Protección proactiva: Aprovechamiento de la Estrategia de Ciberseguridad Nacional para la prevención de amenazas avanzadas
Este artículo apareció originalmente como parte del Consejo de Tecnología de Forbes. Se ha actualizado y sindicado aquí.
¿Cuántos registros de datos cree que se vieron comprometidos en 2022? Estaría en el buen camino si adivinara alrededor de 500 millones. Según los datos de filtraciones disponibles públicamente, sólo el año pasado se robaron aproximadamente 480.014.323 registros, pero es probable que la cifra sea mucho mayor. En cualquier caso, se trata de una estadística aleccionadora para el ciudadano medio y muy preocupante para cualquier profesional de la seguridad empresarial.
Hemos llegado a un punto en el que es probable que la mayoría de los habitantes del mundo desarrollado hayan visto cómo al menos algunos de sus datos personales caían en manos de delincuentes a través de un ciberataque con éxito, por lo que es natural que los gobiernos del mundo estén buscando soluciones para frenar este flujo perturbador de actividad delictiva en línea. El último paso lo ha dado la Administración Biden con la Estrategia Nacional de Ciberseguridad, que estoy siguiendo con gran interés. Esta estrategia incluye directrices sobre uno de mis temas favoritos en la actualidad: la responsabilidad en materia de seguridad.
La estrategia, publicada tras una presentación seminal de la Directora de Ciberseguridad y Seguridad de Infraestructuras de CISA, Jen Easterly, ha causado, comprensiblemente, cierta división en la comunidad de seguridad. Sin embargo, creo que representa la mejor oportunidad que tenemos para elevar los estándares de software en todos los ámbitos y, finalmente, marcar el comienzo de una nueva era de desarrolladores cualificados en seguridad.
Los vendedores deberían haber respondido siempre de la inseguridad del software.
Desde hace décadas, en lo que respecta a la seguridad del software, la responsabilidad es una patata caliente con la que ningún equipo trata de hacer malabarismos. Los ejecutivos y los equipos tienden a discrepar vehementemente sobre quién es el responsable último de la seguridad del software, y un informe de Venafi revela que el 97% de los altos ejecutivos de TI están de acuerdo en que los procesos de creación de software no son lo suficientemente seguros, aunque existe una discrepancia sobre quién es el responsable último de aplicar las mejores prácticas de seguridad. El 61% de los ejecutivos afirmó que los equipos de seguridad de TI deberían asumir la responsabilidad de la seguridad del software, mientras que el 31% afirmó que debería ser el equipo de desarrollo el que cargase con la cruz. Y eso es sólo una parte de la ecuación: la cuestión de los componentes comerciales de código abierto y de terceros en las compilaciones de software es una expansión siempre presente de la superficie de ataque. Incluso entre los equipos de seguridad y AppSec, rara vez hay un "propietario" obvio, a pesar de la necesidad de una vigilancia continua en la actualización, supervisión y pruebas.
Esta misma encuesta también puso de manifiesto que, a pesar del conflicto interno sobre quién debe ser responsable de la seguridad y la integridad del software, el 94% de los ejecutivos cree que debería haber sanciones para los proveedores de software que no protegen sus procesos de compilación de las amenazas y ponen en riesgo a los clientes y usuarios finales.
Con el reciente procesamiento del CISO de Uber en relación con su mala gestión de un ciberataque devastador en 2016, así como iniciativas regulatorias como el GDPR, estamos viendo poco a poco cómo suben las apuestas para los proveedores que juegan con fuego al quitar prioridad a la seguridad. Sin embargo, esto simplemente no es suficiente. Estamos perdiendo la batalla contra los ciberdelincuentes y, aunque sea difícil de tragar, son las prácticas laxas de los proveedores de software las que les brindan oportunidades ilimitadas para prosperar.
La Estrategia Nacional de Ciberseguridad pretende trazar una línea en la arena y poner fin al juego circular de echar la culpa al proveedor asignándole toda la responsabilidad del software inseguro.
