No es inseguro por ser
software libre
MsC. Jeffrey Steve Borbón Sanabria
@eljeffto
FLISoL Bogotá 2013
Sobre eljeffto
! Oficial de seguridad de la
información.
! Trabajé como sysadmin
de tecnologías libres por 5
años.
! Participé activamente de
varios proyectos de SL
! Uso software libre pero
no soy purista.
El ahora del Software Libre y
Código Abierto
! Sistemas operativos y aplicaciones empleadas masivamente
por todo el mundo.
! La convivencia de software propietario con libre es cada
vez más común
! Se ha pensado en el usuario y es más amigable ahora.
! Es una alternativa viable empresarialmente
! Firefox, Apache, OpenOffice, PHP, MySQL, Ubuntu,
Android ya no son términos desconocidos.
Algunas estadísticas de uso I
Fuente: Wikipedia - 2013
Algunas estadísticas de uso II
Fuente: BuildWith - 2013
Algunas estadísticas de uso III
Fuente: W3Techs - 2013
Algunas estadísticas de uso IV
Fuente: Langpop - 2013
Seguridad y Software Libre -
Código Abierto
! Posibilidad de extensibilidad
y m e j o r a m i e n t o d e l
software.
! Respuesta a fallos de
seguridad muy adecuados.
! Soluciones de seguridad de
b a j o c o s t e y c o n
funcionalidades óptimas.
! Uso de estándares que
aportan interoperabilidad.
Si es tan bueno… ¿Porqué
tiene fama de inseguro?
Los fallos más comunes
! Sistemas operativos/aplicativos desactualizados
! Aplicaciones sin soporte por fabricante o comunidad
! Uso de configuraciones débiles o predeterminadas
! Uso de componentes inseguros
! Problema de asignación de permisos o controles de acceso
! Ausencia de controles de seguridad
! "Ajustes temporales" eternos
! Uso de fuentes de software inseguras
Riesgos asociados
! Acceso no autorizado
! Uso de plataformas para fines maliciosos o comerciales
! Robo o fuga de información personal/corporativa
! Afectación de la calidad del servicio
! Alteración de información, servicios y aplicaciones del
negocio
! Fraude, estafa, consecuencias legales
Soluciones y recomendaciones
! Buenas prácticas de administración
! Eliminación de usuarios y configuraciones predeterminadas
! Aseguramiento o "hardening" de plataformas (CIS)
! Sistemas de validación de integridad de aplicaciones y datos
(Antirootkits - HIDS)
! Aplicar protección de acuerdo con el valor o criticidad del
activo o la información contenida/almacenada
! Sistemas de protección perimetral
! Configuraciones de red adecuadas
Soluciones y recomendaciones
! El soporte es importante
! Comunidades
! Sitios asociados al tema
! Mantenerse informado
! Listas de correo
! Sistemas de notificación de actualizaciones
! Revisiones periódicas
! Noticias de seguridad
Soluciones y recomendaciones
! Aprovechar el ecosistema de herramientas libres o de
código abierto existentes a nivel de seguridad
! Firewall
! IDS/IPS
! Validadores de integridad - anti rootkits
! WAF
! Filtros de contenido
! Analizadores de tráfico en tiempo real
! Correlacionadores de eventos
! Analizadores de vulnerabilidades
Conclusión
La seguridad de la información debe ser tomada en serio y se
debe pensar en todo momento al administrar plataformas,
instalar software, gestionar contenidos, todo esto usando
técnicas, procedimientos, herramientas idóneas y adaptadas de
acuerdo a las necesidades del negocio.
Gracias por su atención
Momento de preguntas, dudas, comentarios,
correcciones, sugerencias…
@eljeffto –
[email protected] - http://eljeffto.com
Comentarios de: No es inseguro por ser software libre (0)
No hay comentarios