Protección proactiva: aprovechar la estrategia nacional de ciberseguridad para la prevención avanzada de amenazas
Este artículo apareció originalmente como parte del Consejo de Tecnología de Forbes. Se ha actualizado y distribuido aquí.
¿Cuántos registros de datos cree que se vieron comprometidos en 2022? Estaría en el camino correcto si adivinara alrededor de 500 millones. Basado en los datos de violación disponibles públicamente, aproximadamente 480,014,323 registros fueron robados solo el año pasado, pero es probable que el número sea mucho mayor. En cualquier caso, se trata de una estadística aleccionadora para el ciudadano medio y profundamente preocupante para cualquier profesional de la seguridad empresarial.
Hemos llegado a un punto en el que es probable que la mayoría de las personas del mundo desarrollado hayan visto caer al menos algunos de sus datos personales en manos delictivas a través de un ciberataque exitoso, por lo que es natural que los gobiernos del mundo busquen soluciones para detener este flujo disruptivo de actividad delictiva en línea. La última entrega es de la Administración Biden en forma de Estrategia Nacional de Ciberseguridad, y lo observo con gran interés. Esta estrategia incluye directrices en torno a uno de mis temas favoritos en la actualidad: la responsabilidad en materia de seguridad.
La estrategia, publicada después de presentación seminal de la directora de Ciberseguridad y Seguridad de Infraestructura de la CISA, Jen Easterly, ha provocado, comprensiblemente, cierta división en la comunidad de seguridad. Sin embargo, creo que representa la mejor oportunidad que tenemos para elevar los estándares de software en todos los ámbitos y, finalmente, iniciar una nueva era de desarrolladores expertos en seguridad.
Los vendedores deben tener siempre ha sido responsabilizado por software inseguro.
Durante décadas se ha dado el caso de que, en términos de seguridad del software, la responsabilidad es una papa caliente con la que ningún equipo busca hacer malabares. Los ejecutivos y los equipos tienden a discrepar con vehemencia sobre quién es el responsable último de la seguridad del software, con un informe de Venafi revelando que el 97% de los altos ejecutivos de TI están de acuerdo en que los procesos de creación de software no son lo suficientemente seguros, pero existe una discrepancia en cuanto a quién es el responsable final de aplicar las mejores prácticas de seguridad. El 61% de los ejecutivos dijo que los equipos de seguridad de TI deberían asumir la responsabilidad de la seguridad del software, mientras que el 31% afirmó que debería ser la cruz del equipo de desarrollo. Y esa es solo una parte de la ecuación: el problema de los componentes comerciales de código abierto y de terceros en las compilaciones de software es una expansión constante de la superficie de ataque. Incluso entre los equipos de AppSec y de seguridad, rara vez hay un «propietario» evidente, a pesar de la necesidad de mantener una vigilancia continua durante las actualizaciones, la supervisión y las pruebas.
Esta misma encuesta también reveló que, a pesar de los conflictos internos sobre quién debe ser responsable de la seguridad e integridad del software, el 94% de los ejecutivos cree que deberían sancionarse a los proveedores de software que no protejan sus procesos de construcción de los actores de amenazas y pongan en riesgo a los clientes y usuarios finales.
Con el procesamiento reciente del CISO de Uber En relación con su mala gestión de un devastador ciberataque en 2016, así como con iniciativas normativas como el RGPD, poco a poco estamos viendo cómo aumentan las apuestas para los vendedores que juegan con fuego al despriorizar la seguridad. Sin embargo, esto simplemente no basta. Estamos perdiendo la batalla contra los ciberdelincuentes y, si bien es una píldora difícil de tragar, son las prácticas laxas de los proveedores de software las que les brindan oportunidades ilimitadas para prosperar.
La Estrategia Nacional de Ciberseguridad busca trazar una línea en la arena y detener el juego circular de culpas asignando toda la responsabilidad por el software inseguro al proveedor.
