Estático vs. Formación dinámica en ciberseguridad: cumplimiento impulsivo, problemas futuros
Parece que el «cumplimiento de la ciberseguridad» ha estado de moda durante años, con un sinfín de artículos, iniciativas y comités que debaten sobre la mejor manera en que el mundo debería abordar la enorme bestia de múltiples amenazas que es la ciberdelincuencia.
El problema es que no parece que hayamos hecho eso mucho progreso. A nivel mundial, el coste de las filtraciones de datos no ha dejado de aumentar, con un aumento del 12% en cinco años, hasta situarse en aproximadamente 3,92 millones de dólares por infracción en 2019. Cuando el uso de Internet se disparó en tan solo un par de décadas, muchas empresas se vieron obligadas a luchar sin protección alguna, ya que se pusieron manos a la obra rápidamente, se instalaron y se enfrentaron a las consecuencias de un software inseguro, a la limitación de los recursos de AppSec y, en algunos casos, al uso indebido de la confianza de los clientes.
En estos días, somos irrefutablemente más maduros. Entendemos y analizamos en profundidad el alcance de la amenaza, las empresas son muy conscientes del impacto que un ciberataque puede tener en la confianza de los clientes, su reputación y sus resultados, y muchos lugares buscan activamente mejorar la seguridad del software mediante la formación en cumplimiento, la contratación de personal cualificado y, cada vez más, las iniciativas de DevSecOps. A pesar de estos enormes avances, no estamos ganando la batalla, ni de lejos. Al menos ha habido cuatro mil millones de registros robados solo en violaciones de datos en 2019.
Un ingrediente faltante ha sido un goteo algo lento (a nivel gubernamental) de los estándares de ciberseguridad, las expectativas y las consecuencias de una infracción. La llegada de GDPR ha hecho que algunos empiecen a rodar, al menos en Europa, pero muchos organismos gubernamentales recién ahora se están poniendo al día, y la repentina necesidad de adaptarse rápidamente a las iniciativas de cumplimiento recientemente florecidas podría tener algunos efectos no deseados en el futuro.
Los tontos se apresuran (al entrenamiento equivocado)
Directrices sólidas en forma de NIST, nueva normativa para Estado de Nueva York y la formación del Consejo de Seguridad Cibernética del Reino Unido han sido triunfos monumentales para quienes luchan por mantener nuestros datos seguros. Reconocen los problemas que plantea el desarrollo de software actual y toman medidas para guiar a las organizaciones en cuanto a los estándares que ahora deben cumplir para que se las considere éticas y conformes con las mejores prácticas de seguridad.
Lamentablemente, en este momento, algunos de los elementos más importantes están demasiado abiertos a la interpretación. Por ejemplo, uno de los mandatos de la legislación del Consejo de Seguridad Cibernética del Reino Unido es:
«Crear una lista definida de certificaciones y un marco fácil de entender sobre cómo se vinculan todas y qué capacidades transmiten, basándose en las trayectorias profesionales ya emprendidas».
Si bien sus iniciativas sin duda mejorarán y crecerán con el tiempo, si las organizaciones ya están presionando el botón de pánico y lanzándose a la formación ahora, es posible que se encuentren mal preparadas para el futuro.
Las exigencias de ciberseguridad de una organización cambian rápidamente y es poco probable que las soluciones de formación estáticas detengan el flujo de software inseguro a la velocidad requerida. El panorama cambia más rápido de lo que puede actualizarse con un curso tradicional, lo que puede llevar a algunos a caer en la trampa del cumplimiento normativo de «marcar las casillas»; los desarrolladores, contratistas y otros profesionales de la seguridad no reciben la formación adecuada y volvemos a ser blancos fáciles.
El entrenamiento estático y las herramientas estáticas tienen los mismos problemas
Las herramientas de análisis estático son una parte integral del SDLC y cumplen su función como herramientas de escaneo para los escasos y sobrecargados especialistas en AppSec que se encuentran en la mayoría de las grandes organizaciones. Hacen un buen trabajo, pero tienen un defecto: no hay «una» herramienta que pueda analizar todas y cada una de las vulnerabilidades, ya que es compatible con la enorme variedad de marcos de programación que existen. Además, es un proceso lento, y basta con que un solo error de seguridad pase desapercibido para dejar una puerta abierta a un atacante.
