El futuro del trabajo es flexible, y es genial para la ciberseguridad
Una versión de este artículo apareció en TFIR.Se ha actualizado y sindicado aquí.
Dicen que el cambio es la única constante en la vida, pero el año 2020 ha supuesto una verdadera prueba para muchos en todo el mundo. La pandemia mundial de COVID-19 nos ha obligado a reflexionar -a un nivel profundo- sobre cómo nos conectamos. El autoaislamiento, el distanciamiento social... estas han sido algunas de las adaptaciones que hemos hecho en el mundo físico, y a pesar de que muchos de nosotros pasamos mucho tiempo en línea, es un escenario bastante diferente no tener otra opción a la hora de comunicarnos y, si es posible, trabajar. Es a la vez una tragedia y un despertar.
Al igual que muchas empresas tecnológicas, el trabajo flexible no es nuevo para nosotros y trabajar desde casa es una de las ventajas del trabajo. Ya en 2009 trabajé a distancia desde Bélgica para empresas de Silicon Valley. La tecnología estaba mucho menos avanzada entonces, pero todavía era posible. Sin embargo, incluso para nosotros ahora, fue un ajuste tener a todos los miembros del equipo trabajando desde casa hasta nuevo aviso. He visto a muchas empresas tomar también esta decisión, incluso a muchas que no estaban tan preparadas como otras para gestionar una plantilla remota.
Ya sea que la incomodidad provenga de las incógnitas de una nueva forma de trabajo, de un poco de desconfianza o tal vez de no "creer" en el trabajo remoto, encuentro que las empresas que se resisten a él tienden a quedarse atrás en términos de atraer a los mejores talentos, mantener el alcance global y, francamente, moverse con los tiempos. Esta crisis actual ha dejado a muchos sin otra opción que encender una fuerza de trabajo remota, ya que la alternativa es un cierre completo de los negocios en medio de un clima económico caótico.
Si hay algo positivo que podemos sacar de esta tragedia, es que la gente habrá visto el beneficio de una fuerza de trabajo digital, y la miríada de formas en que un equipo puede conectarse a pesar de no estar físicamente juntos. Y el sector de la ciberseguridad es uno de los que realmente puede prosperar con un enfoque de trabajo en cualquier lugar y siempre conectado.
Los atacantes no se encerraron, sino que están muy activos y se aprovechan de esta crisis, aprovechando el pánico y la incertidumbre mundial para llevar a cabo ciberataques contra instalaciones médicas. En una situación como la actual, no es descabellado ver un aumento de los ciberataques, especialmente del ransomware. Al fin y al cabo, se está robando para sobrevivir en tiempos de precariedad económica. Esto no hace que esté bien, y el hecho es que podemos seguir trabajando, formándonos y luchando contra los ciberataques en cualquier lugar donde haya una conexión a Internet.
El futuro es flexible, y así es como nosotros -y la industria de la ciberseguridad en su conjunto- podemos hacerlo funcionar ahora y en el futuro:
Los productos "Access-anywhere" son universales y valiosos
Antes de cualquier tipo de situación de cuarentena forzosa, los equipos globales aún tenían que encontrar una forma de colaborar cuando era necesario. Las teleconferencias asequibles debutaron el mismo año que los Rolling Stones (1964), y no cabe duda de que aquellos primeros usuarios tenían los mismos problemas de "¿estás ahí? "no, sigue tú" que hoy en día, aunque podamos vernos en vídeo).
En 2020, la tecnología de las comunicaciones digitales es una parte enorme del sector de las TIC, que mueve miles de millones de dólares, con plataformas nativas en la nube, móviles y sociales que dominan y sustituyen a la tecnología heredada. Innovaciones como Slack, Zoom y Discord nos mantienen más conectados que nunca, especialmente en el trabajo. Y la comunicación es solo un aspecto de la historia.
Los servicios digitales accesibles en cualquier lugar con una conexión a Internet, a la carta, que satisfacen una necesidad básica -ya sea una conexión, un entretenimiento, una productividad- forman parte de nuestro futuro flexible. Como clientes, buscamos la hiperpersonalización y, como empresa, buscamos ofrecer una experiencia digital personal con la misma calidad sin concesiones, independientemente del lugar desde el que se acceda.
En todos los sectores, todos los días, se crean aplicaciones basadas en la web para agilizar los procesos, revolucionar las formas de vida y de trabajo existentes y resolver problemas que quizá no nos habíamos dado cuenta de que teníamos. No estamos ni mucho menos en la cúspide de las herramientas de ciberseguridad y de la formación a la que se puede acceder bajo demanda, de forma atractiva y útil para el usuario, con un beneficio tangible para la empresa.
Los desarrolladores aprecian la flexibilidad en su trabajo diario, y nuestro enfoque en la formación práctica y divertida de codificación segura, así como la integración del flujo de trabajo, se ha elaborado teniendo en cuenta a estos usuarios finales. Las herramientas deben ser fáciles de usar para que no supongan un esfuerzo, y la formación valiosa no se vea como una tarea. Con un campo de juego tan amplio en el sector de la ciberseguridad, ha llegado el momento de innovar en múltiples áreas de ataque y defensa, en las que las metodologías que dan prioridad a la seguridad, como DevSecOps, pueden seguir prosperando aunque todo el mundo esté en casa. Se trata de la colaboración y de un conjunto considerado de herramientas para que cada miembro del equipo haga su trabajo con eficacia, independientemente de su ubicación física.
Entrenamiento cuando más lo necesitas (o cuando quieres cambiar de día)
Una de las ventajas del trabajo flexible es que los desplazamientos a la oficina se eliminan los días en que se realizan tareas desde casa. Para algunos, eso podría suponer unas dos horas de tiempo de calidad y concentrado que se recuperan. En un mundo ideal, todo el personal tendría tiempo en su horario de trabajo normal para aprender y desarrollar sus habilidades, y esto puede ser mucho más fácil en el entorno remoto adecuado. Es beneficioso para sus superestrellas remotas, que pueden sentirse desafiadas y apoyadas por un mayor aprendizaje.
Con un panorama de ciberseguridad que cambia a cada segundo, la formación frecuente es una necesidad para mantenerse al día con las posibles amenazas que podrían afectar a la organización. Y una formación completa y medible que se adapte a las necesidades de la empresa es un gran paso en la dirección correcta. Estos fueron algunos de los factores fundamentales en el diseño de la plataforma Secure Code Warrior ; queríamos una formación a la que se pudiera acceder en cualquier lugar, justo cuando se necesitara, en el lenguaje de desarrollo y el marco de trabajo que eligiera el usuario.
Los desarrolladores tienen una relación tensa con la seguridad y, en muchos sentidos, no se les ha atendido de manera suficientemente específica para que se comprometan adecuadamente con las mejores prácticas de seguridad. La formación bajo demanda y gamificada puede ayudar a ganárselos, independientemente de dónde se encuentren; esto también es imprescindible para garantizar que los equipos y los proveedores deslocalizados muestren también una conciencia de seguridad adecuada, especialmente cuando participan en cualquier tipo de manipulación del software de una organización.
Mantener a su cohorte comprometida y capacitada con una formación que ayudará a la organización (por no hablar de su propia carrera) es un pegamento muy eficaz cuando se trata de retener a sus mejores y más leales talentos... una necesidad absoluta ya que nos enfrentamos a una escasez continua de habilidades de ciberseguridad.
Los trabajadores a distancia pueden estar capacitados, ser productivos y estar seguros
La idea de que para ser productivo hay que estar visible en una oficina de nueve a cinco es una postura bastante anticuada. Y, sin embargo, muchas empresas (incluso algunas de las nuevas y emocionantes) siguen operando con esta noción en mente. Hay un profundo sentimiento de desconfianza en su propia plantilla, como si la mera sugerencia de trabajar desde casa les hiciera imaginarse a sus equipos jugando en ropa interior en lugar de haciendo su trabajo.
