El cambio que necesitamos en las tierras baldías de la AppSec: Mis predicciones para 2019
2018 ha sido un año descomunal para los profesionales de la ciberseguridad. A pesar de las advertencias de que hay que tomarse la seguridad más en serio, la prensa constante en torno a la promoción de más talentos en el sector de la seguridad y los intentos generales de hacer que las organizaciones sean más conscientes de la ciberseguridad, nos quedamos mirando los cráteres humeantes que han dejado cientos de ciberataques, que representan violaciones de datos a gran escala y la desconfianza de los consumidores en algunos nombres muy conocidos. Solo en el primer semestre de 2018, 4.500 millones de registros de datos se vieron comprometidos en 945 incidentes distintos.
Lo he dicho antes, muchas veces: podemos hacerlo mejor. Sin embargo, la verdadera batalla a la que nos enfrentamos no es contra los "script kiddies", los peligrosos sindicatos de ciberdelincuentes organizados o las misteriosas figuras vestidas con capucha que teclean en los ordenadores portátiles: la lucha consiste en conseguir que más personas se preocupen por el hecho de que se produzcan estas infracciones.
El cumplimiento del GDPR es un buen comienzo, pero no tendrá un gran efecto a corto plazo.
El Reglamento General de Protección de Datos (RGPD ) de la Unión Europea está en pleno apogeo; una amenaza que se cierne sobre las organizaciones que no se toman en serio la protección de datos. Con la aplicación de enormes multas para quienes no cumplan la normativa, se pretendía que las empresas se sintieran obligadas a reforzar sus prácticas de seguridad, a tratar los datos de los clientes con más respeto y a elaborar una estrategia para mitigar los ciberataques.
Algunas organizaciones han sido advertidas de que se les impondrán enormes multas, pero aún no hemos visto las verdaderas consecuencias del incumplimiento del RGPD. No hay multas que lleven a la quiebra, solo un montón de ventanas emergentes en las que hacer clic para los usuarios de la web. Esto se debe, en parte, a que los procesos legales llevan mucho tiempo, con muchas oportunidades de apelar: cualquier empresa que haya sido puesta como ejemplo probablemente esté inmersa en una batalla legal de meses o años. Como colofón a un año de pesadilla para Facebook, recientemente se informó de otra filtración de datos: un fallo en la API que expuso las fotos privadas de 6,8 millones de usuarios a 1.500 aplicaciones no autorizadas. Se detectó y se corrigió en dos semanas, pero las agencias de protección de datos y el público no se enteraron de la violación hasta meses después. Las leyes del GDPR exigen que se notifique una infracción en un plazo de 72 horas, por lo que se plantean muchas preguntas sobre el grado de influencia y eficacia de estas leyes en la actualidad.
Y, por supuesto, las filtraciones en otros lugares no han cesado: La filtración de noviembre de Marriott reveló que la friolera de 500 millones de registros de datos se vieron comprometidos y, lo que es aún más preocupante, que los atacantes habían accedido a sus sistemas durante cuatro años antes de ser descubiertos. Sin embargo, hay que señalar que Marriott parece estar llevando a cabo una labor de control de daños: ha ofrecido a las víctimas una suscripción gratuita de 12 meses a WebWatcher, una herramienta de monitorización del crédito... pero con 500 millones de registros para que los hackers los escudriñen, queda por ver si un año será suficiente para monitorizar algo significativo para la mayoría; después de todo, pueden pasar algunos años antes de que tus datos salgan a la luz para un uso sin escrúpulos.
A largo plazo , las normativas como el RGPD impulsarán un cambio positivo si se aplican. Cuando las empresas se vean afectadas por una sanción económica importante (o, de hecho, por demandas colectivas de clientes cuyos datos se hayan visto comprometidos) o por un descenso de los beneficios a una escala suficientemente larga, creo que veremos un enfoque frenético en la fortificación de las bases de datos en línea por parte de la mayoría de las empresas.
Las instituciones financieras seguirán liderando el cambio positivo a corto plazo.
No es de extrañar que las instituciones financieras, como guardianes del dinero que tanto cuesta ganar, tengan algunas de las políticas de ciberseguridad más estrictas, así como procesos integrales para reducir sus riesgos.
