Blog

¿Ha sobrestimado la madurez de seguridad de su organización?

Doctor Matias Madou
Publicado el 10 de noviembre de 2023

Una versión de este artículo apareció en Lectura Oscura. Se ha actualizado y sindicado aquí.


Como la mayoría de las empresas navegan por el flujo y reflujo del crecimiento, la innovación y la transformación digital, es natural que algunas áreas sigan siendo trabajos en curso a medida que una empresa crece. Este suele ser el caso del programa de ciberseguridad de una organización, especialmente cuando los responsables de seguridad luchan por ir un paso por delante de las nuevas amenazas, vulnerabilidades y desarrollos tecnológicos que aumentan la exposición al riesgo.

Sin embargo, con una persistente escasez de habilidades en desacuerdo con el diluvio de código que se escribe para satisfacer las necesidades de software del mundo, muchas empresas se están quedando atrás en su estrategia de ciberseguridad y en la infraestructura existente. Y con el sector aparentemente obsesionado con un enfoque basado en herramientas, a menudo se pasa por alto el poder de las personas cualificadas en un programa defensivo que funcione. 

Es hora de que examinemos con honestidad nuestra madurez general en materia de ciberseguridad y evaluemos los beneficios rápidos viables que tenemos ante nosotros.

La madurez sostenible de la ciberseguridad es un proceso.

Es fácil para el público suponer que todas las empresas tienen un sólido programa de ciberseguridad, y que la protección es sólo cuestión de seleccionar el software adecuado y activarlo como un escudo de fuerza para detener a los actores de amenazas en su camino. Con 2022 como uno de los peores años registrados en cuanto a incidentes cibernéticos -incluido el rescate de todo el gobierno de Costa Rica-, muchos profesionales de la seguridad desearían que fuera así de sencillo. 

Aunque muchas industrias -especialmente en el sector financiero- están impulsadas por el cumplimiento y obligadas por marcos normativos cada vez más complejos que exigen estrictas medidas de seguridad, la realidad es que la mayoría de las organizaciones carecen de ciberresiliencia. Más de la mitad de las grandes empresas de todo el mundo no son eficaces a la hora de detener los ciberataques, ni detectan y corrigen con rapidez las vulnerabilidades explotadas. 

Incluso las organizaciones consideradas avanzadas, con un programa definido y maduro que abarca una triple amenaza de mejores prácticas de personas, procesos y tecnologías, pueden tener dificultades para seguir el ritmo de las exigencias del panorama de las amenazas. Un área crítica en la que muchas empresas se quedan cortas es la concienciación sobre la seguridad basada en roles, especialmente para el equipo de desarrollo. Aunque todas las personas de una organización deben comprender el papel que desempeñan en la reducción de la superficie de ataque, los que se ocupan del código día tras día podrían estar en el asiento del conductor de un enfoque de la seguridad realmente transformador... si estuvieran adecuadamente formados. 

Un programa de seguridad holístico y defensivo exige una mejora continua y requiere que se preste especial atención a sentar unas bases sólidas. Si esos cimientos se basan predominantemente en herramientas, es muy probable que los niveles de madurez sean más bajos de lo que esperan los responsables de seguridad. Un estudio del Ponemon Institute reveló que el 53% de las empresas no confiaba en que su pila tecnológica de seguridad pudiera detener eficazmente las infracciones, y dado que el error humano es una de las principales causas del éxito de los ciberataques a empresas grandes y pequeñas, dejar a los desarrolladores fuera de una mejora estratégica de la seguridad es jugar con fuego. 

Convertir a los desarrolladores en la fuerza motriz de la excelencia en seguridad del software

La verdad incómoda que rodea a los ciberataques es que, en casi todos los casos, los atacantes tienen una clara ventaja sobre su empresa objetivo, independientemente de dónde se encuentren en su viaje de madurez de seguridad. Disponen del tiempo, las herramientas y la motivación para buscar meticulosamente cualquier punto débil que puedan explotar, dedicándose a abrirse camino y llegar a la cima.

