¿Ha sobrestimado la madurez de seguridad de su organización?
Una versión de este artículo apareció en Lectura Oscura. Se ha actualizado y sindicado aquí.
Como la mayoría de las empresas navegan por el flujo y reflujo del crecimiento, la innovación y la transformación digital, es natural que algunas áreas sigan siendo trabajos en curso a medida que una empresa crece. Este suele ser el caso del programa de ciberseguridad de una organización, especialmente cuando los responsables de seguridad luchan por ir un paso por delante de las nuevas amenazas, vulnerabilidades y desarrollos tecnológicos que aumentan la exposición al riesgo.
Sin embargo, con una persistente escasez de habilidades en desacuerdo con el diluvio de código que se escribe para satisfacer las necesidades de software del mundo, muchas empresas se están quedando atrás en su estrategia de ciberseguridad y en la infraestructura existente. Y con el sector aparentemente obsesionado con un enfoque basado en herramientas, a menudo se pasa por alto el poder de las personas cualificadas en un programa defensivo que funcione.
Es hora de que examinemos con honestidad nuestra madurez general en materia de ciberseguridad y evaluemos los beneficios rápidos viables que tenemos ante nosotros.
La madurez sostenible de la ciberseguridad es un proceso.
Es fácil para el público suponer que todas las empresas tienen un sólido programa de ciberseguridad, y que la protección es sólo cuestión de seleccionar el software adecuado y activarlo como un escudo de fuerza para detener a los actores de amenazas en su camino. Con 2022 como uno de los peores años registrados en cuanto a incidentes cibernéticos -incluido el rescate de todo el gobierno de Costa Rica-, muchos profesionales de la seguridad desearían que fuera así de sencillo.
Aunque muchas industrias -especialmente en el sector financiero- están impulsadas por el cumplimiento y obligadas por marcos normativos cada vez más complejos que exigen estrictas medidas de seguridad, la realidad es que la mayoría de las organizaciones carecen de ciberresiliencia. Más de la mitad de las grandes empresas de todo el mundo no son eficaces a la hora de detener los ciberataques, ni detectan y corrigen con rapidez las vulnerabilidades explotadas.
Incluso las organizaciones consideradas avanzadas, con un programa definido y maduro que abarca una triple amenaza de mejores prácticas de personas, procesos y tecnologías, pueden tener dificultades para seguir el ritmo de las exigencias del panorama de las amenazas. Un área crítica en la que muchas empresas se quedan cortas es la concienciación sobre la seguridad basada en roles, especialmente para el equipo de desarrollo. Aunque todas las personas de una organización deben comprender el papel que desempeñan en la reducción de la superficie de ataque, los que se ocupan del código día tras día podrían estar en el asiento del conductor de un enfoque de la seguridad realmente transformador... si estuvieran adecuadamente formados.
Un programa de seguridad holístico y defensivo exige una mejora continua y requiere que se preste especial atención a sentar unas bases sólidas. Si esos cimientos se basan predominantemente en herramientas, es muy probable que los niveles de madurez sean más bajos de lo que esperan los responsables de seguridad. Un estudio del Ponemon Institute reveló que el 53% de las empresas no confiaba en que su pila tecnológica de seguridad pudiera detener eficazmente las infracciones, y dado que el error humano es una de las principales causas del éxito de los ciberataques a empresas grandes y pequeñas, dejar a los desarrolladores fuera de una mejora estratégica de la seguridad es jugar con fuego.
Convertir a los desarrolladores en la fuerza motriz de la excelencia en seguridad del software
La verdad incómoda que rodea a los ciberataques es que, en casi todos los casos, los atacantes tienen una clara ventaja sobre su empresa objetivo, independientemente de dónde se encuentren en su viaje de madurez de seguridad. Disponen del tiempo, las herramientas y la motivación para buscar meticulosamente cualquier punto débil que puedan explotar, dedicándose a abrirse camino y llegar a la cima.
