El cambio que necesitamos en las tierras baldías de AppSec: mis predicciones para 2019
2018 ha sido un año gigantesco para los profesionales de la ciberseguridad. A pesar de las advertencias para tomarse la seguridad más en serio, la prensa constante en torno a fomentar más talento en la industria de la seguridad y los intentos generales de hacer que las organizaciones sean más conscientes de la ciberseguridad, nos quedan ante los cráteres humeantes que han dejado cientos de ciberataques, que representan violaciones de datos a gran escala y la desconfianza de los consumidores hacia algunos nombres muy conocidos. Solo en la primera mitad de 2018, Se comprometieron 4.500 millones de registros de datos en 945 incidentes distintos.
Lo he dicho antes, muchas veces: podemos hacerlo mejor. Sin embargo, la verdadera batalla a la que nos enfrentamos no es contra los niños que escriben guiones, las peligrosas bandas de ciberdelincuencia organizada o las misteriosas figuras con capucha que escriben en sus ordenadores portátiles; la lucha consiste en hacer que más personas se preocupen de que se produzcan estas infracciones.
El cumplimiento del RGPD es un buen comienzo, pero no tendrá un gran efecto a corto plazo.
La de la Unión Europea Reglamento general de protección de datos Las leyes (GDPR) están ahora en pleno apogeo; una amenaza inminente para las organizaciones que no se toman en serio la protección de datos. La imposición de enormes multas a las personas declaradas incumplidoras pretendía ser una patada en el trasero para que las empresas reforzaran sus prácticas de seguridad, traten los datos de los clientes con más respeto y elaboren una estrategia para mitigar los ciberataques.
Se ha advertido a algunas organizaciones de que se impondrán enormes multas, pero aún no hemos visto consecuencias reales como resultado del incumplimiento del GDPR. Sin penalizaciones por quiebra, solo un montón de ventanas emergentes en las que hacer clic para los usuarios de la web. Esto se debe en parte a que los procesos legales llevan mucho tiempo y hay muchas oportunidades para apelar: cualquier empresa que se haya convertido en un ejemplo probablemente esté enfrascada en una batalla legal de meses o años. Para poner fin a un año de pesadilla para Facebook, recientemente denunciaron otra violación de datos: un error de API que exponía las fotos privadas de 6,8 millones de usuarios a 1500 aplicaciones no autorizadas. La detectaron y corrigieron en un plazo de dos semanas, pero las agencias de protección de datos y el público no se enteraron de la infracción hasta meses después. Las leyes del RGPD exigen la notificación de una infracción en un plazo de 72 horas, por lo que plantea muchas preguntas sobre qué tan influyentes y efectivas son realmente estas leyes en la actualidad.
Y, por supuesto, las infracciones en otros lugares no se han detenido: las de noviembre Playa de Marriott reveló que la enorme cantidad de 500 millones de registros de datos estaban comprometidos y, quizás lo que es aún más preocupante, que los atacantes habían accedido a sus sistemas durante cuatro años antes de ser descubiertos. Sin embargo, cabe señalar que Marriott parece estar participando en algunos control de daños: han ofrecido a las víctimas un suscripción gratuita de 12 meses a WebWatcher, una herramienta de control crediticio... pero con 500 millones de registros que los piratas informáticos pueden examinar, queda por ver si un año será suficiente para monitorear algo significativo para la mayoría; al fin y al cabo, pueden pasar algunos años antes de que sus datos aparezcan destacados para un uso sin escrúpulos.
Regulaciones a largo plazo, como el GDPR voluntad impulsan un cambio positivo si se aplican. Cuando las empresas se enfrenten a una sanción financiera importante (o, de hecho, a demandas colectivas por parte de clientes cuyos datos se han visto comprometidos) o a una caída de los beneficios a una escala lo suficientemente larga, creo que la mayoría de las empresas se centrarán frenéticamente en fortalecer las bases de datos en línea.
Las instituciones financieras seguirán liderando el cambio positivo a corto plazo.
Puede que no sorprenda tanto que las instituciones financieras, que son las guardianas del dinero ganado con tanto esfuerzo en el mundo, cuenten con algunas de las políticas de mejores prácticas de ciberseguridad más estrictas, así como procesos integrales para reducir su riesgo.
Un factor importante de este cumplimiento proviene de la Consejo de normas de seguridad PCI, quienes mantienen su compromiso de ayudar a las organizaciones financieras a implementar una política de seguridad viable y a cumplir las directrices en todos los ámbitos. Han sido una fuerza positiva al ayudar a esta vertical a alcanzar uno de los estándares de seguridad más altos en el software de pagos.
Entonces, ¿qué están haciendo las instituciones financieras de manera diferente a las demás? Según mi experiencia, por lo general son más conscientes de la seguridad y dedican sus recursos a programas de formación holísticos no solo para los profesionales de AppSec y los que realizan pruebas previas, sino también para sus equipos de desarrollo (que suelen ser muy grandes y están dispersos por todo el mundo). Se aseguran de que los responsables de la toma de decisiones de alto nivel comprendan que los procesos de seguridad no son medidas que se «fijan y olvidan», sino que deben evolucionar con la misma rapidez que la tecnología que se utiliza y adaptarse a los riesgos variables.
Más organizaciones transformarán su cartera de seguridad.
En comparación con otras ramas de TI, AppSec es relativamente joven. Es difícil ser el chico nuevo: es fácil que te malinterpreten y es posible que aún no hayas establecido las relaciones clave que necesitas. Sin embargo, creo que cada año que pasa, es más fácil para AppSec encontrar su lugar incluso en las organizaciones más anticuadas que se resisten al cambio.
Cada vez es más evidente que las empresas no pueden convertir el cumplimiento de la seguridad en un paso final de última hora en sus procesos de software. Deben realizarse controles y medidas de punto a punto, concentrándose más en la agregación de datos y proporcionando más visibilidad a los niveles ejecutivos de la empresa. Sin esto, la seguridad permanecerá fuera de la vista y de la mente de la mayoría. Y en ese escenario, es prácticamente imposible reunir los recursos necesarios para planificar el riesgo.
La buena noticia es que más organizaciones que nunca están detectando sus propios ciberataques y trabajando para solucionarlos. ¿La mala noticia? Ese proceso está tomando un promedio de ochenta y cinco días.
Las herramientas de prueba con lápiz y la revisión manual del código son arduas, costosas y lentas en una época en la que la innovación rápida y la producción de funciones son imprescindibles en el ámbito tecnológico. La concienciación sobre la seguridad debe mantenerse desde el principio: desde el momento en que el desarrollador escribe el código en primer lugar.
Nuestra industria reconocerá el problema principal: necesitamos que las personas se preocupen más.
Esta es la cuestión: podría contar de manera conservadora a veinte personas de mi red que se han alojado en un hotel Marriott en algún momento de los últimos cuatro años. Con 500 millones de registros robados durante ese tiempo, es muy probable que sus datos hayan sido parte de ese robo. Todo, desde la información de contacto actual hasta los números de tarjetas de crédito aún válidos y la información de pasaportes, podría estar a la venta ahora mismo en la web oscura. Sin embargo, su factor de cuidado era básicamente cero.
Y, bueno, es fácil caer en la autocomplacencia cuando, en un robo de datos a tan gran escala, eres básicamente una aguja en un pajar.
Pero, ¿cuál es el verdadero problema? Las empresas que no han logrado mantener seguros los datos de sus propios clientes se enfrentan a muy pocas repercusiones. ¿El precio de sus acciones se ve afectado inmediatamente después del incidente? Puedes apostar a que sí. Target, Equifax y ahora Marriott podrían dar fe de ello. Sin embargo, un resumen de doce meses muestra que la recuperación a la normalidad es bastante rápida. Un par de años después, y financieramente, todo está perdonado.
Hasta que no haya repercusiones graves: multas enormes, regulaciones más estrictas y pérdidas significativas de negocios, AppSec será una industria que deberá luchar constantemente para transmitir la gravedad de los crecientes riesgos cibernéticos a los que está expuesta una empresa.
Me temo que empeorará mucho antes de que mejore, por lo que es de suma importancia que trabajemos para crear desarrolladores conscientes de la seguridad y culturas de seguridad sólidas en la primera línea de los equipos técnicos de una organización. Téngalo en cuenta y siga esforzándose por lograr un nivel más alto de seguridad del software.