O eso o simplemente no han dado el paso de trabajar a distancia de forma viable.
Naturalmente, los miembros del equipo tienen que demostrar que pueden mantener la productividad en casa mostrando el rendimiento, sin embargo, usted tiene que dar a su cohorte la mejor oportunidad de tener éxito fuera de la oficina. Pregúntese:
- ¿Disponen de un hardware adecuado?
- ¿Has puesto en práctica alguna de esas increíbles herramientas de comunicación de las que hemos hablado antes?
- ¿Te has asegurado de que todos los directores se registren y estén presentes digitalmente con su equipo, con reuniones periódicas?
- ¿Ha pensado en herramientas de productividad para hacer un seguimiento de los proyectos y ayudar a dar a cada miembro del equipo dirección, fijación de objetivos y una sensación de logro a medida que completan las tareas?
En el clima actual, muchas empresas se enfrentaron a la decisión de pasar a trabajar a distancia o cerrar por completo. Es posible que algunas empresas que optaron por pasar a una plantilla remota no estuvieran tan preparadas, y es posible que haya que limar algunas asperezas... pero el problema es que estas empresas probablemente también se están exponiendo a algunos riesgos de seguridad.
Evitar los errores de seguridad en los entornos de trabajo a distancia
Hay que tener en cuenta varios vectores de amenaza, ya que es probable que el personal esté en su propia red, y puede estar utilizando una serie de dispositivos para acceder a las cuentas de la empresa, cada uno con sus propias necesidades de seguridad que pueden o no estar en vigor.
En situaciones de trabajo remoto, todo el mundo tiende a recibir un aumento del correo electrónico, además de tener que resolver varios inicios de sesión, sistemas y configuraciones. Es demasiado fácil que los ataques de ingeniería social y el malware se cuelen en un montón de dispositivos fuera del alcance de la seguridad interna. Esto no es una razón para abandonar el trabajo remoto, es una oportunidad de oro para aprender sobre la marcha y hacerlo lo más robusto posible para el futuro. Y en las organizaciones centradas en la seguridad, bueno, es una buena oportunidad para auditar los procesos y "comerse su propia comida de perro" en lo que respecta a las mejores prácticas de seguridad para todos.
Hablando de meteduras de pata, también es importante evaluar tu espacio de trabajo a distancia en busca de posibles amenazas... sobre todo para tu orgullo, como esta pobre pareja. Moraleja: asegúrate de que todo el mundo lleva pantalones si estás en una videollamada.
Los ciberataques no se detienen sólo porque estemos en crisis
Es profundamente perturbador ver los efectos del COVID-19 en todo el mundo, y ahora más que nunca es el momento de unirse y considerar a otras personas en esta crisis sanitaria mundial. La cuestión es que los atacantes se están aprovechando activamente de este miedo y pandemónium generalizados, quizás por la desesperación de poner comida en la mesa. Nosotros, como sociedad, somos increíblemente vulnerables en este momento.
Las instituciones sanitarias, incluido un centro de pruebas de vacunas, han sido golpeadas con ransomware y ataques DDoS, por no hablar de los que intentan aprovecharse de organizaciones financieras y gubernamentales distraídas y con exceso de trabajo lanzando campañas de phishing y malware contra ellas. Otra amenaza inminente rodea a la propia vacuna; se ha informado de que la administración Trump había ofrecido a una empresa alemana grandes sumas de dinero para desarrollar una vacuna COVID-19 para uso exclusivo de Estados Unidos. Los datos de la vacuna son posiblemente la información más valiosa de la Tierra en la actualidad, lo que supondría una recompensa muy atractiva para un atacante.
Esto es un recordatorio demasiado oportuno de que mientras nos autoaislamos de la amenaza muy real de un virus físico, nuestro latido digital también está bajo ataque. La concienciación en materia de seguridad es de suma importancia en todas las organizaciones, y debe impartirse una formación adecuada a todos los niveles; incluso son útiles medidas como imponer el uso de herramientas de gestión de contraseñas y aprender a detectar un correo electrónico de phishing.
Y cuando se trata de desarrolladores, ellos son la primera línea de defensa para asegurar el código producido activamente dentro de la empresa, y pueden ser un activo valioso con su equipo de AppSec para evitar más dolor de un ciberataque cerrando las puertas traseras creadas por las vulnerabilidades comunes.
Las empresas que innovan digitalmente pueden capear las grandes tormentas
Un subproducto muy desafortunado del cierre masivo ha sido la recesión económica, que ha obligado a muchas personas a dejar de trabajar en los sectores más afectados. Todo esto se ha agravado de forma bastante repentina, y es una experiencia que muchos de nosotros probablemente no hemos vivido en nuestra vida.
Aunque no todos los negocios nativos digitales son automáticamente capaces de superar la recesión (ni mucho menos), por su naturaleza, las empresas que se dedican a lo digital son mucho más ágiles, adaptables y sostenibles cuando se dan las circunstancias más inesperadas.
Nuestra empresa puede funcionar de manera eficiente y eficaz con una fuerza de trabajo remota, y esto es una capa adicional de protección para nuestro valioso equipo y los clientes a los que apoyan también. Consideramos que la formación en código seguro y viable es una parte esencial de las empresas modernas, y si nos eligen, podemos cumplir y pivotar según sea necesario. Muchas empresas, por la naturaleza de los productos o servicios que venden, no pueden permitirse el mismo lujo, pero puede ser una sorpresa positiva para ellas investigar dónde se pueden digitalizar los procesos, prepararlos para el futuro y hacerlos tan a la carta como sea posible incluso en los espacios más tradicionales.
Encontrar nuevas formas de conectar es un reto positivo, no un obstáculo
Es un poco dramático, pero me recuerda a la famosa cita de Parque Jurásico en la que el Dr. Ian Malcolm dice: "la vida encuentra un camino". Realmente lo hace, y eso ha sido muy evidente en el cambio de toda nuestra empresa al trabajo a distancia. Equipos que antes no interactuaban mucho están descubriendo intereses comunes en charlas en el refrigerador, juegos de oficina en línea y una lista de reproducción global de Spotify en la oficina. Siempre hay una forma de forjar una relación significativa, y mi consejo es dejar que los equipos exploren y crezcan con ella de forma orgánica.
Para nuestros clientes, ha sido increíble ver que su compromiso con el perfeccionamiento de las habilidades de codificación segura entre los desarrolladores ha trascendido cualquier contratiempo del trabajo remoto. Han utilizado nuestra función tournaments y, aunque normalmente se realizan en persona con un poco de fanfarria, sus versiones virtuales han impulsado un compromiso saludable, una competencia amistosa y una excelente distracción (productiva) de las actividades cotidianas que normalmente se realizan en solitario. Al igual que los videojuegos son ahora un acontecimiento mucho más social que antes, este tipo de formación en el puesto de trabajo impulsa la conexión no sólo con el material del curso, sino con los demás. Y está disponible para cualquiera, en cualquier lugar. Como friki de la seguridad, no puedo dejar de ser parcial, pero este es un momento tan bueno como cualquier otro para ayudar a fomentar el amor por la codificación segura entre los desarrolladores. Todos ellos son superhéroes de la seguridad en espera, y es el momento de reforzar sus líneas de frente de la manera más divertida posible.
Ya sea que la incomodidad provenga de las incógnitas de una nueva forma de trabajo, de un poco de desconfianza o tal vez de no creer en el trabajo a distancia, me parece que las empresas que se resisten a él tienden a quedarse atrás en términos de atraer a los mejores talentos, mantener el alcance global y, francamente, avanzar con los tiempos.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónMatias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una versión de este artículo apareció en TFIR.Se ha actualizado y sindicado aquí.
