SlideShare una empresa de Scribd logo

Propuesta de Securización del Open Source

M
Mario Granero Burillo

Planteamiento de cómo abordar la securización del código Open Source mediante una Fundación que cubra las siguientes funciones: -Selección librerías. -Securizar, mejorar o incluso desarrollar código seguro. -Medir el impacto. Su misión se basará en transparencia y trazabilidad mediante herramientas que se soporten en tecnología Blockchain.

Software
1 de 28
Descargar para leer sin conexión
PROPUESTA DE SECURIZACIÓN DEL OPEN SOURCE
LA PROPUESTA DESCRITA A CONTINUACIÓN ES DE CARÁCTER PERSONAL Y NO REPRESENTA EN NINGÚN CASO UNA EMPRESA, ENTIDAD O COMUNIDAD. LAS IMÁGENES UTILIZADAS NO TIENEN COPYRIGHT Y SE CITAN TODAS LAS FUENTES. LOS DATOS UTILIZADOS PARA SU ELABORACIÓN SON TODOS PÚBLICOS Y NO SE HA INFRINGIDO NINGÚN TIPO DE LEY O NORMATIVA. A CONTINUACIÓN SE PRESENTA UN PROBLEMA DETECTADO COMO PROFESIONAL DEL SECTOR CIBERSEGURIDAD Y QUE PODRÍA ESTAR AFECTANDO A NIVEL NACIONAL O INCLUSO INTERNACIONAL. DE MANERA PROACTIVA, SE PROPONE UNA SOLUCIÓN QUE MITIGA PARCIALMENTE EL PROBLEMA. DISCLAIMER PROBLEMA SOLUCIÓN
SABER LO QUE ES LA CIBERSEGURIDAD Y EN QUÉ AFECTA La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos. Según señala International Data Corporation (IDC), el negocio de la seguridad informática moverá en España en este 2019 1.307 millones de euros, lo que significa un 7% más que el año pasado y lo que se traduce en un crecimiento continuo que se mantendrá también en 2020. Ver más en Wikipedia SABER LO QUE ES EL OPEN SOURCE Y CUÁNTO SE USA EN ESPAÑA El código abierto es un modelo de desarrollo de software basado en la colaboración abierta. Se enfoca más en los beneficios prácticos (acceso al código fuente) que en cuestiones éticas o de libertad que tanto se destacan en el software libre. Según un estudio personal, más del 50% de los proyectos de software de las empresas que cotizan en el IBEX35 utilizan de alguna u otra manera Open Source Ver más en Wikipedia PREMISAS PARA ENTENDER EL PROBLEMA Y LA PROPUESTA PROBLEMA SOLUCIÓN
EL IMPACTO DEL DESARROLLO DE SOFTWARE INSEGURO EN ESPAÑA Vulnerabilidades Una vulnerabilidad es una debilidad que puede ser explotada satisfactoriamente. Es decir, si la debilidad que existe en el código puede llegar a ser explotada por un atacante estamos ante una vulnerabilidad. Debilidades Una debilidad es un problema en el software pero no tiene por qué ser explotada, siempre estará ahí pero puede haber medidas de protección por encima que impidan una explotación de la misma “Una debilidad se convierte en una vulnerabilidad en el momento en el que hay una posibilidad de explotar la misma” PROBLEMA SOLUCIÓN
EL PODER DE LA INFORMACIÓN. VISTA DE ATAQUES DDOS EN EL MUNDO UN DÍA CUALQUIERA. El Gobierno español considera que las ciberamenazas son junto con el terrorismo yihadista los dos mayores peligros que desafían la seguridad del país. FUENTE: elpais.com PROBLEMA SOLUCIÓN
EL AUGE DE LA CIBERSEGURIDAD Las previsiones de los expertos señalan que en 2019 nueve de cada diez empresas sufrirán un ataque informático. FUENTE: Cybersecurity Ventures FUENTE: Incibe PROBLEMA SOLUCIÓN
EL CICLO DEL DESARROLLO DE SOFTWARE La securización del código fuente implica un proceso de adopción lento y complejo que debe incorporarse en todas las fases. PROBLEMA SOLUCIÓN
EL COSTE DE SECURIZAR EL CÓDIGO. El proceso de ir enfocando los esfuerzos y los procesos internos hacia la izquierda (fases más tempranas) se denomina “Shifting left”. PROBLEMA SOLUCIÓN
EL COSTE DE SECURIZAR EL CÓDIGO. Cuanto más movamos los recursos que se dediquen al código desarrollo seguro a la izquierda, más económico saldrá. La aplicación del “Shifting left” implica ahorro de costes. FUENTE: INCOSE SE Conference © AVSI PROBLEMA SOLUCIÓN
SECURIZAR EL CÓDIGO IMPLICA TAMBIÉN LAS LIBRERÍAS DE TERCEROS (OPEN SOURCE) Cuando en entornos productivos utilizamos librerías de terceros se está incorporando el riesgo a la deuda técnica de la compañía. PROBLEMA SOLUCIÓN
LA HIPÓTESIS Y LA SOLUCIÓN PROPUESTA PLANTEAMIENTO DE LA SOLUCIÓN: Cada euro que aportemos en las fases tempranas, evitará un gasto muy superior en las fases posteriores (estimado en 5 euros) Si unimos a varias empresas que utilizan código inseguro, para que se pongan a solucionarlo, seremos más eficaces y más eficientes. Si se mantienen exenciones fiscales para tal inversión, podremos montar un grupo de early-adopters que formalicen una FUNDACIÓN denominada SECURIZANDO. Si se crease un CENTRO DE COMPETENCIA EN SECURIZAR OPEN SOURCE, se atraería talento internacional en Ciberseguridad y se podría cubrir la futura demanda en el sector. Si se permite la entrada de nuevos socios no fundacionales, se podría escalar tanto a nivel nacional como a nivel internacional. PROBLEMA SOLUCIÓN PLANTEAMIENTO DE LA HIPÓTESIS: La inversión en Ciberseguridad crece. Los expertos en Ciberseguridad no podrán cubrir la demanda en los próximos años. Más del 50% de los proyectos de Software utiliza Open Source. 3 de cada 4 proyectos analizados que usa Open Source, tiene vulnerabilidades de código. El coste de reparar el código inseguro es mucho menor cuando estamos en las fases de diseño. Si todas las empresas que utilizan código inseguro, se ponen a solucionarlo, cada uno empezará a solucionar su código, pero no lo compartirán.
PROPUESTA DE SOLUCIÓN: FUNDACIÓN SECURIZANDO
