Análisis de la industria de la ciberseguridad: otra vulnerabilidad recurrente que debemos corregir
Una versión de este artículo apareció en Seguridad de Help Net. Se ha actualizado y distribuido aquí.
He dedicado mi carrera a buscar, arreglar, discutir y derrumbar vulnerabilidades de software, de una forma u otra. Sé que cuando se trata de algunos errores de seguridad comunes, a pesar de estar en nuestra órbita desde los años 90, siguen plagando nuestro software y causando problemas importantes, a pesar de que la solución (a menudo sencilla) se conoce desde hace casi el mismo tiempo. Realmente se siente como el Día de la Marmota, en el que nosotros, como industria, parecemos hacer lo mismo una y otra vez y esperar un resultado diferente.
Sin embargo, hay otro pequeño problema. No estamos recibiendo consejos realistas ni las soluciones más rápidas para combatir el ataque continuo que representa la ciberseguridad moderna. Por supuesto, cada violación es diferente a su manera, y existen numerosos vectores de ataque que pueden explotarse en el software vulnerable. Los consejos genéricos factibles serán limitados, pero el enfoque basado en las mejores prácticas parece tener más defectos cada hora.
Con este fin, me pregunto por qué gran parte de los comentarios y análisis sobre la ciberseguridad han omitido soluciones que realmente abordan la causa fundamental de tantas vulnerabilidades: los seres humanos. La más reciente de Gartner Hype Cycle para la seguridad de las aplicaciones, y Forrester's El estado de la seguridad de las aplicaciones en 2021, ambas biblias para expertos en seguridad que, sin duda, ayudan a dar forma a su programa y a la posible adopción de productos, se centran casi por completo en las herramientas. Un informe de Aberdeen en 2017 demostró lo ingobernable que se había vuelto la tecnología de seguridad promedio, ya que los CISO administran cientos de productos como parte de sus estrategias de seguridad; cuatro años después, nos enfrentamos a más riesgos, más vulnerabilidades y a más incorporaciones a las crecientes bestias de la tecnología.
Las herramientas de seguridad son imprescindibles, pero necesitamos tener una visión más amplia y restablecer el equilibrio del componente humano de la defensa de la seguridad.
La automatización es el futuro. ¿Por qué debemos preocuparnos por el elemento humano de la ciberseguridad?
Prácticamente todo en nuestras vidas funciona con software, y es cierto que la automatización está reemplazando los elementos humanos que alguna vez estuvieron presentes en tantos sectores. Es una señal de progreso en un mundo que se digitaliza a una velocidad vertiginosa, ya que la inteligencia artificial y el aprendizaje automático son temas candentes que mantienen a muchas organizaciones centradas en el futuro.
Entonces, ¿por qué un enfoque de ciberseguridad centrado en las personas sería otra cosa que una solución anticuada para un problema que avanza tecnológicamente? El hecho de que se hayan robado miles de millones de registros de datos en el último año, incluida la violación más reciente de Facebook afectando a más de 500 millones de cuentas, debería indicar que no estamos haciendo lo suficiente (o no estamos adoptando el enfoque correcto) para dar un serio contragolpe a los actores de las amenazas.
Las herramientas de ciberseguridad son un componente muy necesario de la ciberdefensa, y las herramientas siempre tendrán un lugar. Los analistas han estado absolutamente en lo cierto al recomendar las herramientas más recientes en un enfoque de mitigación de riesgos para las empresas, y eso no cambiará. Sin embargo, dado que la calidad del código (y, por definición, la seguridad) es difícil de gestionar con el volumen de producción de código, las herramientas no pueden hacer el trabajo por sí solas. Hasta la fecha, no existe una herramienta única que pueda:
- Analice todas las vulnerabilidades, en todos los idiomas:framework
- Escanear a gran velocidad
- Minimice la doble manipulación provocada por los falsos positivos y negativos
Las herramientas pueden ser lentas, engorrosas y difíciles de manejar. Sin embargo, sobre todo, solo encuentran problemas, no los solucionan ni recomiendan soluciones. Esto último requiere expertos en seguridad, con pocos recursos y con exceso de trabajo, que buscan entre la basura en busca de tesoros entre interminables resultados de análisis y análisis.
