¿Está preparado su programa de seguridad para el plan estratégico de ciberseguridad de la CISA?
Una versión de este artículo apareció en Forbes. Se ha actualizado y distribuido aquí.
El Plan Estratégico de Ciberseguridad impulsa cambios importantes en la forma en que la mayoría de las organizaciones abordan la ciberseguridad, y los desarrolladores se encuentran en una posición única para ayudar a lograr esos nuevos objetivos.
La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) no solo ha desempeñado un papel decisivo en la protección de la infraestructura crítica y las redes informáticas de los Estados Unidos desde su creación en 2018, sino que su influencia y experiencia también han repercutido en todo el mundo. El asesoramiento integral, las advertencias de seguridad, los informes de vulnerabilidad y programas de ciberseguridad han establecido un punto de referencia mundial para las mejores prácticas procesables, lo que subraya la importancia del Plan Estratégico 2023-2025 de la CISA publicado recientemente en el ámbito de la ciberseguridad global.
La influencia y los logros de la CISA también se han extendido mucho más allá de lo que la mayoría de las agencias gubernamentales han podido lograr, especialmente teniendo en cuenta que solo existe desde hace unos pocos años. Esto se debe en gran parte a la crecimiento exponencial del panorama de las amenazas y del hecho de que los agresores son cada vez más hábiles en sus intentos de violación y explotación. La CISA ha asumido un papel de liderazgo en la lucha contra los ciberdelincuentes y otros denominados actores de amenazas, rastreando metódicamente las tendencias y asesorando sobre las mejores prácticas en materia de ciberseguridad.
Sin embargo, a pesar de todos los útiles consejos y directrices de la agencia, nunca antes había publicado un plan estratégico general diseñado para establecer la dirección general de los esfuerzos de ciberseguridad en los próximos años. Este no es solo otro plan, pero un hito que muchas organizaciones querrán estudiar y, en última instancia, implementar. El hecho de que el plan prevea cambios importantes en la forma en que se aborda la ciberseguridad puede dificultar el seguimiento de esa orientación, aunque la comunidad de desarrollo se encuentra en una posición única para ayudar se le proporcionan el apoyo, las herramientas y las vías de mejora de las habilidades adecuadas.
Se avecina un cambio en las mejores prácticas de ciberseguridad a nivel mundial
A primera vista, sería fácil percibir cierto nivel de frustración en el Plan Estratégico de la CISA, pero la CISA simplemente reconoce el hecho de que si seguimos haciendo las mismas cosas que hacemos ahora, seguiremos obteniendo los mismos resultados. Para que la ciberseguridad mejore, se requerirán cambios importantes en todos los ámbitos, incluso por parte de las empresas que fabrican el software y las aplicaciones que se utilizan en la actualidad.
Apuntar con el dedo al software, al menos parcialmente, es un concepto que se ha introducido anteriormente. De hecho, el National security strategy de los Estados Unidos afirma específicamente que «la mala seguridad del software aumenta considerablemente el riesgo sistémico en todo el ecosistema digital». El Plan Estratégico de la CISA establece una nueva estrategia para abordar y resolver esa situación.
El mayor cambio en la ciberseguridad que promueve la CISA es desafiar a quienes fabrican software a enviar productos seguros. Si se establecen e implementan las mejores prácticas de codificación segura, habrá muchas menos vulnerabilidades, especialmente las más importantes, ocultas en el software para que los atacantes las exploten. Sí, hay algo que podría pasarse por alto aquí y allá y que sería necesario encontrar y corregir con diligencia, pero esa es una propuesta manejable en comparación con el status quo actual: cada día se detectan cientos de vulnerabilidades que sobrecargan a los defensores de la ciberseguridad. La CISA afirma muy claramente en su plan que quienes fabrican software y otras tecnologías deben ser responsables de la seguridad de sus propios productos.
«Como sociedad, ya no podemos aceptar un modelo en el que todos los productos tecnológicos sean vulnerables en el momento de su lanzamiento y en el que la abrumadora carga de la seguridad recaiga en las organizaciones y los usuarios individuales», afirma el Plan Estratégico de la CISA. «La tecnología debe diseñarse, desarrollarse y probarse para minimizar la cantidad de defectos que puedan explotarse antes de introducirla en el mercado».
