¿Está preparado su programa de seguridad para el plan estratégico de ciberseguridad de la CISA?
Una versión de este artículo apareció en Forbes. Se ha actualizado y distribuido aquí.
El Plan Estratégico de Ciberseguridad impulsa cambios importantes en la forma en que la mayoría de las organizaciones abordan la ciberseguridad, y los desarrolladores se encuentran en una posición única para ayudar a lograr esos nuevos objetivos.
La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) no solo ha desempeñado un papel decisivo en la protección de la infraestructura crítica y las redes informáticas de los Estados Unidos desde su creación en 2018, sino que su influencia y experiencia también han repercutido en todo el mundo. El asesoramiento integral, las advertencias de seguridad, los informes de vulnerabilidad y programas de ciberseguridad han establecido un punto de referencia mundial para las mejores prácticas procesables, lo que subraya la importancia del Plan Estratégico 2023-2025 de la CISA publicado recientemente en el ámbito de la ciberseguridad global.
La influencia y los logros de la CISA también se han extendido mucho más allá de lo que la mayoría de las agencias gubernamentales han podido lograr, especialmente teniendo en cuenta que solo existe desde hace unos pocos años. Esto se debe en gran parte a la crecimiento exponencial del panorama de las amenazas y del hecho de que los agresores son cada vez más hábiles en sus intentos de violación y explotación. La CISA ha asumido un papel de liderazgo en la lucha contra los ciberdelincuentes y otros denominados actores de amenazas, rastreando metódicamente las tendencias y asesorando sobre las mejores prácticas en materia de ciberseguridad.
Sin embargo, a pesar de todos los útiles consejos y directrices de la agencia, nunca antes había publicado un plan estratégico general diseñado para establecer la dirección general de los esfuerzos de ciberseguridad en los próximos años. Este no es solo otro plan, pero un hito que muchas organizaciones querrán estudiar y, en última instancia, implementar. El hecho de que el plan prevea cambios importantes en la forma en que se aborda la ciberseguridad puede dificultar el seguimiento de esa orientación, aunque la comunidad de desarrollo se encuentra en una posición única para ayudar se le proporcionan el apoyo, las herramientas y las vías de mejora de las habilidades adecuadas.
Se avecina un cambio en las mejores prácticas de ciberseguridad a nivel mundial
A primera vista, sería fácil percibir cierto nivel de frustración en el Plan Estratégico de la CISA, pero la CISA simplemente reconoce el hecho de que si seguimos haciendo las mismas cosas que hacemos ahora, seguiremos obteniendo los mismos resultados. Para que la ciberseguridad mejore, se requerirán cambios importantes en todos los ámbitos, incluso por parte de las empresas que fabrican el software y las aplicaciones que se utilizan en la actualidad.
Apuntar con el dedo al software, al menos parcialmente, es un concepto que se ha introducido anteriormente. De hecho, el National security strategy de los Estados Unidos afirma específicamente que «la mala seguridad del software aumenta considerablemente el riesgo sistémico en todo el ecosistema digital». El Plan Estratégico de la CISA establece una nueva estrategia para abordar y resolver esa situación.
El mayor cambio en la ciberseguridad que promueve la CISA es desafiar a quienes fabrican software a enviar productos seguros. Si se establecen e implementan las mejores prácticas de codificación segura, habrá muchas menos vulnerabilidades, especialmente las más importantes, ocultas en el software para que los atacantes las exploten. Sí, hay algo que podría pasarse por alto aquí y allá y que sería necesario encontrar y corregir con diligencia, pero esa es una propuesta manejable en comparación con el status quo actual: cada día se detectan cientos de vulnerabilidades que sobrecargan a los defensores de la ciberseguridad. La CISA afirma muy claramente en su plan que quienes fabrican software y otras tecnologías deben ser responsables de la seguridad de sus propios productos.
«Como sociedad, ya no podemos aceptar un modelo en el que todos los productos tecnológicos sean vulnerables en el momento de su lanzamiento y en el que la abrumadora carga de la seguridad recaiga en las organizaciones y los usuarios individuales», afirma el Plan Estratégico de la CISA. «La tecnología debe diseñarse, desarrollarse y probarse para minimizar la cantidad de defectos que puedan explotarse antes de introducirla en el mercado».
