Todos los expertos concuerdan que aunque la seguridad absoluta de una aplicación es casi imposible, hay algunas estrategias que un desarrollador puede emplear para mitigar los riesgos.

1. Defina el proceso

Como primer paso, los desarrolladores han de definir el proceso que utilizarán en el desarrollo y medición de seguridad de la aplicación que están diseñando.

La importancia de la seguridad

El desarrollo de software abarca muchas fases, desde la descripción de requisitos hasta la definición de diseño, codificación, pruebas y despliegue. El desarrollador debe considerar cómo aplicar la seguridad en cada fase de desarrollo, según Ben Chelf, CTO de Coverity, una compañía desarrolladora de códigos fuente y herramientas de análisis.

“La definición de procesos incluye los estándares de codificación que el desarrollador debe emplear para evitar códigos potencialmente peligrosos y el diseño del sistema para evitar accesos no autorizados”, dijo Chelf. La seguridad no es algo que se puede añadir al final de la codificación, dijo Chelf. Para entonces, es demasiado tarde. Con un proceso bien diseñado que cubre el ciclo de vida de un desarrollo, el programador es capaz de establecer controles que cuantifican y verifican el estado de seguridad.

Sin embargo, no existe una fórmula secreta que funcione para todo tipo de organizaciones. Eric Bidstrup, jefe de Security Engineering and Community, Trustworthy Computing de Microsoft, señala que es de suma importancia obtener el apoyo de la dirección. “Asegúrese de tener el respaldo de la dirección corporativa en todo referente al desarrollo seguro, incluyendo la posibilidad de cesar la producción o envío de un producto si no cumple con las especificaciones descritas en la documentación que delinea los desarrollos seguros”, dijo Bidstrup.

Como consecuencia, se deben establecer responsabilidades y prioridades antes de emprender en un proyecto de desarrollo. “La seguridad de aplicaciones requiere una asociación estrecha entre el equipo de seguridad y el equipo de desarrollo”, según Mike Weider, director de soluciones de seguridad de IBM Rational. “Esta relación debe existir tanto con los desarrolladores internos como externos. Los desarrolladores externos y compañías de outsourcing han de responsabilizarse de desarrollar códigos seguros y debe formar parte de cualquier contrato”.

Sebastian Hoist, vicepresidente de marketing de PreEmptive Solutions, también recomienda un inventario detallado del entorno de software. “Una organización debe disponer de un inventario preciso de todos los desarrollos, cuáles han sido desplegados, y dónde se están utilizando, por quién y con qué finalidad”, dijo Hoist.

Los problemas suelen ocurrir cuando sólo se considera incorporar la seguridad al final del ciclo de desarrollo, explica Weider. “Al igual que la calidad, resulta más efectivo y eficaz resolver los problemas de seguridad durante la codificación antes acreditar el producto como listo para producción”, dijo Weider. “Es un cambio de filosofía que ha de asentarse en la empresa: la seguridad integrada. Las pruebas de calidad han de ir mano en mano con la seguridad”.

2. Eduque a los usuarios

El segundo paso en desarrollos seguros es la educación del personal que formará parte del equipo de desarrollo de software. La seguridad de software es un tema que no se le ha dado demasiada importancia en los cursos universitarios, y es más que probable que los arquitectos, diseñadores, administradores e ingenieros de calidad no tengan los conocimientos adecuados acerca el diseño e implementación de software seguro, dijo Chelf.

“No se trata solamente de una programación segura”, continuó Chelf. “Si usted dispone de un sistema que es perfecto desde el punto de vista de codificación pero permite accesos no autorizados por no ofrecer contraseñas fuertes, el sistema sigue siendo inseguro”. Chelf señala que existe una variedad de fuentes que muestran cómo planificar y diseñar sistemas, incluyendo libros y cursos online. Pero además de conocimientos teóricos, los diseñadores necesitan conocimientos prácticos, añade Chelf. “Una alternativa es construir un laboratorio con un sistema real que se pueda explotar con vulnerabilidades conocidas”, según Chelf. “Los desarrolladores deben obtener experiencia práctica del comportamiento de una vulnerabilidad trazando el fallo hasta su causa. De esta manera, podrán observar y evaluar la dificultad de la identificación del problema en un sistema comprometido. Esto les dará un ‘feel’ real del impacto de una vulnerabilidad”.

Además de un laboratorio, Bidstrup de Microsoft sugiere establecer una guía de respuestas. “Prepárese a actualizar el ciclo de vida del desarrollo en función de los conocimientos adquiridos del análisis de causas”, dijo Bidstrup.

Weider, de IBM Rational, añade que la educación de los desarrolladores es un aspecto clave para hacer frente al tema de seguridad, y las organizaciones deben responsabilizarse en este aspecto. “Los desarrolladores no suelen tener una buena formación de seguridad en los colegios. Esto debe ser una prioridad en las compañías”, dijo Weider.