¿Ha sobrestimado la madurez de seguridad de su organización?
Una versión de este artículo apareció en Lectura Oscura. Se ha actualizado y sindicado aquí.
Como la mayoría de las empresas navegan por el flujo y reflujo del crecimiento, la innovación y la transformación digital, es natural que algunas áreas sigan siendo trabajos en curso a medida que una empresa crece. Este suele ser el caso del programa de ciberseguridad de una organización, especialmente cuando los responsables de seguridad luchan por ir un paso por delante de las nuevas amenazas, vulnerabilidades y desarrollos tecnológicos que aumentan la exposición al riesgo.
Sin embargo, con una persistente escasez de habilidades en desacuerdo con el diluvio de código que se escribe para satisfacer las necesidades de software del mundo, muchas empresas se están quedando atrás en su estrategia de ciberseguridad y en la infraestructura existente. Y con el sector aparentemente obsesionado con un enfoque basado en herramientas, a menudo se pasa por alto el poder de las personas cualificadas en un programa defensivo que funcione.
Es hora de que examinemos con honestidad nuestra madurez general en materia de ciberseguridad y evaluemos los beneficios rápidos viables que tenemos ante nosotros.
La madurez sostenible de la ciberseguridad es un proceso.
Es fácil para el público suponer que todas las empresas tienen un sólido programa de ciberseguridad, y que la protección es sólo cuestión de seleccionar el software adecuado y activarlo como un escudo de fuerza para detener a los actores de amenazas en su camino. Con 2022 como uno de los peores años registrados en cuanto a incidentes cibernéticos -incluido el rescate de todo el gobierno de Costa Rica-, muchos profesionales de la seguridad desearían que fuera así de sencillo.
Aunque muchas industrias -especialmente en el sector financiero- están impulsadas por el cumplimiento y obligadas por marcos normativos cada vez más complejos que exigen estrictas medidas de seguridad, la realidad es que la mayoría de las organizaciones carecen de ciberresiliencia. Más de la mitad de las grandes empresas de todo el mundo no son eficaces a la hora de detener los ciberataques, ni detectan y corrigen con rapidez las vulnerabilidades explotadas.
Incluso las organizaciones consideradas avanzadas, con un programa definido y maduro que abarca una triple amenaza de mejores prácticas de personas, procesos y tecnologías, pueden tener dificultades para seguir el ritmo de las exigencias del panorama de las amenazas. Un área crítica en la que muchas empresas se quedan cortas es la concienciación sobre la seguridad basada en roles, especialmente para el equipo de desarrollo. Aunque todas las personas de una organización deben comprender el papel que desempeñan en la reducción de la superficie de ataque, los que se ocupan del código día tras día podrían estar en el asiento del conductor de un enfoque de la seguridad realmente transformador... si estuvieran adecuadamente formados.
Un programa de seguridad holístico y defensivo exige una mejora continua y requiere que se preste especial atención a sentar unas bases sólidas. Si esos cimientos se basan predominantemente en herramientas, es muy probable que los niveles de madurez sean más bajos de lo que esperan los responsables de seguridad. Un estudio del Ponemon Institute reveló que el 53% de las empresas no confiaba en que su pila tecnológica de seguridad pudiera detener eficazmente las infracciones, y dado que el error humano es una de las principales causas del éxito de los ciberataques a empresas grandes y pequeñas, dejar a los desarrolladores fuera de una mejora estratégica de la seguridad es jugar con fuego.
Convertir a los desarrolladores en la fuerza motriz de la excelencia en seguridad del software
La verdad incómoda que rodea a los ciberataques es que, en casi todos los casos, los atacantes tienen una clara ventaja sobre su empresa objetivo, independientemente de dónde se encuentren en su viaje de madurez de seguridad. Disponen del tiempo, las herramientas y la motivación para buscar meticulosamente cualquier punto débil que puedan explotar, dedicándose a abrirse camino y llegar a la cima.
Las organizaciones, por su parte, tienen que hacer malabarismos con las necesidades del negocio y de los clientes, y aunque no pueden permitirse el inmenso riesgo de un ciberataque, no es práctico que las operaciones empresariales se ralenticen para acomodar una abundancia de controles de seguridad que pueden acabar obstruyendo el rendimiento. Aquí es donde los desarrolladores expertos en seguridad representan un factor X en los resultados de la ciberdefensa.