El hecho es que, según el informe del índice de inteligencia de ciberseguridad de IBM, el error humano desempeña un papel en El 95% de todas las filtraciones de datos exitosas. Casi la mitad de esos se relacionan directamente con vulnerabilidades de software, muchos de los cuales podrían aliviarse si en las primeras etapas del SDLC hubiera una mayor adhesión a la codificación y el conocimiento seguros. Sin embargo, para que esto suceda, es fundamental que los desarrolladores se centren de manera más precisa y relevante en la educación, además de convertirla en algo intrínseco a su flujo de trabajo.
Nos guste o no, los seres humanos están profundamente arraigados en el proceso de desarrollo de software, y la ciberseguridad es, en gran medida, un problema humano. Las herramientas no servirán para corregir un defecto fundamental de nuestro enfoque, pero pueden desempeñar un papel de apoyo clave en la remodelación de las soluciones humanas.
¿Qué pasaría si solo construyéramos mejores herramientas (y muchas de ellas)?
Las herramientas de seguridad mejoran constantemente. Las herramientas SAST/DAST/IAST han avanzado mucho, mejorando en velocidad e inteligencia, y el RASP debería ser una consideración defensiva seria en muchos entornos de aplicaciones. Los firewalls, los gestores de secretos y las aplicaciones de seguridad en la nube y en la red: todo ello es una obviedad.
Los seres humanos siempre pueden esforzarse por crear mejores herramientas, pero la innovación no está a la altura de las necesidades de seguridad y protección de datos del mundo digital en el que vivimos. Las herramientas se crean, en su mayor parte, pensando en los robots. Pueden estar ahí para ayudar a los desarrolladores y al equipo de seguridad a escanear, supervisar o proteger el código, pero la interacción es muy limitada y muy pocas soluciones tienen como objetivo aumentar la conciencia sobre la seguridad o mejorar las habilidades básicas que pueden conducir a mejores resultados de seguridad.
De hecho, más de la mitad de las empresas ni siquiera saben si las herramientas funcionan para ellas, ni confían en poder evitar una violación de datos devastadora. Ese es un sentimiento muy negativo y, en una industria obsesionada con las herramientas, que no apoya un enfoque diferente, tiende a solidificar el status quo y los problemas internos.
¿Cómo puede una organización aprovechar un enfoque de seguridad dirigido por personas?
No cabe duda de que mantenerse a la vanguardia de las tendencias de la tecnología de seguridad de las aplicaciones es beneficioso e incluso puede ayudar a priorizar las actualizaciones o consolidaciones en un paquete tecnológico exagerado, pero dejar de atacar la causa principal del software vulnerable (nosotros, simples seres humanos) nos mantendrá en el bando perdedor de la batalla de la ciberseguridad.
Si queremos tomar en serio la reducción del número de vulnerabilidades de seguridad a nivel de código, es necesario que los desarrolladores cuenten con las bases para tener éxito en el reparto de la responsabilidad en materia de seguridad. Necesitan una formación práctica y relevante y una mejora de las habilidades en el puesto de trabajo, así como herramientas funcionales que no interrumpan su flujo de trabajo ni hagan que el desarrollo de la seguridad sea una tarea ardua. Lo ideal sería que algunas herramientas estuvieran centradas en los desarrolladores y se crearan teniendo en cuenta su experiencia de usuario.
Hasta el día de hoy, no existe un programa formal de certificación de seguridad para los desarrolladores, pero todas las empresas pueden beneficiarse de la evaluación comparativa y el desarrollo de sus habilidades de codificación segura, eliminando las vulnerabilidades comunes de forma temprana y frecuente, y antes de que esa gran cantidad de tecnología tenga que ponerse manos a la obra y ralentizar todo.
Un equipo de desarrolladores conscientes de la seguridad es un tesoro escondido para cualquier organización, pero como cualquier cosa que valga la pena tener, se necesitará tiempo y esfuerzo para implementar un equipo de ensueño eficaz. Lograr que los desarrolladores se preocupen por la seguridad y consideren que la programación segura es la base de la calidad del código requiere el compromiso de toda la organización de anteponer la seguridad. Y cuando equipos enteros se dan cuenta del impacto positivo que pueden tener al eliminar las vulnerabilidades más comunes a medida que se escribe el código, no hay ninguna herramienta en el mundo que pueda competir con ella.