Vamos a echar un vistazo:
Objetivo estratégico 3.3 — Transferir la responsabilidad por productos y servicios de software inseguros:
»Demasiados proveedores «ignoran las mejores prácticas para un desarrollo seguro, envían productos con configuraciones predeterminadas inseguras o vulnerabilidades conocidas e integran software de terceros de procedencia desconocida o no examinada.
Debemos empezar a transferir la responsabilidad a aquellas entidades que no toman las precauciones razonables para proteger su software, al tiempo que reconocemos que incluso los programas de seguridad de software más avanzados no pueden prevenir todas las vulnerabilidades.»
Esto, comprensiblemente, ha desconcertado a algunos. Sin embargo, al igual que ocurre con otros momentos decisivos en la elaboración de normas y reglamentos en la mayoría de los sectores, garantizar un mejor resultado a largo plazo es difícil a medio plazo. Como proveedor de software, tiene sentido que la responsabilidad recaiga en nosotros en lo que respecta a la seguridad. Es nuestro proceso de creación, nuestros procesos y nuestro control de calidad, y si nos equivocamos, es nuestra responsabilidad solucionarlo.
Además, deberíamos estar en un lugar en el que busquemos crear software de la mayor calidad posible, y la codificación segura debe formar parte de las métricas que definen un resultado exitoso. Lograr este objetivo es una tarea ardua en un mundo que apuesta por la velocidad a toda costa, pero son los líderes en seguridad los que guían nuestro futuro los que deben garantizar que todos los que participan en el proceso de creación del software estén adecuadamente capacitados para aplicar las mejores prácticas de seguridad en el contexto de su función, especialmente los desarrolladores.
Todavía nos falta orientación sobre las mejores prácticas a largo plazo.
El objetivo estratégico 3.3 hace referencia a los países bien establecidos Marco de desarrollo de software seguro del NIST como base de sus mejores prácticas generales, y se trata de directrices amplias y globales. Sí especifican la necesidad de «garantizar que las personas, los procesos y la tecnología de la organización estén preparados para desarrollar software de forma segura a nivel organizacional», pero no son particularmente prescriptivas en cuanto a los factores que, por ejemplo, un administrador de conciencia de seguridad debe tener en cuenta a la hora de elegir soluciones de habilitación.
Para que el enfoque sea verdaderamente transformador, se debe considerar a los desarrolladores parte integral del programa de seguridad y se les debe dar todas las oportunidades para mejorar sus habilidades y compartir la responsabilidad de la detección y erradicación de vulnerabilidades. No pueden lograrlo de una manera que sea mensurable sin herramientas y aprendizajes contextuales hiperrelevantes, ni si se considera un ejercicio anual de cumplimiento en lugar de un proceso continuo de desarrollo de habilidades.
Los desarrolladores son una pieza poderosa del rompecabezas cuando se trata de descifrar el acertijo de la seguridad, y un equipo de desarrolladores expertos en seguridad es esencialmente el ingrediente que falta en la mayoría de las organizaciones. Hacen posible la seguridad a gran velocidad, pero solo cuando se dedica tiempo y recursos a desbloquearla en el equipo. Hasta entonces, todas las directrices generales sobre mejores prácticas del mundo no lograrán avanzar.
El largo camino hacia el nirvana de la seguridad del software.
La administración de Biden ha comprometido 3 mil millones de dólares en fondos para la CISA, con el objetivo de lograr una rápida resiliencia en toda la infraestructura crítica. Si bien la financiación y el apoyo de los niveles más altos del gobierno son fundamentales, para que tengamos la oportunidad de detener a los actores de amenazas en su camino, será necesario un esfuerzo mundial para reescribir la historia de la cultura de la seguridad.
Queda un largo camino por recorrer, pero comienza cuando cada proveedor de software da el primer paso valiente hacia la responsabilidad de la seguridad a nivel organizacional.
