Seguridad con código abierto: las 5 mejores prácticas

Joel Dubin, consultor independiente de seguridad de cómputo y autor del libro The Little Black Book of Computer Security, comparte las que considera son las cinco mejores prácticas para mantener aplicaciones de código abierto seguras. He cambiado un poco el registro y añadido algún comentarios mío a las principales ideas:

  1. Inventario de software
    Si todavía no has realizado un inventario de software, házlo, ya que esto brinda un control sobre lo que está instalado. A diferencia del software propietario, que se compra (ejem, supuestamente – en la práctica suele copiarse o descargarse de donde se puede (y esto añade problemas de seguridad a raudales)) y que por tanto deja rastros de su existencia, las aplicaciones gratuitas pueden descargarse de la red sin que quede un registro de ello.
  2. Administración de parches
    Manejar las actualizaciones o parches en el software libre puede ser complicado, pero es crucial. Para organizaciones con una diminuta base de aplicaciones libres, lo más barato o conveniente suele ser el parcheo manual, verificando y aplicando manualmente actualizaciones para tecnologías como Apache y Jakarta – productos que liberan actualizaciones con regularidad, pero que no ofrecen descargas automatizadas como en Linux o productos antivirus, por ejemplo. Otra opción es visitar con frecuencia sitios web e instalar las actualizaciones vía scripts, que pueden ser escritos por los administradores y ejecutados automáticamente en horas no hábiles (noche o fines de semana). Conforme aumente el tamaño de la organización, menos funcionales son estas alternativas, por lo que el siguiente paso sería ir buscando alguna herramienta especializada en la administración de parches. (Nota: en mi opinión, la solución – que muchas veces “se olvida” o “no es práctica” – pasaría por aumentar el personal, más que buscar más y más herramientas; si la organización va creciendo más y más, no puede esperarse que el mismo número de encargados pueda seguir atendiendo los problemas de seguridad, que cuando era más pequeña).
  3. Compatibilidad de la red y el firewall
    Asegúrate de que el software que instales no abra algún hueco de seguridad en la red. Si adoptas alguna aplicación que requiera hacer cambios radicales en la configuración de su arquitectura y comprometa el buen funcionamiento y seguridad de la red, hay que pensárselo muy bien antes de dar el visto bueno a ese software.
  4. Administración de acceso
    Tan pronto como instales la aplicación, conviene cambiar toda la configuración preestablecida de seguridad para mantenerse a raya de los “hackers” (o crackers, o lammers, o como se les quiera llamar), que con frecuencia guardan listas de nombres de usuario, contraseñas y configuraciones comunes.
  5. Pruebe y analice
    Aunque el software de código abierto sea más seguro que su contraparte comercial, hay que ser muy cuidadoso y asegurarse de que se instaló, configuró y actualizó de manera segura. Existen aplicaciones especializadas en buscar y encontrar vulnerabilidades en el software, pero hacer este tipo de pruebas no siempre es barato o puede ser complicado para organizaciones pequeñas.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: