¿Ha sobrestimado la madurez de seguridad de su organización?
Una versión de este artículo apareció en Lectura Oscura. Se ha actualizado y sindicado aquí.
Como la mayoría de las empresas navegan por el flujo y reflujo del crecimiento, la innovación y la transformación digital, es natural que algunas áreas sigan siendo trabajos en curso a medida que una empresa crece. Este suele ser el caso del programa de ciberseguridad de una organización, especialmente cuando los responsables de seguridad luchan por ir un paso por delante de las nuevas amenazas, vulnerabilidades y desarrollos tecnológicos que aumentan la exposición al riesgo.
Sin embargo, con una persistente escasez de habilidades en desacuerdo con el diluvio de código que se escribe para satisfacer las necesidades de software del mundo, muchas empresas se están quedando atrás en su estrategia de ciberseguridad y en la infraestructura existente. Y con el sector aparentemente obsesionado con un enfoque basado en herramientas, a menudo se pasa por alto el poder de las personas cualificadas en un programa defensivo que funcione.
Es hora de que examinemos con honestidad nuestra madurez general en materia de ciberseguridad y evaluemos los beneficios rápidos viables que tenemos ante nosotros.
La madurez sostenible de la ciberseguridad es un proceso.
Es fácil para el público suponer que todas las empresas tienen un sólido programa de ciberseguridad, y que la protección es sólo cuestión de seleccionar el software adecuado y activarlo como un escudo de fuerza para detener a los actores de amenazas en su camino. Con 2022 como uno de los peores años registrados en cuanto a incidentes cibernéticos -incluido el rescate de todo el gobierno de Costa Rica-, muchos profesionales de la seguridad desearían que fuera así de sencillo.
Aunque muchas industrias -especialmente en el sector financiero- están impulsadas por el cumplimiento y obligadas por marcos normativos cada vez más complejos que exigen estrictas medidas de seguridad, la realidad es que la mayoría de las organizaciones carecen de ciberresiliencia. Más de la mitad de las grandes empresas de todo el mundo no son eficaces a la hora de detener los ciberataques, ni detectan y corrigen con rapidez las vulnerabilidades explotadas.
Incluso las organizaciones consideradas avanzadas, con un programa definido y maduro que abarca una triple amenaza de mejores prácticas de personas, procesos y tecnologías, pueden tener dificultades para seguir el ritmo de las exigencias del panorama de las amenazas. Un área crítica en la que muchas empresas se quedan cortas es la concienciación sobre la seguridad basada en roles, especialmente para el equipo de desarrollo. Aunque todas las personas de una organización deben comprender el papel que desempeñan en la reducción de la superficie de ataque, los que se ocupan del código día tras día podrían estar en el asiento del conductor de un enfoque de la seguridad realmente transformador... si estuvieran adecuadamente formados.
Un programa de seguridad holístico y defensivo exige una mejora continua y requiere que se preste especial atención a sentar unas bases sólidas. Si esos cimientos se basan predominantemente en herramientas, es muy probable que los niveles de madurez sean más bajos de lo que esperan los responsables de seguridad. Un estudio del Ponemon Institute reveló que el 53% de las empresas no confiaba en que su pila tecnológica de seguridad pudiera detener eficazmente las infracciones, y dado que el error humano es una de las principales causas del éxito de los ciberataques a empresas grandes y pequeñas, dejar a los desarrolladores fuera de una mejora estratégica de la seguridad es jugar con fuego.
Convertir a los desarrolladores en la fuerza motriz de la excelencia en seguridad del software
La verdad incómoda que rodea a los ciberataques es que, en casi todos los casos, los atacantes tienen una clara ventaja sobre su empresa objetivo, independientemente de dónde se encuentren en su viaje de madurez de seguridad. Disponen del tiempo, las herramientas y la motivación para buscar meticulosamente cualquier punto débil que puedan explotar, dedicándose a abrirse camino y llegar a la cima.
