Windows el sistema operativo más seguro
En dos palabras: IM-PRESIONANTE. Esa fue la reacción que tuve al leer la noticia de que un estudio de Symantec habia clasificado a Windows como el sistema operativo más seguro.
Habitualmente se nos apunta con el dedo respecto de la seguridad de nuestros productos, esto debido más que nada a una razón histórica; es decir, comparaciones de productos antiguos y más que nada porque el paradigma en aquella época no era ls seguridad precisamente.
Los resultados de la encuesta que publica Symantec (ver aquí) está basado en la cantidad de vulnerabilidades que son detectadas por los fabricantes y/o la comunidad, la criticidad de las mismas y cuantos días le toma a la compañía el liberar el parche desde que son encontradas.
Ahora porqué importa esto? Simple, mientras más días le toma a una compañía arreglar sus vulnerabilidades se abre una ventana de vulnerabilidad para los usuarios, esa ventana es la que aprovechan quienes quieren vulnerar un sistema.
Veamos ahora las estadísticas obtenidas en los últimos 6 meses del 2006:
Lo que hay que entender es que está haciendo cada compañia al respecto.
¿Qué pasa con Microsoft respecto de la seguridad?
La pregunta es porqué está ocurriendo esto ahora. La respuesta es simple, es el resultado empírico de la iniciativa de Computación Confiable que partió en Microsoft hace 5 años y que tiene como misión velar por la seguridad de las soluciones basada en 4 pilares fundamentales:
En medio de los ataques a redes cada vez más frecuentes y sofisticados, los usuarios esperan que sus sistemas resistan y que se mantenga la confidencialidad, integridad y disponibilidad de los datos y del sistema.
La gente utiliza cada vez más equipos informáticos para administrar información que es importante en su vida diaria. Esperan y demandan control del acceso y el uso de su información personal.
Conforme crece la importancia de los equipos informáticos en el modo en que la gente trabaja y vive, se hace cada vez más necesario que rindan como se espera. Los usuarios buscan una experiencia informática coherente sin problemas.
La visión que tiene la gente de la tecnología refleja su percepción del sector tecnológico. La confianza en la tecnología es más fuerte cuando la industria responde, es responsable y respetuosa.
Adicionalmente, a esto se creo una metodología de desarrollo segura basada en esta iniciativa llamada Ciclo de desarrollo seguro, SDLC. Donde se desarrollaron metodologías como Modelamiento de Amenazas, Defensa en profundidad y otras.
Esto dió como resultado metodologías que se usan de forma mandatoria en el desarrollo de todos los producto y se han publicado algunos libros. Para quienes desarrollan, les recomiendo Writing Secure Code y Threat Modeling. Además de todos los asociados a seguridad, revisenlos aquí .
Otro ejemplo que me gusta usar es respecto de la metodología conocida como SD3+C: Secure by Design, Secure by Default, Secure by Deployment + Comunicaciones. Donde se diseña el sistema de manera segura, por defecto no trae habilitado nada que pueda exponer la seguridad del sistema y se entregan las guías de implementación para realizarla de manera correcta. Todo esto unido a una clara comunicación de alertas de seguridad que se realiza el segundo martes de cada mes.
Un último ejemplo práctico de esto, es que a más de 1 año de su lanzamiento (7/11/2005) SQL Server 2005 no ha reportado ninguna vulnerabilidad crítica.
Por lo tanto una buena práctica es actualizar tu equipo con las actualizaciones de seguridad:
Bueno, nada más que reportar por ahora. :) Segurito!
Saludos, Christian.-