Con el entrenamiento estático, existe un problema similar. Si los desarrolladores reciben la formación en seguridad como un curso rígido e «único», es muy poco probable que hayan seguido el ritmo de los problemas de seguridad más frecuentes en ese período de tiempo. Sirve como una instantánea de la época en que se escribió, y rara vez se revisa lo suficiente, se imparte en el lenguaje y el marco preferidos del estudiante, ni tiene en cuenta las vulnerabilidades a las que probablemente se enfrentará en su trabajo diario. Imagínese intentar recordar un dato relevante de un vídeo que vio hace meses, mientras intenta cumplir con los plazos de entrega y sacar el código por la puerta... es poco probable que suceda.
Los métodos educativos tradicionales se están reevaluando en muchos sectores, pero cuando se trata de la formación en seguridad para desarrolladores, basta con observar el enorme volumen de filtraciones de datos que aún sufrimos (especialmente aquellas que pueden atribuirse a vulnerabilidades que hemos sabido evitar en la programación durante décadas). como la inyección de SQL) para darnos cuenta de que debemos intentarlo de otra manera.
Necesitamos una formación que vaya más allá de los límites de un curso único y lineal que pueda flexibilizarse y adaptarse a las necesidades siempre cambiantes de las mejores prácticas de ciberseguridad.
Entrenamiento dinámico: el estándar de oro
Al ofrecer a los desarrolladores una solución de formación dinámica, que se puede adaptar rápidamente a los movimientos empresariales, individuales y del sector en general, les estás proporcionando la mejor base para programar de forma segura, teniendo en cuenta la seguridad y actuando con una mentalidad consciente de la seguridad.
Una formación que sea única para todos, que nunca se revise y que no participe desde el principio será una completa pérdida de tiempo y, lamentablemente, eso significa que podrías terminar comprando por impulso un programa ineficaz en aras del cumplimiento. Podría estar anticuado incluso antes de que lo implementen, o que apenas se pueda identificar con las necesidades de sus trabajos diarios.
El entrenamiento dinámico es una herramienta viva y dinámica que se actualiza constantemente, se adapta a las necesidades del día a día, involucra a los usuarios con un pensamiento crítico y en realidad les permite aprender habilidades y solucionar problemas.
Entonces, ¿qué aspecto tiene un programa de formación dinámico en un contexto de seguridad?
Será:
- Del tamaño de un bocado: Los desarrolladores pueden aprender habilidades en partes manejables que son mucho más fáciles de recordar (y, lo que es más importante, de aplicar) que los largos mazos y vídeos de entrenamiento
- Relevante: ¿De qué sirve la formación en seguridad genérica cuando los ejemplos están en, por ejemplo, C#, cuando el desarrollador codifica principalmente en Java? Cualquier formación debería aplicarse directamente a su función, permitiéndoles ver qué encontrar y corregir (y, idealmente, evitar en primer lugar) mientras programan.
- Actual: Esto parece obvio, pero a menudo no lo es. El panorama de la ciberseguridad cambia constantemente y, con más código, más responsabilidad. Para que los desarrolladores sean su primera línea de defensa, necesitan una formación que se mantenga al día con las mejores prácticas de seguridad modernas.
- Involucrar: No es ningún secreto que los desarrolladores pueden considerar que la «seguridad» es una tarea ardua, especialmente si interfiere con su flujo creativo. La formación adecuada les demostrará el poder que tienen a la hora de resolver los problemas de seguridad cotidianos que pueden transformarse en enormes riesgos, creando una cultura de responsabilidad y concienciación en materia de seguridad.
- Diversión: El entrenamiento dinámico rara vez es aburrido; se supone que es al menos algo emocionante por diseño. Piensa en lo que les encanta a los desarrolladores: resolver problemas, competir con sus pares y, como muchos de nosotros en la fuerza laboral, recompensas y reconocimientos. Aproveche sus puntos fuertes y céntrese en obtener los mejores resultados.
Es un momento emocionante para ser ingeniero de software; desempeñan un papel fundamental en la innovación digital, ayudan a crear empresas increíbles e incluso triunfan en el mundo con sus propias creaciones. Sin embargo, ahora que los organismos gubernamentales y las grandes empresas se están dando cuenta del papel que deben desempeñar a la hora de establecer estándares para la seguridad del software, es importante apoyarlos con soluciones de formación eficaces y dinámicas que fomenten el amor por la codificación segura y no un ejercicio burocrático de marcar casillas.
Si bien es cierto que las iniciativas regulatorias mejorarán y crecerán con el tiempo, si las organizaciones ya están presionando el botón de pánico y comenzando a capacitarse ahora, es posible que se encuentren mal preparadas para el futuro.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Parece que el «cumplimiento de la ciberseguridad» ha estado de moda durante años, con un sinfín de artículos, iniciativas y comités que debaten sobre la mejor manera en que el mundo debería abordar la enorme bestia de múltiples amenazas que es la ciberdelincuencia.
El problema es que no parece que hayamos hecho eso mucho progreso. A nivel mundial, el coste de las filtraciones de datos no ha dejado de aumentar, con un aumento del 12% en cinco años, hasta situarse en aproximadamente 3,92 millones de dólares por infracción en 2019. Cuando el uso de Internet se disparó en tan solo un par de décadas, muchas empresas se vieron obligadas a luchar sin protección alguna, ya que se pusieron manos a la obra rápidamente, se instalaron y se enfrentaron a las consecuencias de un software inseguro, a la limitación de los recursos de AppSec y, en algunos casos, al uso indebido de la confianza de los clientes.
En estos días, somos irrefutablemente más maduros. Entendemos y analizamos en profundidad el alcance de la amenaza, las empresas son muy conscientes del impacto que un ciberataque puede tener en la confianza de los clientes, su reputación y sus resultados, y muchos lugares buscan activamente mejorar la seguridad del software mediante la formación en cumplimiento, la contratación de personal cualificado y, cada vez más, las iniciativas de DevSecOps. A pesar de estos enormes avances, no estamos ganando la batalla, ni de lejos. Al menos ha habido cuatro mil millones de registros robados solo en violaciones de datos en 2019.
Un ingrediente faltante ha sido un goteo algo lento (a nivel gubernamental) de los estándares de ciberseguridad, las expectativas y las consecuencias de una infracción. La llegada de GDPR ha hecho que algunos empiecen a rodar, al menos en Europa, pero muchos organismos gubernamentales recién ahora se están poniendo al día, y la repentina necesidad de adaptarse rápidamente a las iniciativas de cumplimiento recientemente florecidas podría tener algunos efectos no deseados en el futuro.
Los tontos se apresuran (al entrenamiento equivocado)
Directrices sólidas en forma de NIST, nueva normativa para Estado de Nueva York y la formación del Consejo de Seguridad Cibernética del Reino Unido han sido triunfos monumentales para quienes luchan por mantener nuestros datos seguros. Reconocen los problemas que plantea el desarrollo de software actual y toman medidas para guiar a las organizaciones en cuanto a los estándares que ahora deben cumplir para que se las considere éticas y conformes con las mejores prácticas de seguridad.
Lamentablemente, en este momento, algunos de los elementos más importantes están demasiado abiertos a la interpretación. Por ejemplo, uno de los mandatos de la legislación del Consejo de Seguridad Cibernética del Reino Unido es:
«Crear una lista definida de certificaciones y un marco fácil de entender sobre cómo se vinculan todas y qué capacidades transmiten, basándose en las trayectorias profesionales ya emprendidas».
Si bien sus iniciativas sin duda mejorarán y crecerán con el tiempo, si las organizaciones ya están presionando el botón de pánico y lanzándose a la formación ahora, es posible que se encuentren mal preparadas para el futuro.
Las exigencias de ciberseguridad de una organización cambian rápidamente y es poco probable que las soluciones de formación estáticas detengan el flujo de software inseguro a la velocidad requerida. El panorama cambia más rápido de lo que puede actualizarse con un curso tradicional, lo que puede llevar a algunos a caer en la trampa del cumplimiento normativo de «marcar las casillas»; los desarrolladores, contratistas y otros profesionales de la seguridad no reciben la formación adecuada y volvemos a ser blancos fáciles.
El entrenamiento estático y las herramientas estáticas tienen los mismos problemas
Las herramientas de análisis estático son una parte integral del SDLC y cumplen su función como herramientas de escaneo para los escasos y sobrecargados especialistas en AppSec que se encuentran en la mayoría de las grandes organizaciones. Hacen un buen trabajo, pero tienen un defecto: no hay «una» herramienta que pueda analizar todas y cada una de las vulnerabilidades, ya que es compatible con la enorme variedad de marcos de programación que existen. Además, es un proceso lento, y basta con que un solo error de seguridad pase desapercibido para dejar una puerta abierta a un atacante.
