Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
Los equipos de seguridad tienen dificultades para seguir el ritmo de la oleada de nuevas innovaciones en el mundo actual de DevOps impulsado por la nube, por lo que es lógico que sean igualmente incapaces de seguir el ritmo de la miríada de formas en que los atacantes explotan las debilidades que inevitablemente surgen con tanto código generado constantemente.
Sin embargo, a pesar del ritmo acelerado de las violaciones de seguridad importantes -desde la violación de datos de Equifax y el ataque a la cadena de suministro de SolarWinds hasta más incidentes en los últimos años, como los ataques con éxito a Change Healthcare, AT&T y otros-, muchas organizaciones siguen centrándose en un enfoque reactivo de la seguridad. Dedican la mayor parte de sus recursos de seguridad a encontrar y corregir vulnerabilidades y a responder a los incidentes a medida que se producen. Este enfoque podría haber sido adecuado en otra época, pero la rápida evolución del software, las capacidades tecnológicas y la infraestructura de TI es demasiado para que los equipos de seguridad, faltos de personal y sobrecargados de trabajo, puedan seguir el ritmo.
Para evitar estar continuamente en desventaja, tienen que dejar de perseguir amenazas de seguridad que se mueven demasiado rápido para ellos o esperar a que el caballo de la violación de datos esté fuera del establo. En lugar de ello, deben adelantarse al problema adoptando un enfoque preventivo, en lugar de reactivo. Mejorar la seguridad tanto de las aplicaciones heredadas como de las nuevas requiere un enfoque de seguridad por diseño -reforzado por una formación eficaz de los desarrolladores- para garantizar que se emplean las mejores prácticas de seguridad al principio del ciclo de vida de desarrollo del software (SDLC) y que se corrigen las vulnerabilidades antes de que pasen a producción.
Hasta la fecha, esto ha resultado mucho más fácil de decir que de hacer.
Escasean los programadores seguros
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) ha intentado impulsar la prevención como política clave con su iniciativa Secure-by-Design, que promueve la codificación segura junto con otras buenas prácticas -desde la autenticación multifactor (MFA) hasta la reducción de clases de vulnerabilidades- y anima a las organizaciones a asumir el Compromiso Secure-by-Design. Otros países, como Australia, Canadá, Alemania y el Reino Unido, han puesto en marcha programas similares. Sin embargo, nuestra investigación muestra que muy pocas organizaciones se han subido al carro hasta ahora.
Si combinamos todos los desarrolladores de Secure Code Warrior's Learning Platform con los de los competidores de SCW que trabajan en la vena de Secure-by-Design, hay entre 500.000 y 1 millón de desarrolladores que están adoptando este enfoque. Según la estimación más generosa, esto supone alrededor del 3,5% del número total de desarrolladores en todo el mundo, que se prevé que alcance los 28,7 millones a finales de 2024. Son muchos desarrolladores produciendo más código que nunca, especialmente con programas de inteligencia artificial generativa que aceleran enorm emente el ritmo de desarrollo, y muy pocos aprendiendo a empezar con código seguro.
Por lo general, a los ingenieros de software no se les enseña ciberseguridad porque el modelo tradicional ha exigido que los desarrolladores y los profesionales de la seguridad trabajen como entidades separadas, y que los equipos de seguridad se ocupen de los problemas de seguridad después de que se haya creado el software. Pero los profesionales de la seguridad están lamentablemente superados en número en el entorno actual. El informe más reciente de Building Security in Maturity Model, BSIMM14, muestra que hay, de media, 3,87 profesionales de AppSec por cada 100 desarrolladores en todo el mundo. Contar con menos de cuatro especialistas formados para tratar de proteger los resultados de 100 desarrolladores que trabajan a una velocidad de vértigo no es una receta para conseguir un código seguro.
El descuido de la seguridad de las aplicaciones es igualmente evidente cuando se compara su tamaño de mercado con otros sectores de la seguridad. Los componentes que conforman un enfoque Secure-by-Design entran en el mercado de la seguridad de las aplicaciones, que se espera que crezca de 6.080 millones de dólares en 2023 a 17.510 millones en 2031. Parece un crecimiento rápido, pero palidece cuando se compara con el dinero que se gasta en seguridad de redes, que se prevé que aumente de 23.570 millones de dólares en 2023 a 67.330 millones en 2032, o en seguridad de tecnología operativa, que se prevé que crezca de 18.030 millones en 2023 a 57.510 millones en 2031.