El plan continúa sugiriendo que, con el tiempo, este nuevo enfoque podría resultar más que sugerente, y afirma que la CISA utilizará «todas las palancas disponibles para influir en las decisiones de riesgo de los líderes de la organización». También sugiere que leyes como la Ley de notificación de ciberincidentes para infraestructuras críticas de 2022 (CIRCIA), que actualmente rige la notificación de ciberincidentes, podría servir de modelo para, con el tiempo, hacer que el cumplimiento voluntario de estas nuevas normas sea más obligatorio. En cualquier caso, sería beneficioso para la mayoría de las empresas que fabrican software y otras tecnologías en la actualidad intentar respaldar esta nueva guía.
La orientación de la CISA representa una oportunidad clave
En lugar de sentir aprendizaje ante la perspectiva de más posibles regulaciones, las organizaciones deberían aprovechar la oportunidad de utilizar el Plan Estratégico de la CISA para esforzarse por lograr un software mejor y de mayor calidad. No se trata solo de un llamado al cumplimiento, sino de una oportunidad para que los desarrolladores perfeccionen sus habilidades y contribuyan a un panorama digital más seguro. En última instancia, la producción de software seguro ayuda a todos, incluida la empresa que lo fabrica, los usuarios que pasan a depender de él y las personas a cuyos datos se acceden o se almacenan mediante ese software o aplicación. Solo los atacantes se quedan con las manos vacías si el código que compone la mayoría del software y las aplicaciones es lo más seguro posible antes de pasar a un entorno de producción.
Dada esta nueva dirección, tiene sentido que los desarrolladores de una organización, que escriben o obtienen todo el código, sean el punto de partida perfecto para implementar una codificación más segura y esforzarse por cumplir con el plan de la CISA. Sin embargo, los desarrolladores no pueden hacerlo solos sin el apoyo del resto de la organización, especialmente de la alta dirección. Contar con desarrolladores que comprendan las vulnerabilidades, sepan escribir código seguro y sepan reconocer los problemas mucho antes de que lleguen a un entorno de producción será la clave para que las organizaciones asuman, en última instancia, la responsabilidad de distribuir el código y, como dice CISA, «garantizar que las vulnerabilidades se descubran y solucionen antes de que los adversarios puedan utilizarlas para causar daño».
Una cosa clave a tener en cuenta es que la formación que necesitan los desarrolladores es bastante avanzada. Es difícil para alguien llegar a ser competente para escribir código seguro de manera consistente, y las medidas de cumplimiento que se marcan todas las casillas simplemente no están a la altura de esa tarea. Los desarrolladores necesitarán métodos de aprendizaje ágiles y de alto nivel que ofrezcan resultados de aprendizaje prácticos, asimilables y continuos como parte de un programa general de sensibilización sobre seguridad, a fin de garantizar que cuentan con las habilidades necesarias para mantener el nivel de seguridad requerido por el nuevo plan de la CISA.
Idealmente, la mejora de las habilidades para prepararse para el plan CISA también debería incorporar muchos de los métodos y programas avanzados que los desarrolladores utilizan todos los días, como los principios del desarrollo ágil. Por ejemplo, en el desarrollo ágil, el trabajo se divide en partes manejables, superponiendo los sprints unos sobre otros en un ciclo continuo. Un buen programa educativo que incorpora Agile las prácticas pueden ayudar a los desarrolladores a ponerse al día rápidamente con las habilidades necesarias para respaldar el plan CISA, lo que les permite empezar a ver los beneficios y empezar a programar de forma más segura casi de inmediato.
La buena noticia es que la mayoría de los desarrolladores apoyan las prácticas de codificación seguras y están deseosos de ayudar a sus organizaciones a cumplir con la nueva directiva CISA. En un encuesta De los más de 1200 desarrolladores profesionales que trabajan activamente en todo el mundo, la inmensa mayoría dijo que apoyaba el concepto de crear código seguro y establecer una mejor cultura de seguridad en sus organizaciones.
Los desarrolladores necesitan itinerarios educativos precisos y un apoyo adecuado. Si las organizaciones pueden proporcionarlo, su código no solo será más seguro, sino que también estarán a la vanguardia en sus esfuerzos por cumplir o superar las directrices establecidas en el nuevo Plan Estratégico de Ciberseguridad de la CISA.
Este cambio propuesto en la cultura de la seguridad será un desafío, pero también es una oportunidad increíble para cambiar la naturaleza de la ciberseguridad y crear un mundo en el que la tecnología que mejora nuestras vidas no esté plagada de ataques que traten constantemente de explotarla para sus propios fines nefastos. Tenemos el poder de detenerlos, y el plan de la CISA muestra un camino prometedor hacia ese objetivo notable y, en última instancia, alcanzable.
