El cambio que necesitamos en las tierras baldías de AppSec: mis predicciones para 2019
2018 ha sido un año gigantesco para los profesionales de la ciberseguridad. A pesar de las advertencias para tomarse la seguridad más en serio, la prensa constante en torno a fomentar más talento en la industria de la seguridad y los intentos generales de hacer que las organizaciones sean más conscientes de la ciberseguridad, nos quedan ante los cráteres humeantes que han dejado cientos de ciberataques, que representan violaciones de datos a gran escala y la desconfianza de los consumidores hacia algunos nombres muy conocidos. Solo en la primera mitad de 2018, Se comprometieron 4.500 millones de registros de datos en 945 incidentes distintos.
Lo he dicho antes, muchas veces: podemos hacerlo mejor. Sin embargo, la verdadera batalla a la que nos enfrentamos no es contra los niños que escriben guiones, las peligrosas bandas de ciberdelincuencia organizada o las misteriosas figuras con capucha que escriben en sus ordenadores portátiles; la lucha consiste en hacer que más personas se preocupen de que se produzcan estas infracciones.
El cumplimiento del RGPD es un buen comienzo, pero no tendrá un gran efecto a corto plazo.
La de la Unión Europea Reglamento general de protección de datos Las leyes (GDPR) están ahora en pleno apogeo; una amenaza inminente para las organizaciones que no se toman en serio la protección de datos. La imposición de enormes multas a las personas declaradas incumplidoras pretendía ser una patada en el trasero para que las empresas reforzaran sus prácticas de seguridad, traten los datos de los clientes con más respeto y elaboren una estrategia para mitigar los ciberataques.
Se ha advertido a algunas organizaciones de que se impondrán enormes multas, pero aún no hemos visto consecuencias reales como resultado del incumplimiento del GDPR. Sin penalizaciones por quiebra, solo un montón de ventanas emergentes en las que hacer clic para los usuarios de la web. Esto se debe en parte a que los procesos legales llevan mucho tiempo y hay muchas oportunidades para apelar: cualquier empresa que se haya convertido en un ejemplo probablemente esté enfrascada en una batalla legal de meses o años. Para poner fin a un año de pesadilla para Facebook, recientemente denunciaron otra violación de datos: un error de API que exponía las fotos privadas de 6,8 millones de usuarios a 1500 aplicaciones no autorizadas. La detectaron y corrigieron en un plazo de dos semanas, pero las agencias de protección de datos y el público no se enteraron de la infracción hasta meses después. Las leyes del RGPD exigen la notificación de una infracción en un plazo de 72 horas, por lo que plantea muchas preguntas sobre qué tan influyentes y efectivas son realmente estas leyes en la actualidad.
Y, por supuesto, las infracciones en otros lugares no se han detenido: las de noviembre Playa de Marriott reveló que la enorme cantidad de 500 millones de registros de datos estaban comprometidos y, quizás lo que es aún más preocupante, que los atacantes habían accedido a sus sistemas durante cuatro años antes de ser descubiertos. Sin embargo, cabe señalar que Marriott parece estar participando en algunos control de daños: han ofrecido a las víctimas un suscripción gratuita de 12 meses a WebWatcher, una herramienta de control crediticio... pero con 500 millones de registros que los piratas informáticos pueden examinar, queda por ver si un año será suficiente para monitorear algo significativo para la mayoría; al fin y al cabo, pueden pasar algunos años antes de que sus datos aparezcan destacados para un uso sin escrúpulos.
Regulaciones a largo plazo, como el GDPR voluntad impulsan un cambio positivo si se aplican. Cuando las empresas se enfrenten a una sanción financiera importante (o, de hecho, a demandas colectivas por parte de clientes cuyos datos se han visto comprometidos) o a una caída de los beneficios a una escala lo suficientemente larga, creo que la mayoría de las empresas se centrarán frenéticamente en fortalecer las bases de datos en línea.
Las instituciones financieras seguirán liderando el cambio positivo a corto plazo.
Puede que no sorprenda tanto que las instituciones financieras, que son las guardianas del dinero ganado con tanto esfuerzo en el mundo, cuenten con algunas de las políticas de mejores prácticas de ciberseguridad más estrictas, así como procesos integrales para reducir su riesgo.