Seleccionar las librerías más utilizadas Los participantes de la fundación enumeran las librerías que utilizan y les establecen un peso. ¡Ya tenemos líneas de trabajo priorizadas con OKRS! Mejorar las librerías Los colaboradores de la fundación se ponen a securizar el código fuente en la medida de lo posible además de buscar alternativas o incluso construirlas. Medir el impacto que provocan con la mejora En constante análisis, se analizan y miden los resultados de manera que se comparan con las baselines midiendo el impacto técnico y económico estimado. PRINCIPALES FUNCIONES DE LA FUNDACIÓN Selección librerías Securizar código Medir impacto PROBLEMA SOLUCIÓN Para garantizar la trazabilidad y transparencia de la actividad de la Fundación, se utilizará algún proyecto basado en Blockchain.
SOCIOS FUNDADORES SOCIOS FUNDADORES La Fundación se podría formar con 5 socios fundadores. A poder ser por empresas de distinto sector. Cada uno de ellos representaría el 20% de la Fundación Securizando. Cada socio aportaría un capital inicial por 4 años y un listado de expertos dispuestos a formar parte de un Comité asesor. Se redactarán los estatutos y se definirán las políticas y objetivos. OBLIGACIONES Cada socio fundador participará actívamente en la elección de librerías más utilizadas. Cada socio fundador se compromete a la aportación de capital indicado. DERECHOS Cada socio aportará un 20% de personal experto determinado para la comisión. Cada socio contará con un 20% de los votos para la toma de decisiones. PROBLEMA SOLUCIÓN
PRESUPUESTO ESTRUCTURAL ORDINARIO. EJEMPLO CON APORTACIONES POR VALOR DE 2,5M€ Personal Oficinas Becas Servicios Total Año 1 130.000,00 € 25.000,00 € 300.000,00 € 120.000,00 € 575.000,00 € Año 2 143.000,00 € 27.500,00 € 300.000,00 € 132.000,00 € 602.500,00 € Año 3 157.300,00 € 30.250,00 € 300.000,00 € 145.200,00 € 632.750,00 € Año 4 173.030,00 € 33.275,00 € 300.000,00 € 159.720,00 € 666.025,00 € Total 603.330,00 € 116.025,00 € 1.200.000,00 € 556.920,00 € 2.476.275,00 € PROBLEMA SOLUCIÓN
MODALIDADES DE PARTICIPACIÓN PARA CONFORMAR UN PRESUPUESTO EXTRAORDINARIO Friend Premium Platinum 500€ 2.400€ 12.000€Aportación / año Miembro visible Propone retos Acceso al foro Vota prioridades Acceso temprano Modalidades de partipación La Fundación permitirá la entrada de socios nacionales e internacionales que supondrán el aumento de recursos de manera directa en recursos propios, becas, eventos y acuerdos internacionales con universidades y escuelas técnicas. PROBLEMA SOLUCIÓN
BENEFICIOS Beneficios Gamificación Talento Acelerar el Shifting left Aportación a la comunidad Impacto mediatico Obtención de métricas Ahorros Eficiencia y eficacia PROBLEMA SOLUCIÓN
1 Gamificación Talento Acelerar el Shifting left Aportación a la comunidad Impacto mediatico Obtención de métricas Ahorros Eficiencia y eficacia Gamificación Poder enfocar los retos desde otro punto de vista sin la responsabilidad y presión de la empresa privada.
Gamificación Talento Acelerar el Shifting left Impacto mediatico Obtención de métricas Ahorros Eficiencia y eficacia 2 Talento Captación de talento. Ayudas con las becas. Retención de ingenieros en el país. Trabajos, becas, programas y retos desde las universidades o plataformas online, MOOCs etc. Aportación a la comunidad
Talento Acelerar el Shifting left Impacto mediatico Obtención de métricas Ahorros Eficiencia y eficacia 3 Acelerar Shifting left Gracias a la utilización de código más seguro, el movimiento de shifting left será más natural y rápido. Gamificación Aportación a la comunidad
Talento Acelerar el Shifting left Impacto mediatico Obtención de métricas Ahorros Eficiencia y eficacia 4 Aportación a la comunidad Tras muchos años de utilizar código abierto, ya es hora de devolver la participación. Mejorar la percepción internacional del país en cuanto a la aportación a las comunidades open source. Gamificación Aportación a la comunidad
Talento Acelerar el Shifting left Impacto mediatico Obtención de métricas Ahorros Eficiencia y eficacia 5 Impacto mediático Aprovechar la repercusión de la fundación para impactos mediáticos cuando más favorezca. Dar a conocer la marca del socio desde las universidades a través de becas, programas o retos. Gamificación Aportación a la comunidad
Talento Acelerar el Shifting left Impacto mediatico Obtención de métricas Ahorros Eficiencia y eficacia 6 Obtención de métricas Evaluar constantemente los datos arrojados en contexto para tomar la mejor de las decisiones. Evaluar desde la perspectiva del arbitraje objetivo, cuando así sea solicitado omitiendo la información de los socios o aportaciones. Gamificación Aportación a la comunidad
Talento Acelerar el Shifting left Impacto mediatico Obtención de métricas Ahorros Eficiencia y eficacia 7 Ahorros Desgravaciones fiscales en las aportaciones. Captación de talento más económica. Ahorros por no tener que securizar las librerías de terceros. Gamificación Aportación a la comunidad
Talento Acelerar el Shifting left Impacto mediatico Obtención de métricas Ahorros Eficiencia y eficacia 8 Eficiencia y eficacia Evitar estar varias empresas haciendo lo mismo compartiendo el conocimiento. Al especializar a la gente, la securización es más rápida y eficaz que si dedicamos equipos a tiempo parcial. Gamificación Aportación a la comunidad
GLOBAL HUB OF INTERNATIONAL SECURING OPEN SOURCE PROBLEMA SOLUCIÓN
ROADMAP 2020 2021 2022 2023 Establecimiento -Formalización legal. -Selección de equipo. -Presentación de becas. -Montaje de oficina 5 fundadores. 10 socios nac. 1 universidad nac. Expansión -Plan de marketing. -Ronda de eventos -Captación de capital 5 fundadores. 100 socios nac. 4 universidades nac. 2 universidades int. Internacionalización -Colaboración con universidades internacionales -Colaboraciones multisectoriales 5 fundadores. 500 socios nac. 100 socios int. 6 universidades nac. 25 universidades int Re-imagine -Evento internacional -Votación estratégica de evolución PROBLEMA SOLUCIÓN
¡GRACIAS! ¿Preguntas? ▸ Escríbe a marioburi@gmail.com o contáctame en LinkedIn

