[FT.Noticia] Gartner critica el programa de recompensas de MS

02/12/2003 - 13:10 por Ille Corvus | Informe spam
Fuente: http://www.diarioti.com/gate/n.php?idC70


(02/12/2003 05:23): La consultora Gartner estima que los ataques
cibernéticos no deben ser tratados a costa de los esfuerzos de los
proveedores de software por asegurar la seguridad de sus productos.

MADRID: El noviembre pasado, Microsoft ofreció recompensas de 250.000
dólares por cualquier información conducente al arresto de las
personas responsables de dos ataques recientes de código malicioso
contra el sistema operativo Windows: el gusano MSBlast y el virus
Sobig.

En un análisis, Gartner escribe que “Los ataques de código malicioso
son actos criminales y deberían ser tratados como tales, pero no a
costa de los esfuerzos de los suministradores de software de asegurar
la seguridad de sus productos. Los cuerpos de seguridad deberían sin
duda aumentar sus esfuerzos para investigar, identificar y perseguir a
las personas responsables de los ataques a servidores y PCs de
empresa. Sin embargo, los suministradores deberían concentrarse en
hacer que su software fuera más resistente a los ataques en vez de
desviar recursos financieros y de gestión a poner en prácticas medidas
como las recompensas en metálico”.

“Incluso para un suministrador del tamaño de Microsoft (que sin duda
puede permitirse las dos cosas, recompensas y desarrollo de seguridad)
el tiempo de gestión y la atención son recursos limitados”, observa
Gartner, agregando que “Los suministradores que no consigan resolver
de forma adecuada la seguridad de sus productos pueden encontrarse con
que la ley les hace responsables de los ataques bajo el bien
establecido “principio del peligro atrayente”. Un peligro atrayente es
cualquier condición inherentemente peligrosa, por ejemplo, una piscina
sin protección en una vecindad llena de niños, de la que puede
esperarse que tiente a los menores a hacerse daño. La responsabilidad
por peligro atrayente ha sido aplicada en juicios que implicaban a
menores de hasta 16 años, una edad común para los creadores de virus y
gusanos. Internet es como una gran “vecindad en la red” y el software
vulnerable conectado a Internet puede ser considerado como un peligro
atrayente y hacer que la responsabilidad legal recaiga sobre los
suministradores de tal software. Las empresas que instalan software al
que no pueden aplicar los parches de seguridad con la rapidez
suficiente para mantenerse seguros también podría ser responsables
ante la ley”.

A la luz del análisis anterior, Gartner concluye que “Centrarse en
arrestar a los atacantes después del ataque puede terminar siendo más
caro para las empresas que una buena política de prevención de
intrusiones. Para que los programas de recompensas tengan éxito, las
empresas necesitarán invertir en capacidades forenses para apoyar las
investigaciones de las fuerzas de seguridad y para preservar la
evidencia de forma que se cumplan los rigurosos requerimientos
legales. Las empresas deberían continuar centrándose en la prevención
de intrusiones y deberían enfatizar la seguridad del software en todas
las licitaciones de ofertas y decisiones de actualización”.



Ille Corvus. Hic et Nunc.
 

Leer las respuestas

#1 peligro
02/12/2003 - 14:42 | Informe spam
Humberto Espartaco Ille Corvus

¿sigues igual?



Fuente: http://www.diarioti.com/gate/n.php?idC70

-
(02/12/2003 05:23): La consultora Gartner estima que los


ataques
cibernéticos no deben ser tratados a costa de los


esfuerzos de los
proveedores de software por asegurar la seguridad de sus


productos.

MADRID: El noviembre pasado, Microsoft ofreció


recompensas de 250.000
dólares por cualquier información conducente al arresto


de las
personas responsables de dos ataques recientes de código


malicioso
contra el sistema operativo Windows: el gusano MSBlast y


el virus
Sobig.

En un análisis, Gartner escribe que "Los ataques de


código malicioso
son actos criminales y deberían ser tratados como tales,


pero no a
costa de los esfuerzos de los suministradores de software


de asegurar
la seguridad de sus productos. Los cuerpos de seguridad


deberían sin
duda aumentar sus esfuerzos para investigar, identificar


y perseguir a
las personas responsables de los ataques a servidores y


PCs de
empresa. Sin embargo, los suministradores deberían


concentrarse en
hacer que su software fuera más resistente a los ataques


en vez de
desviar recursos financieros y de gestión a poner en


prácticas medidas
como las recompensas en metálico".

"Incluso para un suministrador del tamaño de Microsoft


(que sin duda
puede permitirse las dos cosas, recompensas y desarrollo


de seguridad)
el tiempo de gestión y la atención son recursos


limitados", observa
Gartner, agregando que "Los suministradores que no


consigan resolver
de forma adecuada la seguridad de sus productos pueden


encontrarse con
que la ley les hace responsables de los ataques bajo el


bien
establecido "principio del peligro atrayente". Un peligro


atrayente es
cualquier condición inherentemente peligrosa, por


ejemplo, una piscina
sin protección en una vecindad llena de niños, de la que


puede
esperarse que tiente a los menores a hacerse daño. La


responsabilidad
por peligro atrayente ha sido aplicada en juicios que


implicaban a
menores de hasta 16 años, una edad común para los


creadores de virus y
gusanos. Internet es como una gran "vecindad en la red" y


el software
vulnerable conectado a Internet puede ser considerado


como un peligro
atrayente y hacer que la responsabilidad legal recaiga


sobre los
suministradores de tal software. Las empresas que


instalan software al
que no pueden aplicar los parches de seguridad con la


rapidez
suficiente para mantenerse seguros también podría ser


responsables
ante la ley".

A la luz del análisis anterior, Gartner concluye


que "Centrarse en
arrestar a los atacantes después del ataque puede


terminar siendo más
caro para las empresas que una buena política de


prevención de
intrusiones. Para que los programas de recompensas tengan


éxito, las
empresas necesitarán invertir en capacidades forenses


para apoyar las
investigaciones de las fuerzas de seguridad y para


preservar la
evidencia de forma que se cumplan los rigurosos


requerimientos
legales. Las empresas deberían continuar centrándose en


la prevención
de intrusiones y deberían enfatizar la seguridad del


software en todas
las licitaciones de ofertas y decisiones de


actualización".
-


Ille Corvus. Hic et Nunc.
.

Preguntas similares