Está en la página 1de 9

Espiñeira, Sheldon y Asociados

Boletín de Asesoría Gerencial*


Seguridad en el Software Libre

������ ������
No. 7 - 2008 ��������� ������ �������� �������� ���������

*connectedthinking
Boletín Digital // No. 7 - 2008

Contenido
Haga click en los enlaces para navegar
a través del documento

������ ������
��������� ������ �������� �������� ���������

Haga click en los enlaces para llegar directamente a cada sección

4 Seguridad en el Software Libre

4 Definición de software libre

4 Licencias de software libre

4 Ventajas y desventajas del software libre

4 Seguridad por oscuridad vs. Seguridad por visibilidad

4 Soluciones de seguridad con software libre

4 Factores críticos de éxito

4 Conclusión

4 Créditos
Boletín Digital // No. 7 - 2008

Boletín de Asesoría Gerencial


Seguridad en el Software Libre

������ ������
��������� ������ �������� �������� ���������

Seguridad en el Software Libre Definición de software libre En las opciones b y d antes mencionadas, los
usuarios tienen acceso al código fuente. Este tipo
El uso del software libre es una tendencia que El concepto de software libre radica en la de software es conocido hoy en día como “Open
busca mostrarse como una alternativa viable para capacidad que tienen los usuarios para ejecutar, Source”.
organizaciones y los usuarios comunes, afianzado copiar, modificar, mejorar y redistribuir libremente
en su promesa de disminución de costos, dicho software. Bajo la filosofía de “libertad” que En contraposición, la redistribución o modificación
facilidad de acceso, adaptación a necesidades ha dado origen al movimiento, han surgido cuatro del software propietario no se puede realizar o se
particulares y apoyo al usuario mediante foros de niveles: necesita autorización para ello, y el usuario
ayuda en Internet. generalmente no tiene acceso al código fuente.
1. Ejecutar el software para cualquier propósito
Aunque los aspectos antes mencionados en 2. Estudiar y modificar el programa para adaptarlo
primera instancia lucen atractivos, es necesario a ciertas necesidades
incorporar en este análisis el tema de la seguridad 3. Copiar y distribuir el programa
de la información. 4. Realizar y publicar mejoras para el beneficio de
terceros
Boletín Digital // No. 7 - 2008

Boletín de Asesoría Gerencial


Seguridad en el Software Libre

������ ������
��������� ������ �������� �������� ���������

Licencias de software libre Ventajas y desventajas del software - Tiende a ser eficiente y robusto en diferentes
libre entornos, debido a la colaboración de los
La licencia más comúnmente utilizada es la A pesar de que el uso de software libre está en usuarios que lo modifican, buscando
Licencia Pública General de GNU (GNU GPL), constante crecimiento, junto con el mismo optimización y mejoras.
pero también se utilizan otras licencias no aumenta la exposición y el debate sobre sus - Tiende a ser utilizado en diversos escenarios: la
compatibles con la GLP de software libre, dentro ventajas y desventajas. El conocimiento de estas gente que contribuye tiene muchas necesidades
de las cuales se encuentran: características es un factor importante a la hora diferentes y esto hace que el software esté
de elegir el tipo de software libre que mejor se adaptado a una cantidad más grande de
- Licencia Pública General de Affero. adapta a la implementación que se quiere realizar. problemas.
- La Licencia Pública Arphic.
- La licencia BSD original. Ventajas Desventajas
- La licencia de OpenSSL.
- La Licencia Libre Académica (AFL), versión 1.1. - Derecho de uso sin incurrir en costo alguno. - La curva de aprendizaje es mayor.
- La Licencia de Software Abierto, versión 1.0. - Acceso al diseño del software, lo que permite - El software libre no tiene garantía proveniente
- La Licencia de Apache, versión 1.0, 1.1 y 2.0. conocer al detalle lo que se está instalando, así del autor.
- La Licencia Pública de Zope versión 1. como agregar mejoras y funciones. - Se necesita dedicar recursos a la reparación de
- Es modificable, si el software tiene limitaciones erratas.
o no es adecuado para una tarea, es posible - No existe una compañía única que respalde el
adaptarlo a necesidades específicas y soporte.
redistribuirlo libremente. - Las interfaces amigables con el usuario (GUI) y
- Es de libre distribución, cualquier persona la multimedia se encuentran en un contínuo
puede regalarlo, venderlo o prestarlo. proceso de estabilización
Boletín Digital // No. 7 - 2008