Recomendados

Organizaciones exponenciales (EoX)
Organizaciones exponenciales (EoX)Organizaciones exponenciales (EoX)
Organizaciones exponenciales (EoX)Gilber Corrales Rubiano
 
En tiempos de crisis piensa en software libre
En tiempos de crisis piensa en software libreEn tiempos de crisis piensa en software libre
En tiempos de crisis piensa en software libreBernat López
 
12 Sugerencias de Comunicación
12 Sugerencias de Comunicación 12 Sugerencias de Comunicación
12 Sugerencias de Comunicación Estudio de Comunicación
 
En Tiempos De Crisis
En Tiempos De CrisisEn Tiempos De Crisis
En Tiempos De Crisismastersoftsas
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaJunniorRecord
 
Seguridadpc eset pre
Seguridadpc eset preSeguridadpc eset pre
Seguridadpc eset prejtk1
 
Funda hermetica para iphone
Funda hermetica para iphoneFunda hermetica para iphone
Funda hermetica para iphonePedro Graciano Esquivel
 
Funda hermetica para iphone
Funda hermetica para iphoneFunda hermetica para iphone
Funda hermetica para iphonePedro Graciano Esquivel
 

Recomendados

Organizaciones exponenciales (EoX)
Organizaciones exponenciales (EoX)Organizaciones exponenciales (EoX)
Organizaciones exponenciales (EoX)Gilber Corrales Rubiano
 