Las organizaciones, por su parte, tienen que hacer malabarismos con las necesidades del negocio y de los clientes, y aunque no pueden permitirse el inmenso riesgo de un ciberataque, no es práctico que las operaciones empresariales se ralenticen para acomodar una abundancia de controles de seguridad que pueden acabar obstruyendo el rendimiento. Aquí es donde los desarrolladores expertos en seguridad representan un factor X en los resultados de la ciberdefensa.
Aunque hace tiempo que se sabe que, tradicionalmente, los desarrolladores no han podido compartir la responsabilidad de la seguridad de forma significativa, esto puede y debe cambiar para mejor. Las organizaciones pueden crear vías viables de mejora de las competencias para el grupo de desarrolladores, pero deben seleccionar opciones educativas que ofrezcan material didáctico pertinente de forma que tenga sentido en su mundo. Como mínimo, debería impartirse en los lenguajes y marcos de trabajo que utilizan activamente, y abordar las vulnerabilidades que es más probable que encuentren en su código base.
Cuando courses se estructura teniendo en cuenta el flujo de trabajo del desarrollador, hay muchas más probabilidades de que los malos patrones de codificación que perpetúan las vulnerabilidades y los errores de configuración habituales puedan sustituirse por patrones buenos y seguros que aumenten significativamente la calidad del software con el paso del tiempo. El software de baja calidad costó a Estados Unidos 2,41 billones de dólares sólo este año, y esto sólo puede remediarse rompiendo el ciclo de errores que sostienen la arriesgada deuda técnica.
Hace falta un compromiso de toda la organización con un programa de seguridad más positivo y holístico, que aproveche el poder de las personas necesario para marcar la diferencia en los problemas que afectan a las personas. Y si mantenerse fuera de los titulares de mañana es esencial, sin duda merece la pena el esfuerzo.
Con una persistente escasez de personal cualificado en contradicción con la avalancha de código que se escribe para satisfacer las necesidades de software del mundo, muchas empresas se están quedando rezagadas en su estrategia de ciberseguridad y en la infraestructura existente. Es hora de que analicemos con honestidad nuestra madurez general en materia de ciberseguridad y evaluemos los beneficios rápidos viables que tenemos ante nosotros.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una versión de este artículo apareció en Lectura Oscura. Se ha actualizado y sindicado aquí.
Como la mayoría de las empresas navegan por el flujo y reflujo del crecimiento, la innovación y la transformación digital, es natural que algunas áreas sigan siendo trabajos en curso a medida que una empresa crece. Este suele ser el caso del programa de ciberseguridad de una organización, especialmente cuando los responsables de seguridad luchan por ir un paso por delante de las nuevas amenazas, vulnerabilidades y desarrollos tecnológicos que aumentan la exposición al riesgo.
Sin embargo, con una persistente escasez de habilidades en desacuerdo con el diluvio de código que se escribe para satisfacer las necesidades de software del mundo, muchas empresas se están quedando atrás en su estrategia de ciberseguridad y en la infraestructura existente. Y con el sector aparentemente obsesionado con un enfoque basado en herramientas, a menudo se pasa por alto el poder de las personas cualificadas en un programa defensivo que funcione.
Es hora de que examinemos con honestidad nuestra madurez general en materia de ciberseguridad y evaluemos los beneficios rápidos viables que tenemos ante nosotros.
La madurez sostenible de la ciberseguridad es un proceso.
Es fácil para el público suponer que todas las empresas tienen un sólido programa de ciberseguridad, y que la protección es sólo cuestión de seleccionar el software adecuado y activarlo como un escudo de fuerza para detener a los actores de amenazas en su camino. Con 2022 como uno de los peores años registrados en cuanto a incidentes cibernéticos -incluido el rescate de todo el gobierno de Costa Rica-, muchos profesionales de la seguridad desearían que fuera así de sencillo.
Aunque muchas industrias -especialmente en el sector financiero- están impulsadas por el cumplimiento y obligadas por marcos normativos cada vez más complejos que exigen estrictas medidas de seguridad, la realidad es que la mayoría de las organizaciones carecen de ciberresiliencia. Más de la mitad de las grandes empresas de todo el mundo no son eficaces a la hora de detener los ciberataques, ni detectan y corrigen con rapidez las vulnerabilidades explotadas.