Boletín de Asesoría Gerencial


Seguridad en el Software Libre

������ ������
��������� ������ �������� �������� ���������

Ventajas y desventajas del software Seguridad por oscuridad vs. La seguridad por visibilidad se basa en la
libre (continuación) Seguridad por visibilidad divulgación de las vulnerabilidades que son
detectadas y solucionadas como consecuencia
- La mayoría de la configuración de hardware no La seguridad por oscuridad es la filosofía bajo la del gran volumen de usuarios que tienen acceso
es intuitiva, se requieren conocimientos previos cual se expresa que cualquier software puede ser al código fuente del software o que lo usan si
acerca del funcionamiento del sistema operativo seguro mientras su funcionamiento interno y la restricciones.
y fundamentos del equipo a conectar para seguridad de éste no se divulgue fuera de su
lograr un funcionamiento adecuado. grupo de desarrollo e implementación. Para esto No se puede plantear que efectivamente el
- Únicamente los proyectos importantes y de se aplican mecanismos como ocultar contraseñas software cerrado o propietario sea menos seguro
trayectoria tienen buen soporte, tanto de los en archivos binarios y cerrar el acceso a cualquier que el software libre, o viceversa. La seguridad de
desarrolladores como de los usuarios; sin elemento relacionado con el código fuente. la plataforma va a depender de un plan completo
embargo existen muchos proyectos más de seguridad que evalúe todos los elementos que
pequeños y recientes que carecen del Esta característica del software propietario hace la componen.
compromiso necesario por parte de sus que las vulnerabilidades de éste no sean públicas,
usuarios o desarrolladores para que sean quedando pendientes las emisiones de
implementados de manera confiable. correcciones y actualizaciones por parte del
- La diversidad de distribuciones, métodos de fabricante.
empaquetamiento, licencias de uso,
herramientas con un mismo fin, etc., pueden
crear confusión en cierto número de personas.
Boletín Digital // No. 7 - 2008

Boletín de Asesoría Gerencial


Seguridad en el Software Libre

������ ������
��������� ������ �������� �������� ���������

Soluciones de seguridad con En lo relacionado a la seguridad perimetral se En cuanto a seguridad de servidores, el catálogo
software libre encuentran disponibles firewalls que permiten disponible de herramientas de software libre
filtrar paquetes mediante la definición de políticas, incluye, entre otras, a Nessus (Detección de
En el mercado existen diversas soluciones de monitoreo del tráfico y honeypots. vulnerabilidades), OpenSSH (Sesiones seguras),
seguridad basadas en software libre, cuyo uso así como una variedad de soluciones para
comienza a crecer como alternativa a aplicaciones Entre estas herramientas se encuentra manejos de certificados digitales, monitoreo de
de software propietario. “TigerWeb”, que se encarga de realizar análisis de tráfico, detección de software maligno y de correo
seguridad perimetral en redes IP, mediante la SPAM.
En el caso de la seguridad para usuarios remotos ejecución de pruebas sobre máquinas que
existen herramientas que permiten cifrar la disponen de una dirección IP externa, buscando
información contenida en los dispositivos de potenciales vulnerabilidades que puedan ser
almacenamiento (TrueCrypt) y para administración utilizadas por usuarios no autorizados para
de conexiones remotas (OpenVPN). También se acceder, corromper, destruir o impedir el acceso a
puede mencionar GMF, una herramienta web para dichos sistemas. Así mismo, genera un informa
la gestión diaria de las PYMES. Con esta con los resultados obtenidos. Otras soluciones
herramienta no es necesario instalar ninguna destacadas son IPTables (Firewall), Snort
aplicación adicional en las estaciones de trabajo (Detección de intrusos) y Squid (Proxy).
de los usuarios y es accesible, mediante un
sistema de permisos, para los usuarios remotos
que se conectan a través de Internet.
Boletín Digital // No. 7 - 2008