El plan continúa sugiriendo que, con el tiempo, este nuevo enfoque podría resultar más que sugerente, y afirma que la CISA utilizará «todas las palancas disponibles para influir en las decisiones de riesgo de los líderes de la organización». También sugiere que leyes como la Ley de notificación de ciberincidentes para infraestructuras críticas de 2022 (CIRCIA), que actualmente rige la notificación de ciberincidentes, podría servir de modelo para, con el tiempo, hacer que el cumplimiento voluntario de estas nuevas normas sea más obligatorio. En cualquier caso, sería beneficioso para la mayoría de las empresas que fabrican software y otras tecnologías en la actualidad intentar respaldar esta nueva guía.
La orientación de la CISA representa una oportunidad clave
En lugar de sentir aprendizaje ante la perspectiva de más posibles regulaciones, las organizaciones deberían aprovechar la oportunidad de utilizar el Plan Estratégico de la CISA para esforzarse por lograr un software mejor y de mayor calidad. No se trata solo de un llamado al cumplimiento, sino de una oportunidad para que los desarrolladores perfeccionen sus habilidades y contribuyan a un panorama digital más seguro. En última instancia, la producción de software seguro ayuda a todos, incluida la empresa que lo fabrica, los usuarios que pasan a depender de él y las personas a cuyos datos se acceden o se almacenan mediante ese software o aplicación. Solo los atacantes se quedan con las manos vacías si el código que compone la mayoría del software y las aplicaciones es lo más seguro posible antes de pasar a un entorno de producción.
Dada esta nueva dirección, tiene sentido que los desarrolladores de una organización, que escriben o obtienen todo el código, sean el punto de partida perfecto para implementar una codificación más segura y esforzarse por cumplir con el plan de la CISA. Sin embargo, los desarrolladores no pueden hacerlo solos sin el apoyo del resto de la organización, especialmente de la alta dirección. Contar con desarrolladores que comprendan las vulnerabilidades, sepan escribir código seguro y sepan reconocer los problemas mucho antes de que lleguen a un entorno de producción será la clave para que las organizaciones asuman, en última instancia, la responsabilidad de distribuir el código y, como dice CISA, «garantizar que las vulnerabilidades se descubran y solucionen antes de que los adversarios puedan utilizarlas para causar daño».
Una cosa clave a tener en cuenta es que la formación que necesitan los desarrolladores es bastante avanzada. Es difícil para alguien llegar a ser competente para escribir código seguro de manera consistente, y las medidas de cumplimiento que se marcan todas las casillas simplemente no están a la altura de esa tarea. Los desarrolladores necesitarán métodos de aprendizaje ágiles y de alto nivel que ofrezcan resultados de aprendizaje prácticos, asimilables y continuos como parte de un programa general de sensibilización sobre seguridad, a fin de garantizar que cuentan con las habilidades necesarias para mantener el nivel de seguridad requerido por el nuevo plan de la CISA.
Idealmente, la mejora de las habilidades para prepararse para el plan CISA también debería incorporar muchos de los métodos y programas avanzados que los desarrolladores utilizan todos los días, como los principios del desarrollo ágil. Por ejemplo, en el desarrollo ágil, el trabajo se divide en partes manejables, superponiendo los sprints unos sobre otros en un ciclo continuo. Un buen programa educativo que incorpora Agile las prácticas pueden ayudar a los desarrolladores a ponerse al día rápidamente con las habilidades necesarias para respaldar el plan CISA, lo que les permite empezar a ver los beneficios y empezar a programar de forma más segura casi de inmediato.
La buena noticia es que la mayoría de los desarrolladores apoyan las prácticas de codificación seguras y están deseosos de ayudar a sus organizaciones a cumplir con la nueva directiva CISA. En un encuesta De los más de 1200 desarrolladores profesionales que trabajan activamente en todo el mundo, la inmensa mayoría dijo que apoyaba el concepto de crear código seguro y establecer una mejor cultura de seguridad en sus organizaciones.
Los desarrolladores necesitan itinerarios educativos precisos y un apoyo adecuado. Si las organizaciones pueden proporcionarlo, su código no solo será más seguro, sino que también estarán a la vanguardia en sus esfuerzos por cumplir o superar las directrices establecidas en el nuevo Plan Estratégico de Ciberseguridad de la CISA.
Este cambio propuesto en la cultura de la seguridad será un desafío, pero también es una oportunidad increíble para cambiar la naturaleza de la ciberseguridad y crear un mundo en el que la tecnología que mejora nuestras vidas no esté plagada de ataques que traten constantemente de explotarla para sus propios fines nefastos. Tenemos el poder de detenerlos, y el plan de la CISA muestra un camino prometedor hacia ese objetivo notable y, en última instancia, alcanzable.