No estamos recibiendo consejos realistas ni las soluciones más rápidas para combatir el ataque continuo que representa la ciberseguridad moderna. Por supuesto, cada violación es diferente a su manera, y existen numerosos vectores de ataque que pueden explotarse en el software vulnerable. Los consejos genéricos factibles serán limitados, pero el enfoque basado en las mejores prácticas parece tener más defectos cada hora.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostración
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Una versión de este artículo apareció en Seguridad de Help Net. Se ha actualizado y distribuido aquí.
He dedicado mi carrera a buscar, arreglar, discutir y derrumbar vulnerabilidades de software, de una forma u otra. Sé que cuando se trata de algunos errores de seguridad comunes, a pesar de estar en nuestra órbita desde los años 90, siguen plagando nuestro software y causando problemas importantes, a pesar de que la solución (a menudo sencilla) se conoce desde hace casi el mismo tiempo. Realmente se siente como el Día de la Marmota, en el que nosotros, como industria, parecemos hacer lo mismo una y otra vez y esperar un resultado diferente.
Sin embargo, hay otro pequeño problema. No estamos recibiendo consejos realistas ni las soluciones más rápidas para combatir el ataque continuo que representa la ciberseguridad moderna. Por supuesto, cada violación es diferente a su manera, y existen numerosos vectores de ataque que pueden explotarse en el software vulnerable. Los consejos genéricos factibles serán limitados, pero el enfoque basado en las mejores prácticas parece tener más defectos cada hora.
Con este fin, me pregunto por qué gran parte de los comentarios y análisis sobre la ciberseguridad han omitido soluciones que realmente abordan la causa fundamental de tantas vulnerabilidades: los seres humanos. La más reciente de Gartner Hype Cycle para la seguridad de las aplicaciones, y Forrester's El estado de la seguridad de las aplicaciones en 2021, ambas biblias para expertos en seguridad que, sin duda, ayudan a dar forma a su programa y a la posible adopción de productos, se centran casi por completo en las herramientas. Un informe de Aberdeen en 2017 demostró lo ingobernable que se había vuelto la tecnología de seguridad promedio, ya que los CISO administran cientos de productos como parte de sus estrategias de seguridad; cuatro años después, nos enfrentamos a más riesgos, más vulnerabilidades y a más incorporaciones a las crecientes bestias de la tecnología.
Las herramientas de seguridad son imprescindibles, pero necesitamos tener una visión más amplia y restablecer el equilibrio del componente humano de la defensa de la seguridad.
La automatización es el futuro. ¿Por qué debemos preocuparnos por el elemento humano de la ciberseguridad?
Prácticamente todo en nuestras vidas funciona con software, y es cierto que la automatización está reemplazando los elementos humanos que alguna vez estuvieron presentes en tantos sectores. Es una señal de progreso en un mundo que se digitaliza a una velocidad vertiginosa, ya que la inteligencia artificial y el aprendizaje automático son temas candentes que mantienen a muchas organizaciones centradas en el futuro.
Entonces, ¿por qué un enfoque de ciberseguridad centrado en las personas sería otra cosa que una solución anticuada para un problema que avanza tecnológicamente? El hecho de que se hayan robado miles de millones de registros de datos en el último año, incluida la violación más reciente de Facebook afectando a más de 500 millones de cuentas, debería indicar que no estamos haciendo lo suficiente (o no estamos adoptando el enfoque correcto) para dar un serio contragolpe a los actores de las amenazas.
Las herramientas de ciberseguridad son un componente muy necesario de la ciberdefensa, y las herramientas siempre tendrán un lugar. Los analistas han estado absolutamente en lo cierto al recomendar las herramientas más recientes en un enfoque de mitigación de riesgos para las empresas, y eso no cambiará. Sin embargo, dado que la calidad del código (y, por definición, la seguridad) es difícil de gestionar con el volumen de producción de código, las herramientas no pueden hacer el trabajo por sí solas. Hasta la fecha, no existe una herramienta única que pueda:
- Analice todas las vulnerabilidades, en todos los idiomas:framework
- Escanear a gran velocidad
- Minimice la doble manipulación provocada por los falsos positivos y negativos
Las herramientas pueden ser lentas, engorrosas y difíciles de manejar. Sin embargo, sobre todo, solo encuentran problemas, no los solucionan ni recomiendan soluciones. Esto último requiere expertos en seguridad, con pocos recursos y con exceso de trabajo, que buscan entre la basura en busca de tesoros entre interminables resultados de análisis y análisis.