Veámoslo:
Objetivo estratégico 3.3 - Cambiar la responsabilidad de los productos y servicios de software inseguros:
"Demasiados vendedores "ignoran las mejores prácticas para un desarrollo seguro, distribuyen productos con configuraciones por defecto inseguras o vulnerabilidades conocidas, e integran software de terceros de procedencia no verificada o desconocida.
Debemos empezar a trasladar la responsabilidad a aquellas entidades que no tomen precauciones razonables para asegurar su software, reconociendo al mismo tiempo que ni siquiera los programas de seguridad de software más avanzados pueden evitar todas las vulnerabilidades."
Es comprensible que esto haya irritado a algunos. Pero, como en otros momentos decisivos en el desarrollo de normas y reglamentos en la mayoría de los sectores, se trata de un dolor a medio plazo para garantizar un mejor resultado a largo plazo. Como proveedor de software, tiene sentido que la responsabilidad recaiga sobre nosotros en materia de seguridad. Es nuestro proceso de construcción, nuestros procesos y nuestro control de calidad, y si cometemos un error, es nuestra responsabilidad remediarlo.
Además, deberíamos estar en un lugar en el que buscamos crear software de la mayor calidad posible, y la codificación segura debe formar parte de las métricas que definen un resultado satisfactorio. Lograr esto es una tarea difícil en un mundo que se centra en la velocidad a toda costa, pero depende de los líderes de seguridad que guían nuestro futuro garantizar que todos los que participan en el proceso de creación de software reciban la formación adecuada para ofrecer las mejores prácticas de seguridad en el contexto de su función, especialmente los desarrolladores.
Aún nos falta orientación sobre las mejores prácticas a largo plazo.
El Objetivo Estratégico 3.3 hace referencia al bien establecido Marco de Desarrollo Seguro de Software del NIST como base para sus mejores prácticas generales, y se trata de directrices exhaustivas que lo abarcan todo. Especifican la necesidad de "garantizar que el personal, los procesos y la tecnología de la organización estén preparados para llevar a cabo un desarrollo de software seguro a nivel de la organización", pero no son especialmente prescriptivas en cuanto a los factores que, por ejemplo, un responsable de la concienciación sobre la seguridad debe tener en cuenta a la hora de elegir soluciones de habilitación.
Para que el enfoque sea realmente transformador, los desarrolladores deben ser considerados parte integral del programa de seguridad, y se les deben dar todas las oportunidades para mejorar sus habilidades y compartir la responsabilidad de la detección y erradicación de vulnerabilidades. No pueden lograr esto de una manera que sea medible sin aprendizaje y herramientas hiper-relevantes y contextuales, ni si se considera un ejercicio de cumplimiento anual en lugar de una vía de desarrollo de habilidades en curso.
Los desarrolladores son una poderosa pieza del rompecabezas cuando se trata de descifrar el enigma de la seguridad, y un equipo de desarrolladores expertos en seguridad es esencialmente el ingrediente que falta en la mayoría de las organizaciones. Hacen posible la seguridad a gran velocidad, pero sólo cuando se dedican tiempo y recursos a desbloquearla en el equipo. Hasta entonces, todas las directrices generales de buenas prácticas del mundo no servirán para mover la aguja.
El largo camino hacia el nirvana de la seguridad del software.
La Administración Biden ha comprometido 3.000 millones de dólares de financiación para la CISA, con el objetivo de lograr una rápida resiliencia en todas las infraestructuras críticas. Aunque la financiación y el apoyo de las más altas instancias del gobierno son fundamentales, para que tengamos alguna posibilidad de frustrar a los actores de las amenazas en su camino, será necesario un impulso global para reescribir la historia de la cultura de la seguridad.
Queda un largo camino por recorrer, pero empieza con cada proveedor de software dando el primer paso valiente hacia la responsabilidad de la seguridad a nivel organizativo.