El Plan Estratégico de Ciberseguridad impulsa cambios importantes en la forma en que la mayoría de las organizaciones abordan la ciberseguridad, y los desarrolladores se encuentran en una posición única para ayudar a lograr esos nuevos objetivos.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Forbes. Se ha actualizado y distribuido aquí.
El Plan Estratégico de Ciberseguridad impulsa cambios importantes en la forma en que la mayoría de las organizaciones abordan la ciberseguridad, y los desarrolladores se encuentran en una posición única para ayudar a lograr esos nuevos objetivos.
La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) no solo ha desempeñado un papel decisivo en la protección de la infraestructura crítica y las redes informáticas de los Estados Unidos desde su creación en 2018, sino que su influencia y experiencia también han repercutido en todo el mundo. El asesoramiento integral, las advertencias de seguridad, los informes de vulnerabilidad y programas de ciberseguridad han establecido un punto de referencia mundial para las mejores prácticas procesables, lo que subraya la importancia del Plan Estratégico 2023-2025 de la CISA publicado recientemente en el ámbito de la ciberseguridad global.
La influencia y los logros de la CISA también se han extendido mucho más allá de lo que la mayoría de las agencias gubernamentales han podido lograr, especialmente teniendo en cuenta que solo existe desde hace unos pocos años. Esto se debe en gran parte a la crecimiento exponencial del panorama de las amenazas y del hecho de que los agresores son cada vez más hábiles en sus intentos de violación y explotación. La CISA ha asumido un papel de liderazgo en la lucha contra los ciberdelincuentes y otros denominados actores de amenazas, rastreando metódicamente las tendencias y asesorando sobre las mejores prácticas en materia de ciberseguridad.
Sin embargo, a pesar de todos los útiles consejos y directrices de la agencia, nunca antes había publicado un plan estratégico general diseñado para establecer la dirección general de los esfuerzos de ciberseguridad en los próximos años. Este no es solo otro plan, pero un hito que muchas organizaciones querrán estudiar y, en última instancia, implementar. El hecho de que el plan prevea cambios importantes en la forma en que se aborda la ciberseguridad puede dificultar el seguimiento de esa orientación, aunque la comunidad de desarrollo se encuentra en una posición única para ayudar se le proporcionan el apoyo, las herramientas y las vías de mejora de las habilidades adecuadas.
Se avecina un cambio en las mejores prácticas de ciberseguridad a nivel mundial
A primera vista, sería fácil percibir cierto nivel de frustración en el Plan Estratégico de la CISA, pero la CISA simplemente reconoce el hecho de que si seguimos haciendo las mismas cosas que hacemos ahora, seguiremos obteniendo los mismos resultados. Para que la ciberseguridad mejore, se requerirán cambios importantes en todos los ámbitos, incluso por parte de las empresas que fabrican el software y las aplicaciones que se utilizan en la actualidad.
Apuntar con el dedo al software, al menos parcialmente, es un concepto que se ha introducido anteriormente. De hecho, el National security strategy de los Estados Unidos afirma específicamente que «la mala seguridad del software aumenta considerablemente el riesgo sistémico en todo el ecosistema digital». El Plan Estratégico de la CISA establece una nueva estrategia para abordar y resolver esa situación.
El mayor cambio en la ciberseguridad que promueve la CISA es desafiar a quienes fabrican software a enviar productos seguros. Si se establecen e implementan las mejores prácticas de codificación segura, habrá muchas menos vulnerabilidades, especialmente las más importantes, ocultas en el software para que los atacantes las exploten. Sí, hay algo que podría pasarse por alto aquí y allá y que sería necesario encontrar y corregir con diligencia, pero esa es una propuesta manejable en comparación con el status quo actual: cada día se detectan cientos de vulnerabilidades que sobrecargan a los defensores de la ciberseguridad. La CISA afirma muy claramente en su plan que quienes fabrican software y otras tecnologías deben ser responsables de la seguridad de sus propios productos.
«Como sociedad, ya no podemos aceptar un modelo en el que todos los productos tecnológicos sean vulnerables en el momento de su lanzamiento y en el que la abrumadora carga de la seguridad recaiga en las organizaciones y los usuarios individuales», afirma el Plan Estratégico de la CISA. «La tecnología debe diseñarse, desarrollarse y probarse para minimizar la cantidad de defectos que puedan explotarse antes de introducirla en el mercado».