Las organizaciones, por su parte, tienen que hacer malabarismos con las necesidades del negocio y de los clientes, y aunque no pueden permitirse el inmenso riesgo de un ciberataque, no es práctico que las operaciones empresariales se ralenticen para acomodar una abundancia de controles de seguridad que pueden acabar obstruyendo el rendimiento. Aquí es donde los desarrolladores expertos en seguridad representan un factor X en los resultados de la ciberdefensa.

Aunque hace tiempo que se sabe que, tradicionalmente, los desarrolladores no han podido compartir la responsabilidad de la seguridad de forma significativa, esto puede y debe cambiar para mejor. Las organizaciones pueden crear vías viables de mejora de las competencias para el grupo de desarrolladores, pero deben seleccionar opciones educativas que ofrezcan material didáctico pertinente de forma que tenga sentido en su mundo. Como mínimo, debería impartirse en los lenguajes y marcos de trabajo que utilizan activamente, y abordar las vulnerabilidades que es más probable que encuentren en su código base. 

Cuando courses se estructura teniendo en cuenta el flujo de trabajo del desarrollador, hay muchas más probabilidades de que los malos patrones de codificación que perpetúan las vulnerabilidades y los errores de configuración habituales puedan sustituirse por patrones buenos y seguros que aumenten significativamente la calidad del software con el paso del tiempo. El software de baja calidad costó a Estados Unidos 2,41 billones de dólares sólo este año, y esto sólo puede remediarse rompiendo el ciclo de errores que sostienen la arriesgada deuda técnica.

Hace falta un compromiso de toda la organización con un programa de seguridad más positivo y holístico, que aproveche el poder de las personas necesario para marcar la diferencia en los problemas que afectan a las personas. Y si mantenerse fuera de los titulares de mañana es esencial, sin duda merece la pena el esfuerzo.

Progresión lunar sobre fondo negro.
Progresión lunar sobre fondo negro.
Ver recurso
Ver recurso

Con una persistente escasez de personal cualificado en contradicción con la avalancha de código que se escribe para satisfacer las necesidades de software del mundo, muchas empresas se están quedando rezagadas en su estrategia de ciberseguridad y en la infraestructura existente. Es hora de que analicemos con honestidad nuestra madurez general en materia de ciberseguridad y evaluemos los beneficios rápidos viables que tenemos ante nosotros.

¿Quiere saber más?

Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Reservar una demostración
Compartir en:
Autor
Doctor Matias Madou
Publicado el 10 de noviembre de 2023

Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.

Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.

Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.

Compartir en:
Progresión lunar sobre fondo negro.
Progresión lunar sobre fondo negro.

Una versión de este artículo apareció en Lectura Oscura. Se ha actualizado y sindicado aquí.


Como la mayoría de las empresas navegan por el flujo y reflujo del crecimiento, la innovación y la transformación digital, es natural que algunas áreas sigan siendo trabajos en curso a medida que una empresa crece. Este suele ser el caso del programa de ciberseguridad de una organización, especialmente cuando los responsables de seguridad luchan por ir un paso por delante de las nuevas amenazas, vulnerabilidades y desarrollos tecnológicos que aumentan la exposición al riesgo.

Sin embargo, con una persistente escasez de habilidades en desacuerdo con el diluvio de código que se escribe para satisfacer las necesidades de software del mundo, muchas empresas se están quedando atrás en su estrategia de ciberseguridad y en la infraestructura existente. Y con el sector aparentemente obsesionado con un enfoque basado en herramientas, a menudo se pasa por alto el poder de las personas cualificadas en un programa defensivo que funcione. 

Es hora de que examinemos con honestidad nuestra madurez general en materia de ciberseguridad y evaluemos los beneficios rápidos viables que tenemos ante nosotros.

La madurez sostenible de la ciberseguridad es un proceso.

Es fácil para el público suponer que todas las empresas tienen un sólido programa de ciberseguridad, y que la protección es sólo cuestión de seleccionar el software adecuado y activarlo como un escudo de fuerza para detener a los actores de amenazas en su camino. Con 2022 como uno de los peores años registrados en cuanto a incidentes cibernéticos -incluido el rescate de todo el gobierno de Costa Rica-, muchos profesionales de la seguridad desearían que fuera así de sencillo. 

