Cómo el gobierno australiano puede desarrollar la resiliencia nacional en materia de ciberseguridad y hacer frente a las amenazas
Con 2020 viendo un enorme aumento en el trabajo remoto, además de las continuas filtraciones de datos a gran escala y un enfoque cada vez mayor en las consecuencias de comprometer la privacidad en línea, nunca ha habido un enfoque público más centrado en la ciberseguridad. Como resultado, los gobiernos de todo el mundo han intervenido para remodelar y actualizar sus planes e infraestructuras de ciberseguridad, incluidas las estrategias y normativas que las empresas deben seguir a la hora de gestionar nuestros recursos digitales más preciados.
Las directrices de protección estratégica para la ciberseguridad no son un concepto nuevo, y organizaciones como NIST han influido en las políticas de los departamentos gubernamentales mundiales durante muchos años. A medida que avanzamos a un ritmo vertiginoso en el avance digital, a muchos les resulta difícil mantenerse al día con la cantidad de amenazas, los posibles vectores de ataque y los requisitos de cumplimiento que forman parte de un panorama en constante cambio.
Un reciente incumplimiento de 54.000 licencias de conducir de Nueva Gales del Sur como resultado de un bucket de S3 mal configurado y de fácil acceso en un servidor de terceros, ha puesto en peligro a miles de personas, y el investigador de seguridad que lo denunció admitió que es posible que los datos ya se hayan vendido en la web oscura. Lo triste es que se trata de una solución fácil y no habría sido posible si la seguridad hubiera sido una prioridad para los configuradores de la caché.
El Gobierno australiano publicó recientemente el Estrategia Australiana de Ciberseguridad 2020, destacando las nuevas iniciativas y el aumento de financiación de 1.670 millones de dólares que se utilizarán durante la próxima década para lograr su «visión de crear un mundo en línea más seguro para los australianos, sus empresas y los servicios esenciales de los que todos dependemos». Evidentemente, se trata de una revisión y un plan actualizado que acogemos con gran satisfacción, sobre todo si se tiene en cuenta que uno de los principales objetivos es:
«Acciones de las empresas para proteger sus productos y servicios y proteger a sus clientes de las vulnerabilidades cibernéticas conocidas«.
Si bien los organismos gubernamentales tienden a centrarse (como deberían) en las medidas de seguridad relacionadas con la infraestructura crítica de un país (áreas que están listas para un ataque organizado catastrófico), lo que faltaba en el pasado eran directrices para las empresas que recopilan y utilizan nuestros datos todos los días.
Ahora, cuando se trata de estrategias oficiales como esta, no siempre se trata de cerveza y bolos. Puede resultar un poco difícil de interpretar e impreciso en cuanto a los detalles, lo que deja en manos del equipo de seguridad de la organización la elaboración de un plan basado en directrices no específicas. Este problema no es exclusivo del gobierno de Australia, pero analicemos su nuevo lanzamiento.
Centrarse en la reacción, no en la prevención.
La Estrategia de Ciberseguridad de Australia actualizada es un avance más relevante con respecto a la última versión de 2016, con planes bastante completos para las empresas, especialmente para las pymes. La estrategia describe lo siguiente:
«El gobierno y las grandes empresas ayudarán a las pequeñas y medianas empresas (PYMES) a crecer y aumentar su conciencia y capacidad en materia de ciberseguridad. El Gobierno australiano colaborará con las grandes empresas y los proveedores de servicios para proporcionar a las pymes información y herramientas en materia de ciberseguridad como parte de «paquetes» de servicios seguros (como el bloqueo de amenazas, los antivirus y la formación en materia de ciberseguridad)».
Esto proporcionará a las pymes una base básica decente sobre la que proteger sus negocios de las ciberamenazas, pero es en gran medida un enfoque reactivo, y la atención se centra en las herramientas de detección, una parte relativamente pequeña del panorama de la ciberseguridad.
Sorprendentemente, también hay poca información sobre cómo las grandes empresas pueden protegerse y reducir sus vectores de ataque. Si bien muchos pueden formar parte de los planes para proteger la infraestructura crítica (como las telecomunicaciones y el transporte), servicios financieros, venta al por menor, y muchos otros mercados verticales tienen mucho que perder cuando se trata de un ciberataque exitoso. Quizás esto forme parte de la próxima legislación, pero aun así, es fundamental destacar la importancia de aplicar meticulosas mejores prácticas de ciberseguridad a nivel empresarial para lograr un cambio significativo y una disminución de los datos comprometidos y la ciberdelincuencia.
En general, cuando se considera la estrategia en su conjunto, se basa en un enfoque reactivo. La lucha contra los ciberataques, la desarticulación de los ciberdelincuentes activos y la garantía de su persecución, así como el intercambio de información de inteligencia con los aliados internacionales, son factores importantes, pero imagínese si la norma nacional de protección se centrara en la prevención. Además de las medidas de protección para la infraestructura crítica, si la seguridad fuera una prioridad en todas las empresas y cada persona que toque el código que crea nuestro mundo digital estuviera debidamente equipada para bloquear los ataques antes de que se produzcan, el ahorro de tiempo, dinero y angustia para las víctimas es inconmensurable.
La resiliencia es posible, pero hay que planificarla.
