Formación de ciberseguridad estática frente a la dinámica Formación dinámica en ciberseguridad: Cumplimiento impulsivo, problemas futuros
Da la sensación de que el "cumplimiento de la ciberseguridad" es una tendencia desde hace años, con un sinfín de artículos, iniciativas y comités que debaten sobre la mejor manera de afrontar la enorme bestia de múltiples amenazas que es la ciberdelincuencia.
El problema es que no parece que hayamos avanzado tanto. A nivel mundial, el coste de las filtraciones de datos ha aumentado constantemente, un 12% en cinco años para establecerse en aproximadamente 3,92 millones de dólares por filtración en 2019. A medida que nuestro uso de Internet se disparó en tan solo un par de décadas, muchas empresas simplemente se vieron obligadas a luchar sin armadura mientras se conectaban rápidamente, se establecían y lidiaban con las consecuencias de un software inseguro, recursos limitados de AppSec y, en algunos casos, el abuso de la confianza de los clientes.
Hoy en día, somos irrefutablemente más maduros. Comprendemos y debatimos ampliamente el alcance de la amenaza, las empresas son muy conscientes del impacto que un ciberataque puede tener en la opinión de los clientes, su reputación y sus resultados, y muchos lugares buscan activamente mejorar la seguridad del software a través de la formación en materia de cumplimiento, la contratación de personal cualificado y, cada vez más, las iniciativas de DevSecOps. A pesar de estos enormes saltos, no estamos ganando la lucha, ni siquiera cerca. Se han robado al menos cuatro mil millones de registros en violaciones de datos solo en 2019.
Un ingrediente que faltaba ha sido un goteo algo lento (a nivel gubernamental) sobre las normas de ciberseguridad, las expectativas y las consecuencias de una violación. La llegada del GDPR ha hecho que algunas cabezas empiecen a rodar, al menos en Europa, pero muchos organismos gubernamentales solo se están poniendo al día ahora, y la repentina necesidad de acatar rápidamente las iniciativas de cumplimiento recién florecidas podría tener algunos efectos no deseados en el futuro.
Los tontos se precipitan (a la formación equivocada)
Las sólidas directrices del NIST, la nueva normativa del Estado de Nueva York y la creación del Consejo de Ciberseguridad del Reino Unido han sido victorias monumentales para los que luchan por mantener nuestros datos seguros. Reconocen los problemas en el desarrollo de software actual y toman medidas para orientar a las organizaciones sobre las normas que deben cumplir ahora para ser consideradas éticas y conformes, en términos de mejores prácticas de seguridad.
Lamentablemente, en este momento, algunos de los elementos más importantes están demasiado abiertos a la interpretación. Por ejemplo, uno de los mandatos de la legislación del Consejo de Ciberseguridad del Reino Unido es:
"Crear una lista definida de certificaciones y un marco fácil de entender sobre cómo se relacionan entre sí y qué capacidades transmiten, basándose en el trabajo de itinerarios profesionales ya realizado".
Aunque sus iniciativas sin duda mejorarán y crecerán con el tiempo, si las organizaciones ya están pulsando el botón del pánico y saltando a la formación ahora, podrían encontrarse mal equipadas para el futuro.
Las exigencias de ciberseguridad de una organización cambian rápidamente, y es poco probable que las soluciones de formación estática frenen el flujo de software inseguro al ritmo necesario. El panorama cambia más rápido de lo que un curso tradicional puede actualizar, lo que puede hacer que algunos lugares caigan en la trampa del ejercicio de cumplimiento de "marcar la casilla"; los desarrolladores, contratistas y otros profesionales de la seguridad no reciben la formación adecuada, y volvemos a ser blancos fáciles.
La formación estática y las herramientas estáticas sufren los mismos problemas
Las herramientas de análisis estático son una parte integral del SDLC, haciendo su trabajo como caballos de batalla para los escasos y sobrecargados especialistas de AppSec que se encuentran en la mayoría de las grandes organizaciones. Hacen un buen trabajo, pero hay un defecto: ninguna herramienta puede escanear todas las vulnerabilidades, soportando la enorme gama de marcos de programación existentes. También es un proceso lento, y basta con que un solo fallo de seguridad se cuele entre las grietas para dejar una puerta abierta a un atacante.