El Plan Estratégico de Ciberseguridad impulsa cambios importantes en la forma en que la mayoría de las organizaciones abordan la ciberseguridad, y los desarrolladores se encuentran en una posición única para ayudar a lograr esos nuevos objetivos.
Director General, Presidente y Cofundador
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Forbes. Se ha actualizado y distribuido aquí.
El Plan Estratégico de Ciberseguridad impulsa cambios importantes en la forma en que la mayoría de las organizaciones abordan la ciberseguridad, y los desarrolladores se encuentran en una posición única para ayudar a lograr esos nuevos objetivos.
La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) no solo ha desempeñado un papel decisivo en la protección de la infraestructura crítica y las redes informáticas de los Estados Unidos desde su creación en 2018, sino que su influencia y experiencia también han repercutido en todo el mundo. El asesoramiento integral, las advertencias de seguridad, los informes de vulnerabilidad y programas de ciberseguridad han establecido un punto de referencia mundial para las mejores prácticas procesables, lo que subraya la importancia del Plan Estratégico 2023-2025 de la CISA publicado recientemente en el ámbito de la ciberseguridad global.
La influencia y los logros de la CISA también se han extendido mucho más allá de lo que la mayoría de las agencias gubernamentales han podido lograr, especialmente teniendo en cuenta que solo existe desde hace unos pocos años. Esto se debe en gran parte a la crecimiento exponencial del panorama de las amenazas y del hecho de que los agresores son cada vez más hábiles en sus intentos de violación y explotación. La CISA ha asumido un papel de liderazgo en la lucha contra los ciberdelincuentes y otros denominados actores de amenazas, rastreando metódicamente las tendencias y asesorando sobre las mejores prácticas en materia de ciberseguridad.
Sin embargo, a pesar de todos los útiles consejos y directrices de la agencia, nunca antes había publicado un plan estratégico general diseñado para establecer la dirección general de los esfuerzos de ciberseguridad en los próximos años. Este no es solo otro plan, pero un hito que muchas organizaciones querrán estudiar y, en última instancia, implementar. El hecho de que el plan prevea cambios importantes en la forma en que se aborda la ciberseguridad puede dificultar el seguimiento de esa orientación, aunque la comunidad de desarrollo se encuentra en una posición única para ayudar se le proporcionan el apoyo, las herramientas y las vías de mejora de las habilidades adecuadas.
Se avecina un cambio en las mejores prácticas de ciberseguridad a nivel mundial
A primera vista, sería fácil percibir cierto nivel de frustración en el Plan Estratégico de la CISA, pero la CISA simplemente reconoce el hecho de que si seguimos haciendo las mismas cosas que hacemos ahora, seguiremos obteniendo los mismos resultados. Para que la ciberseguridad mejore, se requerirán cambios importantes en todos los ámbitos, incluso por parte de las empresas que fabrican el software y las aplicaciones que se utilizan en la actualidad.
Apuntar con el dedo al software, al menos parcialmente, es un concepto que se ha introducido anteriormente. De hecho, el National security strategy de los Estados Unidos afirma específicamente que «la mala seguridad del software aumenta considerablemente el riesgo sistémico en todo el ecosistema digital». El Plan Estratégico de la CISA establece una nueva estrategia para abordar y resolver esa situación.
El mayor cambio en la ciberseguridad que promueve la CISA es desafiar a quienes fabrican software a enviar productos seguros. Si se establecen e implementan las mejores prácticas de codificación segura, habrá muchas menos vulnerabilidades, especialmente las más importantes, ocultas en el software para que los atacantes las exploten. Sí, hay algo que podría pasarse por alto aquí y allá y que sería necesario encontrar y corregir con diligencia, pero esa es una propuesta manejable en comparación con el status quo actual: cada día se detectan cientos de vulnerabilidades que sobrecargan a los defensores de la ciberseguridad. La CISA afirma muy claramente en su plan que quienes fabrican software y otras tecnologías deben ser responsables de la seguridad de sus propios productos.
«Como sociedad, ya no podemos aceptar un modelo en el que todos los productos tecnológicos sean vulnerables en el momento de su lanzamiento y en el que la abrumadora carga de la seguridad recaiga en las organizaciones y los usuarios individuales», afirma el Plan Estratégico de la CISA. «La tecnología debe diseñarse, desarrollarse y probarse para minimizar la cantidad de defectos que puedan explotarse antes de introducirla en el mercado».