Con el entrenamiento estático, existe un problema similar. Si los desarrolladores reciben la formación en seguridad como un curso rígido e «único», es muy poco probable que hayan seguido el ritmo de los problemas de seguridad más frecuentes en ese período de tiempo. Sirve como una instantánea de la época en que se escribió, y rara vez se revisa lo suficiente, se imparte en el lenguaje y el marco preferidos del estudiante, ni tiene en cuenta las vulnerabilidades a las que probablemente se enfrentará en su trabajo diario. Imagínese intentar recordar un dato relevante de un vídeo que vio hace meses, mientras intenta cumplir con los plazos de entrega y sacar el código por la puerta... es poco probable que suceda.
Los métodos educativos tradicionales se están reevaluando en muchos sectores, pero cuando se trata de la formación en seguridad para desarrolladores, basta con observar el enorme volumen de filtraciones de datos que aún sufrimos (especialmente aquellas que pueden atribuirse a vulnerabilidades que hemos sabido evitar en la programación durante décadas). como la inyección de SQL) para darnos cuenta de que debemos intentarlo de otra manera.
Necesitamos una formación que vaya más allá de los límites de un curso único y lineal que pueda flexibilizarse y adaptarse a las necesidades siempre cambiantes de las mejores prácticas de ciberseguridad.
Entrenamiento dinámico: el estándar de oro
Al ofrecer a los desarrolladores una solución de formación dinámica, que se puede adaptar rápidamente a los movimientos empresariales, individuales y del sector en general, les estás proporcionando la mejor base para programar de forma segura, teniendo en cuenta la seguridad y actuando con una mentalidad consciente de la seguridad.
Una formación que sea única para todos, que nunca se revise y que no participe desde el principio será una completa pérdida de tiempo y, lamentablemente, eso significa que podrías terminar comprando por impulso un programa ineficaz en aras del cumplimiento. Podría estar anticuado incluso antes de que lo implementen, o que apenas se pueda identificar con las necesidades de sus trabajos diarios.
El entrenamiento dinámico es una herramienta viva y dinámica que se actualiza constantemente, se adapta a las necesidades del día a día, involucra a los usuarios con un pensamiento crítico y en realidad les permite aprender habilidades y solucionar problemas.
Entonces, ¿qué aspecto tiene un programa de formación dinámico en un contexto de seguridad?
Será:
- Del tamaño de un bocado: Los desarrolladores pueden aprender habilidades en partes manejables que son mucho más fáciles de recordar (y, lo que es más importante, de aplicar) que los largos mazos y vídeos de entrenamiento
- Relevante: ¿De qué sirve la formación en seguridad genérica cuando los ejemplos están en, por ejemplo, C#, cuando el desarrollador codifica principalmente en Java? Cualquier formación debería aplicarse directamente a su función, permitiéndoles ver qué encontrar y corregir (y, idealmente, evitar en primer lugar) mientras programan.
- Actual: Esto parece obvio, pero a menudo no lo es. El panorama de la ciberseguridad cambia constantemente y, con más código, más responsabilidad. Para que los desarrolladores sean su primera línea de defensa, necesitan una formación que se mantenga al día con las mejores prácticas de seguridad modernas.
- Involucrar: No es ningún secreto que los desarrolladores pueden considerar que la «seguridad» es una tarea ardua, especialmente si interfiere con su flujo creativo. La formación adecuada les demostrará el poder que tienen a la hora de resolver los problemas de seguridad cotidianos que pueden transformarse en enormes riesgos, creando una cultura de responsabilidad y concienciación en materia de seguridad.
- Diversión: El entrenamiento dinámico rara vez es aburrido; se supone que es al menos algo emocionante por diseño. Piensa en lo que les encanta a los desarrolladores: resolver problemas, competir con sus pares y, como muchos de nosotros en la fuerza laboral, recompensas y reconocimientos. Aproveche sus puntos fuertes y céntrese en obtener los mejores resultados.
Es un momento emocionante para ser ingeniero de software; desempeñan un papel fundamental en la innovación digital, ayudan a crear empresas increíbles e incluso triunfan en el mundo con sus propias creaciones. Sin embargo, ahora que los organismos gubernamentales y las grandes empresas se están dando cuenta del papel que deben desempeñar a la hora de establecer estándares para la seguridad del software, es importante apoyarlos con soluciones de formación eficaces y dinámicas que fomenten el amor por la codificación segura y no un ejercicio burocrático de marcar casillas.
