Los clientes: Unos de los principales problemas de seguridad

A la hora de desarrollar a medida o implementar algún tipo de sistema para algún cliente, ya sea trabajando de forma independiente o para una empresa, el cliente (quien solicita el trabajo) se transforma en la principal amenaza de seguridad. Es muy común entre los desarrolladores recibir presiones, cambios a última hora, mejoras de “usabilidad” que atentan contra la seguridad, etc. Generalmente, cuando un cliente necesita algo, él piensa que todo es magia y comienza a apresurarnos, acortando el plazo y exigiendo features nuevas lo que nos pone a nosotros, los desarrolladores, en una situación muy crítica.
seginf1

En lo personal, me ha pasado que por evitar una falla de seguridad he
decidido hacer validaciones de formularios con 3 niveles, validación
por javascript, validación por php y validación a nivel de base de datos
y me he demorado 3 o 4 veces más de lo que me hubiese demorado si
hubiese dejado solo la validación por javascript, lo que permite, obvia-
mente, hacer un post directo sin pasar por el formulario y saltarse esa
validación.

Otro factor crítico es el tema del presupuesto, generalmente los clientes quieren todo por muy poco dinero y en muy poco tiempo y nosotros, al necesitar el dinero, aceptamos y, lo que empieza siendo un trabajo extra para ganar unaas monedas termina siendo un dolor de cabeza.

Si bien es cierto que los clientes en lo general son los que provocan este tipo de fallos, no hay que dejar de lado cuando se le encargan sistemas a personas que no están capacitadas, queines, para mi, representan un peligro mucho mayor que un cliente apresurado, pero creo que es menor frecuente.

Como conclusión, en estos temas informáticos, lamentablemente el cliente no siempre tiene la razón.
Como opinón propia, creo que cuando alguien logré ingresar a un sistema indevidamente se debería juzgar al desarrollador, por incompetente 🙂

2 comentarios

  1. Es muy cierto lo que decís, pero yo me inclino en que la mayor culpa es parte de la ignorancia de los desarrolladores.
    En mi corta experiencia de 5 meses de trabajo como administrador de seguridad me he encontrado con horrendos desarrollos, sobre todo en lo concerniente a la seguridad. Sucede que los desarrolladores no conocen los principios de seguridad básicos.
    Por supuesto que gran parte del problema lo ocasiona el usuario con los requerimientos que rompen esquemas.
    Pero lo que he visto mayoritariamente es que se hace el soft para que ande, y si queres seguridad te lo cobran aparte. Es como que el cliente tiene que entender del tema y dejar explicito en el contrato que el sistema debe ser seguro, algo que está implícito. Un soft de calidad no puede ser un colador total, es como que no cumpliera con alguna de las funcionalidades que el usuario desea…
    En fin, el tema me hierve así que la corto aca, pero es algo interesante para charlar…

  2. Zerial

    julio 11, 2009 a las 4:40 pm

    d3m4s1@d0v1v0: Claro. Por eso mismo no pretendo que toda la culpa sea del “cliente”, pero en muchos casos asi sucede. Muchas veces cuando un sistema es vulnerado el que pierde mas es el cliente o la empresa y no el desarrollador. Por esto mismo, pienso que la empresa o cliente es la que debe preocuparse de la seguridad y no dejarlo a criterio del desarrollador.

    saludos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.