En tiempos de crisis piensa en software libre
En tiempos de crisis piensa en software libreEn tiempos de crisis piensa en software libre
En tiempos de crisis piensa en software libreBernat López
 
12 Sugerencias de Comunicación
12 Sugerencias de Comunicación 12 Sugerencias de Comunicación
12 Sugerencias de Comunicación Estudio de Comunicación
 
En Tiempos De Crisis
En Tiempos De CrisisEn Tiempos De Crisis
En Tiempos De Crisismastersoftsas
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaJunniorRecord
 
Seguridadpc eset pre
Seguridadpc eset preSeguridadpc eset pre
Seguridadpc eset prejtk1
 
Funda hermetica para iphone
Funda hermetica para iphoneFunda hermetica para iphone
Funda hermetica para iphonePedro Graciano Esquivel
 
Funda hermetica para iphone
Funda hermetica para iphoneFunda hermetica para iphone
Funda hermetica para iphonePedro Graciano Esquivel
 
2015-LatinCACS-brochure_bro_Spa_0715
2015-LatinCACS-brochure_bro_Spa_07152015-LatinCACS-brochure_bro_Spa_0715
2015-LatinCACS-brochure_bro_Spa_0715Adriana Sanford
 
Webinar Empresa Extendida 2.0 abril 2011
Webinar Empresa Extendida 2.0 abril 2011Webinar Empresa Extendida 2.0 abril 2011
Webinar Empresa Extendida 2.0 abril 2011Ibermatica Social Business y CRM
 
T aller investigativo jhongrimaldos2
T aller investigativo jhongrimaldos2T aller investigativo jhongrimaldos2
T aller investigativo jhongrimaldos2Jhon Stiven Grimaldos Valencia
 
Ar consulting - Idea de Negocios
Ar consulting - Idea de NegociosAr consulting - Idea de Negocios
Ar consulting - Idea de NegociosMariano Rossi
 
T aller investigativo jhongrimaldos
T aller investigativo jhongrimaldosT aller investigativo jhongrimaldos
T aller investigativo jhongrimaldosJhon Stiven Grimaldos Valencia
 
07 los-sistemas-de-informacion-y-la-sociedad2094
07 los-sistemas-de-informacion-y-la-sociedad209407 los-sistemas-de-informacion-y-la-sociedad2094
07 los-sistemas-de-informacion-y-la-sociedad2094Colegio Chavez Franco
 
07 Los Sistemas De Informacion Y La Sociedad
07 Los Sistemas De Informacion Y La Sociedad07 Los Sistemas De Informacion Y La Sociedad
07 Los Sistemas De Informacion Y La SociedadRattlesnake
 
Sw Libre Ek Ing. Boris Monsalve Kruger Corp.
Sw Libre Ek Ing. Boris Monsalve Kruger Corp.Sw Libre Ek Ing. Boris Monsalve Kruger Corp.
Sw Libre Ek Ing. Boris Monsalve Kruger Corp.Edison L. Coronel Romero
 
Software Libre y empresa
Software Libre y empresaSoftware Libre y empresa
Software Libre y empresaSancho Lerena
 
Software libre como aliado del emprendedor
Software libre como aliado del emprendedorSoftware libre como aliado del emprendedor
Software libre como aliado del emprendedorCampa Base
 
Trabajo final herramientas informaticas
Trabajo final herramientas informaticasTrabajo final herramientas informaticas
Trabajo final herramientas informaticasMayerly Vargas Londoño
 
Software Libre
Software LibreSoftware Libre
Software LibreYuni Tere Duran
 
Conferencia Latinoamericana de Computación, Auditoría, Control y Seguridad
Conferencia Latinoamericana de Computación, Auditoría, Control y SeguridadConferencia Latinoamericana de Computación, Auditoría, Control y Seguridad
Conferencia Latinoamericana de Computación, Auditoría, Control y SeguridadJoel A. Gómez Treviño
 
Taller
TallerTaller
TallerHernan Calderon
 
Pon un accelerator en tu startup
Pon un accelerator en tu startupPon un accelerator en tu startup
Pon un accelerator en tu startupMindProject
 
Pon un accelerator en tu startup
Pon un accelerator en tu startupPon un accelerator en tu startup
Pon un accelerator en tu startupMindProject
 
Csi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalCsi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalDiseno_proyecto
 
Insurance Tech Español
Insurance Tech EspañolInsurance Tech Español
Insurance Tech EspañolHanson Wade Ltd
 
Modelos de Negocio con Software Libre 1/6 Generalidades
Modelos de Negocio con Software Libre 1/6 GeneralidadesModelos de Negocio con Software Libre 1/6 Generalidades
Modelos de Negocio con Software Libre 1/6 GeneralidadesSergio Montoro Ten
 
3.4 condiciones de obsolescencia de los sistemas
3.4 condiciones de obsolescencia de los sistemas3.4 condiciones de obsolescencia de los sistemas
3.4 condiciones de obsolescencia de los sistemasElliot Marquez
 

