• Tweet

Los desarrolladores de software deben ser considerados personalmente responsables de la seguridad del código que escriben, dijo Howard Schmidt, vocero de cybersecurity de la Casa Blanca.

En un discurso el martes en la conferencia de SecureLondon 2005, Schmidt, que ahora es consultor de CEO de R&H security, también hizo un llamado para mejorar la capacitación para los desarrolladores de software. Dijo que él cree que muchos desarrolladores no tienen las habilidades necesitadas para escribir código seguro.

"En el desarrollo de software, tenemos que tener garantías de calidad personales de los desarrolladores que el código que escriben es seguro," dijo Schmidt, quien citó el ejemplo de algunos desarrolladores que él conoció recientemente que habían creado una aplicación web para conectarse a una base de datos back-end usando el SSL.

"Tenían autentificación fuerte, contraseñas fuertes, un túnel cifrado. Los datos almacenados fueron cifrados. Pero cuando esos datos fueron enviados a la oficina compradora, fueron enviados como archivo de texto plano. Esto no era una solución final. Necesitamos responsabilidad individual de los desarrolladores para las soluciones finales así que podemos ir a ellas y decir, '¿es esto totalmente seguro-'" , dijo Schmidt.

Schmidt también se refirió a un examen reciente de Microsoft que encontraba que el 64 por ciento de los desarrolladores de software no era confiable que pudieran escribir aplicaciones seguras. Para él, una buena capacitación es el camino a seguir.

"La mayoría de los cursos de la universidad se centraron tradicionalmente en utilidad, escalabilidad y la flexibilidad -- no en seguridad. Ahora la mayoría de universidades se están centrando en asegurar la información y seguridad, pero tradicionalmente, el desarrollo de aplicaciones web ha sido medida en clicks del ratón -- cómo hacer que los usuarios hagan click", dijo Schmidt.

Las compañías que desarrollan software también tienen un papel a jugar, dijo Schmidt, comprobando que los prospectos de empleados tengan calificaciones relevantes de seguridad antes de ser empleados.

La sociedad británica de computación convino que debe haber responsabilidad en el desarrollo de software pero argumentó que las compañías deben ser responsables de la seguridad del código escrito por sus empleados, más bien que por los mismos empleados.

"Howard ha ido a un extremo diciendo que los desarrolladores del software deben responsabilizarse personalmente de la seguridad del código que escriben, pero estamos ampliamente de acuerdo con lo que plantea. Conozco a muchos desarrolladores que estarían muy incómodos con ese nivel de responsabilidad, especialmente si fuera responsabilidad legal. Es responsabilidad de cada compañía cerciorarse de que las características de seguridad de su software están probadas con rigor", dijo un representante de la seguridad para el BCS en una entrevista.

"Está también el punto en el que el código no es estático. Una vez que esté comprado, puede ser modificado", añadió el representante, precisando que ésto reduciría responsabilidad individual.

Además, muchos ataques de seguridad tienen éxito porque la gente no ha instalado los parches más recientes o tienen instalado un sistema de forma incorrecta.

Los negocios de ellos mismos deben aceptar una cierta responsabilidad de seguridad del software que compran, dijo el representante de BCS. "El software tiene que ser demostrado para ser apropiado para su propósito. Esto es esencial para producir un ambiente en línea digno de confianza, " dijo el representante.