Dicen que el cambio es la única constante en la vida, pero el año 2020 ha supuesto una verdadera prueba para muchos en todo el mundo. La pandemia mundial de COVID-19 nos ha obligado a reflexionar -a un nivel profundo- sobre cómo nos conectamos. El autoaislamiento, el distanciamiento social... estas han sido algunas de las adaptaciones que hemos hecho en el mundo físico, y a pesar de que muchos de nosotros pasamos mucho tiempo en línea, es un escenario bastante diferente no tener otra opción a la hora de comunicarnos y, si es posible, trabajar. Es a la vez una tragedia y un despertar.
Al igual que muchas empresas tecnológicas, el trabajo flexible no es nuevo para nosotros y trabajar desde casa es una de las ventajas del trabajo. Ya en 2009 trabajé a distancia desde Bélgica para empresas de Silicon Valley. La tecnología estaba mucho menos avanzada entonces, pero todavía era posible. Sin embargo, incluso para nosotros ahora, fue un ajuste tener a todos los miembros del equipo trabajando desde casa hasta nuevo aviso. He visto a muchas empresas tomar también esta decisión, incluso a muchas que no estaban tan preparadas como otras para gestionar una plantilla remota.
Ya sea que la incomodidad provenga de las incógnitas de una nueva forma de trabajo, de un poco de desconfianza o tal vez de no "creer" en el trabajo remoto, encuentro que las empresas que se resisten a él tienden a quedarse atrás en términos de atraer a los mejores talentos, mantener el alcance global y, francamente, moverse con los tiempos. Esta crisis actual ha dejado a muchos sin otra opción que encender una fuerza de trabajo remota, ya que la alternativa es un cierre completo de los negocios en medio de un clima económico caótico.
Si hay algo positivo que podemos sacar de esta tragedia, es que la gente habrá visto el beneficio de una fuerza de trabajo digital, y la miríada de formas en que un equipo puede conectarse a pesar de no estar físicamente juntos. Y el sector de la ciberseguridad es uno de los que realmente puede prosperar con un enfoque de trabajo en cualquier lugar y siempre conectado.
Los atacantes no se encerraron, sino que están muy activos y se aprovechan de esta crisis, aprovechando el pánico y la incertidumbre mundial para llevar a cabo ciberataques contra instalaciones médicas. En una situación como la actual, no es descabellado ver un aumento de los ciberataques, especialmente del ransomware. Al fin y al cabo, se está robando para sobrevivir en tiempos de precariedad económica. Esto no hace que esté bien, y el hecho es que podemos seguir trabajando, formándonos y luchando contra los ciberataques en cualquier lugar donde haya una conexión a Internet.
El futuro es flexible, y así es como nosotros -y la industria de la ciberseguridad en su conjunto- podemos hacerlo funcionar ahora y en el futuro:
Los productos "Access-anywhere" son universales y valiosos
Antes de cualquier tipo de situación de cuarentena forzosa, los equipos globales aún tenían que encontrar una forma de colaborar cuando era necesario. Las teleconferencias asequibles debutaron el mismo año que los Rolling Stones (1964), y no cabe duda de que aquellos primeros usuarios tenían los mismos problemas de "¿estás ahí? "no, sigue tú" que hoy en día, aunque podamos vernos en vídeo).
En 2020, la tecnología de las comunicaciones digitales es una parte enorme del sector de las TIC, que mueve miles de millones de dólares, con plataformas nativas en la nube, móviles y sociales que dominan y sustituyen a la tecnología heredada. Innovaciones como Slack, Zoom y Discord nos mantienen más conectados que nunca, especialmente en el trabajo. Y la comunicación es solo un aspecto de la historia.
Los servicios digitales accesibles en cualquier lugar con una conexión a Internet, a la carta, que satisfacen una necesidad básica -ya sea una conexión, un entretenimiento, una productividad- forman parte de nuestro futuro flexible. Como clientes, buscamos la hiperpersonalización y, como empresa, buscamos ofrecer una experiencia digital personal con la misma calidad sin concesiones, independientemente del lugar desde el que se acceda.
En todos los sectores, todos los días, se crean aplicaciones basadas en la web para agilizar los procesos, revolucionar las formas de vida y de trabajo existentes y resolver problemas que quizá no nos habíamos dado cuenta de que teníamos. No estamos ni mucho menos en la cúspide de las herramientas de ciberseguridad y de la formación a la que se puede acceder bajo demanda, de forma atractiva y útil para el usuario, con un beneficio tangible para la empresa.
Los desarrolladores aprecian la flexibilidad en su trabajo diario, y nuestro enfoque en la formación práctica y divertida de codificación segura, así como la integración del flujo de trabajo, se ha elaborado teniendo en cuenta a estos usuarios finales. Las herramientas deben ser fáciles de usar para que no supongan un esfuerzo, y la formación valiosa no se vea como una tarea. Con un campo de juego tan amplio en el sector de la ciberseguridad, ha llegado el momento de innovar en múltiples áreas de ataque y defensa, en las que las metodologías que dan prioridad a la seguridad, como DevSecOps, pueden seguir prosperando aunque todo el mundo esté en casa. Se trata de la colaboración y de un conjunto considerado de herramientas para que cada miembro del equipo haga su trabajo con eficacia, independientemente de su ubicación física.
Entrenamiento cuando más lo necesitas (o cuando quieres cambiar de día)
Una de las ventajas del trabajo flexible es que los desplazamientos a la oficina se eliminan los días en que se realizan tareas desde casa. Para algunos, eso podría suponer unas dos horas de tiempo de calidad y concentrado que se recuperan. En un mundo ideal, todo el personal tendría tiempo en su horario de trabajo normal para aprender y desarrollar sus habilidades, y esto puede ser mucho más fácil en el entorno remoto adecuado. Es beneficioso para sus superestrellas remotas, que pueden sentirse desafiadas y apoyadas por un mayor aprendizaje.
Con un panorama de ciberseguridad que cambia a cada segundo, la formación frecuente es una necesidad para mantenerse al día con las posibles amenazas que podrían afectar a la organización. Y una formación completa y medible que se adapte a las necesidades de la empresa es un gran paso en la dirección correcta. Estos fueron algunos de los factores fundamentales en el diseño de la plataforma Secure Code Warrior ; queríamos una formación a la que se pudiera acceder en cualquier lugar, justo cuando se necesitara, en el lenguaje de desarrollo y el marco de trabajo que eligiera el usuario.
Los desarrolladores tienen una relación tensa con la seguridad y, en muchos sentidos, no se les ha atendido de manera suficientemente específica para que se comprometan adecuadamente con las mejores prácticas de seguridad. La formación bajo demanda y gamificada puede ayudar a ganárselos, independientemente de dónde se encuentren; esto también es imprescindible para garantizar que los equipos y los proveedores deslocalizados muestren también una conciencia de seguridad adecuada, especialmente cuando participan en cualquier tipo de manipulación del software de una organización.
Mantener a su cohorte comprometida y capacitada con una formación que ayudará a la organización (por no hablar de su propia carrera) es un pegamento muy eficaz cuando se trata de retener a sus mejores y más leales talentos... una necesidad absoluta ya que nos enfrentamos a una escasez continua de habilidades de ciberseguridad.
Los trabajadores a distancia pueden estar capacitados, ser productivos y estar seguros
La idea de que para ser productivo hay que estar visible en una oficina de nueve a cinco es una postura bastante anticuada. Y, sin embargo, muchas empresas (incluso algunas de las nuevas y emocionantes) siguen operando con esta noción en mente. Hay un profundo sentimiento de desconfianza en su propia plantilla, como si la mera sugerencia de trabajar desde casa les hiciera imaginarse a sus equipos jugando en ropa interior en lugar de haciendo su trabajo.
O eso o simplemente no han dado el paso de trabajar a distancia de forma viable.
