La mayoría de los productos de seguridad suspenden su primer examen de certificación
En el negocio del software, la calidad es una prioridad de segundo orden, por detrás de la velocidad y la funcionalidad. Los productos de seguridad no son una excepción, según un estudio de ICSA Labs.
ICSA Labs, unidad de Verizon Business, se centra en la realización de pruebas y en la certificación de productos de seguridad de terceros. Analizando los datos de su trabajo en los pasados 20 años, ha elaborado el citado estudio (ICSA Labs Product Assurance Report).
Este informe revela que casi el 80% de los productos de seguridad fracasan en la satisfacción de sus expectativas en la primera prueba a la que se someten, y que generalmente requieren dos o más ciclos de testing antes de conseguir la certificación correspondiente de ICSA.
Para la elaboración de su informe, la organización ha tenido en cuenta los datos de los siete programas de certificación que cubre: antivirus, firewalls de red, firewalls de aplicación Web, IPS de red, IPSec VPN, SSL VPN y “custom testing”, categoría bajo la que se agrupan los programas de pruebas personalizados para clientes específicos.
Según ICSA, el motivo más común del fracaso en las primeras pruebas es que los productos no realizan adecuadamente aquello su función principal. En las siete categorías, la funcionalidad clave del producto generó el 78% de los fallos en el test inicial. Tal sería el caso, por ejemplo, de un producto antivirus que no previene una infección o un cortafuegos que no filtra tráfico malicioso.
Defectos de logging
El segundo fallo más frecuente consiste en la incapacidad del producto para registrar datos de manera completa y precisa. En concreto, el registro incompleto e impreciso de quién hizo algo y cuándo lo hizo resulta la causa del 58% de los fracasos.
El informe sugiere que este aspecto es a menudo considerado una complicación innecesaria y resulta infravalorado por los fabricantes. ICSA señala que el logging o registro constituye un especial problema en el caso de los firewalls. Casi todos los cortafuegos de red (un 97%) y de los de aplicación web (80%) testeados por la organización sufrieron al menos un problema de este tipo.
Otra de las conclusiones más destacables del informe es que el 44% de los productos de seguridad tienen, paradójicamente, algún problema inherente de seguridad, cuya naturaleza oscila desde las vulnerabilidades hasta el compromiso de la confidencialidad o integridad del sistema o un comportamiento impredecible que afecta a la disponibilidad del producto.
