Planteamiento de cómo abordar la securización del código Open Source mediante una Fundación que cubra las siguientes funciones:
-Selección librerías.
-Securizar, mejorar o incluso desarrollar código seguro.
-Medir el impacto.
Su misión se basará en transparencia y trazabilidad mediante herramientas que se soporten en tecnología Blockchain.
2. LA PROPUESTA DESCRITA A CONTINUACIÓN ES DE CARÁCTER PERSONAL Y NO REPRESENTA EN
NINGÚN CASO UNA EMPRESA, ENTIDAD O COMUNIDAD.
LAS IMÁGENES UTILIZADAS NO TIENEN COPYRIGHT Y SE CITAN TODAS LAS FUENTES.
LOS DATOS UTILIZADOS PARA SU ELABORACIÓN SON TODOS PÚBLICOS Y NO SE HA INFRINGIDO
NINGÚN TIPO DE LEY O NORMATIVA.
A CONTINUACIÓN SE PRESENTA UN PROBLEMA DETECTADO COMO
PROFESIONAL DEL SECTOR CIBERSEGURIDAD Y QUE PODRÍA ESTAR
AFECTANDO A NIVEL NACIONAL O INCLUSO INTERNACIONAL.
DE MANERA PROACTIVA, SE PROPONE UNA SOLUCIÓN QUE MITIGA
PARCIALMENTE EL PROBLEMA.
DISCLAIMER
PROBLEMA
SOLUCIÓN
3. SABER LO QUE ES LA
CIBERSEGURIDAD Y EN QUÉ
AFECTA
La seguridad de la información es el conjunto
de medidas preventivas y reactivas de las
organizaciones y sistemas tecnológicos que
permiten resguardar y proteger la información
buscando mantener la confidencialidad, la
disponibilidad e integridad de datos.
Según señala International Data Corporation
(IDC), el negocio de la seguridad informática
moverá en España en este 2019 1.307
millones de euros, lo que significa un 7% más
que el año pasado y lo que se traduce en un
crecimiento continuo que se mantendrá
también en 2020.
Ver más en Wikipedia
SABER LO QUE ES EL OPEN
SOURCE Y CUÁNTO SE USA
EN ESPAÑA
El código abierto es un modelo de desarrollo
de software basado en la colaboración abierta.
Se enfoca más en los beneficios prácticos
(acceso al código fuente) que en cuestiones
éticas o de libertad que tanto se destacan en
el software libre.
Según un estudio personal, más del 50% de
los proyectos de software de las empresas
que cotizan en el IBEX35 utilizan de alguna u
otra manera Open Source
Ver más en Wikipedia
PREMISAS PARA
ENTENDER EL
PROBLEMA Y LA
PROPUESTA
PROBLEMA
SOLUCIÓN
4. EL IMPACTO DEL
DESARROLLO DE
SOFTWARE
INSEGURO
EN ESPAÑA
Vulnerabilidades
Una vulnerabilidad es una debilidad que puede ser
explotada satisfactoriamente. Es decir, si la
debilidad que existe en el código puede llegar a
ser explotada por un atacante estamos ante una
vulnerabilidad.
Debilidades
Una debilidad es un problema en el
software pero no tiene por qué ser
explotada, siempre estará ahí pero puede
haber medidas de protección por encima
que impidan una explotación de la misma
“Una debilidad se convierte en una vulnerabilidad en el
momento en el que hay una posibilidad de explotar la
misma”
PROBLEMA
SOLUCIÓN
5. EL PODER DE LA
INFORMACIÓN.
VISTA DE
ATAQUES DDOS
EN EL MUNDO
UN DÍA
CUALQUIERA.
El Gobierno español considera que las ciberamenazas son junto con el
terrorismo yihadista los dos mayores peligros que desafían la seguridad
del país. FUENTE: elpais.com
PROBLEMA
SOLUCIÓN
6. EL AUGE DE LA
CIBERSEGURIDAD
Las previsiones de los expertos señalan que en 2019 nueve de cada
diez empresas sufrirán un ataque informático. FUENTE: Cybersecurity
Ventures
FUENTE: Incibe
PROBLEMA
SOLUCIÓN
7. EL CICLO DEL
DESARROLLO
DE SOFTWARE
La securización del código fuente implica un proceso de adopción lento
y complejo que debe incorporarse en todas las fases.
PROBLEMA
SOLUCIÓN
8. EL COSTE DE
SECURIZAR
EL CÓDIGO.
El proceso de ir enfocando los esfuerzos y los procesos internos hacia
la izquierda (fases más tempranas) se denomina “Shifting left”.
PROBLEMA
SOLUCIÓN
10. SECURIZAR
EL CÓDIGO
IMPLICA
TAMBIÉN LAS
LIBRERÍAS DE
TERCEROS
(OPEN
SOURCE)
Cuando en entornos productivos utilizamos librerías de terceros se
está incorporando el riesgo a la deuda técnica de la compañía.