Aunque muchas industrias -especialmente en el sector financiero- están impulsadas por el cumplimiento y obligadas por marcos normativos cada vez más complejos que exigen estrictas medidas de seguridad, la realidad es que la mayoría de las organizaciones carecen de ciberresiliencia. Más de la mitad de las grandes empresas de todo el mundo no son eficaces a la hora de detener los ciberataques, ni detectan y corrigen con rapidez las vulnerabilidades explotadas. 

Incluso las organizaciones consideradas avanzadas, con un programa definido y maduro que abarca una triple amenaza de mejores prácticas de personas, procesos y tecnologías, pueden tener dificultades para seguir el ritmo de las exigencias del panorama de las amenazas. Un área crítica en la que muchas empresas se quedan cortas es la concienciación sobre la seguridad basada en roles, especialmente para el equipo de desarrollo. Aunque todas las personas de una organización deben comprender el papel que desempeñan en la reducción de la superficie de ataque, los que se ocupan del código día tras día podrían estar en el asiento del conductor de un enfoque de la seguridad realmente transformador... si estuvieran adecuadamente formados. 

Un programa de seguridad holístico y defensivo exige una mejora continua y requiere que se preste especial atención a sentar unas bases sólidas. Si esos cimientos se basan predominantemente en herramientas, es muy probable que los niveles de madurez sean más bajos de lo que esperan los responsables de seguridad. Un estudio del Ponemon Institute reveló que el 53% de las empresas no confiaba en que su pila tecnológica de seguridad pudiera detener eficazmente las infracciones, y dado que el error humano es una de las principales causas del éxito de los ciberataques a empresas grandes y pequeñas, dejar a los desarrolladores fuera de una mejora estratégica de la seguridad es jugar con fuego. 

Convertir a los desarrolladores en la fuerza motriz de la excelencia en seguridad del software

La verdad incómoda que rodea a los ciberataques es que, en casi todos los casos, los atacantes tienen una clara ventaja sobre su empresa objetivo, independientemente de dónde se encuentren en su viaje de madurez de seguridad. Disponen del tiempo, las herramientas y la motivación para buscar meticulosamente cualquier punto débil que puedan explotar, dedicándose a abrirse camino y llegar a la cima.

Las organizaciones, por su parte, tienen que hacer malabarismos con las necesidades del negocio y de los clientes, y aunque no pueden permitirse el inmenso riesgo de un ciberataque, no es práctico que las operaciones empresariales se ralenticen para acomodar una abundancia de controles de seguridad que pueden acabar obstruyendo el rendimiento. Aquí es donde los desarrolladores expertos en seguridad representan un factor X en los resultados de la ciberdefensa.

Aunque hace tiempo que se sabe que, tradicionalmente, los desarrolladores no han podido compartir la responsabilidad de la seguridad de forma significativa, esto puede y debe cambiar para mejor. Las organizaciones pueden crear vías viables de mejora de las competencias para el grupo de desarrolladores, pero deben seleccionar opciones educativas que ofrezcan material didáctico pertinente de forma que tenga sentido en su mundo. Como mínimo, debería impartirse en los lenguajes y marcos de trabajo que utilizan activamente, y abordar las vulnerabilidades que es más probable que encuentren en su código base. 

Cuando courses se estructura teniendo en cuenta el flujo de trabajo del desarrollador, hay muchas más probabilidades de que los malos patrones de codificación que perpetúan las vulnerabilidades y los errores de configuración habituales puedan sustituirse por patrones buenos y seguros que aumenten significativamente la calidad del software con el paso del tiempo. El software de baja calidad costó a Estados Unidos 2,41 billones de dólares sólo este año, y esto sólo puede remediarse rompiendo el ciclo de errores que sostienen la arriesgada deuda técnica.

Hace falta un compromiso de toda la organización con un programa de seguridad más positivo y holístico, que aproveche el poder de las personas necesario para marcar la diferencia en los problemas que afectan a las personas. Y si mantenerse fuera de los titulares de mañana es esencial, sin duda merece la pena el esfuerzo.

