional (IEC) reconocieron la necesidad de normas en torno a los procesos de desarrollo de seguridad y publicaron la norma ISO/IEC 27034-1. Esta nueva norma internacional es la primera de su tipo en centrarse en los procesos y marcos de trabajo necesarios para construir un programa de seguridad de software integral.  ISO/IEC 27034-1 es un paso importante en la dirección correcta para la seguridad y abre una variedad de posibilidades para las organizaciones. Microsoft reconoce este hito importante en el desarrollo de la seguridad y hoy anuncia a través de su Declaración de conformidad que SDL de Microsoft cumple con la norma ISO 27034-1.  Esperamos que al cumplir públicamente con esta norma, podamos servir como ejemplo para otras empresas que buscan asumir un compromiso con el desarrollo seguro.

Para empresas que desarrollan o venden software, esta norma proporciona un lenguaje de validación común para prácticas de desarrollo de seguridad, ofrece una descripción clara y sencilla para adoptar un marco de desarrollo de seguridad y puede servir como un diferenciador competitivo en el mercado.
Para clientes que compran software o servicios de proveedores, esta norma proporciona un "lenguaje" único para compradores que exigen un desarrollo de seguridad en industrias, plataformas y regiones

Para obtener más información sobre la norma ISO 27034-1, recomiendo que lea un documento publicado hoy, encargado por Microsoft y publicado por Reavis Consulting Group, LLC llamado "El surgimiento de normas de seguridad de software: ISO/IEC 27034-1:2011 y su organización" (The emergence of software security standards: ISO/IEC 27034-1:2011 and your organization). 

Muchas industrias enfrentan la difícil batalla que representa asegurar sus infraestructuras y cumplir con las regulaciones de la industria. Un ejemplo de un sector que enfrenta este mismo reto es la industria de la salud.  Además, Microsoft publicó hoy un documento llamado "Tendencias de software de seguridad en la salud" (Secure Software Trends in Healthcare) que habla de este reto para la industria y demuestra de qué manera SDL puede tener un impacto positivo.

Capacitación y soporte técnico: Microsoft ofrece herramientas y orientación gratuitas y descargables sobre su sitio web SDL, incluido SDL para Agile, la herramienta Threat Modeling y Attack Surface Analyzer para ayudar a automatizar y mejorar los procesos de SDL, adquirir eficacia y facilitar la implementación del SDL.  Para ayudar con la implementación, Partner Network de Microsoft incluye una variedad de miembros comprometidos a ayudar a los clientes a adoptar prácticas de desarrollo seguro basadas en SDL.  Además de estos recursos, el foro de Software Assurance para
excelencia en código (SAFECode) anunció hoy nuevos cursos de capacitación en línea gratuitos sobre desarrollo de seguridad.

Costos: finalmente, los profesionales y desarrolladores de TI mencionaron los costos como un obstáculo importante para adoptar un marco de desarrollo de seguridad. Pero, a decir verdad, un producto seguro no es el único beneficio que incluye la implementación de este código seguro para procesos de escritura, sino que también conduce a ahorros reales de los costos. El estudio de Aberdeen Group además demostró que las empresas que adoptan una estrategia "segura en la fuente" (semejante a SDL de Microsoft) consiguieron un importante retorno de 4 veces su inversión anual en seguridad de aplicaciones.  Forrester volvió a confirmar este resultado, al indicar que aquellos que practican específicamente SDL informaron un retorno de inversión visiblemente mejor que la población total.

En la actualidad, con una cantidad cada vez mayor de aplicaciones, los desarrolladores no tienen escasez de trabajo. Además, la competencia es dura para los desarrolladores. Cada nuevo producto y nueva aplicación de software debe luchar con ofertas competitivas. Hemos estado en esta situación antes, y la seguridad se relegó muy a menudo a un segundo lugar ante las presiones comerciales de ser los primeros en el mercado o de destacarse con características sorprendentes.  Pero espero que en esta ocasión sea distinto. Los criminales cibernéticos, lamentablemente, representan una amenaza real y común, y el impacto que pueden tener sobre nosotros como individuos y como organizaciones se conoce muy bien. Como resultado, las organizaciones que utilizan software deben exigir productos que sean más seguros, y los desarrolladores deben implementar el desarrollo seguro como un medio para satisfacer dicha exigencia y seguir siendo competitivos.