Más contenido relacionado

Similar a Propuesta de Securización del Open Source

2015-LatinCACS-brochure_bro_Spa_0715
2015-LatinCACS-brochure_bro_Spa_07152015-LatinCACS-brochure_bro_Spa_0715
2015-LatinCACS-brochure_bro_Spa_0715Adriana Sanford
 
Ar consulting - Idea de Negocios
Ar consulting - Idea de NegociosAr consulting - Idea de Negocios
Ar consulting - Idea de NegociosMariano Rossi
 
07 los-sistemas-de-informacion-y-la-sociedad2094
07 los-sistemas-de-informacion-y-la-sociedad209407 los-sistemas-de-informacion-y-la-sociedad2094
07 los-sistemas-de-informacion-y-la-sociedad2094Colegio Chavez Franco
 
07 Los Sistemas De Informacion Y La Sociedad
07 Los Sistemas De Informacion Y La Sociedad07 Los Sistemas De Informacion Y La Sociedad
07 Los Sistemas De Informacion Y La SociedadRattlesnake
 
Sw Libre Ek Ing. Boris Monsalve Kruger Corp.
Sw Libre Ek Ing. Boris Monsalve Kruger Corp.Sw Libre Ek Ing. Boris Monsalve Kruger Corp.
Sw Libre Ek Ing. Boris Monsalve Kruger Corp.Edison L. Coronel Romero
 
Software Libre y empresa
Software Libre y empresaSoftware Libre y empresa
Software Libre y empresaSancho Lerena
 
Software libre como aliado del emprendedor
Software libre como aliado del emprendedorSoftware libre como aliado del emprendedor
Software libre como aliado del emprendedorCampa Base
 
Conferencia Latinoamericana de Computación, Auditoría, Control y Seguridad
Conferencia Latinoamericana de Computación, Auditoría, Control y SeguridadConferencia Latinoamericana de Computación, Auditoría, Control y Seguridad
Conferencia Latinoamericana de Computación, Auditoría, Control y SeguridadJoel A. Gómez Treviño
 
Pon un accelerator en tu startup
Pon un accelerator en tu startupPon un accelerator en tu startup
Pon un accelerator en tu startupMindProject
 
Pon un accelerator en tu startup
Pon un accelerator en tu startupPon un accelerator en tu startup
Pon un accelerator en tu startupMindProject
 
Csi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalCsi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalDiseno_proyecto
 
Modelos de Negocio con Software Libre 1/6 Generalidades
Modelos de Negocio con Software Libre 1/6 GeneralidadesModelos de Negocio con Software Libre 1/6 Generalidades
Modelos de Negocio con Software Libre 1/6 GeneralidadesSergio Montoro Ten
 
3.4 condiciones de obsolescencia de los sistemas
3.4 condiciones de obsolescencia de los sistemas3.4 condiciones de obsolescencia de los sistemas
3.4 condiciones de obsolescencia de los sistemasElliot Marquez
 

Similar a Propuesta de Securización del Open Source (20)

2015-LatinCACS-brochure_bro_Spa_0715
2015-LatinCACS-brochure_bro_Spa_07152015-LatinCACS-brochure_bro_Spa_0715
2015-LatinCACS-brochure_bro_Spa_0715
 
Webinar Empresa Extendida 2.0 abril 2011
Webinar Empresa Extendida 2.0 abril 2011Webinar Empresa Extendida 2.0 abril 2011
Webinar Empresa Extendida 2.0 abril 2011
 
T aller investigativo jhongrimaldos2
T aller investigativo jhongrimaldos2T aller investigativo jhongrimaldos2
T aller investigativo jhongrimaldos2
 
Ar consulting - Idea de Negocios
Ar consulting - Idea de NegociosAr consulting - Idea de Negocios
Ar consulting - Idea de Negocios
 
T aller investigativo jhongrimaldos
T aller investigativo jhongrimaldosT aller investigativo jhongrimaldos
T aller investigativo jhongrimaldos
 
07 los-sistemas-de-informacion-y-la-sociedad2094
07 los-sistemas-de-informacion-y-la-sociedad209407 los-sistemas-de-informacion-y-la-sociedad2094
07 los-sistemas-de-informacion-y-la-sociedad2094
 
07 Los Sistemas De Informacion Y La Sociedad
07 Los Sistemas De Informacion Y La Sociedad07 Los Sistemas De Informacion Y La Sociedad
07 Los Sistemas De Informacion Y La Sociedad
 
Sw Libre Ek Ing. Boris Monsalve Kruger Corp.
Sw Libre Ek Ing. Boris Monsalve Kruger Corp.Sw Libre Ek Ing. Boris Monsalve Kruger Corp.
Sw Libre Ek Ing. Boris Monsalve Kruger Corp.
 