El plan continúa sugiriendo que, con el tiempo, este nuevo enfoque podría resultar más que sugerente, y afirma que la CISA utilizará «todas las palancas disponibles para influir en las decisiones de riesgo de los líderes de la organización». También sugiere que leyes como la Ley de notificación de ciberincidentes para infraestructuras críticas de 2022 (CIRCIA), que actualmente rige la notificación de ciberincidentes, podría servir de modelo para, con el tiempo, hacer que el cumplimiento voluntario de estas nuevas normas sea más obligatorio. En cualquier caso, sería beneficioso para la mayoría de las empresas que fabrican software y otras tecnologías en la actualidad intentar respaldar esta nueva guía.
La orientación de la CISA representa una oportunidad clave
En lugar de sentir aprendizaje ante la perspectiva de más posibles regulaciones, las organizaciones deberían aprovechar la oportunidad de utilizar el Plan Estratégico de la CISA para esforzarse por lograr un software mejor y de mayor calidad. No se trata solo de un llamado al cumplimiento, sino de una oportunidad para que los desarrolladores perfeccionen sus habilidades y contribuyan a un panorama digital más seguro. En última instancia, la producción de software seguro ayuda a todos, incluida la empresa que lo fabrica, los usuarios que pasan a depender de él y las personas a cuyos datos se acceden o se almacenan mediante ese software o aplicación. Solo los atacantes se quedan con las manos vacías si el código que compone la mayoría del software y las aplicaciones es lo más seguro posible antes de pasar a un entorno de producción.
Dada esta nueva dirección, tiene sentido que los desarrolladores de una organización, que escriben o obtienen todo el código, sean el punto de partida perfecto para implementar una codificación más segura y esforzarse por cumplir con el plan de la CISA. Sin embargo, los desarrolladores no pueden hacerlo solos sin el apoyo del resto de la organización, especialmente de la alta dirección. Contar con desarrolladores que comprendan las vulnerabilidades, sepan escribir código seguro y sepan reconocer los problemas mucho antes de que lleguen a un entorno de producción será la clave para que las organizaciones asuman, en última instancia, la responsabilidad de distribuir el código y, como dice CISA, «garantizar que las vulnerabilidades se descubran y solucionen antes de que los adversarios puedan utilizarlas para causar daño».
Una cosa clave a tener en cuenta es que la formación que necesitan los desarrolladores es bastante avanzada. Es difícil para alguien llegar a ser competente para escribir código seguro de manera consistente, y las medidas de cumplimiento que se marcan todas las casillas simplemente no están a la altura de esa tarea. Los desarrolladores necesitarán métodos de aprendizaje ágiles y de alto nivel que ofrezcan resultados de aprendizaje prácticos, asimilables y continuos como parte de un programa general de sensibilización sobre seguridad, a fin de garantizar que cuentan con las habilidades necesarias para mantener el nivel de seguridad requerido por el nuevo plan de la CISA.
Idealmente, la mejora de las habilidades para prepararse para el plan CISA también debería incorporar muchos de los métodos y programas avanzados que los desarrolladores utilizan todos los días, como los principios del desarrollo ágil. Por ejemplo, en el desarrollo ágil, el trabajo se divide en partes manejables, superponiendo los sprints unos sobre otros en un ciclo continuo. Un buen programa educativo que incorpora Agile las prácticas pueden ayudar a los desarrolladores a ponerse al día rápidamente con las habilidades necesarias para respaldar el plan CISA, lo que les permite empezar a ver los beneficios y empezar a programar de forma más segura casi de inmediato.
La buena noticia es que la mayoría de los desarrolladores apoyan las prácticas de codificación seguras y están deseosos de ayudar a sus organizaciones a cumplir con la nueva directiva CISA. En un encuesta De los más de 1200 desarrolladores profesionales que trabajan activamente en todo el mundo, la inmensa mayoría dijo que apoyaba el concepto de crear código seguro y establecer una mejor cultura de seguridad en sus organizaciones.
Los desarrolladores necesitan itinerarios educativos precisos y un apoyo adecuado. Si las organizaciones pueden proporcionarlo, su código no solo será más seguro, sino que también estarán a la vanguardia en sus esfuerzos por cumplir o superar las directrices establecidas en el nuevo Plan Estratégico de Ciberseguridad de la CISA.
Este cambio propuesto en la cultura de la seguridad será un desafío, pero también es una oportunidad increíble para cambiar la naturaleza de la ciberseguridad y crear un mundo en el que la tecnología que mejora nuestras vidas no esté plagada de ataques que traten constantemente de explotarla para sus propios fines nefastos. Tenemos el poder de detenerlos, y el plan de la CISA muestra un camino prometedor hacia ese objetivo notable y, en última instancia, alcanzable.