Naturalmente, los miembros del equipo tienen que demostrar que pueden mantener la productividad en casa mostrando el rendimiento, sin embargo, usted tiene que dar a su cohorte la mejor oportunidad de tener éxito fuera de la oficina. Pregúntese:
- ¿Disponen de un hardware adecuado?
- ¿Has puesto en práctica alguna de esas increíbles herramientas de comunicación de las que hemos hablado antes?
- ¿Te has asegurado de que todos los directores se registren y estén presentes digitalmente con su equipo, con reuniones periódicas?
- ¿Ha pensado en herramientas de productividad para hacer un seguimiento de los proyectos y ayudar a dar a cada miembro del equipo dirección, fijación de objetivos y una sensación de logro a medida que completan las tareas?
En el clima actual, muchas empresas se enfrentaron a la decisión de pasar a trabajar a distancia o cerrar por completo. Es posible que algunas empresas que optaron por pasar a una plantilla remota no estuvieran tan preparadas, y es posible que haya que limar algunas asperezas... pero el problema es que estas empresas probablemente también se están exponiendo a algunos riesgos de seguridad.
Evitar los errores de seguridad en los entornos de trabajo a distancia
Hay que tener en cuenta varios vectores de amenaza, ya que es probable que el personal esté en su propia red, y puede estar utilizando una serie de dispositivos para acceder a las cuentas de la empresa, cada uno con sus propias necesidades de seguridad que pueden o no estar en vigor.
En situaciones de trabajo remoto, todo el mundo tiende a recibir un aumento del correo electrónico, además de tener que resolver varios inicios de sesión, sistemas y configuraciones. Es demasiado fácil que los ataques de ingeniería social y el malware se cuelen en un montón de dispositivos fuera del alcance de la seguridad interna. Esto no es una razón para abandonar el trabajo remoto, es una oportunidad de oro para aprender sobre la marcha y hacerlo lo más robusto posible para el futuro. Y en las organizaciones centradas en la seguridad, bueno, es una buena oportunidad para auditar los procesos y "comerse su propia comida de perro" en lo que respecta a las mejores prácticas de seguridad para todos.
Hablando de meteduras de pata, también es importante evaluar tu espacio de trabajo a distancia en busca de posibles amenazas... sobre todo para tu orgullo, como esta pobre pareja. Moraleja: asegúrate de que todo el mundo lleva pantalones si estás en una videollamada.
Los ciberataques no se detienen sólo porque estemos en crisis
Es profundamente perturbador ver los efectos del COVID-19 en todo el mundo, y ahora más que nunca es el momento de unirse y considerar a otras personas en esta crisis sanitaria mundial. La cuestión es que los atacantes se están aprovechando activamente de este miedo y pandemónium generalizados, quizás por la desesperación de poner comida en la mesa. Nosotros, como sociedad, somos increíblemente vulnerables en este momento.
Las instituciones sanitarias, incluido un centro de pruebas de vacunas, han sido golpeadas con ransomware y ataques DDoS, por no hablar de los que intentan aprovecharse de organizaciones financieras y gubernamentales distraídas y con exceso de trabajo lanzando campañas de phishing y malware contra ellas. Otra amenaza inminente rodea a la propia vacuna; se ha informado de que la administración Trump había ofrecido a una empresa alemana grandes sumas de dinero para desarrollar una vacuna COVID-19 para uso exclusivo de Estados Unidos. Los datos de la vacuna son posiblemente la información más valiosa de la Tierra en la actualidad, lo que supondría una recompensa muy atractiva para un atacante.
Esto es un recordatorio demasiado oportuno de que mientras nos autoaislamos de la amenaza muy real de un virus físico, nuestro latido digital también está bajo ataque. La concienciación en materia de seguridad es de suma importancia en todas las organizaciones, y debe impartirse una formación adecuada a todos los niveles; incluso son útiles medidas como imponer el uso de herramientas de gestión de contraseñas y aprender a detectar un correo electrónico de phishing.
Y cuando se trata de desarrolladores, ellos son la primera línea de defensa para asegurar el código producido activamente dentro de la empresa, y pueden ser un activo valioso con su equipo de AppSec para evitar más dolor de un ciberataque cerrando las puertas traseras creadas por las vulnerabilidades comunes.
Las empresas que innovan digitalmente pueden capear las grandes tormentas
Un subproducto muy desafortunado del cierre masivo ha sido la recesión económica, que ha obligado a muchas personas a dejar de trabajar en los sectores más afectados. Todo esto se ha agravado de forma bastante repentina, y es una experiencia que muchos de nosotros probablemente no hemos vivido en nuestra vida.
Aunque no todos los negocios nativos digitales son automáticamente capaces de superar la recesión (ni mucho menos), por su naturaleza, las empresas que se dedican a lo digital son mucho más ágiles, adaptables y sostenibles cuando se dan las circunstancias más inesperadas.
Nuestra empresa puede funcionar de manera eficiente y eficaz con una fuerza de trabajo remota, y esto es una capa adicional de protección para nuestro valioso equipo y los clientes a los que apoyan también. Consideramos que la formación en código seguro y viable es una parte esencial de las empresas modernas, y si nos eligen, podemos cumplir y pivotar según sea necesario. Muchas empresas, por la naturaleza de los productos o servicios que venden, no pueden permitirse el mismo lujo, pero puede ser una sorpresa positiva para ellas investigar dónde se pueden digitalizar los procesos, prepararlos para el futuro y hacerlos tan a la carta como sea posible incluso en los espacios más tradicionales.
Encontrar nuevas formas de conectar es un reto positivo, no un obstáculo
Es un poco dramático, pero me recuerda a la famosa cita de Parque Jurásico en la que el Dr. Ian Malcolm dice: "la vida encuentra un camino". Realmente lo hace, y eso ha sido muy evidente en el cambio de toda nuestra empresa al trabajo a distancia. Equipos que antes no interactuaban mucho están descubriendo intereses comunes en charlas en el refrigerador, juegos de oficina en línea y una lista de reproducción global de Spotify en la oficina. Siempre hay una forma de forjar una relación significativa, y mi consejo es dejar que los equipos exploren y crezcan con ella de forma orgánica.
Para nuestros clientes, ha sido increíble ver que su compromiso con el perfeccionamiento de las habilidades de codificación segura entre los desarrolladores ha trascendido cualquier contratiempo del trabajo remoto. Han utilizado nuestra función tournaments y, aunque normalmente se realizan en persona con un poco de fanfarria, sus versiones virtuales han impulsado un compromiso saludable, una competencia amistosa y una excelente distracción (productiva) de las actividades cotidianas que normalmente se realizan en solitario. Al igual que los videojuegos son ahora un acontecimiento mucho más social que antes, este tipo de formación en el puesto de trabajo impulsa la conexión no sólo con el material del curso, sino con los demás. Y está disponible para cualquiera, en cualquier lugar. Como friki de la seguridad, no puedo dejar de ser parcial, pero este es un momento tan bueno como cualquier otro para ayudar a fomentar el amor por la codificación segura entre los desarrolladores. Todos ellos son superhéroes de la seguridad en espera, y es el momento de reforzar sus líneas de frente de la manera más divertida posible.
Una versión de este artículo apareció en TFIR.Se ha actualizado y sindicado aquí.
Dicen que el cambio es la única constante en la vida, pero el año 2020 ha supuesto una verdadera prueba para muchos en todo el mundo. La pandemia mundial de COVID-19 nos ha obligado a reflexionar -a un nivel profundo- sobre cómo nos conectamos. El autoaislamiento, el distanciamiento social... estas han sido algunas de las adaptaciones que hemos hecho en el mundo físico, y a pesar de que muchos de nosotros pasamos mucho tiempo en línea, es un escenario bastante diferente no tener otra opción a la hora de comunicarnos y, si es posible, trabajar. Es a la vez una tragedia y un despertar.