Del esfuerzo del Gobierno australiano por tomarse en serio la ciberseguridad se desprende claramente que se la ha identificado como un área de riesgo clave a nivel nacional. Como cualquier otro ataque malintencionado que tenga la capacidad de perturbar nuestro modo de vida, la resiliencia es absolutamente crucial, no solo para resistir un intento de este tipo, sino también para disuadir de que se produzca. A fin de cuentas, incluso los actores de las amenazas pueden ser perezosos y, si se ponen demasiados obstáculos para lograr su objetivo, optarán por un objetivo más fácil para alcanzar su objetivo.
Por el momento, nos enfrentamos a una escasez mundial de habilidades de ciberseguridad, y esto es algo que mantiene despiertos a los CISO de todo el mundo por la noche. Miles de millones de líneas de código, violaciones de datos constantes y a gran escala y un mayor riesgo de penalización (solo en Marriott) recibió una multa de 123 millones de dólares en virtud del RGPD por su violación de datos en 2018... y ellos tuvo otra infracción este año) ha creado más que nunca un abismo en la demanda de especialistas en seguridad que, siendo realistas, es poco probable que se cierre. Simplemente hay demasiado código y muy pocos recursos para garantizar que esté fortificado desde todos los ángulos.
Entonces, ¿deberíamos renunciar a la idea de que alguna vez nos mantendremos firmes frente a las ciberamenazas? No hay ninguna posibilidad. La resiliencia requiere utilizar todos los recursos disponibles y pensar un paso por delante. Y para muchas empresas, sus desarrolladores pueden desbloquear un poderoso método de fortificación justo cuando se escribe el código. Cuando se combina con una cultura de seguridad visible y positiva en toda la empresa, esto proporciona una base segura que es difícil de romper para muchos atacantes. Sin embargo, este método requiere tomar las sugerencias de la Estrategia de Ciberseguridad de Australia, como ejemplo, y profundizar en la forma en que se pueden personalizar para respaldar un cambio efectivo que sea relevante para la empresa.
Para ello, es importante desglosar un par de consejos:
- Formación sobre sensibilización en materia de seguridad: se dirige específicamente a las pymes y, en el contexto de todo el informe, tiene como objetivo principal enseñar a todo el personal la higiene básica de la seguridad (por ejemplo, detectar correos electrónicos de suplantación de identidad, no hacer clic en enlaces desconocidos, etc.). Siendo realistas, debe ir mucho más allá y centrarse en funciones específicas, especialmente para quienes se dedican al código, como los desarrolladores. Es imperativo que la formación en materia de seguridad sea un componente de las medidas preventivas y del fomento de la resiliencia
- Educación: En un cambio refrescante, hay un plan detallado para abordar la escasez de habilidades de ciberseguridad durante la próxima década, haciendo hincapié en la formación en ciberseguridad desde la escuela primaria y secundaria hasta la educación superior. Esto es muy necesario si queremos construir las superestrellas de la seguridad del futuro, pero desde la perspectiva de abordar las necesidades empresariales en este momento, la formación práctica en codificación segura para la cohorte de desarrollo es una necesidad absoluta para empezar a reducir las vulnerabilidades comunes y debe formar parte de un programa de seguridad funcional.
Como expertos en seguridad, debemos hacer más para ayudar a las empresas de todo el mundo a entender la importancia de crear un programa de seguridad interna que vaya más allá de las simples medidas fundamentales de concienciación. Dedicar tiempo a mejorar las habilidades de los desarrolladores alivia la presión sobre los especialistas en AppSec, que tienen el exceso de trabajo, y garantizar que toda la organización esté tan concienciada con la seguridad como sea posible en el contexto de su función es vital para reducir el área de ataque del software a la superficie amenazada.
La mejora de las habilidades de los desarrolladores es un tiempo bien empleado, entonces, ¿por qué tantas empresas lo ignoran?
Una encuesta reciente de DDLS concluyó que hay muy poco sentido de prioridad en lo que respecta a la formación en ciberseguridad en las organizaciones australianas. De hecho, ni siquiera figuraba entre las tres principales prioridades de formación, a pesar de que el 77% de los encuestados califica el conocimiento de la ciberseguridad como «extremadamente» o «muy importante» en sus negocios.
No es de extrañar, entonces, que Australia esté esforzándose por cerrar la creciente brecha de habilidades y tenga mucho trabajo por hacer para crear una infraestructura más resiliente, desde los servicios esenciales hasta el comercio minorista y todo lo demás.
Aquí hay una enorme oportunidad para gobiernos para crear una certificación básica o regulación de habilidades de seguridad, y la estrategia alude a esto como una forma de trabajar con recursos limitados. Sin embargo, una vez más, esta parece ser una propuesta para el futuro, y tenemos las herramientas para empezar mucho antes si nos centramos primero en las áreas de alto impacto. Para mí, la esperanza reside en los equipos de desarrollo de cada organización y, si cuentan con las herramientas y los conocimientos necesarios para tener éxito, pueden eliminar de inmediato las vulnerabilidades más comunes y reducir significativamente el riesgo de que se produzca una violación de datos en su organización.
En 2019, El 24% de todas las filtraciones de datos se debieron a errores humanos - es decir, errores de configuración de seguridad, que suelen ser correcciones relativamente simples a nivel de código. Si la formación se convierte en una prioridad, junto con la creación de conciencia en materia de seguridad en toda la empresa, apuesto a que habría menos CISO que los CISO firmaran las notificaciones de infracciones a miles de clientes comprometidos.