Una versión de este artículo apareció en Forbes. Se ha actualizado y distribuido aquí.
El Plan Estratégico de Ciberseguridad impulsa cambios importantes en la forma en que la mayoría de las organizaciones abordan la ciberseguridad, y los desarrolladores se encuentran en una posición única para ayudar a lograr esos nuevos objetivos.
La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) no solo ha desempeñado un papel decisivo en la protección de la infraestructura crítica y las redes informáticas de los Estados Unidos desde su creación en 2018, sino que su influencia y experiencia también han repercutido en todo el mundo. El asesoramiento integral, las advertencias de seguridad, los informes de vulnerabilidad y programas de ciberseguridad han establecido un punto de referencia mundial para las mejores prácticas procesables, lo que subraya la importancia del Plan Estratégico 2023-2025 de la CISA publicado recientemente en el ámbito de la ciberseguridad global.
La influencia y los logros de la CISA también se han extendido mucho más allá de lo que la mayoría de las agencias gubernamentales han podido lograr, especialmente teniendo en cuenta que solo existe desde hace unos pocos años. Esto se debe en gran parte a la crecimiento exponencial del panorama de las amenazas y del hecho de que los agresores son cada vez más hábiles en sus intentos de violación y explotación. La CISA ha asumido un papel de liderazgo en la lucha contra los ciberdelincuentes y otros denominados actores de amenazas, rastreando metódicamente las tendencias y asesorando sobre las mejores prácticas en materia de ciberseguridad.
Sin embargo, a pesar de todos los útiles consejos y directrices de la agencia, nunca antes había publicado un plan estratégico general diseñado para establecer la dirección general de los esfuerzos de ciberseguridad en los próximos años. Este no es solo otro plan, pero un hito que muchas organizaciones querrán estudiar y, en última instancia, implementar. El hecho de que el plan prevea cambios importantes en la forma en que se aborda la ciberseguridad puede dificultar el seguimiento de esa orientación, aunque la comunidad de desarrollo se encuentra en una posición única para ayudar se le proporcionan el apoyo, las herramientas y las vías de mejora de las habilidades adecuadas.
Se avecina un cambio en las mejores prácticas de ciberseguridad a nivel mundial
A primera vista, sería fácil percibir cierto nivel de frustración en el Plan Estratégico de la CISA, pero la CISA simplemente reconoce el hecho de que si seguimos haciendo las mismas cosas que hacemos ahora, seguiremos obteniendo los mismos resultados. Para que la ciberseguridad mejore, se requerirán cambios importantes en todos los ámbitos, incluso por parte de las empresas que fabrican el software y las aplicaciones que se utilizan en la actualidad.
Apuntar con el dedo al software, al menos parcialmente, es un concepto que se ha introducido anteriormente. De hecho, el National security strategy de los Estados Unidos afirma específicamente que «la mala seguridad del software aumenta considerablemente el riesgo sistémico en todo el ecosistema digital». El Plan Estratégico de la CISA establece una nueva estrategia para abordar y resolver esa situación.
El mayor cambio en la ciberseguridad que promueve la CISA es desafiar a quienes fabrican software a enviar productos seguros. Si se establecen e implementan las mejores prácticas de codificación segura, habrá muchas menos vulnerabilidades, especialmente las más importantes, ocultas en el software para que los atacantes las exploten. Sí, hay algo que podría pasarse por alto aquí y allá y que sería necesario encontrar y corregir con diligencia, pero esa es una propuesta manejable en comparación con el status quo actual: cada día se detectan cientos de vulnerabilidades que sobrecargan a los defensores de la ciberseguridad. La CISA afirma muy claramente en su plan que quienes fabrican software y otras tecnologías deben ser responsables de la seguridad de sus propios productos.
«Como sociedad, ya no podemos aceptar un modelo en el que todos los productos tecnológicos sean vulnerables en el momento de su lanzamiento y en el que la abrumadora carga de la seguridad recaiga en las organizaciones y los usuarios individuales», afirma el Plan Estratégico de la CISA. «La tecnología debe diseñarse, desarrollarse y probarse para minimizar la cantidad de defectos que puedan explotarse antes de introducirla en el mercado».