Al igual que muchas empresas tecnológicas, el trabajo flexible no es nuevo para nosotros y trabajar desde casa es una de las ventajas del trabajo. Ya en 2009 trabajé a distancia desde Bélgica para empresas de Silicon Valley. La tecnología estaba mucho menos avanzada entonces, pero todavía era posible. Sin embargo, incluso para nosotros ahora, fue un ajuste tener a todos los miembros del equipo trabajando desde casa hasta nuevo aviso. He visto a muchas empresas tomar también esta decisión, incluso a muchas que no estaban tan preparadas como otras para gestionar una plantilla remota.
Ya sea que la incomodidad provenga de las incógnitas de una nueva forma de trabajo, de un poco de desconfianza o tal vez de no "creer" en el trabajo remoto, encuentro que las empresas que se resisten a él tienden a quedarse atrás en términos de atraer a los mejores talentos, mantener el alcance global y, francamente, moverse con los tiempos. Esta crisis actual ha dejado a muchos sin otra opción que encender una fuerza de trabajo remota, ya que la alternativa es un cierre completo de los negocios en medio de un clima económico caótico.
Si hay algo positivo que podemos sacar de esta tragedia, es que la gente habrá visto el beneficio de una fuerza de trabajo digital, y la miríada de formas en que un equipo puede conectarse a pesar de no estar físicamente juntos. Y el sector de la ciberseguridad es uno de los que realmente puede prosperar con un enfoque de trabajo en cualquier lugar y siempre conectado.
Los atacantes no se encerraron, sino que están muy activos y se aprovechan de esta crisis, aprovechando el pánico y la incertidumbre mundial para llevar a cabo ciberataques contra instalaciones médicas. En una situación como la actual, no es descabellado ver un aumento de los ciberataques, especialmente del ransomware. Al fin y al cabo, se está robando para sobrevivir en tiempos de precariedad económica. Esto no hace que esté bien, y el hecho es que podemos seguir trabajando, formándonos y luchando contra los ciberataques en cualquier lugar donde haya una conexión a Internet.
El futuro es flexible, y así es como nosotros -y la industria de la ciberseguridad en su conjunto- podemos hacerlo funcionar ahora y en el futuro:
Los productos "Access-anywhere" son universales y valiosos
Antes de cualquier tipo de situación de cuarentena forzosa, los equipos globales aún tenían que encontrar una forma de colaborar cuando era necesario. Las teleconferencias asequibles debutaron el mismo año que los Rolling Stones (1964), y no cabe duda de que aquellos primeros usuarios tenían los mismos problemas de "¿estás ahí? "no, sigue tú" que hoy en día, aunque podamos vernos en vídeo).
En 2020, la tecnología de las comunicaciones digitales es una parte enorme del sector de las TIC, que mueve miles de millones de dólares, con plataformas nativas en la nube, móviles y sociales que dominan y sustituyen a la tecnología heredada. Innovaciones como Slack, Zoom y Discord nos mantienen más conectados que nunca, especialmente en el trabajo. Y la comunicación es solo un aspecto de la historia.
Los servicios digitales accesibles en cualquier lugar con una conexión a Internet, a la carta, que satisfacen una necesidad básica -ya sea una conexión, un entretenimiento, una productividad- forman parte de nuestro futuro flexible. Como clientes, buscamos la hiperpersonalización y, como empresa, buscamos ofrecer una experiencia digital personal con la misma calidad sin concesiones, independientemente del lugar desde el que se acceda.
En todos los sectores, todos los días, se crean aplicaciones basadas en la web para agilizar los procesos, revolucionar las formas de vida y de trabajo existentes y resolver problemas que quizá no nos habíamos dado cuenta de que teníamos. No estamos ni mucho menos en la cúspide de las herramientas de ciberseguridad y de la formación a la que se puede acceder bajo demanda, de forma atractiva y útil para el usuario, con un beneficio tangible para la empresa.
Los desarrolladores aprecian la flexibilidad en su trabajo diario, y nuestro enfoque en la formación práctica y divertida de codificación segura, así como la integración del flujo de trabajo, se ha elaborado teniendo en cuenta a estos usuarios finales. Las herramientas deben ser fáciles de usar para que no supongan un esfuerzo, y la formación valiosa no se vea como una tarea. Con un campo de juego tan amplio en el sector de la ciberseguridad, ha llegado el momento de innovar en múltiples áreas de ataque y defensa, en las que las metodologías que dan prioridad a la seguridad, como DevSecOps, pueden seguir prosperando aunque todo el mundo esté en casa. Se trata de la colaboración y de un conjunto considerado de herramientas para que cada miembro del equipo haga su trabajo con eficacia, independientemente de su ubicación física.
Entrenamiento cuando más lo necesitas (o cuando quieres cambiar de día)
Una de las ventajas del trabajo flexible es que los desplazamientos a la oficina se eliminan los días en que se realizan tareas desde casa. Para algunos, eso podría suponer unas dos horas de tiempo de calidad y concentrado que se recuperan. En un mundo ideal, todo el personal tendría tiempo en su horario de trabajo normal para aprender y desarrollar sus habilidades, y esto puede ser mucho más fácil en el entorno remoto adecuado. Es beneficioso para sus superestrellas remotas, que pueden sentirse desafiadas y apoyadas por un mayor aprendizaje.
Con un panorama de ciberseguridad que cambia a cada segundo, la formación frecuente es una necesidad para mantenerse al día con las posibles amenazas que podrían afectar a la organización. Y una formación completa y medible que se adapte a las necesidades de la empresa es un gran paso en la dirección correcta. Estos fueron algunos de los factores fundamentales en el diseño de la plataforma Secure Code Warrior ; queríamos una formación a la que se pudiera acceder en cualquier lugar, justo cuando se necesitara, en el lenguaje de desarrollo y el marco de trabajo que eligiera el usuario.
Los desarrolladores tienen una relación tensa con la seguridad y, en muchos sentidos, no se les ha atendido de manera suficientemente específica para que se comprometan adecuadamente con las mejores prácticas de seguridad. La formación bajo demanda y gamificada puede ayudar a ganárselos, independientemente de dónde se encuentren; esto también es imprescindible para garantizar que los equipos y los proveedores deslocalizados muestren también una conciencia de seguridad adecuada, especialmente cuando participan en cualquier tipo de manipulación del software de una organización.
Mantener a su cohorte comprometida y capacitada con una formación que ayudará a la organización (por no hablar de su propia carrera) es un pegamento muy eficaz cuando se trata de retener a sus mejores y más leales talentos... una necesidad absoluta ya que nos enfrentamos a una escasez continua de habilidades de ciberseguridad.
Los trabajadores a distancia pueden estar capacitados, ser productivos y estar seguros
La idea de que para ser productivo hay que estar visible en una oficina de nueve a cinco es una postura bastante anticuada. Y, sin embargo, muchas empresas (incluso algunas de las nuevas y emocionantes) siguen operando con esta noción en mente. Hay un profundo sentimiento de desconfianza en su propia plantilla, como si la mera sugerencia de trabajar desde casa les hiciera imaginarse a sus equipos jugando en ropa interior en lugar de haciendo su trabajo.
O eso o simplemente no han dado el paso de trabajar a distancia de forma viable.
Naturalmente, los miembros del equipo tienen que demostrar que pueden mantener la productividad en casa mostrando el rendimiento, sin embargo, usted tiene que dar a su cohorte la mejor oportunidad de tener éxito fuera de la oficina. Pregúntese:
- ¿Disponen de un hardware adecuado?
- ¿Has puesto en práctica alguna de esas increíbles herramientas de comunicación de las que hemos hablado antes?
- ¿Te has asegurado de que todos los directores se registren y estén presentes digitalmente con su equipo, con reuniones periódicas?
- ¿Ha pensado en herramientas de productividad para hacer un seguimiento de los proyectos y ayudar a dar a cada miembro del equipo dirección, fijación de objetivos y una sensación de logro a medida que completan las tareas?