En el caso de la formación estática, existe un problema similar. Si los desarrolladores reciben la formación en seguridad como un curso rígido, "de una sola vez", es muy poco probable que se haya mantenido al día con los problemas de seguridad más prevalentes en ese período de tiempo. Sirve como una instantánea del momento en que se escribió, y rara vez se revisa lo suficiente, se imparte en el lenguaje y el marco de trabajo preferidos por el estudiante, ni es contextual a las vulnerabilidades a las que probablemente se enfrenten en su trabajo diario. Imagina que intentas recordar una pieza de información relevante de un vídeo que viste hace meses, mientras intentas cumplir con los plazos de entrega y sacar el código por la puerta... es poco probable que suceda.
Los métodos tradicionales de educación están siendo reevaluados en muchas industrias, pero cuando se trata de la formación en seguridad para desarrolladores, sólo hay que ver el gran volumen de violaciones de datos que todavía experimentamos (especialmente aquellas que pueden ser atribuidas a vulnerabilidades que hemos sabido evitar en la codificación durante décadas, como la inyección SQL) para darse cuenta de que debemos intentar una manera diferente.
Necesitamos una formación que vaya más allá de los límites de un curso único y lineal, que pueda flexibilizarse y adaptarse a las necesidades siempre cambiantes de las mejores prácticas de ciberseguridad.
Entrenamiento dinámico: el estándar de oro
Al ofrecer a los desarrolladores una solución de formación dinámica, que puede adaptarse rápidamente a la empresa, al nivel de habilidad individual y a los movimientos generales de la industria, les está proporcionando la mejor base para codificar de forma segura, manteniendo la seguridad en primer plano y actuando con una mentalidad consciente de la seguridad.
Una formación única, que nunca se revisa y que no es atractiva en primer lugar, será una completa pérdida de tiempo y, por desgracia, eso significa que podría acabar comprando por impulso un programa ineficaz en aras del cumplimiento. Podría quedar obsoleto antes de que lo ponga en marcha, o apenas se puede relacionar con las necesidades de su trabajo diario.
La formación dinámica es una herramienta viva, que se actualiza constantemente, que se adapta a las necesidades cotidianas, que involucra a los usuarios con el pensamiento crítico y que realmente les permite aprender habilidades y solucionar problemas.
Entonces, ¿cómo es un programa de formación dinámico en un contexto de seguridad?
Lo será:
- En trozos: Los desarrolladores pueden aprender habilidades en trozos manejables que son mucho más fáciles de recordar (y, lo que es más importante, de aplicar) que los largos mazos de formación y los vídeos
- Es relevante: ¿De qué sirve una formación genérica en materia de seguridad en la que los ejemplos están en, por ejemplo, C#, cuando el desarrollador codifica principalmente en Java? Cualquier formación debería aplicarse directamente a su función, permitiéndoles ver lo que deben encontrar y corregir (e, idealmente, evitar en primer lugar) mientras codifican.
- Actual: Esto parece obvio, pero a menudo no lo es. El panorama de la ciberseguridad cambia constantemente, y con más código viene más responsabilidad. Para que los desarrolladores sean su primera línea de defensa, necesitan una formación que se mantenga al día con las mejores prácticas de seguridad modernas.
- Atractivo: No es ningún secreto que los desarrolladores pueden encontrar la "seguridad" como una tarea, especialmente si interfiere con su flujo creativo. La formación adecuada les mostrará el poder que tienen en la resolución de problemas de seguridad cotidianos que pueden convertirse en grandes riesgos, creando una cultura de responsabilidad y conciencia de seguridad.
- Divertido: La formación dinámica rara vez es aburrida; se supone que debe ser al menos algo emocionante por su diseño. Piensa en lo que les gusta a los desarrolladores: resolver problemas, competir con sus compañeros y, como a muchos de nosotros en el trabajo, las recompensas y el reconocimiento. Aproveche sus puntos fuertes y concéntrese en obtener los mejores resultados.
Es un momento emocionante para ser ingeniero de software; desempeñan un papel integral en la innovación digital, ayudan a crear empresas increíbles e incluso toman el mundo por sorpresa con sus propias creaciones. Sin embargo, ahora que los organismos gubernamentales y las grandes empresas son conscientes del papel que deben desempeñar en el establecimiento de normas de seguridad del software, es importante apoyarlos con soluciones de formación eficaces y dinámicas que fomenten el amor por la codificación segura, y no un ejercicio burocrático de marcar casillas.