El plan continúa sugiriendo que, con el tiempo, este nuevo enfoque podría resultar más que sugerente, y afirma que la CISA utilizará «todas las palancas disponibles para influir en las decisiones de riesgo de los líderes de la organización». También sugiere que leyes como la Ley de notificación de ciberincidentes para infraestructuras críticas de 2022 (CIRCIA), que actualmente rige la notificación de ciberincidentes, podría servir de modelo para, con el tiempo, hacer que el cumplimiento voluntario de estas nuevas normas sea más obligatorio. En cualquier caso, sería beneficioso para la mayoría de las empresas que fabrican software y otras tecnologías en la actualidad intentar respaldar esta nueva guía.
La orientación de la CISA representa una oportunidad clave
En lugar de sentir aprendizaje ante la perspectiva de más posibles regulaciones, las organizaciones deberían aprovechar la oportunidad de utilizar el Plan Estratégico de la CISA para esforzarse por lograr un software mejor y de mayor calidad. No se trata solo de un llamado al cumplimiento, sino de una oportunidad para que los desarrolladores perfeccionen sus habilidades y contribuyan a un panorama digital más seguro. En última instancia, la producción de software seguro ayuda a todos, incluida la empresa que lo fabrica, los usuarios que pasan a depender de él y las personas a cuyos datos se acceden o se almacenan mediante ese software o aplicación. Solo los atacantes se quedan con las manos vacías si el código que compone la mayoría del software y las aplicaciones es lo más seguro posible antes de pasar a un entorno de producción.
Dada esta nueva dirección, tiene sentido que los desarrolladores de una organización, que escriben o obtienen todo el código, sean el punto de partida perfecto para implementar una codificación más segura y esforzarse por cumplir con el plan de la CISA. Sin embargo, los desarrolladores no pueden hacerlo solos sin el apoyo del resto de la organización, especialmente de la alta dirección. Contar con desarrolladores que comprendan las vulnerabilidades, sepan escribir código seguro y sepan reconocer los problemas mucho antes de que lleguen a un entorno de producción será la clave para que las organizaciones asuman, en última instancia, la responsabilidad de distribuir el código y, como dice CISA, «garantizar que las vulnerabilidades se descubran y solucionen antes de que los adversarios puedan utilizarlas para causar daño».
Una cosa clave a tener en cuenta es que la formación que necesitan los desarrolladores es bastante avanzada. Es difícil para alguien llegar a ser competente para escribir código seguro de manera consistente, y las medidas de cumplimiento que se marcan todas las casillas simplemente no están a la altura de esa tarea. Los desarrolladores necesitarán métodos de aprendizaje ágiles y de alto nivel que ofrezcan resultados de aprendizaje prácticos, asimilables y continuos como parte de un programa general de sensibilización sobre seguridad, a fin de garantizar que cuentan con las habilidades necesarias para mantener el nivel de seguridad requerido por el nuevo plan de la CISA.
Idealmente, la mejora de las habilidades para prepararse para el plan CISA también debería incorporar muchos de los métodos y programas avanzados que los desarrolladores utilizan todos los días, como los principios del desarrollo ágil. Por ejemplo, en el desarrollo ágil, el trabajo se divide en partes manejables, superponiendo los sprints unos sobre otros en un ciclo continuo. Un buen programa educativo que incorpora Agile las prácticas pueden ayudar a los desarrolladores a ponerse al día rápidamente con las habilidades necesarias para respaldar el plan CISA, lo que les permite empezar a ver los beneficios y empezar a programar de forma más segura casi de inmediato.
La buena noticia es que la mayoría de los desarrolladores apoyan las prácticas de codificación seguras y están deseosos de ayudar a sus organizaciones a cumplir con la nueva directiva CISA. En un encuesta De los más de 1200 desarrolladores profesionales que trabajan activamente en todo el mundo, la inmensa mayoría dijo que apoyaba el concepto de crear código seguro y establecer una mejor cultura de seguridad en sus organizaciones.
Los desarrolladores necesitan itinerarios educativos precisos y un apoyo adecuado. Si las organizaciones pueden proporcionarlo, su código no solo será más seguro, sino que también estarán a la vanguardia en sus esfuerzos por cumplir o superar las directrices establecidas en el nuevo Plan Estratégico de Ciberseguridad de la CISA.
Este cambio propuesto en la cultura de la seguridad será un desafío, pero también es una oportunidad increíble para cambiar la naturaleza de la ciberseguridad y crear un mundo en el que la tecnología que mejora nuestras vidas no esté plagada de ataques que traten constantemente de explotarla para sus propios fines nefastos. Tenemos el poder de detenerlos, y el plan de la CISA muestra un camino prometedor hacia ese objetivo notable y, en última instancia, alcanzable.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Forbes. Se ha actualizado y distribuido aquí.