Un factor importante de este cumplimiento es el Consejo de Normas de Seguridad de la Industria de Tarjeta de Pago (PCI), que sigue comprometido a ayudar a las organizaciones financieras a aplicar una política de seguridad viable y a mantener las directrices en todos los ámbitos. Han sido una fuerza positiva para ayudar a este sector a alcanzar uno de los más altos niveles de seguridad en el software de pago.
Entonces, ¿qué hacen las instituciones financieras de forma diferente a las demás? Según mi experiencia, suelen ser más conscientes de la seguridad y dedican recursos a programas de formación integral no sólo para los profesionales de la seguridad de las aplicaciones y los probadores de acceso, sino también para sus equipos de desarrollo (normalmente muy grandes y dispersos por todo el mundo). Se aseguran de que los responsables de la toma de decisiones de alto nivel comprendan que los procesos de seguridad no son medidas "fijas y olvidadas"; deben evolucionar tan rápidamente como la tecnología utilizada y adaptarse a los riesgos variables.
Un mayor número de organizaciones transformará su canal de seguridad.
En comparación con otras ramas de la TI, AppSec es relativamente joven. Es difícil ser el chico nuevo: es fácil que te malinterpreten y puede que aún no hayas formado las relaciones clave que necesitas. Sin embargo, creo que con cada año que pasa, es más fácil que AppSec encuentre su lugar incluso en las organizaciones más anticuadas que se resisten al cambio.
Se ha hecho más evidente que las empresas no pueden hacer del cumplimiento de la seguridad un paso final y de última hora en sus procesos de software. Debe haber controles y medidas de punto a punto, con más concentración en la agregación de datos y proporcionando más visibilidad a los niveles ejecutivos de la empresa. Sin esto, la seguridad permanecerá fuera de la vista, fuera de la mente para la mayoría. Y en ese escenario, es prácticamente imposible reunir los recursos necesarios para planificar el riesgo.
La buena noticia es que más organizaciones que nunca están detectando sus propios ciberataques y trabajando para solucionarlos. ¿La mala noticia? Ese proceso está durando una media de ochenta y cinco días.
Las herramientas de pruebas de penetración y la revisión manual del código son arduas, costosas y lentas en una época en la que la innovación rápida y la producción de características es una necesidad en el ámbito tecnológico. La concienciación sobre la seguridad debe llevarse a cabo desde el principio: desde el momento en que un desarrollador escribe el código en primer lugar.
Nuestra industria reconocerá el problema principal: necesitamos que la gente se preocupe más.
La cuestión es la siguiente: podría contar, de forma conservadora, veinte personas de mi red que se han alojado en un hotel Marriott en algún momento de los últimos cuatro años. Con 500 millones de registros robados en ese tiempo, es muy probable que sus datos formen parte de ese robo. Todo, desde la información de contacto actual, los números de tarjeta de crédito aún válidos y la información del pasaporte, podría estar a la venta ahora mismo en la web oscura. Sin embargo, su factor de cuidado era básicamente cero.
Y, bueno, es fácil ser complaciente cuando en un robo de datos a tan gran escala, eres esencialmente una aguja en un pajar.
Pero, ¿el verdadero problema? Las empresas que no han mantenido los datos de sus propios clientes a salvo, se enfrentan a muy pocas repercusiones. ¿Su cotización en bolsa se ve afectada inmediatamente después del incidente? Seguro que sí. Target, Equifax y ahora Marriott podrían dar fe de ello. Sin embargo, una visión general de doce meses muestra que la vuelta a la normalidad es bastante rápida. Un par de años después, y financieramente, todo está perdonado.
Hasta que no haya repercusiones serias: multas enormes, regulaciones más estrictas y pérdidas significativas de negocio, AppSec será una industria que deberá luchar constantemente para transmitir la gravedad de los crecientes riesgos cibernéticos a los que se expone una empresa.
Me temo que empeorará mucho antes de mejorar, por lo que es de suma importancia que trabajemos para crear desarrolladores conscientes de la seguridad y culturas de seguridad sólidas en la primera línea de los equipos tecnológicos de una organización. Manténgalo en primer plano y siga esforzándose por alcanzar un mayor nivel de seguridad del software.