El plan continúa sugiriendo que, con el tiempo, este nuevo enfoque podría resultar más que sugerente, y afirma que la CISA utilizará «todas las palancas disponibles para influir en las decisiones de riesgo de los líderes de la organización». También sugiere que leyes como la Ley de notificación de ciberincidentes para infraestructuras críticas de 2022 (CIRCIA), que actualmente rige la notificación de ciberincidentes, podría servir de modelo para, con el tiempo, hacer que el cumplimiento voluntario de estas nuevas normas sea más obligatorio. En cualquier caso, sería beneficioso para la mayoría de las empresas que fabrican software y otras tecnologías en la actualidad intentar respaldar esta nueva guía.
La orientación de la CISA representa una oportunidad clave
En lugar de sentir aprendizaje ante la perspectiva de más posibles regulaciones, las organizaciones deberían aprovechar la oportunidad de utilizar el Plan Estratégico de la CISA para esforzarse por lograr un software mejor y de mayor calidad. No se trata solo de un llamado al cumplimiento, sino de una oportunidad para que los desarrolladores perfeccionen sus habilidades y contribuyan a un panorama digital más seguro. En última instancia, la producción de software seguro ayuda a todos, incluida la empresa que lo fabrica, los usuarios que pasan a depender de él y las personas a cuyos datos se acceden o se almacenan mediante ese software o aplicación. Solo los atacantes se quedan con las manos vacías si el código que compone la mayoría del software y las aplicaciones es lo más seguro posible antes de pasar a un entorno de producción.
Dada esta nueva dirección, tiene sentido que los desarrolladores de una organización, que escriben o obtienen todo el código, sean el punto de partida perfecto para implementar una codificación más segura y esforzarse por cumplir con el plan de la CISA. Sin embargo, los desarrolladores no pueden hacerlo solos sin el apoyo del resto de la organización, especialmente de la alta dirección. Contar con desarrolladores que comprendan las vulnerabilidades, sepan escribir código seguro y sepan reconocer los problemas mucho antes de que lleguen a un entorno de producción será la clave para que las organizaciones asuman, en última instancia, la responsabilidad de distribuir el código y, como dice CISA, «garantizar que las vulnerabilidades se descubran y solucionen antes de que los adversarios puedan utilizarlas para causar daño».
Una cosa clave a tener en cuenta es que la formación que necesitan los desarrolladores es bastante avanzada. Es difícil para alguien llegar a ser competente para escribir código seguro de manera consistente, y las medidas de cumplimiento que se marcan todas las casillas simplemente no están a la altura de esa tarea. Los desarrolladores necesitarán métodos de aprendizaje ágiles y de alto nivel que ofrezcan resultados de aprendizaje prácticos, asimilables y continuos como parte de un programa general de sensibilización sobre seguridad, a fin de garantizar que cuentan con las habilidades necesarias para mantener el nivel de seguridad requerido por el nuevo plan de la CISA.
Idealmente, la mejora de las habilidades para prepararse para el plan CISA también debería incorporar muchos de los métodos y programas avanzados que los desarrolladores utilizan todos los días, como los principios del desarrollo ágil. Por ejemplo, en el desarrollo ágil, el trabajo se divide en partes manejables, superponiendo los sprints unos sobre otros en un ciclo continuo. Un buen programa educativo que incorpora Agile las prácticas pueden ayudar a los desarrolladores a ponerse al día rápidamente con las habilidades necesarias para respaldar el plan CISA, lo que les permite empezar a ver los beneficios y empezar a programar de forma más segura casi de inmediato.
La buena noticia es que la mayoría de los desarrolladores apoyan las prácticas de codificación seguras y están deseosos de ayudar a sus organizaciones a cumplir con la nueva directiva CISA. En un encuesta De los más de 1200 desarrolladores profesionales que trabajan activamente en todo el mundo, la inmensa mayoría dijo que apoyaba el concepto de crear código seguro y establecer una mejor cultura de seguridad en sus organizaciones.
Los desarrolladores necesitan itinerarios educativos precisos y un apoyo adecuado. Si las organizaciones pueden proporcionarlo, su código no solo será más seguro, sino que también estarán a la vanguardia en sus esfuerzos por cumplir o superar las directrices establecidas en el nuevo Plan Estratégico de Ciberseguridad de la CISA.
Este cambio propuesto en la cultura de la seguridad será un desafío, pero también es una oportunidad increíble para cambiar la naturaleza de la ciberseguridad y crear un mundo en el que la tecnología que mejora nuestras vidas no esté plagada de ataques que traten constantemente de explotarla para sus propios fines nefastos. Tenemos el poder de detenerlos, y el plan de la CISA muestra un camino prometedor hacia ese objetivo notable y, en última instancia, alcanzable.
