El cambio que necesitamos en las tierras baldías de la AppSec: Mis predicciones para 2019

Publicado el 16 de enero de 2019
por Pieter Danhieux
ESTUDIO DE CASO

El cambio que necesitamos en las tierras baldías de la AppSec: Mis predicciones para 2019

Publicado el 16 de enero de 2019
por Pieter Danhieux
Ver recurso
Ver recurso

2018 ha sido un año descomunal para los profesionales de la ciberseguridad. A pesar de las advertencias de que hay que tomarse la seguridad más en serio, la prensa constante en torno a la promoción de más talentos en el sector de la seguridad y los intentos generales de hacer que las organizaciones sean más conscientes de la ciberseguridad, nos quedamos mirando los cráteres humeantes que han dejado cientos de ciberataques, que representan violaciones de datos a gran escala y la desconfianza de los consumidores en algunos nombres muy conocidos. Solo en el primer semestre de 2018, 4.500 millones de registros de datos se vieron comprometidos en 945 incidentes distintos.

Lo he dicho antes, muchas veces: podemos hacerlo mejor. Sin embargo, la verdadera batalla a la que nos enfrentamos no es contra los "script kiddies", los peligrosos sindicatos de ciberdelincuentes organizados o las misteriosas figuras vestidas con capucha que teclean en los ordenadores portátiles: la lucha consiste en conseguir que más personas se preocupen por el hecho de que se produzcan estas infracciones.

El cumplimiento del GDPR es un buen comienzo, pero no tendrá un gran efecto a corto plazo.

El Reglamento General de Protección de Datos (RGPD ) de la Unión Europea está en pleno apogeo; una amenaza que se cierne sobre las organizaciones que no se toman en serio la protección de datos. Con la aplicación de enormes multas para quienes no cumplan la normativa, se pretendía que las empresas se sintieran obligadas a reforzar sus prácticas de seguridad, a tratar los datos de los clientes con más respeto y a elaborar una estrategia para mitigar los ciberataques.

Algunas organizaciones han sido advertidas de que se les impondrán enormes multas, pero aún no hemos visto las verdaderas consecuencias del incumplimiento del RGPD. No hay multas que lleven a la quiebra, solo un montón de ventanas emergentes en las que hacer clic para los usuarios de la web. Esto se debe, en parte, a que los procesos legales llevan mucho tiempo, con muchas oportunidades de apelar: cualquier empresa que haya sido puesta como ejemplo probablemente esté inmersa en una batalla legal de meses o años. Como colofón a un año de pesadilla para Facebook, recientemente se informó de otra filtración de datos: un fallo en la API que expuso las fotos privadas de 6,8 millones de usuarios a 1.500 aplicaciones no autorizadas. Se detectó y se corrigió en dos semanas, pero las agencias de protección de datos y el público no se enteraron de la violación hasta meses después. Las leyes del GDPR exigen que se notifique una infracción en un plazo de 72 horas, por lo que se plantean muchas preguntas sobre el grado de influencia y eficacia de estas leyes en la actualidad.

Y, por supuesto, las filtraciones en otros lugares no han cesado: La filtración de noviembre de Marriott reveló que la friolera de 500 millones de registros de datos se vieron comprometidos y, lo que es aún más preocupante, que los atacantes habían accedido a sus sistemas durante cuatro años antes de ser descubiertos. Sin embargo, hay que señalar que Marriott parece estar llevando a cabo una labor de control de daños: ha ofrecido a las víctimas una suscripción gratuita de 12 meses a WebWatcher, una herramienta de monitorización del crédito... pero con 500 millones de registros para que los hackers los escudriñen, queda por ver si un año será suficiente para monitorizar algo significativo para la mayoría; después de todo, pueden pasar algunos años antes de que tus datos salgan a la luz para un uso sin escrúpulos.

A largo plazo , las normativas como el RGPD impulsarán un cambio positivo si se aplican. Cuando las empresas se vean afectadas por una sanción económica importante (o, de hecho, por demandas colectivas de clientes cuyos datos se hayan visto comprometidos) o por un descenso de los beneficios a una escala suficientemente larga, creo que veremos un enfoque frenético en la fortificación de las bases de datos en línea por parte de la mayoría de las empresas.

Las instituciones financieras seguirán liderando el cambio positivo a corto plazo.

No es de extrañar que las instituciones financieras, como guardianes del dinero que tanto cuesta ganar, tengan algunas de las políticas de ciberseguridad más estrictas, así como procesos integrales para reducir sus riesgos.

Un factor importante de este cumplimiento es el Consejo de Normas de Seguridad de la Industria de Tarjeta de Pago (PCI), que sigue comprometido a ayudar a las organizaciones financieras a aplicar una política de seguridad viable y a mantener las directrices en todos los ámbitos. Han sido una fuerza positiva para ayudar a este sector a alcanzar uno de los más altos niveles de seguridad en el software de pago.

Entonces, ¿qué hacen las instituciones financieras de forma diferente a las demás? Según mi experiencia, suelen ser más conscientes de la seguridad y dedican recursos a programas de formación integral no sólo para los profesionales de la seguridad de las aplicaciones y los probadores de acceso, sino también para sus equipos de desarrollo (normalmente muy grandes y dispersos por todo el mundo). Se aseguran de que los responsables de la toma de decisiones de alto nivel comprendan que los procesos de seguridad no son medidas "fijas y olvidadas"; deben evolucionar tan rápidamente como la tecnología utilizada y adaptarse a los riesgos variables.

Un mayor número de organizaciones transformará su canal de seguridad.

En comparación con otras ramas de la TI, AppSec es relativamente joven. Es difícil ser el chico nuevo: es fácil que te malinterpreten y puede que aún no hayas formado las relaciones clave que necesitas. Sin embargo, creo que con cada año que pasa, es más fácil que AppSec encuentre su lugar incluso en las organizaciones más anticuadas que se resisten al cambio.

Se ha hecho más evidente que las empresas no pueden hacer del cumplimiento de la seguridad un paso final y de última hora en sus procesos de software. Debe haber controles y medidas de punto a punto, con más concentración en la agregación de datos y proporcionando más visibilidad a los niveles ejecutivos de la empresa. Sin esto, la seguridad permanecerá fuera de la vista, fuera de la mente para la mayoría. Y en ese escenario, es prácticamente imposible reunir los recursos necesarios para planificar el riesgo.

La buena noticia es que más organizaciones que nunca están detectando sus propios ciberataques y trabajando para solucionarlos. ¿La mala noticia? Ese proceso está durando una media de ochenta y cinco días.

Las herramientas de pruebas de penetración y la revisión manual del código son arduas, costosas y lentas en una época en la que la innovación rápida y la producción de características es una necesidad en el ámbito tecnológico. La concienciación sobre la seguridad debe llevarse a cabo desde el principio: desde el momento en que un desarrollador escribe el código en primer lugar.

Nuestra industria reconocerá el problema principal: necesitamos que la gente se preocupe más.

La cuestión es la siguiente: podría contar, de forma conservadora, veinte personas de mi red que se han alojado en un hotel Marriott en algún momento de los últimos cuatro años. Con 500 millones de registros robados en ese tiempo, es muy probable que sus datos formen parte de ese robo. Todo, desde la información de contacto actual, los números de tarjeta de crédito aún válidos y la información del pasaporte, podría estar a la venta ahora mismo en la web oscura. Sin embargo, su factor de cuidado era básicamente cero.

Y, bueno, es fácil ser complaciente cuando en un robo de datos a tan gran escala, eres esencialmente una aguja en un pajar.

Pero, ¿el verdadero problema? Las empresas que no han mantenido los datos de sus propios clientes a salvo, se enfrentan a muy pocas repercusiones. ¿Su cotización en bolsa se ve afectada inmediatamente después del incidente? Seguro que sí. Target, Equifax y ahora Marriott podrían dar fe de ello. Sin embargo, una visión general de doce meses muestra que la vuelta a la normalidad es bastante rápida. Un par de años después, y financieramente, todo está perdonado.

Hasta que no haya repercusiones serias: multas enormes, regulaciones más estrictas y pérdidas significativas de negocio, AppSec será una industria que deberá luchar constantemente para transmitir la gravedad de los crecientes riesgos cibernéticos a los que se expone una empresa.

Me temo que empeorará mucho antes de mejorar, por lo que es de suma importancia que trabajemos para crear desarrolladores conscientes de la seguridad y culturas de seguridad sólidas en la primera línea de los equipos tecnológicos de una organización. Manténgalo en primer plano y siga esforzándose por alcanzar un mayor nivel de seguridad del software.

Ver recurso
Ver recurso

Autor

Pieter Danhieux

Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

¿Quieres más?

Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.

Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.

Ver blog
¿Quieres más?

Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores

Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.