Parece que el «cumplimiento de la ciberseguridad» ha estado de moda durante años, con un sinfín de artículos, iniciativas y comités que debaten sobre la mejor manera en que el mundo debería abordar la enorme bestia de múltiples amenazas que es la ciberdelincuencia.
El problema es que no parece que hayamos hecho eso mucho progreso. A nivel mundial, el coste de las filtraciones de datos no ha dejado de aumentar, con un aumento del 12% en cinco años, hasta situarse en aproximadamente 3,92 millones de dólares por infracción en 2019. Cuando el uso de Internet se disparó en tan solo un par de décadas, muchas empresas se vieron obligadas a luchar sin protección alguna, ya que se pusieron manos a la obra rápidamente, se instalaron y se enfrentaron a las consecuencias de un software inseguro, a la limitación de los recursos de AppSec y, en algunos casos, al uso indebido de la confianza de los clientes.
En estos días, somos irrefutablemente más maduros. Entendemos y analizamos en profundidad el alcance de la amenaza, las empresas son muy conscientes del impacto que un ciberataque puede tener en la confianza de los clientes, su reputación y sus resultados, y muchos lugares buscan activamente mejorar la seguridad del software mediante la formación en cumplimiento, la contratación de personal cualificado y, cada vez más, las iniciativas de DevSecOps. A pesar de estos enormes avances, no estamos ganando la batalla, ni de lejos. Al menos ha habido cuatro mil millones de registros robados solo en violaciones de datos en 2019.
Un ingrediente faltante ha sido un goteo algo lento (a nivel gubernamental) de los estándares de ciberseguridad, las expectativas y las consecuencias de una infracción. La llegada de GDPR ha hecho que algunos empiecen a rodar, al menos en Europa, pero muchos organismos gubernamentales recién ahora se están poniendo al día, y la repentina necesidad de adaptarse rápidamente a las iniciativas de cumplimiento recientemente florecidas podría tener algunos efectos no deseados en el futuro.
Los tontos se apresuran (al entrenamiento equivocado)
Directrices sólidas en forma de NIST, nueva normativa para Estado de Nueva York y la formación del Consejo de Seguridad Cibernética del Reino Unido han sido triunfos monumentales para quienes luchan por mantener nuestros datos seguros. Reconocen los problemas que plantea el desarrollo de software actual y toman medidas para guiar a las organizaciones en cuanto a los estándares que ahora deben cumplir para que se las considere éticas y conformes con las mejores prácticas de seguridad.
Lamentablemente, en este momento, algunos de los elementos más importantes están demasiado abiertos a la interpretación. Por ejemplo, uno de los mandatos de la legislación del Consejo de Seguridad Cibernética del Reino Unido es:
«Crear una lista definida de certificaciones y un marco fácil de entender sobre cómo se vinculan todas y qué capacidades transmiten, basándose en las trayectorias profesionales ya emprendidas».
Si bien sus iniciativas sin duda mejorarán y crecerán con el tiempo, si las organizaciones ya están presionando el botón de pánico y lanzándose a la formación ahora, es posible que se encuentren mal preparadas para el futuro.
Las exigencias de ciberseguridad de una organización cambian rápidamente y es poco probable que las soluciones de formación estáticas detengan el flujo de software inseguro a la velocidad requerida. El panorama cambia más rápido de lo que puede actualizarse con un curso tradicional, lo que puede llevar a algunos a caer en la trampa del cumplimiento normativo de «marcar las casillas»; los desarrolladores, contratistas y otros profesionales de la seguridad no reciben la formación adecuada y volvemos a ser blancos fáciles.
El entrenamiento estático y las herramientas estáticas tienen los mismos problemas
Las herramientas de análisis estático son una parte integral del SDLC y cumplen su función como herramientas de escaneo para los escasos y sobrecargados especialistas en AppSec que se encuentran en la mayoría de las grandes organizaciones. Hacen un buen trabajo, pero tienen un defecto: no hay «una» herramienta que pueda analizar todas y cada una de las vulnerabilidades, ya que es compatible con la enorme variedad de marcos de programación que existen. Además, es un proceso lento, y basta con que un solo error de seguridad pase desapercibido para dejar una puerta abierta a un atacante.