La Estrategia Nacional de Ciberseguridad de CISA representa la mejor oportunidad que tenemos para elevar los estándares de software en todos los ámbitos y, finalmente, marcar el comienzo de una nueva era de desarrolladores expertos en seguridad.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Este artículo apareció originalmente como parte del Consejo de Tecnología de Forbes. Se ha actualizado y distribuido aquí.
¿Cuántos registros de datos cree que se vieron comprometidos en 2022? Estaría en el camino correcto si adivinara alrededor de 500 millones. Basado en los datos de violación disponibles públicamente, aproximadamente 480,014,323 registros fueron robados solo el año pasado, pero es probable que el número sea mucho mayor. En cualquier caso, se trata de una estadística aleccionadora para el ciudadano medio y profundamente preocupante para cualquier profesional de la seguridad empresarial.
Hemos llegado a un punto en el que es probable que la mayoría de las personas del mundo desarrollado hayan visto caer al menos algunos de sus datos personales en manos delictivas a través de un ciberataque exitoso, por lo que es natural que los gobiernos del mundo busquen soluciones para detener este flujo disruptivo de actividad delictiva en línea. La última entrega es de la Administración Biden en forma de Estrategia Nacional de Ciberseguridad, y lo observo con gran interés. Esta estrategia incluye directrices en torno a uno de mis temas favoritos en la actualidad: la responsabilidad en materia de seguridad.
La estrategia, publicada después de presentación seminal de la directora de Ciberseguridad y Seguridad de Infraestructura de la CISA, Jen Easterly, ha provocado, comprensiblemente, cierta división en la comunidad de seguridad. Sin embargo, creo que representa la mejor oportunidad que tenemos para elevar los estándares de software en todos los ámbitos y, finalmente, iniciar una nueva era de desarrolladores expertos en seguridad.
Los vendedores deben tener siempre ha sido responsabilizado por software inseguro.
Durante décadas se ha dado el caso de que, en términos de seguridad del software, la responsabilidad es una papa caliente con la que ningún equipo busca hacer malabares. Los ejecutivos y los equipos tienden a discrepar con vehemencia sobre quién es el responsable último de la seguridad del software, con un informe de Venafi revelando que el 97% de los altos ejecutivos de TI están de acuerdo en que los procesos de creación de software no son lo suficientemente seguros, pero existe una discrepancia en cuanto a quién es el responsable final de aplicar las mejores prácticas de seguridad. El 61% de los ejecutivos dijo que los equipos de seguridad de TI deberían asumir la responsabilidad de la seguridad del software, mientras que el 31% afirmó que debería ser la cruz del equipo de desarrollo. Y esa es solo una parte de la ecuación: el problema de los componentes comerciales de código abierto y de terceros en las compilaciones de software es una expansión constante de la superficie de ataque. Incluso entre los equipos de AppSec y de seguridad, rara vez hay un «propietario» evidente, a pesar de la necesidad de mantener una vigilancia continua durante las actualizaciones, la supervisión y las pruebas.
Esta misma encuesta también reveló que, a pesar de los conflictos internos sobre quién debe ser responsable de la seguridad e integridad del software, el 94% de los ejecutivos cree que deberían sancionarse a los proveedores de software que no protejan sus procesos de construcción de los actores de amenazas y pongan en riesgo a los clientes y usuarios finales.
Con el procesamiento reciente del CISO de Uber En relación con su mala gestión de un devastador ciberataque en 2016, así como con iniciativas normativas como el RGPD, poco a poco estamos viendo cómo aumentan las apuestas para los vendedores que juegan con fuego al despriorizar la seguridad. Sin embargo, esto simplemente no basta. Estamos perdiendo la batalla contra los ciberdelincuentes y, si bien es una píldora difícil de tragar, son las prácticas laxas de los proveedores de software las que les brindan oportunidades ilimitadas para prosperar.
La Estrategia Nacional de Ciberseguridad busca trazar una línea en la arena y detener el juego circular de culpas asignando toda la responsabilidad por el software inseguro al proveedor.
Vamos a echar un vistazo:
Objetivo estratégico 3.3 — Transferir la responsabilidad por productos y servicios de software inseguros:
»Demasiados proveedores «ignoran las mejores prácticas para un desarrollo seguro, envían productos con configuraciones predeterminadas inseguras o vulnerabilidades conocidas e integran software de terceros de procedencia desconocida o no examinada.
Debemos empezar a transferir la responsabilidad a aquellas entidades que no toman las precauciones razonables para proteger su software, al tiempo que reconocemos que incluso los programas de seguridad de software más avanzados no pueden prevenir todas las vulnerabilidades.»
Esto, comprensiblemente, ha desconcertado a algunos. Sin embargo, al igual que ocurre con otros momentos decisivos en la elaboración de normas y reglamentos en la mayoría de los sectores, garantizar un mejor resultado a largo plazo es difícil a medio plazo. Como proveedor de software, tiene sentido que la responsabilidad recaiga en nosotros en lo que respecta a la seguridad. Es nuestro proceso de creación, nuestros procesos y nuestro control de calidad, y si nos equivocamos, es nuestra responsabilidad solucionarlo.
Además, deberíamos estar en un lugar en el que busquemos crear software de la mayor calidad posible, y la codificación segura debe formar parte de las métricas que definen un resultado exitoso. Lograr este objetivo es una tarea ardua en un mundo que apuesta por la velocidad a toda costa, pero son los líderes en seguridad los que guían nuestro futuro los que deben garantizar que todos los que participan en el proceso de creación del software estén adecuadamente capacitados para aplicar las mejores prácticas de seguridad en el contexto de su función, especialmente los desarrolladores.
Todavía nos falta orientación sobre las mejores prácticas a largo plazo.
El objetivo estratégico 3.3 hace referencia a los países bien establecidos Marco de desarrollo de software seguro del NIST como base de sus mejores prácticas generales, y se trata de directrices amplias y globales. Sí especifican la necesidad de «garantizar que las personas, los procesos y la tecnología de la organización estén preparados para desarrollar software de forma segura a nivel organizacional», pero no son particularmente prescriptivas en cuanto a los factores que, por ejemplo, un administrador de conciencia de seguridad debe tener en cuenta a la hora de elegir soluciones de habilitación.
Para que el enfoque sea verdaderamente transformador, se debe considerar a los desarrolladores parte integral del programa de seguridad y se les debe dar todas las oportunidades para mejorar sus habilidades y compartir la responsabilidad de la detección y erradicación de vulnerabilidades. No pueden lograrlo de una manera que sea mensurable sin herramientas y aprendizajes contextuales hiperrelevantes, ni si se considera un ejercicio anual de cumplimiento en lugar de un proceso continuo de desarrollo de habilidades.
Los desarrolladores son una pieza poderosa del rompecabezas cuando se trata de descifrar el acertijo de la seguridad, y un equipo de desarrolladores expertos en seguridad es esencialmente el ingrediente que falta en la mayoría de las organizaciones. Hacen posible la seguridad a gran velocidad, pero solo cuando se dedica tiempo y recursos a desbloquearla en el equipo. Hasta entonces, todas las directrices generales sobre mejores prácticas del mundo no lograrán avanzar.
El largo camino hacia el nirvana de la seguridad del software.
La administración de Biden ha comprometido 3 mil millones de dólares en fondos para la CISA, con el objetivo de lograr una rápida resiliencia en toda la infraestructura crítica. Si bien la financiación y el apoyo de los niveles más altos del gobierno son fundamentales, para que tengamos la oportunidad de detener a los actores de amenazas en su camino, será necesario un esfuerzo mundial para reescribir la historia de la cultura de la seguridad.