Centro de recursos

El cambio que necesitamos en las tierras baldías de la AppSec: Mis predicciones para 2019

Publicado el 16 de enero de 2019
Por Pieter Danhieux

2018 ha sido un año descomunal para los profesionales de la ciberseguridad. A pesar de las advertencias de que hay que tomarse la seguridad más en serio, la prensa constante en torno a la promoción de más talentos en el sector de la seguridad y los intentos generales de hacer que las organizaciones sean más conscientes de la ciberseguridad, nos quedamos mirando los cráteres humeantes que han dejado cientos de ciberataques, que representan violaciones de datos a gran escala y la desconfianza de los consumidores en algunos nombres muy conocidos. Solo en el primer semestre de 2018, 4.500 millones de registros de datos se vieron comprometidos en 945 incidentes distintos.

Lo he dicho antes, muchas veces: podemos hacerlo mejor. Sin embargo, la verdadera batalla a la que nos enfrentamos no es contra los "script kiddies", los peligrosos sindicatos de ciberdelincuentes organizados o las misteriosas figuras vestidas con capucha que teclean en los ordenadores portátiles: la lucha consiste en conseguir que más personas se preocupen por el hecho de que se produzcan estas infracciones.

El cumplimiento del GDPR es un buen comienzo, pero no tendrá un gran efecto a corto plazo.

El Reglamento General de Protección de Datos (RGPD ) de la Unión Europea está en pleno apogeo; una amenaza que se cierne sobre las organizaciones que no se toman en serio la protección de datos. Con la aplicación de enormes multas para quienes no cumplan la normativa, se pretendía que las empresas se sintieran obligadas a reforzar sus prácticas de seguridad, a tratar los datos de los clientes con más respeto y a elaborar una estrategia para mitigar los ciberataques.

Algunas organizaciones han sido advertidas de que se les impondrán enormes multas, pero aún no hemos visto las verdaderas consecuencias del incumplimiento del RGPD. No hay multas que lleven a la quiebra, solo un montón de ventanas emergentes en las que hacer clic para los usuarios de la web. Esto se debe, en parte, a que los procesos legales llevan mucho tiempo, con muchas oportunidades de apelar: cualquier empresa que haya sido puesta como ejemplo probablemente esté inmersa en una batalla legal de meses o años. Como colofón a un año de pesadilla para Facebook, recientemente se informó de otra filtración de datos: un fallo en la API que expuso las fotos privadas de 6,8 millones de usuarios a 1.500 aplicaciones no autorizadas. Se detectó y se corrigió en dos semanas, pero las agencias de protección de datos y el público no se enteraron de la violación hasta meses después. Las leyes del GDPR exigen que se notifique una infracción en un plazo de 72 horas, por lo que se plantean muchas preguntas sobre el grado de influencia y eficacia de estas leyes en la actualidad.

Y, por supuesto, las filtraciones en otros lugares no han cesado: La filtración de noviembre de Marriott reveló que la friolera de 500 millones de registros de datos se vieron comprometidos y, lo que es aún más preocupante, que los atacantes habían accedido a sus sistemas durante cuatro años antes de ser descubiertos. Sin embargo, hay que señalar que Marriott parece estar llevando a cabo una labor de control de daños: ha ofrecido a las víctimas una suscripción gratuita de 12 meses a WebWatcher, una herramienta de monitorización del crédito... pero con 500 millones de registros para que los hackers los escudriñen, queda por ver si un año será suficiente para monitorizar algo significativo para la mayoría; después de todo, pueden pasar algunos años antes de que tus datos salgan a la luz para un uso sin escrúpulos.

A largo plazo , las normativas como el RGPD impulsarán un cambio positivo si se aplican. Cuando las empresas se vean afectadas por una sanción económica importante (o, de hecho, por demandas colectivas de clientes cuyos datos se hayan visto comprometidos) o por un descenso de los beneficios a una escala suficientemente larga, creo que veremos un enfoque frenético en la fortificación de las bases de datos en línea por parte de la mayoría de las empresas.

Las instituciones financieras seguirán liderando el cambio positivo a corto plazo.

No es de extrañar que las instituciones financieras, como guardianes del dinero que tanto cuesta ganar, tengan algunas de las políticas de ciberseguridad más estrictas, así como procesos integrales para reducir sus riesgos.