Una versión de este artículo apareció en Forbes. Se ha actualizado y distribuido aquí.
El Plan Estratégico de Ciberseguridad impulsa cambios importantes en la forma en que la mayoría de las organizaciones abordan la ciberseguridad, y los desarrolladores se encuentran en una posición única para ayudar a lograr esos nuevos objetivos.
La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) no solo ha desempeñado un papel decisivo en la protección de la infraestructura crítica y las redes informáticas de los Estados Unidos desde su creación en 2018, sino que su influencia y experiencia también han repercutido en todo el mundo. El asesoramiento integral, las advertencias de seguridad, los informes de vulnerabilidad y programas de ciberseguridad han establecido un punto de referencia mundial para las mejores prácticas procesables, lo que subraya la importancia del Plan Estratégico 2023-2025 de la CISA publicado recientemente en el ámbito de la ciberseguridad global.
La influencia y los logros de la CISA también se han extendido mucho más allá de lo que la mayoría de las agencias gubernamentales han podido lograr, especialmente teniendo en cuenta que solo existe desde hace unos pocos años. Esto se debe en gran parte a la crecimiento exponencial del panorama de las amenazas y del hecho de que los agresores son cada vez más hábiles en sus intentos de violación y explotación. La CISA ha asumido un papel de liderazgo en la lucha contra los ciberdelincuentes y otros denominados actores de amenazas, rastreando metódicamente las tendencias y asesorando sobre las mejores prácticas en materia de ciberseguridad.
Sin embargo, a pesar de todos los útiles consejos y directrices de la agencia, nunca antes había publicado un plan estratégico general diseñado para establecer la dirección general de los esfuerzos de ciberseguridad en los próximos años. Este no es solo otro plan, pero un hito que muchas organizaciones querrán estudiar y, en última instancia, implementar. El hecho de que el plan prevea cambios importantes en la forma en que se aborda la ciberseguridad puede dificultar el seguimiento de esa orientación, aunque la comunidad de desarrollo se encuentra en una posición única para ayudar se le proporcionan el apoyo, las herramientas y las vías de mejora de las habilidades adecuadas.
Se avecina un cambio en las mejores prácticas de ciberseguridad a nivel mundial
A primera vista, sería fácil percibir cierto nivel de frustración en el Plan Estratégico de la CISA, pero la CISA simplemente reconoce el hecho de que si seguimos haciendo las mismas cosas que hacemos ahora, seguiremos obteniendo los mismos resultados. Para que la ciberseguridad mejore, se requerirán cambios importantes en todos los ámbitos, incluso por parte de las empresas que fabrican el software y las aplicaciones que se utilizan en la actualidad.
Apuntar con el dedo al software, al menos parcialmente, es un concepto que se ha introducido anteriormente. De hecho, el National security strategy de los Estados Unidos afirma específicamente que «la mala seguridad del software aumenta considerablemente el riesgo sistémico en todo el ecosistema digital». El Plan Estratégico de la CISA establece una nueva estrategia para abordar y resolver esa situación.
El mayor cambio en la ciberseguridad que promueve la CISA es desafiar a quienes fabrican software a enviar productos seguros. Si se establecen e implementan las mejores prácticas de codificación segura, habrá muchas menos vulnerabilidades, especialmente las más importantes, ocultas en el software para que los atacantes las exploten. Sí, hay algo que podría pasarse por alto aquí y allá y que sería necesario encontrar y corregir con diligencia, pero esa es una propuesta manejable en comparación con el status quo actual: cada día se detectan cientos de vulnerabilidades que sobrecargan a los defensores de la ciberseguridad. La CISA afirma muy claramente en su plan que quienes fabrican software y otras tecnologías deben ser responsables de la seguridad de sus propios productos.
«Como sociedad, ya no podemos aceptar un modelo en el que todos los productos tecnológicos sean vulnerables en el momento de su lanzamiento y en el que la abrumadora carga de la seguridad recaiga en las organizaciones y los usuarios individuales», afirma el Plan Estratégico de la CISA. «La tecnología debe diseñarse, desarrollarse y probarse para minimizar la cantidad de defectos que puedan explotarse antes de introducirla en el mercado».
El plan continúa sugiriendo que, con el tiempo, este nuevo enfoque podría resultar más que sugerente, y afirma que la CISA utilizará «todas las palancas disponibles para influir en las decisiones de riesgo de los líderes de la organización». También sugiere que leyes como la Ley de notificación de ciberincidentes para infraestructuras críticas de 2022 (CIRCIA), que actualmente rige la notificación de ciberincidentes, podría servir de modelo para, con el tiempo, hacer que el cumplimiento voluntario de estas nuevas normas sea más obligatorio. En cualquier caso, sería beneficioso para la mayoría de las empresas que fabrican software y otras tecnologías en la actualidad intentar respaldar esta nueva guía.
La orientación de la CISA representa una oportunidad clave
En lugar de sentir aprendizaje ante la perspectiva de más posibles regulaciones, las organizaciones deberían aprovechar la oportunidad de utilizar el Plan Estratégico de la CISA para esforzarse por lograr un software mejor y de mayor calidad. No se trata solo de un llamado al cumplimiento, sino de una oportunidad para que los desarrolladores perfeccionen sus habilidades y contribuyan a un panorama digital más seguro. En última instancia, la producción de software seguro ayuda a todos, incluida la empresa que lo fabrica, los usuarios que pasan a depender de él y las personas a cuyos datos se acceden o se almacenan mediante ese software o aplicación. Solo los atacantes se quedan con las manos vacías si el código que compone la mayoría del software y las aplicaciones es lo más seguro posible antes de pasar a un entorno de producción.
Dada esta nueva dirección, tiene sentido que los desarrolladores de una organización, que escriben o obtienen todo el código, sean el punto de partida perfecto para implementar una codificación más segura y esforzarse por cumplir con el plan de la CISA. Sin embargo, los desarrolladores no pueden hacerlo solos sin el apoyo del resto de la organización, especialmente de la alta dirección. Contar con desarrolladores que comprendan las vulnerabilidades, sepan escribir código seguro y sepan reconocer los problemas mucho antes de que lleguen a un entorno de producción será la clave para que las organizaciones asuman, en última instancia, la responsabilidad de distribuir el código y, como dice CISA, «garantizar que las vulnerabilidades se descubran y solucionen antes de que los adversarios puedan utilizarlas para causar daño».
Una cosa clave a tener en cuenta es que la formación que necesitan los desarrolladores es bastante avanzada. Es difícil para alguien llegar a ser competente para escribir código seguro de manera consistente, y las medidas de cumplimiento que se marcan todas las casillas simplemente no están a la altura de esa tarea. Los desarrolladores necesitarán métodos de aprendizaje ágiles y de alto nivel que ofrezcan resultados de aprendizaje prácticos, asimilables y continuos como parte de un programa general de sensibilización sobre seguridad, a fin de garantizar que cuentan con las habilidades necesarias para mantener el nivel de seguridad requerido por el nuevo plan de la CISA.
Idealmente, la mejora de las habilidades para prepararse para el plan CISA también debería incorporar muchos de los métodos y programas avanzados que los desarrolladores utilizan todos los días, como los principios del desarrollo ágil. Por ejemplo, en el desarrollo ágil, el trabajo se divide en partes manejables, superponiendo los sprints unos sobre otros en un ciclo continuo. Un buen programa educativo que incorpora Agile las prácticas pueden ayudar a los desarrolladores a ponerse al día rápidamente con las habilidades necesarias para respaldar el plan CISA, lo que les permite empezar a ver los beneficios y empezar a programar de forma más segura casi de inmediato.
La buena noticia es que la mayoría de los desarrolladores apoyan las prácticas de codificación seguras y están deseosos de ayudar a sus organizaciones a cumplir con la nueva directiva CISA. En un encuesta De los más de 1200 desarrolladores profesionales que trabajan activamente en todo el mundo, la inmensa mayoría dijo que apoyaba el concepto de crear código seguro y establecer una mejor cultura de seguridad en sus organizaciones.
Los desarrolladores necesitan itinerarios educativos precisos y un apoyo adecuado. Si las organizaciones pueden proporcionarlo, su código no solo será más seguro, sino que también estarán a la vanguardia en sus esfuerzos por cumplir o superar las directrices establecidas en el nuevo Plan Estratégico de Ciberseguridad de la CISA.
Este cambio propuesto en la cultura de la seguridad será un desafío, pero también es una oportunidad increíble para cambiar la naturaleza de la ciberseguridad y crear un mundo en el que la tecnología que mejora nuestras vidas no esté plagada de ataques que traten constantemente de explotarla para sus propios fines nefastos. Tenemos el poder de detenerlos, y el plan de la CISA muestra un camino prometedor hacia ese objetivo notable y, en última instancia, alcanzable.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Forbes. Se ha actualizado y distribuido aquí.