El hecho es que, según el informe del índice de inteligencia de ciberseguridad de IBM, el error humano desempeña un papel en El 95% de todas las filtraciones de datos exitosas. Casi la mitad de esos se relacionan directamente con vulnerabilidades de software, muchos de los cuales podrían aliviarse si en las primeras etapas del SDLC hubiera una mayor adhesión a la codificación y el conocimiento seguros. Sin embargo, para que esto suceda, es fundamental que los desarrolladores se centren de manera más precisa y relevante en la educación, además de convertirla en algo intrínseco a su flujo de trabajo.
Nos guste o no, los seres humanos están profundamente arraigados en el proceso de desarrollo de software, y la ciberseguridad es, en gran medida, un problema humano. Las herramientas no servirán para corregir un defecto fundamental de nuestro enfoque, pero pueden desempeñar un papel de apoyo clave en la remodelación de las soluciones humanas.
¿Qué pasaría si solo construyéramos mejores herramientas (y muchas de ellas)?
Las herramientas de seguridad mejoran constantemente. Las herramientas SAST/DAST/IAST han avanzado mucho, mejorando en velocidad e inteligencia, y el RASP debería ser una consideración defensiva seria en muchos entornos de aplicaciones. Los firewalls, los gestores de secretos y las aplicaciones de seguridad en la nube y en la red: todo ello es una obviedad.
Los seres humanos siempre pueden esforzarse por crear mejores herramientas, pero la innovación no está a la altura de las necesidades de seguridad y protección de datos del mundo digital en el que vivimos. Las herramientas se crean, en su mayor parte, pensando en los robots. Pueden estar ahí para ayudar a los desarrolladores y al equipo de seguridad a escanear, supervisar o proteger el código, pero la interacción es muy limitada y muy pocas soluciones tienen como objetivo aumentar la conciencia sobre la seguridad o mejorar las habilidades básicas que pueden conducir a mejores resultados de seguridad.
De hecho, más de la mitad de las empresas ni siquiera saben si las herramientas funcionan para ellas, ni confían en poder evitar una violación de datos devastadora. Ese es un sentimiento muy negativo y, en una industria obsesionada con las herramientas, que no apoya un enfoque diferente, tiende a solidificar el status quo y los problemas internos.
¿Cómo puede una organización aprovechar un enfoque de seguridad dirigido por personas?
No cabe duda de que mantenerse a la vanguardia de las tendencias de la tecnología de seguridad de las aplicaciones es beneficioso e incluso puede ayudar a priorizar las actualizaciones o consolidaciones en un paquete tecnológico exagerado, pero dejar de atacar la causa principal del software vulnerable (nosotros, simples seres humanos) nos mantendrá en el bando perdedor de la batalla de la ciberseguridad.
Si queremos tomar en serio la reducción del número de vulnerabilidades de seguridad a nivel de código, es necesario que los desarrolladores cuenten con las bases para tener éxito en el reparto de la responsabilidad en materia de seguridad. Necesitan una formación práctica y relevante y una mejora de las habilidades en el puesto de trabajo, así como herramientas funcionales que no interrumpan su flujo de trabajo ni hagan que el desarrollo de la seguridad sea una tarea ardua. Lo ideal sería que algunas herramientas estuvieran centradas en los desarrolladores y se crearan teniendo en cuenta su experiencia de usuario.
Hasta el día de hoy, no existe un programa formal de certificación de seguridad para los desarrolladores, pero todas las empresas pueden beneficiarse de la evaluación comparativa y el desarrollo de sus habilidades de codificación segura, eliminando las vulnerabilidades comunes de forma temprana y frecuente, y antes de que esa gran cantidad de tecnología tenga que ponerse manos a la obra y ralentizar todo.
Un equipo de desarrolladores conscientes de la seguridad es un tesoro escondido para cualquier organización, pero como cualquier cosa que valga la pena tener, se necesitará tiempo y esfuerzo para implementar un equipo de ensueño eficaz. Lograr que los desarrolladores se preocupen por la seguridad y consideren que la programación segura es la base de la calidad del código requiere el compromiso de toda la organización de anteponer la seguridad. Y cuando equipos enteros se dan cuenta del impacto positivo que pueden tener al eliminar las vulnerabilidades más comunes a medida que se escribe el código, no hay ninguna herramienta en el mundo que pueda competir con ella.