Las organizaciones, por su parte, tienen que hacer malabarismos con las necesidades del negocio y de los clientes, y aunque no pueden permitirse el inmenso riesgo de un ciberataque, no es práctico que las operaciones empresariales se ralenticen para acomodar una abundancia de controles de seguridad que pueden acabar obstruyendo el rendimiento. Aquí es donde los desarrolladores expertos en seguridad representan un factor X en los resultados de la ciberdefensa.
Aunque hace tiempo que se sabe que, tradicionalmente, los desarrolladores no han podido compartir la responsabilidad de la seguridad de forma significativa, esto puede y debe cambiar para mejor. Las organizaciones pueden crear vías viables de mejora de las competencias para el grupo de desarrolladores, pero deben seleccionar opciones educativas que ofrezcan material didáctico pertinente de forma que tenga sentido en su mundo. Como mínimo, debería impartirse en los lenguajes y marcos de trabajo que utilizan activamente, y abordar las vulnerabilidades que es más probable que encuentren en su código base.
Cuando courses se estructura teniendo en cuenta el flujo de trabajo del desarrollador, hay muchas más probabilidades de que los malos patrones de codificación que perpetúan las vulnerabilidades y los errores de configuración habituales puedan sustituirse por patrones buenos y seguros que aumenten significativamente la calidad del software con el paso del tiempo. El software de baja calidad costó a Estados Unidos 2,41 billones de dólares sólo este año, y esto sólo puede remediarse rompiendo el ciclo de errores que sostienen la arriesgada deuda técnica.
Hace falta un compromiso de toda la organización con un programa de seguridad más positivo y holístico, que aproveche el poder de las personas necesario para marcar la diferencia en los problemas que afectan a las personas. Y si mantenerse fuera de los titulares de mañana es esencial, sin duda merece la pena el esfuerzo.
Doctor Matias Madou
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Artículos relacionados que recomendamos
Artículos relacionados que recomendamos
Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.
Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.
Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores
Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.
¿Ha sobrestimado la madurez de seguridad de su organización?
Una versión de este artículo apareció en Lectura Oscura. Se ha actualizado y sindicado aquí.
Como la mayoría de las empresas navegan por el flujo y reflujo del crecimiento, la innovación y la transformación digital, es natural que algunas áreas sigan siendo trabajos en curso a medida que una empresa crece. Este suele ser el caso del programa de ciberseguridad de una organización, especialmente cuando los responsables de seguridad luchan por ir un paso por delante de las nuevas amenazas, vulnerabilidades y desarrollos tecnológicos que aumentan la exposición al riesgo.
Sin embargo, con una persistente escasez de habilidades en desacuerdo con el diluvio de código que se escribe para satisfacer las necesidades de software del mundo, muchas empresas se están quedando atrás en su estrategia de ciberseguridad y en la infraestructura existente. Y con el sector aparentemente obsesionado con un enfoque basado en herramientas, a menudo se pasa por alto el poder de las personas cualificadas en un programa defensivo que funcione.
Es hora de que examinemos con honestidad nuestra madurez general en materia de ciberseguridad y evaluemos los beneficios rápidos viables que tenemos ante nosotros.
La madurez sostenible de la ciberseguridad es un proceso.
Es fácil para el público suponer que todas las empresas tienen un sólido programa de ciberseguridad, y que la protección es sólo cuestión de seleccionar el software adecuado y activarlo como un escudo de fuerza para detener a los actores de amenazas en su camino. Con 2022 como uno de los peores años registrados en cuanto a incidentes cibernéticos -incluido el rescate de todo el gobierno de Costa Rica-, muchos profesionales de la seguridad desearían que fuera así de sencillo.