En el clima actual, muchas empresas se enfrentaron a la decisión de pasar a trabajar a distancia o cerrar por completo. Es posible que algunas empresas que optaron por pasar a una plantilla remota no estuvieran tan preparadas, y es posible que haya que limar algunas asperezas... pero el problema es que estas empresas probablemente también se están exponiendo a algunos riesgos de seguridad.
Evitar los errores de seguridad en los entornos de trabajo a distancia
Hay que tener en cuenta varios vectores de amenaza, ya que es probable que el personal esté en su propia red, y puede estar utilizando una serie de dispositivos para acceder a las cuentas de la empresa, cada uno con sus propias necesidades de seguridad que pueden o no estar en vigor.
En situaciones de trabajo remoto, todo el mundo tiende a recibir un aumento del correo electrónico, además de tener que resolver varios inicios de sesión, sistemas y configuraciones. Es demasiado fácil que los ataques de ingeniería social y el malware se cuelen en un montón de dispositivos fuera del alcance de la seguridad interna. Esto no es una razón para abandonar el trabajo remoto, es una oportunidad de oro para aprender sobre la marcha y hacerlo lo más robusto posible para el futuro. Y en las organizaciones centradas en la seguridad, bueno, es una buena oportunidad para auditar los procesos y "comerse su propia comida de perro" en lo que respecta a las mejores prácticas de seguridad para todos.
Hablando de meteduras de pata, también es importante evaluar tu espacio de trabajo a distancia en busca de posibles amenazas... sobre todo para tu orgullo, como esta pobre pareja. Moraleja: asegúrate de que todo el mundo lleva pantalones si estás en una videollamada.
Los ciberataques no se detienen sólo porque estemos en crisis
Es profundamente perturbador ver los efectos del COVID-19 en todo el mundo, y ahora más que nunca es el momento de unirse y considerar a otras personas en esta crisis sanitaria mundial. La cuestión es que los atacantes se están aprovechando activamente de este miedo y pandemónium generalizados, quizás por la desesperación de poner comida en la mesa. Nosotros, como sociedad, somos increíblemente vulnerables en este momento.
Las instituciones sanitarias, incluido un centro de pruebas de vacunas, han sido golpeadas con ransomware y ataques DDoS, por no hablar de los que intentan aprovecharse de organizaciones financieras y gubernamentales distraídas y con exceso de trabajo lanzando campañas de phishing y malware contra ellas. Otra amenaza inminente rodea a la propia vacuna; se ha informado de que la administración Trump había ofrecido a una empresa alemana grandes sumas de dinero para desarrollar una vacuna COVID-19 para uso exclusivo de Estados Unidos. Los datos de la vacuna son posiblemente la información más valiosa de la Tierra en la actualidad, lo que supondría una recompensa muy atractiva para un atacante.
Esto es un recordatorio demasiado oportuno de que mientras nos autoaislamos de la amenaza muy real de un virus físico, nuestro latido digital también está bajo ataque. La concienciación en materia de seguridad es de suma importancia en todas las organizaciones, y debe impartirse una formación adecuada a todos los niveles; incluso son útiles medidas como imponer el uso de herramientas de gestión de contraseñas y aprender a detectar un correo electrónico de phishing.
Y cuando se trata de desarrolladores, ellos son la primera línea de defensa para asegurar el código producido activamente dentro de la empresa, y pueden ser un activo valioso con su equipo de AppSec para evitar más dolor de un ciberataque cerrando las puertas traseras creadas por las vulnerabilidades comunes.
Las empresas que innovan digitalmente pueden capear las grandes tormentas
Un subproducto muy desafortunado del cierre masivo ha sido la recesión económica, que ha obligado a muchas personas a dejar de trabajar en los sectores más afectados. Todo esto se ha agravado de forma bastante repentina, y es una experiencia que muchos de nosotros probablemente no hemos vivido en nuestra vida.
Aunque no todos los negocios nativos digitales son automáticamente capaces de superar la recesión (ni mucho menos), por su naturaleza, las empresas que se dedican a lo digital son mucho más ágiles, adaptables y sostenibles cuando se dan las circunstancias más inesperadas.
Nuestra empresa puede funcionar de manera eficiente y eficaz con una fuerza de trabajo remota, y esto es una capa adicional de protección para nuestro valioso equipo y los clientes a los que apoyan también. Consideramos que la formación en código seguro y viable es una parte esencial de las empresas modernas, y si nos eligen, podemos cumplir y pivotar según sea necesario. Muchas empresas, por la naturaleza de los productos o servicios que venden, no pueden permitirse el mismo lujo, pero puede ser una sorpresa positiva para ellas investigar dónde se pueden digitalizar los procesos, prepararlos para el futuro y hacerlos tan a la carta como sea posible incluso en los espacios más tradicionales.
Encontrar nuevas formas de conectar es un reto positivo, no un obstáculo
Es un poco dramático, pero me recuerda a la famosa cita de Parque Jurásico en la que el Dr. Ian Malcolm dice: "la vida encuentra un camino". Realmente lo hace, y eso ha sido muy evidente en el cambio de toda nuestra empresa al trabajo a distancia. Equipos que antes no interactuaban mucho están descubriendo intereses comunes en charlas en el refrigerador, juegos de oficina en línea y una lista de reproducción global de Spotify en la oficina. Siempre hay una forma de forjar una relación significativa, y mi consejo es dejar que los equipos exploren y crezcan con ella de forma orgánica.
Para nuestros clientes, ha sido increíble ver que su compromiso con el perfeccionamiento de las habilidades de codificación segura entre los desarrolladores ha trascendido cualquier contratiempo del trabajo remoto. Han utilizado nuestra función tournaments y, aunque normalmente se realizan en persona con un poco de fanfarria, sus versiones virtuales han impulsado un compromiso saludable, una competencia amistosa y una excelente distracción (productiva) de las actividades cotidianas que normalmente se realizan en solitario. Al igual que los videojuegos son ahora un acontecimiento mucho más social que antes, este tipo de formación en el puesto de trabajo impulsa la conexión no sólo con el material del curso, sino con los demás. Y está disponible para cualquiera, en cualquier lugar. Como friki de la seguridad, no puedo dejar de ser parcial, pero este es un momento tan bueno como cualquier otro para ayudar a fomentar el amor por la codificación segura entre los desarrolladores. Todos ellos son superhéroes de la seguridad en espera, y es el momento de reforzar sus líneas de frente de la manera más divertida posible.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Haga clic en el siguiente enlace y descargue el PDF de esta página.
DescargarSecure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostraciónMatias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una versión de este artículo apareció en TFIR.Se ha actualizado y sindicado aquí.
Dicen que el cambio es la única constante en la vida, pero el año 2020 ha supuesto una verdadera prueba para muchos en todo el mundo. La pandemia mundial de COVID-19 nos ha obligado a reflexionar -a un nivel profundo- sobre cómo nos conectamos. El autoaislamiento, el distanciamiento social... estas han sido algunas de las adaptaciones que hemos hecho en el mundo físico, y a pesar de que muchos de nosotros pasamos mucho tiempo en línea, es un escenario bastante diferente no tener otra opción a la hora de comunicarnos y, si es posible, trabajar. Es a la vez una tragedia y un despertar.
Al igual que muchas empresas tecnológicas, el trabajo flexible no es nuevo para nosotros y trabajar desde casa es una de las ventajas del trabajo. Ya en 2009 trabajé a distancia desde Bélgica para empresas de Silicon Valley. La tecnología estaba mucho menos avanzada entonces, pero todavía era posible. Sin embargo, incluso para nosotros ahora, fue un ajuste tener a todos los miembros del equipo trabajando desde casa hasta nuevo aviso. He visto a muchas empresas tomar también esta decisión, incluso a muchas que no estaban tan preparadas como otras para gestionar una plantilla remota.
