Neva-es.com

Como decía en los últimos post, la cadena se suele romper por el lado más débil. Desde sistemas se suele acusar siempre a los de desarrollo de incompetentes pero nadie se toma un mínimo de cinco minutos en preocuparse que es lo que les falta a quienes le ponen la guinda a esto de la tecnología, por que sin el software las máquinas no serían nada mas que un amasijo de chips, plásticos y hierro.

Hace tiempo que acudo a charlas sobre seguridad en el desarrollo y siempre acudo con una gran ilusión, hoy es el día me van a enseñar como desarrollar de una forma segura, y según me siento y empiezan las charlas todo promete hasta el momento en el que el ponente cae en el mismo error que los anteriores, voy a enseñaros lo que es un SQLInjection, lo que es un XSS, que son las principales vulnerabilidades existentes en las aplicaciones web. Incluso los más “cultos” en esto de la tecnología se atreven a decir que entorno o leguaje es más seguro, todo depende de quien les pague la nomina.

Todos estos ponente son unos grandes profesionales en el terreno, peor caen una y otra vez en el mismo error, enseñar lo mal que se hacen algunos desarrollos, pero ninguno se preocupa en decir que guías mínimas han de seguirse en función de la plataforma en la que se esta trabajando.

Para no caer en el mismo error que que muchos grandes profesionales, os dejo este link a la MSDN dónde se pueden encontrar mucha información, guías y consejos, así como código de lo que sería el desarrollo seguro. Y para dar pie a las buenas prácticas este otro link a los fundamentos de Aplicaciones Web Seguras.

Desde aquí lanzo una pregunta ¿Alguna empresa de desarrollo incorpora en su kit de bienvenida la guía de desarrollo seguro cuando contrata a un nuevo desarrollador?

A la hora de crear una política de seguridad de la información, hemos de cuidar las formas para quienes hemos de cumplirlas no las veamos como una amenaza a nosotros mismos como trabajadores y como un impedimento a nuestro trabajo diario. Este temor por parte de los componentes de un grupo afectado por una política de seguridad hace que en la mayoría de los casos cueste que la apliquen, y hace que los que nos ponemos la gorra de seguridad de la información nos tengamos que volver en ocasiones más agresivos hasta el punto de llegar a aplicar un reglamento severo, con sanciones incluso económicas dependiendo de la importancia del dato.

También es cierto que cada día somos más los que nos preocupamos por el medio ambiente. El problema del cambio climático aparece como unas 30 veces por día en los distintos medios de comunicación, conversaciones con amigos o de trabajo. Aprovechando la fuerte repercusión que esto está teniendo en la sociedad, y dado que todos queremos disfrutar de la tierra, podemos utilizarlo como excusa, para aplicar ciertas medidas Ecológicas que refuerzan nuestra política de seguridad.

Algunas políticas de seguridad de la información ecológicas, pueden ser:
- Ordenadores apagados fuera del horario de trabajo. Es que les cuesta arrancar por las mañanas. Por la lucha ecológica, diremos que los ordenadores encendidos consumen mucha energía de una forma innecesaria, y por mucho que le cueste arrancar todos los servicios y aplicaciones al comienzo de la jornada, no va a consumir más potencia de la que ya consume.
- Sesiones bloqueadas y pantallas apagadas: los usuarios tendrán configurado su puesto para que a los 5 minutos de inactividad, la cuenta quede bloqueada, a los 7 minutos el monitor se desconecta, a los 15 el monitor en modo suspendido, y a los 20 minutos, el ordenador entra en modo suspendido. De modo que si nos vamos a tomar un café, a una reunión, o nos vamos a comer, al regresar el ordenador habrá ahorrado una cantidad de energía con respecto tenerlo encendido con la cuenta bloqueada.
- Mesas limpias y destrucción del papel: ¿cuántos de nosotros acumulamos papeles, papeles y más papeles en nuestras mesas? ¿Somos conscientes de la importancia de la información existente en el papel? No imprimir aquello que no sea importante, contribuiremos a talar menos árboles. Si no nos queda otra que imprimirlo, cuándo terminemos de usarlos los guardamos en los cajones en carpetas para que quede ordenado, o la correspondiente bandeja. El proceso de reciclaje cuesta mucho menos si el papel ha sido previamente triturado, por lo que estaremos contribuyendo a reducir el consumo energético en las plantas de reciclaje, trituremos aquellos documentos que no nos sirven en lugar de hacer una bola para hacer canasta en la papelera. Por otro lado contribuiremos a una mejor imagen de nuestra compañía

Estas políticas, evidentemente no tendrían que ser publicadas en la política de seguridad de la información, tendrían que hacerse bajo el marco de Seguridad y Medio Ambiente, incluso es más fácil convencer al nuestros jefes por el tema ecológico que por el tema de la seguridad de la información.