La verdadera batalla a la que nos enfrentamos no es contra los "script kiddies", ni contra los peligrosos sindicatos de ciberdelincuentes organizados... es conseguir que más gente se preocupe de que se produzcan violaciones de datos.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDirector General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 ha sido un año descomunal para los profesionales de la ciberseguridad. A pesar de las advertencias de que hay que tomarse la seguridad más en serio, la prensa constante en torno a la promoción de más talentos en el sector de la seguridad y los intentos generales de hacer que las organizaciones sean más conscientes de la ciberseguridad, nos quedamos mirando los cráteres humeantes que han dejado cientos de ciberataques, que representan violaciones de datos a gran escala y la desconfianza de los consumidores en algunos nombres muy conocidos. Solo en el primer semestre de 2018, 4.500 millones de registros de datos se vieron comprometidos en 945 incidentes distintos.
Lo he dicho antes, muchas veces: podemos hacerlo mejor. Sin embargo, la verdadera batalla a la que nos enfrentamos no es contra los "script kiddies", los peligrosos sindicatos de ciberdelincuentes organizados o las misteriosas figuras vestidas con capucha que teclean en los ordenadores portátiles: la lucha consiste en conseguir que más personas se preocupen por el hecho de que se produzcan estas infracciones.
El cumplimiento del GDPR es un buen comienzo, pero no tendrá un gran efecto a corto plazo.
El Reglamento General de Protección de Datos (RGPD ) de la Unión Europea está en pleno apogeo; una amenaza que se cierne sobre las organizaciones que no se toman en serio la protección de datos. Con la aplicación de enormes multas para quienes no cumplan la normativa, se pretendía que las empresas se sintieran obligadas a reforzar sus prácticas de seguridad, a tratar los datos de los clientes con más respeto y a elaborar una estrategia para mitigar los ciberataques.
Algunas organizaciones han sido advertidas de que se les impondrán enormes multas, pero aún no hemos visto las verdaderas consecuencias del incumplimiento del RGPD. No hay multas que lleven a la quiebra, solo un montón de ventanas emergentes en las que hacer clic para los usuarios de la web. Esto se debe, en parte, a que los procesos legales llevan mucho tiempo, con muchas oportunidades de apelar: cualquier empresa que haya sido puesta como ejemplo probablemente esté inmersa en una batalla legal de meses o años. Como colofón a un año de pesadilla para Facebook, recientemente se informó de otra filtración de datos: un fallo en la API que expuso las fotos privadas de 6,8 millones de usuarios a 1.500 aplicaciones no autorizadas. Se detectó y se corrigió en dos semanas, pero las agencias de protección de datos y el público no se enteraron de la violación hasta meses después. Las leyes del GDPR exigen que se notifique una infracción en un plazo de 72 horas, por lo que se plantean muchas preguntas sobre el grado de influencia y eficacia de estas leyes en la actualidad.
Y, por supuesto, las filtraciones en otros lugares no han cesado: La filtración de noviembre de Marriott reveló que la friolera de 500 millones de registros de datos se vieron comprometidos y, lo que es aún más preocupante, que los atacantes habían accedido a sus sistemas durante cuatro años antes de ser descubiertos. Sin embargo, hay que señalar que Marriott parece estar llevando a cabo una labor de control de daños: ha ofrecido a las víctimas una suscripción gratuita de 12 meses a WebWatcher, una herramienta de monitorización del crédito... pero con 500 millones de registros para que los hackers los escudriñen, queda por ver si un año será suficiente para monitorizar algo significativo para la mayoría; después de todo, pueden pasar algunos años antes de que tus datos salgan a la luz para un uso sin escrúpulos.
A largo plazo , las normativas como el RGPD impulsarán un cambio positivo si se aplican. Cuando las empresas se vean afectadas por una sanción económica importante (o, de hecho, por demandas colectivas de clientes cuyos datos se hayan visto comprometidos) o por un descenso de los beneficios a una escala suficientemente larga, creo que veremos un enfoque frenético en la fortificación de las bases de datos en línea por parte de la mayoría de las empresas.
Las instituciones financieras seguirán liderando el cambio positivo a corto plazo.
No es de extrañar que las instituciones financieras, como guardianes del dinero que tanto cuesta ganar, tengan algunas de las políticas de ciberseguridad más estrictas, así como procesos integrales para reducir sus riesgos.
Un factor importante de este cumplimiento es el Consejo de Normas de Seguridad de la Industria de Tarjeta de Pago (PCI), que sigue comprometido a ayudar a las organizaciones financieras a aplicar una política de seguridad viable y a mantener las directrices en todos los ámbitos. Han sido una fuerza positiva para ayudar a este sector a alcanzar uno de los más altos niveles de seguridad en el software de pago.
Entonces, ¿qué hacen las instituciones financieras de forma diferente a las demás? Según mi experiencia, suelen ser más conscientes de la seguridad y dedican recursos a programas de formación integral no sólo para los profesionales de la seguridad de las aplicaciones y los probadores de acceso, sino también para sus equipos de desarrollo (normalmente muy grandes y dispersos por todo el mundo). Se aseguran de que los responsables de la toma de decisiones de alto nivel comprendan que los procesos de seguridad no son medidas "fijas y olvidadas"; deben evolucionar tan rápidamente como la tecnología utilizada y adaptarse a los riesgos variables.
Un mayor número de organizaciones transformará su canal de seguridad.
En comparación con otras ramas de la TI, AppSec es relativamente joven. Es difícil ser el chico nuevo: es fácil que te malinterpreten y puede que aún no hayas formado las relaciones clave que necesitas. Sin embargo, creo que con cada año que pasa, es más fácil que AppSec encuentre su lugar incluso en las organizaciones más anticuadas que se resisten al cambio.
Se ha hecho más evidente que las empresas no pueden hacer del cumplimiento de la seguridad un paso final y de última hora en sus procesos de software. Debe haber controles y medidas de punto a punto, con más concentración en la agregación de datos y proporcionando más visibilidad a los niveles ejecutivos de la empresa. Sin esto, la seguridad permanecerá fuera de la vista, fuera de la mente para la mayoría. Y en ese escenario, es prácticamente imposible reunir los recursos necesarios para planificar el riesgo.
La buena noticia es que más organizaciones que nunca están detectando sus propios ciberataques y trabajando para solucionarlos. ¿La mala noticia? Ese proceso está durando una media de ochenta y cinco días.
Las herramientas de pruebas de penetración y la revisión manual del código son arduas, costosas y lentas en una época en la que la innovación rápida y la producción de características es una necesidad en el ámbito tecnológico. La concienciación sobre la seguridad debe llevarse a cabo desde el principio: desde el momento en que un desarrollador escribe el código en primer lugar.
Nuestra industria reconocerá el problema principal: necesitamos que la gente se preocupe más.
La cuestión es la siguiente: podría contar, de forma conservadora, veinte personas de mi red que se han alojado en un hotel Marriott en algún momento de los últimos cuatro años. Con 500 millones de registros robados en ese tiempo, es muy probable que sus datos formen parte de ese robo. Todo, desde la información de contacto actual, los números de tarjeta de crédito aún válidos y la información del pasaporte, podría estar a la venta ahora mismo en la web oscura. Sin embargo, su factor de cuidado era básicamente cero.
Y, bueno, es fácil ser complaciente cuando en un robo de datos a tan gran escala, eres esencialmente una aguja en un pajar.
Pero, ¿el verdadero problema? Las empresas que no han mantenido los datos de sus propios clientes a salvo, se enfrentan a muy pocas repercusiones. ¿Su cotización en bolsa se ve afectada inmediatamente después del incidente? Seguro que sí. Target, Equifax y ahora Marriott podrían dar fe de ello. Sin embargo, una visión general de doce meses muestra que la vuelta a la normalidad es bastante rápida. Un par de años después, y financieramente, todo está perdonado.
Hasta que no haya repercusiones serias: multas enormes, regulaciones más estrictas y pérdidas significativas de negocio, AppSec será una industria que deberá luchar constantemente para transmitir la gravedad de los crecientes riesgos cibernéticos a los que se expone una empresa.
Me temo que empeorará mucho antes de mejorar, por lo que es de suma importancia que trabajemos para crear desarrolladores conscientes de la seguridad y culturas de seguridad sólidas en la primera línea de los equipos tecnológicos de una organización. Manténgalo en primer plano y siga esforzándose por alcanzar un mayor nivel de seguridad del software.