Del esfuerzo del Gobierno australiano por tomarse en serio la ciberseguridad se desprende claramente que se la ha identificado como un área de riesgo clave a nivel nacional, pero ¿su estrategia va lo suficientemente lejos?
Director General, Presidente y Cofundador
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Con 2020 viendo un enorme aumento en el trabajo remoto, además de las continuas filtraciones de datos a gran escala y un enfoque cada vez mayor en las consecuencias de comprometer la privacidad en línea, nunca ha habido un enfoque público más centrado en la ciberseguridad. Como resultado, los gobiernos de todo el mundo han intervenido para remodelar y actualizar sus planes e infraestructuras de ciberseguridad, incluidas las estrategias y normativas que las empresas deben seguir a la hora de gestionar nuestros recursos digitales más preciados.
Las directrices de protección estratégica para la ciberseguridad no son un concepto nuevo, y organizaciones como NIST han influido en las políticas de los departamentos gubernamentales mundiales durante muchos años. A medida que avanzamos a un ritmo vertiginoso en el avance digital, a muchos les resulta difícil mantenerse al día con la cantidad de amenazas, los posibles vectores de ataque y los requisitos de cumplimiento que forman parte de un panorama en constante cambio.
Un reciente incumplimiento de 54.000 licencias de conducir de Nueva Gales del Sur como resultado de un bucket de S3 mal configurado y de fácil acceso en un servidor de terceros, ha puesto en peligro a miles de personas, y el investigador de seguridad que lo denunció admitió que es posible que los datos ya se hayan vendido en la web oscura. Lo triste es que se trata de una solución fácil y no habría sido posible si la seguridad hubiera sido una prioridad para los configuradores de la caché.
El Gobierno australiano publicó recientemente el Estrategia Australiana de Ciberseguridad 2020, destacando las nuevas iniciativas y el aumento de financiación de 1.670 millones de dólares que se utilizarán durante la próxima década para lograr su «visión de crear un mundo en línea más seguro para los australianos, sus empresas y los servicios esenciales de los que todos dependemos». Evidentemente, se trata de una revisión y un plan actualizado que acogemos con gran satisfacción, sobre todo si se tiene en cuenta que uno de los principales objetivos es:
«Acciones de las empresas para proteger sus productos y servicios y proteger a sus clientes de las vulnerabilidades cibernéticas conocidas«.
Si bien los organismos gubernamentales tienden a centrarse (como deberían) en las medidas de seguridad relacionadas con la infraestructura crítica de un país (áreas que están listas para un ataque organizado catastrófico), lo que faltaba en el pasado eran directrices para las empresas que recopilan y utilizan nuestros datos todos los días.
Ahora, cuando se trata de estrategias oficiales como esta, no siempre se trata de cerveza y bolos. Puede resultar un poco difícil de interpretar e impreciso en cuanto a los detalles, lo que deja en manos del equipo de seguridad de la organización la elaboración de un plan basado en directrices no específicas. Este problema no es exclusivo del gobierno de Australia, pero analicemos su nuevo lanzamiento.
Centrarse en la reacción, no en la prevención.
La Estrategia de Ciberseguridad de Australia actualizada es un avance más relevante con respecto a la última versión de 2016, con planes bastante completos para las empresas, especialmente para las pymes. La estrategia describe lo siguiente:
«El gobierno y las grandes empresas ayudarán a las pequeñas y medianas empresas (PYMES) a crecer y aumentar su conciencia y capacidad en materia de ciberseguridad. El Gobierno australiano colaborará con las grandes empresas y los proveedores de servicios para proporcionar a las pymes información y herramientas en materia de ciberseguridad como parte de «paquetes» de servicios seguros (como el bloqueo de amenazas, los antivirus y la formación en materia de ciberseguridad)».
Esto proporcionará a las pymes una base básica decente sobre la que proteger sus negocios de las ciberamenazas, pero es en gran medida un enfoque reactivo, y la atención se centra en las herramientas de detección, una parte relativamente pequeña del panorama de la ciberseguridad.
Sorprendentemente, también hay poca información sobre cómo las grandes empresas pueden protegerse y reducir sus vectores de ataque. Si bien muchos pueden formar parte de los planes para proteger la infraestructura crítica (como las telecomunicaciones y el transporte), servicios financieros, venta al por menor, y muchos otros mercados verticales tienen mucho que perder cuando se trata de un ciberataque exitoso. Quizás esto forme parte de la próxima legislación, pero aun así, es fundamental destacar la importancia de aplicar meticulosas mejores prácticas de ciberseguridad a nivel empresarial para lograr un cambio significativo y una disminución de los datos comprometidos y la ciberdelincuencia.
En general, cuando se considera la estrategia en su conjunto, se basa en un enfoque reactivo. La lucha contra los ciberataques, la desarticulación de los ciberdelincuentes activos y la garantía de su persecución, así como el intercambio de información de inteligencia con los aliados internacionales, son factores importantes, pero imagínese si la norma nacional de protección se centrara en la prevención. Además de las medidas de protección para la infraestructura crítica, si la seguridad fuera una prioridad en todas las empresas y cada persona que toque el código que crea nuestro mundo digital estuviera debidamente equipada para bloquear los ataques antes de que se produzcan, el ahorro de tiempo, dinero y angustia para las víctimas es inconmensurable.
La resiliencia es posible, pero hay que planificarla.
