Fuente:
http://www.diarioti.com/gate/n.php?idC70
(02/12/2003 05:23): La consultora Gartner estima que los ataques
cibernéticos no deben ser tratados a costa de los esfuerzos de los
proveedores de software por asegurar la seguridad de sus productos.
MADRID: El noviembre pasado, Microsoft ofreció recompensas de 250.000
dólares por cualquier información conducente al arresto de las
personas responsables de dos ataques recientes de código malicioso
contra el sistema operativo Windows: el gusano MSBlast y el virus
Sobig.
En un análisis, Gartner escribe que Los ataques de código malicioso
son actos criminales y deberían ser tratados como tales, pero no a
costa de los esfuerzos de los suministradores de software de asegurar
la seguridad de sus productos. Los cuerpos de seguridad deberían sin
duda aumentar sus esfuerzos para investigar, identificar y perseguir a
las personas responsables de los ataques a servidores y PCs de
empresa. Sin embargo, los suministradores deberían concentrarse en
hacer que su software fuera más resistente a los ataques en vez de
desviar recursos financieros y de gestión a poner en prácticas medidas
como las recompensas en metálico.
Incluso para un suministrador del tamaño de Microsoft (que sin duda
puede permitirse las dos cosas, recompensas y desarrollo de seguridad)
el tiempo de gestión y la atención son recursos limitados, observa
Gartner, agregando que Los suministradores que no consigan resolver
de forma adecuada la seguridad de sus productos pueden encontrarse con
que la ley les hace responsables de los ataques bajo el bien
establecido principio del peligro atrayente. Un peligro atrayente es
cualquier condición inherentemente peligrosa, por ejemplo, una piscina
sin protección en una vecindad llena de niños, de la que puede
esperarse que tiente a los menores a hacerse daño. La responsabilidad
por peligro atrayente ha sido aplicada en juicios que implicaban a
menores de hasta 16 años, una edad común para los creadores de virus y
gusanos. Internet es como una gran vecindad en la red y el software
vulnerable conectado a Internet puede ser considerado como un peligro
atrayente y hacer que la responsabilidad legal recaiga sobre los
suministradores de tal software. Las empresas que instalan software al
que no pueden aplicar los parches de seguridad con la rapidez
suficiente para mantenerse seguros también podría ser responsables
ante la ley.
A la luz del análisis anterior, Gartner concluye que Centrarse en
arrestar a los atacantes después del ataque puede terminar siendo más
caro para las empresas que una buena política de prevención de
intrusiones. Para que los programas de recompensas tengan éxito, las
empresas necesitarán invertir en capacidades forenses para apoyar las
investigaciones de las fuerzas de seguridad y para preservar la
evidencia de forma que se cumplan los rigurosos requerimientos
legales. Las empresas deberían continuar centrándose en la prevención
de intrusiones y deberían enfatizar la seguridad del software en todas
las licitaciones de ofertas y decisiones de actualización.
Ille Corvus. Hic et Nunc.
Leer las respuestas