Receta para blindar el software
Microsoft desarrolla y comparte su propia metodología, aplicable al mundo "cloud"
Las cifras hablan por sí solas: desde que en 2002 Bill Gates tomara la determinación de arrancar la iniciativa Trustworthy Computing (TWC) para reforzar a la compañía en esta materia, la multinacional asiste o patrocina más de 60 conferencias de seguridad en todo el mundo, alrededor de 6.500 empleados están ligados directamente a la seguridad y entre todos sus trabajadores se imparten una veintena de cursos online al año.
Uno de los principales diferenciales respecto a otras compañías es el hecho de que Microsoft concibe la seguridad desde las primeras fases de ingeniería de una aplicación. Bryan Sullivan, director senior del Programa de Seguridad, afirma que “precisamente porque uno puede ser un desarrollador maravilloso, no tiene por qué ser un experto en seguridad”. Para resolver esta problemática, la compañía ha desarrollado una serie de herramientas con las que el desarrollador puede evitar las puertas para el software malicioso, analizar los procesos adecuados para eliminar las brechas de seguridad potenciales o definir los niveles de riesgo. Estas herramientas forman parte de lo que Microsoft ha tenido a bien llamar SDL (Security Development Lifecycle), ciclo que cubre desde la formación al establecimiento de los requerimientos, el diseño, la implementación, la verificación, el lanzamiento y el centro de respuesta –este centro recibe unos 150.000 e-mails al año reportando vulnerabilidades–.
Esta metodología se ha estandarizado hasta tal punto que empresas como Archer, de RSA, o Adobe utilizan ya esta guía para el desarrollo de sus soluciones. En este sentido, Dave Ladd, director general del Programa de Seguridad, afirma que “es un modelo de madurez con el que se optimiza el proceso de desarrollo y, precisamente por eso, Microsoft tiene el compromiso de extenderlo y hacerlo accesible”. El objetivo de la compañía pasa por que todas aquellas empresas que desarrollen software lo hagan siguiendo esta guía, “puesto que disponer de aplicaciones cada vez más seguras beneficias a toda la industria”, apunta. En su opinión, “la seguridad ha de convertirse en un factor más de competitividad”.
Estas medidas se suman, además, al intenso trabajo que viene desarrollando Microsoft en organismos como Safecode (Symantec, SAP, Nokia, Microsoft, Juniper Networks, EMC, Adobe) o ICASI (Cisco Systems, IBM, Intel, Juniper Networks, Microsoft, Nokia).
La seguridad en la nube
Steve Lipner, director senior de Trustworthy Computing (TWC) de Microsoft, es tajante al afirmar que “cuanto más privada es la nube, mayor es el control y el gobierno; por el contrario, cuando más pública, mayores son las economías de escala y, por tanto, los ahorros”. Saber conjugar ambas es la clave, porque, en palabras del experto, “la pérdida de control es algo que deberían juzgar los usuarios a la hora de valorar su salto hacia el modelo de cloud computing”.
La seguridad se ha convertido en uno de los grandes caballos de batalla de este nuevo modelo de provisión de servicios, que convierte prácticamente a cualquier aplicación o infraestructura en un servicio de pago por uso. Lipner asegura que “los ataques cada vez son más sofisticados, que vienen a sumarse las tradicionales”. Muchas de las nuevas amenazas vienen del lado de las máquinas virtuales, de la privacidad de los datos y de los privilegios de acceso; si bien es cierto que, por el lado de las más tradicionales, la fiabilidad y la mejora en la distribución de los parches y actualizaciones de seguridad se ha mejorado. A ello se suma, además, el hecho de que la tecnología de encriptación ha ido reduciendo progresivamente los ataques a nivel de red.
Microsoft apoya buena parte de sus garantías en las certificaciones, puesto que como sostiene Lipner, “es preciso saber lo que hace y cómo lo hace el proveedor”. Así, las certificaciones ISO/IEC 27001:2005 y SAAS 70 se presentan como dos avales de sus servicios cloud. Por otro lado, un punto sobre el que el responsable de TWC llama la atención son las consideraciones forenses: “En caso de que se produzca una intrusión, es muy importante haber definido de antemano quién es responsable de la investigación posterior, ¿el cliente o el proveedor?”.
Sea como fuera y como sucede en con las aplicaciones offline, la seguridad ha de arrancar desde sus primeros estadios, esto es, el desarrollo. En este sentido, Azure, la plataforma de desarrollo de servicios cloud de Microsoft, incorpora todos los servicios de seguridad necesarios para blindar las aplicaciones cloud. De hecho, hace sólo unas semanas, la compañía publicó un white paper en el que se detallan todos estos servicios para los desarrolladores.
BPO y los ‘data centers’
La red de data centers de Microsoft se extiende por todo el mundo, aunque los responsables de la compañía no son especialmente concretos a la hora de aludir a ellos, por motivos de seguridad: “Contamos con entre 10 y 100 data centers en todo el mundo”, indica Mark Estberg, director senior de Global Foundation Services (GFS) de Microsoft, con potencia de entre 1 y 60 megavatios y alguno de ellos con una superficie equivalente a la de 10 campos de fútbol. Tampoco explicita el número de personas dedicadas a los centros de repuestas, centralizados en Redmond, donde se levanta la sede de la multinacional. Sin embargo, Pete Boden, el director general de GFS, subraya cómo “se monitorizan todos los acceso al detalle, limitando todo lo posible los privilegios de acceso; además de aplicar medidas como el host security, con el que garantizamos si la configuración de las aplicaciones es la más correcta”.
Mike Ziock, director senior de Operations Deck de Microsoft, uno de los responsables de BPO (Business Productivity Online) cifra sus usuarios de pago por uso en más de 40 millones, con más de 7.000 partners implicados, “incrementándose a un ritmo de 100 semanales”. Tal y como indica, “tenemos el aval de más de 1.000 organizaciones, entre las que hay incluso entidades financieras o del ámbito sanitario”, en una clara alusión a la tranquilidad que transmite Microsoft con su servicio. Ziock explica que existen tres niveles distintos de seguridad: en primer lugar, la seguridad informática con hasta nuevas capas diferentes de protección de las aplicaciones, todas ellas empapadas de su estándar de facto SDL. En segundo lugar, una optimización y redundancia de procesos que garantizan la disponibilidad de los servicios –además de back-ups con ventanas de tiempo muy cortas para poder recuperar información si borra algún dato en un descuido– y, finalmente, las medidas de control y auditoría pertinentes para eliminar cualquier vestigio de incertidumbre.
El SDL paso a paso
--------------------------
Formación
- Cursos de formación clave
Reque