El Plan Estratégico de Ciberseguridad impulsa cambios importantes en la forma en que la mayoría de las organizaciones abordan la ciberseguridad, y los desarrolladores se encuentran en una posición única para ayudar a lograr esos nuevos objetivos.
La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) no solo ha desempeñado un papel decisivo en la protección de la infraestructura crítica y las redes informáticas de los Estados Unidos desde su creación en 2018, sino que su influencia y experiencia también han repercutido en todo el mundo. El asesoramiento integral, las advertencias de seguridad, los informes de vulnerabilidad y programas de ciberseguridad han establecido un punto de referencia mundial para las mejores prácticas procesables, lo que subraya la importancia del Plan Estratégico 2023-2025 de la CISA publicado recientemente en el ámbito de la ciberseguridad global.
La influencia y los logros de la CISA también se han extendido mucho más allá de lo que la mayoría de las agencias gubernamentales han podido lograr, especialmente teniendo en cuenta que solo existe desde hace unos pocos años. Esto se debe en gran parte a la crecimiento exponencial del panorama de las amenazas y del hecho de que los agresores son cada vez más hábiles en sus intentos de violación y explotación. La CISA ha asumido un papel de liderazgo en la lucha contra los ciberdelincuentes y otros denominados actores de amenazas, rastreando metódicamente las tendencias y asesorando sobre las mejores prácticas en materia de ciberseguridad.
Sin embargo, a pesar de todos los útiles consejos y directrices de la agencia, nunca antes había publicado un plan estratégico general diseñado para establecer la dirección general de los esfuerzos de ciberseguridad en los próximos años. Este no es solo otro plan, pero un hito que muchas organizaciones querrán estudiar y, en última instancia, implementar. El hecho de que el plan prevea cambios importantes en la forma en que se aborda la ciberseguridad puede dificultar el seguimiento de esa orientación, aunque la comunidad de desarrollo se encuentra en una posición única para ayudar se le proporcionan el apoyo, las herramientas y las vías de mejora de las habilidades adecuadas.
Se avecina un cambio en las mejores prácticas de ciberseguridad a nivel mundial
A primera vista, sería fácil percibir cierto nivel de frustración en el Plan Estratégico de la CISA, pero la CISA simplemente reconoce el hecho de que si seguimos haciendo las mismas cosas que hacemos ahora, seguiremos obteniendo los mismos resultados. Para que la ciberseguridad mejore, se requerirán cambios importantes en todos los ámbitos, incluso por parte de las empresas que fabrican el software y las aplicaciones que se utilizan en la actualidad.
Apuntar con el dedo al software, al menos parcialmente, es un concepto que se ha introducido anteriormente. De hecho, el National security strategy de los Estados Unidos afirma específicamente que «la mala seguridad del software aumenta considerablemente el riesgo sistémico en todo el ecosistema digital». El Plan Estratégico de la CISA establece una nueva estrategia para abordar y resolver esa situación.
El mayor cambio en la ciberseguridad que promueve la CISA es desafiar a quienes fabrican software a enviar productos seguros. Si se establecen e implementan las mejores prácticas de codificación segura, habrá muchas menos vulnerabilidades, especialmente las más importantes, ocultas en el software para que los atacantes las exploten. Sí, hay algo que podría pasarse por alto aquí y allá y que sería necesario encontrar y corregir con diligencia, pero esa es una propuesta manejable en comparación con el status quo actual: cada día se detectan cientos de vulnerabilidades que sobrecargan a los defensores de la ciberseguridad. La CISA afirma muy claramente en su plan que quienes fabrican software y otras tecnologías deben ser responsables de la seguridad de sus propios productos.
«Como sociedad, ya no podemos aceptar un modelo en el que todos los productos tecnológicos sean vulnerables en el momento de su lanzamiento y en el que la abrumadora carga de la seguridad recaiga en las organizaciones y los usuarios individuales», afirma el Plan Estratégico de la CISA. «La tecnología debe diseñarse, desarrollarse y probarse para minimizar la cantidad de defectos que puedan explotarse antes de introducirla en el mercado».