La verdadera batalla a la que nos enfrentamos no es contra los niños que escriben guiones ni contra los peligrosos sindicatos organizados del cibercrimen, sino que consiste en lograr que más personas se preocupen por las violaciones de datos que se están produciendo.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 ha sido un año gigantesco para los profesionales de la ciberseguridad. A pesar de las advertencias para tomarse la seguridad más en serio, la prensa constante en torno a fomentar más talento en la industria de la seguridad y los intentos generales de hacer que las organizaciones sean más conscientes de la ciberseguridad, nos quedan ante los cráteres humeantes que han dejado cientos de ciberataques, que representan violaciones de datos a gran escala y la desconfianza de los consumidores hacia algunos nombres muy conocidos. Solo en la primera mitad de 2018, Se comprometieron 4.500 millones de registros de datos en 945 incidentes distintos.
Lo he dicho antes, muchas veces: podemos hacerlo mejor. Sin embargo, la verdadera batalla a la que nos enfrentamos no es contra los niños que escriben guiones, las peligrosas bandas de ciberdelincuencia organizada o las misteriosas figuras con capucha que escriben en sus ordenadores portátiles; la lucha consiste en hacer que más personas se preocupen de que se produzcan estas infracciones.
El cumplimiento del RGPD es un buen comienzo, pero no tendrá un gran efecto a corto plazo.
La de la Unión Europea Reglamento general de protección de datos Las leyes (GDPR) están ahora en pleno apogeo; una amenaza inminente para las organizaciones que no se toman en serio la protección de datos. La imposición de enormes multas a las personas declaradas incumplidoras pretendía ser una patada en el trasero para que las empresas reforzaran sus prácticas de seguridad, traten los datos de los clientes con más respeto y elaboren una estrategia para mitigar los ciberataques.
Se ha advertido a algunas organizaciones de que se impondrán enormes multas, pero aún no hemos visto consecuencias reales como resultado del incumplimiento del GDPR. Sin penalizaciones por quiebra, solo un montón de ventanas emergentes en las que hacer clic para los usuarios de la web. Esto se debe en parte a que los procesos legales llevan mucho tiempo y hay muchas oportunidades para apelar: cualquier empresa que se haya convertido en un ejemplo probablemente esté enfrascada en una batalla legal de meses o años. Para poner fin a un año de pesadilla para Facebook, recientemente denunciaron otra violación de datos: un error de API que exponía las fotos privadas de 6,8 millones de usuarios a 1500 aplicaciones no autorizadas. La detectaron y corrigieron en un plazo de dos semanas, pero las agencias de protección de datos y el público no se enteraron de la infracción hasta meses después. Las leyes del RGPD exigen la notificación de una infracción en un plazo de 72 horas, por lo que plantea muchas preguntas sobre qué tan influyentes y efectivas son realmente estas leyes en la actualidad.
Y, por supuesto, las infracciones en otros lugares no se han detenido: las de noviembre Playa de Marriott reveló que la enorme cantidad de 500 millones de registros de datos estaban comprometidos y, quizás lo que es aún más preocupante, que los atacantes habían accedido a sus sistemas durante cuatro años antes de ser descubiertos. Sin embargo, cabe señalar que Marriott parece estar participando en algunos control de daños: han ofrecido a las víctimas un suscripción gratuita de 12 meses a WebWatcher, una herramienta de control crediticio... pero con 500 millones de registros que los piratas informáticos pueden examinar, queda por ver si un año será suficiente para monitorear algo significativo para la mayoría; al fin y al cabo, pueden pasar algunos años antes de que sus datos aparezcan destacados para un uso sin escrúpulos.
Regulaciones a largo plazo, como el GDPR voluntad impulsan un cambio positivo si se aplican. Cuando las empresas se enfrenten a una sanción financiera importante (o, de hecho, a demandas colectivas por parte de clientes cuyos datos se han visto comprometidos) o a una caída de los beneficios a una escala lo suficientemente larga, creo que la mayoría de las empresas se centrarán frenéticamente en fortalecer las bases de datos en línea.
Las instituciones financieras seguirán liderando el cambio positivo a corto plazo.