Aunque las iniciativas normativas sin duda mejorarán y crecerán con el tiempo, si las organizaciones ya están pulsando el botón del pánico y saltando a la formación ahora, podrían encontrarse mal equipadas para el futuro.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDirector General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Da la sensación de que el "cumplimiento de la ciberseguridad" es una tendencia desde hace años, con un sinfín de artículos, iniciativas y comités que debaten sobre la mejor manera de afrontar la enorme bestia de múltiples amenazas que es la ciberdelincuencia.
El problema es que no parece que hayamos avanzado tanto. A nivel mundial, el coste de las filtraciones de datos ha aumentado constantemente, un 12% en cinco años para establecerse en aproximadamente 3,92 millones de dólares por filtración en 2019. A medida que nuestro uso de Internet se disparó en tan solo un par de décadas, muchas empresas simplemente se vieron obligadas a luchar sin armadura mientras se conectaban rápidamente, se establecían y lidiaban con las consecuencias de un software inseguro, recursos limitados de AppSec y, en algunos casos, el abuso de la confianza de los clientes.
Hoy en día, somos irrefutablemente más maduros. Comprendemos y debatimos ampliamente el alcance de la amenaza, las empresas son muy conscientes del impacto que un ciberataque puede tener en la opinión de los clientes, su reputación y sus resultados, y muchos lugares buscan activamente mejorar la seguridad del software a través de la formación en materia de cumplimiento, la contratación de personal cualificado y, cada vez más, las iniciativas de DevSecOps. A pesar de estos enormes saltos, no estamos ganando la lucha, ni siquiera cerca. Se han robado al menos cuatro mil millones de registros en violaciones de datos solo en 2019.
Un ingrediente que faltaba ha sido un goteo algo lento (a nivel gubernamental) sobre las normas de ciberseguridad, las expectativas y las consecuencias de una violación. La llegada del GDPR ha hecho que algunas cabezas empiecen a rodar, al menos en Europa, pero muchos organismos gubernamentales solo se están poniendo al día ahora, y la repentina necesidad de acatar rápidamente las iniciativas de cumplimiento recién florecidas podría tener algunos efectos no deseados en el futuro.
Los tontos se precipitan (a la formación equivocada)
Las sólidas directrices del NIST, la nueva normativa del Estado de Nueva York y la creación del Consejo de Ciberseguridad del Reino Unido han sido victorias monumentales para los que luchan por mantener nuestros datos seguros. Reconocen los problemas en el desarrollo de software actual y toman medidas para orientar a las organizaciones sobre las normas que deben cumplir ahora para ser consideradas éticas y conformes, en términos de mejores prácticas de seguridad.
Lamentablemente, en este momento, algunos de los elementos más importantes están demasiado abiertos a la interpretación. Por ejemplo, uno de los mandatos de la legislación del Consejo de Ciberseguridad del Reino Unido es:
"Crear una lista definida de certificaciones y un marco fácil de entender sobre cómo se relacionan entre sí y qué capacidades transmiten, basándose en el trabajo de itinerarios profesionales ya realizado".
Aunque sus iniciativas sin duda mejorarán y crecerán con el tiempo, si las organizaciones ya están pulsando el botón del pánico y saltando a la formación ahora, podrían encontrarse mal equipadas para el futuro.
Las exigencias de ciberseguridad de una organización cambian rápidamente, y es poco probable que las soluciones de formación estática frenen el flujo de software inseguro al ritmo necesario. El panorama cambia más rápido de lo que un curso tradicional puede actualizar, lo que puede hacer que algunos lugares caigan en la trampa del ejercicio de cumplimiento de "marcar la casilla"; los desarrolladores, contratistas y otros profesionales de la seguridad no reciben la formación adecuada, y volvemos a ser blancos fáciles.
La formación estática y las herramientas estáticas sufren los mismos problemas
Las herramientas de análisis estático son una parte integral del SDLC, haciendo su trabajo como caballos de batalla para los escasos y sobrecargados especialistas de AppSec que se encuentran en la mayoría de las grandes organizaciones. Hacen un buen trabajo, pero hay un defecto: ninguna herramienta puede escanear todas las vulnerabilidades, soportando la enorme gama de marcos de programación existentes. También es un proceso lento, y basta con que un solo fallo de seguridad se cuele entre las grietas para dejar una puerta abierta a un atacante.
