¿Debemos desconfiar de los productos de seguridad demasiado ricos?

4 Jul 2006 en Seguridad

Si le sorprende abrir la consola de una solución de software de seguridad y encontrar características específicas para otras industrias o dispositivos que jamás utilizará, eso tiene una razón. El sector proveedor de soluciones de seguridad está sometido a una intensa competencia. La facturación disponible en el mercado cada vez es disputada por una mayor cantidad de jugadores.
Como resultado de esta coyuntura, algunas empresas tratan de ganar ventajas competitivas recargando la ingeniería de sus soluciones, lo que resulta en un aumento del costo total de propiedad para el usuario y una calidad menos controlada en su desarrollo.
Algunas compañías proveedoras de software de seguridad atraviesan una situación muy ajustada. En muchos casos dependen de algunos pocos clientes “grandes” que son lo más importante para ellas y es por eso que atienden a sus requerimientos agregando características que éstos les piden y en la creencia de que, atendiendo a sus requerimientos, venderán más productos.
El problema es que lo que puede ser útil para esos grandes clientes, puede ser inútil y hasta dañino para otros usuarios. Uno se puede preguntar qué tiene de malo que el cliente reciba lo que necesita, pero las dificultades pueden aparecer cuando nos veamos obligados a hacer upgrades a nuevas versiones que son muy diferentes a lo que compramos originalmente.
Por ejemplo, un proveedor de soluciones SSL muy conocido, destaca dispositivos de sus productos que un 90% de los usuarios jamás necesitará. Eso responde a las necesidades de uno de sus principales clientes y junto con todos los nuevos dispositivos, vienen configuraciones más complicadas, más bugs, mayor dificultad de aprendizaje e interfaces menos intuitivas.
Como esa será la única versión a soportar por el proveedor, los demás usuarios pagarán platos rotos por tiempos de caída, desconfiguraciones, capacitación adicional, soporte más caro y, lo que es peor, se expondrán a brechas de seguridad.
Los proveedores que acortan demasiado sus ciclos de upgrade, también acortan los ciclos de aseguramiento de la calidad y sabemos cuál es el costo.
Existen señales que expresan la situación de un proveedor con potencial de problemas. Son empresas que luchan por mantenerse en el sector; tienen acuerdos SLA confusos, no se comprometen a soportar más de una o dos versiones similares a la actual (apueste a que tendrá que hacer frecuentes upgrades). Hay que prestar atención a los procedimientos de remediación y responsabilidad que el contrato de compra incluye.
También son compañías que aparecen con betas imprevistos, service packs con dispositivos que no son estándar; suelen comprar a otras pequeñas compañías (o son compradas) por una particular tecnología disponible e interesante para sus grandes clientes, etc. Conclusión: prestar atención.