Teniendo en cuenta la creciente importancia del código y las aplicaciones seguras, este ámbito está infradotado. De hecho, si las empresas invierten más en la seguridad de las aplicaciones y en un enfoque Secure-by-Design, podrían ahorrar en otras áreas de seguridad.
Hay otros factores que contribuyen a la opinión de que la seguridad preventiva es más difícil de implantar y, por tanto, de vender a los altos ejecutivos. Por un lado, las empresas que llevan mucho tiempo funcionando, como las del sector de servicios financieros, cargan con viejos sistemas heredados, algunos de los cuales datan de mediados del siglo pasado, cuando COBOL era el lenguaje de programación preferido.
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Crear una cultura de prevención
Puede que la transición hacia un enfoque preventivo de la seguridad esté teniendo un comienzo lento, pero el impulso para adoptar prácticas de seguridad por diseño no va a desaparecer porque la necesidad apremiante de ello en el entorno actual de ciberamenazas tampoco va a desaparecer. A la industria del automóvil se le echaría la culpa si decidiera invertir en más ambulancias y paramédicos en lugar de hacer coches más seguros, pero muchas organizaciones siguen ese modelo cuando se trata de ciberseguridad.
Las organizaciones deben adoptar un enfoque preventivo y proactivo para reducir el riesgo. Deben crear programas para capacitar a los desarrolladores en la escritura de código seguro y la corrección de errores (como los introducidos por asistentes de IA o código de terceros) en una fase temprana del SDLC. Estos programas deben incluir programas de formación ágiles e interactivos que se ajusten a los horarios de los desarrolladores y puedan adaptarse a sus entornos de trabajo y a los lenguajes de programación que utilizan. El perfeccionamiento debe incluir formación práctica que aborde problemas del mundo real.
Y lo que es más importante, debe incluir un medio de medir sus progresos para garantizar que han convertido las mejores prácticas de seguridad en una parte vital de sus rutinas diarias. Una herramienta como Trust Score de SCW utiliza puntos de referencia para medir el progreso tanto internamente como en comparación con los estándares del sector, al tiempo que identifica las áreas que deben mejorarse.
Un planteamiento de seguridad desde el diseño sería holístico y reflejaría una mentalidad de la organización en la que la seguridad es lo primero, una prioridad empresarial. No cabe duda de que la respuesta y la recuperación son partes esenciales de la postura global de seguridad de una organización. Pero si se centran en la prevención, las empresas pueden hacer grandes progresos en la reducción del riesgo y tal vez evitar el tipo de brechas importantes que pueden amenazar la viabilidad de un negocio.
Obtenga más información sobre cómo Secure Code Warrior puede ayudarle a realizar una iniciativa viable de Secure-by-Design hoy mismo.
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónMatias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Los equipos de seguridad tienen dificultades para seguir el ritmo de la oleada de nuevas innovaciones en el mundo actual de DevOps impulsado por la nube, por lo que es lógico que sean igualmente incapaces de seguir el ritmo de la miríada de formas en que los atacantes explotan las debilidades que inevitablemente surgen con tanto código generado constantemente.
Sin embargo, a pesar del ritmo acelerado de las violaciones de seguridad importantes -desde la violación de datos de Equifax y el ataque a la cadena de suministro de SolarWinds hasta más incidentes en los últimos años, como los ataques con éxito a Change Healthcare, AT&T y otros-, muchas organizaciones siguen centrándose en un enfoque reactivo de la seguridad. Dedican la mayor parte de sus recursos de seguridad a encontrar y corregir vulnerabilidades y a responder a los incidentes a medida que se producen. Este enfoque podría haber sido adecuado en otra época, pero la rápida evolución del software, las capacidades tecnológicas y la infraestructura de TI es demasiado para que los equipos de seguridad, faltos de personal y sobrecargados de trabajo, puedan seguir el ritmo.
