Estrategias alternativas (seguridad en el software!)

June 29, 2016 Registro incidentes

Una organización tomó un punto completamente diferente para manejar su seguridad con software de terceros, al dejárselo todo a los abogados. Dentro de un par de años, la empresa negoció cambios en cada uno de sus acuerdos de licencia de software a tal punto que los fabricantes llegaron a aceptar hacerse legalmente responsables de las brechas de seguridad, y de indemnizar al cliente. Para completar la transformación, también tercerizó todo su ciclo de desarrollo bajo los mismos términos de acuerdo de indemnización. Como resultado, la organización considera que su riesgo ha sido transferido efectivamente y no tiene más la necesidad de mantener un programa de pruebas de seguridad. En un giro supremamente irónico, descubrieron a un pícaro empleado que desarrollaba software internamente; las vulnerabilidad resultantes y el costo incurrido en repararlas reforzó de lejos el argumento de la gerencia “que era mucho más barato lidera con el riesgo de la seguridad en el software a través de acuerdos legales”. [Traducción personal no oficial del paper Thrid-Party Software & Supply-Chain Risk: The Elephant In The Room is Finally Being Talked About]