Una versión de este artículo apareció en Seguridad de Help Net. Se ha actualizado y distribuido aquí.
He dedicado mi carrera a buscar, arreglar, discutir y derrumbar vulnerabilidades de software, de una forma u otra. Sé que cuando se trata de algunos errores de seguridad comunes, a pesar de estar en nuestra órbita desde los años 90, siguen plagando nuestro software y causando problemas importantes, a pesar de que la solución (a menudo sencilla) se conoce desde hace casi el mismo tiempo. Realmente se siente como el Día de la Marmota, en el que nosotros, como industria, parecemos hacer lo mismo una y otra vez y esperar un resultado diferente.
Sin embargo, hay otro pequeño problema. No estamos recibiendo consejos realistas ni las soluciones más rápidas para combatir el ataque continuo que representa la ciberseguridad moderna. Por supuesto, cada violación es diferente a su manera, y existen numerosos vectores de ataque que pueden explotarse en el software vulnerable. Los consejos genéricos factibles serán limitados, pero el enfoque basado en las mejores prácticas parece tener más defectos cada hora.
Con este fin, me pregunto por qué gran parte de los comentarios y análisis sobre la ciberseguridad han omitido soluciones que realmente abordan la causa fundamental de tantas vulnerabilidades: los seres humanos. La más reciente de Gartner Hype Cycle para la seguridad de las aplicaciones, y Forrester's El estado de la seguridad de las aplicaciones en 2021, ambas biblias para expertos en seguridad que, sin duda, ayudan a dar forma a su programa y a la posible adopción de productos, se centran casi por completo en las herramientas. Un informe de Aberdeen en 2017 demostró lo ingobernable que se había vuelto la tecnología de seguridad promedio, ya que los CISO administran cientos de productos como parte de sus estrategias de seguridad; cuatro años después, nos enfrentamos a más riesgos, más vulnerabilidades y a más incorporaciones a las crecientes bestias de la tecnología.
Las herramientas de seguridad son imprescindibles, pero necesitamos tener una visión más amplia y restablecer el equilibrio del componente humano de la defensa de la seguridad.
La automatización es el futuro. ¿Por qué debemos preocuparnos por el elemento humano de la ciberseguridad?
Prácticamente todo en nuestras vidas funciona con software, y es cierto que la automatización está reemplazando los elementos humanos que alguna vez estuvieron presentes en tantos sectores. Es una señal de progreso en un mundo que se digitaliza a una velocidad vertiginosa, ya que la inteligencia artificial y el aprendizaje automático son temas candentes que mantienen a muchas organizaciones centradas en el futuro.
Entonces, ¿por qué un enfoque de ciberseguridad centrado en las personas sería otra cosa que una solución anticuada para un problema que avanza tecnológicamente? El hecho de que se hayan robado miles de millones de registros de datos en el último año, incluida la violación más reciente de Facebook afectando a más de 500 millones de cuentas, debería indicar que no estamos haciendo lo suficiente (o no estamos adoptando el enfoque correcto) para dar un serio contragolpe a los actores de las amenazas.
Las herramientas de ciberseguridad son un componente muy necesario de la ciberdefensa, y las herramientas siempre tendrán un lugar. Los analistas han estado absolutamente en lo cierto al recomendar las herramientas más recientes en un enfoque de mitigación de riesgos para las empresas, y eso no cambiará. Sin embargo, dado que la calidad del código (y, por definición, la seguridad) es difícil de gestionar con el volumen de producción de código, las herramientas no pueden hacer el trabajo por sí solas. Hasta la fecha, no existe una herramienta única que pueda:
- Analice todas las vulnerabilidades, en todos los idiomas:framework
- Escanear a gran velocidad
- Minimice la doble manipulación provocada por los falsos positivos y negativos
Las herramientas pueden ser lentas, engorrosas y difíciles de manejar. Sin embargo, sobre todo, solo encuentran problemas, no los solucionan ni recomiendan soluciones. Esto último requiere expertos en seguridad, con pocos recursos y con exceso de trabajo, que buscan entre la basura en busca de tesoros entre interminables resultados de análisis y análisis.