Aunque muchas industrias -especialmente en el sector financiero- están impulsadas por el cumplimiento y obligadas por marcos normativos cada vez más complejos que exigen estrictas medidas de seguridad, la realidad es que la mayoría de las organizaciones carecen de ciberresiliencia. Más de la mitad de las grandes empresas de todo el mundo no son eficaces a la hora de detener los ciberataques, ni detectan y corrigen con rapidez las vulnerabilidades explotadas.
Incluso las organizaciones consideradas avanzadas, con un programa definido y maduro que abarca una triple amenaza de mejores prácticas de personas, procesos y tecnologías, pueden tener dificultades para seguir el ritmo de las exigencias del panorama de las amenazas. Un área crítica en la que muchas empresas se quedan cortas es la concienciación sobre la seguridad basada en roles, especialmente para el equipo de desarrollo. Aunque todas las personas de una organización deben comprender el papel que desempeñan en la reducción de la superficie de ataque, los que se ocupan del código día tras día podrían estar en el asiento del conductor de un enfoque de la seguridad realmente transformador... si estuvieran adecuadamente formados.
Un programa de seguridad holístico y defensivo exige una mejora continua y requiere que se preste especial atención a sentar unas bases sólidas. Si esos cimientos se basan predominantemente en herramientas, es muy probable que los niveles de madurez sean más bajos de lo que esperan los responsables de seguridad. Un estudio del Ponemon Institute reveló que el 53% de las empresas no confiaba en que su pila tecnológica de seguridad pudiera detener eficazmente las infracciones, y dado que el error humano es una de las principales causas del éxito de los ciberataques a empresas grandes y pequeñas, dejar a los desarrolladores fuera de una mejora estratégica de la seguridad es jugar con fuego.
Convertir a los desarrolladores en la fuerza motriz de la excelencia en seguridad del software
La verdad incómoda que rodea a los ciberataques es que, en casi todos los casos, los atacantes tienen una clara ventaja sobre su empresa objetivo, independientemente de dónde se encuentren en su viaje de madurez de seguridad. Disponen del tiempo, las herramientas y la motivación para buscar meticulosamente cualquier punto débil que puedan explotar, dedicándose a abrirse camino y llegar a la cima.
Las organizaciones, por su parte, tienen que hacer malabarismos con las necesidades del negocio y de los clientes, y aunque no pueden permitirse el inmenso riesgo de un ciberataque, no es práctico que las operaciones empresariales se ralenticen para acomodar una abundancia de controles de seguridad que pueden acabar obstruyendo el rendimiento. Aquí es donde los desarrolladores expertos en seguridad representan un factor X en los resultados de la ciberdefensa.
Aunque hace tiempo que se sabe que, tradicionalmente, los desarrolladores no han podido compartir la responsabilidad de la seguridad de forma significativa, esto puede y debe cambiar para mejor. Las organizaciones pueden crear vías viables de mejora de las competencias para el grupo de desarrolladores, pero deben seleccionar opciones educativas que ofrezcan material didáctico pertinente de forma que tenga sentido en su mundo. Como mínimo, debería impartirse en los lenguajes y marcos de trabajo que utilizan activamente, y abordar las vulnerabilidades que es más probable que encuentren en su código base.
Cuando courses se estructura teniendo en cuenta el flujo de trabajo del desarrollador, hay muchas más probabilidades de que los malos patrones de codificación que perpetúan las vulnerabilidades y los errores de configuración habituales puedan sustituirse por patrones buenos y seguros que aumenten significativamente la calidad del software con el paso del tiempo. El software de baja calidad costó a Estados Unidos 2,41 billones de dólares sólo este año, y esto sólo puede remediarse rompiendo el ciclo de errores que sostienen la arriesgada deuda técnica.
Hace falta un compromiso de toda la organización con un programa de seguridad más positivo y holístico, que aproveche el poder de las personas necesario para marcar la diferencia en los problemas que afectan a las personas. Y si mantenerse fuera de los titulares de mañana es esencial, sin duda merece la pena el esfuerzo.