Queda un largo camino por recorrer, pero comienza cuando cada proveedor de software da el primer paso valiente hacia la responsabilidad de la seguridad a nivel organizacional.
Este artículo apareció originalmente como parte del Consejo de Tecnología de Forbes. Se ha actualizado y distribuido aquí.
¿Cuántos registros de datos cree que se vieron comprometidos en 2022? Estaría en el camino correcto si adivinara alrededor de 500 millones. Basado en los datos de violación disponibles públicamente, aproximadamente 480,014,323 registros fueron robados solo el año pasado, pero es probable que el número sea mucho mayor. En cualquier caso, se trata de una estadística aleccionadora para el ciudadano medio y profundamente preocupante para cualquier profesional de la seguridad empresarial.
Hemos llegado a un punto en el que es probable que la mayoría de las personas del mundo desarrollado hayan visto caer al menos algunos de sus datos personales en manos delictivas a través de un ciberataque exitoso, por lo que es natural que los gobiernos del mundo busquen soluciones para detener este flujo disruptivo de actividad delictiva en línea. La última entrega es de la Administración Biden en forma de Estrategia Nacional de Ciberseguridad, y lo observo con gran interés. Esta estrategia incluye directrices en torno a uno de mis temas favoritos en la actualidad: la responsabilidad en materia de seguridad.
La estrategia, publicada después de presentación seminal de la directora de Ciberseguridad y Seguridad de Infraestructura de la CISA, Jen Easterly, ha provocado, comprensiblemente, cierta división en la comunidad de seguridad. Sin embargo, creo que representa la mejor oportunidad que tenemos para elevar los estándares de software en todos los ámbitos y, finalmente, iniciar una nueva era de desarrolladores expertos en seguridad.
Los vendedores deben tener siempre ha sido responsabilizado por software inseguro.
Durante décadas se ha dado el caso de que, en términos de seguridad del software, la responsabilidad es una papa caliente con la que ningún equipo busca hacer malabares. Los ejecutivos y los equipos tienden a discrepar con vehemencia sobre quién es el responsable último de la seguridad del software, con un informe de Venafi revelando que el 97% de los altos ejecutivos de TI están de acuerdo en que los procesos de creación de software no son lo suficientemente seguros, pero existe una discrepancia en cuanto a quién es el responsable final de aplicar las mejores prácticas de seguridad. El 61% de los ejecutivos dijo que los equipos de seguridad de TI deberían asumir la responsabilidad de la seguridad del software, mientras que el 31% afirmó que debería ser la cruz del equipo de desarrollo. Y esa es solo una parte de la ecuación: el problema de los componentes comerciales de código abierto y de terceros en las compilaciones de software es una expansión constante de la superficie de ataque. Incluso entre los equipos de AppSec y de seguridad, rara vez hay un «propietario» evidente, a pesar de la necesidad de mantener una vigilancia continua durante las actualizaciones, la supervisión y las pruebas.
Esta misma encuesta también reveló que, a pesar de los conflictos internos sobre quién debe ser responsable de la seguridad e integridad del software, el 94% de los ejecutivos cree que deberían sancionarse a los proveedores de software que no protejan sus procesos de construcción de los actores de amenazas y pongan en riesgo a los clientes y usuarios finales.
Con el procesamiento reciente del CISO de Uber En relación con su mala gestión de un devastador ciberataque en 2016, así como con iniciativas normativas como el RGPD, poco a poco estamos viendo cómo aumentan las apuestas para los vendedores que juegan con fuego al despriorizar la seguridad. Sin embargo, esto simplemente no basta. Estamos perdiendo la batalla contra los ciberdelincuentes y, si bien es una píldora difícil de tragar, son las prácticas laxas de los proveedores de software las que les brindan oportunidades ilimitadas para prosperar.