El hecho es que, según el informe del índice de inteligencia de ciberseguridad de IBM, el error humano desempeña un papel en El 95% de todas las filtraciones de datos exitosas. Casi la mitad de esos se relacionan directamente con vulnerabilidades de software, muchos de los cuales podrían aliviarse si en las primeras etapas del SDLC hubiera una mayor adhesión a la codificación y el conocimiento seguros. Sin embargo, para que esto suceda, es fundamental que los desarrolladores se centren de manera más precisa y relevante en la educación, además de convertirla en algo intrínseco a su flujo de trabajo.
Nos guste o no, los seres humanos están profundamente arraigados en el proceso de desarrollo de software, y la ciberseguridad es, en gran medida, un problema humano. Las herramientas no servirán para corregir un defecto fundamental de nuestro enfoque, pero pueden desempeñar un papel de apoyo clave en la remodelación de las soluciones humanas.
¿Qué pasaría si solo construyéramos mejores herramientas (y muchas de ellas)?
Las herramientas de seguridad mejoran constantemente. Las herramientas SAST/DAST/IAST han avanzado mucho, mejorando en velocidad e inteligencia, y el RASP debería ser una consideración defensiva seria en muchos entornos de aplicaciones. Los firewalls, los gestores de secretos y las aplicaciones de seguridad en la nube y en la red: todo ello es una obviedad.
Los seres humanos siempre pueden esforzarse por crear mejores herramientas, pero la innovación no está a la altura de las necesidades de seguridad y protección de datos del mundo digital en el que vivimos. Las herramientas se crean, en su mayor parte, pensando en los robots. Pueden estar ahí para ayudar a los desarrolladores y al equipo de seguridad a escanear, supervisar o proteger el código, pero la interacción es muy limitada y muy pocas soluciones tienen como objetivo aumentar la conciencia sobre la seguridad o mejorar las habilidades básicas que pueden conducir a mejores resultados de seguridad.
De hecho, más de la mitad de las empresas ni siquiera saben si las herramientas funcionan para ellas, ni confían en poder evitar una violación de datos devastadora. Ese es un sentimiento muy negativo y, en una industria obsesionada con las herramientas, que no apoya un enfoque diferente, tiende a solidificar el status quo y los problemas internos.
¿Cómo puede una organización aprovechar un enfoque de seguridad dirigido por personas?
No cabe duda de que mantenerse a la vanguardia de las tendencias de la tecnología de seguridad de las aplicaciones es beneficioso e incluso puede ayudar a priorizar las actualizaciones o consolidaciones en un paquete tecnológico exagerado, pero dejar de atacar la causa principal del software vulnerable (nosotros, simples seres humanos) nos mantendrá en el bando perdedor de la batalla de la ciberseguridad.
Si queremos tomar en serio la reducción del número de vulnerabilidades de seguridad a nivel de código, es necesario que los desarrolladores cuenten con las bases para tener éxito en el reparto de la responsabilidad en materia de seguridad. Necesitan una formación práctica y relevante y una mejora de las habilidades en el puesto de trabajo, así como herramientas funcionales que no interrumpan su flujo de trabajo ni hagan que el desarrollo de la seguridad sea una tarea ardua. Lo ideal sería que algunas herramientas estuvieran centradas en los desarrolladores y se crearan teniendo en cuenta su experiencia de usuario.
Hasta el día de hoy, no existe un programa formal de certificación de seguridad para los desarrolladores, pero todas las empresas pueden beneficiarse de la evaluación comparativa y el desarrollo de sus habilidades de codificación segura, eliminando las vulnerabilidades comunes de forma temprana y frecuente, y antes de que esa gran cantidad de tecnología tenga que ponerse manos a la obra y ralentizar todo.
Un equipo de desarrolladores conscientes de la seguridad es un tesoro escondido para cualquier organización, pero como cualquier cosa que valga la pena tener, se necesitará tiempo y esfuerzo para implementar un equipo de ensueño eficaz. Lograr que los desarrolladores se preocupen por la seguridad y consideren que la programación segura es la base de la calidad del código requiere el compromiso de toda la organización de anteponer la seguridad. Y cuando equipos enteros se dan cuenta del impacto positivo que pueden tener al eliminar las vulnerabilidades más comunes a medida que se escribe el código, no hay ninguna herramienta en el mundo que pueda competir con ella.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserva una demostración
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Una versión de este artículo apareció en Seguridad de Help Net. Se ha actualizado y distribuido aquí.
