sábado, 21 de enero de 2012

Homologación de seguridad en Sistemas Operativos

Me gustaría comentarles esta idea....

Desde una institución u organismo público o privado, con carácter independiente, se realiza para sistemas operativos un test tipo Euro NCAP Se me ocurre INTECO como primera opción, puesto que han dado pasos en el ámbito de los test de seguridad de productos. Podría colaborar con ASOLIF, por ejemplo.

Se trataría de test homologables (estándar) de seguridad de Sistemas Operativos.
Definiendo una serie de tests estándar (este proceso debe ser abierto, para que la propia industria participe) así como unas medidas que homologuen laboratorios (igual), se pondrían las cartas sobre la mesa sobre las medidas de seguridad que aplican o no los sistemas operativos actuales, en función de criterios ampliamente aceptados. Los estudios de seguridad a realizar se orientarían, en general, a evaluar posibles problemas que afecten a nuestros datos, del mismo modo que Euro NCAP evalúa la protección de los ocupantes de un vehículo ante una colisión.

Conociendo el proceso de antemano y publicando los resultados para cada producto analizado, se ayuda a crecer al sector del software. En concreto, para las empresas pequeñas sería muy interesante, si los costes de estos tests son bajos. En caso contrario servirá de poco.

Los efectos de esta medida serían múltiples. Se me ocurre......
  1. Por un lado, se llamaría la atención sobre la seguridad de los S.O. en relación a nuestros datos, tanto entre fabricantes como entre usuarios.
  2. Se normalizaría el algunos conceptos y medidas relacionados con la seguridad aplicado a S.O. lo que tendría un gran impacto sobre la protección de nuestros propios datos a medio plazo.
  3. Se podría ampliar en el futuro a otro tipo de productos de software bajo el mismo modelo. Los navegadores, clientes de correo, etc., es decir, aplicaciones básica usadas por todos, podrían ser los primeros candidatos.
  4. Se podría en el futuro desarrollar un modelo de negocio en torno a certificaciones. Serían bienvenidas por la industria y los usuarios, si son objetivos y baratos.
  5. Ayudaría a separar el polvo de la paja en áreas como vius, malware, ataques, etc., poniendo sobre la mesa la responsabilidad que tienen los propios fabricantes en muchos de los problemas que sufren los usuarios al utilizar sus productos.
  6. Se definiría un proceso de aprendizaje y retroalimentación que favorecería el aumento de calidad de los productos en este ámbito. Siendo los procedimientos de medida y evaluación aplicados, así como las condiciones de los laboratorios, públicos, las empresas podrían replicar los tests internamente antes del lanzamiento de sus productos, asegurándose una reducción del impacto negativo que supone la publicación de posibles evaluaciones negativas por parte del órgano evaluador. No se trata de crucificar a nadie, sino de aprender. Este proceso permitiría la rápida mejora de los propios tests.
  7. El establecimiento de diferentes niveles de seguridad, en función del tipo de uso y datos que gestionen los diferentes productos, abre la puerta a futuros establecimientos de niveles mínimos de seguridad, ayudando a la segmentación del mercado, a su especialización.
  8. Las implicaciones para el mercado serían enormes. Se me ocurre por ejemplo aplicar estos procesos a markets de aplicaciones para móviles.

   243. Será interesante comprobar las reacciones de algunos fabricantes ante una iniciativa como ésta, que empodera al consumidor a través de un órgano evaluador independiente.

En la actualidad, existen en el mercado certificaciones asociadas al uso de software para defensa, por ejemplo. La idea es democratizar, aportar luz y abaratar estos procesos, además de aplicarlos a software de uso común. La orientación a la protección de nuestros datos me parece fundamental. La seguridad es un concepto más amplio.

Para la industria automovilística y para nuestras vidas, esta idea ha tenido un alto impacto. No veo por qué no podemos trasladarla al software.

¿Existe algo como esto en marcha en alguna parte?¿Tiene sentido esto o ando bajos los efectos de la sopa y la pipa todavía?
Publicar un comentario en la entrada