La Estrategia Nacional de Ciberseguridad busca trazar una línea en la arena y detener el juego circular de culpas asignando toda la responsabilidad por el software inseguro al proveedor.
Vamos a echar un vistazo:
Objetivo estratégico 3.3 — Transferir la responsabilidad por productos y servicios de software inseguros:
»Demasiados proveedores «ignoran las mejores prácticas para un desarrollo seguro, envían productos con configuraciones predeterminadas inseguras o vulnerabilidades conocidas e integran software de terceros de procedencia desconocida o no examinada.
Debemos empezar a transferir la responsabilidad a aquellas entidades que no toman las precauciones razonables para proteger su software, al tiempo que reconocemos que incluso los programas de seguridad de software más avanzados no pueden prevenir todas las vulnerabilidades.»
Esto, comprensiblemente, ha desconcertado a algunos. Sin embargo, al igual que ocurre con otros momentos decisivos en la elaboración de normas y reglamentos en la mayoría de los sectores, garantizar un mejor resultado a largo plazo es difícil a medio plazo. Como proveedor de software, tiene sentido que la responsabilidad recaiga en nosotros en lo que respecta a la seguridad. Es nuestro proceso de creación, nuestros procesos y nuestro control de calidad, y si nos equivocamos, es nuestra responsabilidad solucionarlo.
Además, deberíamos estar en un lugar en el que busquemos crear software de la mayor calidad posible, y la codificación segura debe formar parte de las métricas que definen un resultado exitoso. Lograr este objetivo es una tarea ardua en un mundo que apuesta por la velocidad a toda costa, pero son los líderes en seguridad los que guían nuestro futuro los que deben garantizar que todos los que participan en el proceso de creación del software estén adecuadamente capacitados para aplicar las mejores prácticas de seguridad en el contexto de su función, especialmente los desarrolladores.
Todavía nos falta orientación sobre las mejores prácticas a largo plazo.
El objetivo estratégico 3.3 hace referencia a los países bien establecidos Marco de desarrollo de software seguro del NIST como base de sus mejores prácticas generales, y se trata de directrices amplias y globales. Sí especifican la necesidad de «garantizar que las personas, los procesos y la tecnología de la organización estén preparados para desarrollar software de forma segura a nivel organizacional», pero no son particularmente prescriptivas en cuanto a los factores que, por ejemplo, un administrador de conciencia de seguridad debe tener en cuenta a la hora de elegir soluciones de habilitación.
Para que el enfoque sea verdaderamente transformador, se debe considerar a los desarrolladores parte integral del programa de seguridad y se les debe dar todas las oportunidades para mejorar sus habilidades y compartir la responsabilidad de la detección y erradicación de vulnerabilidades. No pueden lograrlo de una manera que sea mensurable sin herramientas y aprendizajes contextuales hiperrelevantes, ni si se considera un ejercicio anual de cumplimiento en lugar de un proceso continuo de desarrollo de habilidades.
Los desarrolladores son una pieza poderosa del rompecabezas cuando se trata de descifrar el acertijo de la seguridad, y un equipo de desarrolladores expertos en seguridad es esencialmente el ingrediente que falta en la mayoría de las organizaciones. Hacen posible la seguridad a gran velocidad, pero solo cuando se dedica tiempo y recursos a desbloquearla en el equipo. Hasta entonces, todas las directrices generales sobre mejores prácticas del mundo no lograrán avanzar.
El largo camino hacia el nirvana de la seguridad del software.
La administración de Biden ha comprometido 3 mil millones de dólares en fondos para la CISA, con el objetivo de lograr una rápida resiliencia en toda la infraestructura crítica. Si bien la financiación y el apoyo de los niveles más altos del gobierno son fundamentales, para que tengamos la oportunidad de detener a los actores de amenazas en su camino, será necesario un esfuerzo mundial para reescribir la historia de la cultura de la seguridad.
