Pero … ¿Cómo de importante es la seguridad?

La entrada es cortita pero contundente: Security People vs Developers. En un sondeo informal, este sería el orden de prioridades:

1. Functions and features as specified or envisioned
2. Performance
3. Usability
4. Uptime
5. Maintainability
6. Security

Según sea nuestro sesgo, seguro que ordenaríamos de manera diferente pero …

Appsec friends, let 2011 be the year where you go to training to learn what’s important in software and where security fits in the big picture. Then we won’t hear anymore jokes on ignorant developers in 2012. Instead we’ll be humble and get things done.

Humildad, y tratar de alcanzar los objetivos.

2 pensamientos en “Pero … ¿Cómo de importante es la seguridad?

  1. Cuando veo una lista así, se me viene a la cabeza una idea que se podría expresar con otra lista de cosas importantes para sobrevivir:

    1. Oxígeno.

    2. Presión atmosférica adecuada.

    3. Temperatura adecuada.

    4. Agua potable.

    5. Comida.

    6. Dormir.

    Me dejo bastantes puntos, sobre todo en el apartado de “ausencia de…”. Pero la idea creo que se entiende: ¿cuál de estas cosas es más importante? O dicho sin pregunta retórica: ninguna de estas cosas es más importante que otra, ya que faltando cualquiera de ellas, morimos. La muerte puede ser cuestión de segundos o de días. Pero yo no diría que eso equivale a importancia. El concepto de prioridad sólo es aplicable cuando hablamos de muy corto plazo o de factores que no son catastróficos.

    Una aplicación que *necesita* un cierto nivel de seguridad y no se le concede está sólo a un paso del desastre, un paso que a menudo depende de “la suerte”. Leí hace unos meses (¿quizás aquí mismo?) que las empresas que sufren una pérdida catastrófica de datos cierran en un 80% o 90% (o algo así). Me he encontrado “en el mundo real” a gente que consideran ciertas medidas de seguridad como “no prioritarias”. Pero esas consideraciones no soportan el contacto con la realidad. En una aplicación web de cara al público, la usabilidad, rapidez o “uptime” pueden ser igualmente cruciales: si no existen, el usuario se va y no vuelve. Pero no siempre es así. En una lista más general, la seguridad no puede estar en sexto puesto, sino en la lista corta de cosas que impiden la supervivencia.

  2. Vale. Pero cuando dentro de la empresa vas a vender la importancia del tema, tienes que saber qué ‘importancia’ le concede el resto y actuar de manera adecuada (para no asustar a nadie, para conseguir tus objetivos, para que la aplicación/solución termine siendo mejor). Creo que a eso se refiere con la humildad y la prudencia :)

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s