La Estrategia Nacional de Ciberseguridad de CISA representa la mejor oportunidad que tenemos para elevar los estándares de software en todos los ámbitos y, finalmente, marcar el comienzo de una nueva era de desarrolladores cualificados en seguridad".
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Este artículo apareció originalmente como parte del Consejo de Tecnología de Forbes. Se ha actualizado y sindicado aquí.
¿Cuántos registros de datos cree que se vieron comprometidos en 2022? Estaría en el buen camino si adivinara alrededor de 500 millones. Según los datos de filtraciones disponibles públicamente, sólo el año pasado se robaron aproximadamente 480.014.323 registros, pero es probable que la cifra sea mucho mayor. En cualquier caso, se trata de una estadística aleccionadora para el ciudadano medio y muy preocupante para cualquier profesional de la seguridad empresarial.
Hemos llegado a un punto en el que es probable que la mayoría de los habitantes del mundo desarrollado hayan visto cómo al menos algunos de sus datos personales caían en manos de delincuentes a través de un ciberataque con éxito, por lo que es natural que los gobiernos del mundo estén buscando soluciones para frenar este flujo perturbador de actividad delictiva en línea. El último paso lo ha dado la Administración Biden con la Estrategia Nacional de Ciberseguridad, que estoy siguiendo con gran interés. Esta estrategia incluye directrices sobre uno de mis temas favoritos en la actualidad: la responsabilidad en materia de seguridad.
La estrategia, publicada tras una presentación seminal de la Directora de Ciberseguridad y Seguridad de Infraestructuras de CISA, Jen Easterly, ha causado, comprensiblemente, cierta división en la comunidad de seguridad. Sin embargo, creo que representa la mejor oportunidad que tenemos para elevar los estándares de software en todos los ámbitos y, finalmente, marcar el comienzo de una nueva era de desarrolladores cualificados en seguridad.
Los vendedores deberían haber respondido siempre de la inseguridad del software.
Desde hace décadas, en lo que respecta a la seguridad del software, la responsabilidad es una patata caliente con la que ningún equipo trata de hacer malabarismos. Los ejecutivos y los equipos tienden a discrepar vehementemente sobre quién es el responsable último de la seguridad del software, y un informe de Venafi revela que el 97% de los altos ejecutivos de TI están de acuerdo en que los procesos de creación de software no son lo suficientemente seguros, aunque existe una discrepancia sobre quién es el responsable último de aplicar las mejores prácticas de seguridad. El 61% de los ejecutivos afirmó que los equipos de seguridad de TI deberían asumir la responsabilidad de la seguridad del software, mientras que el 31% afirmó que debería ser el equipo de desarrollo el que cargase con la cruz. Y eso es sólo una parte de la ecuación: la cuestión de los componentes comerciales de código abierto y de terceros en las compilaciones de software es una expansión siempre presente de la superficie de ataque. Incluso entre los equipos de seguridad y AppSec, rara vez hay un "propietario" obvio, a pesar de la necesidad de una vigilancia continua en la actualización, supervisión y pruebas.
Esta misma encuesta también puso de manifiesto que, a pesar del conflicto interno sobre quién debe ser responsable de la seguridad y la integridad del software, el 94% de los ejecutivos cree que debería haber sanciones para los proveedores de software que no protegen sus procesos de compilación de las amenazas y ponen en riesgo a los clientes y usuarios finales.
Con el reciente procesamiento del CISO de Uber en relación con su mala gestión de un ciberataque devastador en 2016, así como iniciativas regulatorias como el GDPR, estamos viendo poco a poco cómo suben las apuestas para los proveedores que juegan con fuego al quitar prioridad a la seguridad. Sin embargo, esto simplemente no es suficiente. Estamos perdiendo la batalla contra los ciberdelincuentes y, aunque sea difícil de tragar, son las prácticas laxas de los proveedores de software las que les brindan oportunidades ilimitadas para prosperar.