Para evitar estar continuamente en desventaja, tienen que dejar de perseguir amenazas de seguridad que se mueven demasiado rápido para ellos o esperar a que el caballo de la violación de datos esté fuera del establo. En lugar de ello, deben adelantarse al problema adoptando un enfoque preventivo, en lugar de reactivo. Mejorar la seguridad tanto de las aplicaciones heredadas como de las nuevas requiere un enfoque de seguridad por diseño -reforzado por una formación eficaz de los desarrolladores- para garantizar que se emplean las mejores prácticas de seguridad al principio del ciclo de vida de desarrollo del software (SDLC) y que se corrigen las vulnerabilidades antes de que pasen a producción.
Hasta la fecha, esto ha resultado mucho más fácil de decir que de hacer.
Escasean los programadores seguros
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) ha intentado impulsar la prevención como política clave con su iniciativa Secure-by-Design, que promueve la codificación segura junto con otras buenas prácticas -desde la autenticación multifactor (MFA) hasta la reducción de clases de vulnerabilidades- y anima a las organizaciones a asumir el Compromiso Secure-by-Design. Otros países, como Australia, Canadá, Alemania y el Reino Unido, han puesto en marcha programas similares. Sin embargo, nuestra investigación muestra que muy pocas organizaciones se han subido al carro hasta ahora.
Si combinamos todos los desarrolladores de Secure Code Warrior's Learning Platform con los de los competidores de SCW que trabajan en la vena de Secure-by-Design, hay entre 500.000 y 1 millón de desarrolladores que están adoptando este enfoque. Según la estimación más generosa, esto supone alrededor del 3,5% del número total de desarrolladores en todo el mundo, que se prevé que alcance los 28,7 millones a finales de 2024. Son muchos desarrolladores produciendo más código que nunca, especialmente con programas de inteligencia artificial generativa que aceleran enorm emente el ritmo de desarrollo, y muy pocos aprendiendo a empezar con código seguro.
Por lo general, a los ingenieros de software no se les enseña ciberseguridad porque el modelo tradicional ha exigido que los desarrolladores y los profesionales de la seguridad trabajen como entidades separadas, y que los equipos de seguridad se ocupen de los problemas de seguridad después de que se haya creado el software. Pero los profesionales de la seguridad están lamentablemente superados en número en el entorno actual. El informe más reciente de Building Security in Maturity Model, BSIMM14, muestra que hay, de media, 3,87 profesionales de AppSec por cada 100 desarrolladores en todo el mundo. Contar con menos de cuatro especialistas formados para tratar de proteger los resultados de 100 desarrolladores que trabajan a una velocidad de vértigo no es una receta para conseguir un código seguro.
El descuido de la seguridad de las aplicaciones es igualmente evidente cuando se compara su tamaño de mercado con otros sectores de la seguridad. Los componentes que conforman un enfoque Secure-by-Design entran en el mercado de la seguridad de las aplicaciones, que se espera que crezca de 6.080 millones de dólares en 2023 a 17.510 millones en 2031. Parece un crecimiento rápido, pero palidece cuando se compara con el dinero que se gasta en seguridad de redes, que se prevé que aumente de 23.570 millones de dólares en 2023 a 67.330 millones en 2032, o en seguridad de tecnología operativa, que se prevé que crezca de 18.030 millones en 2023 a 57.510 millones en 2031.
Teniendo en cuenta la creciente importancia del código y las aplicaciones seguras, este ámbito está infradotado. De hecho, si las empresas invierten más en la seguridad de las aplicaciones y en un enfoque Secure-by-Design, podrían ahorrar en otras áreas de seguridad.
Hay otros factores que contribuyen a la opinión de que la seguridad preventiva es más difícil de implantar y, por tanto, de vender a los altos ejecutivos. Por un lado, las empresas que llevan mucho tiempo funcionando, como las del sector de servicios financieros, cargan con viejos sistemas heredados, algunos de los cuales datan de mediados del siglo pasado, cuando COBOL era el lenguaje de programación preferido.
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Crear una cultura de prevención
Puede que la transición hacia un enfoque preventivo de la seguridad esté teniendo un comienzo lento, pero el impulso para adoptar prácticas de seguridad por diseño no va a desaparecer porque la necesidad apremiante de ello en el entorno actual de ciberamenazas tampoco va a desaparecer. A la industria del automóvil se le echaría la culpa si decidiera invertir en más ambulancias y paramédicos en lugar de hacer coches más seguros, pero muchas organizaciones siguen ese modelo cuando se trata de ciberseguridad.