Un factor importante de este cumplimiento es el Consejo de Normas de Seguridad de la Industria de Tarjeta de Pago (PCI), que sigue comprometido a ayudar a las organizaciones financieras a aplicar una política de seguridad viable y a mantener las directrices en todos los ámbitos. Han sido una fuerza positiva para ayudar a este sector a alcanzar uno de los más altos niveles de seguridad en el software de pago.

Entonces, ¿qué hacen las instituciones financieras de forma diferente a las demás? Según mi experiencia, suelen ser más conscientes de la seguridad y dedican recursos a programas de formación integral no sólo para los profesionales de la seguridad de las aplicaciones y los probadores de acceso, sino también para sus equipos de desarrollo (normalmente muy grandes y dispersos por todo el mundo). Se aseguran de que los responsables de la toma de decisiones de alto nivel comprendan que los procesos de seguridad no son medidas "fijas y olvidadas"; deben evolucionar tan rápidamente como la tecnología utilizada y adaptarse a los riesgos variables.

Un mayor número de organizaciones transformará su canal de seguridad.

En comparación con otras ramas de la TI, AppSec es relativamente joven. Es difícil ser el chico nuevo: es fácil que te malinterpreten y puede que aún no hayas formado las relaciones clave que necesitas. Sin embargo, creo que con cada año que pasa, es más fácil que AppSec encuentre su lugar incluso en las organizaciones más anticuadas que se resisten al cambio.

Se ha hecho más evidente que las empresas no pueden hacer del cumplimiento de la seguridad un paso final y de última hora en sus procesos de software. Debe haber controles y medidas de punto a punto, con más concentración en la agregación de datos y proporcionando más visibilidad a los niveles ejecutivos de la empresa. Sin esto, la seguridad permanecerá fuera de la vista, fuera de la mente para la mayoría. Y en ese escenario, es prácticamente imposible reunir los recursos necesarios para planificar el riesgo.

La buena noticia es que más organizaciones que nunca están detectando sus propios ciberataques y trabajando para solucionarlos. ¿La mala noticia? Ese proceso está durando una media de ochenta y cinco días.

Las herramientas de pruebas de penetración y la revisión manual del código son arduas, costosas y lentas en una época en la que la innovación rápida y la producción de características es una necesidad en el ámbito tecnológico. La concienciación sobre la seguridad debe llevarse a cabo desde el principio: desde el momento en que un desarrollador escribe el código en primer lugar.

Nuestra industria reconocerá el problema principal: necesitamos que la gente se preocupe más.

La cuestión es la siguiente: podría contar, de forma conservadora, veinte personas de mi red que se han alojado en un hotel Marriott en algún momento de los últimos cuatro años. Con 500 millones de registros robados en ese tiempo, es muy probable que sus datos formen parte de ese robo. Todo, desde la información de contacto actual, los números de tarjeta de crédito aún válidos y la información del pasaporte, podría estar a la venta ahora mismo en la web oscura. Sin embargo, su factor de cuidado era básicamente cero.

Y, bueno, es fácil ser complaciente cuando en un robo de datos a tan gran escala, eres esencialmente una aguja en un pajar.

Pero, ¿el verdadero problema? Las empresas que no han mantenido los datos de sus propios clientes a salvo, se enfrentan a muy pocas repercusiones. ¿Su cotización en bolsa se ve afectada inmediatamente después del incidente? Seguro que sí. Target, Equifax y ahora Marriott podrían dar fe de ello. Sin embargo, una visión general de doce meses muestra que la vuelta a la normalidad es bastante rápida. Un par de años después, y financieramente, todo está perdonado.

Hasta que no haya repercusiones serias: multas enormes, regulaciones más estrictas y pérdidas significativas de negocio, AppSec será una industria que deberá luchar constantemente para transmitir la gravedad de los crecientes riesgos cibernéticos a los que se expone una empresa.

Me temo que empeorará mucho antes de mejorar, por lo que es de suma importancia que trabajemos para crear desarrolladores conscientes de la seguridad y culturas de seguridad sólidas en la primera línea de los equipos tecnológicos de una organización. Manténgalo en primer plano y siga esforzándose por alcanzar un mayor nivel de seguridad del software.

Nos gustaría contar con su permiso para enviarle información sobre nuestros productos y/o temas relacionados con la codificación segura. Siempre trataremos sus datos personales con el máximo cuidado y nunca los venderemos a otras empresas con fines de marketing.

Para enviar el formulario, habilite las cookies "Analytics". Siéntase libre de desactivarlas de nuevo una vez que haya terminado.