2018 ha sido un año descomunal para los profesionales de la ciberseguridad. A pesar de las advertencias de que hay que tomarse la seguridad más en serio, la prensa constante en torno a la promoción de más talentos en el sector de la seguridad y los intentos generales de hacer que las organizaciones sean más conscientes de la ciberseguridad, nos quedamos mirando los cráteres humeantes que han dejado cientos de ciberataques, que representan violaciones de datos a gran escala y la desconfianza de los consumidores en algunos nombres muy conocidos. Solo en el primer semestre de 2018, 4.500 millones de registros de datos se vieron comprometidos en 945 incidentes distintos.
Lo he dicho antes, muchas veces: podemos hacerlo mejor. Sin embargo, la verdadera batalla a la que nos enfrentamos no es contra los "script kiddies", los peligrosos sindicatos de ciberdelincuentes organizados o las misteriosas figuras vestidas con capucha que teclean en los ordenadores portátiles: la lucha consiste en conseguir que más personas se preocupen por el hecho de que se produzcan estas infracciones.
El cumplimiento del GDPR es un buen comienzo, pero no tendrá un gran efecto a corto plazo.
El Reglamento General de Protección de Datos (RGPD ) de la Unión Europea está en pleno apogeo; una amenaza que se cierne sobre las organizaciones que no se toman en serio la protección de datos. Con la aplicación de enormes multas para quienes no cumplan la normativa, se pretendía que las empresas se sintieran obligadas a reforzar sus prácticas de seguridad, a tratar los datos de los clientes con más respeto y a elaborar una estrategia para mitigar los ciberataques.
Algunas organizaciones han sido advertidas de que se les impondrán enormes multas, pero aún no hemos visto las verdaderas consecuencias del incumplimiento del RGPD. No hay multas que lleven a la quiebra, solo un montón de ventanas emergentes en las que hacer clic para los usuarios de la web. Esto se debe, en parte, a que los procesos legales llevan mucho tiempo, con muchas oportunidades de apelar: cualquier empresa que haya sido puesta como ejemplo probablemente esté inmersa en una batalla legal de meses o años. Como colofón a un año de pesadilla para Facebook, recientemente se informó de otra filtración de datos: un fallo en la API que expuso las fotos privadas de 6,8 millones de usuarios a 1.500 aplicaciones no autorizadas. Se detectó y se corrigió en dos semanas, pero las agencias de protección de datos y el público no se enteraron de la violación hasta meses después. Las leyes del GDPR exigen que se notifique una infracción en un plazo de 72 horas, por lo que se plantean muchas preguntas sobre el grado de influencia y eficacia de estas leyes en la actualidad.
Y, por supuesto, las filtraciones en otros lugares no han cesado: La filtración de noviembre de Marriott reveló que la friolera de 500 millones de registros de datos se vieron comprometidos y, lo que es aún más preocupante, que los atacantes habían accedido a sus sistemas durante cuatro años antes de ser descubiertos. Sin embargo, hay que señalar que Marriott parece estar llevando a cabo una labor de control de daños: ha ofrecido a las víctimas una suscripción gratuita de 12 meses a WebWatcher, una herramienta de monitorización del crédito... pero con 500 millones de registros para que los hackers los escudriñen, queda por ver si un año será suficiente para monitorizar algo significativo para la mayoría; después de todo, pueden pasar algunos años antes de que tus datos salgan a la luz para un uso sin escrúpulos.
A largo plazo , las normativas como el RGPD impulsarán un cambio positivo si se aplican. Cuando las empresas se vean afectadas por una sanción económica importante (o, de hecho, por demandas colectivas de clientes cuyos datos se hayan visto comprometidos) o por un descenso de los beneficios a una escala suficientemente larga, creo que veremos un enfoque frenético en la fortificación de las bases de datos en línea por parte de la mayoría de las empresas.
Las instituciones financieras seguirán liderando el cambio positivo a corto plazo.
No es de extrañar que las instituciones financieras, como guardianes del dinero que tanto cuesta ganar, tengan algunas de las políticas de ciberseguridad más estrictas, así como procesos integrales para reducir sus riesgos.