Las organizaciones deben adoptar un enfoque preventivo y proactivo para reducir el riesgo. Deben crear programas para capacitar a los desarrolladores en la escritura de código seguro y la corrección de errores (como los introducidos por asistentes de IA o código de terceros) en una fase temprana del SDLC. Estos programas deben incluir programas de formación ágiles e interactivos que se ajusten a los horarios de los desarrolladores y puedan adaptarse a sus entornos de trabajo y a los lenguajes de programación que utilizan. El perfeccionamiento debe incluir formación práctica que aborde problemas del mundo real.
Y lo que es más importante, debe incluir un medio de medir sus progresos para garantizar que han convertido las mejores prácticas de seguridad en una parte vital de sus rutinas diarias. Una herramienta como Trust Score de SCW utiliza puntos de referencia para medir el progreso tanto internamente como en comparación con los estándares del sector, al tiempo que identifica las áreas que deben mejorarse.
Un planteamiento de seguridad desde el diseño sería holístico y reflejaría una mentalidad de la organización en la que la seguridad es lo primero, una prioridad empresarial. No cabe duda de que la respuesta y la recuperación son partes esenciales de la postura global de seguridad de una organización. Pero si se centran en la prevención, las empresas pueden hacer grandes progresos en la reducción del riesgo y tal vez evitar el tipo de brechas importantes que pueden amenazar la viabilidad de un negocio.
Obtenga más información sobre cómo Secure Code Warrior puede ayudarle a realizar una iniciativa viable de Secure-by-Design hoy mismo.
Los equipos de seguridad tienen dificultades para seguir el ritmo de la oleada de nuevas innovaciones en el mundo actual de DevOps impulsado por la nube, por lo que es lógico que sean igualmente incapaces de seguir el ritmo de la miríada de formas en que los atacantes explotan las debilidades que inevitablemente surgen con tanto código generado constantemente.
Sin embargo, a pesar del ritmo acelerado de las violaciones de seguridad importantes -desde la violación de datos de Equifax y el ataque a la cadena de suministro de SolarWinds hasta más incidentes en los últimos años, como los ataques con éxito a Change Healthcare, AT&T y otros-, muchas organizaciones siguen centrándose en un enfoque reactivo de la seguridad. Dedican la mayor parte de sus recursos de seguridad a encontrar y corregir vulnerabilidades y a responder a los incidentes a medida que se producen. Este enfoque podría haber sido adecuado en otra época, pero la rápida evolución del software, las capacidades tecnológicas y la infraestructura de TI es demasiado para que los equipos de seguridad, faltos de personal y sobrecargados de trabajo, puedan seguir el ritmo.
Para evitar estar continuamente en desventaja, tienen que dejar de perseguir amenazas de seguridad que se mueven demasiado rápido para ellos o esperar a que el caballo de la violación de datos esté fuera del establo. En lugar de ello, deben adelantarse al problema adoptando un enfoque preventivo, en lugar de reactivo. Mejorar la seguridad tanto de las aplicaciones heredadas como de las nuevas requiere un enfoque de seguridad por diseño -reforzado por una formación eficaz de los desarrolladores- para garantizar que se emplean las mejores prácticas de seguridad al principio del ciclo de vida de desarrollo del software (SDLC) y que se corrigen las vulnerabilidades antes de que pasen a producción.
Hasta la fecha, esto ha resultado mucho más fácil de decir que de hacer.
Escasean los programadores seguros
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) ha intentado impulsar la prevención como política clave con su iniciativa Secure-by-Design, que promueve la codificación segura junto con otras buenas prácticas -desde la autenticación multifactor (MFA) hasta la reducción de clases de vulnerabilidades- y anima a las organizaciones a asumir el Compromiso Secure-by-Design. Otros países, como Australia, Canadá, Alemania y el Reino Unido, han puesto en marcha programas similares. Sin embargo, nuestra investigación muestra que muy pocas organizaciones se han subido al carro hasta ahora.