Aunque hace tiempo que se sabe que, tradicionalmente, los desarrolladores no han podido compartir la responsabilidad de la seguridad de forma significativa, esto puede y debe cambiar para mejor. Las organizaciones pueden crear vías viables de mejora de las competencias para el grupo de desarrolladores, pero deben seleccionar opciones educativas que ofrezcan material didáctico pertinente de forma que tenga sentido en su mundo. Como mínimo, debería impartirse en los lenguajes y marcos de trabajo que utilizan activamente, y abordar las vulnerabilidades que es más probable que encuentren en su código base.
Cuando courses se estructura teniendo en cuenta el flujo de trabajo del desarrollador, hay muchas más probabilidades de que los malos patrones de codificación que perpetúan las vulnerabilidades y los errores de configuración habituales puedan sustituirse por patrones buenos y seguros que aumenten significativamente la calidad del software con el paso del tiempo. El software de baja calidad costó a Estados Unidos 2,41 billones de dólares sólo este año, y esto sólo puede remediarse rompiendo el ciclo de errores que sostienen la arriesgada deuda técnica.
Hace falta un compromiso de toda la organización con un programa de seguridad más positivo y holístico, que aproveche el poder de las personas necesario para marcar la diferencia en los problemas que afectan a las personas. Y si mantenerse fuera de los titulares de mañana es esencial, sin duda merece la pena el esfuerzo.
Con una persistente escasez de personal cualificado en contradicción con la avalancha de código que se escribe para satisfacer las necesidades de software del mundo, muchas empresas se están quedando rezagadas en su estrategia de ciberseguridad y en la infraestructura existente. Es hora de que analicemos con honestidad nuestra madurez general en materia de ciberseguridad y evaluemos los beneficios rápidos viables que tenemos ante nosotros.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónMatias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una versión de este artículo apareció en Lectura Oscura. Se ha actualizado y sindicado aquí.
Como la mayoría de las empresas navegan por el flujo y reflujo del crecimiento, la innovación y la transformación digital, es natural que algunas áreas sigan siendo trabajos en curso a medida que una empresa crece. Este suele ser el caso del programa de ciberseguridad de una organización, especialmente cuando los responsables de seguridad luchan por ir un paso por delante de las nuevas amenazas, vulnerabilidades y desarrollos tecnológicos que aumentan la exposición al riesgo.
Sin embargo, con una persistente escasez de habilidades en desacuerdo con el diluvio de código que se escribe para satisfacer las necesidades de software del mundo, muchas empresas se están quedando atrás en su estrategia de ciberseguridad y en la infraestructura existente. Y con el sector aparentemente obsesionado con un enfoque basado en herramientas, a menudo se pasa por alto el poder de las personas cualificadas en un programa defensivo que funcione.
Es hora de que examinemos con honestidad nuestra madurez general en materia de ciberseguridad y evaluemos los beneficios rápidos viables que tenemos ante nosotros.
La madurez sostenible de la ciberseguridad es un proceso.
Es fácil para el público suponer que todas las empresas tienen un sólido programa de ciberseguridad, y que la protección es sólo cuestión de seleccionar el software adecuado y activarlo como un escudo de fuerza para detener a los actores de amenazas en su camino. Con 2022 como uno de los peores años registrados en cuanto a incidentes cibernéticos -incluido el rescate de todo el gobierno de Costa Rica-, muchos profesionales de la seguridad desearían que fuera así de sencillo.
Aunque muchas industrias -especialmente en el sector financiero- están impulsadas por el cumplimiento y obligadas por marcos normativos cada vez más complejos que exigen estrictas medidas de seguridad, la realidad es que la mayoría de las organizaciones carecen de ciberresiliencia. Más de la mitad de las grandes empresas de todo el mundo no son eficaces a la hora de detener los ciberataques, ni detectan y corrigen con rapidez las vulnerabilidades explotadas.
Incluso las organizaciones consideradas avanzadas, con un programa definido y maduro que abarca una triple amenaza de mejores prácticas de personas, procesos y tecnologías, pueden tener dificultades para seguir el ritmo de las exigencias del panorama de las amenazas. Un área crítica en la que muchas empresas se quedan cortas es la concienciación sobre la seguridad basada en roles, especialmente para el equipo de desarrollo. Aunque todas las personas de una organización deben comprender el papel que desempeñan en la reducción de la superficie de ataque, los que se ocupan del código día tras día podrían estar en el asiento del conductor de un enfoque de la seguridad realmente transformador... si estuvieran adecuadamente formados.
Un programa de seguridad holístico y defensivo exige una mejora continua y requiere que se preste especial atención a sentar unas bases sólidas. Si esos cimientos se basan predominantemente en herramientas, es muy probable que los niveles de madurez sean más bajos de lo que esperan los responsables de seguridad. Un estudio del Ponemon Institute reveló que el 53% de las empresas no confiaba en que su pila tecnológica de seguridad pudiera detener eficazmente las infracciones, y dado que el error humano es una de las principales causas del éxito de los ciberataques a empresas grandes y pequeñas, dejar a los desarrolladores fuera de una mejora estratégica de la seguridad es jugar con fuego.