En el caso de la formación estática, existe un problema similar. Si los desarrolladores reciben la formación en seguridad como un curso rígido, "de una sola vez", es muy poco probable que se haya mantenido al día con los problemas de seguridad más prevalentes en ese período de tiempo. Sirve como una instantánea del momento en que se escribió, y rara vez se revisa lo suficiente, se imparte en el lenguaje y el marco de trabajo preferidos por el estudiante, ni es contextual a las vulnerabilidades a las que probablemente se enfrenten en su trabajo diario. Imagina que intentas recordar una pieza de información relevante de un vídeo que viste hace meses, mientras intentas cumplir con los plazos de entrega y sacar el código por la puerta... es poco probable que suceda.
Los métodos tradicionales de educación están siendo reevaluados en muchas industrias, pero cuando se trata de la formación en seguridad para desarrolladores, sólo hay que ver el gran volumen de violaciones de datos que todavía experimentamos (especialmente aquellas que pueden ser atribuidas a vulnerabilidades que hemos sabido evitar en la codificación durante décadas, como la inyección SQL) para darse cuenta de que debemos intentar una manera diferente.
Necesitamos una formación que vaya más allá de los límites de un curso único y lineal, que pueda flexibilizarse y adaptarse a las necesidades siempre cambiantes de las mejores prácticas de ciberseguridad.
Entrenamiento dinámico: el estándar de oro
Al ofrecer a los desarrolladores una solución de formación dinámica, que puede adaptarse rápidamente a la empresa, al nivel de habilidad individual y a los movimientos generales de la industria, les está proporcionando la mejor base para codificar de forma segura, manteniendo la seguridad en primer plano y actuando con una mentalidad consciente de la seguridad.
Una formación única, que nunca se revisa y que no es atractiva en primer lugar, será una completa pérdida de tiempo y, por desgracia, eso significa que podría acabar comprando por impulso un programa ineficaz en aras del cumplimiento. Podría quedar obsoleto antes de que lo ponga en marcha, o apenas se puede relacionar con las necesidades de su trabajo diario.
La formación dinámica es una herramienta viva, que se actualiza constantemente, que se adapta a las necesidades cotidianas, que involucra a los usuarios con el pensamiento crítico y que realmente les permite aprender habilidades y solucionar problemas.
Entonces, ¿cómo es un programa de formación dinámico en un contexto de seguridad?
Lo será:
- En trozos: Los desarrolladores pueden aprender habilidades en trozos manejables que son mucho más fáciles de recordar (y, lo que es más importante, de aplicar) que los largos mazos de formación y los vídeos
- Es relevante: ¿De qué sirve una formación genérica en materia de seguridad en la que los ejemplos están en, por ejemplo, C#, cuando el desarrollador codifica principalmente en Java? Cualquier formación debería aplicarse directamente a su función, permitiéndoles ver lo que deben encontrar y corregir (e, idealmente, evitar en primer lugar) mientras codifican.
- Actual: Esto parece obvio, pero a menudo no lo es. El panorama de la ciberseguridad cambia constantemente, y con más código viene más responsabilidad. Para que los desarrolladores sean su primera línea de defensa, necesitan una formación que se mantenga al día con las mejores prácticas de seguridad modernas.
- Atractivo: No es ningún secreto que los desarrolladores pueden encontrar la "seguridad" como una tarea, especialmente si interfiere con su flujo creativo. La formación adecuada les mostrará el poder que tienen en la resolución de problemas de seguridad cotidianos que pueden convertirse en grandes riesgos, creando una cultura de responsabilidad y conciencia de seguridad.
- Divertido: La formación dinámica rara vez es aburrida; se supone que debe ser al menos algo emocionante por su diseño. Piensa en lo que les gusta a los desarrolladores: resolver problemas, competir con sus compañeros y, como a muchos de nosotros en el trabajo, las recompensas y el reconocimiento. Aproveche sus puntos fuertes y concéntrese en obtener los mejores resultados.
Es un momento emocionante para ser ingeniero de software; desempeñan un papel integral en la innovación digital, ayudan a crear empresas increíbles e incluso toman el mundo por sorpresa con sus propias creaciones. Sin embargo, ahora que los organismos gubernamentales y las grandes empresas son conscientes del papel que deben desempeñar en el establecimiento de normas de seguridad del software, es importante apoyarlos con soluciones de formación eficaces y dinámicas que fomenten el amor por la codificación segura, y no un ejercicio burocrático de marcar casillas.