Software Libre y empresa
Software Libre y empresaSoftware Libre y empresa
Software Libre y empresa
 
Software libre como aliado del emprendedor
Software libre como aliado del emprendedorSoftware libre como aliado del emprendedor
Software libre como aliado del emprendedor
 
Trabajo final herramientas informaticas
Trabajo final herramientas informaticasTrabajo final herramientas informaticas
Trabajo final herramientas informaticas
 
Software Libre
Software LibreSoftware Libre
Software Libre
 
Conferencia Latinoamericana de Computación, Auditoría, Control y Seguridad
Conferencia Latinoamericana de Computación, Auditoría, Control y SeguridadConferencia Latinoamericana de Computación, Auditoría, Control y Seguridad
Conferencia Latinoamericana de Computación, Auditoría, Control y Seguridad
 
Taller
TallerTaller
Taller
 
Pon un accelerator en tu startup
Pon un accelerator en tu startupPon un accelerator en tu startup
Pon un accelerator en tu startup
 
Pon un accelerator en tu startup
Pon un accelerator en tu startupPon un accelerator en tu startup
Pon un accelerator en tu startup
 
Csi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalCsi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica final
 
Insurance Tech Español
Insurance Tech EspañolInsurance Tech Español
Insurance Tech Español
 
Modelos de Negocio con Software Libre 1/6 Generalidades
Modelos de Negocio con Software Libre 1/6 GeneralidadesModelos de Negocio con Software Libre 1/6 Generalidades
Modelos de Negocio con Software Libre 1/6 Generalidades
 
3.4 condiciones de obsolescencia de los sistemas
3.4 condiciones de obsolescencia de los sistemas3.4 condiciones de obsolescencia de los sistemas
3.4 condiciones de obsolescencia de los sistemas
 

