VIE, 16 / OCT / 2009

Cómo maneja Microsoft las vulnerabilidades

Esta semana el gigante del software lanzó la mayor actualización de seguridad de su historia: Jorge Cella, gerente de Iniciativa de Seguridad para Microsoft Argentina y Uruguay nos cuenta cómo realizaron ese minucioso y vital proceso.

Esta semana el gigante del software lanzó la mayor actualización de seguridad de su historia: Jorge Cella, gerente de Iniciativa de Seguridad para Microsoft Argentina y Uruguay nos cuenta cómo realizaron ese minucioso y vital proceso.

Como notificamos hace unos días, el paquete que incluyó 13 actualizaciones destinadas a atacar un total de 34 vulnerabilidades. La importancia que revistieron estas revisiones de seguridad fue muy alta, ya que 8 de las 13 nuevas versiones publicadas fueron calificadas por la compañía como “críticas”, lo que significa que, los equipos que no cuenten con esos parches quedarán en un estado de mayor vulnerabilidad.

Para comprender un poco más cómo se realiza ese proceso y la importancia que la empresa le otorga, Jorge Cella, gerente de Iniciativa de Seguridad para Microsoft Argentina y Uruguay, compartió con RedUSERS lo siguiente:

“En el año 2002 lanzamos la iniciativa Computación Confiable (Trustworthy Computing) con cuatro pilares fundamentales e inamovibles en todas las estrategias de Microsoft desde ese momento: Seguridad, Privacidad, Confiabilidad, y Prácticas de Negocios.

A partir de esta iniciativa hicimos modificaciones importantes en lo que respecta al manejo de vulnerabilidades, para ser más claros, y para proteger mejor a los usuarios que nos pedían un cambio en ese sentido. Así nace el Microsoft Security Response Center,  con representación en cada país, del que formo parte en la actualidad como una de mis responsabilidades.

La primera función más importante del equipo que lidera esta iniciativa es la de investigar y resolver reportes de vulnerabilidades. Para esto tenemos un alias donde todos pueden reportar posibles vulnerabilidades (secure@microsoft.com) y se monitorean las listas de distribución permanentemente.

También lideramos el proceso de respuesta a problemas de seguridad de punta a punta, como único centro de coordinación, de esta manera aseguramos velocidad en la respuesta y calidad en el proceso para los usuarios. En este sentido coordinamos desde el principio con los equipos de desarrollo de todo el mundo para que la seguridad sea una variable prioritaria y esté incluida en todas las fases del proceso de programación.

Además estamos comunicados y relacionados con la comunidad técnica compuesta por  investigadores de vulnerabilidades que nos ayudan en varios puntos de este proceso para garantizar desde todo punto de vista la seguridad de los usuarios.

Seguimos adelante con esta iniciativa y con nuestro compromiso, aunque sabemos que la seguridad es un problema de la industria. Todo software tiene posibles vulnerabilidades y todos debemos actualizar nuestra tecnología si no queremos quedar en las manos de los delincuentes.

Hay muchas peleas sobre qué sistema operativo tiene más o menos vulnerabilidades, si estas son criticas o cuánto tiempo se tarda en arreglarlas. Para nosotros cualquier vulnerabilidad nueva de cualquier tecnología (sea de Microsoft o no) es una mala noticia. Pero creemos que los usuarios y su seguridad deben estar en primer lugar, y lo peor que puede sucederles es no estar prevenidos y protegidos ante esto.

Por eso el compromiso central de nuestra iniciativa de Computación Confiable es ser proactivos, rápidos, abiertos y claros en la comunicación sobre actualizaciones de seguridad de nuestros productos, dando un respuesta a cada posible ataque, aunque esta posibilidad sea mínima. Para conseguirlo tomamos una decisión de comunicación, pero también de previsión, inversión en tecnologías, seguimiento de los posibles ataques y respuesta técnica inmediata. Esto es Computación Confiable.

Con respecto al proceso, buscamos que este sea previsible y ordenado. Por eso publicamos las actualizaciones mensualmente, durante el segundo martes de cada mes, en nuestros Boletines de Seguridad. De esta manera,  todos los usuarios, y fundamentalmente los administradores de sistemas pueden prever el trabajo de actualizar, testear, entender la información y definir un proceso en cada caso en un momento determinado.

La información de los boletines de seguridad incluye además de documentación técnica sobre el mismo, datos que sirven para entender qué tan importante es la actualización. Uno de estos datos es el Indice de Explotabilidad que da cuenta de la probabilidad de ataques aprovechando la vulnerabilidad. Si el índice es 1 esto significa que es alto, si es 2 que es inconsistente y si es 3 que es dudoso que alguien pueda construir o aprovechar la vulnerabilidad. El segundo dato importante es el Ranking de Criticidad, y aquí tenemos 4 niveles: Crítico, es cuando la vulnerabilidad puedo aprovecharse a través de Internet sin interacción del usuario; Importante, que puede haber daño en los datos y/o procesos; Moderada, que está mitigada significativamente por factores como configuraciones, auditorias o su dificultad de explotación y  Baja, cuando es muy difícil de explotar o su impacto es mínimo.

Este es el procedimiento habitual, sólo publicamos una actualización fuera de esta programación cuando vemos que una vulnerabilidad es crítica, está siendo explotada consistentemente por software malicioso y puede poner en peligro a los usuarios. En estos casos lo más importante es avisar rápidamente a clientes, usuarios y socios para que actualicen sus sistemas y estén protegidos y en este sentido tienen prioridad absoluta la seguridad e integridad de los sistemas de la comunidad.

Para finalizar nunca esta demás aclarar que las actualizaciones de seguridad se instalan automáticamente con Windows Update. También se pueden instalar manualmente y en este caso no importa el estado de legalidad del Windows. Es decir, alguien con software pirata puede ir a la página de Microsoft http://www.microsoft.com/latam/protect/computer/updates/bulletins/default.mspx y descargar e instalar la actualización. No queremos hacer negocio ni perseguir la piratería con el tema de seguridad, es simplemente nuestra responsabilidad y queremos contribuir a su solución pensando en la comunidad de usuario, clientes y socios para garantizarles una experiencia segura. Para eso trabajamos desde la inversión en innovación de nuestra tecnología, en los procesos, y en la concientización del uso que las personas hacen de ella, y colaboramos con la industria para hacer una computación más segura.

Los invito a visitar las páginas en español donde detallamos mucha información, prácticas y tecnologías sobre seguridad informática. http://www.microsoft.com/latam/seguridad

¡Comparte esta noticia!