Seguridad

Jaguar de seguridad de Oracle

Oracle ha estado realizando actividades de seguridad desde que Larry Ellison discutió públicamente una nueva «base de datos autónoma», llamada así porque se administra sola, incluidas las revisiones y actualizaciones automáticas, sin intervención humana.

Según Oracle, una base de datos de manos libres puede reducir drásticamente el tiempo entre la disponibilidad y la implementación al eliminar el esfuerzo humano para mantenerla afinada y en funcionamiento. También reduce significativamente los errores cometidos por los administradores de bases de datos, los errores involuntarios que ocurren cuando los humanos no aplican parches lo más rápido posible para evitar intrusiones.

El posicionamiento de Oracle refleja en gran medida los tiempos en los que vivimos. Los malos actores buscan vulnerabilidades en Internet, y Oracle ayuda a los clientes a recuperarse de ellas, al menos en parte, a través de su brazo de servicios. Como tal, la empresa tiene un interés financiero en promover la seguridad, integración y aplicaciones de Autonomous Database y productos relacionados, además de prevenir intrusiones en primer lugar.

Todo esto culminó en los últimos años con la demanda de Oracle contra Rimini Street, un proveedor de servicios externo para sistemas SAP, Oracle y, más recientemente, Salesforce. La demanda finalmente terminó, y Rimini Street perdió la apelación. Tuvo que pagar a Oracle porque infringió los derechos de autor de 93 elementos del material de soporte de Oracle.

La campaña de Oracle de hoy parece más orientada a recuperar clientes que habrían recibido soporte en otro lugar para ahorrar un 50 % en los costos de soporte. El punto de Oracle es que los proveedores de terceros no tienen el código fuente para parchear y actualizar, por lo que los usuarios de soporte de terceros en gran medida no pueden usar versiones de software obsoletas de manera oportuna. Sin actualizaciones, sus vulnerabilidades se harán más evidentes con el tiempo.

caso de la calle rímini

Oracle publicó recientemente la transcripción del juicio testigo Presentado por el CEO de Rimini Street, Seth Ravin, el 16 de septiembre de 2015, brinda una gran cantidad de información en esta área.

A continuación se presentan algunos extractos.Consultores de Oracle: Su… su… su abogado habló sobre el término actualización obligatoria en la declaración de apertura, que se refiere a una nueva actualización a una nueva versión del software, ¿verdad?

LEER  Ganso pandémico roba precios de credenciales en la web oscura

Señor Lavín: Sí, el proveedor requiere la instalación del cliente para poder recibir soporte continuo.

Consultores de Oracle: DE ACUERDO Y Rimini Street, al menos hasta… al menos hasta 2011, que yo sepa, no proporcionó ninguna actualización de seguridad a sus clientes, ¿verdad?

Señor Lavín: así es.

Consultores de Oracle: Y, de hecho, en realidad le estás diciendo al cliente… que no tienen que hacerlo, ¿verdad?


Sr. Ravin: Sí, porque es un modelo obsoleto en relación con lo que hoy llamamos seguridad general.

Consultores de Oracle: Sí. DE ACUERDO La seguridad holística significa no poner la seguridad en el software, simplemente ponerla en el firewall de su lugar de trabajo, ¿verdad?

Señor Lavín: Sí, en realidad es la versión más innovadora disponible hoy en día para los profesionales de la seguridad.

Consultores de Oracle: DE ACUERDO Pero eso implica no poner ninguna actualización de seguridad en el software contra los piratas informáticos, ¿verdad?

Señor Lavín: correcto. Sí, se llama parche virtual y sistema de firewall.

Consultores de Oracle: correcto. Un sistema de firewall es un sistema mantenido por un cliente, no un sistema que Rimini Street mantiene para un cliente, ¿correcto?

Señor Lavín: así es. Son responsables de su propio cortafuegos y de su propia protección de seguridad. Hay cientos de páginas de testimonios que documentan el largo proceso legal, que tardó años en resolverse, pero el pasaje ilustra algunos de los puntos de discusión de la demanda.

