Eudy Zerpa, coordinador de Seguridad de Información de la Unidad de Transformación Digital del Ministerio para Ciencia y Tecnología (Mincyt), instó a las instituciones a realizar auditorías para evitar vulnerabilidades en el desarrollo de software y poner en riesgo la información.
Las declaraciones las realizó durante su participación en el Congreso de Seguridad de la Información (CONSI), realizado por primera vez en Venezuela y convocado por el Gobierno Bolivariano a través del Mincyt, como parte del cuarto vértice de la Gran Misión Ciencia, Tecnología e Innovación Doctor Humberto Fernández-Morán, impulsada por el presidente de la República, Nicolás Maduro.
“Tenemos que ser críticos y comenzar a hacer contraloría previa de lo que están haciendo nuestros jóvenes desarrolladores. No es un sesgo generacional”, recalcó Zerpa durante la jornada que se lleva a cabo en el Auditorio 17 de abril de la Comandancia General de la Aviación Militar Bolivariana, Base Aérea Generalísimo Francisco de Miranda, La Carlota.
Esto, haciendo referencia a las prácticas para el desarrollo de los software por parte de las nuevas generaciones, quienes apuntan a la “reutilización del código», lo que puede convertirse en un riesgo.
Para evitar esta práctica –detalló –, es necesario adoptar la DevSecOps (Desarrollo, Seguridad y Operaciones), que implica involucrar a los “profesionales de seguridad en todo el desarrollo”.
“Debemos hacer una auditoria de todas las librerías que van a usar los desarrolladores, de tal forma que cuando comiencen el desarrollo se tenga la seguridad (…) Se construye el código, y en la fase de prueba, cuando se hace la prueba del código, se hace otro análisis», recalcó el especialista en su ponencia, que lleva por nombre «Desarrollo de Aplicaciones Seguras y Soberanas»
Enfatizó que en todos los procesos y desarrollo del software se debe hacer un análisis de vulnerabilidades del sistema.
Afirma que otra de las formas de evitar esta práctica es “aplicar las políticas de origen local”, que prohíben a los desarrolladores que copien los códigos, y los invita a descargar las hojas estilos, fuentes y otros elementos necesarios.
“Los análisis de vulnerabilidad tienen que ser una política obligante», explicó.
Análisis de caja negra y caja blanca
Durante su intervención, Eudy Zerpa señala que a los desarrolladores deben realizarle una especie de análisis de caja negra, que se enfoque en la utilización de diferentes herramientas como sqlmap, metasploit, wpscan, entre otras, para detectar las vulnerabilidades de lo software.
Con respecto al análisis de caja blanca, explicó que es necesario para descartar funciones riesgosas.
“Revisamos los orígenes del Javascript, revisamos que no hayan variables declaradas sin invocación, detección de métodos duplicados, código ofuscado, etc”, manifestó.
Políticas para protección de software
Zerpa manifestó que se está trabajando para desarrollar una política que permita pasar todos los software por Vencert (Sistema Nacional de Gestión de Incidentes Telemáticos) para ser verificados e identificar sus debilidades.
“El desarrollo de software seguro es posible a través de prácticas conocidas, pero ser soberano es que el código esté en nuestros servidores, en nuestras nubes, no que esté en otro país”, añadió.
Oficina de Gestión Comunicacional del Ministerio del Poder Popular para Ciencia y Tecnología.