El plan continúa sugiriendo que, con el tiempo, este nuevo enfoque podría resultar más que sugerente, y afirma que la CISA utilizará «todas las palancas disponibles para influir en las decisiones de riesgo de los líderes de la organización». También sugiere que leyes como la Ley de notificación de ciberincidentes para infraestructuras críticas de 2022 (CIRCIA), que actualmente rige la notificación de ciberincidentes, podría servir de modelo para, con el tiempo, hacer que el cumplimiento voluntario de estas nuevas normas sea más obligatorio. En cualquier caso, sería beneficioso para la mayoría de las empresas que fabrican software y otras tecnologías en la actualidad intentar respaldar esta nueva guía.
La orientación de la CISA representa una oportunidad clave
En lugar de sentir aprendizaje ante la perspectiva de más posibles regulaciones, las organizaciones deberían aprovechar la oportunidad de utilizar el Plan Estratégico de la CISA para esforzarse por lograr un software mejor y de mayor calidad. No se trata solo de un llamado al cumplimiento, sino de una oportunidad para que los desarrolladores perfeccionen sus habilidades y contribuyan a un panorama digital más seguro. En última instancia, la producción de software seguro ayuda a todos, incluida la empresa que lo fabrica, los usuarios que pasan a depender de él y las personas a cuyos datos se acceden o se almacenan mediante ese software o aplicación. Solo los atacantes se quedan con las manos vacías si el código que compone la mayoría del software y las aplicaciones es lo más seguro posible antes de pasar a un entorno de producción.
Dada esta nueva dirección, tiene sentido que los desarrolladores de una organización, que escriben o obtienen todo el código, sean el punto de partida perfecto para implementar una codificación más segura y esforzarse por cumplir con el plan de la CISA. Sin embargo, los desarrolladores no pueden hacerlo solos sin el apoyo del resto de la organización, especialmente de la alta dirección. Contar con desarrolladores que comprendan las vulnerabilidades, sepan escribir código seguro y sepan reconocer los problemas mucho antes de que lleguen a un entorno de producción será la clave para que las organizaciones asuman, en última instancia, la responsabilidad de distribuir el código y, como dice CISA, «garantizar que las vulnerabilidades se descubran y solucionen antes de que los adversarios puedan utilizarlas para causar daño».
Una cosa clave a tener en cuenta es que la formación que necesitan los desarrolladores es bastante avanzada. Es difícil para alguien llegar a ser competente para escribir código seguro de manera consistente, y las medidas de cumplimiento que se marcan todas las casillas simplemente no están a la altura de esa tarea. Los desarrolladores necesitarán métodos de aprendizaje ágiles y de alto nivel que ofrezcan resultados de aprendizaje prácticos, asimilables y continuos como parte de un programa general de sensibilización sobre seguridad, a fin de garantizar que cuentan con las habilidades necesarias para mantener el nivel de seguridad requerido por el nuevo plan de la CISA.
Idealmente, la mejora de las habilidades para prepararse para el plan CISA también debería incorporar muchos de los métodos y programas avanzados que los desarrolladores utilizan todos los días, como los principios del desarrollo ágil. Por ejemplo, en el desarrollo ágil, el trabajo se divide en partes manejables, superponiendo los sprints unos sobre otros en un ciclo continuo. Un buen programa educativo que incorpora Agile las prácticas pueden ayudar a los desarrolladores a ponerse al día rápidamente con las habilidades necesarias para respaldar el plan CISA, lo que les permite empezar a ver los beneficios y empezar a programar de forma más segura casi de inmediato.
La buena noticia es que la mayoría de los desarrolladores apoyan las prácticas de codificación seguras y están deseosos de ayudar a sus organizaciones a cumplir con la nueva directiva CISA. En un encuesta De los más de 1200 desarrolladores profesionales que trabajan activamente en todo el mundo, la inmensa mayoría dijo que apoyaba el concepto de crear código seguro y establecer una mejor cultura de seguridad en sus organizaciones.
Los desarrolladores necesitan itinerarios educativos precisos y un apoyo adecuado. Si las organizaciones pueden proporcionarlo, su código no solo será más seguro, sino que también estarán a la vanguardia en sus esfuerzos por cumplir o superar las directrices establecidas en el nuevo Plan Estratégico de Ciberseguridad de la CISA.
Este cambio propuesto en la cultura de la seguridad será un desafío, pero también es una oportunidad increíble para cambiar la naturaleza de la ciberseguridad y crear un mundo en el que la tecnología que mejora nuestras vidas no esté plagada de ataques que traten constantemente de explotarla para sus propios fines nefastos. Tenemos el poder de detenerlos, y el plan de la CISA muestra un camino prometedor hacia ese objetivo notable y, en última instancia, alcanzable.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