Un proveedor de servicios les dijo a los clientes que no les importara instalar la actualización. Un tercero ha inventado una solución alternativa que depende en gran medida de los cortafuegos y otras protecciones, pero si se infringen los cortafuegos, los clientes podrían verse expuestos a amenazas potencialmente graves. El comportamiento del proveedor podría interpretarse como una justificación egoísta. No se puede actualizar porque no tiene el código fuente, por lo que el proveedor intenta minimizar su importancia.

Cualquier cliente que no esté dispuesto a invertir el tiempo y el esfuerzo para instalar actualizaciones y parches, y tenga razones legítimas, como escasez de tiempo y mano de obra, es probable que tenga las mismas dificultades para mantener el software de firewall. Así que esta receta puede no ser particularmente efectiva.

Citando un correo electrónico de Rimini Street, el asesor legal de Oracle continuó:Consultores de Oracle: «La estrategia que recomendamos a los clientes es fortalecer todos los demás aspectos de la seguridad, como cuentas de usuario, acceso a la red, reglas de firewall y arquitectura del sistema».


Estás sugiriendo que se ocupan de la seguridad, no tienes que preocuparte por las actualizaciones de seguridad para el software, ¿verdad?

Señor Lavín: Esto es absolutamente cierto. Sí, ese es el modelo de seguridad integral. Esto equivale a que Rimini Street diga que ignore el aspecto de seguridad de la actualización, ya que no puede entregarla de todos modos, y se concentre mucho en otras características de seguridad como los firewalls.

Esto plantea algunas preguntas: ¿por qué alguien querría escatimar en seguridad? ¿Este enfoque costará menos o más? ¿Participará el cliente en el mantenimiento del cortafuegos y otros programas de recomendación?

Este tampoco es un problema trivial.de acuerdo a un cuadro de información Producido por Oracle,

  • El 65% de las organizaciones dicen que sus capacidades de seguridad interna son adecuadas, pero
  • El 80% de estos se vieron afectados negativamente por un ataque de ciberseguridad en el último año.
  • El costo del delito cibernético también es muy alto, con un total de $ 6 billones para 2021.

El costo de una violación de datos en 2016 Promedio $3.6 millones — No incluye daños a la marca, reputación y moral de los empleados. Algunas empresas simplemente no pueden recuperarse de todo esto.

Finalmente, otros terceros, como el Departamento de Seguridad Nacional de EE. UU., aceptan La importancia del software de parcheoTodas las organizaciones deben contar con un sólido proceso continuo de administración de parches para garantizar que se tomen las precauciones adecuadas contra posibles amenazas. Dado esto, el entusiasmo de Oracle por los conceptos de seguridad es comprensible.

Mis dos

Oracle es conocido por tener un codo afilado en el mercado y en los tribunales, pero usar un codo afilado es un derecho corporativo. Las empresas están bien dentro de su ámbito en la búsqueda de la seguridad y contra terceros que buscan frustrar los intereses de seguridad de sus clientes, ya sea intencionalmente o no.

Por supuesto, hay dinero de por medio. La pérdida de un cliente de soporte es una pérdida de ingresos para Oracle, por lo que tiene buenas razones para perseguir a los externos. Aún así, esta búsqueda no es un negativo automático para Oracle.

Los modelos comerciales ligeramente modificados mostrados por Salesforce y Rimini Street podrían contribuir en gran medida a rectificar la situación. Como proveedor de software en la nube, Salesforce asume toda la responsabilidad por los parches y actualizaciones del sistema y los implementa continuamente, en lugar de esperar meses por una oportunidad. Lo mismo ocurre con casi todos los demás proveedores de nube.

Los proveedores de la nube también están agrupando los servicios de Nivel 1 en los costos de suscripción, pero todavía hay espacio para que terceros ofrezcan servicios premium. Salesforce puede perder algunos ingresos por su servicio premium si los clientes compran soporte de terceros, pero ese es un costo secundario asociado con poseer un ecosistema.

Siendo ese el caso, el modelo de brindar soporte heredado para sistemas locales puede ser una industria en declive que está siendo reemplazada por la computación en la nube. Esto agrega otra dimensión al considerar la matriz de costos, pros y contras asociada con el cambio a la nube.

Las opiniones expresadas en este artículo pertenecen al autor y no reflejan necesariamente las de ECT News Network.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba