Por qué nunca debemos pasar por alto el factor humano en la ciberseguridad
Por qué nunca debemos pasar por alto el factor humano en la ciberseguridad
Hace poco nos emocionó ver el primer post del Consejo de Tecnología de Forbes escrito por nuestro presidente y director general, Pieter Danhieux. El artículo explicaba que la formación de los desarrolladores para crear un código más seguro es la clave para prevenir los ciberataques y las violaciones de datos. Y no sólo eso, sino que revelaba cómo estos mismos desarrolladores concienciados con la seguridad pueden ayudar a entregar un código mejor y más seguro, más rápido de lo que muchos departamentos de TI creen. La necesidad de este enfoque es ciertamente convincente. Un estudio reciente reveló que en la actualidad se produce un ciberataque cada 39 segundos, y todos hemos visto el trastorno causado por un solo ataque exitoso de ransomware en Colonial Pipeline, que en el esquema más amplio de las cosas no fue tan destructivo como el hackeo de SolarWinds.
Muchas vulnerabilidades comunes siguen existiendo porque nadie se ha molestado en mostrar a los desarrolladores cómo sustituir los malos patrones de codificación por una forma mejor de realizar las mismas funciones, de manera más segura. Y el impacto de arreglar el software en una fase tardía de su desarrollo es extremadamente costoso, tanto en términos de horas invertidas como de retrasos en el despliegue. Corregir el código una vez desplegado, especialmente después de que un atacante haya explotado una vulnerabilidad no descubierta previamente, puede costar a veces millones de dólares. Y eso sin tener en cuenta el daño a la reputación de una empresa tras una brecha importante.
Los desarrolladores formados en seguridad se convierten naturalmente en mejores programadores. Ciertamente, los CISO no deberían dejar de lado sus herramientas de seguridad a corto plazo, pero al liderar un enfoque de seguridad inclusivo y preventivo desde la cima, los CISO pueden aprovechar el mayor recurso de su empresa, el factor humano, especialmente cuando se trata de codificación segura desde el principio del ciclo de vida de desarrollo de software.
Para ello, he aquí las tres principales estrategias de alto nivel que hay que tener en cuenta.
1. Sea proactivo, no reactivo
Las empresas suelen caer en la trampa de ser reactivas, por ejemplo, respondiendo a lo que hace la competencia en lugar de desarrollar y perseguir una visión única. Muchas también caen en este enfoque cuando se trata de vulnerabilidades de seguridad en el código, tomándose en serio la ciberseguridad sólo cuando se ven obligadas a hacerlo como resultado de una brecha exitosa. Desgraciadamente, para entonces el daño ya está hecho, con multas, costes de recuperación, pérdida de clientes y restauración de la marca, todo ello afectando a la cuenta de resultados. Otra forma de reaccionar en lugar de actuar es confiar en el escaneo de código automático o manual para encontrar vulnerabilidades en el código existente en lugar de centrarse en la creación de código seguro en primer lugar. Desgraciadamente, el escaneo de código no es una solución perfecta, lo que significa que cuantas más vulnerabilidades haya en el código, mayor será la posibilidad de que alguna se cuele.
Sólo si se adopta un enfoque proactivo y se trabaja con los desarrolladores para ayudarles a crear un código seguro desde el principio, se puede establecer un ciclo de vida de desarrollo de software que reduzca significativamente la posibilidad de que se liberen vulnerabilidades de codificación para los usuarios.
2. Mejora el nivel de conocimientos, no te excedas
Una vez que decida proporcionar a los desarrolladores los conocimientos que necesitan para crear código seguro, elija bien su enfoque. Los talleres de formación internos que paralizan la codificación frustran tanto a los desarrolladores como a los directivos. Los cursos fuera de la empresa, como courses , que requieren la asistencia por la noche o en fin de semana, son aún menos populares. El mejor enfoque es desarrollar las habilidades de codificación de forma gradual, proporcionando información relevante paso a paso durante el proceso de codificación - esencialmente mejorando las habilidades sin distraer significativamente a los desarrolladores o ralentizar el proceso de desarrollo.
3. Incentivar, no asumir
Los desarrolladores no deben ver la mejora de la seguridad como un castigo o un trabajo totalmente pesado. Los directivos deben inspirar a los desarrolladores comunicándoles el importante papel que desempeña el código seguro en el éxito de la empresa. También es importante transmitir que los programadores seguros son más valiosos para la empresa y disfrutarán de mayores oportunidades profesionales en el futuro.
La Administración Biden ha dado la bienvenida Orden ejecutiva ha intensificado la atención a la ciberseguridad y la necesidad de "incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores, e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras". Pero aunque las herramientas son esenciales, no son suficientes. Ninguna herramienta eliminará por completo la capacidad de un individuo de ignorar, malinterpretar, abusar o sortear de alguna manera los sistemas y herramientas que se han puesto en marcha. Para maximizar la seguridad de sus empresas, los CISO deben aprovechar el factor humano y animar a los desarrolladores a convertirse en defensores y practicantes de la seguridad.
Secure Code Warrior
Secure Code Warrior crea una cultura de desarrolladores orientados a la seguridad, dotándoles de las habilidades necesarias para codificar de forma segura. Nuestro buque insignia es Agile Learning Platform , que ofrece itinerarios basados en habilidades relevantes, prácticas en missions y herramientas contextuales para que los desarrolladores aprendan, desarrollen y apliquen rápidamente sus habilidades para escribir código seguro a gran velocidad.