La Estrategia Nacional de Ciberseguridad pretende trazar una línea en la arena y poner fin al juego circular de echar la culpa al proveedor asignándole toda la responsabilidad del software inseguro.
Veámoslo:
Objetivo estratégico 3.3 - Cambiar la responsabilidad de los productos y servicios de software inseguros:
"Demasiados vendedores "ignoran las mejores prácticas para un desarrollo seguro, distribuyen productos con configuraciones por defecto inseguras o vulnerabilidades conocidas, e integran software de terceros de procedencia no verificada o desconocida.
Debemos empezar a trasladar la responsabilidad a aquellas entidades que no tomen precauciones razonables para asegurar su software, reconociendo al mismo tiempo que ni siquiera los programas de seguridad de software más avanzados pueden evitar todas las vulnerabilidades."
Es comprensible que esto haya irritado a algunos. Pero, como en otros momentos decisivos en el desarrollo de normas y reglamentos en la mayoría de los sectores, se trata de un dolor a medio plazo para garantizar un mejor resultado a largo plazo. Como proveedor de software, tiene sentido que la responsabilidad recaiga sobre nosotros en materia de seguridad. Es nuestro proceso de construcción, nuestros procesos y nuestro control de calidad, y si cometemos un error, es nuestra responsabilidad remediarlo.
Además, deberíamos estar en un lugar en el que buscamos crear software de la mayor calidad posible, y la codificación segura debe formar parte de las métricas que definen un resultado satisfactorio. Lograr esto es una tarea difícil en un mundo que se centra en la velocidad a toda costa, pero depende de los líderes de seguridad que guían nuestro futuro garantizar que todos los que participan en el proceso de creación de software reciban la formación adecuada para ofrecer las mejores prácticas de seguridad en el contexto de su función, especialmente los desarrolladores.
Aún nos falta orientación sobre las mejores prácticas a largo plazo.
El Objetivo Estratégico 3.3 hace referencia al bien establecido Marco de Desarrollo Seguro de Software del NIST como base para sus mejores prácticas generales, y se trata de directrices exhaustivas que lo abarcan todo. Especifican la necesidad de "garantizar que el personal, los procesos y la tecnología de la organización estén preparados para llevar a cabo un desarrollo de software seguro a nivel de la organización", pero no son especialmente prescriptivas en cuanto a los factores que, por ejemplo, un responsable de la concienciación sobre la seguridad debe tener en cuenta a la hora de elegir soluciones de habilitación.
Para que el enfoque sea realmente transformador, los desarrolladores deben ser considerados parte integral del programa de seguridad, y se les deben dar todas las oportunidades para mejorar sus habilidades y compartir la responsabilidad de la detección y erradicación de vulnerabilidades. No pueden lograr esto de una manera que sea medible sin aprendizaje y herramientas hiper-relevantes y contextuales, ni si se considera un ejercicio de cumplimiento anual en lugar de una vía de desarrollo de habilidades en curso.
Los desarrolladores son una poderosa pieza del rompecabezas cuando se trata de descifrar el enigma de la seguridad, y un equipo de desarrolladores expertos en seguridad es esencialmente el ingrediente que falta en la mayoría de las organizaciones. Hacen posible la seguridad a gran velocidad, pero sólo cuando se dedican tiempo y recursos a desbloquearla en el equipo. Hasta entonces, todas las directrices generales de buenas prácticas del mundo no servirán para mover la aguja.
El largo camino hacia el nirvana de la seguridad del software.
La Administración Biden ha comprometido 3.000 millones de dólares de financiación para la CISA, con el objetivo de lograr una rápida resiliencia en todas las infraestructuras críticas. Aunque la financiación y el apoyo de las más altas instancias del gobierno son fundamentales, para que tengamos alguna posibilidad de frustrar a los actores de las amenazas en su camino, será necesario un impulso global para reescribir la historia de la cultura de la seguridad.
Queda un largo camino por recorrer, pero empieza con cada proveedor de software dando el primer paso valiente hacia la responsabilidad de la seguridad a nivel organizativo.
Este artículo apareció originalmente como parte del Consejo de Tecnología de Forbes. Se ha actualizado y sindicado aquí.
¿Cuántos registros de datos cree que se vieron comprometidos en 2022? Estaría en el buen camino si adivinara alrededor de 500 millones. Según los datos de filtraciones disponibles públicamente, sólo el año pasado se robaron aproximadamente 480.014.323 registros, pero es probable que la cifra sea mucho mayor. En cualquier caso, se trata de una estadística aleccionadora para el ciudadano medio y muy preocupante para cualquier profesional de la seguridad empresarial.
Hemos llegado a un punto en el que es probable que la mayoría de los habitantes del mundo desarrollado hayan visto cómo al menos algunos de sus datos personales caían en manos de delincuentes a través de un ciberataque con éxito, por lo que es natural que los gobiernos del mundo estén buscando soluciones para frenar este flujo perturbador de actividad delictiva en línea. El último paso lo ha dado la Administración Biden con la Estrategia Nacional de Ciberseguridad, que estoy siguiendo con gran interés. Esta estrategia incluye directrices sobre uno de mis temas favoritos en la actualidad: la responsabilidad en materia de seguridad.
La estrategia, publicada tras una presentación seminal de la Directora de Ciberseguridad y Seguridad de Infraestructuras de CISA, Jen Easterly, ha causado, comprensiblemente, cierta división en la comunidad de seguridad. Sin embargo, creo que representa la mejor oportunidad que tenemos para elevar los estándares de software en todos los ámbitos y, finalmente, marcar el comienzo de una nueva era de desarrolladores cualificados en seguridad.
Los vendedores deberían haber respondido siempre de la inseguridad del software.
Desde hace décadas, en lo que respecta a la seguridad del software, la responsabilidad es una patata caliente con la que ningún equipo trata de hacer malabarismos. Los ejecutivos y los equipos tienden a discrepar vehementemente sobre quién es el responsable último de la seguridad del software, y un informe de Venafi revela que el 97% de los altos ejecutivos de TI están de acuerdo en que los procesos de creación de software no son lo suficientemente seguros, aunque existe una discrepancia sobre quién es el responsable último de aplicar las mejores prácticas de seguridad. El 61% de los ejecutivos afirmó que los equipos de seguridad de TI deberían asumir la responsabilidad de la seguridad del software, mientras que el 31% afirmó que debería ser el equipo de desarrollo el que cargase con la cruz. Y eso es sólo una parte de la ecuación: la cuestión de los componentes comerciales de código abierto y de terceros en las compilaciones de software es una expansión siempre presente de la superficie de ataque. Incluso entre los equipos de seguridad y AppSec, rara vez hay un "propietario" obvio, a pesar de la necesidad de una vigilancia continua en la actualización, supervisión y pruebas.
Esta misma encuesta también puso de manifiesto que, a pesar del conflicto interno sobre quién debe ser responsable de la seguridad y la integridad del software, el 94% de los ejecutivos cree que debería haber sanciones para los proveedores de software que no protegen sus procesos de compilación de las amenazas y ponen en riesgo a los clientes y usuarios finales.
Con el reciente procesamiento del CISO de Uber en relación con su mala gestión de un ciberataque devastador en 2016, así como iniciativas regulatorias como el GDPR, estamos viendo poco a poco cómo suben las apuestas para los proveedores que juegan con fuego al quitar prioridad a la seguridad. Sin embargo, esto simplemente no es suficiente. Estamos perdiendo la batalla contra los ciberdelincuentes y, aunque sea difícil de tragar, son las prácticas laxas de los proveedores de software las que les brindan oportunidades ilimitadas para prosperar.
La Estrategia Nacional de Ciberseguridad pretende trazar una línea en la arena y poner fin al juego circular de echar la culpa al proveedor asignándole toda la responsabilidad del software inseguro.