Puede que no sorprenda tanto que las instituciones financieras, que son las guardianas del dinero ganado con tanto esfuerzo en el mundo, cuenten con algunas de las políticas de mejores prácticas de ciberseguridad más estrictas, así como procesos integrales para reducir su riesgo.
Un factor importante de este cumplimiento proviene de la Consejo de normas de seguridad PCI, quienes mantienen su compromiso de ayudar a las organizaciones financieras a implementar una política de seguridad viable y a cumplir las directrices en todos los ámbitos. Han sido una fuerza positiva al ayudar a esta vertical a alcanzar uno de los estándares de seguridad más altos en el software de pagos.
Entonces, ¿qué están haciendo las instituciones financieras de manera diferente a las demás? Según mi experiencia, por lo general son más conscientes de la seguridad y dedican sus recursos a programas de formación holísticos no solo para los profesionales de AppSec y los que realizan pruebas previas, sino también para sus equipos de desarrollo (que suelen ser muy grandes y están dispersos por todo el mundo). Se aseguran de que los responsables de la toma de decisiones de alto nivel comprendan que los procesos de seguridad no son medidas que se «fijan y olvidan», sino que deben evolucionar con la misma rapidez que la tecnología que se utiliza y adaptarse a los riesgos variables.
Más organizaciones transformarán su cartera de seguridad.
En comparación con otras ramas de TI, AppSec es relativamente joven. Es difícil ser el chico nuevo: es fácil que te malinterpreten y es posible que aún no hayas establecido las relaciones clave que necesitas. Sin embargo, creo que cada año que pasa, es más fácil para AppSec encontrar su lugar incluso en las organizaciones más anticuadas que se resisten al cambio.
Cada vez es más evidente que las empresas no pueden convertir el cumplimiento de la seguridad en un paso final de última hora en sus procesos de software. Deben realizarse controles y medidas de punto a punto, concentrándose más en la agregación de datos y proporcionando más visibilidad a los niveles ejecutivos de la empresa. Sin esto, la seguridad permanecerá fuera de la vista y de la mente de la mayoría. Y en ese escenario, es prácticamente imposible reunir los recursos necesarios para planificar el riesgo.
La buena noticia es que más organizaciones que nunca están detectando sus propios ciberataques y trabajando para solucionarlos. ¿La mala noticia? Ese proceso está tomando un promedio de ochenta y cinco días.
Las herramientas de prueba con lápiz y la revisión manual del código son arduas, costosas y lentas en una época en la que la innovación rápida y la producción de funciones son imprescindibles en el ámbito tecnológico. La concienciación sobre la seguridad debe mantenerse desde el principio: desde el momento en que el desarrollador escribe el código en primer lugar.
Nuestra industria reconocerá el problema principal: necesitamos que las personas se preocupen más.
Esta es la cuestión: podría contar de manera conservadora a veinte personas de mi red que se han alojado en un hotel Marriott en algún momento de los últimos cuatro años. Con 500 millones de registros robados durante ese tiempo, es muy probable que sus datos hayan sido parte de ese robo. Todo, desde la información de contacto actual hasta los números de tarjetas de crédito aún válidos y la información de pasaportes, podría estar a la venta ahora mismo en la web oscura. Sin embargo, su factor de cuidado era básicamente cero.
Y, bueno, es fácil caer en la autocomplacencia cuando, en un robo de datos a tan gran escala, eres básicamente una aguja en un pajar.
Pero, ¿cuál es el verdadero problema? Las empresas que no han logrado mantener seguros los datos de sus propios clientes se enfrentan a muy pocas repercusiones. ¿El precio de sus acciones se ve afectado inmediatamente después del incidente? Puedes apostar a que sí. Target, Equifax y ahora Marriott podrían dar fe de ello. Sin embargo, un resumen de doce meses muestra que la recuperación a la normalidad es bastante rápida. Un par de años después, y financieramente, todo está perdonado.
Hasta que no haya repercusiones graves: multas enormes, regulaciones más estrictas y pérdidas significativas de negocios, AppSec será una industria que deberá luchar constantemente para transmitir la gravedad de los crecientes riesgos cibernéticos a los que está expuesta una empresa.