Da la sensación de que el "cumplimiento de la ciberseguridad" es una tendencia desde hace años, con un sinfín de artículos, iniciativas y comités que debaten sobre la mejor manera de afrontar la enorme bestia de múltiples amenazas que es la ciberdelincuencia.
El problema es que no parece que hayamos avanzado tanto. A nivel mundial, el coste de las filtraciones de datos ha aumentado constantemente, un 12% en cinco años para establecerse en aproximadamente 3,92 millones de dólares por filtración en 2019. A medida que nuestro uso de Internet se disparó en tan solo un par de décadas, muchas empresas simplemente se vieron obligadas a luchar sin armadura mientras se conectaban rápidamente, se establecían y lidiaban con las consecuencias de un software inseguro, recursos limitados de AppSec y, en algunos casos, el abuso de la confianza de los clientes.
Hoy en día, somos irrefutablemente más maduros. Comprendemos y debatimos ampliamente el alcance de la amenaza, las empresas son muy conscientes del impacto que un ciberataque puede tener en la opinión de los clientes, su reputación y sus resultados, y muchos lugares buscan activamente mejorar la seguridad del software a través de la formación en materia de cumplimiento, la contratación de personal cualificado y, cada vez más, las iniciativas de DevSecOps. A pesar de estos enormes saltos, no estamos ganando la lucha, ni siquiera cerca. Se han robado al menos cuatro mil millones de registros en violaciones de datos solo en 2019.
Un ingrediente que faltaba ha sido un goteo algo lento (a nivel gubernamental) sobre las normas de ciberseguridad, las expectativas y las consecuencias de una violación. La llegada del GDPR ha hecho que algunas cabezas empiecen a rodar, al menos en Europa, pero muchos organismos gubernamentales solo se están poniendo al día ahora, y la repentina necesidad de acatar rápidamente las iniciativas de cumplimiento recién florecidas podría tener algunos efectos no deseados en el futuro.
Los tontos se precipitan (a la formación equivocada)
Las sólidas directrices del NIST, la nueva normativa del Estado de Nueva York y la creación del Consejo de Ciberseguridad del Reino Unido han sido victorias monumentales para los que luchan por mantener nuestros datos seguros. Reconocen los problemas en el desarrollo de software actual y toman medidas para orientar a las organizaciones sobre las normas que deben cumplir ahora para ser consideradas éticas y conformes, en términos de mejores prácticas de seguridad.
Lamentablemente, en este momento, algunos de los elementos más importantes están demasiado abiertos a la interpretación. Por ejemplo, uno de los mandatos de la legislación del Consejo de Ciberseguridad del Reino Unido es:
"Crear una lista definida de certificaciones y un marco fácil de entender sobre cómo se relacionan entre sí y qué capacidades transmiten, basándose en el trabajo de itinerarios profesionales ya realizado".
Aunque sus iniciativas sin duda mejorarán y crecerán con el tiempo, si las organizaciones ya están pulsando el botón del pánico y saltando a la formación ahora, podrían encontrarse mal equipadas para el futuro.
Las exigencias de ciberseguridad de una organización cambian rápidamente, y es poco probable que las soluciones de formación estática frenen el flujo de software inseguro al ritmo necesario. El panorama cambia más rápido de lo que un curso tradicional puede actualizar, lo que puede hacer que algunos lugares caigan en la trampa del ejercicio de cumplimiento de "marcar la casilla"; los desarrolladores, contratistas y otros profesionales de la seguridad no reciben la formación adecuada, y volvemos a ser blancos fáciles.
La formación estática y las herramientas estáticas sufren los mismos problemas
Las herramientas de análisis estático son una parte integral del SDLC, haciendo su trabajo como caballos de batalla para los escasos y sobrecargados especialistas de AppSec que se encuentran en la mayoría de las grandes organizaciones. Hacen un buen trabajo, pero hay un defecto: ninguna herramienta puede escanear todas las vulnerabilidades, soportando la enorme gama de marcos de programación existentes. También es un proceso lento, y basta con que un solo fallo de seguridad se cuele entre las grietas para dejar una puerta abierta a un atacante.