Con el entrenamiento estático, existe un problema similar. Si los desarrolladores reciben la formación en seguridad como un curso rígido e «único», es muy poco probable que hayan seguido el ritmo de los problemas de seguridad más frecuentes en ese período de tiempo. Sirve como una instantánea de la época en que se escribió, y rara vez se revisa lo suficiente, se imparte en el lenguaje y el marco preferidos del estudiante, ni tiene en cuenta las vulnerabilidades a las que probablemente se enfrentará en su trabajo diario. Imagínese intentar recordar un dato relevante de un vídeo que vio hace meses, mientras intenta cumplir con los plazos de entrega y sacar el código por la puerta... es poco probable que suceda.
Los métodos educativos tradicionales se están reevaluando en muchos sectores, pero cuando se trata de la formación en seguridad para desarrolladores, basta con observar el enorme volumen de filtraciones de datos que aún sufrimos (especialmente aquellas que pueden atribuirse a vulnerabilidades que hemos sabido evitar en la programación durante décadas). como la inyección de SQL) para darnos cuenta de que debemos intentarlo de otra manera.
Necesitamos una formación que vaya más allá de los límites de un curso único y lineal que pueda flexibilizarse y adaptarse a las necesidades siempre cambiantes de las mejores prácticas de ciberseguridad.
Entrenamiento dinámico: el estándar de oro
Al ofrecer a los desarrolladores una solución de formación dinámica, que se puede adaptar rápidamente a los movimientos empresariales, individuales y del sector en general, les estás proporcionando la mejor base para programar de forma segura, teniendo en cuenta la seguridad y actuando con una mentalidad consciente de la seguridad.
Una formación que sea única para todos, que nunca se revise y que no participe desde el principio será una completa pérdida de tiempo y, lamentablemente, eso significa que podrías terminar comprando por impulso un programa ineficaz en aras del cumplimiento. Podría estar anticuado incluso antes de que lo implementen, o que apenas se pueda identificar con las necesidades de sus trabajos diarios.
El entrenamiento dinámico es una herramienta viva y dinámica que se actualiza constantemente, se adapta a las necesidades del día a día, involucra a los usuarios con un pensamiento crítico y en realidad les permite aprender habilidades y solucionar problemas.
Entonces, ¿qué aspecto tiene un programa de formación dinámico en un contexto de seguridad?
Será:
- Del tamaño de un bocado: Los desarrolladores pueden aprender habilidades en partes manejables que son mucho más fáciles de recordar (y, lo que es más importante, de aplicar) que los largos mazos y vídeos de entrenamiento
- Relevante: ¿De qué sirve la formación en seguridad genérica cuando los ejemplos están en, por ejemplo, C#, cuando el desarrollador codifica principalmente en Java? Cualquier formación debería aplicarse directamente a su función, permitiéndoles ver qué encontrar y corregir (y, idealmente, evitar en primer lugar) mientras programan.
- Actual: Esto parece obvio, pero a menudo no lo es. El panorama de la ciberseguridad cambia constantemente y, con más código, más responsabilidad. Para que los desarrolladores sean su primera línea de defensa, necesitan una formación que se mantenga al día con las mejores prácticas de seguridad modernas.
- Involucrar: No es ningún secreto que los desarrolladores pueden considerar que la «seguridad» es una tarea ardua, especialmente si interfiere con su flujo creativo. La formación adecuada les demostrará el poder que tienen a la hora de resolver los problemas de seguridad cotidianos que pueden transformarse en enormes riesgos, creando una cultura de responsabilidad y concienciación en materia de seguridad.
- Diversión: El entrenamiento dinámico rara vez es aburrido; se supone que es al menos algo emocionante por diseño. Piensa en lo que les encanta a los desarrolladores: resolver problemas, competir con sus pares y, como muchos de nosotros en la fuerza laboral, recompensas y reconocimientos. Aproveche sus puntos fuertes y céntrese en obtener los mejores resultados.
Es un momento emocionante para ser ingeniero de software; desempeñan un papel fundamental en la innovación digital, ayudan a crear empresas increíbles e incluso triunfan en el mundo con sus propias creaciones. Sin embargo, ahora que los organismos gubernamentales y las grandes empresas se están dando cuenta del papel que deben desempeñar a la hora de establecer estándares para la seguridad del software, es importante apoyarlos con soluciones de formación eficaces y dinámicas que fomenten el amor por la codificación segura y no un ejercicio burocrático de marcar casillas.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Parece que el «cumplimiento de la ciberseguridad» ha estado de moda durante años, con un sinfín de artículos, iniciativas y comités que debaten sobre la mejor manera en que el mundo debería abordar la enorme bestia de múltiples amenazas que es la ciberdelincuencia.
