CSO dijo que la seguridad de Cisco está creciendo

John Stewart no habla como su típico ejecutivo corporativo. Dijo que su empresa, Cisco Systems, ha tenido suerte en lo que respecta a la seguridad y que el impulso de mercadotecnia de la red de autodefensa de su empresa ha pintado "una gran diana" en sus productos.

Pero, una vez más, Stewart tiene más cosas importantes de las que preocuparse Como director de seguridad, es el responsable de dirigir las prácticas de seguridad de las unidades corporativas y comerciales de Cisco. Eso significa que recibe la llamada cada vez que hay un error de seguridad importante en los productos de Cisco o si los piratas informáticos atacan el sitio web de Cisco.com. Tal como lo expresa, es su trabajo ayudar a bloquear los productos de Cisco antes de que se vea obligado a lidiar con lo que él llama "la plataforma ardiente", un grave error o ataque contra los enrutadores más utilizados en Internet.

Tal vez Cisco necesita a alguien como Stewart para evitar los errores que otras grandes compañías tecnológicas han cometido en materia de seguridad. Tome Microsoft, por ejemplo. Microsoft primero adoptó una actitud hostil hacia los investigadores de seguridad y los críticos, pero eso resultó contraproducente y ayudó a cimentar la impresión de que la compañía estaba ignorando los errores de seguridad en lugar de tratar de solucionarlos. Microsoft finalmente revirtió su curso, pero no hasta que su reputación tuvo un gran impacto.

[Más información: las mejores cajas NAS para streaming de medios y copias de seguridad]

En una escala menor, Cisco ha realizado un tipo similar de reversión. La compañía enfureció a los piratas informáticos en 2005 al demandar al investigador Mike Lynn luego de mostrar cómo era posible ejecutar un software Shellcode no autorizado en un enrutador Cisco. Pero en lugar de iniciar una nueva era de piratería informática de Cisco, el episodio de Mike Lynn fue más una aberración La investigación de Cisco fue silenciosa durante los próximos años.

Stewart dijo que Cisco ha tenido "un poco de suerte" en cuanto a que no ha tenido grandes estallidos de seguridad, pero no da nada por hecho. Invitó a IDG News Service a su oficina de San José, California, para hablar sobre el panorama de amenazas de Cisco. A continuación se encuentra una transcripción editada de la entrevista.

IDG News Service: Cisco recibió mucha atención en Black Hat 2005. ¿Cuál es su opinión sobre las cosas, tres años después?

John Stewart: Parte de la razón toda la atención fue pintada en nosotros en Black Hat hace tres años porque creamos una tormenta de, francamente todo tipo de problemas complicados, que parecía que Cisco estaba suprimiendo la comunicación y la investigación.

Creo que hicimos algunas cosas tontas, como intentar pon el genio en la botella, lo cual no puedes hacer. Intentamos hacerlo por las razones correctas: protección de la propiedad intelectual y nuestros clientes. Pero cómo salió completamente se fue de lado.

Y, en muchos aspectos, lo hicimos de forma anónima. Fue "un portavoz de Cisco". Nos escondemos detrás de un contexto de anonimato, que creo que realmente se burló de todo.

Por eso personalmente patrociné Black Hat en el nivel platino desde entonces. Porque creo que tuvimos una expiación por hacer e irnos, "Mire, nuestro mal. Esa no era la manera de hacerlo".

IDGNS: ¿Por qué cree que la investigación de Cisco se secó como lo hizo?

Stewart: Hay un par de razones. La primera es que gran parte de esto no es explotación remota, y gran parte de lo que la investigación trata en cualquier comunidad es: "¿Cómo lo haces de forma remota?" La investigación de IRM [Information Risk Management], la investigación de Sebastian [Muniz, investigador de Core Security Technologies] y, hasta cierto punto, la investigación de Michael Lynn, aunque tenía una pequeña variante remota, no es remota de manera estable. Y ahí es donde está el juego real.

Tienes que encontrar la manera de obtenerlo sin estar en la consola. Y eso es lo que ha estado haciendo la mayor parte del desarrollo: cómo lo haces en la consola, al menos para Cisco, de todos modos.

Y lo segundo es que quieres que funcione. No estás tratando de eliminarlo porque necesitas la red para que puedas llegar al punto final. Así que creo que obtendremos un pase porque nadie quiere simular la infraestructura que están usando. Es como arruinar la autopista mientras tratas de ir a una ciudad diferente. Es algo tonto que hacer.

IDGNS: Microsoft ha sido muy público sobre cómo cambiaron la compañía para hacer de la seguridad una prioridad. ¿Cuál es la historia en Cisco? ¿Cómo se construyó el programa de seguridad?

Stewart: Probablemente estábamos en el mismo espacio. Muchas compañías, incluida la nuestra, comenzaron con la construcción de cosas primero que resolvieron los problemas de comunicación y luego pensaban en la seguridad de las comunicaciones.

Hace unos cinco años, estábamos peleando con la empresa, mi equipo. Principalmente en el negocio de seguridad de la información. Éramos la organización "no", la torre de marfil. Ese es un lugar peligroso porque mi opinión es que deberíamos ser un brazo de cumplimiento consultivo, no un adjudicador.

Así que cambiamos mucho y comenzamos a inyectar cosas, como "vas a tener experiencia en tu No vamos a estar ni siquiera en el medio, de modo que pueda invertir la experiencia para lo que necesita y no lo retendremos ni lo llevaremos a una posición más lenta. "

Lo segundo: - eso no se puede subestimar - nos estamos preparando en el 2002 para lanzar redes autodefensas, que - les guste o lo odien como un lema - efectivamente es un gran centro de atención en nuestra frente.

IDGNS: ¿como el inquebrantable Linux de Oracle?

Stewart: de hecho, Mary Ann Davidson en Oracle me dejó una nota y me dijo: "muchas gracias por crear un eslogan que quita la presión de lo que hemos hecho". [risas] como si tuviera algo que ver con el anuncio.

Y luego, tercero, realmente hemos crecido. Nos acostumbramos cada vez más a lugares y, francamente, pensamos que nunca pensamos que nos utilizarían. Estamos haciendo la transición de las comunicaciones de atención médica, estamos haciendo la transición de las comunicaciones de sitio a sitio para los militares. Estamos haciendo todas estas cosas alocadas en las que hace 20 años no pensábamos en ese momento.

IDGNS: ¿Hiciste algo así como adoptar un ciclo de vida de desarrollo seguro o cambiar la forma en que construiste los productos?

Stewart: No estamos maduros en esto. Estamos en la incómoda fase adolescente. Estamos probando al final del proceso de desarrollo y estamos averiguando a partir de esos datos cómo retrocedemos en el proceso de definición. Ahora, alguna definición sucede de todos modos. Entonces, por ejemplo, hay algunos requisitos básicos de cada producto que construimos. Sin embargo, sigo diciendo que hay mucho que aprender. Cuando piensas que lo haces bien y lo construyes y lo pruebas, los aprendizajes de la prueba deberían beneficiarse en el siguiente paso.

Aún no hemos adoptado un ciclo de vida de desarrollo seguro como el de Microsoft. No nos hemos fijado de la misma manera en todas las líneas de productos de una forma metódica y metódica muy consistente, y es por eso que digo que estamos en esa fase incómoda de la adolescencia.