He dedicado mi carrera a buscar, arreglar, discutir y derrumbar vulnerabilidades de software, de una forma u otra. Sé que cuando se trata de algunos errores de seguridad comunes, a pesar de estar en nuestra órbita desde los años 90, siguen plagando nuestro software y causando problemas importantes, a pesar de que la solución (a menudo sencilla) se conoce desde hace casi el mismo tiempo. Realmente se siente como el Día de la Marmota, en el que nosotros, como industria, parecemos hacer lo mismo una y otra vez y esperar un resultado diferente.
Sin embargo, hay otro pequeño problema. No estamos recibiendo consejos realistas ni las soluciones más rápidas para combatir el ataque continuo que representa la ciberseguridad moderna. Por supuesto, cada violación es diferente a su manera, y existen numerosos vectores de ataque que pueden explotarse en el software vulnerable. Los consejos genéricos factibles serán limitados, pero el enfoque basado en las mejores prácticas parece tener más defectos cada hora.
Con este fin, me pregunto por qué gran parte de los comentarios y análisis sobre la ciberseguridad han omitido soluciones que realmente abordan la causa fundamental de tantas vulnerabilidades: los seres humanos. La más reciente de Gartner Hype Cycle para la seguridad de las aplicaciones, y Forrester's El estado de la seguridad de las aplicaciones en 2021, ambas biblias para expertos en seguridad que, sin duda, ayudan a dar forma a su programa y a la posible adopción de productos, se centran casi por completo en las herramientas. Un informe de Aberdeen en 2017 demostró lo ingobernable que se había vuelto la tecnología de seguridad promedio, ya que los CISO administran cientos de productos como parte de sus estrategias de seguridad; cuatro años después, nos enfrentamos a más riesgos, más vulnerabilidades y a más incorporaciones a las crecientes bestias de la tecnología.
Las herramientas de seguridad son imprescindibles, pero necesitamos tener una visión más amplia y restablecer el equilibrio del componente humano de la defensa de la seguridad.
La automatización es el futuro. ¿Por qué debemos preocuparnos por el elemento humano de la ciberseguridad?
Prácticamente todo en nuestras vidas funciona con software, y es cierto que la automatización está reemplazando los elementos humanos que alguna vez estuvieron presentes en tantos sectores. Es una señal de progreso en un mundo que se digitaliza a una velocidad vertiginosa, ya que la inteligencia artificial y el aprendizaje automático son temas candentes que mantienen a muchas organizaciones centradas en el futuro.
Entonces, ¿por qué un enfoque de ciberseguridad centrado en las personas sería otra cosa que una solución anticuada para un problema que avanza tecnológicamente? El hecho de que se hayan robado miles de millones de registros de datos en el último año, incluida la violación más reciente de Facebook afectando a más de 500 millones de cuentas, debería indicar que no estamos haciendo lo suficiente (o no estamos adoptando el enfoque correcto) para dar un serio contragolpe a los actores de las amenazas.
Las herramientas de ciberseguridad son un componente muy necesario de la ciberdefensa, y las herramientas siempre tendrán un lugar. Los analistas han estado absolutamente en lo cierto al recomendar las herramientas más recientes en un enfoque de mitigación de riesgos para las empresas, y eso no cambiará. Sin embargo, dado que la calidad del código (y, por definición, la seguridad) es difícil de gestionar con el volumen de producción de código, las herramientas no pueden hacer el trabajo por sí solas. Hasta la fecha, no existe una herramienta única que pueda:
- Analice todas las vulnerabilidades, en todos los idiomas:framework
- Escanear a gran velocidad
- Minimice la doble manipulación provocada por los falsos positivos y negativos
Las herramientas pueden ser lentas, engorrosas y difíciles de manejar. Sin embargo, sobre todo, solo encuentran problemas, no los solucionan ni recomiendan soluciones. Esto último requiere expertos en seguridad, con pocos recursos y con exceso de trabajo, que buscan entre la basura en busca de tesoros entre interminables resultados de análisis y análisis.