El problema es que no parece que hayamos hecho eso mucho progreso. A nivel mundial, el coste de las filtraciones de datos no ha dejado de aumentar, con un aumento del 12% en cinco años, hasta situarse en aproximadamente 3,92 millones de dólares por infracción en 2019. Cuando el uso de Internet se disparó en tan solo un par de décadas, muchas empresas se vieron obligadas a luchar sin protección alguna, ya que se pusieron manos a la obra rápidamente, se instalaron y se enfrentaron a las consecuencias de un software inseguro, a la limitación de los recursos de AppSec y, en algunos casos, al uso indebido de la confianza de los clientes.
En estos días, somos irrefutablemente más maduros. Entendemos y analizamos en profundidad el alcance de la amenaza, las empresas son muy conscientes del impacto que un ciberataque puede tener en la confianza de los clientes, su reputación y sus resultados, y muchos lugares buscan activamente mejorar la seguridad del software mediante la formación en cumplimiento, la contratación de personal cualificado y, cada vez más, las iniciativas de DevSecOps. A pesar de estos enormes avances, no estamos ganando la batalla, ni de lejos. Al menos ha habido cuatro mil millones de registros robados solo en violaciones de datos en 2019.
Un ingrediente faltante ha sido un goteo algo lento (a nivel gubernamental) de los estándares de ciberseguridad, las expectativas y las consecuencias de una infracción. La llegada de GDPR ha hecho que algunos empiecen a rodar, al menos en Europa, pero muchos organismos gubernamentales recién ahora se están poniendo al día, y la repentina necesidad de adaptarse rápidamente a las iniciativas de cumplimiento recientemente florecidas podría tener algunos efectos no deseados en el futuro.
Los tontos se apresuran (al entrenamiento equivocado)
Directrices sólidas en forma de NIST, nueva normativa para Estado de Nueva York y la formación del Consejo de Seguridad Cibernética del Reino Unido han sido triunfos monumentales para quienes luchan por mantener nuestros datos seguros. Reconocen los problemas que plantea el desarrollo de software actual y toman medidas para guiar a las organizaciones en cuanto a los estándares que ahora deben cumplir para que se las considere éticas y conformes con las mejores prácticas de seguridad.
Lamentablemente, en este momento, algunos de los elementos más importantes están demasiado abiertos a la interpretación. Por ejemplo, uno de los mandatos de la legislación del Consejo de Seguridad Cibernética del Reino Unido es:
«Crear una lista definida de certificaciones y un marco fácil de entender sobre cómo se vinculan todas y qué capacidades transmiten, basándose en las trayectorias profesionales ya emprendidas».
Si bien sus iniciativas sin duda mejorarán y crecerán con el tiempo, si las organizaciones ya están presionando el botón de pánico y lanzándose a la formación ahora, es posible que se encuentren mal preparadas para el futuro.
Las exigencias de ciberseguridad de una organización cambian rápidamente y es poco probable que las soluciones de formación estáticas detengan el flujo de software inseguro a la velocidad requerida. El panorama cambia más rápido de lo que puede actualizarse con un curso tradicional, lo que puede llevar a algunos a caer en la trampa del cumplimiento normativo de «marcar las casillas»; los desarrolladores, contratistas y otros profesionales de la seguridad no reciben la formación adecuada y volvemos a ser blancos fáciles.
El entrenamiento estático y las herramientas estáticas tienen los mismos problemas
Las herramientas de análisis estático son una parte integral del SDLC y cumplen su función como herramientas de escaneo para los escasos y sobrecargados especialistas en AppSec que se encuentran en la mayoría de las grandes organizaciones. Hacen un buen trabajo, pero tienen un defecto: no hay «una» herramienta que pueda analizar todas y cada una de las vulnerabilidades, ya que es compatible con la enorme variedad de marcos de programación que existen. Además, es un proceso lento, y basta con que un solo error de seguridad pase desapercibido para dejar una puerta abierta a un atacante.
