Open Source y ciberseguridad. La importancia del elemento humano
Al hilo de la visita a una de las mayores ferias mundiales en Ciberseguridad, más de 36.000 visitantes, 704 conferencias y 658 expositores, sin ser un experto, me atrevo a redactar unas reflexiones sobre la estrecha relación del creciente sector de la ciberseguridad con el Open Source, que sin duda toma en consideración el elemento humano.
En primer lugar, en la RSA Conference 2020 hemos podido comprobar una vez más el preminente lugar que ocupan soluciones Open Source en el ámbito de la cyberseguridad. De hecho la RSA Conference incluía el mundo de las herramientas Open Source como novedad este año en la conferencia.
Las empresas que trabajan y desarrollan en el sector hacen un uso intensivo del software libre. Ya en 2016 Sonatype estimaba que, en general, el 80-90 % de una aplicación típica de software es componente FLOSS. Porcentaje que probablemente se iguale o supere en cyberseguridad. Al fin y al cabo, la actual cadena de desarrollo de software afortunadamente permite a las empresas integrar componentes de software libre sin necesiadad de "inventar la rueda" y tener que desarrollar todo desde cero.
Tambien en las soluciones de protección, análisis, software de Cyberseguridad el open source está presente en ese 80-90% al menos, si no más. Soluciones de seguridad en el ámbito Cloud, virtualización, IoT, apps, telecomunicaciones, aprendizaje automático e inteligencia artificial, políticas y gobierno, criptografía aplicada, blockchain, ... hacen un uso intensivo del open source. Gran cantidad de compañías del sector presentes en la Conferencia RSA 2020, como Elastic, Snyk, Red Canary, WhiteSource, ...y otras muchas desarrollan herramientas Open Source.
Todavía más alla, la estrategia y los procesos en ciberseguridad, pueden seguir las vias abiertas y experimentadas por el software libre en el pasado. Como se repetía en la RSA Conference, la seguridad es un proceso continuado, en el que la empresa u organización va aprendiendo y mejorando continuamente, la seguridad es una propiedad del sistema y no una característica del mismo, ni tampoco un producto, sino como hemos indicado, un proceso continuo.
Pero al mismo tiempo como recogian un par de recientes artículos de Harvard Business Review ("1", "2"), recogiendo ideas del Laboratory for Innovation Science at Harvard (LISH), y la Linux Foundation’s Core Infrastructure Initiative (CII), el software libre debe protegerse de las vulnerabilidades que debido a que, como resaltabamos antes, su creciente utilización impacta y afecta a cada vez más y más sectores, tanto públicos como privados.
Entre otras cuestiones, para evitar las posibles vulnerabilidades del software libre desde el punto de vista de la seguridad, las principales cuestiones a tener en cuenta serían: las convenciones de nomenclatura inconsistentes y carencia de un esquema de denominación de los componentes del software estandarizado; la seguridad de las cuentas de los desarrolladores individuales que realizan aportaciones a proyectos de software libre y, en algunos casos, la reutilización a veces de código heredado antiguo y obsoleto. (Interesante en este sentido la iniciativa SBOM, que fue explicada por Allan Friedman, jefe de Cybersecurity de la NTIA)
Al fin y al cabo, el software como tal es un recurso cada vez más vital y los procesos de digitalización se convierten en estratégicos en todo tipo de industrias, organizaciones y empresas, tanto tecnológicas como no “puramente” tecnológicas.
Todos los análisis de tendencias señalan la importancia creciente de la seguridad y la gestión de riesgos cara al futuro. Por ello, desde todos los puntos de vista, pero en especial desde el enfoque de la ciberseguridad, la sostenibilidad y estabilidad del ecosistema open source es más importante de lo que a menudo se piensa, y como sector sin duda también deberemos prestarle una mayor atención.