Me temo que empeorará mucho antes de que mejore, por lo que es de suma importancia que trabajemos para crear desarrolladores conscientes de la seguridad y culturas de seguridad sólidas en la primera línea de los equipos técnicos de una organización. Téngalo en cuenta y siga esforzándose por lograr un nivel más alto de seguridad del software.
2018 ha sido un año gigantesco para los profesionales de la ciberseguridad. A pesar de las advertencias para tomarse la seguridad más en serio, la prensa constante en torno a fomentar más talento en la industria de la seguridad y los intentos generales de hacer que las organizaciones sean más conscientes de la ciberseguridad, nos quedan ante los cráteres humeantes que han dejado cientos de ciberataques, que representan violaciones de datos a gran escala y la desconfianza de los consumidores hacia algunos nombres muy conocidos. Solo en la primera mitad de 2018, Se comprometieron 4.500 millones de registros de datos en 945 incidentes distintos.
Lo he dicho antes, muchas veces: podemos hacerlo mejor. Sin embargo, la verdadera batalla a la que nos enfrentamos no es contra los niños que escriben guiones, las peligrosas bandas de ciberdelincuencia organizada o las misteriosas figuras con capucha que escriben en sus ordenadores portátiles; la lucha consiste en hacer que más personas se preocupen de que se produzcan estas infracciones.
El cumplimiento del RGPD es un buen comienzo, pero no tendrá un gran efecto a corto plazo.
La de la Unión Europea Reglamento general de protección de datos Las leyes (GDPR) están ahora en pleno apogeo; una amenaza inminente para las organizaciones que no se toman en serio la protección de datos. La imposición de enormes multas a las personas declaradas incumplidoras pretendía ser una patada en el trasero para que las empresas reforzaran sus prácticas de seguridad, traten los datos de los clientes con más respeto y elaboren una estrategia para mitigar los ciberataques.
Se ha advertido a algunas organizaciones de que se impondrán enormes multas, pero aún no hemos visto consecuencias reales como resultado del incumplimiento del GDPR. Sin penalizaciones por quiebra, solo un montón de ventanas emergentes en las que hacer clic para los usuarios de la web. Esto se debe en parte a que los procesos legales llevan mucho tiempo y hay muchas oportunidades para apelar: cualquier empresa que se haya convertido en un ejemplo probablemente esté enfrascada en una batalla legal de meses o años. Para poner fin a un año de pesadilla para Facebook, recientemente denunciaron otra violación de datos: un error de API que exponía las fotos privadas de 6,8 millones de usuarios a 1500 aplicaciones no autorizadas. La detectaron y corrigieron en un plazo de dos semanas, pero las agencias de protección de datos y el público no se enteraron de la infracción hasta meses después. Las leyes del RGPD exigen la notificación de una infracción en un plazo de 72 horas, por lo que plantea muchas preguntas sobre qué tan influyentes y efectivas son realmente estas leyes en la actualidad.
Y, por supuesto, las infracciones en otros lugares no se han detenido: las de noviembre Playa de Marriott reveló que la enorme cantidad de 500 millones de registros de datos estaban comprometidos y, quizás lo que es aún más preocupante, que los atacantes habían accedido a sus sistemas durante cuatro años antes de ser descubiertos. Sin embargo, cabe señalar que Marriott parece estar participando en algunos control de daños: han ofrecido a las víctimas un suscripción gratuita de 12 meses a WebWatcher, una herramienta de control crediticio... pero con 500 millones de registros que los piratas informáticos pueden examinar, queda por ver si un año será suficiente para monitorear algo significativo para la mayoría; al fin y al cabo, pueden pasar algunos años antes de que sus datos aparezcan destacados para un uso sin escrúpulos.
Regulaciones a largo plazo, como el GDPR voluntad impulsan un cambio positivo si se aplican. Cuando las empresas se enfrenten a una sanción financiera importante (o, de hecho, a demandas colectivas por parte de clientes cuyos datos se han visto comprometidos) o a una caída de los beneficios a una escala lo suficientemente larga, creo que la mayoría de las empresas se centrarán frenéticamente en fortalecer las bases de datos en línea.
Las instituciones financieras seguirán liderando el cambio positivo a corto plazo.
Puede que no sorprenda tanto que las instituciones financieras, que son las guardianas del dinero ganado con tanto esfuerzo en el mundo, cuenten con algunas de las políticas de mejores prácticas de ciberseguridad más estrictas, así como procesos integrales para reducir su riesgo.