Veámoslo:
Objetivo estratégico 3.3 - Cambiar la responsabilidad de los productos y servicios de software inseguros:
"Demasiados vendedores "ignoran las mejores prácticas para un desarrollo seguro, distribuyen productos con configuraciones por defecto inseguras o vulnerabilidades conocidas, e integran software de terceros de procedencia no verificada o desconocida.
Debemos empezar a trasladar la responsabilidad a aquellas entidades que no tomen precauciones razonables para asegurar su software, reconociendo al mismo tiempo que ni siquiera los programas de seguridad de software más avanzados pueden evitar todas las vulnerabilidades."
Es comprensible que esto haya irritado a algunos. Pero, como en otros momentos decisivos en el desarrollo de normas y reglamentos en la mayoría de los sectores, se trata de un dolor a medio plazo para garantizar un mejor resultado a largo plazo. Como proveedor de software, tiene sentido que la responsabilidad recaiga sobre nosotros en materia de seguridad. Es nuestro proceso de construcción, nuestros procesos y nuestro control de calidad, y si cometemos un error, es nuestra responsabilidad remediarlo.
Además, deberíamos estar en un lugar en el que buscamos crear software de la mayor calidad posible, y la codificación segura debe formar parte de las métricas que definen un resultado satisfactorio. Lograr esto es una tarea difícil en un mundo que se centra en la velocidad a toda costa, pero depende de los líderes de seguridad que guían nuestro futuro garantizar que todos los que participan en el proceso de creación de software reciban la formación adecuada para ofrecer las mejores prácticas de seguridad en el contexto de su función, especialmente los desarrolladores.
Aún nos falta orientación sobre las mejores prácticas a largo plazo.
El Objetivo Estratégico 3.3 hace referencia al bien establecido Marco de Desarrollo Seguro de Software del NIST como base para sus mejores prácticas generales, y se trata de directrices exhaustivas que lo abarcan todo. Especifican la necesidad de "garantizar que el personal, los procesos y la tecnología de la organización estén preparados para llevar a cabo un desarrollo de software seguro a nivel de la organización", pero no son especialmente prescriptivas en cuanto a los factores que, por ejemplo, un responsable de la concienciación sobre la seguridad debe tener en cuenta a la hora de elegir soluciones de habilitación.
Para que el enfoque sea realmente transformador, los desarrolladores deben ser considerados parte integral del programa de seguridad, y se les deben dar todas las oportunidades para mejorar sus habilidades y compartir la responsabilidad de la detección y erradicación de vulnerabilidades. No pueden lograr esto de una manera que sea medible sin aprendizaje y herramientas hiper-relevantes y contextuales, ni si se considera un ejercicio de cumplimiento anual en lugar de una vía de desarrollo de habilidades en curso.
Los desarrolladores son una poderosa pieza del rompecabezas cuando se trata de descifrar el enigma de la seguridad, y un equipo de desarrolladores expertos en seguridad es esencialmente el ingrediente que falta en la mayoría de las organizaciones. Hacen posible la seguridad a gran velocidad, pero sólo cuando se dedican tiempo y recursos a desbloquearla en el equipo. Hasta entonces, todas las directrices generales de buenas prácticas del mundo no servirán para mover la aguja.
El largo camino hacia el nirvana de la seguridad del software.
La Administración Biden ha comprometido 3.000 millones de dólares de financiación para la CISA, con el objetivo de lograr una rápida resiliencia en todas las infraestructuras críticas. Aunque la financiación y el apoyo de las más altas instancias del gobierno son fundamentales, para que tengamos alguna posibilidad de frustrar a los actores de las amenazas en su camino, será necesario un impulso global para reescribir la historia de la cultura de la seguridad.
Queda un largo camino por recorrer, pero empieza con cada proveedor de software dando el primer paso valiente hacia la responsabilidad de la seguridad a nivel organizativo.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Este artículo apareció originalmente como parte del Consejo de Tecnología de Forbes. Se ha actualizado y sindicado aquí.
