Los equipos de seguridad tienen dificultades para seguir el ritmo de la oleada de nuevas innovaciones en el mundo actual de DevOps impulsado por la nube, por lo que es lógico que sean igualmente incapaces de seguir el ritmo de la miríada de formas en que los atacantes explotan las debilidades que inevitablemente surgen con tanto código generado constantemente.
Sin embargo, a pesar del ritmo acelerado de las violaciones de seguridad importantes -desde la violación de datos de Equifax y el ataque a la cadena de suministro de SolarWinds hasta más incidentes en los últimos años, como los ataques con éxito a Change Healthcare, AT&T y otros-, muchas organizaciones siguen centrándose en un enfoque reactivo de la seguridad. Dedican la mayor parte de sus recursos de seguridad a encontrar y corregir vulnerabilidades y a responder a los incidentes a medida que se producen. Este enfoque podría haber sido adecuado en otra época, pero la rápida evolución del software, las capacidades tecnológicas y la infraestructura de TI es demasiado para que los equipos de seguridad, faltos de personal y sobrecargados de trabajo, puedan seguir el ritmo.
Para evitar estar continuamente en desventaja, tienen que dejar de perseguir amenazas de seguridad que se mueven demasiado rápido para ellos o esperar a que el caballo de la violación de datos esté fuera del establo. En lugar de ello, deben adelantarse al problema adoptando un enfoque preventivo, en lugar de reactivo. Mejorar la seguridad tanto de las aplicaciones heredadas como de las nuevas requiere un enfoque de seguridad por diseño -reforzado por una formación eficaz de los desarrolladores- para garantizar que se emplean las mejores prácticas de seguridad al principio del ciclo de vida de desarrollo del software (SDLC) y que se corrigen las vulnerabilidades antes de que pasen a producción.
Hasta la fecha, esto ha resultado mucho más fácil de decir que de hacer.
Escasean los programadores seguros
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) ha intentado impulsar la prevención como política clave con su iniciativa Secure-by-Design, que promueve la codificación segura junto con otras buenas prácticas -desde la autenticación multifactor (MFA) hasta la reducción de clases de vulnerabilidades- y anima a las organizaciones a asumir el Compromiso Secure-by-Design. Otros países, como Australia, Canadá, Alemania y el Reino Unido, han puesto en marcha programas similares. Sin embargo, nuestra investigación muestra que muy pocas organizaciones se han subido al carro hasta ahora.
Si combinamos todos los desarrolladores de Secure Code Warrior's Learning Platform con los de los competidores de SCW que trabajan en la vena de Secure-by-Design, hay entre 500.000 y 1 millón de desarrolladores que están adoptando este enfoque. Según la estimación más generosa, esto supone alrededor del 3,5% del número total de desarrolladores en todo el mundo, que se prevé que alcance los 28,7 millones a finales de 2024. Son muchos desarrolladores produciendo más código que nunca, especialmente con programas de inteligencia artificial generativa que aceleran enorm emente el ritmo de desarrollo, y muy pocos aprendiendo a empezar con código seguro.
Por lo general, a los ingenieros de software no se les enseña ciberseguridad porque el modelo tradicional ha exigido que los desarrolladores y los profesionales de la seguridad trabajen como entidades separadas, y que los equipos de seguridad se ocupen de los problemas de seguridad después de que se haya creado el software. Pero los profesionales de la seguridad están lamentablemente superados en número en el entorno actual. El informe más reciente de Building Security in Maturity Model, BSIMM14, muestra que hay, de media, 3,87 profesionales de AppSec por cada 100 desarrolladores en todo el mundo. Contar con menos de cuatro especialistas formados para tratar de proteger los resultados de 100 desarrolladores que trabajan a una velocidad de vértigo no es una receta para conseguir un código seguro.
El descuido de la seguridad de las aplicaciones es igualmente evidente cuando se compara su tamaño de mercado con otros sectores de la seguridad. Los componentes que conforman un enfoque Secure-by-Design entran en el mercado de la seguridad de las aplicaciones, que se espera que crezca de 6.080 millones de dólares en 2023 a 17.510 millones en 2031. Parece un crecimiento rápido, pero palidece cuando se compara con el dinero que se gasta en seguridad de redes, que se prevé que aumente de 23.570 millones de dólares en 2023 a 67.330 millones en 2032, o en seguridad de tecnología operativa, que se prevé que crezca de 18.030 millones en 2023 a 57.510 millones en 2031.
Teniendo en cuenta la creciente importancia del código y las aplicaciones seguras, este ámbito está infradotado. De hecho, si las empresas invierten más en la seguridad de las aplicaciones y en un enfoque Secure-by-Design, podrían ahorrar en otras áreas de seguridad.
Hay otros factores que contribuyen a la opinión de que la seguridad preventiva es más difícil de implantar y, por tanto, de vender a los altos ejecutivos. Por un lado, las empresas que llevan mucho tiempo funcionando, como las del sector de servicios financieros, cargan con viejos sistemas heredados, algunos de los cuales datan de mediados del siglo pasado, cuando COBOL era el lenguaje de programación preferido.
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Crear una cultura de prevención
Puede que la transición hacia un enfoque preventivo de la seguridad esté teniendo un comienzo lento, pero el impulso para adoptar prácticas de seguridad por diseño no va a desaparecer porque la necesidad apremiante de ello en el entorno actual de ciberamenazas tampoco va a desaparecer. A la industria del automóvil se le echaría la culpa si decidiera invertir en más ambulancias y paramédicos en lugar de hacer coches más seguros, pero muchas organizaciones siguen ese modelo cuando se trata de ciberseguridad.
Las organizaciones deben adoptar un enfoque preventivo y proactivo para reducir el riesgo. Deben crear programas para capacitar a los desarrolladores en la escritura de código seguro y la corrección de errores (como los introducidos por asistentes de IA o código de terceros) en una fase temprana del SDLC. Estos programas deben incluir programas de formación ágiles e interactivos que se ajusten a los horarios de los desarrolladores y puedan adaptarse a sus entornos de trabajo y a los lenguajes de programación que utilizan. El perfeccionamiento debe incluir formación práctica que aborde problemas del mundo real.
Y lo que es más importante, debe incluir un medio de medir sus progresos para garantizar que han convertido las mejores prácticas de seguridad en una parte vital de sus rutinas diarias. Una herramienta como Trust Score de SCW utiliza puntos de referencia para medir el progreso tanto internamente como en comparación con los estándares del sector, al tiempo que identifica las áreas que deben mejorarse.
Un planteamiento de seguridad desde el diseño sería holístico y reflejaría una mentalidad de la organización en la que la seguridad es lo primero, una prioridad empresarial. No cabe duda de que la respuesta y la recuperación son partes esenciales de la postura global de seguridad de una organización. Pero si se centran en la prevención, las empresas pueden hacer grandes progresos en la reducción del riesgo y tal vez evitar el tipo de brechas importantes que pueden amenazar la viabilidad de un negocio.
Obtenga más información sobre cómo Secure Code Warrior puede ayudarle a realizar una iniciativa viable de Secure-by-Design hoy mismo.