La Fundación Sadosky del Ministerio de Ciencia, Tecnología e Innovación Productiva, forma parte del Centro de Diseño Seguro (CSD) de software del IEEE, la asociación profesional más importante del mundo en materia de avance tecnológico. La representación está a cargo de Iván Arce, director del programa Seguridad en TIC de la Fundación junto a especialistas de Twitter, Google, Cigital, HP, Universidad George Washington, Intel, RSA, Universidad de Washington, EMC, Harvard y Universidad de Economía y Negocios de Atenas. El Centro buscará corregir fallas en el diseño del software desde su concepción en lugar de buscar y resolver errores con los productos en el mercado, intercambiando experiencias para que los arquitectos de software aprendan de los errores de sus colegas.
Según Santiago Ceria, director ejecutivo de Sadosky “la inclusión de la Fundación en el IEEE como miembro fundador del Centro de Diseño Seguro, es un reconocimiento importantísimo al trabajo que venimos realizando para fomentar la investigación en seguridad informática en el país” y agregó que “Argentina entra así al círculo de los actores más importantes del mercado”.
La mayoría del software es lanzado al mercado con una serie de errores de implementación, también conocidos como bugs, y fallas de diseño. Un bug es un problema del software a nivel de implementación, pueden existir dentro del producto pero nunca manifestarse. Históricamente la industria se enfocó en la corrección de los errores en lugar de identificar las fallas de diseño. Por su parte una falla de diseño es un defecto del software mucho más profundo, difícil y costoso de corregir, y conlleva mayor riesgo para el software y sus usuarios. El CSD buscará cambiar la visión de los diseñadores de software para detectar estas fallas.
Al respecto Neil Daswani, del equipo de ingeniería de seguridad de Twitter, expresó que “el CSD, al dejar de lado la miopía de los bugs y empezar a hablar sobre las fallas de diseño, le dará un enorme servicio a las empresas, incluidas las más grandes de la industria”. Por su parte, Gary McGraw, oficial en jefe de Tecnología de Cigital, resaltó que “las fallas de diseño representan el 50% de los problemas de seguridad del software”.
A principios de 2014, la IEEE reunió especialistas de la industria, entre ellos Iván Arce, para elaborar una lista de las principales fallas de diseño, muchas de ellas conocidas desde hace décadas pero que persisten como errores comunes. Como resultado se elaboró un documento listándolas y sugiriendo cómo evitarlas. Tras la publicación del documento, quedó formado el CSD cuya misión será recoger la experiencia en seguridad del software de la industria, la academia y el gobierno y proveer una guía para reconocer sistemas de diseño de software que pueden ser vulnerables y diseñar y construir sistemas con fuertes propiedades de seguridad.
Iván Arce, director del programa Seguridad en TIC y representante en el CSD, aseguró que “con la creación del CDS se da un paso adelante en la búsqueda de soluciones y tecnologías para seguridad en el diseño aplicables al desarrollo de software en el mundo real”. Además agregó que “busca atender un problema fundamental del desarrollo y uso de las TIC en una sociedad moderna, responder la pregunta: ¿Qué pautas o recomendaciones de diseño debo considerar para evitar fallas garrafales de seguridad en la tecnología que estoy desarrollando?”
En el sitio del CSD http://cybersecurity.ieee.org/ puede descargarse el primer informe: “Avoiding the Top 10 Security Flaws”, elaborado por los especialistas.