En el caso de la formación estática, existe un problema similar. Si los desarrolladores reciben la formación en seguridad como un curso rígido, "de una sola vez", es muy poco probable que se haya mantenido al día con los problemas de seguridad más prevalentes en ese período de tiempo. Sirve como una instantánea del momento en que se escribió, y rara vez se revisa lo suficiente, se imparte en el lenguaje y el marco de trabajo preferidos por el estudiante, ni es contextual a las vulnerabilidades a las que probablemente se enfrenten en su trabajo diario. Imagina que intentas recordar una pieza de información relevante de un vídeo que viste hace meses, mientras intentas cumplir con los plazos de entrega y sacar el código por la puerta... es poco probable que suceda.
Los métodos tradicionales de educación están siendo reevaluados en muchas industrias, pero cuando se trata de la formación en seguridad para desarrolladores, sólo hay que ver el gran volumen de violaciones de datos que todavía experimentamos (especialmente aquellas que pueden ser atribuidas a vulnerabilidades que hemos sabido evitar en la codificación durante décadas, como la inyección SQL) para darse cuenta de que debemos intentar una manera diferente.
Necesitamos una formación que vaya más allá de los límites de un curso único y lineal, que pueda flexibilizarse y adaptarse a las necesidades siempre cambiantes de las mejores prácticas de ciberseguridad.
Entrenamiento dinámico: el estándar de oro
Al ofrecer a los desarrolladores una solución de formación dinámica, que puede adaptarse rápidamente a la empresa, al nivel de habilidad individual y a los movimientos generales de la industria, les está proporcionando la mejor base para codificar de forma segura, manteniendo la seguridad en primer plano y actuando con una mentalidad consciente de la seguridad.
Una formación única, que nunca se revisa y que no es atractiva en primer lugar, será una completa pérdida de tiempo y, por desgracia, eso significa que podría acabar comprando por impulso un programa ineficaz en aras del cumplimiento. Podría quedar obsoleto antes de que lo ponga en marcha, o apenas se puede relacionar con las necesidades de su trabajo diario.
La formación dinámica es una herramienta viva, que se actualiza constantemente, que se adapta a las necesidades cotidianas, que involucra a los usuarios con el pensamiento crítico y que realmente les permite aprender habilidades y solucionar problemas.
Entonces, ¿cómo es un programa de formación dinámico en un contexto de seguridad?
Lo será:
- En trozos: Los desarrolladores pueden aprender habilidades en trozos manejables que son mucho más fáciles de recordar (y, lo que es más importante, de aplicar) que los largos mazos de formación y los vídeos
- Es relevante: ¿De qué sirve una formación genérica en materia de seguridad en la que los ejemplos están en, por ejemplo, C#, cuando el desarrollador codifica principalmente en Java? Cualquier formación debería aplicarse directamente a su función, permitiéndoles ver lo que deben encontrar y corregir (e, idealmente, evitar en primer lugar) mientras codifican.
- Actual: Esto parece obvio, pero a menudo no lo es. El panorama de la ciberseguridad cambia constantemente, y con más código viene más responsabilidad. Para que los desarrolladores sean su primera línea de defensa, necesitan una formación que se mantenga al día con las mejores prácticas de seguridad modernas.
- Atractivo: No es ningún secreto que los desarrolladores pueden encontrar la "seguridad" como una tarea, especialmente si interfiere con su flujo creativo. La formación adecuada les mostrará el poder que tienen en la resolución de problemas de seguridad cotidianos que pueden convertirse en grandes riesgos, creando una cultura de responsabilidad y conciencia de seguridad.
- Divertido: La formación dinámica rara vez es aburrida; se supone que debe ser al menos algo emocionante por su diseño. Piensa en lo que les gusta a los desarrolladores: resolver problemas, competir con sus compañeros y, como a muchos de nosotros en el trabajo, las recompensas y el reconocimiento. Aproveche sus puntos fuertes y concéntrese en obtener los mejores resultados.
Es un momento emocionante para ser ingeniero de software; desempeñan un papel integral en la innovación digital, ayudan a crear empresas increíbles e incluso toman el mundo por sorpresa con sus propias creaciones. Sin embargo, ahora que los organismos gubernamentales y las grandes empresas son conscientes del papel que deben desempeñar en el establecimiento de normas de seguridad del software, es importante apoyarlos con soluciones de formación eficaces y dinámicas que fomenten el amor por la codificación segura, y no un ejercicio burocrático de marcar casillas.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostraciónDirector General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Da la sensación de que el "cumplimiento de la ciberseguridad" es una tendencia desde hace años, con un sinfín de artículos, iniciativas y comités que debaten sobre la mejor manera de afrontar la enorme bestia de múltiples amenazas que es la ciberdelincuencia.