Si combinamos todos los desarrolladores de Secure Code Warrior's Learning Platform con los de los competidores de SCW que trabajan en la vena de Secure-by-Design, hay entre 500.000 y 1 millón de desarrolladores que están adoptando este enfoque. Según la estimación más generosa, esto supone alrededor del 3,5% del número total de desarrolladores en todo el mundo, que se prevé que alcance los 28,7 millones a finales de 2024. Son muchos desarrolladores produciendo más código que nunca, especialmente con programas de inteligencia artificial generativa que aceleran enorm emente el ritmo de desarrollo, y muy pocos aprendiendo a empezar con código seguro.
Por lo general, a los ingenieros de software no se les enseña ciberseguridad porque el modelo tradicional ha exigido que los desarrolladores y los profesionales de la seguridad trabajen como entidades separadas, y que los equipos de seguridad se ocupen de los problemas de seguridad después de que se haya creado el software. Pero los profesionales de la seguridad están lamentablemente superados en número en el entorno actual. El informe más reciente de Building Security in Maturity Model, BSIMM14, muestra que hay, de media, 3,87 profesionales de AppSec por cada 100 desarrolladores en todo el mundo. Contar con menos de cuatro especialistas formados para tratar de proteger los resultados de 100 desarrolladores que trabajan a una velocidad de vértigo no es una receta para conseguir un código seguro.
El descuido de la seguridad de las aplicaciones es igualmente evidente cuando se compara su tamaño de mercado con otros sectores de la seguridad. Los componentes que conforman un enfoque Secure-by-Design entran en el mercado de la seguridad de las aplicaciones, que se espera que crezca de 6.080 millones de dólares en 2023 a 17.510 millones en 2031. Parece un crecimiento rápido, pero palidece cuando se compara con el dinero que se gasta en seguridad de redes, que se prevé que aumente de 23.570 millones de dólares en 2023 a 67.330 millones en 2032, o en seguridad de tecnología operativa, que se prevé que crezca de 18.030 millones en 2023 a 57.510 millones en 2031.
Teniendo en cuenta la creciente importancia del código y las aplicaciones seguras, este ámbito está infradotado. De hecho, si las empresas invierten más en la seguridad de las aplicaciones y en un enfoque Secure-by-Design, podrían ahorrar en otras áreas de seguridad.
Hay otros factores que contribuyen a la opinión de que la seguridad preventiva es más difícil de implantar y, por tanto, de vender a los altos ejecutivos. Por un lado, las empresas que llevan mucho tiempo funcionando, como las del sector de servicios financieros, cargan con viejos sistemas heredados, algunos de los cuales datan de mediados del siglo pasado, cuando COBOL era el lenguaje de programación preferido.
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Crear una cultura de prevención
Puede que la transición hacia un enfoque preventivo de la seguridad esté teniendo un comienzo lento, pero el impulso para adoptar prácticas de seguridad por diseño no va a desaparecer porque la necesidad apremiante de ello en el entorno actual de ciberamenazas tampoco va a desaparecer. A la industria del automóvil se le echaría la culpa si decidiera invertir en más ambulancias y paramédicos en lugar de hacer coches más seguros, pero muchas organizaciones siguen ese modelo cuando se trata de ciberseguridad.
Las organizaciones deben adoptar un enfoque preventivo y proactivo para reducir el riesgo. Deben crear programas para capacitar a los desarrolladores en la escritura de código seguro y la corrección de errores (como los introducidos por asistentes de IA o código de terceros) en una fase temprana del SDLC. Estos programas deben incluir programas de formación ágiles e interactivos que se ajusten a los horarios de los desarrolladores y puedan adaptarse a sus entornos de trabajo y a los lenguajes de programación que utilizan. El perfeccionamiento debe incluir formación práctica que aborde problemas del mundo real.
Y lo que es más importante, debe incluir un medio de medir sus progresos para garantizar que han convertido las mejores prácticas de seguridad en una parte vital de sus rutinas diarias. Una herramienta como Trust Score de SCW utiliza puntos de referencia para medir el progreso tanto internamente como en comparación con los estándares del sector, al tiempo que identifica las áreas que deben mejorarse.
Un planteamiento de seguridad desde el diseño sería holístico y reflejaría una mentalidad de la organización en la que la seguridad es lo primero, una prioridad empresarial. No cabe duda de que la respuesta y la recuperación son partes esenciales de la postura global de seguridad de una organización. Pero si se centran en la prevención, las empresas pueden hacer grandes progresos en la reducción del riesgo y tal vez evitar el tipo de brechas importantes que pueden amenazar la viabilidad de un negocio.
Obtenga más información sobre cómo Secure Code Warrior puede ayudarle a realizar una iniciativa viable de Secure-by-Design hoy mismo.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostraciónMatias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Los equipos de seguridad tienen dificultades para seguir el ritmo de la oleada de nuevas innovaciones en el mundo actual de DevOps impulsado por la nube, por lo que es lógico que sean igualmente incapaces de seguir el ritmo de la miríada de formas en que los atacantes explotan las debilidades que inevitablemente surgen con tanto código generado constantemente.
Sin embargo, a pesar del ritmo acelerado de las violaciones de seguridad importantes -desde la violación de datos de Equifax y el ataque a la cadena de suministro de SolarWinds hasta más incidentes en los últimos años, como los ataques con éxito a Change Healthcare, AT&T y otros-, muchas organizaciones siguen centrándose en un enfoque reactivo de la seguridad. Dedican la mayor parte de sus recursos de seguridad a encontrar y corregir vulnerabilidades y a responder a los incidentes a medida que se producen. Este enfoque podría haber sido adecuado en otra época, pero la rápida evolución del software, las capacidades tecnológicas y la infraestructura de TI es demasiado para que los equipos de seguridad, faltos de personal y sobrecargados de trabajo, puedan seguir el ritmo.
Para evitar estar continuamente en desventaja, tienen que dejar de perseguir amenazas de seguridad que se mueven demasiado rápido para ellos o esperar a que el caballo de la violación de datos esté fuera del establo. En lugar de ello, deben adelantarse al problema adoptando un enfoque preventivo, en lugar de reactivo. Mejorar la seguridad tanto de las aplicaciones heredadas como de las nuevas requiere un enfoque de seguridad por diseño -reforzado por una formación eficaz de los desarrolladores- para garantizar que se emplean las mejores prácticas de seguridad al principio del ciclo de vida de desarrollo del software (SDLC) y que se corrigen las vulnerabilidades antes de que pasen a producción.
Hasta la fecha, esto ha resultado mucho más fácil de decir que de hacer.
Escasean los programadores seguros
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) ha intentado impulsar la prevención como política clave con su iniciativa Secure-by-Design, que promueve la codificación segura junto con otras buenas prácticas -desde la autenticación multifactor (MFA) hasta la reducción de clases de vulnerabilidades- y anima a las organizaciones a asumir el Compromiso Secure-by-Design. Otros países, como Australia, Canadá, Alemania y el Reino Unido, han puesto en marcha programas similares. Sin embargo, nuestra investigación muestra que muy pocas organizaciones se han subido al carro hasta ahora.
Si combinamos todos los desarrolladores de Secure Code Warrior's Learning Platform con los de los competidores de SCW que trabajan en la vena de Secure-by-Design, hay entre 500.000 y 1 millón de desarrolladores que están adoptando este enfoque. Según la estimación más generosa, esto supone alrededor del 3,5% del número total de desarrolladores en todo el mundo, que se prevé que alcance los 28,7 millones a finales de 2024. Son muchos desarrolladores produciendo más código que nunca, especialmente con programas de inteligencia artificial generativa que aceleran enorm emente el ritmo de desarrollo, y muy pocos aprendiendo a empezar con código seguro.
Por lo general, a los ingenieros de software no se les enseña ciberseguridad porque el modelo tradicional ha exigido que los desarrolladores y los profesionales de la seguridad trabajen como entidades separadas, y que los equipos de seguridad se ocupen de los problemas de seguridad después de que se haya creado el software. Pero los profesionales de la seguridad están lamentablemente superados en número en el entorno actual. El informe más reciente de Building Security in Maturity Model, BSIMM14, muestra que hay, de media, 3,87 profesionales de AppSec por cada 100 desarrolladores en todo el mundo. Contar con menos de cuatro especialistas formados para tratar de proteger los resultados de 100 desarrolladores que trabajan a una velocidad de vértigo no es una receta para conseguir un código seguro.
