Codecyt SA

cintillo_gobierno

CONSI | Destacan pertinencia de auditorías para evitar vulnerabilidades en el desarrollo de software

 

Eudy Zerpa, coordinador de Seguridad de Información de la Unidad de Transformación Digital del Ministerio para Ciencia y Tecnología (Mincyt), instó a las instituciones a realizar auditorías para evitar vulnerabilidades en el desarrollo de software y poner en riesgo la información.

Las declaraciones las realizó durante su participación en el Congreso de Seguridad de la Información (CONSI), realizado por primera vez en Venezuela y convocado por el Gobierno Bolivariano a través del Mincyt y que forma parte del cuarto vértice de la Gran Misión Ciencia, Tecnología e Innovación Doctor Humberto Fernández-Morán, impulsado por el presidente de la República, Nicolás Maduro, el pasado mes de abril.

“Tenemos que ser críticos y comenzar a controlar y hacer contraloría previa de lo que están hacienda nuestos jóvenes desarrolladores. No es un sesgo generacional”, recalcó Zerpa durante la jornada que se lleva a cabo en el Auditorio 17 de abril de la Comandancia General de la Aviación Militar Bolivariana, Base Aérea Generalísimo Francisco de Miranda, La Carlota.

Esto, haciendo referencia a las prácticas que se llevan a cabo para el desarrollo de los software por parte de las nuevas generaciones, quienes apuntan a la “reutilización del código», lo que puede convertirse en un riesgo.

Para evitar esta práctica –detalló –, es necesario adoptar la DevSecOps (Desarrollo, Seguridad y Operaciones), que implica involucrar a los “profesionales de seguridad en todo el desarrollo”.

“Debemos hacer una auditoria de todas las librerías que van a usar los desarrolladores, de tal forma que comiencen en desarrollo se tenga la seguridad. Pasamos a la parte de programación, se construye el código, y en la fase de prueba, cuando se hace la prueba del código, se hace otro análisis, para saber que si no pusieron librerías nefastas en el código no hayan hecho una mala práctica de seguridad”, recalcó el especialista en su ponencia, que lleva por nombre «Desarrollo de Aplicaciones Seguras y Soberanas»

Enfatizó que en todos los procesos y desarrollo del software se debe hacer un análisis de vulnerabilidades del sistema.

Afirma que otra de las formas de evitar esta práctica es “aplicar las políticas de origen local”, que prohíben a los desarrolladores que copien los códigos, y los invita a descargar las hojas estilos, fuentes y otros elementos necesarios.

“Los análisis de vulnerabilidad tienen que ser una política obligante.

Análisis de caja negra y caja blanca

Durante su intervención, Eudy Zerpa señala que a los desarrolladores deben realizarle una especie de análisis de caja negra, que se enfoque en la utilización de diferentes herramientas como sqlmap, metasploit, wpscan, entre otros; para detectar las vulnerabilidades de lo software.

Con respecto al análisis de caja blanca, señaló que es necesario para confirmar que no existan funciones riesgosas.

“Revisamos los orígenes del Javascript, revisamos que no hayan variables declaradas sin invocación, detección de métodos duplicados, código ofuscado, etc”, manifestó.

Políticas para protección de software

Durante su ponencia, Zerpa manifestó que se está trabajando para desarrollar una política que permita pasar todos los software por Vencert (Sistema Nacional de Gestión de Incidentes Telemáticos) para ser verificados e identificar sus debilidades.

“El desarrollo de software seguro es posible a través de prácticas conocidas, pero ser soberano es que el código esté en nuestros servidores, en nuestras nubes, no que esté en otro país”, añadió.

 

Oficina de Gestión Comunicacional del Ministerio del Poder Popular para Ciencia y Tecnología.