Queda un largo camino por recorrer, pero comienza cuando cada proveedor de software da el primer paso valiente hacia la responsabilidad de la seguridad a nivel organizacional.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Este artículo apareció originalmente como parte del Consejo de Tecnología de Forbes. Se ha actualizado y distribuido aquí.
¿Cuántos registros de datos cree que se vieron comprometidos en 2022? Estaría en el camino correcto si adivinara alrededor de 500 millones. Basado en los datos de violación disponibles públicamente, aproximadamente 480,014,323 registros fueron robados solo el año pasado, pero es probable que el número sea mucho mayor. En cualquier caso, se trata de una estadística aleccionadora para el ciudadano medio y profundamente preocupante para cualquier profesional de la seguridad empresarial.
Hemos llegado a un punto en el que es probable que la mayoría de las personas del mundo desarrollado hayan visto caer al menos algunos de sus datos personales en manos delictivas a través de un ciberataque exitoso, por lo que es natural que los gobiernos del mundo busquen soluciones para detener este flujo disruptivo de actividad delictiva en línea. La última entrega es de la Administración Biden en forma de Estrategia Nacional de Ciberseguridad, y lo observo con gran interés. Esta estrategia incluye directrices en torno a uno de mis temas favoritos en la actualidad: la responsabilidad en materia de seguridad.
La estrategia, publicada después de presentación seminal de la directora de Ciberseguridad y Seguridad de Infraestructura de la CISA, Jen Easterly, ha provocado, comprensiblemente, cierta división en la comunidad de seguridad. Sin embargo, creo que representa la mejor oportunidad que tenemos para elevar los estándares de software en todos los ámbitos y, finalmente, iniciar una nueva era de desarrolladores expertos en seguridad.
Los vendedores deben tener siempre ha sido responsabilizado por software inseguro.
Durante décadas se ha dado el caso de que, en términos de seguridad del software, la responsabilidad es una papa caliente con la que ningún equipo busca hacer malabares. Los ejecutivos y los equipos tienden a discrepar con vehemencia sobre quién es el responsable último de la seguridad del software, con un informe de Venafi revelando que el 97% de los altos ejecutivos de TI están de acuerdo en que los procesos de creación de software no son lo suficientemente seguros, pero existe una discrepancia en cuanto a quién es el responsable final de aplicar las mejores prácticas de seguridad. El 61% de los ejecutivos dijo que los equipos de seguridad de TI deberían asumir la responsabilidad de la seguridad del software, mientras que el 31% afirmó que debería ser la cruz del equipo de desarrollo. Y esa es solo una parte de la ecuación: el problema de los componentes comerciales de código abierto y de terceros en las compilaciones de software es una expansión constante de la superficie de ataque. Incluso entre los equipos de AppSec y de seguridad, rara vez hay un «propietario» evidente, a pesar de la necesidad de mantener una vigilancia continua durante las actualizaciones, la supervisión y las pruebas.
Esta misma encuesta también reveló que, a pesar de los conflictos internos sobre quién debe ser responsable de la seguridad e integridad del software, el 94% de los ejecutivos cree que deberían sancionarse a los proveedores de software que no protejan sus procesos de construcción de los actores de amenazas y pongan en riesgo a los clientes y usuarios finales.
Con el procesamiento reciente del CISO de Uber En relación con su mala gestión de un devastador ciberataque en 2016, así como con iniciativas normativas como el RGPD, poco a poco estamos viendo cómo aumentan las apuestas para los vendedores que juegan con fuego al despriorizar la seguridad. Sin embargo, esto simplemente no basta. Estamos perdiendo la batalla contra los ciberdelincuentes y, si bien es una píldora difícil de tragar, son las prácticas laxas de los proveedores de software las que les brindan oportunidades ilimitadas para prosperar.
La Estrategia Nacional de Ciberseguridad busca trazar una línea en la arena y detener el juego circular de culpas asignando toda la responsabilidad por el software inseguro al proveedor.
