Blog

Por qué nunca debemos pasar por alto el factor humano en la ciberseguridad

July 22, 2021
Secure Code Warrior

Hace poco estuvimos muy emocionados de ver el primer Puesto en el Consejo de Tecnología de Forbes de nuestro presidente y director ejecutivo, Pieter Danhieux, en directo. La publicación detallaba cómo mejorar las habilidades de los desarrolladores para crear un código más seguro es clave para prevenir los ciberataques y las filtraciones de datos. No solo eso, reveló cómo estos mismos desarrolladores preocupados por la seguridad pueden ayudar a entregar un código mejor y más seguro, más rápido de lo que creen muchos departamentos de TI. La necesidad de este enfoque es, sin duda, imperiosa. Un estudio reciente encontró que ahora se produce un ciberataque cada 39 segundos, y todos hemos sido testigos de la interrupción provocada por un solo ataque exitoso de ransomware en Oleoducto colonial, que en el esquema más amplio de las cosas no era tan destructivo como el Hackeo de SolarWinds.


Siguen existiendo muchas vulnerabilidades comunes porque nadie se molestó en mostrar a los desarrolladores cómo reemplazar los patrones de codificación deficientes por una forma mejor de realizar las mismas funciones, de una manera más segura y protegida. Además, el impacto de corregir el software en una fase avanzada de su desarrollo es extremadamente costoso, tanto en términos de horas invertidas como de demoras en la implementación. Reparar el código una vez que se ha implementado, especialmente después de que un atacante haya aprovechado una vulnerabilidad no descubierta anteriormente, a veces puede costar millones de dólares. Y eso sin tener en cuenta los daños a la reputación de una empresa tras una violación importante.


Los desarrolladores con formación en seguridad se convierten naturalmente en mejores programadores. No cabe duda de que los CISO no deberían abandonar sus herramientas de seguridad a corto plazo, pero si adoptan un enfoque de seguridad inclusivo y preventivo desde arriba, pueden aprovechar el mayor recurso de su empresa, el factor humano, especialmente cuando se trata de proteger la codificación desde el principio del ciclo de vida del desarrollo del software.


Para ello, estas son las tres principales estrategias de alto nivel que hay que tener en cuenta.


1. Sea proactivo, no reactivo

Las empresas suelen caer en la trampa de ser reactivas, por ejemplo, respondiendo a lo que hace la competencia en lugar de desarrollar y perseguir una visión única. Muchas también adoptan este enfoque por defecto cuando se trata de vulnerabilidades de seguridad en el código, y se toman la ciberseguridad en serio solo cuando se ven obligadas a hacerlo como resultado de una violación exitosa. Por desgracia, para entonces el daño ya está hecho, y las multas, los costes de recuperación, la pérdida de clientes y la restauración de la marca repercuten en el balance final. Otra forma de reaccionar en lugar de actuar es recurrir al escaneo automático o manual del código para encontrar vulnerabilidades en el código existente, en lugar de centrarse en crear código seguro desde el principio. Lamentablemente, el escaneo de código no es la solución perfecta, lo que significa que cuantas más vulnerabilidades haya en el código, mayores serán las probabilidades de que algunas se escapen.


Solo si se adopta un enfoque proactivo y se trabaja con los desarrolladores para ayudarlos a crear código seguro desde el principio, se puede establecer un ciclo de vida de desarrollo de software que reduzca significativamente la posibilidad de que los usuarios conozcan las vulnerabilidades de codificación.


2. Mejora tus habilidades, no exageres

Una vez que decidas proporcionar a los desarrolladores los conocimientos que necesitan para crear código seguro, elige tu enfoque con prudencia. Los talleres de formación internos que ponen fin a la programación frustran tanto a los desarrolladores como a los administradores. Los cursos presenciales que requieren asistencia por la noche o los fines de semana son incluso menos populares. El mejor enfoque es desarrollar habilidades de codificación de forma incremental, proporcionar información relevante paso a paso durante el proceso de codificación — básicamente mejorar las habilidades sin distraer significativamente a los desarrolladores ni ralentizar el proceso de desarrollo.


3. Incentiva, no asumas

Los desarrolladores no deberían ver la mejora de las habilidades de seguridad como un castigo o una carga total. Los gerentes deben inspirar a los desarrolladores comunicándoles el importante papel que desempeña el código seguro en el éxito de la empresa. También es importante transmitir que los programadores seguros son más valiosos para la empresa y que disfrutarán de mayores oportunidades profesionales en el futuro.


La Administración de Biden es bienvenida Orden ejecutiva ha aumentado el enfoque en la ciberseguridad y la necesidad de «incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores, e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras». Sin embargo, si bien las herramientas son esenciales, no son suficientes. Ninguna herramienta eliminará por completo la capacidad de una persona de ignorar, malinterpretar, abusar o eludir de alguna manera los sistemas y herramientas que se han establecido. Para maximizar la seguridad de sus empresas, los CISO deben aprovechar el factor humano y alentar a los desarrolladores a convertirse en defensores y profesionales de la seguridad dispuestos a hacerlo.

Lema

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
Lema

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

El futuro de la gobernanza de software de IA se construye sobre asociaciones sólidas

Descubra por qué Secure Code Warrior se está convirtiendo en una empresa centrada en el canal y cómo los socios de confianza ayudan a las organizaciones a adoptar la gobernanza de software de IA de forma segura y a escala.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI de Secure Code Warrior: Crea una fuerza laboral preparada para la IA

Programa de alfabetización en IA de Secure Code Warrior para empleados que no son desarrolladores.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Por qué la mayoría de los CISO navegan a ciegas en la adopción de la IA (y cómo pueden quitarse la venda)

Hoy, Secure Code Warrior ha publicado un nuevo informe técnico que presenta un modelo prescriptivo y orientativo de adopción de IA, diseñado para que los líderes de seguridad puedan identificar su etapa de adopción y avanzar de forma efectiva en el control de los riesgos de seguridad relacionados con la IA en sus organizaciones.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo