Fabricantes

ISS: responsabilidad ante todo

adanolguin12/08/2005
3 minutos de lectura

A propósito de una restricción judicial contra un ex empleado para que no divulgue información proveniente de sus investigaciones, Internet Security Systems se pronuncia respecto de la responsabilidad que su compañía tiene con los usuarios acerca de las vulnerabilidades a que los expone la tecnología.

Durante la Black Hat Conference a finales de julio, Michael Lynn, expuso en una presentación una serie de vulnerabilidades del sistema operativo de Internet (IOS) de Cisco Systems. Ese hecho causó revuelo y, por principio de cuentas, la empresa del puente y la propia Internet Security Systems emprendieron acciones legales contra Black Hat y el propio Lynn.
Cabe mencionar que, debido a la posición que guardaba Lynn en ISS, éste poseía información acerca de vulnerabilidades del IOS de Cisco; pero mientras Lynn consideraba primordial divulgarlas, ISS, por el contrario, asumía poco pertinente hacerlo. En consecuencia, Michael Lynn renunció a ISS para «tener libertad» de divulgar lo que sabía.
En este sentido, eSemanal contactó a Ryan Goss, director de Mercadotecnia para Latinoamérica de la empresa de seguridad, quien describió los pormenores.
Conocer el impacto
Goss expuso que el tema de la divulgación de vulnerabilidades exige una concienzuda labor de investigación, «primero, saber exactamente el impacto de la vulnerabilidad. Como fabricantes y como equipo de investigación, ISS ofrece a sus clientes la ventaja de estar protegidos en contra de las amenazas; les mandamos protección antes de que sea anunciada la vulnerabilidad».
El entrevistado compartió que los hechos que culminaron con la restricción judicial para Lynn empezaron en la primavera, cuando X-Force, el grupo de investigación de vulnerabilidades de ISS, trabajaba sobre seguridad en ruteo y encontró esa vulnerabilidad, «a partir de ahí empezamos a trabajar con el equipo de Cisco».
Para entonces se acercaba la Black Hat Conference e ISS determinó que debía investigar más a fondo las vulnerabilidades encontradas, por lo que una decisión natural fue declinar la participación de ISS en la conferencia de los de sombrero negro: «teníamos que entender exactamente el impacto antes de dar información acerca de la vulnerabilidad. Por eso tomamos la decisión de no participar», afirmó.
Las vulnerabilidades de que se habla en este caso, cabe mencionar, podrían afectar a 60% o más del tráfico de datos en Internet, cantidad de información que, se estima, pasa por ruteadores de Cisco Systems.
Fuera de políticas
En lo que a todas luces pareció un acto de rebeldía, Michael Lynn renunció a ISS y decidió hacer la presentación de las vulnerabilidades por su cuenta en la conferencia. El problema más grave es que incluso las láminas de la presentación en la conferencia aludían claramente a la propiedad intelectual de ISS.
Al respecto, Goss dijo que Lynn tomó la decisión y actuó fuera de las políticas de su compañía para anunciar vulnerabilidades, «las que son muy claras y estrictas, porque hay que proteger a la compañía, a socios y fabricantes, como Cisco, pero también a los que hacen software y a las compañías que tienen un producto en el mercado. Es nuestra misión cuidarlos y trabajar con esos proveedores».
El directivo afirmó que las razones para ello son: primero, entender exactamente el impacto de esa vulnerabilidad y, segundo, proporcionar una solución para ésta.
Compromiso con los usuarios
En esta casa editorial estamos comprometidos a que si conocemos alguna vulnerabilidad, es nuestro deber comunicarla a los fabricantes, ISS incluido, para que ésta sea investigada y solucionada como una responsabilidad para los lectores y todos los usaurios; es decir, trabajar estrechamente con los responsables de seguridad en las empresas de tecnología, pero cuestionamos a ISS acerca de la oportunidad con que los usuarios podrían conocer las vulnerabilidades y la solución correspondiente, así como los riesgos de no tener ese conocimiento de agujeros de seguridad a tiempo.
En torno de ello, Goss explicó que ISS considera que es la forma correcta, tan es así que primero se comunican con la compañía, le explican la vulnerabilidad, trabajan con ella como un equipo para la solución y cuando se determina que la solución a la vulnerabilidad está lista de ahí sale al público. “Es nuestra política para asegurar que los usuarios y los clientes de esos proveedores no tengan problemas», apuntó.
La Fuerza X de ISS
El fundamento principal de ISS para la seguridad de Internet es su grupo de investigacion y desarrollo X-Force, gracias a cuyo trabajo ISS detiene más amenazas de seguridad que cualquier otra compañía. X-Force descubre, investiga y prueba vulnerabilidades de de software y colabora con agencias gubernamentales, empresas de la industria y desarroladores de aplicaciones.
De acuerdo con Frost & Sullivan, para abril de este año, ISS había descubierto 51% de las vulnerabilidades de alto riesgo en Internte durante el periodo de 1998 to 2005. Su más cercano competidor, descubrió poco más de 12% en ese mismo periodo.
ISS conoce y utiliza profundamente las técnicas para vulnerar, por lo que está en posibilidad de crear defensas para los agujeros de seguridad incluso antes de que ocurran los ataques.

Etiquetas
adanolguin12/08/2005
3 minutos de lectura

Publicaciones relacionadas

Cooling: La clave para centros de datos eficientes y sostenibles en la operación

24/04/2025

Innovaciones de Hikvision en Syscom Expo preparan al canal para responder a los desafíos actuales

23/04/2025

VICA fortalece su presencia con soluciones energéticas y una visión centra en el canal

22/04/2025

Surface Copilot+PC impulsa nuevas oportunidades para los canales en México

22/04/2025
Botón volver arriba
Share via
Facebook
X (Twitter)
LinkedIn
Mix
Email
Print
Copy Link
Powered by Social Snap
Copy link
CopyCopied
Powered by Social Snap