tag:blogger.com,1999:blog-33946654.post1009206909418551811..comments2024-02-24T09:40:11.228+01:00Comments on Seguridad y Gestión: Seguridad en el desarrolloJoseba Enjutohttp://www.blogger.com/profile/18377573571989848760noreply@blogger.comBlogger2125tag:blogger.com,1999:blog-33946654.post-14776227072386948222009-02-08T13:32:00.000+01:002009-02-08T13:32:00.000+01:00La verdad es que la certificación que señalas tien...La verdad es que la certificación que señalas tiene muy buena pinta. Seguro que siendo tan nueva tendrá aspectos que mejorar, pero la verdad es que la iniciativa me parece muy interesante. Como dices, a partir de ahora habrá que ver cuántas organizaciones de desarrollo empiezan a solicitar / valorar / vender profesionales con dicha certificación...Joseba Enjutohttps://www.blogger.com/profile/18377573571989848760noreply@blogger.comtag:blogger.com,1999:blog-33946654.post-88758663532342880812009-02-03T14:43:00.000+01:002009-02-03T14:43:00.000+01:00Interesante. Durante mi etapa de programador (unos...Interesante. Durante mi etapa de programador (unos cuantos años y unos cuantos entornos/lenguajes) no recuerdo apenas haber tenido especificaciones formales y concretas en materia de seguridad (ni siquiera existían relativas a lo que se tenía que desarrollar en esencia :-), pero eso es otro tema). Yo creo que el problema de fondo está en los mismísimos orígenes, es decir, el usuario. Como mucho de forma compartida con el "experto" que recoge y contrasta los requerimientos de los usuarios. Desde el punto de vista del usuario es obvio que la aplicación práctica de la seguridad tiende a 0 (salvo muy pocas excepciones en las que la "seguridad" forma parte del ciclo de desarrollo/adquisición de cualquier software o como mínimo participa personal dedicado a esos aspectos), por tanto, la patata caliente la tienen realmente los "analistas" de la solución (funcionales, orgánicos, jefes de proyecto, etc. o como se quieran llamar). Al igual que se proponen pantallas muy bonitas con sus campitos de datos y demás también deberían proponerse los controles intrínsecos a todo ese despliegue operativo-funcional. Desde luego, el programador bastante hace y en muchas ocasiones los pocos controles de seguridad implantados han sido "improvisados" por ellos mismos. También hay que recordar que hay una fase de "pruebas" que deberían neutralizar todas esas debilidades, aunque me temo que si en la fase de desarrollo poca atención se presta aún menos preocupación causa en las pruebas.<BR/>Me temo que la cultura de la seguridad en el desarrollo de software le queda mucho camino por recorrer. Una buena iniciativa por parte de isc2 ha sido la más o menos reciente creación de una certificación en este ámbito CSSLP (http://www.isc2.org/csslp-certification.aspx). A ver cuantas empresas de desarrollo se aplican el cuento y "obligan" a que determinado personal vinculado con esta función se acredite en estos aspectos. Obviamente, no asegura nada pero como mínimo se demuestra que se tienen presentes. En resumen, han avanzado muchas cosas tecnológicamente hablando pero en cuanto a la interiorización de la seguridad en los productos de software parece que no se haya avanzado mucho.Edgardhttps://www.blogger.com/profile/13136511716591955944noreply@blogger.com