Del esfuerzo del Gobierno australiano por tomarse en serio la ciberseguridad se desprende claramente que se la ha identificado como un área de riesgo clave a nivel nacional. Como cualquier otro ataque malintencionado que tenga la capacidad de perturbar nuestro modo de vida, la resiliencia es absolutamente crucial, no solo para resistir un intento de este tipo, sino también para disuadir de que se produzca. A fin de cuentas, incluso los actores de las amenazas pueden ser perezosos y, si se ponen demasiados obstáculos para lograr su objetivo, optarán por un objetivo más fácil para alcanzar su objetivo.
Por el momento, nos enfrentamos a una escasez mundial de habilidades de ciberseguridad, y esto es algo que mantiene despiertos a los CISO de todo el mundo por la noche. Miles de millones de líneas de código, violaciones de datos constantes y a gran escala y un mayor riesgo de penalización (solo en Marriott) recibió una multa de 123 millones de dólares en virtud del RGPD por su violación de datos en 2018... y ellos tuvo otra infracción este año) ha creado más que nunca un abismo en la demanda de especialistas en seguridad que, siendo realistas, es poco probable que se cierre. Simplemente hay demasiado código y muy pocos recursos para garantizar que esté fortificado desde todos los ángulos.
Entonces, ¿deberíamos renunciar a la idea de que alguna vez nos mantendremos firmes frente a las ciberamenazas? No hay ninguna posibilidad. La resiliencia requiere utilizar todos los recursos disponibles y pensar un paso por delante. Y para muchas empresas, sus desarrolladores pueden desbloquear un poderoso método de fortificación justo cuando se escribe el código. Cuando se combina con una cultura de seguridad visible y positiva en toda la empresa, esto proporciona una base segura que es difícil de romper para muchos atacantes. Sin embargo, este método requiere tomar las sugerencias de la Estrategia de Ciberseguridad de Australia, como ejemplo, y profundizar en la forma en que se pueden personalizar para respaldar un cambio efectivo que sea relevante para la empresa.
Para ello, es importante desglosar un par de consejos:
- Formación sobre sensibilización en materia de seguridad: se dirige específicamente a las pymes y, en el contexto de todo el informe, tiene como objetivo principal enseñar a todo el personal la higiene básica de la seguridad (por ejemplo, detectar correos electrónicos de suplantación de identidad, no hacer clic en enlaces desconocidos, etc.). Siendo realistas, debe ir mucho más allá y centrarse en funciones específicas, especialmente para quienes se dedican al código, como los desarrolladores. Es imperativo que la formación en materia de seguridad sea un componente de las medidas preventivas y del fomento de la resiliencia
- Educación: En un cambio refrescante, hay un plan detallado para abordar la escasez de habilidades de ciberseguridad durante la próxima década, haciendo hincapié en la formación en ciberseguridad desde la escuela primaria y secundaria hasta la educación superior. Esto es muy necesario si queremos construir las superestrellas de la seguridad del futuro, pero desde la perspectiva de abordar las necesidades empresariales en este momento, la formación práctica en codificación segura para la cohorte de desarrollo es una necesidad absoluta para empezar a reducir las vulnerabilidades comunes y debe formar parte de un programa de seguridad funcional.
Como expertos en seguridad, debemos hacer más para ayudar a las empresas de todo el mundo a entender la importancia de crear un programa de seguridad interna que vaya más allá de las simples medidas fundamentales de concienciación. Dedicar tiempo a mejorar las habilidades de los desarrolladores alivia la presión sobre los especialistas en AppSec, que tienen el exceso de trabajo, y garantizar que toda la organización esté tan concienciada con la seguridad como sea posible en el contexto de su función es vital para reducir el área de ataque del software a la superficie amenazada.
La mejora de las habilidades de los desarrolladores es un tiempo bien empleado, entonces, ¿por qué tantas empresas lo ignoran?
Una encuesta reciente de DDLS concluyó que hay muy poco sentido de prioridad en lo que respecta a la formación en ciberseguridad en las organizaciones australianas. De hecho, ni siquiera figuraba entre las tres principales prioridades de formación, a pesar de que el 77% de los encuestados califica el conocimiento de la ciberseguridad como «extremadamente» o «muy importante» en sus negocios.
No es de extrañar, entonces, que Australia esté esforzándose por cerrar la creciente brecha de habilidades y tenga mucho trabajo por hacer para crear una infraestructura más resiliente, desde los servicios esenciales hasta el comercio minorista y todo lo demás.
Aquí hay una enorme oportunidad para gobiernos para crear una certificación básica o regulación de habilidades de seguridad, y la estrategia alude a esto como una forma de trabajar con recursos limitados. Sin embargo, una vez más, esta parece ser una propuesta para el futuro, y tenemos las herramientas para empezar mucho antes si nos centramos primero en las áreas de alto impacto. Para mí, la esperanza reside en los equipos de desarrollo de cada organización y, si cuentan con las herramientas y los conocimientos necesarios para tener éxito, pueden eliminar de inmediato las vulnerabilidades más comunes y reducir significativamente el riesgo de que se produzca una violación de datos en su organización.
En 2019, El 24% de todas las filtraciones de datos se debieron a errores humanos - es decir, errores de configuración de seguridad, que suelen ser correcciones relativamente simples a nivel de código. Si la formación se convierte en una prioridad, junto con la creación de conciencia en materia de seguridad en toda la empresa, apuesto a que habría menos CISO que los CISO firmaran las notificaciones de infracciones a miles de clientes comprometidos.