El Plan Estratégico de Ciberseguridad impulsa cambios importantes en la forma en que la mayoría de las organizaciones abordan la ciberseguridad, y los desarrolladores se encuentran en una posición única para ayudar a lograr esos nuevos objetivos.
La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) no solo ha desempeñado un papel decisivo en la protección de la infraestructura crítica y las redes informáticas de los Estados Unidos desde su creación en 2018, sino que su influencia y experiencia también han repercutido en todo el mundo. El asesoramiento integral, las advertencias de seguridad, los informes de vulnerabilidad y programas de ciberseguridad han establecido un punto de referencia mundial para las mejores prácticas procesables, lo que subraya la importancia del Plan Estratégico 2023-2025 de la CISA publicado recientemente en el ámbito de la ciberseguridad global.
La influencia y los logros de la CISA también se han extendido mucho más allá de lo que la mayoría de las agencias gubernamentales han podido lograr, especialmente teniendo en cuenta que solo existe desde hace unos pocos años. Esto se debe en gran parte a la crecimiento exponencial del panorama de las amenazas y del hecho de que los agresores son cada vez más hábiles en sus intentos de violación y explotación. La CISA ha asumido un papel de liderazgo en la lucha contra los ciberdelincuentes y otros denominados actores de amenazas, rastreando metódicamente las tendencias y asesorando sobre las mejores prácticas en materia de ciberseguridad.
Sin embargo, a pesar de todos los útiles consejos y directrices de la agencia, nunca antes había publicado un plan estratégico general diseñado para establecer la dirección general de los esfuerzos de ciberseguridad en los próximos años. Este no es solo otro plan, pero un hito que muchas organizaciones querrán estudiar y, en última instancia, implementar. El hecho de que el plan prevea cambios importantes en la forma en que se aborda la ciberseguridad puede dificultar el seguimiento de esa orientación, aunque la comunidad de desarrollo se encuentra en una posición única para ayudar se le proporcionan el apoyo, las herramientas y las vías de mejora de las habilidades adecuadas.
Se avecina un cambio en las mejores prácticas de ciberseguridad a nivel mundial
A primera vista, sería fácil percibir cierto nivel de frustración en el Plan Estratégico de la CISA, pero la CISA simplemente reconoce el hecho de que si seguimos haciendo las mismas cosas que hacemos ahora, seguiremos obteniendo los mismos resultados. Para que la ciberseguridad mejore, se requerirán cambios importantes en todos los ámbitos, incluso por parte de las empresas que fabrican el software y las aplicaciones que se utilizan en la actualidad.
Apuntar con el dedo al software, al menos parcialmente, es un concepto que se ha introducido anteriormente. De hecho, el National security strategy de los Estados Unidos afirma específicamente que «la mala seguridad del software aumenta considerablemente el riesgo sistémico en todo el ecosistema digital». El Plan Estratégico de la CISA establece una nueva estrategia para abordar y resolver esa situación.
El mayor cambio en la ciberseguridad que promueve la CISA es desafiar a quienes fabrican software a enviar productos seguros. Si se establecen e implementan las mejores prácticas de codificación segura, habrá muchas menos vulnerabilidades, especialmente las más importantes, ocultas en el software para que los atacantes las exploten. Sí, hay algo que podría pasarse por alto aquí y allá y que sería necesario encontrar y corregir con diligencia, pero esa es una propuesta manejable en comparación con el status quo actual: cada día se detectan cientos de vulnerabilidades que sobrecargan a los defensores de la ciberseguridad. La CISA afirma muy claramente en su plan que quienes fabrican software y otras tecnologías deben ser responsables de la seguridad de sus propios productos.
«Como sociedad, ya no podemos aceptar un modelo en el que todos los productos tecnológicos sean vulnerables en el momento de su lanzamiento y en el que la abrumadora carga de la seguridad recaiga en las organizaciones y los usuarios individuales», afirma el Plan Estratégico de la CISA. «La tecnología debe diseñarse, desarrollarse y probarse para minimizar la cantidad de defectos que puedan explotarse antes de introducirla en el mercado».