Incluso las organizaciones consideradas avanzadas, con un programa definido y maduro que abarca una triple amenaza de mejores prácticas de personas, procesos y tecnologías, pueden tener dificultades para seguir el ritmo de las exigencias del panorama de las amenazas. Un área crítica en la que muchas empresas se quedan cortas es la concienciación sobre la seguridad basada en roles, especialmente para el equipo de desarrollo. Aunque todas las personas de una organización deben comprender el papel que desempeñan en la reducción de la superficie de ataque, los que se ocupan del código día tras día podrían estar en el asiento del conductor de un enfoque de la seguridad realmente transformador... si estuvieran adecuadamente formados.
Un programa de seguridad holístico y defensivo exige una mejora continua y requiere que se preste especial atención a sentar unas bases sólidas. Si esos cimientos se basan predominantemente en herramientas, es muy probable que los niveles de madurez sean más bajos de lo que esperan los responsables de seguridad. Un estudio del Ponemon Institute reveló que el 53% de las empresas no confiaba en que su pila tecnológica de seguridad pudiera detener eficazmente las infracciones, y dado que el error humano es una de las principales causas del éxito de los ciberataques a empresas grandes y pequeñas, dejar a los desarrolladores fuera de una mejora estratégica de la seguridad es jugar con fuego.
Convertir a los desarrolladores en la fuerza motriz de la excelencia en seguridad del software
La verdad incómoda que rodea a los ciberataques es que, en casi todos los casos, los atacantes tienen una clara ventaja sobre su empresa objetivo, independientemente de dónde se encuentren en su viaje de madurez de seguridad. Disponen del tiempo, las herramientas y la motivación para buscar meticulosamente cualquier punto débil que puedan explotar, dedicándose a abrirse camino y llegar a la cima.
Las organizaciones, por su parte, tienen que hacer malabarismos con las necesidades del negocio y de los clientes, y aunque no pueden permitirse el inmenso riesgo de un ciberataque, no es práctico que las operaciones empresariales se ralenticen para acomodar una abundancia de controles de seguridad que pueden acabar obstruyendo el rendimiento. Aquí es donde los desarrolladores expertos en seguridad representan un factor X en los resultados de la ciberdefensa.
Aunque hace tiempo que se sabe que, tradicionalmente, los desarrolladores no han podido compartir la responsabilidad de la seguridad de forma significativa, esto puede y debe cambiar para mejor. Las organizaciones pueden crear vías viables de mejora de las competencias para el grupo de desarrolladores, pero deben seleccionar opciones educativas que ofrezcan material didáctico pertinente de forma que tenga sentido en su mundo. Como mínimo, debería impartirse en los lenguajes y marcos de trabajo que utilizan activamente, y abordar las vulnerabilidades que es más probable que encuentren en su código base.
Cuando courses se estructura teniendo en cuenta el flujo de trabajo del desarrollador, hay muchas más probabilidades de que los malos patrones de codificación que perpetúan las vulnerabilidades y los errores de configuración habituales puedan sustituirse por patrones buenos y seguros que aumenten significativamente la calidad del software con el paso del tiempo. El software de baja calidad costó a Estados Unidos 2,41 billones de dólares sólo este año, y esto sólo puede remediarse rompiendo el ciclo de errores que sostienen la arriesgada deuda técnica.
Hace falta un compromiso de toda la organización con un programa de seguridad más positivo y holístico, que aproveche el poder de las personas necesario para marcar la diferencia en los problemas que afectan a las personas. Y si mantenerse fuera de los titulares de mañana es esencial, sin duda merece la pena el esfuerzo.
Una versión de este artículo apareció en Lectura Oscura. Se ha actualizado y sindicado aquí.