Con el entrenamiento estático, existe un problema similar. Si los desarrolladores reciben la formación en seguridad como un curso rígido e «único», es muy poco probable que hayan seguido el ritmo de los problemas de seguridad más frecuentes en ese período de tiempo. Sirve como una instantánea de la época en que se escribió, y rara vez se revisa lo suficiente, se imparte en el lenguaje y el marco preferidos del estudiante, ni tiene en cuenta las vulnerabilidades a las que probablemente se enfrentará en su trabajo diario. Imagínese intentar recordar un dato relevante de un vídeo que vio hace meses, mientras intenta cumplir con los plazos de entrega y sacar el código por la puerta... es poco probable que suceda.
Los métodos educativos tradicionales se están reevaluando en muchos sectores, pero cuando se trata de la formación en seguridad para desarrolladores, basta con observar el enorme volumen de filtraciones de datos que aún sufrimos (especialmente aquellas que pueden atribuirse a vulnerabilidades que hemos sabido evitar en la programación durante décadas). como la inyección de SQL) para darnos cuenta de que debemos intentarlo de otra manera.
Necesitamos una formación que vaya más allá de los límites de un curso único y lineal que pueda flexibilizarse y adaptarse a las necesidades siempre cambiantes de las mejores prácticas de ciberseguridad.
Entrenamiento dinámico: el estándar de oro
Al ofrecer a los desarrolladores una solución de formación dinámica, que se puede adaptar rápidamente a los movimientos empresariales, individuales y del sector en general, les estás proporcionando la mejor base para programar de forma segura, teniendo en cuenta la seguridad y actuando con una mentalidad consciente de la seguridad.
Una formación que sea única para todos, que nunca se revise y que no participe desde el principio será una completa pérdida de tiempo y, lamentablemente, eso significa que podrías terminar comprando por impulso un programa ineficaz en aras del cumplimiento. Podría estar anticuado incluso antes de que lo implementen, o que apenas se pueda identificar con las necesidades de sus trabajos diarios.
El entrenamiento dinámico es una herramienta viva y dinámica que se actualiza constantemente, se adapta a las necesidades del día a día, involucra a los usuarios con un pensamiento crítico y en realidad les permite aprender habilidades y solucionar problemas.
Entonces, ¿qué aspecto tiene un programa de formación dinámico en un contexto de seguridad?
Será:
- Del tamaño de un bocado: Los desarrolladores pueden aprender habilidades en partes manejables que son mucho más fáciles de recordar (y, lo que es más importante, de aplicar) que los largos mazos y vídeos de entrenamiento
- Relevante: ¿De qué sirve la formación en seguridad genérica cuando los ejemplos están en, por ejemplo, C#, cuando el desarrollador codifica principalmente en Java? Cualquier formación debería aplicarse directamente a su función, permitiéndoles ver qué encontrar y corregir (y, idealmente, evitar en primer lugar) mientras programan.
- Actual: Esto parece obvio, pero a menudo no lo es. El panorama de la ciberseguridad cambia constantemente y, con más código, más responsabilidad. Para que los desarrolladores sean su primera línea de defensa, necesitan una formación que se mantenga al día con las mejores prácticas de seguridad modernas.
- Involucrar: No es ningún secreto que los desarrolladores pueden considerar que la «seguridad» es una tarea ardua, especialmente si interfiere con su flujo creativo. La formación adecuada les demostrará el poder que tienen a la hora de resolver los problemas de seguridad cotidianos que pueden transformarse en enormes riesgos, creando una cultura de responsabilidad y concienciación en materia de seguridad.
- Diversión: El entrenamiento dinámico rara vez es aburrido; se supone que es al menos algo emocionante por diseño. Piensa en lo que les encanta a los desarrolladores: resolver problemas, competir con sus pares y, como muchos de nosotros en la fuerza laboral, recompensas y reconocimientos. Aproveche sus puntos fuertes y céntrese en obtener los mejores resultados.
Es un momento emocionante para ser ingeniero de software; desempeñan un papel fundamental en la innovación digital, ayudan a crear empresas increíbles e incluso triunfan en el mundo con sus propias creaciones. Sin embargo, ahora que los organismos gubernamentales y las grandes empresas se están dando cuenta del papel que deben desempeñar a la hora de establecer estándares para la seguridad del software, es importante apoyarlos con soluciones de formación eficaces y dinámicas que fomenten el amor por la codificación segura y no un ejercicio burocrático de marcar casillas.
%20(1).avif)
.avif)