El problema es que no parece que hayamos avanzado tanto. A nivel mundial, el coste de las filtraciones de datos ha aumentado constantemente, un 12% en cinco años para establecerse en aproximadamente 3,92 millones de dólares por filtración en 2019. A medida que nuestro uso de Internet se disparó en tan solo un par de décadas, muchas empresas simplemente se vieron obligadas a luchar sin armadura mientras se conectaban rápidamente, se establecían y lidiaban con las consecuencias de un software inseguro, recursos limitados de AppSec y, en algunos casos, el abuso de la confianza de los clientes.
Hoy en día, somos irrefutablemente más maduros. Comprendemos y debatimos ampliamente el alcance de la amenaza, las empresas son muy conscientes del impacto que un ciberataque puede tener en la opinión de los clientes, su reputación y sus resultados, y muchos lugares buscan activamente mejorar la seguridad del software a través de la formación en materia de cumplimiento, la contratación de personal cualificado y, cada vez más, las iniciativas de DevSecOps. A pesar de estos enormes saltos, no estamos ganando la lucha, ni siquiera cerca. Se han robado al menos cuatro mil millones de registros en violaciones de datos solo en 2019.
Un ingrediente que faltaba ha sido un goteo algo lento (a nivel gubernamental) sobre las normas de ciberseguridad, las expectativas y las consecuencias de una violación. La llegada del GDPR ha hecho que algunas cabezas empiecen a rodar, al menos en Europa, pero muchos organismos gubernamentales solo se están poniendo al día ahora, y la repentina necesidad de acatar rápidamente las iniciativas de cumplimiento recién florecidas podría tener algunos efectos no deseados en el futuro.
Los tontos se precipitan (a la formación equivocada)
Las sólidas directrices del NIST, la nueva normativa del Estado de Nueva York y la creación del Consejo de Ciberseguridad del Reino Unido han sido victorias monumentales para los que luchan por mantener nuestros datos seguros. Reconocen los problemas en el desarrollo de software actual y toman medidas para orientar a las organizaciones sobre las normas que deben cumplir ahora para ser consideradas éticas y conformes, en términos de mejores prácticas de seguridad.
Lamentablemente, en este momento, algunos de los elementos más importantes están demasiado abiertos a la interpretación. Por ejemplo, uno de los mandatos de la legislación del Consejo de Ciberseguridad del Reino Unido es:
"Crear una lista definida de certificaciones y un marco fácil de entender sobre cómo se relacionan entre sí y qué capacidades transmiten, basándose en el trabajo de itinerarios profesionales ya realizado".
Aunque sus iniciativas sin duda mejorarán y crecerán con el tiempo, si las organizaciones ya están pulsando el botón del pánico y saltando a la formación ahora, podrían encontrarse mal equipadas para el futuro.
Las exigencias de ciberseguridad de una organización cambian rápidamente, y es poco probable que las soluciones de formación estática frenen el flujo de software inseguro al ritmo necesario. El panorama cambia más rápido de lo que un curso tradicional puede actualizar, lo que puede hacer que algunos lugares caigan en la trampa del ejercicio de cumplimiento de "marcar la casilla"; los desarrolladores, contratistas y otros profesionales de la seguridad no reciben la formación adecuada, y volvemos a ser blancos fáciles.
La formación estática y las herramientas estáticas sufren los mismos problemas
Las herramientas de análisis estático son una parte integral del SDLC, haciendo su trabajo como caballos de batalla para los escasos y sobrecargados especialistas de AppSec que se encuentran en la mayoría de las grandes organizaciones. Hacen un buen trabajo, pero hay un defecto: ninguna herramienta puede escanear todas las vulnerabilidades, soportando la enorme gama de marcos de programación existentes. También es un proceso lento, y basta con que un solo fallo de seguridad se cuele entre las grietas para dejar una puerta abierta a un atacante.