PROBLEMA
SOLUCIÓN
11. LA HIPÓTESIS Y
LA SOLUCIÓN
PROPUESTA
PLANTEAMIENTO DE LA
SOLUCIÓN:
Cada euro que aportemos en las fases
tempranas, evitará un gasto muy superior en
las fases posteriores (estimado en 5 euros)
Si unimos a varias empresas que utilizan
código inseguro, para que se pongan a
solucionarlo, seremos más eficaces y más
eficientes.
Si se mantienen exenciones fiscales para tal
inversión, podremos montar un grupo de
early-adopters que formalicen una
FUNDACIÓN denominada SECURIZANDO.
Si se crease un CENTRO DE COMPETENCIA
EN SECURIZAR OPEN SOURCE, se atraería
talento internacional en Ciberseguridad y se
podría cubrir la futura demanda en el sector.
Si se permite la entrada de nuevos socios no
fundacionales, se podría escalar tanto a nivel
nacional como a nivel internacional.
PROBLEMA
SOLUCIÓN
PLANTEAMIENTO DE LA
HIPÓTESIS:
La inversión en Ciberseguridad crece.
Los expertos en Ciberseguridad no podrán
cubrir la demanda en los próximos años.
Más del 50% de los proyectos de Software
utiliza Open Source.
3 de cada 4 proyectos analizados que usa
Open Source, tiene vulnerabilidades de
código.
El coste de reparar el código inseguro es
mucho menor cuando estamos en las fases
de diseño.
Si todas las empresas que utilizan código
inseguro, se ponen a solucionarlo, cada uno
empezará a solucionar su código, pero no lo
compartirán.
13. Seleccionar las
librerías más
utilizadas
Los participantes de la
fundación enumeran las
librerías que utilizan y les
establecen un peso.
¡Ya tenemos líneas de
trabajo priorizadas con
OKRS!
Mejorar las
librerías
Los colaboradores de la
fundación se ponen a
securizar el código fuente
en la medida de lo posible
además de buscar
alternativas o incluso
construirlas.
Medir el impacto
que provocan con
la mejora
En constante análisis, se
analizan y miden los
resultados de manera que
se comparan con las
baselines midiendo el
impacto técnico y
económico estimado.
PRINCIPALES
FUNCIONES
DE LA
FUNDACIÓN
Selección
librerías
Securizar
código
Medir
impacto
PROBLEMA
SOLUCIÓN
Para garantizar la trazabilidad y transparencia de la actividad de la
Fundación, se utilizará algún proyecto basado en Blockchain.
14. SOCIOS
FUNDADORES
SOCIOS FUNDADORES
La Fundación se podría formar con 5 socios fundadores. A poder ser por
empresas de distinto sector. Cada uno de ellos representaría el 20% de la
Fundación Securizando.
Cada socio aportaría un capital inicial por 4 años y un listado de expertos
dispuestos a formar parte de un Comité asesor. Se redactarán los estatutos y
se definirán las políticas y objetivos.
OBLIGACIONES
Cada socio fundador participará
actívamente en la elección de librerías
más utilizadas.
Cada socio fundador se compromete a
la aportación de capital indicado.
DERECHOS
Cada socio aportará un 20% de
personal experto determinado para la
comisión.
Cada socio contará con un 20% de los
votos para la toma de decisiones.
PROBLEMA
SOLUCIÓN
15. PRESUPUESTO
ESTRUCTURAL
ORDINARIO.
EJEMPLO CON
APORTACIONES
POR VALOR DE
2,5M€
Personal Oficinas Becas Servicios Total
Año 1 130.000,00 € 25.000,00 € 300.000,00 € 120.000,00 € 575.000,00 €
Año 2 143.000,00 € 27.500,00 € 300.000,00 € 132.000,00 € 602.500,00 €
Año 3 157.300,00 € 30.250,00 € 300.000,00 € 145.200,00 € 632.750,00 €
Año 4 173.030,00 € 33.275,00 € 300.000,00 € 159.720,00 € 666.025,00 €
Total 603.330,00 € 116.025,00 € 1.200.000,00 € 556.920,00 € 2.476.275,00 €
PROBLEMA
SOLUCIÓN
16. MODALIDADES DE
PARTICIPACIÓN
PARA
CONFORMAR UN
PRESUPUESTO
EXTRAORDINARIO
Friend Premium Platinum
500€ 2.400€ 12.000€Aportación / año
Miembro visible
Propone retos
Acceso al foro
Vota prioridades
Acceso temprano
Modalidades de partipación
La Fundación permitirá la entrada de socios nacionales e internacionales que
supondrán el aumento de recursos de manera directa en recursos propios, becas,
eventos y acuerdos internacionales con universidades y escuelas técnicas.
PROBLEMA
SOLUCIÓN
18. 1
Gamificación Talento
Acelerar
el Shifting
left
Aportación a
la comunidad
Impacto
mediatico
Obtención
de métricas
Ahorros
Eficiencia
y eficacia
Gamificación
Poder enfocar los retos desde otro
punto de vista sin la responsabilidad y
presión de la empresa privada.