¿Cuántos registros de datos cree que se vieron comprometidos en 2022? Estaría en el buen camino si adivinara alrededor de 500 millones. Según los datos de filtraciones disponibles públicamente, sólo el año pasado se robaron aproximadamente 480.014.323 registros, pero es probable que la cifra sea mucho mayor. En cualquier caso, se trata de una estadística aleccionadora para el ciudadano medio y muy preocupante para cualquier profesional de la seguridad empresarial.
Hemos llegado a un punto en el que es probable que la mayoría de los habitantes del mundo desarrollado hayan visto cómo al menos algunos de sus datos personales caían en manos de delincuentes a través de un ciberataque con éxito, por lo que es natural que los gobiernos del mundo estén buscando soluciones para frenar este flujo perturbador de actividad delictiva en línea. El último paso lo ha dado la Administración Biden con la Estrategia Nacional de Ciberseguridad, que estoy siguiendo con gran interés. Esta estrategia incluye directrices sobre uno de mis temas favoritos en la actualidad: la responsabilidad en materia de seguridad.
La estrategia, publicada tras una presentación seminal de la Directora de Ciberseguridad y Seguridad de Infraestructuras de CISA, Jen Easterly, ha causado, comprensiblemente, cierta división en la comunidad de seguridad. Sin embargo, creo que representa la mejor oportunidad que tenemos para elevar los estándares de software en todos los ámbitos y, finalmente, marcar el comienzo de una nueva era de desarrolladores cualificados en seguridad.
Los vendedores deberían haber respondido siempre de la inseguridad del software.
Desde hace décadas, en lo que respecta a la seguridad del software, la responsabilidad es una patata caliente con la que ningún equipo trata de hacer malabarismos. Los ejecutivos y los equipos tienden a discrepar vehementemente sobre quién es el responsable último de la seguridad del software, y un informe de Venafi revela que el 97% de los altos ejecutivos de TI están de acuerdo en que los procesos de creación de software no son lo suficientemente seguros, aunque existe una discrepancia sobre quién es el responsable último de aplicar las mejores prácticas de seguridad. El 61% de los ejecutivos afirmó que los equipos de seguridad de TI deberían asumir la responsabilidad de la seguridad del software, mientras que el 31% afirmó que debería ser el equipo de desarrollo el que cargase con la cruz. Y eso es sólo una parte de la ecuación: la cuestión de los componentes comerciales de código abierto y de terceros en las compilaciones de software es una expansión siempre presente de la superficie de ataque. Incluso entre los equipos de seguridad y AppSec, rara vez hay un "propietario" obvio, a pesar de la necesidad de una vigilancia continua en la actualización, supervisión y pruebas.
Esta misma encuesta también puso de manifiesto que, a pesar del conflicto interno sobre quién debe ser responsable de la seguridad y la integridad del software, el 94% de los ejecutivos cree que debería haber sanciones para los proveedores de software que no protegen sus procesos de compilación de las amenazas y ponen en riesgo a los clientes y usuarios finales.
Con el reciente procesamiento del CISO de Uber en relación con su mala gestión de un ciberataque devastador en 2016, así como iniciativas regulatorias como el GDPR, estamos viendo poco a poco cómo suben las apuestas para los proveedores que juegan con fuego al quitar prioridad a la seguridad. Sin embargo, esto simplemente no es suficiente. Estamos perdiendo la batalla contra los ciberdelincuentes y, aunque sea difícil de tragar, son las prácticas laxas de los proveedores de software las que les brindan oportunidades ilimitadas para prosperar.
La Estrategia Nacional de Ciberseguridad pretende trazar una línea en la arena y poner fin al juego circular de echar la culpa al proveedor asignándole toda la responsabilidad del software inseguro.
Veámoslo:
Objetivo estratégico 3.3 - Cambiar la responsabilidad de los productos y servicios de software inseguros:
"Demasiados vendedores "ignoran las mejores prácticas para un desarrollo seguro, distribuyen productos con configuraciones por defecto inseguras o vulnerabilidades conocidas, e integran software de terceros de procedencia no verificada o desconocida.