Ver recurso
Ver recurso

Rellene el siguiente formulario para descargar el informe

Nos gustaría contar con su permiso para enviarle información sobre nuestros productos y/o temas relacionados con la codificación segura. Siempre trataremos sus datos personales con el máximo cuidado y nunca los venderemos a otras empresas con fines de marketing.

Enviar
Para enviar el formulario, habilite las cookies "Analytics". Siéntase libre de desactivarlas de nuevo una vez que haya terminado.
Progresión lunar sobre fondo negro.

Una versión de este artículo apareció en Lectura Oscura. Se ha actualizado y sindicado aquí.


Como la mayoría de las empresas navegan por el flujo y reflujo del crecimiento, la innovación y la transformación digital, es natural que algunas áreas sigan siendo trabajos en curso a medida que una empresa crece. Este suele ser el caso del programa de ciberseguridad de una organización, especialmente cuando los responsables de seguridad luchan por ir un paso por delante de las nuevas amenazas, vulnerabilidades y desarrollos tecnológicos que aumentan la exposición al riesgo.

Sin embargo, con una persistente escasez de habilidades en desacuerdo con el diluvio de código que se escribe para satisfacer las necesidades de software del mundo, muchas empresas se están quedando atrás en su estrategia de ciberseguridad y en la infraestructura existente. Y con el sector aparentemente obsesionado con un enfoque basado en herramientas, a menudo se pasa por alto el poder de las personas cualificadas en un programa defensivo que funcione. 

Es hora de que examinemos con honestidad nuestra madurez general en materia de ciberseguridad y evaluemos los beneficios rápidos viables que tenemos ante nosotros.

La madurez sostenible de la ciberseguridad es un proceso.

Es fácil para el público suponer que todas las empresas tienen un sólido programa de ciberseguridad, y que la protección es sólo cuestión de seleccionar el software adecuado y activarlo como un escudo de fuerza para detener a los actores de amenazas en su camino. Con 2022 como uno de los peores años registrados en cuanto a incidentes cibernéticos -incluido el rescate de todo el gobierno de Costa Rica-, muchos profesionales de la seguridad desearían que fuera así de sencillo. 

Aunque muchas industrias -especialmente en el sector financiero- están impulsadas por el cumplimiento y obligadas por marcos normativos cada vez más complejos que exigen estrictas medidas de seguridad, la realidad es que la mayoría de las organizaciones carecen de ciberresiliencia. Más de la mitad de las grandes empresas de todo el mundo no son eficaces a la hora de detener los ciberataques, ni detectan y corrigen con rapidez las vulnerabilidades explotadas. 

Incluso las organizaciones consideradas avanzadas, con un programa definido y maduro que abarca una triple amenaza de mejores prácticas de personas, procesos y tecnologías, pueden tener dificultades para seguir el ritmo de las exigencias del panorama de las amenazas. Un área crítica en la que muchas empresas se quedan cortas es la concienciación sobre la seguridad basada en roles, especialmente para el equipo de desarrollo. Aunque todas las personas de una organización deben comprender el papel que desempeñan en la reducción de la superficie de ataque, los que se ocupan del código día tras día podrían estar en el asiento del conductor de un enfoque de la seguridad realmente transformador... si estuvieran adecuadamente formados. 

Un programa de seguridad holístico y defensivo exige una mejora continua y requiere que se preste especial atención a sentar unas bases sólidas. Si esos cimientos se basan predominantemente en herramientas, es muy probable que los niveles de madurez sean más bajos de lo que esperan los responsables de seguridad. Un estudio del Ponemon Institute reveló que el 53% de las empresas no confiaba en que su pila tecnológica de seguridad pudiera detener eficazmente las infracciones, y dado que el error humano es una de las principales causas del éxito de los ciberataques a empresas grandes y pequeñas, dejar a los desarrolladores fuera de una mejora estratégica de la seguridad es jugar con fuego. 

Convertir a los desarrolladores en la fuerza motriz de la excelencia en seguridad del software

La verdad incómoda que rodea a los ciberataques es que, en casi todos los casos, los atacantes tienen una clara ventaja sobre su empresa objetivo, independientemente de dónde se encuentren en su viaje de madurez de seguridad. Disponen del tiempo, las herramientas y la motivación para buscar meticulosamente cualquier punto débil que puedan explotar, dedicándose a abrirse camino y llegar a la cima.