Como la mayoría de las empresas navegan por el flujo y reflujo del crecimiento, la innovación y la transformación digital, es natural que algunas áreas sigan siendo trabajos en curso a medida que una empresa crece. Este suele ser el caso del programa de ciberseguridad de una organización, especialmente cuando los responsables de seguridad luchan por ir un paso por delante de las nuevas amenazas, vulnerabilidades y desarrollos tecnológicos que aumentan la exposición al riesgo.
Sin embargo, con una persistente escasez de habilidades en desacuerdo con el diluvio de código que se escribe para satisfacer las necesidades de software del mundo, muchas empresas se están quedando atrás en su estrategia de ciberseguridad y en la infraestructura existente. Y con el sector aparentemente obsesionado con un enfoque basado en herramientas, a menudo se pasa por alto el poder de las personas cualificadas en un programa defensivo que funcione.
Es hora de que examinemos con honestidad nuestra madurez general en materia de ciberseguridad y evaluemos los beneficios rápidos viables que tenemos ante nosotros.
La madurez sostenible de la ciberseguridad es un proceso.
Es fácil para el público suponer que todas las empresas tienen un sólido programa de ciberseguridad, y que la protección es sólo cuestión de seleccionar el software adecuado y activarlo como un escudo de fuerza para detener a los actores de amenazas en su camino. Con 2022 como uno de los peores años registrados en cuanto a incidentes cibernéticos -incluido el rescate de todo el gobierno de Costa Rica-, muchos profesionales de la seguridad desearían que fuera así de sencillo.
Aunque muchas industrias -especialmente en el sector financiero- están impulsadas por el cumplimiento y obligadas por marcos normativos cada vez más complejos que exigen estrictas medidas de seguridad, la realidad es que la mayoría de las organizaciones carecen de ciberresiliencia. Más de la mitad de las grandes empresas de todo el mundo no son eficaces a la hora de detener los ciberataques, ni detectan y corrigen con rapidez las vulnerabilidades explotadas.
Incluso las organizaciones consideradas avanzadas, con un programa definido y maduro que abarca una triple amenaza de mejores prácticas de personas, procesos y tecnologías, pueden tener dificultades para seguir el ritmo de las exigencias del panorama de las amenazas. Un área crítica en la que muchas empresas se quedan cortas es la concienciación sobre la seguridad basada en roles, especialmente para el equipo de desarrollo. Aunque todas las personas de una organización deben comprender el papel que desempeñan en la reducción de la superficie de ataque, los que se ocupan del código día tras día podrían estar en el asiento del conductor de un enfoque de la seguridad realmente transformador... si estuvieran adecuadamente formados.
Un programa de seguridad holístico y defensivo exige una mejora continua y requiere que se preste especial atención a sentar unas bases sólidas. Si esos cimientos se basan predominantemente en herramientas, es muy probable que los niveles de madurez sean más bajos de lo que esperan los responsables de seguridad. Un estudio del Ponemon Institute reveló que el 53% de las empresas no confiaba en que su pila tecnológica de seguridad pudiera detener eficazmente las infracciones, y dado que el error humano es una de las principales causas del éxito de los ciberataques a empresas grandes y pequeñas, dejar a los desarrolladores fuera de una mejora estratégica de la seguridad es jugar con fuego.
Convertir a los desarrolladores en la fuerza motriz de la excelencia en seguridad del software
La verdad incómoda que rodea a los ciberataques es que, en casi todos los casos, los atacantes tienen una clara ventaja sobre su empresa objetivo, independientemente de dónde se encuentren en su viaje de madurez de seguridad. Disponen del tiempo, las herramientas y la motivación para buscar meticulosamente cualquier punto débil que puedan explotar, dedicándose a abrirse camino y llegar a la cima.
Las organizaciones, por su parte, tienen que hacer malabarismos con las necesidades del negocio y de los clientes, y aunque no pueden permitirse el inmenso riesgo de un ciberataque, no es práctico que las operaciones empresariales se ralenticen para acomodar una abundancia de controles de seguridad que pueden acabar obstruyendo el rendimiento. Aquí es donde los desarrolladores expertos en seguridad representan un factor X en los resultados de la ciberdefensa.