En el caso de la formación estática, existe un problema similar. Si los desarrolladores reciben la formación en seguridad como un curso rígido, "de una sola vez", es muy poco probable que se haya mantenido al día con los problemas de seguridad más prevalentes en ese período de tiempo. Sirve como una instantánea del momento en que se escribió, y rara vez se revisa lo suficiente, se imparte en el lenguaje y el marco de trabajo preferidos por el estudiante, ni es contextual a las vulnerabilidades a las que probablemente se enfrenten en su trabajo diario. Imagina que intentas recordar una pieza de información relevante de un vídeo que viste hace meses, mientras intentas cumplir con los plazos de entrega y sacar el código por la puerta... es poco probable que suceda.
Los métodos tradicionales de educación están siendo reevaluados en muchas industrias, pero cuando se trata de la formación en seguridad para desarrolladores, sólo hay que ver el gran volumen de violaciones de datos que todavía experimentamos (especialmente aquellas que pueden ser atribuidas a vulnerabilidades que hemos sabido evitar en la codificación durante décadas, como la inyección SQL) para darse cuenta de que debemos intentar una manera diferente.
Necesitamos una formación que vaya más allá de los límites de un curso único y lineal, que pueda flexibilizarse y adaptarse a las necesidades siempre cambiantes de las mejores prácticas de ciberseguridad.
Entrenamiento dinámico: el estándar de oro
Al ofrecer a los desarrolladores una solución de formación dinámica, que puede adaptarse rápidamente a la empresa, al nivel de habilidad individual y a los movimientos generales de la industria, les está proporcionando la mejor base para codificar de forma segura, manteniendo la seguridad en primer plano y actuando con una mentalidad consciente de la seguridad.
Una formación única, que nunca se revisa y que no es atractiva en primer lugar, será una completa pérdida de tiempo y, por desgracia, eso significa que podría acabar comprando por impulso un programa ineficaz en aras del cumplimiento. Podría quedar obsoleto antes de que lo ponga en marcha, o apenas se puede relacionar con las necesidades de su trabajo diario.
La formación dinámica es una herramienta viva, que se actualiza constantemente, que se adapta a las necesidades cotidianas, que involucra a los usuarios con el pensamiento crítico y que realmente les permite aprender habilidades y solucionar problemas.
Entonces, ¿cómo es un programa de formación dinámico en un contexto de seguridad?
Lo será:
- En trozos: Los desarrolladores pueden aprender habilidades en trozos manejables que son mucho más fáciles de recordar (y, lo que es más importante, de aplicar) que los largos mazos de formación y los vídeos
- Es relevante: ¿De qué sirve una formación genérica en materia de seguridad en la que los ejemplos están en, por ejemplo, C#, cuando el desarrollador codifica principalmente en Java? Cualquier formación debería aplicarse directamente a su función, permitiéndoles ver lo que deben encontrar y corregir (e, idealmente, evitar en primer lugar) mientras codifican.
- Actual: Esto parece obvio, pero a menudo no lo es. El panorama de la ciberseguridad cambia constantemente, y con más código viene más responsabilidad. Para que los desarrolladores sean su primera línea de defensa, necesitan una formación que se mantenga al día con las mejores prácticas de seguridad modernas.
- Atractivo: No es ningún secreto que los desarrolladores pueden encontrar la "seguridad" como una tarea, especialmente si interfiere con su flujo creativo. La formación adecuada les mostrará el poder que tienen en la resolución de problemas de seguridad cotidianos que pueden convertirse en grandes riesgos, creando una cultura de responsabilidad y conciencia de seguridad.
- Divertido: La formación dinámica rara vez es aburrida; se supone que debe ser al menos algo emocionante por su diseño. Piensa en lo que les gusta a los desarrolladores: resolver problemas, competir con sus compañeros y, como a muchos de nosotros en el trabajo, las recompensas y el reconocimiento. Aproveche sus puntos fuertes y concéntrese en obtener los mejores resultados.
Es un momento emocionante para ser ingeniero de software; desempeñan un papel integral en la innovación digital, ayudan a crear empresas increíbles e incluso toman el mundo por sorpresa con sus propias creaciones. Sin embargo, ahora que los organismos gubernamentales y las grandes empresas son conscientes del papel que deben desempeñar en el establecimiento de normas de seguridad del software, es importante apoyarlos con soluciones de formación eficaces y dinámicas que fomenten el amor por la codificación segura, y no un ejercicio burocrático de marcar casillas.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.