Ya sea que la incomodidad provenga de las incógnitas de una nueva forma de trabajo, de un poco de desconfianza o tal vez de no "creer" en el trabajo remoto, encuentro que las empresas que se resisten a él tienden a quedarse atrás en términos de atraer a los mejores talentos, mantener el alcance global y, francamente, moverse con los tiempos. Esta crisis actual ha dejado a muchos sin otra opción que encender una fuerza de trabajo remota, ya que la alternativa es un cierre completo de los negocios en medio de un clima económico caótico.
Si hay algo positivo que podemos sacar de esta tragedia, es que la gente habrá visto el beneficio de una fuerza de trabajo digital, y la miríada de formas en que un equipo puede conectarse a pesar de no estar físicamente juntos. Y el sector de la ciberseguridad es uno de los que realmente puede prosperar con un enfoque de trabajo en cualquier lugar y siempre conectado.
Los atacantes no se encerraron, sino que están muy activos y se aprovechan de esta crisis, aprovechando el pánico y la incertidumbre mundial para llevar a cabo ciberataques contra instalaciones médicas. En una situación como la actual, no es descabellado ver un aumento de los ciberataques, especialmente del ransomware. Al fin y al cabo, se está robando para sobrevivir en tiempos de precariedad económica. Esto no hace que esté bien, y el hecho es que podemos seguir trabajando, formándonos y luchando contra los ciberataques en cualquier lugar donde haya una conexión a Internet.
El futuro es flexible, y así es como nosotros -y la industria de la ciberseguridad en su conjunto- podemos hacerlo funcionar ahora y en el futuro:
Los productos "Access-anywhere" son universales y valiosos
Antes de cualquier tipo de situación de cuarentena forzosa, los equipos globales aún tenían que encontrar una forma de colaborar cuando era necesario. Las teleconferencias asequibles debutaron el mismo año que los Rolling Stones (1964), y no cabe duda de que aquellos primeros usuarios tenían los mismos problemas de "¿estás ahí? "no, sigue tú" que hoy en día, aunque podamos vernos en vídeo).
En 2020, la tecnología de las comunicaciones digitales es una parte enorme del sector de las TIC, que mueve miles de millones de dólares, con plataformas nativas en la nube, móviles y sociales que dominan y sustituyen a la tecnología heredada. Innovaciones como Slack, Zoom y Discord nos mantienen más conectados que nunca, especialmente en el trabajo. Y la comunicación es solo un aspecto de la historia.
Los servicios digitales accesibles en cualquier lugar con una conexión a Internet, a la carta, que satisfacen una necesidad básica -ya sea una conexión, un entretenimiento, una productividad- forman parte de nuestro futuro flexible. Como clientes, buscamos la hiperpersonalización y, como empresa, buscamos ofrecer una experiencia digital personal con la misma calidad sin concesiones, independientemente del lugar desde el que se acceda.
En todos los sectores, todos los días, se crean aplicaciones basadas en la web para agilizar los procesos, revolucionar las formas de vida y de trabajo existentes y resolver problemas que quizá no nos habíamos dado cuenta de que teníamos. No estamos ni mucho menos en la cúspide de las herramientas de ciberseguridad y de la formación a la que se puede acceder bajo demanda, de forma atractiva y útil para el usuario, con un beneficio tangible para la empresa.
Los desarrolladores aprecian la flexibilidad en su trabajo diario, y nuestro enfoque en la formación práctica y divertida de codificación segura, así como la integración del flujo de trabajo, se ha elaborado teniendo en cuenta a estos usuarios finales. Las herramientas deben ser fáciles de usar para que no supongan un esfuerzo, y la formación valiosa no se vea como una tarea. Con un campo de juego tan amplio en el sector de la ciberseguridad, ha llegado el momento de innovar en múltiples áreas de ataque y defensa, en las que las metodologías que dan prioridad a la seguridad, como DevSecOps, pueden seguir prosperando aunque todo el mundo esté en casa. Se trata de la colaboración y de un conjunto considerado de herramientas para que cada miembro del equipo haga su trabajo con eficacia, independientemente de su ubicación física.
Entrenamiento cuando más lo necesitas (o cuando quieres cambiar de día)
Una de las ventajas del trabajo flexible es que los desplazamientos a la oficina se eliminan los días en que se realizan tareas desde casa. Para algunos, eso podría suponer unas dos horas de tiempo de calidad y concentrado que se recuperan. En un mundo ideal, todo el personal tendría tiempo en su horario de trabajo normal para aprender y desarrollar sus habilidades, y esto puede ser mucho más fácil en el entorno remoto adecuado. Es beneficioso para sus superestrellas remotas, que pueden sentirse desafiadas y apoyadas por un mayor aprendizaje.
Con un panorama de ciberseguridad que cambia a cada segundo, la formación frecuente es una necesidad para mantenerse al día con las posibles amenazas que podrían afectar a la organización. Y una formación completa y medible que se adapte a las necesidades de la empresa es un gran paso en la dirección correcta. Estos fueron algunos de los factores fundamentales en el diseño de la plataforma Secure Code Warrior ; queríamos una formación a la que se pudiera acceder en cualquier lugar, justo cuando se necesitara, en el lenguaje de desarrollo y el marco de trabajo que eligiera el usuario.
Los desarrolladores tienen una relación tensa con la seguridad y, en muchos sentidos, no se les ha atendido de manera suficientemente específica para que se comprometan adecuadamente con las mejores prácticas de seguridad. La formación bajo demanda y gamificada puede ayudar a ganárselos, independientemente de dónde se encuentren; esto también es imprescindible para garantizar que los equipos y los proveedores deslocalizados muestren también una conciencia de seguridad adecuada, especialmente cuando participan en cualquier tipo de manipulación del software de una organización.
Mantener a su cohorte comprometida y capacitada con una formación que ayudará a la organización (por no hablar de su propia carrera) es un pegamento muy eficaz cuando se trata de retener a sus mejores y más leales talentos... una necesidad absoluta ya que nos enfrentamos a una escasez continua de habilidades de ciberseguridad.
Los trabajadores a distancia pueden estar capacitados, ser productivos y estar seguros
La idea de que para ser productivo hay que estar visible en una oficina de nueve a cinco es una postura bastante anticuada. Y, sin embargo, muchas empresas (incluso algunas de las nuevas y emocionantes) siguen operando con esta noción en mente. Hay un profundo sentimiento de desconfianza en su propia plantilla, como si la mera sugerencia de trabajar desde casa les hiciera imaginarse a sus equipos jugando en ropa interior en lugar de haciendo su trabajo.
O eso o simplemente no han dado el paso de trabajar a distancia de forma viable.
Naturalmente, los miembros del equipo tienen que demostrar que pueden mantener la productividad en casa mostrando el rendimiento, sin embargo, usted tiene que dar a su cohorte la mejor oportunidad de tener éxito fuera de la oficina. Pregúntese:
- ¿Disponen de un hardware adecuado?
- ¿Has puesto en práctica alguna de esas increíbles herramientas de comunicación de las que hemos hablado antes?
- ¿Te has asegurado de que todos los directores se registren y estén presentes digitalmente con su equipo, con reuniones periódicas?
- ¿Ha pensado en herramientas de productividad para hacer un seguimiento de los proyectos y ayudar a dar a cada miembro del equipo dirección, fijación de objetivos y una sensación de logro a medida que completan las tareas?
En el clima actual, muchas empresas se enfrentaron a la decisión de pasar a trabajar a distancia o cerrar por completo. Es posible que algunas empresas que optaron por pasar a una plantilla remota no estuvieran tan preparadas, y es posible que haya que limar algunas asperezas... pero el problema es que estas empresas probablemente también se están exponiendo a algunos riesgos de seguridad.