Vamos a echar un vistazo:
Objetivo estratégico 3.3 — Transferir la responsabilidad por productos y servicios de software inseguros:
»Demasiados proveedores «ignoran las mejores prácticas para un desarrollo seguro, envían productos con configuraciones predeterminadas inseguras o vulnerabilidades conocidas e integran software de terceros de procedencia desconocida o no examinada.
Debemos empezar a transferir la responsabilidad a aquellas entidades que no toman las precauciones razonables para proteger su software, al tiempo que reconocemos que incluso los programas de seguridad de software más avanzados no pueden prevenir todas las vulnerabilidades.»
Esto, comprensiblemente, ha desconcertado a algunos. Sin embargo, al igual que ocurre con otros momentos decisivos en la elaboración de normas y reglamentos en la mayoría de los sectores, garantizar un mejor resultado a largo plazo es difícil a medio plazo. Como proveedor de software, tiene sentido que la responsabilidad recaiga en nosotros en lo que respecta a la seguridad. Es nuestro proceso de creación, nuestros procesos y nuestro control de calidad, y si nos equivocamos, es nuestra responsabilidad solucionarlo.
Además, deberíamos estar en un lugar en el que busquemos crear software de la mayor calidad posible, y la codificación segura debe formar parte de las métricas que definen un resultado exitoso. Lograr este objetivo es una tarea ardua en un mundo que apuesta por la velocidad a toda costa, pero son los líderes en seguridad los que guían nuestro futuro los que deben garantizar que todos los que participan en el proceso de creación del software estén adecuadamente capacitados para aplicar las mejores prácticas de seguridad en el contexto de su función, especialmente los desarrolladores.
Todavía nos falta orientación sobre las mejores prácticas a largo plazo.
El objetivo estratégico 3.3 hace referencia a los países bien establecidos Marco de desarrollo de software seguro del NIST como base de sus mejores prácticas generales, y se trata de directrices amplias y globales. Sí especifican la necesidad de «garantizar que las personas, los procesos y la tecnología de la organización estén preparados para desarrollar software de forma segura a nivel organizacional», pero no son particularmente prescriptivas en cuanto a los factores que, por ejemplo, un administrador de conciencia de seguridad debe tener en cuenta a la hora de elegir soluciones de habilitación.
Para que el enfoque sea verdaderamente transformador, se debe considerar a los desarrolladores parte integral del programa de seguridad y se les debe dar todas las oportunidades para mejorar sus habilidades y compartir la responsabilidad de la detección y erradicación de vulnerabilidades. No pueden lograrlo de una manera que sea mensurable sin herramientas y aprendizajes contextuales hiperrelevantes, ni si se considera un ejercicio anual de cumplimiento en lugar de un proceso continuo de desarrollo de habilidades.
Los desarrolladores son una pieza poderosa del rompecabezas cuando se trata de descifrar el acertijo de la seguridad, y un equipo de desarrolladores expertos en seguridad es esencialmente el ingrediente que falta en la mayoría de las organizaciones. Hacen posible la seguridad a gran velocidad, pero solo cuando se dedica tiempo y recursos a desbloquearla en el equipo. Hasta entonces, todas las directrices generales sobre mejores prácticas del mundo no lograrán avanzar.
El largo camino hacia el nirvana de la seguridad del software.
La administración de Biden ha comprometido 3 mil millones de dólares en fondos para la CISA, con el objetivo de lograr una rápida resiliencia en toda la infraestructura crítica. Si bien la financiación y el apoyo de los niveles más altos del gobierno son fundamentales, para que tengamos la oportunidad de detener a los actores de amenazas en su camino, será necesario un esfuerzo mundial para reescribir la historia de la cultura de la seguridad.
Queda un largo camino por recorrer, pero comienza cuando cada proveedor de software da el primer paso valiente hacia la responsabilidad de la seguridad a nivel organizacional.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