Debemos empezar a trasladar la responsabilidad a aquellas entidades que no tomen precauciones razonables para asegurar su software, reconociendo al mismo tiempo que ni siquiera los programas de seguridad de software más avanzados pueden evitar todas las vulnerabilidades."
Es comprensible que esto haya irritado a algunos. Pero, como en otros momentos decisivos en el desarrollo de normas y reglamentos en la mayoría de los sectores, se trata de un dolor a medio plazo para garantizar un mejor resultado a largo plazo. Como proveedor de software, tiene sentido que la responsabilidad recaiga sobre nosotros en materia de seguridad. Es nuestro proceso de construcción, nuestros procesos y nuestro control de calidad, y si cometemos un error, es nuestra responsabilidad remediarlo.
Además, deberíamos estar en un lugar en el que buscamos crear software de la mayor calidad posible, y la codificación segura debe formar parte de las métricas que definen un resultado satisfactorio. Lograr esto es una tarea difícil en un mundo que se centra en la velocidad a toda costa, pero depende de los líderes de seguridad que guían nuestro futuro garantizar que todos los que participan en el proceso de creación de software reciban la formación adecuada para ofrecer las mejores prácticas de seguridad en el contexto de su función, especialmente los desarrolladores.
Aún nos falta orientación sobre las mejores prácticas a largo plazo.
El Objetivo Estratégico 3.3 hace referencia al bien establecido Marco de Desarrollo Seguro de Software del NIST como base para sus mejores prácticas generales, y se trata de directrices exhaustivas que lo abarcan todo. Especifican la necesidad de "garantizar que el personal, los procesos y la tecnología de la organización estén preparados para llevar a cabo un desarrollo de software seguro a nivel de la organización", pero no son especialmente prescriptivas en cuanto a los factores que, por ejemplo, un responsable de la concienciación sobre la seguridad debe tener en cuenta a la hora de elegir soluciones de habilitación.
Para que el enfoque sea realmente transformador, los desarrolladores deben ser considerados parte integral del programa de seguridad, y se les deben dar todas las oportunidades para mejorar sus habilidades y compartir la responsabilidad de la detección y erradicación de vulnerabilidades. No pueden lograr esto de una manera que sea medible sin aprendizaje y herramientas hiper-relevantes y contextuales, ni si se considera un ejercicio de cumplimiento anual en lugar de una vía de desarrollo de habilidades en curso.
Los desarrolladores son una poderosa pieza del rompecabezas cuando se trata de descifrar el enigma de la seguridad, y un equipo de desarrolladores expertos en seguridad es esencialmente el ingrediente que falta en la mayoría de las organizaciones. Hacen posible la seguridad a gran velocidad, pero sólo cuando se dedican tiempo y recursos a desbloquearla en el equipo. Hasta entonces, todas las directrices generales de buenas prácticas del mundo no servirán para mover la aguja.
El largo camino hacia el nirvana de la seguridad del software.
La Administración Biden ha comprometido 3.000 millones de dólares de financiación para la CISA, con el objetivo de lograr una rápida resiliencia en todas las infraestructuras críticas. Aunque la financiación y el apoyo de las más altas instancias del gobierno son fundamentales, para que tengamos alguna posibilidad de frustrar a los actores de las amenazas en su camino, será necesario un impulso global para reescribir la historia de la cultura de la seguridad.
Queda un largo camino por recorrer, pero empieza con cada proveedor de software dando el primer paso valiente hacia la responsabilidad de la seguridad a nivel organizativo.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Panorama de la gestión de riesgos de los promotores
La gestión de riesgos del desarrollador es un enfoque holístico y proactivo de la seguridad de las aplicaciones, centrado en quienes contribuyen al código y no en los bits y bytes de la propia capa de la aplicación.
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Recursos para empezar
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