Convertir a los desarrolladores en la fuerza motriz de la excelencia en seguridad del software
La verdad incómoda que rodea a los ciberataques es que, en casi todos los casos, los atacantes tienen una clara ventaja sobre su empresa objetivo, independientemente de dónde se encuentren en su viaje de madurez de seguridad. Disponen del tiempo, las herramientas y la motivación para buscar meticulosamente cualquier punto débil que puedan explotar, dedicándose a abrirse camino y llegar a la cima.
Las organizaciones, por su parte, tienen que hacer malabarismos con las necesidades del negocio y de los clientes, y aunque no pueden permitirse el inmenso riesgo de un ciberataque, no es práctico que las operaciones empresariales se ralenticen para acomodar una abundancia de controles de seguridad que pueden acabar obstruyendo el rendimiento. Aquí es donde los desarrolladores expertos en seguridad representan un factor X en los resultados de la ciberdefensa.
Aunque hace tiempo que se sabe que, tradicionalmente, los desarrolladores no han podido compartir la responsabilidad de la seguridad de forma significativa, esto puede y debe cambiar para mejor. Las organizaciones pueden crear vías viables de mejora de las competencias para el grupo de desarrolladores, pero deben seleccionar opciones educativas que ofrezcan material didáctico pertinente de forma que tenga sentido en su mundo. Como mínimo, debería impartirse en los lenguajes y marcos de trabajo que utilizan activamente, y abordar las vulnerabilidades que es más probable que encuentren en su código base.
Cuando courses se estructura teniendo en cuenta el flujo de trabajo del desarrollador, hay muchas más probabilidades de que los malos patrones de codificación que perpetúan las vulnerabilidades y los errores de configuración habituales puedan sustituirse por patrones buenos y seguros que aumenten significativamente la calidad del software con el paso del tiempo. El software de baja calidad costó a Estados Unidos 2,41 billones de dólares sólo este año, y esto sólo puede remediarse rompiendo el ciclo de errores que sostienen la arriesgada deuda técnica.
Hace falta un compromiso de toda la organización con un programa de seguridad más positivo y holístico, que aproveche el poder de las personas necesario para marcar la diferencia en los problemas que afectan a las personas. Y si mantenerse fuera de los titulares de mañana es esencial, sin duda merece la pena el esfuerzo.
Una versión de este artículo apareció en Lectura Oscura. Se ha actualizado y sindicado aquí.
Como la mayoría de las empresas navegan por el flujo y reflujo del crecimiento, la innovación y la transformación digital, es natural que algunas áreas sigan siendo trabajos en curso a medida que una empresa crece. Este suele ser el caso del programa de ciberseguridad de una organización, especialmente cuando los responsables de seguridad luchan por ir un paso por delante de las nuevas amenazas, vulnerabilidades y desarrollos tecnológicos que aumentan la exposición al riesgo.
Sin embargo, con una persistente escasez de habilidades en desacuerdo con el diluvio de código que se escribe para satisfacer las necesidades de software del mundo, muchas empresas se están quedando atrás en su estrategia de ciberseguridad y en la infraestructura existente. Y con el sector aparentemente obsesionado con un enfoque basado en herramientas, a menudo se pasa por alto el poder de las personas cualificadas en un programa defensivo que funcione.
Es hora de que examinemos con honestidad nuestra madurez general en materia de ciberseguridad y evaluemos los beneficios rápidos viables que tenemos ante nosotros.
La madurez sostenible de la ciberseguridad es un proceso.
Es fácil para el público suponer que todas las empresas tienen un sólido programa de ciberseguridad, y que la protección es sólo cuestión de seleccionar el software adecuado y activarlo como un escudo de fuerza para detener a los actores de amenazas en su camino. Con 2022 como uno de los peores años registrados en cuanto a incidentes cibernéticos -incluido el rescate de todo el gobierno de Costa Rica-, muchos profesionales de la seguridad desearían que fuera así de sencillo.
Aunque muchas industrias -especialmente en el sector financiero- están impulsadas por el cumplimiento y obligadas por marcos normativos cada vez más complejos que exigen estrictas medidas de seguridad, la realidad es que la mayoría de las organizaciones carecen de ciberresiliencia. Más de la mitad de las grandes empresas de todo el mundo no son eficaces a la hora de detener los ciberataques, ni detectan y corrigen con rapidez las vulnerabilidades explotadas.
