Seleccionar página
Recién iniciada la década del 2000, Microsoft tuvo que reforzar con ingenieros y técnicos especializados su Centro de Atención al Cliente para responder a un alto volumen de incidencias relacionadas con problemas de fiabilidad y seguridad en sus productos. Bill Gates, CEO de Microsoft en esos momentos, se dio cuenta de que esas incidencias afectaban a la reputación de la compañía, incluso aun cuando Microsoft no fuese el responsable directo de muchas de las mismas.
l

Había un problema. Y admitir que hay un problema es el primer paso para resolverlo.

El máximo responsable de Microsoft consideró que debía imponer un cambio de orientación en la estrategia de desarrollo de la compañía, priorizando la fiabilidad y la seguridad frente al lanzamiento de nuevos productos o la inclusión de nuevas funcionalidades sobre los ya existentes. Y, además, decidió que este nuevo enfoque se emprendería de una manera inmediata y global en toda la compañía, para lo cual era necesario que todos los miembros de Microsoft conociesen y compartiesen la importancia estratégica de implementarlo. Esta fue la génesis del famoso memorándum “Trustworthy Computing enviado por Bill Gates a todos sus colaboradores el martes 15 de enero de 2002.

Gates abogaba por esforzarse en que la computación alcanzase el nivel de confiabilidad que las empresas y los consumidores tenían respecto de los servicios de telefonía, electricidad o agua en los países desarrollados, para lo cual, la fiabilidad y la seguridad debían ser un requerimiento de primer nivel y no un asunto a resolver al final de todo el proceso de desarrollo.

La iniciativa Trustworthy Computing de Microsoft

La Iniciativa Trustworthy Computing (TwC) de Microsoft

De manera muy esquemática, esta iniciativa se basa en cuatro premisas fundamentales:

  • Disponibilidad
    Los productos de Microsoft deben estar disponibles y operativos cuando los clientes los necesitan.
  • Seguridad
    Los datos de los clientes almacenados por el software o los servicios de Microsoft deben estar protegidos y solo podrán usarse o modificarse de una manera adecuada.
  • Privacidad
    Los usuarios tendrán un control claro y transparente sobre cómo Microsoft utiliza sus datos.
  • La confiabilidad como prioridad
    Ante la elección entre priorizar el desarrollo de nuevas funcionalidades o resolver problemas de seguridad, Microsoft elegirá la seguridad.

Bajo estas premisas se diseñó el modelo SDL (Secure Development Life Cycle) y el MSRC (Microsoft Security Response Center). El SDL establece los procesos de desarrollo y control para que todo el software y los servivios cumplan los requerimientos de fiabilidad, seguridad y privacidad, aplicando sistemáticamente las mejores prácticas conocidas, al tiempo que el MSRC asegura una actitud global proactiva orientada a solucionar cualquier problema (o al menos minimizar) el riesgo involucrado.

Windows Vista fue el primer sistema operativo de Microsoft que se desarrolló utilizando el modelo SDL, reportando un 45% menos de vulnerabilidades un año después del lanzamiento que las que tuvo Windows XP antes del SDL. Igualmente, SQL Server 2005 tenía un 91% menos de vulnerabilidades que el anterior SQL Server 2000.

TwC ha evolucionado a TwC Next, que enfatiza la privacidad y la seguridad en la nube, así como en los nuevos dispositivos y las nuevas arquitecturas de computación y comunicaciones.

Memorándum de Computación Confiable

De: Bill Gates   A: Todos   Enviado: 15.ene.2002
Asunto: Computación Confiable

— Extracto (1)

Computación Confiable significa una informática que es tan disponible, confiable y segura como lo son los servicios de electricidad, agua y telefonía… En el mundo desarrollado, no estamos preocupados por la disponibilidad de los servicios de suministro de electricidad y de agua. Con la telefonía confiamos, tanto en su disponibilidad, como en su seguridad, para realizar transacciones comerciales altamente confidenciales sin preocuparnos de que la información sobre a quién llamamos o lo que decimos se vea comprometida. La computación está muy lejos de esto

La informática ya es una parte importante de la vida de muchas personas. Dentro de 10 años, será una parte integral e indispensable de casi todo lo que hagamos. Microsoft y la industria de la computación solo tendrán éxito en ese mundo si los CIO (Chief Information Officer), los consumidores y todos los demás ven que Microsoft ha creado una plataforma para la informática confiable. … como líderes de la industria podemos y debemos hacerlo mejor, nuestro software debe ser tan fundamentalmente seguro que los clientes nunca se preocupen por eso.