Artículos relacionados que recomendamos
Artículos relacionados que recomendamos
Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.
Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.
Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores
Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.
Por qué nunca debemos pasar por alto el factor humano en la ciberseguridad
Hace poco nos emocionó ver el primer post del Consejo de Tecnología de Forbes escrito por nuestro presidente y director general, Pieter Danhieux. El artículo explicaba que la formación de los desarrolladores para crear un código más seguro es la clave para prevenir los ciberataques y las violaciones de datos. Y no sólo eso, sino que revelaba cómo estos mismos desarrolladores concienciados con la seguridad pueden ayudar a entregar un código mejor y más seguro, más rápido de lo que muchos departamentos de TI creen. La necesidad de este enfoque es ciertamente convincente. Un estudio reciente reveló que en la actualidad se produce un ciberataque cada 39 segundos, y todos hemos visto el trastorno causado por un solo ataque exitoso de ransomware en Colonial Pipeline, que en el esquema más amplio de las cosas no fue tan destructivo como el hackeo de SolarWinds.
Muchas vulnerabilidades comunes siguen existiendo porque nadie se ha molestado en mostrar a los desarrolladores cómo sustituir los malos patrones de codificación por una forma mejor de realizar las mismas funciones, de manera más segura. Y el impacto de arreglar el software en una fase tardía de su desarrollo es extremadamente costoso, tanto en términos de horas invertidas como de retrasos en el despliegue. Corregir el código una vez desplegado, especialmente después de que un atacante haya explotado una vulnerabilidad no descubierta previamente, puede costar a veces millones de dólares. Y eso sin tener en cuenta el daño a la reputación de una empresa tras una brecha importante.
Los desarrolladores formados en seguridad se convierten naturalmente en mejores programadores. Ciertamente, los CISO no deberían dejar de lado sus herramientas de seguridad a corto plazo, pero al liderar un enfoque de seguridad inclusivo y preventivo desde la cima, los CISO pueden aprovechar el mayor recurso de su empresa, el factor humano, especialmente cuando se trata de codificación segura desde el principio del ciclo de vida de desarrollo de software.
Para ello, he aquí las tres principales estrategias de alto nivel que hay que tener en cuenta.
1. Sea proactivo, no reactivo
Las empresas suelen caer en la trampa de ser reactivas, por ejemplo, respondiendo a lo que hace la competencia en lugar de desarrollar y perseguir una visión única. Muchas también caen en este enfoque cuando se trata de vulnerabilidades de seguridad en el código, tomándose en serio la ciberseguridad sólo cuando se ven obligadas a hacerlo como resultado de una brecha exitosa. Desgraciadamente, para entonces el daño ya está hecho, con multas, costes de recuperación, pérdida de clientes y restauración de la marca, todo ello afectando a la cuenta de resultados. Otra forma de reaccionar en lugar de actuar es confiar en el escaneo de código automático o manual para encontrar vulnerabilidades en el código existente en lugar de centrarse en la creación de código seguro en primer lugar. Desgraciadamente, el escaneo de código no es una solución perfecta, lo que significa que cuantas más vulnerabilidades haya en el código, mayor será la posibilidad de que alguna se cuele.
Sólo si se adopta un enfoque proactivo y se trabaja con los desarrolladores para ayudarles a crear un código seguro desde el principio, se puede establecer un ciclo de vida de desarrollo de software que reduzca significativamente la posibilidad de que se liberen vulnerabilidades de codificación para los usuarios.
2. Mejora el nivel de conocimientos, no te excedas
Una vez que decida proporcionar a los desarrolladores los conocimientos que necesitan para crear código seguro, elija bien su enfoque. Los talleres de formación internos que paralizan la codificación frustran tanto a los desarrolladores como a los directivos. Los cursos fuera de la empresa, como courses , que requieren la asistencia por la noche o en fin de semana, son aún menos populares. El mejor enfoque es desarrollar las habilidades de codificación de forma gradual, proporcionando información relevante paso a paso durante el proceso de codificación - esencialmente mejorando las habilidades sin distraer significativamente a los desarrolladores o ralentizar el proceso de desarrollo.
3. Incentivar, no asumir
Los desarrolladores no deben ver la mejora de la seguridad como un castigo o un trabajo totalmente pesado. Los directivos deben inspirar a los desarrolladores comunicándoles el importante papel que desempeña el código seguro en el éxito de la empresa. También es importante transmitir que los programadores seguros son más valiosos para la empresa y disfrutarán de mayores oportunidades profesionales en el futuro.
La Administración Biden ha dado la bienvenida Orden ejecutiva ha intensificado la atención a la ciberseguridad y la necesidad de "incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores, e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras". Pero aunque las herramientas son esenciales, no son suficientes. Ninguna herramienta eliminará por completo la capacidad de un individuo de ignorar, malinterpretar, abusar o sortear de alguna manera los sistemas y herramientas que se han puesto en marcha. Para maximizar la seguridad de sus empresas, los CISO deben aprovechar el factor humano y animar a los desarrolladores a convertirse en defensores y practicantes de la seguridad.