El hecho es que, según el informe del índice de inteligencia de ciberseguridad de IBM, el error humano desempeña un papel en El 95% de todas las filtraciones de datos exitosas. Casi la mitad de esos se relacionan directamente con vulnerabilidades de software, muchos de los cuales podrían aliviarse si en las primeras etapas del SDLC hubiera una mayor adhesión a la codificación y el conocimiento seguros. Sin embargo, para que esto suceda, es fundamental que los desarrolladores se centren de manera más precisa y relevante en la educación, además de convertirla en algo intrínseco a su flujo de trabajo.
Nos guste o no, los seres humanos están profundamente arraigados en el proceso de desarrollo de software, y la ciberseguridad es, en gran medida, un problema humano. Las herramientas no servirán para corregir un defecto fundamental de nuestro enfoque, pero pueden desempeñar un papel de apoyo clave en la remodelación de las soluciones humanas.
¿Qué pasaría si solo construyéramos mejores herramientas (y muchas de ellas)?
Las herramientas de seguridad mejoran constantemente. Las herramientas SAST/DAST/IAST han avanzado mucho, mejorando en velocidad e inteligencia, y el RASP debería ser una consideración defensiva seria en muchos entornos de aplicaciones. Los firewalls, los gestores de secretos y las aplicaciones de seguridad en la nube y en la red: todo ello es una obviedad.
Los seres humanos siempre pueden esforzarse por crear mejores herramientas, pero la innovación no está a la altura de las necesidades de seguridad y protección de datos del mundo digital en el que vivimos. Las herramientas se crean, en su mayor parte, pensando en los robots. Pueden estar ahí para ayudar a los desarrolladores y al equipo de seguridad a escanear, supervisar o proteger el código, pero la interacción es muy limitada y muy pocas soluciones tienen como objetivo aumentar la conciencia sobre la seguridad o mejorar las habilidades básicas que pueden conducir a mejores resultados de seguridad.
De hecho, más de la mitad de las empresas ni siquiera saben si las herramientas funcionan para ellas, ni confían en poder evitar una violación de datos devastadora. Ese es un sentimiento muy negativo y, en una industria obsesionada con las herramientas, que no apoya un enfoque diferente, tiende a solidificar el status quo y los problemas internos.
¿Cómo puede una organización aprovechar un enfoque de seguridad dirigido por personas?
No cabe duda de que mantenerse a la vanguardia de las tendencias de la tecnología de seguridad de las aplicaciones es beneficioso e incluso puede ayudar a priorizar las actualizaciones o consolidaciones en un paquete tecnológico exagerado, pero dejar de atacar la causa principal del software vulnerable (nosotros, simples seres humanos) nos mantendrá en el bando perdedor de la batalla de la ciberseguridad.
Si queremos tomar en serio la reducción del número de vulnerabilidades de seguridad a nivel de código, es necesario que los desarrolladores cuenten con las bases para tener éxito en el reparto de la responsabilidad en materia de seguridad. Necesitan una formación práctica y relevante y una mejora de las habilidades en el puesto de trabajo, así como herramientas funcionales que no interrumpan su flujo de trabajo ni hagan que el desarrollo de la seguridad sea una tarea ardua. Lo ideal sería que algunas herramientas estuvieran centradas en los desarrolladores y se crearan teniendo en cuenta su experiencia de usuario.
Hasta el día de hoy, no existe un programa formal de certificación de seguridad para los desarrolladores, pero todas las empresas pueden beneficiarse de la evaluación comparativa y el desarrollo de sus habilidades de codificación segura, eliminando las vulnerabilidades comunes de forma temprana y frecuente, y antes de que esa gran cantidad de tecnología tenga que ponerse manos a la obra y ralentizar todo.
Un equipo de desarrolladores conscientes de la seguridad es un tesoro escondido para cualquier organización, pero como cualquier cosa que valga la pena tener, se necesitará tiempo y esfuerzo para implementar un equipo de ensueño eficaz. Lograr que los desarrolladores se preocupen por la seguridad y consideren que la programación segura es la base de la calidad del código requiere el compromiso de toda la organización de anteponer la seguridad. Y cuando equipos enteros se dan cuenta del impacto positivo que pueden tener al eliminar las vulnerabilidades más comunes a medida que se escribe el código, no hay ninguna herramienta en el mundo que pueda competir con ella.
Tabla de contenido
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Habilitador 1: Criterios de éxito definidos y medibles
Enabler 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