Propuesta de Securización del Open Source

  • 2. LA PROPUESTA DESCRITA A CONTINUACIÓN ES DE CARÁCTER PERSONAL Y NO REPRESENTA EN NINGÚN CASO UNA EMPRESA, ENTIDAD O COMUNIDAD. LAS IMÁGENES UTILIZADAS NO TIENEN COPYRIGHT Y SE CITAN TODAS LAS FUENTES. LOS DATOS UTILIZADOS PARA SU ELABORACIÓN SON TODOS PÚBLICOS Y NO SE HA INFRINGIDO NINGÚN TIPO DE LEY O NORMATIVA. A CONTINUACIÓN SE PRESENTA UN PROBLEMA DETECTADO COMO PROFESIONAL DEL SECTOR CIBERSEGURIDAD Y QUE PODRÍA ESTAR AFECTANDO A NIVEL NACIONAL O INCLUSO INTERNACIONAL. DE MANERA PROACTIVA, SE PROPONE UNA SOLUCIÓN QUE MITIGA PARCIALMENTE EL PROBLEMA. DISCLAIMER PROBLEMA SOLUCIÓN
  • 3. SABER LO QUE ES LA CIBERSEGURIDAD Y EN QUÉ AFECTA La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos. Según señala International Data Corporation (IDC), el negocio de la seguridad informática moverá en España en este 2019 1.307 millones de euros, lo que significa un 7% más que el año pasado y lo que se traduce en un crecimiento continuo que se mantendrá también en 2020. Ver más en Wikipedia SABER LO QUE ES EL OPEN SOURCE Y CUÁNTO SE USA EN ESPAÑA El código abierto es un modelo de desarrollo de software basado en la colaboración abierta. Se enfoca más en los beneficios prácticos (acceso al código fuente) que en cuestiones éticas o de libertad que tanto se destacan en el software libre. Según un estudio personal, más del 50% de los proyectos de software de las empresas que cotizan en el IBEX35 utilizan de alguna u otra manera Open Source Ver más en Wikipedia PREMISAS PARA ENTENDER EL PROBLEMA Y LA PROPUESTA PROBLEMA SOLUCIÓN
  • 4. EL IMPACTO DEL DESARROLLO DE SOFTWARE INSEGURO EN ESPAÑA Vulnerabilidades Una vulnerabilidad es una debilidad que puede ser explotada satisfactoriamente. Es decir, si la debilidad que existe en el código puede llegar a ser explotada por un atacante estamos ante una vulnerabilidad. Debilidades Una debilidad es un problema en el software pero no tiene por qué ser explotada, siempre estará ahí pero puede haber medidas de protección por encima que impidan una explotación de la misma “Una debilidad se convierte en una vulnerabilidad en el momento en el que hay una posibilidad de explotar la misma” PROBLEMA SOLUCIÓN
  • 5. EL PODER DE LA INFORMACIÓN. VISTA DE ATAQUES DDOS EN EL MUNDO UN DÍA CUALQUIERA. El Gobierno español considera que las ciberamenazas son junto con el terrorismo yihadista los dos mayores peligros que desafían la seguridad del país. FUENTE: elpais.com PROBLEMA SOLUCIÓN
  • 6. EL AUGE DE LA CIBERSEGURIDAD Las previsiones de los expertos señalan que en 2019 nueve de cada diez empresas sufrirán un ataque informático. FUENTE: Cybersecurity Ventures FUENTE: Incibe PROBLEMA SOLUCIÓN
  • 7. EL CICLO DEL DESARROLLO DE SOFTWARE La securización del código fuente implica un proceso de adopción lento y complejo que debe incorporarse en todas las fases. PROBLEMA SOLUCIÓN
  • 8. EL COSTE DE SECURIZAR EL CÓDIGO. El proceso de ir enfocando los esfuerzos y los procesos internos hacia la izquierda (fases más tempranas) se denomina “Shifting left”. PROBLEMA SOLUCIÓN
  • 9. EL COSTE DE SECURIZAR EL CÓDIGO. Cuanto más movamos los recursos que se dediquen al código desarrollo seguro a la izquierda, más económico saldrá. La aplicación del “Shifting left” implica ahorro de costes. FUENTE: INCOSE SE Conference © AVSI PROBLEMA SOLUCIÓN
  • 10. SECURIZAR EL CÓDIGO IMPLICA TAMBIÉN LAS LIBRERÍAS DE TERCEROS (OPEN SOURCE) Cuando en entornos productivos utilizamos librerías de terceros se está incorporando el riesgo a la deuda técnica de la compañía. PROBLEMA SOLUCIÓN
  • 11. LA HIPÓTESIS Y LA SOLUCIÓN PROPUESTA PLANTEAMIENTO DE LA SOLUCIÓN: Cada euro que aportemos en las fases tempranas, evitará un gasto muy superior en las fases posteriores (estimado en 5 euros) Si unimos a varias empresas que utilizan código inseguro, para que se pongan a solucionarlo, seremos más eficaces y más eficientes. Si se mantienen exenciones fiscales para tal inversión, podremos montar un grupo de early-adopters que formalicen una FUNDACIÓN denominada SECURIZANDO. Si se crease un CENTRO DE COMPETENCIA EN SECURIZAR OPEN SOURCE, se atraería talento internacional en Ciberseguridad y se podría cubrir la futura demanda en el sector. Si se permite la entrada de nuevos socios no fundacionales, se podría escalar tanto a nivel nacional como a nivel internacional. PROBLEMA SOLUCIÓN PLANTEAMIENTO DE LA HIPÓTESIS: La inversión en Ciberseguridad crece. Los expertos en Ciberseguridad no podrán cubrir la demanda en los próximos años. Más del 50% de los proyectos de Software utiliza Open Source. 3 de cada 4 proyectos analizados que usa Open Source, tiene vulnerabilidades de código. El coste de reparar el código inseguro es mucho menor cuando estamos en las fases de diseño. Si todas las empresas que utilizan código inseguro, se ponen a solucionarlo, cada uno empezará a solucionar su código, pero no lo compartirán.
  • 13. Seleccionar las librerías más utilizadas Los participantes de la fundación enumeran las librerías que utilizan y les establecen un peso. ¡Ya tenemos líneas de trabajo priorizadas con OKRS! Mejorar las librerías Los colaboradores de la fundación se ponen a securizar el código fuente en la medida de lo posible además de buscar alternativas o incluso construirlas. Medir el impacto que provocan con la mejora En constante análisis, se analizan y miden los resultados de manera que se comparan con las baselines midiendo el impacto técnico y económico estimado. PRINCIPALES FUNCIONES DE LA FUNDACIÓN Selección librerías Securizar código Medir impacto PROBLEMA SOLUCIÓN Para garantizar la trazabilidad y transparencia de la actividad de la Fundación, se utilizará algún proyecto basado en Blockchain.