Evitar los errores de seguridad en los entornos de trabajo a distancia
Hay que tener en cuenta varios vectores de amenaza, ya que es probable que el personal esté en su propia red, y puede estar utilizando una serie de dispositivos para acceder a las cuentas de la empresa, cada uno con sus propias necesidades de seguridad que pueden o no estar en vigor.
En situaciones de trabajo remoto, todo el mundo tiende a recibir un aumento del correo electrónico, además de tener que resolver varios inicios de sesión, sistemas y configuraciones. Es demasiado fácil que los ataques de ingeniería social y el malware se cuelen en un montón de dispositivos fuera del alcance de la seguridad interna. Esto no es una razón para abandonar el trabajo remoto, es una oportunidad de oro para aprender sobre la marcha y hacerlo lo más robusto posible para el futuro. Y en las organizaciones centradas en la seguridad, bueno, es una buena oportunidad para auditar los procesos y "comerse su propia comida de perro" en lo que respecta a las mejores prácticas de seguridad para todos.
Hablando de meteduras de pata, también es importante evaluar tu espacio de trabajo a distancia en busca de posibles amenazas... sobre todo para tu orgullo, como esta pobre pareja. Moraleja: asegúrate de que todo el mundo lleva pantalones si estás en una videollamada.
Los ciberataques no se detienen sólo porque estemos en crisis
Es profundamente perturbador ver los efectos del COVID-19 en todo el mundo, y ahora más que nunca es el momento de unirse y considerar a otras personas en esta crisis sanitaria mundial. La cuestión es que los atacantes se están aprovechando activamente de este miedo y pandemónium generalizados, quizás por la desesperación de poner comida en la mesa. Nosotros, como sociedad, somos increíblemente vulnerables en este momento.
Las instituciones sanitarias, incluido un centro de pruebas de vacunas, han sido golpeadas con ransomware y ataques DDoS, por no hablar de los que intentan aprovecharse de organizaciones financieras y gubernamentales distraídas y con exceso de trabajo lanzando campañas de phishing y malware contra ellas. Otra amenaza inminente rodea a la propia vacuna; se ha informado de que la administración Trump había ofrecido a una empresa alemana grandes sumas de dinero para desarrollar una vacuna COVID-19 para uso exclusivo de Estados Unidos. Los datos de la vacuna son posiblemente la información más valiosa de la Tierra en la actualidad, lo que supondría una recompensa muy atractiva para un atacante.
Esto es un recordatorio demasiado oportuno de que mientras nos autoaislamos de la amenaza muy real de un virus físico, nuestro latido digital también está bajo ataque. La concienciación en materia de seguridad es de suma importancia en todas las organizaciones, y debe impartirse una formación adecuada a todos los niveles; incluso son útiles medidas como imponer el uso de herramientas de gestión de contraseñas y aprender a detectar un correo electrónico de phishing.
Y cuando se trata de desarrolladores, ellos son la primera línea de defensa para asegurar el código producido activamente dentro de la empresa, y pueden ser un activo valioso con su equipo de AppSec para evitar más dolor de un ciberataque cerrando las puertas traseras creadas por las vulnerabilidades comunes.
Las empresas que innovan digitalmente pueden capear las grandes tormentas
Un subproducto muy desafortunado del cierre masivo ha sido la recesión económica, que ha obligado a muchas personas a dejar de trabajar en los sectores más afectados. Todo esto se ha agravado de forma bastante repentina, y es una experiencia que muchos de nosotros probablemente no hemos vivido en nuestra vida.
Aunque no todos los negocios nativos digitales son automáticamente capaces de superar la recesión (ni mucho menos), por su naturaleza, las empresas que se dedican a lo digital son mucho más ágiles, adaptables y sostenibles cuando se dan las circunstancias más inesperadas.
Nuestra empresa puede funcionar de manera eficiente y eficaz con una fuerza de trabajo remota, y esto es una capa adicional de protección para nuestro valioso equipo y los clientes a los que apoyan también. Consideramos que la formación en código seguro y viable es una parte esencial de las empresas modernas, y si nos eligen, podemos cumplir y pivotar según sea necesario. Muchas empresas, por la naturaleza de los productos o servicios que venden, no pueden permitirse el mismo lujo, pero puede ser una sorpresa positiva para ellas investigar dónde se pueden digitalizar los procesos, prepararlos para el futuro y hacerlos tan a la carta como sea posible incluso en los espacios más tradicionales.
Encontrar nuevas formas de conectar es un reto positivo, no un obstáculo
Es un poco dramático, pero me recuerda a la famosa cita de Parque Jurásico en la que el Dr. Ian Malcolm dice: "la vida encuentra un camino". Realmente lo hace, y eso ha sido muy evidente en el cambio de toda nuestra empresa al trabajo a distancia. Equipos que antes no interactuaban mucho están descubriendo intereses comunes en charlas en el refrigerador, juegos de oficina en línea y una lista de reproducción global de Spotify en la oficina. Siempre hay una forma de forjar una relación significativa, y mi consejo es dejar que los equipos exploren y crezcan con ella de forma orgánica.
Para nuestros clientes, ha sido increíble ver que su compromiso con el perfeccionamiento de las habilidades de codificación segura entre los desarrolladores ha trascendido cualquier contratiempo del trabajo remoto. Han utilizado nuestra función tournaments y, aunque normalmente se realizan en persona con un poco de fanfarria, sus versiones virtuales han impulsado un compromiso saludable, una competencia amistosa y una excelente distracción (productiva) de las actividades cotidianas que normalmente se realizan en solitario. Al igual que los videojuegos son ahora un acontecimiento mucho más social que antes, este tipo de formación en el puesto de trabajo impulsa la conexión no sólo con el material del curso, sino con los demás. Y está disponible para cualquiera, en cualquier lugar. Como friki de la seguridad, no puedo dejar de ser parcial, pero este es un momento tan bueno como cualquier otro para ayudar a fomentar el amor por la codificación segura entre los desarrolladores. Todos ellos son superhéroes de la seguridad en espera, y es el momento de reforzar sus líneas de frente de la manera más divertida posible.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Impulse la seguridad impulsada por los desarrolladores a escala global Tournaments
Nuestra plataforma le permite fomentar una red de ciberseguridad centrada en la comunidad con atractivos concursos de codificación y tournaments, destacando vulnerabilidades del mundo real y prácticas de codificación seguras.
Trust Agent en acción
SCW Trust Agent le proporciona las herramientas que necesita para entregar código seguro más rápidamente, garantizando que los desarrolladores tengan los conocimientos y las habilidades para implementar las mejores prácticas de seguridad en el lenguaje de programación específico de sus commits de código.
Recursos para empezar
Inmersión profunda: Navegando por la vulnerabilidad crítica CUPS en sistemas GNU-Linux
Descubra los últimos retos de seguridad a los que se enfrentan los usuarios de Linux mientras exploramos las recientes vulnerabilidades de alta gravedad en el Sistema de Impresión UNIX Común (CUPS). Aprenda cómo estos problemas pueden conducir a una potencial ejecución remota de código (RCE) y lo que puede hacer para proteger sus sistemas.
Inmersión profunda: Navegando por la vulnerabilidad crítica CUPS en sistemas GNU-Linux
Descubra los últimos retos de seguridad a los que se enfrentan los usuarios de Linux mientras exploramos las recientes vulnerabilidades de alta gravedad en el Sistema de Impresión UNIX Común (CUPS). Aprenda cómo estos problemas pueden conducir a una potencial ejecución remota de código (RCE) y lo que puede hacer para proteger sus sistemas.
Los programadores conquistan la seguridad: Compartir y aprender - Cross-Site Scripting (XSS)
El cross-site scripting (XSS) utiliza la confianza de los navegadores y la ignorancia de los usuarios para robar datos, apoderarse de cuentas y desfigurar sitios web; es una vulnerabilidad que puede ponerse muy fea, muy rápidamente. Echemos un vistazo a cómo funciona el XSS, qué daño puede causar y cómo prevenirlo.