Un factor importante de este cumplimiento proviene de la Consejo de normas de seguridad PCI, quienes mantienen su compromiso de ayudar a las organizaciones financieras a implementar una política de seguridad viable y a cumplir las directrices en todos los ámbitos. Han sido una fuerza positiva al ayudar a esta vertical a alcanzar uno de los estándares de seguridad más altos en el software de pagos.
Entonces, ¿qué están haciendo las instituciones financieras de manera diferente a las demás? Según mi experiencia, por lo general son más conscientes de la seguridad y dedican sus recursos a programas de formación holísticos no solo para los profesionales de AppSec y los que realizan pruebas previas, sino también para sus equipos de desarrollo (que suelen ser muy grandes y están dispersos por todo el mundo). Se aseguran de que los responsables de la toma de decisiones de alto nivel comprendan que los procesos de seguridad no son medidas que se «fijan y olvidan», sino que deben evolucionar con la misma rapidez que la tecnología que se utiliza y adaptarse a los riesgos variables.
Más organizaciones transformarán su cartera de seguridad.
En comparación con otras ramas de TI, AppSec es relativamente joven. Es difícil ser el chico nuevo: es fácil que te malinterpreten y es posible que aún no hayas establecido las relaciones clave que necesitas. Sin embargo, creo que cada año que pasa, es más fácil para AppSec encontrar su lugar incluso en las organizaciones más anticuadas que se resisten al cambio.
Cada vez es más evidente que las empresas no pueden convertir el cumplimiento de la seguridad en un paso final de última hora en sus procesos de software. Deben realizarse controles y medidas de punto a punto, concentrándose más en la agregación de datos y proporcionando más visibilidad a los niveles ejecutivos de la empresa. Sin esto, la seguridad permanecerá fuera de la vista y de la mente de la mayoría. Y en ese escenario, es prácticamente imposible reunir los recursos necesarios para planificar el riesgo.
La buena noticia es que más organizaciones que nunca están detectando sus propios ciberataques y trabajando para solucionarlos. ¿La mala noticia? Ese proceso está tomando un promedio de ochenta y cinco días.
Las herramientas de prueba con lápiz y la revisión manual del código son arduas, costosas y lentas en una época en la que la innovación rápida y la producción de funciones son imprescindibles en el ámbito tecnológico. La concienciación sobre la seguridad debe mantenerse desde el principio: desde el momento en que el desarrollador escribe el código en primer lugar.
Nuestra industria reconocerá el problema principal: necesitamos que las personas se preocupen más.
Esta es la cuestión: podría contar de manera conservadora a veinte personas de mi red que se han alojado en un hotel Marriott en algún momento de los últimos cuatro años. Con 500 millones de registros robados durante ese tiempo, es muy probable que sus datos hayan sido parte de ese robo. Todo, desde la información de contacto actual hasta los números de tarjetas de crédito aún válidos y la información de pasaportes, podría estar a la venta ahora mismo en la web oscura. Sin embargo, su factor de cuidado era básicamente cero.
Y, bueno, es fácil caer en la autocomplacencia cuando, en un robo de datos a tan gran escala, eres básicamente una aguja en un pajar.
Pero, ¿cuál es el verdadero problema? Las empresas que no han logrado mantener seguros los datos de sus propios clientes se enfrentan a muy pocas repercusiones. ¿El precio de sus acciones se ve afectado inmediatamente después del incidente? Puedes apostar a que sí. Target, Equifax y ahora Marriott podrían dar fe de ello. Sin embargo, un resumen de doce meses muestra que la recuperación a la normalidad es bastante rápida. Un par de años después, y financieramente, todo está perdonado.
Hasta que no haya repercusiones graves: multas enormes, regulaciones más estrictas y pérdidas significativas de negocios, AppSec será una industria que deberá luchar constantemente para transmitir la gravedad de los crecientes riesgos cibernéticos a los que está expuesta una empresa.