Un factor importante de este cumplimiento es el Consejo de Normas de Seguridad de la Industria de Tarjeta de Pago (PCI), que sigue comprometido a ayudar a las organizaciones financieras a aplicar una política de seguridad viable y a mantener las directrices en todos los ámbitos. Han sido una fuerza positiva para ayudar a este sector a alcanzar uno de los más altos niveles de seguridad en el software de pago.
Entonces, ¿qué hacen las instituciones financieras de forma diferente a las demás? Según mi experiencia, suelen ser más conscientes de la seguridad y dedican recursos a programas de formación integral no sólo para los profesionales de la seguridad de las aplicaciones y los probadores de acceso, sino también para sus equipos de desarrollo (normalmente muy grandes y dispersos por todo el mundo). Se aseguran de que los responsables de la toma de decisiones de alto nivel comprendan que los procesos de seguridad no son medidas "fijas y olvidadas"; deben evolucionar tan rápidamente como la tecnología utilizada y adaptarse a los riesgos variables.
Un mayor número de organizaciones transformará su canal de seguridad.
En comparación con otras ramas de la TI, AppSec es relativamente joven. Es difícil ser el chico nuevo: es fácil que te malinterpreten y puede que aún no hayas formado las relaciones clave que necesitas. Sin embargo, creo que con cada año que pasa, es más fácil que AppSec encuentre su lugar incluso en las organizaciones más anticuadas que se resisten al cambio.
Se ha hecho más evidente que las empresas no pueden hacer del cumplimiento de la seguridad un paso final y de última hora en sus procesos de software. Debe haber controles y medidas de punto a punto, con más concentración en la agregación de datos y proporcionando más visibilidad a los niveles ejecutivos de la empresa. Sin esto, la seguridad permanecerá fuera de la vista, fuera de la mente para la mayoría. Y en ese escenario, es prácticamente imposible reunir los recursos necesarios para planificar el riesgo.
La buena noticia es que más organizaciones que nunca están detectando sus propios ciberataques y trabajando para solucionarlos. ¿La mala noticia? Ese proceso está durando una media de ochenta y cinco días.
Las herramientas de pruebas de penetración y la revisión manual del código son arduas, costosas y lentas en una época en la que la innovación rápida y la producción de características es una necesidad en el ámbito tecnológico. La concienciación sobre la seguridad debe llevarse a cabo desde el principio: desde el momento en que un desarrollador escribe el código en primer lugar.
Nuestra industria reconocerá el problema principal: necesitamos que la gente se preocupe más.
La cuestión es la siguiente: podría contar, de forma conservadora, veinte personas de mi red que se han alojado en un hotel Marriott en algún momento de los últimos cuatro años. Con 500 millones de registros robados en ese tiempo, es muy probable que sus datos formen parte de ese robo. Todo, desde la información de contacto actual, los números de tarjeta de crédito aún válidos y la información del pasaporte, podría estar a la venta ahora mismo en la web oscura. Sin embargo, su factor de cuidado era básicamente cero.
Y, bueno, es fácil ser complaciente cuando en un robo de datos a tan gran escala, eres esencialmente una aguja en un pajar.
Pero, ¿el verdadero problema? Las empresas que no han mantenido los datos de sus propios clientes a salvo, se enfrentan a muy pocas repercusiones. ¿Su cotización en bolsa se ve afectada inmediatamente después del incidente? Seguro que sí. Target, Equifax y ahora Marriott podrían dar fe de ello. Sin embargo, una visión general de doce meses muestra que la vuelta a la normalidad es bastante rápida. Un par de años después, y financieramente, todo está perdonado.
Hasta que no haya repercusiones serias: multas enormes, regulaciones más estrictas y pérdidas significativas de negocio, AppSec será una industria que deberá luchar constantemente para transmitir la gravedad de los crecientes riesgos cibernéticos a los que se expone una empresa.