Con 2020 viendo un enorme aumento en el trabajo remoto, además de las continuas filtraciones de datos a gran escala y un enfoque cada vez mayor en las consecuencias de comprometer la privacidad en línea, nunca ha habido un enfoque público más centrado en la ciberseguridad. Como resultado, los gobiernos de todo el mundo han intervenido para remodelar y actualizar sus planes e infraestructuras de ciberseguridad, incluidas las estrategias y normativas que las empresas deben seguir a la hora de gestionar nuestros recursos digitales más preciados.
Las directrices de protección estratégica para la ciberseguridad no son un concepto nuevo, y organizaciones como NIST han influido en las políticas de los departamentos gubernamentales mundiales durante muchos años. A medida que avanzamos a un ritmo vertiginoso en el avance digital, a muchos les resulta difícil mantenerse al día con la cantidad de amenazas, los posibles vectores de ataque y los requisitos de cumplimiento que forman parte de un panorama en constante cambio.
Un reciente incumplimiento de 54.000 licencias de conducir de Nueva Gales del Sur como resultado de un bucket de S3 mal configurado y de fácil acceso en un servidor de terceros, ha puesto en peligro a miles de personas, y el investigador de seguridad que lo denunció admitió que es posible que los datos ya se hayan vendido en la web oscura. Lo triste es que se trata de una solución fácil y no habría sido posible si la seguridad hubiera sido una prioridad para los configuradores de la caché.
El Gobierno australiano publicó recientemente el Estrategia Australiana de Ciberseguridad 2020, destacando las nuevas iniciativas y el aumento de financiación de 1.670 millones de dólares que se utilizarán durante la próxima década para lograr su «visión de crear un mundo en línea más seguro para los australianos, sus empresas y los servicios esenciales de los que todos dependemos». Evidentemente, se trata de una revisión y un plan actualizado que acogemos con gran satisfacción, sobre todo si se tiene en cuenta que uno de los principales objetivos es:
«Acciones de las empresas para proteger sus productos y servicios y proteger a sus clientes de las vulnerabilidades cibernéticas conocidas«.
Si bien los organismos gubernamentales tienden a centrarse (como deberían) en las medidas de seguridad relacionadas con la infraestructura crítica de un país (áreas que están listas para un ataque organizado catastrófico), lo que faltaba en el pasado eran directrices para las empresas que recopilan y utilizan nuestros datos todos los días.
Ahora, cuando se trata de estrategias oficiales como esta, no siempre se trata de cerveza y bolos. Puede resultar un poco difícil de interpretar e impreciso en cuanto a los detalles, lo que deja en manos del equipo de seguridad de la organización la elaboración de un plan basado en directrices no específicas. Este problema no es exclusivo del gobierno de Australia, pero analicemos su nuevo lanzamiento.
Centrarse en la reacción, no en la prevención.
La Estrategia de Ciberseguridad de Australia actualizada es un avance más relevante con respecto a la última versión de 2016, con planes bastante completos para las empresas, especialmente para las pymes. La estrategia describe lo siguiente:
«El gobierno y las grandes empresas ayudarán a las pequeñas y medianas empresas (PYMES) a crecer y aumentar su conciencia y capacidad en materia de ciberseguridad. El Gobierno australiano colaborará con las grandes empresas y los proveedores de servicios para proporcionar a las pymes información y herramientas en materia de ciberseguridad como parte de «paquetes» de servicios seguros (como el bloqueo de amenazas, los antivirus y la formación en materia de ciberseguridad)».
Esto proporcionará a las pymes una base básica decente sobre la que proteger sus negocios de las ciberamenazas, pero es en gran medida un enfoque reactivo, y la atención se centra en las herramientas de detección, una parte relativamente pequeña del panorama de la ciberseguridad.
Sorprendentemente, también hay poca información sobre cómo las grandes empresas pueden protegerse y reducir sus vectores de ataque. Si bien muchos pueden formar parte de los planes para proteger la infraestructura crítica (como las telecomunicaciones y el transporte), servicios financieros, venta al por menor, y muchos otros mercados verticales tienen mucho que perder cuando se trata de un ciberataque exitoso. Quizás esto forme parte de la próxima legislación, pero aun así, es fundamental destacar la importancia de aplicar meticulosas mejores prácticas de ciberseguridad a nivel empresarial para lograr un cambio significativo y una disminución de los datos comprometidos y la ciberdelincuencia.
En general, cuando se considera la estrategia en su conjunto, se basa en un enfoque reactivo. La lucha contra los ciberataques, la desarticulación de los ciberdelincuentes activos y la garantía de su persecución, así como el intercambio de información de inteligencia con los aliados internacionales, son factores importantes, pero imagínese si la norma nacional de protección se centrara en la prevención. Además de las medidas de protección para la infraestructura crítica, si la seguridad fuera una prioridad en todas las empresas y cada persona que toque el código que crea nuestro mundo digital estuviera debidamente equipada para bloquear los ataques antes de que se produzcan, el ahorro de tiempo, dinero y angustia para las víctimas es inconmensurable.
La resiliencia es posible, pero hay que planificarla.
