Mejor que su reputación: por qué las empresas alemanas aún subestiman las ventajas de seguridad informática del software de código abierto. Open Source Monitor 2021 de Bitkom proporciona respuestas importantes a las preguntas de seguridad.
El software de código abierto (OSS) ha encontrado su lugar en la economía alemana: Según Bitkom Open Source Monitor 2021 Aproximadamente siete de cada diez empresas utilizan aplicaciones cuyo código fuente básico está disponible públicamente. Los participantes de la encuesta aprecian muchas ventajas diferentes, pero aún tienen una visión crítica del tema de la seguridad de TI. Los encuestados coincidieron en que la falta de expertos especializados en OSS es una gran desventaja de las soluciones de código abierto. Los resultados de la encuesta muestran cuán importantes pueden ser el asesoramiento, la capacitación y los servicios proporcionados por los proveedores de software de fuente abierta para obtener los beneficios de las soluciones.
Software de código abierto popular para ahorrar costos
El ahorro de costos (24 por ciento) y el acceso al código fuente (14 por ciento) se mencionaron con mayor frecuencia como ventajas de un OSS. El fenómeno de ninguna manera se concentra en las pequeñas empresas sensibles a los costos y el uso de paquetes de oficina gratuitos. Al contrario: la proporción de encuestados que usan OSS aumentó con el tamaño de la empresa al 87 por ciento con más de 2.000 empleados.
Entre otras cosas, las empresas utilizan tanto programas de base de datos como aplicaciones de escritura o gráficos, así como servicios web y sistemas operativos de servidor. Este último, en particular, debe cumplir con los exigentes estándares de seguridad de TI para no convertirse en una puerta de entrada para incidentes de seguridad, es decir, un punto débil. Sin embargo, solo el siete por ciento de los encuestados consideró que un alto nivel de seguridad a través de actualizaciones oportunas es una ventaja del OSS. En la categoría de seguridad de TI, la estabilidad del software y su baja tasa de error le siguen en segundo lugar con solo un dos por ciento.
La comunidad es una herramienta de prueba de código permanente.
Esto puede sorprender a los especialistas que participan activamente en el tema del código abierto y la seguridad informática. Porque la seguridad del software y su código fuente abierto están estrechamente vinculados a muchos ojos. Las soluciones populares cuyo código es visible públicamente reúnen una comunidad activa de usuarios y desarrolladores de diferentes áreas a su alrededor. Aportan diferentes intereses y, por lo tanto, perspectivas a la verificación del código fuente: algunos quieren saber cómo funciona el software, otros buscan activamente puntos débiles como pasatiempo o quieren adaptar la aplicación a las necesidades individuales.
Las líneas de código relevantes para la seguridad se notan rápidamente, independientemente de si se trata de vulnerabilidades, puertas traseras o evaluaciones de datos no deseadas. La comunidad permite un intercambio rápido de errores, problemas de aplicaciones o incluso posibles riesgos de seguridad y, por lo tanto, acelera la implementación de un parche. Al mismo tiempo, es difícil ocultar funciones en una pieza de software, por lo que su funcionamiento es muy transparente.
Software PKI EJBCA: código abierto en el mejor de los casos
Para las aplicaciones cuyo código fuente no es de acceso público, las empresas deben confiar en que los proveedores han implementado la seguridad informática de la mejor manera posible y, por ejemplo, no han integrado ninguna función de seguimiento no deseada. El código abierto permite la revisión por parte de expertos internos y miembros independientes de la comunidad.
El ejemplo del software de infraestructura de clave pública (PKI) EJBCA muestra el alcance que esto puede tener en la seguridad de TI. Está disponible como OSS y contiene todos los componentes necesarios para implementar una PKI, como la Autoridad de certificación (CA), la Autoridad de registro (RA) y la Autoridad de validación (VA) para emitir certificados criptográficos para determinar las identidades de los dispositivos finales y los usuarios.
Las identidades digitales y sus aplicaciones se encuentran entre los componentes básicos de la seguridad de los datos y la información. La confianza en la infraestructura emisora puede ser tan fuerte como la confianza en los componentes de software individuales. Dado que existe una comunidad EJBCA global y activa que analiza y amplía el código fuente, existe un conocimiento muy bueno de lo que puede hacer la CA y cómo funciona. Las empresas que integran la aplicación en su propia PKI obtienen, por tanto, una seguridad adicional de que se cumplirán las promesas que se les han hecho.
Los proveedores de OSS y la escasez de habilidades
Como desventaja del software de código abierto, el 88 por ciento de los encuestados en el estudio mencionado al principio mencionaron la falta de especialistas en SFA. Para aplicaciones populares, las empresas pueden encontrar ayuda de proveedores especializados como PrimeKey y sus socios, quienes pueden brindar servicios de consultoría, capacitación, implementación y mantenimiento además del software. Como resultado, las organizaciones sin know-how propio pueden implementar escenarios de aplicación especiales que requieren ajustes en el código fuente, mientras la comunidad sigue estando disponible para ellos como una autoridad de control.
Más en Primekey.com
Acerca de PrimeKey
PrimeKey es uno de los principales proveedores mundiales de soluciones PKI y ha desarrollado una serie de productos innovadores. Estos incluyen EJBCA Enterprise, SignServer Enterprise, EJBCA Appliance, PrimeKey SEE y Identity Authority Manager. Como pionero en el campo del software de código abierto para la seguridad de TI, PrimeKey ayuda a las empresas e instituciones a implementar soluciones de seguridad clave como identificación electrónica, pasaportes biométricos, autenticación, firmas digitales e identidades y validación digitales uniformes.