Me temo que empeorará mucho antes de mejorar, por lo que es de suma importancia que trabajemos para crear desarrolladores conscientes de la seguridad y culturas de seguridad sólidas en la primera línea de los equipos tecnológicos de una organización. Manténgalo en primer plano y siga esforzándose por alcanzar un mayor nivel de seguridad del software.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostraciónDirector General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 ha sido un año descomunal para los profesionales de la ciberseguridad. A pesar de las advertencias de que hay que tomarse la seguridad más en serio, la prensa constante en torno a la promoción de más talentos en el sector de la seguridad y los intentos generales de hacer que las organizaciones sean más conscientes de la ciberseguridad, nos quedamos mirando los cráteres humeantes que han dejado cientos de ciberataques, que representan violaciones de datos a gran escala y la desconfianza de los consumidores en algunos nombres muy conocidos. Solo en el primer semestre de 2018, 4.500 millones de registros de datos se vieron comprometidos en 945 incidentes distintos.
Lo he dicho antes, muchas veces: podemos hacerlo mejor. Sin embargo, la verdadera batalla a la que nos enfrentamos no es contra los "script kiddies", los peligrosos sindicatos de ciberdelincuentes organizados o las misteriosas figuras vestidas con capucha que teclean en los ordenadores portátiles: la lucha consiste en conseguir que más personas se preocupen por el hecho de que se produzcan estas infracciones.
El cumplimiento del GDPR es un buen comienzo, pero no tendrá un gran efecto a corto plazo.
El Reglamento General de Protección de Datos (RGPD ) de la Unión Europea está en pleno apogeo; una amenaza que se cierne sobre las organizaciones que no se toman en serio la protección de datos. Con la aplicación de enormes multas para quienes no cumplan la normativa, se pretendía que las empresas se sintieran obligadas a reforzar sus prácticas de seguridad, a tratar los datos de los clientes con más respeto y a elaborar una estrategia para mitigar los ciberataques.
Algunas organizaciones han sido advertidas de que se les impondrán enormes multas, pero aún no hemos visto las verdaderas consecuencias del incumplimiento del RGPD. No hay multas que lleven a la quiebra, solo un montón de ventanas emergentes en las que hacer clic para los usuarios de la web. Esto se debe, en parte, a que los procesos legales llevan mucho tiempo, con muchas oportunidades de apelar: cualquier empresa que haya sido puesta como ejemplo probablemente esté inmersa en una batalla legal de meses o años. Como colofón a un año de pesadilla para Facebook, recientemente se informó de otra filtración de datos: un fallo en la API que expuso las fotos privadas de 6,8 millones de usuarios a 1.500 aplicaciones no autorizadas. Se detectó y se corrigió en dos semanas, pero las agencias de protección de datos y el público no se enteraron de la violación hasta meses después. Las leyes del GDPR exigen que se notifique una infracción en un plazo de 72 horas, por lo que se plantean muchas preguntas sobre el grado de influencia y eficacia de estas leyes en la actualidad.
Y, por supuesto, las filtraciones en otros lugares no han cesado: La filtración de noviembre de Marriott reveló que la friolera de 500 millones de registros de datos se vieron comprometidos y, lo que es aún más preocupante, que los atacantes habían accedido a sus sistemas durante cuatro años antes de ser descubiertos. Sin embargo, hay que señalar que Marriott parece estar llevando a cabo una labor de control de daños: ha ofrecido a las víctimas una suscripción gratuita de 12 meses a WebWatcher, una herramienta de monitorización del crédito... pero con 500 millones de registros para que los hackers los escudriñen, queda por ver si un año será suficiente para monitorizar algo significativo para la mayoría; después de todo, pueden pasar algunos años antes de que tus datos salgan a la luz para un uso sin escrúpulos.
A largo plazo , las normativas como el RGPD impulsarán un cambio positivo si se aplican. Cuando las empresas se vean afectadas por una sanción económica importante (o, de hecho, por demandas colectivas de clientes cuyos datos se hayan visto comprometidos) o por un descenso de los beneficios a una escala suficientemente larga, creo que veremos un enfoque frenético en la fortificación de las bases de datos en línea por parte de la mayoría de las empresas.
Las instituciones financieras seguirán liderando el cambio positivo a corto plazo.
No es de extrañar que las instituciones financieras, como guardianes del dinero que tanto cuesta ganar, tengan algunas de las políticas de ciberseguridad más estrictas, así como procesos integrales para reducir sus riesgos.