Me temo que empeorará mucho antes de que mejore, por lo que es de suma importancia que trabajemos para crear desarrolladores conscientes de la seguridad y culturas de seguridad sólidas en la primera línea de los equipos técnicos de una organización. Téngalo en cuenta y siga esforzándose por lograr un nivel más alto de seguridad del software.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 ha sido un año gigantesco para los profesionales de la ciberseguridad. A pesar de las advertencias para tomarse la seguridad más en serio, la prensa constante en torno a fomentar más talento en la industria de la seguridad y los intentos generales de hacer que las organizaciones sean más conscientes de la ciberseguridad, nos quedan ante los cráteres humeantes que han dejado cientos de ciberataques, que representan violaciones de datos a gran escala y la desconfianza de los consumidores hacia algunos nombres muy conocidos. Solo en la primera mitad de 2018, Se comprometieron 4.500 millones de registros de datos en 945 incidentes distintos.
Lo he dicho antes, muchas veces: podemos hacerlo mejor. Sin embargo, la verdadera batalla a la que nos enfrentamos no es contra los niños que escriben guiones, las peligrosas bandas de ciberdelincuencia organizada o las misteriosas figuras con capucha que escriben en sus ordenadores portátiles; la lucha consiste en hacer que más personas se preocupen de que se produzcan estas infracciones.
El cumplimiento del RGPD es un buen comienzo, pero no tendrá un gran efecto a corto plazo.
La de la Unión Europea Reglamento general de protección de datos Las leyes (GDPR) están ahora en pleno apogeo; una amenaza inminente para las organizaciones que no se toman en serio la protección de datos. La imposición de enormes multas a las personas declaradas incumplidoras pretendía ser una patada en el trasero para que las empresas reforzaran sus prácticas de seguridad, traten los datos de los clientes con más respeto y elaboren una estrategia para mitigar los ciberataques.
Se ha advertido a algunas organizaciones de que se impondrán enormes multas, pero aún no hemos visto consecuencias reales como resultado del incumplimiento del GDPR. Sin penalizaciones por quiebra, solo un montón de ventanas emergentes en las que hacer clic para los usuarios de la web. Esto se debe en parte a que los procesos legales llevan mucho tiempo y hay muchas oportunidades para apelar: cualquier empresa que se haya convertido en un ejemplo probablemente esté enfrascada en una batalla legal de meses o años. Para poner fin a un año de pesadilla para Facebook, recientemente denunciaron otra violación de datos: un error de API que exponía las fotos privadas de 6,8 millones de usuarios a 1500 aplicaciones no autorizadas. La detectaron y corrigieron en un plazo de dos semanas, pero las agencias de protección de datos y el público no se enteraron de la infracción hasta meses después. Las leyes del RGPD exigen la notificación de una infracción en un plazo de 72 horas, por lo que plantea muchas preguntas sobre qué tan influyentes y efectivas son realmente estas leyes en la actualidad.
Y, por supuesto, las infracciones en otros lugares no se han detenido: las de noviembre Playa de Marriott reveló que la enorme cantidad de 500 millones de registros de datos estaban comprometidos y, quizás lo que es aún más preocupante, que los atacantes habían accedido a sus sistemas durante cuatro años antes de ser descubiertos. Sin embargo, cabe señalar que Marriott parece estar participando en algunos control de daños: han ofrecido a las víctimas un suscripción gratuita de 12 meses a WebWatcher, una herramienta de control crediticio... pero con 500 millones de registros que los piratas informáticos pueden examinar, queda por ver si un año será suficiente para monitorear algo significativo para la mayoría; al fin y al cabo, pueden pasar algunos años antes de que sus datos aparezcan destacados para un uso sin escrúpulos.
Regulaciones a largo plazo, como el GDPR voluntad impulsan un cambio positivo si se aplican. Cuando las empresas se enfrenten a una sanción financiera importante (o, de hecho, a demandas colectivas por parte de clientes cuyos datos se han visto comprometidos) o a una caída de los beneficios a una escala lo suficientemente larga, creo que la mayoría de las empresas se centrarán frenéticamente en fortalecer las bases de datos en línea.
Las instituciones financieras seguirán liderando el cambio positivo a corto plazo.
Puede que no sorprenda tanto que las instituciones financieras, que son las guardianas del dinero ganado con tanto esfuerzo en el mundo, cuenten con algunas de las políticas de mejores prácticas de ciberseguridad más estrictas, así como procesos integrales para reducir su riesgo.
