El factor humano olvidado que impulsa las fallas de seguridad de las aplicaciones web
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
%20(1).avif)
.avif)
