La interoperabilidad se está convirtiendo rápidamente en una palabra clave en la informática empresarial. Los productos de código abierto continúan ganando reconocimiento corporativo. A medida que crece esta aceptación, cada vez más usuarios exigen que los datos producidos por una aplicación puedan usarse con datos producidos por otra aplicación o incluso por otro sistema operativo.
Los defensores del código abierto quieren la máxima interoperabilidad, que les permita utilizar cualquier software que elijan. Por ejemplo, las empresas que utilizan aplicaciones empresariales de código abierto quieren que los archivos que crean y utilizan sean compatibles con los productos líderes del mercado de Microsoft, y viceversa.
Sin embargo, la interoperabilidad puede hacer que los sistemas informáticos sean más vulnerables a mayores riesgos de seguridad. Entonces, ¿significa esto que los usuarios de código abierto deben elegir la interoperabilidad sobre la seguridad? ¿El acceso a los datos generados por las aplicaciones de Microsoft expone automáticamente a los usuarios de productos que no son de Microsoft a las mismas vulnerabilidades que afectan a los productos de Redmond?
“Este es un debate que lleva décadas. Una mayor transparencia genera riesgos para la seguridad. Esta condición puede ser válida en algunos casos. Desenredardijo a LinuxInsider.
Eso depende
La interoperabilidad no necesariamente expone a los usuarios a problemas de seguridad. El grado de riesgo depende en gran medida de la combinación de productos y plataformas utilizadas por ambas partes de la aplicación.
“A menudo, en una comunidad cerrada, como una plataforma única, es más fácil para las personas propagar el virus sin saberlo. Esto se vuelve menos importante si el entorno es mixto. seguridad centraldijo a LinuxInsider.
Sugirió que el uso de versiones bien parcheadas de un programa y la realización de pruebas de penetración adecuadas a menudo desempeñarán un papel más importante en el alcance de la vulnerabilidad expuesta.
Sopesando las probabilidades
Este es un sentimiento que suelen compartir los expertos en seguridad y los desarrolladores de productos. La seguridad y la interoperabilidad no son una situación única para todos.
«La interoperabilidad, por sí sola, no es ni más ni menos segura. El problema es cuando los clientes quieren ejecutar diferentes aplicaciones juntas», Dominic Sartorio, presidente Alianza de soluciones abiertasdijo a LinuxInsider.
Si la comunidad de código abierto desarrolla estándares más comunes, puede reducir las preocupaciones sobre problemas de interoperabilidad. Por ejemplo, sugirió que los creadores de códigos deberían prestar más atención a la seguridad de las aplicaciones individuales.
El debate de 'más ojos'
Los críticos del software de código abierto pueden señalar su naturaleza ampliamente abierta y sin secretos y decir que el modelo es inherentemente menos seguro.
Los opositores argumentan que las aplicaciones de código abierto son más seguras porque el código abierto permite que más ojos detecten los problemas.
«Es más fácil para los malos usar código abierto para crear problemas. Pero también es más fácil para los buenos verlo», dijo Pinkett.
Pero, admite fácilmente, la discusión sobre el tema rápidamente se convirtió en una discusión religiosa. En última instancia, dijo, qué visión de los riesgos de interoperabilidad es más creíble es sólo una preferencia personal de cada uno.
No hay «esto o lo otro»
Una perspectiva común sobre el impacto de la interoperabilidad en la seguridad es cómo los usuarios mezclan y combinan sus datos y aplicaciones. No se puede determinar que ningún escenario sea absolutamente seguro o de alto riesgo.
«No se trata de código abierto o cerrado, sino más bien de lo que se hace con él», dijo Pinkett.
Por ejemplo, según Sartorio, es inevitable que las aplicaciones más utilizadas sean más vulnerables. La calificación de seguridad de cualquier programa se basa en cuántas vulnerabilidades tiene, ya sea abierta o cerrada.
“El software de código abierto es tan susceptible a las vulnerabilidades de seguridad del software como el software de código cerrado. Una mayor atención no significa necesariamente que haya que revisar el código de seguridad. No hay garantías, al igual que no hay garantías en el caso del código cerrado. Innovación en seguridaddijo a LinuxInsider.
En ambos casos, afirmó, se necesita un modelo de desarrollo de software seguro para evitar la introducción de códigos maliciosos.
mezcla volátil
Los datos compartidos con otros programas y los programas compartidos en diferentes sistemas operativos seguirán coexistiendo. Esto es exactamente hacia donde se dirige la industria. Sin embargo, es necesario tomar precauciones para garantizar riesgos mínimos de seguridad.
«Cuando la gente empiece a utilizar chicle y alambre para que las cosas funcionen juntas, las cosas van a empeorar», advirtió Sartorio.
La interfaz representa los principales problemas relacionados con los datos compartidos y la seguridad del programa. Sartorio advirtió que pueden surgir problemas cuando las personas conectan componentes separados sin una única interfaz de inicio de sesión en el front-end.
«Una solución es un inicio de sesión de usuario universal que cubra todos los componentes híbridos. La gestión de la seguridad es más efectiva cuando hay un solo nombre de usuario y contraseña.
reducir el riesgo
Las empresas involucradas en aplicaciones y datos interoperables deben realizar un análisis de riesgos detallado como parte de su diligencia debida sobre cualquier software que instalen. Auglier dijo que esto incluye aplicaciones tanto de código abierto como de código cerrado.
También instó a los usuarios a evitar la trampa de que «todo el mundo lo está usando». Parte de la gestión de riesgos, explicó, es decidir cuándo y dónde aplicar los recursos disponibles. Dijo que este tipo de análisis de riesgos a menudo se omite cuando surge el argumento de que «muchas otras personas están usando este software, por lo que todos estamos en el mismo barco».
La situación con el software interno no ha cambiado. Incluso si las empresas desarrollan su propio software de código cerrado mediante la subcontratación, también deben considerar los riesgos de seguridad.
«En todos los casos, se debe utilizar un proceso de desarrollo seguro, y los usuarios del software deben tener un conocimiento profundo de la gestión de un proceso de desarrollo seguro para que puedan aceptarlo», dijo.