El plan continúa sugiriendo que, con el tiempo, este nuevo enfoque podría resultar más que sugerente, y afirma que la CISA utilizará «todas las palancas disponibles para influir en las decisiones de riesgo de los líderes de la organización». También sugiere que leyes como la Ley de notificación de ciberincidentes para infraestructuras críticas de 2022 (CIRCIA), que actualmente rige la notificación de ciberincidentes, podría servir de modelo para, con el tiempo, hacer que el cumplimiento voluntario de estas nuevas normas sea más obligatorio. En cualquier caso, sería beneficioso para la mayoría de las empresas que fabrican software y otras tecnologías en la actualidad intentar respaldar esta nueva guía.
La orientación de la CISA representa una oportunidad clave
En lugar de sentir aprendizaje ante la perspectiva de más posibles regulaciones, las organizaciones deberían aprovechar la oportunidad de utilizar el Plan Estratégico de la CISA para esforzarse por lograr un software mejor y de mayor calidad. No se trata solo de un llamado al cumplimiento, sino de una oportunidad para que los desarrolladores perfeccionen sus habilidades y contribuyan a un panorama digital más seguro. En última instancia, la producción de software seguro ayuda a todos, incluida la empresa que lo fabrica, los usuarios que pasan a depender de él y las personas a cuyos datos se acceden o se almacenan mediante ese software o aplicación. Solo los atacantes se quedan con las manos vacías si el código que compone la mayoría del software y las aplicaciones es lo más seguro posible antes de pasar a un entorno de producción.
Dada esta nueva dirección, tiene sentido que los desarrolladores de una organización, que escriben o obtienen todo el código, sean el punto de partida perfecto para implementar una codificación más segura y esforzarse por cumplir con el plan de la CISA. Sin embargo, los desarrolladores no pueden hacerlo solos sin el apoyo del resto de la organización, especialmente de la alta dirección. Contar con desarrolladores que comprendan las vulnerabilidades, sepan escribir código seguro y sepan reconocer los problemas mucho antes de que lleguen a un entorno de producción será la clave para que las organizaciones asuman, en última instancia, la responsabilidad de distribuir el código y, como dice CISA, «garantizar que las vulnerabilidades se descubran y solucionen antes de que los adversarios puedan utilizarlas para causar daño».
Una cosa clave a tener en cuenta es que la formación que necesitan los desarrolladores es bastante avanzada. Es difícil para alguien llegar a ser competente para escribir código seguro de manera consistente, y las medidas de cumplimiento que se marcan todas las casillas simplemente no están a la altura de esa tarea. Los desarrolladores necesitarán métodos de aprendizaje ágiles y de alto nivel que ofrezcan resultados de aprendizaje prácticos, asimilables y continuos como parte de un programa general de sensibilización sobre seguridad, a fin de garantizar que cuentan con las habilidades necesarias para mantener el nivel de seguridad requerido por el nuevo plan de la CISA.
Idealmente, la mejora de las habilidades para prepararse para el plan CISA también debería incorporar muchos de los métodos y programas avanzados que los desarrolladores utilizan todos los días, como los principios del desarrollo ágil. Por ejemplo, en el desarrollo ágil, el trabajo se divide en partes manejables, superponiendo los sprints unos sobre otros en un ciclo continuo. Un buen programa educativo que incorpora Agile las prácticas pueden ayudar a los desarrolladores a ponerse al día rápidamente con las habilidades necesarias para respaldar el plan CISA, lo que les permite empezar a ver los beneficios y empezar a programar de forma más segura casi de inmediato.
La buena noticia es que la mayoría de los desarrolladores apoyan las prácticas de codificación seguras y están deseosos de ayudar a sus organizaciones a cumplir con la nueva directiva CISA. En un encuesta De los más de 1200 desarrolladores profesionales que trabajan activamente en todo el mundo, la inmensa mayoría dijo que apoyaba el concepto de crear código seguro y establecer una mejor cultura de seguridad en sus organizaciones.
Los desarrolladores necesitan itinerarios educativos precisos y un apoyo adecuado. Si las organizaciones pueden proporcionarlo, su código no solo será más seguro, sino que también estarán a la vanguardia en sus esfuerzos por cumplir o superar las directrices establecidas en el nuevo Plan Estratégico de Ciberseguridad de la CISA.
Este cambio propuesto en la cultura de la seguridad será un desafío, pero también es una oportunidad increíble para cambiar la naturaleza de la ciberseguridad y crear un mundo en el que la tecnología que mejora nuestras vidas no esté plagada de ataques que traten constantemente de explotarla para sus propios fines nefastos. Tenemos el poder de detenerlos, y el plan de la CISA muestra un camino prometedor hacia ese objetivo notable y, en última instancia, alcanzable.
Tabla de contenido
Director General, Presidente y Cofundador
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El habilitador 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