Boletín de Asesoría Gerencial


Seguridad en el Software Libre

������ ������
��������� ������ �������� �������� ���������

Equilibrio entre software libre y Factores críticos de éxito estratégico de TI de la organización. Cabe
software propietario destacar que existen múltiples productos para
Adquirir un software representa sólo el primer software libre que ejecutan funciones similares,
Hoy en día, resulta difícil implementar una paso hacia una implementación exitosa, también e incluso puede ser subproductos de otros, por
plataforma basada totalmente en software libre es importante que la organización tome acciones lo que se debe reforzar el proceso de selección
que satisfaga las necesidades de las en relación a: para evitar costos innecesarios.
organizaciones, lo cual conlleva a la necesidad de
una convivencia entre el software libre y el - Adiestramiento: brindarle la información y - Entendimiento de usuarios finales: es importante
software propietario. entrenamiento a los usuarios sobre cómo usar el considerar el impacto cultural que puede tener
software y cómo abordar la seguridad en cada en los usuarios finales la implementación del
El aspecto fundamental a la hora de tomar una de sus labores, disminuye la dependencia nuevo software y determinar un plan de acción
decisiones relacionadas con el software a adquirir operativa a terceros, sin incurrir en problemas para facilitar la adaptación de los usuarios al
es la necesidad de implementar soluciones que de confidencialidad, integridad y disponibilidad cambio.
persigan la satisfacción de los requerimientos de de la información.
la organización, en base a los objetivos, las - Considerar las necesidades que tendrá la
estrategias y las particularidades del negocio. - Entendimiento del negocio: como se planteó en organización y los clientes en el futuro para
Asimismo, se deben comparar las opciones la sección anterior se debe estudiar cómo desarrollar la infraestructura tecnología
considerando tanto aspectos tangibles como apoyan las estrategias y se alinean con los adecuada.
intangibles, y tomar en cuenta que las soluciones objetivos del negocio; sólo se debe efectuar una
consolidadas ofrecen mayores garantías que las adquisición de un software si es requerido
soluciones aisladas. actualmente y para cumplir con el plan
Boletín Digital // No. 7 - 2008

Boletín de Asesoría Gerencial


Seguridad en el Software Libre

������ ������
��������� ������ �������� �������� ���������

Conclusión
El software libre es una tendencia en crecimiento, estudios financiados para apoyar una u otra
que trata de forma distinta las facetas del tendencia. Así mismo, la adquisición de cualquier
software: desarrollo, comercialización, distribución elemento debe ir dentro de un plan que
y uso. También brinda capacidades de contemple todos los elementos relacionados.
modificación que permite realizar adaptaciones,
actualizaciones, mejoras y diversificaciones, libre En todo caso, el futuro se avizora hacia un
distribución de copias, contemplando aspectos ambiente de coexistencia de software propietario
de seguridad, privacidad, colaboración, y libre, particularmente en grandes organizaciones
competitividad y eficiencia. y el sector gobierno. Bajo este escenario,
prevalece la necesidad de un enfoque de gestión
Persiste la controversia sobre la seguridad del integral de la seguridad de información, que
software libre frente al software con licencia: Un incorpore a lo largo del ciclo de vida del software
procedimiento utilizado con frecuencia a la hora la identificación, valoración, aplicación de
de evaluar qué tan seguro puede ser una solución medidas de control, monitoreo y respuesta a
de software es investigar sobre las fallas de incidentes, permitiendo una reducción efectiva del
seguridad que han sido reportadas y si éstas han riesgo en la utilización de la tecnología de
sido solucionadas adecuadamente, sin embargo información.
este esquema es susceptible a la interpretación
de quienes analizan y consolidan esta
información, pudiendo incluso ser calificados de
Boletín Digital // No. 7 - 2008

Boletín de Asesoría Gerencial


Seguridad en el Software Libre

������ ������
��������� ������ �������� �������� ���������

Si desea suscribirse haga click en la barra

El Boletín Asesoría Gerencial es publicado


mensualmente por la Línea de Servicios de Asesoría
Gerencial (Advisory) de Espiñeira, Sheldon y
Asociados, Firma miembro de
PricewaterhouseCoopers.

El presente boletín es de carácter informativo y no


expresa opinión de la Firma. Si bien se han tomado
todas las precauciones del caso en la preparación
de este material, Espiñeira, Sheldon y Asociados no
asume ninguna responsabilidad por errores u
omisiones; tampoco asume ninguna responsabilidad
por daños y perjuicios resultantes del uso de la
información contenida en el presente documento.
*connectedthinking es una marca registrada de
PricewaterhouseCoopers. Todas las otras marcas
mencionadas son propiedad de sus respectivos
dueños. PricewaterhouseCoopers niega cualquier
derecho sobre estas marcas
© 2008. Espiñeira, Sheldon y Asociados. Todos los derechos reservados. “PricewaterhouseCoopers” se
Editado por Espiñeira, Sheldon y Asociados refiere a la firma venezolana Espiñeira, Sheldon y Asociados, o según el contexto, a la red de firmas
Depósito Legal pp 1999-03CS141 miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal
Teléfono master: (58-212) 700 6666 separada e independiente. RIF: J-00029997-3