Del esfuerzo del Gobierno australiano por tomarse en serio la ciberseguridad se desprende claramente que se la ha identificado como un área de riesgo clave a nivel nacional. Como cualquier otro ataque malintencionado que tenga la capacidad de perturbar nuestro modo de vida, la resiliencia es absolutamente crucial, no solo para resistir un intento de este tipo, sino también para disuadir de que se produzca. A fin de cuentas, incluso los actores de las amenazas pueden ser perezosos y, si se ponen demasiados obstáculos para lograr su objetivo, optarán por un objetivo más fácil para alcanzar su objetivo.
Por el momento, nos enfrentamos a una escasez mundial de habilidades de ciberseguridad, y esto es algo que mantiene despiertos a los CISO de todo el mundo por la noche. Miles de millones de líneas de código, violaciones de datos constantes y a gran escala y un mayor riesgo de penalización (solo en Marriott) recibió una multa de 123 millones de dólares en virtud del RGPD por su violación de datos en 2018... y ellos tuvo otra infracción este año) ha creado más que nunca un abismo en la demanda de especialistas en seguridad que, siendo realistas, es poco probable que se cierre. Simplemente hay demasiado código y muy pocos recursos para garantizar que esté fortificado desde todos los ángulos.
Entonces, ¿deberíamos renunciar a la idea de que alguna vez nos mantendremos firmes frente a las ciberamenazas? No hay ninguna posibilidad. La resiliencia requiere utilizar todos los recursos disponibles y pensar un paso por delante. Y para muchas empresas, sus desarrolladores pueden desbloquear un poderoso método de fortificación justo cuando se escribe el código. Cuando se combina con una cultura de seguridad visible y positiva en toda la empresa, esto proporciona una base segura que es difícil de romper para muchos atacantes. Sin embargo, este método requiere tomar las sugerencias de la Estrategia de Ciberseguridad de Australia, como ejemplo, y profundizar en la forma en que se pueden personalizar para respaldar un cambio efectivo que sea relevante para la empresa.
Para ello, es importante desglosar un par de consejos:
- Formación sobre sensibilización en materia de seguridad: se dirige específicamente a las pymes y, en el contexto de todo el informe, tiene como objetivo principal enseñar a todo el personal la higiene básica de la seguridad (por ejemplo, detectar correos electrónicos de suplantación de identidad, no hacer clic en enlaces desconocidos, etc.). Siendo realistas, debe ir mucho más allá y centrarse en funciones específicas, especialmente para quienes se dedican al código, como los desarrolladores. Es imperativo que la formación en materia de seguridad sea un componente de las medidas preventivas y del fomento de la resiliencia
- Educación: En un cambio refrescante, hay un plan detallado para abordar la escasez de habilidades de ciberseguridad durante la próxima década, haciendo hincapié en la formación en ciberseguridad desde la escuela primaria y secundaria hasta la educación superior. Esto es muy necesario si queremos construir las superestrellas de la seguridad del futuro, pero desde la perspectiva de abordar las necesidades empresariales en este momento, la formación práctica en codificación segura para la cohorte de desarrollo es una necesidad absoluta para empezar a reducir las vulnerabilidades comunes y debe formar parte de un programa de seguridad funcional.
Como expertos en seguridad, debemos hacer más para ayudar a las empresas de todo el mundo a entender la importancia de crear un programa de seguridad interna que vaya más allá de las simples medidas fundamentales de concienciación. Dedicar tiempo a mejorar las habilidades de los desarrolladores alivia la presión sobre los especialistas en AppSec, que tienen el exceso de trabajo, y garantizar que toda la organización esté tan concienciada con la seguridad como sea posible en el contexto de su función es vital para reducir el área de ataque del software a la superficie amenazada.
La mejora de las habilidades de los desarrolladores es un tiempo bien empleado, entonces, ¿por qué tantas empresas lo ignoran?
Una encuesta reciente de DDLS concluyó que hay muy poco sentido de prioridad en lo que respecta a la formación en ciberseguridad en las organizaciones australianas. De hecho, ni siquiera figuraba entre las tres principales prioridades de formación, a pesar de que el 77% de los encuestados califica el conocimiento de la ciberseguridad como «extremadamente» o «muy importante» en sus negocios.
No es de extrañar, entonces, que Australia esté esforzándose por cerrar la creciente brecha de habilidades y tenga mucho trabajo por hacer para crear una infraestructura más resiliente, desde los servicios esenciales hasta el comercio minorista y todo lo demás.
Aquí hay una enorme oportunidad para gobiernos para crear una certificación básica o regulación de habilidades de seguridad, y la estrategia alude a esto como una forma de trabajar con recursos limitados. Sin embargo, una vez más, esta parece ser una propuesta para el futuro, y tenemos las herramientas para empezar mucho antes si nos centramos primero en las áreas de alto impacto. Para mí, la esperanza reside en los equipos de desarrollo de cada organización y, si cuentan con las herramientas y los conocimientos necesarios para tener éxito, pueden eliminar de inmediato las vulnerabilidades más comunes y reducir significativamente el riesgo de que se produzca una violación de datos en su organización.