Aunque hace tiempo que se sabe que, tradicionalmente, los desarrolladores no han podido compartir la responsabilidad de la seguridad de forma significativa, esto puede y debe cambiar para mejor. Las organizaciones pueden crear vías viables de mejora de las competencias para el grupo de desarrolladores, pero deben seleccionar opciones educativas que ofrezcan material didáctico pertinente de forma que tenga sentido en su mundo. Como mínimo, debería impartirse en los lenguajes y marcos de trabajo que utilizan activamente, y abordar las vulnerabilidades que es más probable que encuentren en su código base.
Cuando courses se estructura teniendo en cuenta el flujo de trabajo del desarrollador, hay muchas más probabilidades de que los malos patrones de codificación que perpetúan las vulnerabilidades y los errores de configuración habituales puedan sustituirse por patrones buenos y seguros que aumenten significativamente la calidad del software con el paso del tiempo. El software de baja calidad costó a Estados Unidos 2,41 billones de dólares sólo este año, y esto sólo puede remediarse rompiendo el ciclo de errores que sostienen la arriesgada deuda técnica.
Hace falta un compromiso de toda la organización con un programa de seguridad más positivo y holístico, que aproveche el poder de las personas necesario para marcar la diferencia en los problemas que afectan a las personas. Y si mantenerse fuera de los titulares de mañana es esencial, sin duda merece la pena el esfuerzo.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una versión de este artículo apareció en Lectura Oscura. Se ha actualizado y sindicado aquí.
Como la mayoría de las empresas navegan por el flujo y reflujo del crecimiento, la innovación y la transformación digital, es natural que algunas áreas sigan siendo trabajos en curso a medida que una empresa crece. Este suele ser el caso del programa de ciberseguridad de una organización, especialmente cuando los responsables de seguridad luchan por ir un paso por delante de las nuevas amenazas, vulnerabilidades y desarrollos tecnológicos que aumentan la exposición al riesgo.
Sin embargo, con una persistente escasez de habilidades en desacuerdo con el diluvio de código que se escribe para satisfacer las necesidades de software del mundo, muchas empresas se están quedando atrás en su estrategia de ciberseguridad y en la infraestructura existente. Y con el sector aparentemente obsesionado con un enfoque basado en herramientas, a menudo se pasa por alto el poder de las personas cualificadas en un programa defensivo que funcione.
Es hora de que examinemos con honestidad nuestra madurez general en materia de ciberseguridad y evaluemos los beneficios rápidos viables que tenemos ante nosotros.
La madurez sostenible de la ciberseguridad es un proceso.
Es fácil para el público suponer que todas las empresas tienen un sólido programa de ciberseguridad, y que la protección es sólo cuestión de seleccionar el software adecuado y activarlo como un escudo de fuerza para detener a los actores de amenazas en su camino. Con 2022 como uno de los peores años registrados en cuanto a incidentes cibernéticos -incluido el rescate de todo el gobierno de Costa Rica-, muchos profesionales de la seguridad desearían que fuera así de sencillo.
Aunque muchas industrias -especialmente en el sector financiero- están impulsadas por el cumplimiento y obligadas por marcos normativos cada vez más complejos que exigen estrictas medidas de seguridad, la realidad es que la mayoría de las organizaciones carecen de ciberresiliencia. Más de la mitad de las grandes empresas de todo el mundo no son eficaces a la hora de detener los ciberataques, ni detectan y corrigen con rapidez las vulnerabilidades explotadas.
Incluso las organizaciones consideradas avanzadas, con un programa definido y maduro que abarca una triple amenaza de mejores prácticas de personas, procesos y tecnologías, pueden tener dificultades para seguir el ritmo de las exigencias del panorama de las amenazas. Un área crítica en la que muchas empresas se quedan cortas es la concienciación sobre la seguridad basada en roles, especialmente para el equipo de desarrollo. Aunque todas las personas de una organización deben comprender el papel que desempeñan en la reducción de la superficie de ataque, los que se ocupan del código día tras día podrían estar en el asiento del conductor de un enfoque de la seguridad realmente transformador... si estuvieran adecuadamente formados.