Las organizaciones, por su parte, tienen que hacer malabarismos con las necesidades del negocio y de los clientes, y aunque no pueden permitirse el inmenso riesgo de un ciberataque, no es práctico que las operaciones empresariales se ralenticen para acomodar una abundancia de controles de seguridad que pueden acabar obstruyendo el rendimiento. Aquí es donde los desarrolladores expertos en seguridad representan un factor X en los resultados de la ciberdefensa.

Aunque hace tiempo que se sabe que, tradicionalmente, los desarrolladores no han podido compartir la responsabilidad de la seguridad de forma significativa, esto puede y debe cambiar para mejor. Las organizaciones pueden crear vías viables de mejora de las competencias para el grupo de desarrolladores, pero deben seleccionar opciones educativas que ofrezcan material didáctico pertinente de forma que tenga sentido en su mundo. Como mínimo, debería impartirse en los lenguajes y marcos de trabajo que utilizan activamente, y abordar las vulnerabilidades que es más probable que encuentren en su código base. 

Cuando courses se estructura teniendo en cuenta el flujo de trabajo del desarrollador, hay muchas más probabilidades de que los malos patrones de codificación que perpetúan las vulnerabilidades y los errores de configuración habituales puedan sustituirse por patrones buenos y seguros que aumenten significativamente la calidad del software con el paso del tiempo. El software de baja calidad costó a Estados Unidos 2,41 billones de dólares sólo este año, y esto sólo puede remediarse rompiendo el ciclo de errores que sostienen la arriesgada deuda técnica.

Hace falta un compromiso de toda la organización con un programa de seguridad más positivo y holístico, que aproveche el poder de las personas necesario para marcar la diferencia en los problemas que afectan a las personas. Y si mantenerse fuera de los titulares de mañana es esencial, sin duda merece la pena el esfuerzo.

Empezar a trabajar

Haga clic en el siguiente enlace y descargue el PDF de este recurso.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Ver el informeReservar una demostración
Ver recurso
Compartir en:
¿Quiere saber más?

Compartir en:
Autor
Doctor Matias Madou
Publicado el 10 de noviembre de 2023

Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.

Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.

Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.

Compartir en:

Una versión de este artículo apareció en Lectura Oscura. Se ha actualizado y sindicado aquí.


Como la mayoría de las empresas navegan por el flujo y reflujo del crecimiento, la innovación y la transformación digital, es natural que algunas áreas sigan siendo trabajos en curso a medida que una empresa crece. Este suele ser el caso del programa de ciberseguridad de una organización, especialmente cuando los responsables de seguridad luchan por ir un paso por delante de las nuevas amenazas, vulnerabilidades y desarrollos tecnológicos que aumentan la exposición al riesgo.

Sin embargo, con una persistente escasez de habilidades en desacuerdo con el diluvio de código que se escribe para satisfacer las necesidades de software del mundo, muchas empresas se están quedando atrás en su estrategia de ciberseguridad y en la infraestructura existente. Y con el sector aparentemente obsesionado con un enfoque basado en herramientas, a menudo se pasa por alto el poder de las personas cualificadas en un programa defensivo que funcione. 

Es hora de que examinemos con honestidad nuestra madurez general en materia de ciberseguridad y evaluemos los beneficios rápidos viables que tenemos ante nosotros.

La madurez sostenible de la ciberseguridad es un proceso.

Es fácil para el público suponer que todas las empresas tienen un sólido programa de ciberseguridad, y que la protección es sólo cuestión de seleccionar el software adecuado y activarlo como un escudo de fuerza para detener a los actores de amenazas en su camino. Con 2022 como uno de los peores años registrados en cuanto a incidentes cibernéticos -incluido el rescate de todo el gobierno de Costa Rica-, muchos profesionales de la seguridad desearían que fuera así de sencillo. 