En 2019, El 24% de todas las filtraciones de datos se debieron a errores humanos - es decir, errores de configuración de seguridad, que suelen ser correcciones relativamente simples a nivel de código. Si la formación se convierte en una prioridad, junto con la creación de conciencia en materia de seguridad en toda la empresa, apuesto a que habría menos CISO que los CISO firmaran las notificaciones de infracciones a miles de clientes comprometidos.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Con 2020 viendo un enorme aumento en el trabajo remoto, además de las continuas filtraciones de datos a gran escala y un enfoque cada vez mayor en las consecuencias de comprometer la privacidad en línea, nunca ha habido un enfoque público más centrado en la ciberseguridad. Como resultado, los gobiernos de todo el mundo han intervenido para remodelar y actualizar sus planes e infraestructuras de ciberseguridad, incluidas las estrategias y normativas que las empresas deben seguir a la hora de gestionar nuestros recursos digitales más preciados.
Las directrices de protección estratégica para la ciberseguridad no son un concepto nuevo, y organizaciones como NIST han influido en las políticas de los departamentos gubernamentales mundiales durante muchos años. A medida que avanzamos a un ritmo vertiginoso en el avance digital, a muchos les resulta difícil mantenerse al día con la cantidad de amenazas, los posibles vectores de ataque y los requisitos de cumplimiento que forman parte de un panorama en constante cambio.
Un reciente incumplimiento de 54.000 licencias de conducir de Nueva Gales del Sur como resultado de un bucket de S3 mal configurado y de fácil acceso en un servidor de terceros, ha puesto en peligro a miles de personas, y el investigador de seguridad que lo denunció admitió que es posible que los datos ya se hayan vendido en la web oscura. Lo triste es que se trata de una solución fácil y no habría sido posible si la seguridad hubiera sido una prioridad para los configuradores de la caché.
El Gobierno australiano publicó recientemente el Estrategia Australiana de Ciberseguridad 2020, destacando las nuevas iniciativas y el aumento de financiación de 1.670 millones de dólares que se utilizarán durante la próxima década para lograr su «visión de crear un mundo en línea más seguro para los australianos, sus empresas y los servicios esenciales de los que todos dependemos». Evidentemente, se trata de una revisión y un plan actualizado que acogemos con gran satisfacción, sobre todo si se tiene en cuenta que uno de los principales objetivos es:
«Acciones de las empresas para proteger sus productos y servicios y proteger a sus clientes de las vulnerabilidades cibernéticas conocidas«.
Si bien los organismos gubernamentales tienden a centrarse (como deberían) en las medidas de seguridad relacionadas con la infraestructura crítica de un país (áreas que están listas para un ataque organizado catastrófico), lo que faltaba en el pasado eran directrices para las empresas que recopilan y utilizan nuestros datos todos los días.
Ahora, cuando se trata de estrategias oficiales como esta, no siempre se trata de cerveza y bolos. Puede resultar un poco difícil de interpretar e impreciso en cuanto a los detalles, lo que deja en manos del equipo de seguridad de la organización la elaboración de un plan basado en directrices no específicas. Este problema no es exclusivo del gobierno de Australia, pero analicemos su nuevo lanzamiento.
Centrarse en la reacción, no en la prevención.
La Estrategia de Ciberseguridad de Australia actualizada es un avance más relevante con respecto a la última versión de 2016, con planes bastante completos para las empresas, especialmente para las pymes. La estrategia describe lo siguiente:
«El gobierno y las grandes empresas ayudarán a las pequeñas y medianas empresas (PYMES) a crecer y aumentar su conciencia y capacidad en materia de ciberseguridad. El Gobierno australiano colaborará con las grandes empresas y los proveedores de servicios para proporcionar a las pymes información y herramientas en materia de ciberseguridad como parte de «paquetes» de servicios seguros (como el bloqueo de amenazas, los antivirus y la formación en materia de ciberseguridad)».
Esto proporcionará a las pymes una base básica decente sobre la que proteger sus negocios de las ciberamenazas, pero es en gran medida un enfoque reactivo, y la atención se centra en las herramientas de detección, una parte relativamente pequeña del panorama de la ciberseguridad.
Sorprendentemente, también hay poca información sobre cómo las grandes empresas pueden protegerse y reducir sus vectores de ataque. Si bien muchos pueden formar parte de los planes para proteger la infraestructura crítica (como las telecomunicaciones y el transporte), servicios financieros, venta al por menor, y muchos otros mercados verticales tienen mucho que perder cuando se trata de un ciberataque exitoso. Quizás esto forme parte de la próxima legislación, pero aun así, es fundamental destacar la importancia de aplicar meticulosas mejores prácticas de ciberseguridad a nivel empresarial para lograr un cambio significativo y una disminución de los datos comprometidos y la ciberdelincuencia.
En general, cuando se considera la estrategia en su conjunto, se basa en un enfoque reactivo. La lucha contra los ciberataques, la desarticulación de los ciberdelincuentes activos y la garantía de su persecución, así como el intercambio de información de inteligencia con los aliados internacionales, son factores importantes, pero imagínese si la norma nacional de protección se centrara en la prevención. Además de las medidas de protección para la infraestructura crítica, si la seguridad fuera una prioridad en todas las empresas y cada persona que toque el código que crea nuestro mundo digital estuviera debidamente equipada para bloquear los ataques antes de que se produzcan, el ahorro de tiempo, dinero y angustia para las víctimas es inconmensurable.
La resiliencia es posible, pero hay que planificarla.