Un programa de seguridad holístico y defensivo exige una mejora continua y requiere que se preste especial atención a sentar unas bases sólidas. Si esos cimientos se basan predominantemente en herramientas, es muy probable que los niveles de madurez sean más bajos de lo que esperan los responsables de seguridad. Un estudio del Ponemon Institute reveló que el 53% de las empresas no confiaba en que su pila tecnológica de seguridad pudiera detener eficazmente las infracciones, y dado que el error humano es una de las principales causas del éxito de los ciberataques a empresas grandes y pequeñas, dejar a los desarrolladores fuera de una mejora estratégica de la seguridad es jugar con fuego.
Convertir a los desarrolladores en la fuerza motriz de la excelencia en seguridad del software
La verdad incómoda que rodea a los ciberataques es que, en casi todos los casos, los atacantes tienen una clara ventaja sobre su empresa objetivo, independientemente de dónde se encuentren en su viaje de madurez de seguridad. Disponen del tiempo, las herramientas y la motivación para buscar meticulosamente cualquier punto débil que puedan explotar, dedicándose a abrirse camino y llegar a la cima.
Las organizaciones, por su parte, tienen que hacer malabarismos con las necesidades del negocio y de los clientes, y aunque no pueden permitirse el inmenso riesgo de un ciberataque, no es práctico que las operaciones empresariales se ralenticen para acomodar una abundancia de controles de seguridad que pueden acabar obstruyendo el rendimiento. Aquí es donde los desarrolladores expertos en seguridad representan un factor X en los resultados de la ciberdefensa.
Aunque hace tiempo que se sabe que, tradicionalmente, los desarrolladores no han podido compartir la responsabilidad de la seguridad de forma significativa, esto puede y debe cambiar para mejor. Las organizaciones pueden crear vías viables de mejora de las competencias para el grupo de desarrolladores, pero deben seleccionar opciones educativas que ofrezcan material didáctico pertinente de forma que tenga sentido en su mundo. Como mínimo, debería impartirse en los lenguajes y marcos de trabajo que utilizan activamente, y abordar las vulnerabilidades que es más probable que encuentren en su código base.
Cuando courses se estructura teniendo en cuenta el flujo de trabajo del desarrollador, hay muchas más probabilidades de que los malos patrones de codificación que perpetúan las vulnerabilidades y los errores de configuración habituales puedan sustituirse por patrones buenos y seguros que aumenten significativamente la calidad del software con el paso del tiempo. El software de baja calidad costó a Estados Unidos 2,41 billones de dólares sólo este año, y esto sólo puede remediarse rompiendo el ciclo de errores que sostienen la arriesgada deuda técnica.
Hace falta un compromiso de toda la organización con un programa de seguridad más positivo y holístico, que aproveche el poder de las personas necesario para marcar la diferencia en los problemas que afectan a las personas. Y si mantenerse fuera de los titulares de mañana es esencial, sin duda merece la pena el esfuerzo.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Temas y contenidos de la formación sobre código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Temas que cubren todo, desde IA a XQuery Injection, ofrecidos para una variedad de roles desde Arquitectos e Ingenieros a Product Managers y QA. Eche un vistazo a lo que ofrece nuestro catálogo de contenidos por tema y función.
Búsqueda: Aprendizaje líder en la industria para mantener a los desarrolladores por delante mitigando el riesgo.
Quests es una learning platform que ayuda a los desarrolladores a mitigar los riesgos de seguridad del software mediante la mejora de sus habilidades de codificación segura. Con rutas de aprendizaje curadas, desafíos prácticos y actividades interactivas, capacita a los desarrolladores para identificar y prevenir vulnerabilidades.
Recursos para empezar
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
La Década de los Defensores: Secure Code Warrior Cumple Diez Años
Secure Code Warriorha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