Aunque muchas industrias -especialmente en el sector financiero- están impulsadas por el cumplimiento y obligadas por marcos normativos cada vez más complejos que exigen estrictas medidas de seguridad, la realidad es que la mayoría de las organizaciones carecen de ciberresiliencia. Más de la mitad de las grandes empresas de todo el mundo no son eficaces a la hora de detener los ciberataques, ni detectan y corrigen con rapidez las vulnerabilidades explotadas. 

Incluso las organizaciones consideradas avanzadas, con un programa definido y maduro que abarca una triple amenaza de mejores prácticas de personas, procesos y tecnologías, pueden tener dificultades para seguir el ritmo de las exigencias del panorama de las amenazas. Un área crítica en la que muchas empresas se quedan cortas es la concienciación sobre la seguridad basada en roles, especialmente para el equipo de desarrollo. Aunque todas las personas de una organización deben comprender el papel que desempeñan en la reducción de la superficie de ataque, los que se ocupan del código día tras día podrían estar en el asiento del conductor de un enfoque de la seguridad realmente transformador... si estuvieran adecuadamente formados. 

Un programa de seguridad holístico y defensivo exige una mejora continua y requiere que se preste especial atención a sentar unas bases sólidas. Si esos cimientos se basan predominantemente en herramientas, es muy probable que los niveles de madurez sean más bajos de lo que esperan los responsables de seguridad. Un estudio del Ponemon Institute reveló que el 53% de las empresas no confiaba en que su pila tecnológica de seguridad pudiera detener eficazmente las infracciones, y dado que el error humano es una de las principales causas del éxito de los ciberataques a empresas grandes y pequeñas, dejar a los desarrolladores fuera de una mejora estratégica de la seguridad es jugar con fuego. 

Convertir a los desarrolladores en la fuerza motriz de la excelencia en seguridad del software

La verdad incómoda que rodea a los ciberataques es que, en casi todos los casos, los atacantes tienen una clara ventaja sobre su empresa objetivo, independientemente de dónde se encuentren en su viaje de madurez de seguridad. Disponen del tiempo, las herramientas y la motivación para buscar meticulosamente cualquier punto débil que puedan explotar, dedicándose a abrirse camino y llegar a la cima.

Las organizaciones, por su parte, tienen que hacer malabarismos con las necesidades del negocio y de los clientes, y aunque no pueden permitirse el inmenso riesgo de un ciberataque, no es práctico que las operaciones empresariales se ralenticen para acomodar una abundancia de controles de seguridad que pueden acabar obstruyendo el rendimiento. Aquí es donde los desarrolladores expertos en seguridad representan un factor X en los resultados de la ciberdefensa.

Aunque hace tiempo que se sabe que, tradicionalmente, los desarrolladores no han podido compartir la responsabilidad de la seguridad de forma significativa, esto puede y debe cambiar para mejor. Las organizaciones pueden crear vías viables de mejora de las competencias para el grupo de desarrolladores, pero deben seleccionar opciones educativas que ofrezcan material didáctico pertinente de forma que tenga sentido en su mundo. Como mínimo, debería impartirse en los lenguajes y marcos de trabajo que utilizan activamente, y abordar las vulnerabilidades que es más probable que encuentren en su código base. 

Cuando courses se estructura teniendo en cuenta el flujo de trabajo del desarrollador, hay muchas más probabilidades de que los malos patrones de codificación que perpetúan las vulnerabilidades y los errores de configuración habituales puedan sustituirse por patrones buenos y seguros que aumenten significativamente la calidad del software con el paso del tiempo. El software de baja calidad costó a Estados Unidos 2,41 billones de dólares sólo este año, y esto sólo puede remediarse rompiendo el ciclo de errores que sostienen la arriesgada deuda técnica.

Hace falta un compromiso de toda la organización con un programa de seguridad más positivo y holístico, que aproveche el poder de las personas necesario para marcar la diferencia en los problemas que afectan a las personas. Y si mantenerse fuera de los titulares de mañana es esencial, sin duda merece la pena el esfuerzo.

Índice

Descargar PDF
Ver recurso
¿Quiere saber más?

Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Reservar una demostraciónDescargar
Compartir en:
Centro de recursos

Recursos para empezar

Más entradas
Centro de recursos

Recursos para empezar

Más entradas