lunes, 7 de febrero de 2011

Los errores informáticos, ¿Deben pagarse?

"Nadie es perfecto: los errores de los cocineros se tapan con mayonesa, los errores de los albañiles se tapan con cemento y los errores de los médicos se tapan con tierra". Esta frase atribuida a Frank Lloyd Wright va a ser el origen del post de esta semana.

Todo parte de una noticia que guardé hace unos días (vía Instapaper que recomiendo usar a aquellos que quieren mejorar su productividad y no verse arrastrados por la navegación compulsiva) donde David Rice, nuevo responsable de seguridad de Apple plantea un impuesto sobre vulnerabilidades como idea para la mejora de la seguridad del software.

Esta propuesta no es nueva y forma parte del discurso de Bruce Schneier que siempre habla de la "economía de la inseguridad". Su planteamiento viene a explicar que la filosofía con la que la industria en general trabaja es el pago por los efectos de la inseguridad, sin atajar la esencia del problema.

Lo curioso del tema es que realmente no se sabe si este enfoque resulte económicamente más rentable que intentar fortalecer la seguridad desde el diseño. Microsoft a base de sufrirlo en sus propias carnes decidió cambiar radicalmente su filosofía y paso a una "seguridad por defecto" como planteamiento de diseño. Y las cosas se hicieron bien desde el principio, atacando el problema desde la raíz, en el proceso de construcción del software. Fruto de aquello, hoy utilizan y aplican la metodología de desarrollo seguro SDLC de la que ya he hablado en este blog en más de una vez.

Lo que sí creo es que empieza a llegar un momento en donde debiera plantearse el proceso industrial de la Ingeniería en Informática, estableciendo unos requisitos mínimos a cumplir y unas garantías mínimas exigibles a los productos hardware o software que se lanzan al mercado. Y no garantías físicas respecto a la seguridad industrial del producto (consumo, rendimiento eléctrico, etc.) sino garantías respecto a los aspectos programados por el software, atribuibles al código que se ejecuta en el dispositivo.

Porque hay una cosa clara, mientras el error o fallo no afecte directamente a la cuenta de resultados de la Empresa que lo causa o genera, la Industria no cambiará. Esa "cláusula comodín" del software que lo primero que dice es que se encuentra ante un producto del que no es exigible ningún tipo de responsabilidad se tiene que acabar. En otras áreas de la Industria se realiza un esfuerzo enorme por garantizar la robustez y fiabilidad de los productos y la Informática no está todavía por desgracia a esa altura. Sólo hay que pensar en las disciplinas asociadas a la seguridad de los materiales de construcción, la seguridad del automóvil, etc... para darse cuenta de lo importante que es el diseño seguro. Las cifras de Gartner estiman que costará alrededor de $ 1 millón al año en promedio para una empresa con entre 2.500 y 3.000 máquinas la aplicación de parches de software.


Las noticias recogidas en prensa dan tal sensación de cotidianidad a este tema que tenemos más que asumido el "error informático" como parte del precio que hay que pagar por el alto desarrollo industrial. Obviamente la complejidad de los sistemas va en aumento y la torre de cartas es cada vez más alta, lo que hace que cualquier problema en una de ellas tenga consecuencias. En cualquier caso, la dificultad no debe ser nunca excusa para no abordar el problema. Hay incidentes que sí tienen una culpabilidad clara y que si debieran penalizar a la empresa que lo genera. Esta semana también ha sido conocido el problema de seguridad de los "Cargadores USB Energizer" que incluyen de regalo un troyano.
No nos damos cuenta pero hay software por todos lados, incrustado sobre hardware o desarrollado sobre sistemas operativos pero casi todo los electrodomésticos están transformándose en "inteligentes" debido al software de control que llevan embebido. Y pronto cada uno de estos cacharros tendrá una IP. ¿Tendremos que ver cómo una oleada de malware inutiliza los frigoríficos de medio mundo para tomarnos en serio esto de considerar como fase indispensable del diseño a la "seguridad".

"Nadie es perfecto: los errores de los cocineros se tapan con mayonesa, los errores de los albañiles se tapan con cemento y los errores de los medicos se tapan con tierra". En el futuro habrá que añadir, "Los informáticos lo tienen más facil, basta con apagar y volver a encender para solucionarlo". Así nos ve la sociedad y así nos paródia como se puede ver en la serie "Los Informáticos". Es triste pero es nuestra realidad. Lo que más duele es que en otras áreas y disciplinas jamás se habría dado lugar a esta situación, pero como la "Informática" no es una "Ingeniería real" como el resto y no tiene atribuciones profesionales, pues así estamos. Sabemos que "la informática es una ciencia", "un arte" y en el futuro "una religión". Habrá que creer y tener fe en ella para que las cosas funcionen.




Fuente:http://seguridad-de-la-informacion.blogspot.com/2011/02/los-errores-informaticos-deben-pagarse.html

No hay comentarios:

Publicar un comentario