El descuido de la seguridad de las aplicaciones es igualmente evidente cuando se compara su tamaño de mercado con otros sectores de la seguridad. Los componentes que conforman un enfoque Secure-by-Design entran en el mercado de la seguridad de las aplicaciones, que se espera que crezca de 6.080 millones de dólares en 2023 a 17.510 millones en 2031. Parece un crecimiento rápido, pero palidece cuando se compara con el dinero que se gasta en seguridad de redes, que se prevé que aumente de 23.570 millones de dólares en 2023 a 67.330 millones en 2032, o en seguridad de tecnología operativa, que se prevé que crezca de 18.030 millones en 2023 a 57.510 millones en 2031.
Teniendo en cuenta la creciente importancia del código y las aplicaciones seguras, este ámbito está infradotado. De hecho, si las empresas invierten más en la seguridad de las aplicaciones y en un enfoque Secure-by-Design, podrían ahorrar en otras áreas de seguridad.
Hay otros factores que contribuyen a la opinión de que la seguridad preventiva es más difícil de implantar y, por tanto, de vender a los altos ejecutivos. Por un lado, las empresas que llevan mucho tiempo funcionando, como las del sector de servicios financieros, cargan con viejos sistemas heredados, algunos de los cuales datan de mediados del siglo pasado, cuando COBOL era el lenguaje de programación preferido.
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Crear una cultura de prevención
Puede que la transición hacia un enfoque preventivo de la seguridad esté teniendo un comienzo lento, pero el impulso para adoptar prácticas de seguridad por diseño no va a desaparecer porque la necesidad apremiante de ello en el entorno actual de ciberamenazas tampoco va a desaparecer. A la industria del automóvil se le echaría la culpa si decidiera invertir en más ambulancias y paramédicos en lugar de hacer coches más seguros, pero muchas organizaciones siguen ese modelo cuando se trata de ciberseguridad.
Las organizaciones deben adoptar un enfoque preventivo y proactivo para reducir el riesgo. Deben crear programas para capacitar a los desarrolladores en la escritura de código seguro y la corrección de errores (como los introducidos por asistentes de IA o código de terceros) en una fase temprana del SDLC. Estos programas deben incluir programas de formación ágiles e interactivos que se ajusten a los horarios de los desarrolladores y puedan adaptarse a sus entornos de trabajo y a los lenguajes de programación que utilizan. El perfeccionamiento debe incluir formación práctica que aborde problemas del mundo real.
Y lo que es más importante, debe incluir un medio de medir sus progresos para garantizar que han convertido las mejores prácticas de seguridad en una parte vital de sus rutinas diarias. Una herramienta como Trust Score de SCW utiliza puntos de referencia para medir el progreso tanto internamente como en comparación con los estándares del sector, al tiempo que identifica las áreas que deben mejorarse.
Un planteamiento de seguridad desde el diseño sería holístico y reflejaría una mentalidad de la organización en la que la seguridad es lo primero, una prioridad empresarial. No cabe duda de que la respuesta y la recuperación son partes esenciales de la postura global de seguridad de una organización. Pero si se centran en la prevención, las empresas pueden hacer grandes progresos en la reducción del riesgo y tal vez evitar el tipo de brechas importantes que pueden amenazar la viabilidad de un negocio.
Obtenga más información sobre cómo Secure Code Warrior puede ayudarle a realizar una iniciativa viable de Secure-by-Design hoy mismo.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.
Inmersión profunda: Navegando por la vulnerabilidad crítica CUPS en sistemas GNU-Linux
Descubra los últimos retos de seguridad a los que se enfrentan los usuarios de Linux mientras exploramos las recientes vulnerabilidades de alta gravedad en el Sistema de Impresión UNIX Común (CUPS). Aprenda cómo estos problemas pueden conducir a una potencial ejecución remota de código (RCE) y lo que puede hacer para proteger sus sistemas.
Los programadores conquistan la seguridad: Compartir y aprender - Cross-Site Scripting (XSS)
El cross-site scripting (XSS) utiliza la confianza de los navegadores y la ignorancia de los usuarios para robar datos, apoderarse de cuentas y desfigurar sitios web; es una vulnerabilidad que puede ponerse muy fea, muy rápidamente. Echemos un vistazo a cómo funciona el XSS, qué daño puede causar y cómo prevenirlo.