Incluso las organizaciones consideradas avanzadas, con un programa definido y maduro que abarca una triple amenaza de mejores prácticas de personas, procesos y tecnologías, pueden tener dificultades para seguir el ritmo de las exigencias del panorama de las amenazas. Un área crítica en la que muchas empresas se quedan cortas es la concienciación sobre la seguridad basada en roles, especialmente para el equipo de desarrollo. Aunque todas las personas de una organización deben comprender el papel que desempeñan en la reducción de la superficie de ataque, los que se ocupan del código día tras día podrían estar en el asiento del conductor de un enfoque de la seguridad realmente transformador... si estuvieran adecuadamente formados.
Un programa de seguridad holístico y defensivo exige una mejora continua y requiere que se preste especial atención a sentar unas bases sólidas. Si esos cimientos se basan predominantemente en herramientas, es muy probable que los niveles de madurez sean más bajos de lo que esperan los responsables de seguridad. Un estudio del Ponemon Institute reveló que el 53% de las empresas no confiaba en que su pila tecnológica de seguridad pudiera detener eficazmente las infracciones, y dado que el error humano es una de las principales causas del éxito de los ciberataques a empresas grandes y pequeñas, dejar a los desarrolladores fuera de una mejora estratégica de la seguridad es jugar con fuego.
Convertir a los desarrolladores en la fuerza motriz de la excelencia en seguridad del software
La verdad incómoda que rodea a los ciberataques es que, en casi todos los casos, los atacantes tienen una clara ventaja sobre su empresa objetivo, independientemente de dónde se encuentren en su viaje de madurez de seguridad. Disponen del tiempo, las herramientas y la motivación para buscar meticulosamente cualquier punto débil que puedan explotar, dedicándose a abrirse camino y llegar a la cima.
Las organizaciones, por su parte, tienen que hacer malabarismos con las necesidades del negocio y de los clientes, y aunque no pueden permitirse el inmenso riesgo de un ciberataque, no es práctico que las operaciones empresariales se ralenticen para acomodar una abundancia de controles de seguridad que pueden acabar obstruyendo el rendimiento. Aquí es donde los desarrolladores expertos en seguridad representan un factor X en los resultados de la ciberdefensa.
Aunque hace tiempo que se sabe que, tradicionalmente, los desarrolladores no han podido compartir la responsabilidad de la seguridad de forma significativa, esto puede y debe cambiar para mejor. Las organizaciones pueden crear vías viables de mejora de las competencias para el grupo de desarrolladores, pero deben seleccionar opciones educativas que ofrezcan material didáctico pertinente de forma que tenga sentido en su mundo. Como mínimo, debería impartirse en los lenguajes y marcos de trabajo que utilizan activamente, y abordar las vulnerabilidades que es más probable que encuentren en su código base.
Cuando courses se estructura teniendo en cuenta el flujo de trabajo del desarrollador, hay muchas más probabilidades de que los malos patrones de codificación que perpetúan las vulnerabilidades y los errores de configuración habituales puedan sustituirse por patrones buenos y seguros que aumenten significativamente la calidad del software con el paso del tiempo. El software de baja calidad costó a Estados Unidos 2,41 billones de dólares sólo este año, y esto sólo puede remediarse rompiendo el ciclo de errores que sostienen la arriesgada deuda técnica.
Hace falta un compromiso de toda la organización con un programa de seguridad más positivo y holístico, que aproveche el poder de las personas necesario para marcar la diferencia en los problemas que afectan a las personas. Y si mantenerse fuera de los titulares de mañana es esencial, sin duda merece la pena el esfuerzo.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostraciónMatias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una versión de este artículo apareció en Lectura Oscura. Se ha actualizado y sindicado aquí.
Como la mayoría de las empresas navegan por el flujo y reflujo del crecimiento, la innovación y la transformación digital, es natural que algunas áreas sigan siendo trabajos en curso a medida que una empresa crece. Este suele ser el caso del programa de ciberseguridad de una organización, especialmente cuando los responsables de seguridad luchan por ir un paso por delante de las nuevas amenazas, vulnerabilidades y desarrollos tecnológicos que aumentan la exposición al riesgo.
Sin embargo, con una persistente escasez de habilidades en desacuerdo con el diluvio de código que se escribe para satisfacer las necesidades de software del mundo, muchas empresas se están quedando atrás en su estrategia de ciberseguridad y en la infraestructura existente. Y con el sector aparentemente obsesionado con un enfoque basado en herramientas, a menudo se pasa por alto el poder de las personas cualificadas en un programa defensivo que funcione.
