En la corta experiencia que tengo como administrador de seguridad, me he topado con problemas aberrantes en aplicaciones hechas a medida y con proveedores de software que se encargan de vender el producto en partes, pero cobrando cada parte como un producto entero... hoy rebalse...Cuando uno pienza en adquirir software, piensa en un programa completo, que cumpla con las tareas para las que se lo diseña, sea eficiente, confiable, usable, seguro, etc (pueden leer más sobre características de un soft de calidad en wiki). Ahora, parece que cada una de estas piezas se venden por separado!
Dejando de lado otras propiedades importantísimas como eficiencia, confiabilidad y demás, la parte que a mi me importa es la de seguridad... la cual suele ser a la que menos se le presta atención, y sobre la que los programadores tienen menos experiencia. El problema es que los programas vienen con un mínimo (casi inexistente) nivel de seguridad, y cuando uno exige que se implementen correctamente los controles necesarios para que el programa sea seguro, te lo cobran a parte!... la implícita frase "ah!, lo querías seguro?, eso es otro precio!" se hace presente con cada proveedor de software con el que tengo el agrado (?!) de tratar.
Pongamos algo en claro, la seguridad debe formar parte del software, sin seguridad, el software está incompleto. La seguridad NO es un add-on que se cobra por separado! Cuando se diseña software, se deben tener en cuenta los controles de seguridad. Es como si me vendieran un auto sin cerradura! la cerradura no me la cobran por separado, ya viene con el auto! acaso comprarían un auto sin cerradura? NO!, por eso yo no compraría un software que ni siquiera almacena passwords hasheados, define roles, o almacena un maldito log!
Realmente me parece una estafa total, una pésima calidad de trabajo y sobre todo, una tomada de pelo al usuario final. A cualquiera le puede pasar que se olvide colocar un control de seguridad o implementarlo incorrectamente, de hecho, los programas vienen con miles de bugs, pero de ahí a que quieras cobrar la seguridad como si fuera un agregado al software, es un robo.
Espero que las empresas desarrolladoras de software tengan en cuenta lo que es un software de calidad, capaciten a los desarrolladores en programación segura, y tengan un mínimo de decencia de corregir los errores, sin cobrar por estos como si se tratase de un agregado.
[Imagen tomada de Lego Laptop]
3 comentarios:
Es cierto lo que decís,hace un tiempo comentaba con un amigo es el caos informático en el que estamos envueltos.
Cualquiera hace un curso de programación en X lenguaje, y entra en una empresa.(Hoy en dia los requisitos son: "sabes tal y tal lenguaje? listo,adentro".)
Despues resulta que sale soft que es de pésima calidad y te deja un agujero de seguridad o tiene tanta cantidad de bugs ya que el código fue hecho para salir del paso.
En fin, es interesante el tema para discutir.
Saludos!
Si, es un tema que da para largo, sobre todo para discutir con los proveedores de soft, pero que nunca te van a reconocer que la falta es de ellos.
En fin, sigo peleando con algo por acá, veremos que se logra.
Yep, que cierto es lo que decís! Lamentablemente creo que se juntan dos cosas que propician estos abusos:
1) El Team de desarrollo no tiene ni idea sobre programación segura. Tampoco le interesa mucho ya que no da dinero de forma directa (pensamiento a muuuy corto plazo y subestimando al cliente).
2) Toooooooodo se cobra "adicional"! Lo único que nos queda es el famoso consuelo de tontos: no solo se hace en este "rubro", sino en TODOS... incluso estos abusos cruzan fronteras, esto supera la famosa "viveza criolla".
Salu2,
javi
Publicar un comentario