Un factor importante de este cumplimiento es el Consejo de Normas de Seguridad de la Industria de Tarjeta de Pago (PCI), que sigue comprometido a ayudar a las organizaciones financieras a aplicar una política de seguridad viable y a mantener las directrices en todos los ámbitos. Han sido una fuerza positiva para ayudar a este sector a alcanzar uno de los más altos niveles de seguridad en el software de pago.
Entonces, ¿qué hacen las instituciones financieras de forma diferente a las demás? Según mi experiencia, suelen ser más conscientes de la seguridad y dedican recursos a programas de formación integral no sólo para los profesionales de la seguridad de las aplicaciones y los probadores de acceso, sino también para sus equipos de desarrollo (normalmente muy grandes y dispersos por todo el mundo). Se aseguran de que los responsables de la toma de decisiones de alto nivel comprendan que los procesos de seguridad no son medidas "fijas y olvidadas"; deben evolucionar tan rápidamente como la tecnología utilizada y adaptarse a los riesgos variables.
Un mayor número de organizaciones transformará su canal de seguridad.
En comparación con otras ramas de la TI, AppSec es relativamente joven. Es difícil ser el chico nuevo: es fácil que te malinterpreten y puede que aún no hayas formado las relaciones clave que necesitas. Sin embargo, creo que con cada año que pasa, es más fácil que AppSec encuentre su lugar incluso en las organizaciones más anticuadas que se resisten al cambio.
Se ha hecho más evidente que las empresas no pueden hacer del cumplimiento de la seguridad un paso final y de última hora en sus procesos de software. Debe haber controles y medidas de punto a punto, con más concentración en la agregación de datos y proporcionando más visibilidad a los niveles ejecutivos de la empresa. Sin esto, la seguridad permanecerá fuera de la vista, fuera de la mente para la mayoría. Y en ese escenario, es prácticamente imposible reunir los recursos necesarios para planificar el riesgo.
La buena noticia es que más organizaciones que nunca están detectando sus propios ciberataques y trabajando para solucionarlos. ¿La mala noticia? Ese proceso está durando una media de ochenta y cinco días.
Las herramientas de pruebas de penetración y la revisión manual del código son arduas, costosas y lentas en una época en la que la innovación rápida y la producción de características es una necesidad en el ámbito tecnológico. La concienciación sobre la seguridad debe llevarse a cabo desde el principio: desde el momento en que un desarrollador escribe el código en primer lugar.
Nuestra industria reconocerá el problema principal: necesitamos que la gente se preocupe más.
La cuestión es la siguiente: podría contar, de forma conservadora, veinte personas de mi red que se han alojado en un hotel Marriott en algún momento de los últimos cuatro años. Con 500 millones de registros robados en ese tiempo, es muy probable que sus datos formen parte de ese robo. Todo, desde la información de contacto actual, los números de tarjeta de crédito aún válidos y la información del pasaporte, podría estar a la venta ahora mismo en la web oscura. Sin embargo, su factor de cuidado era básicamente cero.
Y, bueno, es fácil ser complaciente cuando en un robo de datos a tan gran escala, eres esencialmente una aguja en un pajar.
Pero, ¿el verdadero problema? Las empresas que no han mantenido los datos de sus propios clientes a salvo, se enfrentan a muy pocas repercusiones. ¿Su cotización en bolsa se ve afectada inmediatamente después del incidente? Seguro que sí. Target, Equifax y ahora Marriott podrían dar fe de ello. Sin embargo, una visión general de doce meses muestra que la vuelta a la normalidad es bastante rápida. Un par de años después, y financieramente, todo está perdonado.
Hasta que no haya repercusiones serias: multas enormes, regulaciones más estrictas y pérdidas significativas de negocio, AppSec será una industria que deberá luchar constantemente para transmitir la gravedad de los crecientes riesgos cibernéticos a los que se expone una empresa.
Me temo que empeorará mucho antes de mejorar, por lo que es de suma importancia que trabajemos para crear desarrolladores conscientes de la seguridad y culturas de seguridad sólidas en la primera línea de los equipos tecnológicos de una organización. Manténgalo en primer plano y siga esforzándose por alcanzar un mayor nivel de seguridad del software.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.