Un factor importante de este cumplimiento proviene de la Consejo de normas de seguridad PCI, quienes mantienen su compromiso de ayudar a las organizaciones financieras a implementar una política de seguridad viable y a cumplir las directrices en todos los ámbitos. Han sido una fuerza positiva al ayudar a esta vertical a alcanzar uno de los estándares de seguridad más altos en el software de pagos.
Entonces, ¿qué están haciendo las instituciones financieras de manera diferente a las demás? Según mi experiencia, por lo general son más conscientes de la seguridad y dedican sus recursos a programas de formación holísticos no solo para los profesionales de AppSec y los que realizan pruebas previas, sino también para sus equipos de desarrollo (que suelen ser muy grandes y están dispersos por todo el mundo). Se aseguran de que los responsables de la toma de decisiones de alto nivel comprendan que los procesos de seguridad no son medidas que se «fijan y olvidan», sino que deben evolucionar con la misma rapidez que la tecnología que se utiliza y adaptarse a los riesgos variables.
Más organizaciones transformarán su cartera de seguridad.
En comparación con otras ramas de TI, AppSec es relativamente joven. Es difícil ser el chico nuevo: es fácil que te malinterpreten y es posible que aún no hayas establecido las relaciones clave que necesitas. Sin embargo, creo que cada año que pasa, es más fácil para AppSec encontrar su lugar incluso en las organizaciones más anticuadas que se resisten al cambio.
Cada vez es más evidente que las empresas no pueden convertir el cumplimiento de la seguridad en un paso final de última hora en sus procesos de software. Deben realizarse controles y medidas de punto a punto, concentrándose más en la agregación de datos y proporcionando más visibilidad a los niveles ejecutivos de la empresa. Sin esto, la seguridad permanecerá fuera de la vista y de la mente de la mayoría. Y en ese escenario, es prácticamente imposible reunir los recursos necesarios para planificar el riesgo.
La buena noticia es que más organizaciones que nunca están detectando sus propios ciberataques y trabajando para solucionarlos. ¿La mala noticia? Ese proceso está tomando un promedio de ochenta y cinco días.
Las herramientas de prueba con lápiz y la revisión manual del código son arduas, costosas y lentas en una época en la que la innovación rápida y la producción de funciones son imprescindibles en el ámbito tecnológico. La concienciación sobre la seguridad debe mantenerse desde el principio: desde el momento en que el desarrollador escribe el código en primer lugar.
Nuestra industria reconocerá el problema principal: necesitamos que las personas se preocupen más.
Esta es la cuestión: podría contar de manera conservadora a veinte personas de mi red que se han alojado en un hotel Marriott en algún momento de los últimos cuatro años. Con 500 millones de registros robados durante ese tiempo, es muy probable que sus datos hayan sido parte de ese robo. Todo, desde la información de contacto actual hasta los números de tarjetas de crédito aún válidos y la información de pasaportes, podría estar a la venta ahora mismo en la web oscura. Sin embargo, su factor de cuidado era básicamente cero.
Y, bueno, es fácil caer en la autocomplacencia cuando, en un robo de datos a tan gran escala, eres básicamente una aguja en un pajar.
Pero, ¿cuál es el verdadero problema? Las empresas que no han logrado mantener seguros los datos de sus propios clientes se enfrentan a muy pocas repercusiones. ¿El precio de sus acciones se ve afectado inmediatamente después del incidente? Puedes apostar a que sí. Target, Equifax y ahora Marriott podrían dar fe de ello. Sin embargo, un resumen de doce meses muestra que la recuperación a la normalidad es bastante rápida. Un par de años después, y financieramente, todo está perdonado.
Hasta que no haya repercusiones graves: multas enormes, regulaciones más estrictas y pérdidas significativas de negocios, AppSec será una industria que deberá luchar constantemente para transmitir la gravedad de los crecientes riesgos cibernéticos a los que está expuesta una empresa.
Me temo que empeorará mucho antes de que mejore, por lo que es de suma importancia que trabajemos para crear desarrolladores conscientes de la seguridad y culturas de seguridad sólidas en la primera línea de los equipos técnicos de una organización. Téngalo en cuenta y siga esforzándose por lograr un nivel más alto de seguridad del software.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