Aspectos clave:

  • Disponibilidad: Nuestros productos siempre deben estar disponibles cuando nuestros clientes los necesiten.
  • Seguridad: Los datos de nuestros clientes que nuestro software y servicios almacenan deben estar protegidos contra daños y usarse o modificarse solo de la manera adecuada.
  • Privacidad: los usuarios deben tener el control de cómo se utilizan sus datos. Las políticas para el uso de la información deben ser claras para el usuario.

… ganarse la confianza de nuestros clientes implica algo más que corregir errores y lograr una disponibilidad de «cinco nueves». Es un desafío fundamental que abarca todo el ecosistema informático y la cooperación en toda la industria… desde la forma en que desarrollamos el software, hasta nuestro trabajo de soporte y nuestras operativas y prácticas comerciales…

Los fallos en un solo producto, servicio o política de Microsoft no solo afectan a la calidad de nuestra plataforma y servicios en general, sino también a la opinión que nuestros clientes tienen sobre nosotros como empresa.

En el pasado, hemos hecho que nuestro software y servicios sean más atractivos para los usuarios al agregar nuevas funciones y funcionalidades… Hemos hecho un excelente trabajo en eso, pero todas esas excelentes características no importarán a menos que los clientes confíen en nuestro software. Así que ahora, cuando nos enfrentemos a una eleción entre agregar características y resolver problemas de seguridad, debemos escoger la seguridad.

Animo a todos en Microsoft a ver lo que hemos hecho hasta ahora y pensar cómo podemos contribuir.

Bill

Hacia una cultura de confiabilidad y seguridad

Aunque el entorno del memorándum Trustworthy Computing es la informática, los conceptos de disponibilidad, seguridad, privacidad y confiabilidad como prioridad, así como muchas otras ideas contenidas en el mismo, son válidos para cualquier otra industria muy diferente de la de Microsoft, tanto por sector, como en dimensión, porque como decía Matt Thomlinson, ex-Vicepresidente de Cloud & Enterprise Security de Microsoft y uno de los principales artífices de la implantación de la TwC:

La confianza del cliente es el mayor activo que puede tener una empresa

Y esto es así porque el primer mandamiento de la competitividad de un negocio es ganarse y mantener la confianza de clientes, colaboradores y socios. Un producto o un servicio que consideramos poco fiable, o un compromiso de negocio que no nos inspire confianza, más allá de poner en riesgo la reputación de la empresa, reduce las posibilidades de que clientes, colaboradores y socios quieran seguir trabajando con nosotros.
Aunque a veces no lo parezca, el mundo de las Tecnologías de la Información y las Comunicaciones es mucho más seguro hoy que hace 15 años. Hemos recorrido un largo camino desde la era del «salvaje oeste» del malware gracias, en gran parte, a iniciativas como la TwC de Microsoft, la cual ha desarrollado una gran influencia e inspirado iniciativas semejantes en otras importantes empresas de tecnología como Adobe y Cisco.

La computación en la nube, las conexiones ubicuas de alta velocidad, las aplicaciones sociales, el desarrollo del internet de las cosas, la inteligencia artificial, etc. conllevan un crecimiento exponencial del riesgo. Por eso, ahora más que nunca, es imperativo que todas las estrategias de desarrollo comiencen con la fiabilidad, la seguridad y la privacidad como máximas prioridades.

(1) Recomiendo leer el Memorándum de Computación Confiable completo, al que puedes acceder a través de los enlaces a su versión original en inglés o a su traducción al español.