Es hora de que examinemos con honestidad nuestra madurez general en materia de ciberseguridad y evaluemos los beneficios rápidos viables que tenemos ante nosotros.
La madurez sostenible de la ciberseguridad es un proceso.
Es fácil para el público suponer que todas las empresas tienen un sólido programa de ciberseguridad, y que la protección es sólo cuestión de seleccionar el software adecuado y activarlo como un escudo de fuerza para detener a los actores de amenazas en su camino. Con 2022 como uno de los peores años registrados en cuanto a incidentes cibernéticos -incluido el rescate de todo el gobierno de Costa Rica-, muchos profesionales de la seguridad desearían que fuera así de sencillo.
Aunque muchas industrias -especialmente en el sector financiero- están impulsadas por el cumplimiento y obligadas por marcos normativos cada vez más complejos que exigen estrictas medidas de seguridad, la realidad es que la mayoría de las organizaciones carecen de ciberresiliencia. Más de la mitad de las grandes empresas de todo el mundo no son eficaces a la hora de detener los ciberataques, ni detectan y corrigen con rapidez las vulnerabilidades explotadas.
Incluso las organizaciones consideradas avanzadas, con un programa definido y maduro que abarca una triple amenaza de mejores prácticas de personas, procesos y tecnologías, pueden tener dificultades para seguir el ritmo de las exigencias del panorama de las amenazas. Un área crítica en la que muchas empresas se quedan cortas es la concienciación sobre la seguridad basada en roles, especialmente para el equipo de desarrollo. Aunque todas las personas de una organización deben comprender el papel que desempeñan en la reducción de la superficie de ataque, los que se ocupan del código día tras día podrían estar en el asiento del conductor de un enfoque de la seguridad realmente transformador... si estuvieran adecuadamente formados.
Un programa de seguridad holístico y defensivo exige una mejora continua y requiere que se preste especial atención a sentar unas bases sólidas. Si esos cimientos se basan predominantemente en herramientas, es muy probable que los niveles de madurez sean más bajos de lo que esperan los responsables de seguridad. Un estudio del Ponemon Institute reveló que el 53% de las empresas no confiaba en que su pila tecnológica de seguridad pudiera detener eficazmente las infracciones, y dado que el error humano es una de las principales causas del éxito de los ciberataques a empresas grandes y pequeñas, dejar a los desarrolladores fuera de una mejora estratégica de la seguridad es jugar con fuego.
Convertir a los desarrolladores en la fuerza motriz de la excelencia en seguridad del software
La verdad incómoda que rodea a los ciberataques es que, en casi todos los casos, los atacantes tienen una clara ventaja sobre su empresa objetivo, independientemente de dónde se encuentren en su viaje de madurez de seguridad. Disponen del tiempo, las herramientas y la motivación para buscar meticulosamente cualquier punto débil que puedan explotar, dedicándose a abrirse camino y llegar a la cima.
Las organizaciones, por su parte, tienen que hacer malabarismos con las necesidades del negocio y de los clientes, y aunque no pueden permitirse el inmenso riesgo de un ciberataque, no es práctico que las operaciones empresariales se ralenticen para acomodar una abundancia de controles de seguridad que pueden acabar obstruyendo el rendimiento. Aquí es donde los desarrolladores expertos en seguridad representan un factor X en los resultados de la ciberdefensa.
Aunque hace tiempo que se sabe que, tradicionalmente, los desarrolladores no han podido compartir la responsabilidad de la seguridad de forma significativa, esto puede y debe cambiar para mejor. Las organizaciones pueden crear vías viables de mejora de las competencias para el grupo de desarrolladores, pero deben seleccionar opciones educativas que ofrezcan material didáctico pertinente de forma que tenga sentido en su mundo. Como mínimo, debería impartirse en los lenguajes y marcos de trabajo que utilizan activamente, y abordar las vulnerabilidades que es más probable que encuentren en su código base.
Cuando courses se estructura teniendo en cuenta el flujo de trabajo del desarrollador, hay muchas más probabilidades de que los malos patrones de codificación que perpetúan las vulnerabilidades y los errores de configuración habituales puedan sustituirse por patrones buenos y seguros que aumenten significativamente la calidad del software con el paso del tiempo. El software de baja calidad costó a Estados Unidos 2,41 billones de dólares sólo este año, y esto sólo puede remediarse rompiendo el ciclo de errores que sostienen la arriesgada deuda técnica.
Hace falta un compromiso de toda la organización con un programa de seguridad más positivo y holístico, que aproveche el poder de las personas necesario para marcar la diferencia en los problemas que afectan a las personas. Y si mantenerse fuera de los titulares de mañana es esencial, sin duda merece la pena el esfuerzo.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.