  • 14. SOCIOS FUNDADORES SOCIOS FUNDADORES La Fundación se podría formar con 5 socios fundadores. A poder ser por empresas de distinto sector. Cada uno de ellos representaría el 20% de la Fundación Securizando. Cada socio aportaría un capital inicial por 4 años y un listado de expertos dispuestos a formar parte de un Comité asesor. Se redactarán los estatutos y se definirán las políticas y objetivos. OBLIGACIONES Cada socio fundador participará actívamente en la elección de librerías más utilizadas. Cada socio fundador se compromete a la aportación de capital indicado. DERECHOS Cada socio aportará un 20% de personal experto determinado para la comisión. Cada socio contará con un 20% de los votos para la toma de decisiones. PROBLEMA SOLUCIÓN
  • 15. PRESUPUESTO ESTRUCTURAL ORDINARIO. EJEMPLO CON APORTACIONES POR VALOR DE 2,5M€ Personal Oficinas Becas Servicios Total Año 1 130.000,00 € 25.000,00 € 300.000,00 € 120.000,00 € 575.000,00 € Año 2 143.000,00 € 27.500,00 € 300.000,00 € 132.000,00 € 602.500,00 € Año 3 157.300,00 € 30.250,00 € 300.000,00 € 145.200,00 € 632.750,00 € Año 4 173.030,00 € 33.275,00 € 300.000,00 € 159.720,00 € 666.025,00 € Total 603.330,00 € 116.025,00 € 1.200.000,00 € 556.920,00 € 2.476.275,00 € PROBLEMA SOLUCIÓN
  • 16. MODALIDADES DE PARTICIPACIÓN PARA CONFORMAR UN PRESUPUESTO EXTRAORDINARIO Friend Premium Platinum 500€ 2.400€ 12.000€Aportación / año Miembro visible Propone retos Acceso al foro Vota prioridades Acceso temprano Modalidades de partipación La Fundación permitirá la entrada de socios nacionales e internacionales que supondrán el aumento de recursos de manera directa en recursos propios, becas, eventos y acuerdos internacionales con universidades y escuelas técnicas. PROBLEMA SOLUCIÓN
  • 17. BENEFICIOS Beneficios Gamificación Talento Acelerar el Shifting left Aportación a la comunidad Impacto mediatico Obtención de métricas Ahorros Eficiencia y eficacia PROBLEMA SOLUCIÓN
  • 18. 1 Gamificación Talento Acelerar el Shifting left Aportación a la comunidad Impacto mediatico Obtención de métricas Ahorros Eficiencia y eficacia Gamificación Poder enfocar los retos desde otro punto de vista sin la responsabilidad y presión de la empresa privada.
  • 19. Gamificación Talento Acelerar el Shifting left Impacto mediatico Obtención de métricas Ahorros Eficiencia y eficacia 2 Talento Captación de talento. Ayudas con las becas. Retención de ingenieros en el país. Trabajos, becas, programas y retos desde las universidades o plataformas online, MOOCs etc. Aportación a la comunidad
  • 20. Talento Acelerar el Shifting left Impacto mediatico Obtención de métricas Ahorros Eficiencia y eficacia 3 Acelerar Shifting left Gracias a la utilización de código más seguro, el movimiento de shifting left será más natural y rápido. Gamificación Aportación a la comunidad
  • 21. Talento Acelerar el Shifting left Impacto mediatico Obtención de métricas Ahorros Eficiencia y eficacia 4 Aportación a la comunidad Tras muchos años de utilizar código abierto, ya es hora de devolver la participación. Mejorar la percepción internacional del país en cuanto a la aportación a las comunidades open source. Gamificación Aportación a la comunidad
  • 22. Talento Acelerar el Shifting left Impacto mediatico Obtención de métricas Ahorros Eficiencia y eficacia 5 Impacto mediático Aprovechar la repercusión de la fundación para impactos mediáticos cuando más favorezca. Dar a conocer la marca del socio desde las universidades a través de becas, programas o retos. Gamificación Aportación a la comunidad
  • 23. Talento Acelerar el Shifting left Impacto mediatico Obtención de métricas Ahorros Eficiencia y eficacia 6 Obtención de métricas Evaluar constantemente los datos arrojados en contexto para tomar la mejor de las decisiones. Evaluar desde la perspectiva del arbitraje objetivo, cuando así sea solicitado omitiendo la información de los socios o aportaciones. Gamificación Aportación a la comunidad
  • 24. Talento Acelerar el Shifting left Impacto mediatico Obtención de métricas Ahorros Eficiencia y eficacia 7 Ahorros Desgravaciones fiscales en las aportaciones. Captación de talento más económica. Ahorros por no tener que securizar las librerías de terceros. Gamificación Aportación a la comunidad
  • 25. Talento Acelerar el Shifting left Impacto mediatico Obtención de métricas Ahorros Eficiencia y eficacia 8 Eficiencia y eficacia Evitar estar varias empresas haciendo lo mismo compartiendo el conocimiento. Al especializar a la gente, la securización es más rápida y eficaz que si dedicamos equipos a tiempo parcial. Gamificación Aportación a la comunidad
  • 26. GLOBAL HUB OF INTERNATIONAL SECURING OPEN SOURCE PROBLEMA SOLUCIÓN
  • 27. ROADMAP 2020 2021 2022 2023 Establecimiento -Formalización legal. -Selección de equipo. -Presentación de becas. -Montaje de oficina 5 fundadores. 10 socios nac. 1 universidad nac. Expansión -Plan de marketing. -Ronda de eventos -Captación de capital 5 fundadores. 100 socios nac. 4 universidades nac. 2 universidades int. Internacionalización -Colaboración con universidades internacionales -Colaboraciones multisectoriales 5 fundadores. 500 socios nac. 100 socios int. 6 universidades nac. 25 universidades int Re-imagine -Evento internacional -Votación estratégica de evolución PROBLEMA SOLUCIÓN
  • 28. ¡GRACIAS! ¿Preguntas? ▸ Escríbe a marioburi@gmail.com o contáctame en LinkedIn