Del esfuerzo del Gobierno australiano por tomarse en serio la ciberseguridad se desprende claramente que se la ha identificado como un área de riesgo clave a nivel nacional. Como cualquier otro ataque malintencionado que tenga la capacidad de perturbar nuestro modo de vida, la resiliencia es absolutamente crucial, no solo para resistir un intento de este tipo, sino también para disuadir de que se produzca. A fin de cuentas, incluso los actores de las amenazas pueden ser perezosos y, si se ponen demasiados obstáculos para lograr su objetivo, optarán por un objetivo más fácil para alcanzar su objetivo.
Por el momento, nos enfrentamos a una escasez mundial de habilidades de ciberseguridad, y esto es algo que mantiene despiertos a los CISO de todo el mundo por la noche. Miles de millones de líneas de código, violaciones de datos constantes y a gran escala y un mayor riesgo de penalización (solo en Marriott) recibió una multa de 123 millones de dólares en virtud del RGPD por su violación de datos en 2018... y ellos tuvo otra infracción este año) ha creado más que nunca un abismo en la demanda de especialistas en seguridad que, siendo realistas, es poco probable que se cierre. Simplemente hay demasiado código y muy pocos recursos para garantizar que esté fortificado desde todos los ángulos.
Entonces, ¿deberíamos renunciar a la idea de que alguna vez nos mantendremos firmes frente a las ciberamenazas? No hay ninguna posibilidad. La resiliencia requiere utilizar todos los recursos disponibles y pensar un paso por delante. Y para muchas empresas, sus desarrolladores pueden desbloquear un poderoso método de fortificación justo cuando se escribe el código. Cuando se combina con una cultura de seguridad visible y positiva en toda la empresa, esto proporciona una base segura que es difícil de romper para muchos atacantes. Sin embargo, este método requiere tomar las sugerencias de la Estrategia de Ciberseguridad de Australia, como ejemplo, y profundizar en la forma en que se pueden personalizar para respaldar un cambio efectivo que sea relevante para la empresa.
Para ello, es importante desglosar un par de consejos:
- Formación sobre sensibilización en materia de seguridad: se dirige específicamente a las pymes y, en el contexto de todo el informe, tiene como objetivo principal enseñar a todo el personal la higiene básica de la seguridad (por ejemplo, detectar correos electrónicos de suplantación de identidad, no hacer clic en enlaces desconocidos, etc.). Siendo realistas, debe ir mucho más allá y centrarse en funciones específicas, especialmente para quienes se dedican al código, como los desarrolladores. Es imperativo que la formación en materia de seguridad sea un componente de las medidas preventivas y del fomento de la resiliencia
- Educación: En un cambio refrescante, hay un plan detallado para abordar la escasez de habilidades de ciberseguridad durante la próxima década, haciendo hincapié en la formación en ciberseguridad desde la escuela primaria y secundaria hasta la educación superior. Esto es muy necesario si queremos construir las superestrellas de la seguridad del futuro, pero desde la perspectiva de abordar las necesidades empresariales en este momento, la formación práctica en codificación segura para la cohorte de desarrollo es una necesidad absoluta para empezar a reducir las vulnerabilidades comunes y debe formar parte de un programa de seguridad funcional.
Como expertos en seguridad, debemos hacer más para ayudar a las empresas de todo el mundo a entender la importancia de crear un programa de seguridad interna que vaya más allá de las simples medidas fundamentales de concienciación. Dedicar tiempo a mejorar las habilidades de los desarrolladores alivia la presión sobre los especialistas en AppSec, que tienen el exceso de trabajo, y garantizar que toda la organización esté tan concienciada con la seguridad como sea posible en el contexto de su función es vital para reducir el área de ataque del software a la superficie amenazada.
La mejora de las habilidades de los desarrolladores es un tiempo bien empleado, entonces, ¿por qué tantas empresas lo ignoran?
Una encuesta reciente de DDLS concluyó que hay muy poco sentido de prioridad en lo que respecta a la formación en ciberseguridad en las organizaciones australianas. De hecho, ni siquiera figuraba entre las tres principales prioridades de formación, a pesar de que el 77% de los encuestados califica el conocimiento de la ciberseguridad como «extremadamente» o «muy importante» en sus negocios.
No es de extrañar, entonces, que Australia esté esforzándose por cerrar la creciente brecha de habilidades y tenga mucho trabajo por hacer para crear una infraestructura más resiliente, desde los servicios esenciales hasta el comercio minorista y todo lo demás.
Aquí hay una enorme oportunidad para gobiernos para crear una certificación básica o regulación de habilidades de seguridad, y la estrategia alude a esto como una forma de trabajar con recursos limitados. Sin embargo, una vez más, esta parece ser una propuesta para el futuro, y tenemos las herramientas para empezar mucho antes si nos centramos primero en las áreas de alto impacto. Para mí, la esperanza reside en los equipos de desarrollo de cada organización y, si cuentan con las herramientas y los conocimientos necesarios para tener éxito, pueden eliminar de inmediato las vulnerabilidades más comunes y reducir significativamente el riesgo de que se produzca una violación de datos en su organización.
En 2019, El 24% de todas las filtraciones de datos se debieron a errores humanos - es decir, errores de configuración de seguridad, que suelen ser correcciones relativamente simples a nivel de código. Si la formación se convierte en una prioridad, junto con la creación de conciencia en materia de seguridad en toda la empresa, apuesto a que habría menos CISO que los CISO firmaran las notificaciones de infracciones a miles de clientes comprometidos.
Tabla de contenido
Director General, Presidente y Cofundador
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El habilitador 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