Un factor importante de este cumplimiento proviene de la Consejo de normas de seguridad PCI, quienes mantienen su compromiso de ayudar a las organizaciones financieras a implementar una política de seguridad viable y a cumplir las directrices en todos los ámbitos. Han sido una fuerza positiva al ayudar a esta vertical a alcanzar uno de los estándares de seguridad más altos en el software de pagos.
Entonces, ¿qué están haciendo las instituciones financieras de manera diferente a las demás? Según mi experiencia, por lo general son más conscientes de la seguridad y dedican sus recursos a programas de formación holísticos no solo para los profesionales de AppSec y los que realizan pruebas previas, sino también para sus equipos de desarrollo (que suelen ser muy grandes y están dispersos por todo el mundo). Se aseguran de que los responsables de la toma de decisiones de alto nivel comprendan que los procesos de seguridad no son medidas que se «fijan y olvidan», sino que deben evolucionar con la misma rapidez que la tecnología que se utiliza y adaptarse a los riesgos variables.
Más organizaciones transformarán su cartera de seguridad.
En comparación con otras ramas de TI, AppSec es relativamente joven. Es difícil ser el chico nuevo: es fácil que te malinterpreten y es posible que aún no hayas establecido las relaciones clave que necesitas. Sin embargo, creo que cada año que pasa, es más fácil para AppSec encontrar su lugar incluso en las organizaciones más anticuadas que se resisten al cambio.
Cada vez es más evidente que las empresas no pueden convertir el cumplimiento de la seguridad en un paso final de última hora en sus procesos de software. Deben realizarse controles y medidas de punto a punto, concentrándose más en la agregación de datos y proporcionando más visibilidad a los niveles ejecutivos de la empresa. Sin esto, la seguridad permanecerá fuera de la vista y de la mente de la mayoría. Y en ese escenario, es prácticamente imposible reunir los recursos necesarios para planificar el riesgo.
La buena noticia es que más organizaciones que nunca están detectando sus propios ciberataques y trabajando para solucionarlos. ¿La mala noticia? Ese proceso está tomando un promedio de ochenta y cinco días.
Las herramientas de prueba con lápiz y la revisión manual del código son arduas, costosas y lentas en una época en la que la innovación rápida y la producción de funciones son imprescindibles en el ámbito tecnológico. La concienciación sobre la seguridad debe mantenerse desde el principio: desde el momento en que el desarrollador escribe el código en primer lugar.
Nuestra industria reconocerá el problema principal: necesitamos que las personas se preocupen más.
Esta es la cuestión: podría contar de manera conservadora a veinte personas de mi red que se han alojado en un hotel Marriott en algún momento de los últimos cuatro años. Con 500 millones de registros robados durante ese tiempo, es muy probable que sus datos hayan sido parte de ese robo. Todo, desde la información de contacto actual hasta los números de tarjetas de crédito aún válidos y la información de pasaportes, podría estar a la venta ahora mismo en la web oscura. Sin embargo, su factor de cuidado era básicamente cero.
Y, bueno, es fácil caer en la autocomplacencia cuando, en un robo de datos a tan gran escala, eres básicamente una aguja en un pajar.
Pero, ¿cuál es el verdadero problema? Las empresas que no han logrado mantener seguros los datos de sus propios clientes se enfrentan a muy pocas repercusiones. ¿El precio de sus acciones se ve afectado inmediatamente después del incidente? Puedes apostar a que sí. Target, Equifax y ahora Marriott podrían dar fe de ello. Sin embargo, un resumen de doce meses muestra que la recuperación a la normalidad es bastante rápida. Un par de años después, y financieramente, todo está perdonado.
Hasta que no haya repercusiones graves: multas enormes, regulaciones más estrictas y pérdidas significativas de negocios, AppSec será una industria que deberá luchar constantemente para transmitir la gravedad de los crecientes riesgos cibernéticos a los que está expuesta una empresa.
Me temo que empeorará mucho antes de que mejore, por lo que es de suma importancia que trabajemos para crear desarrolladores conscientes de la seguridad y culturas de seguridad sólidas en la primera línea de los equipos técnicos de una organización. Téngalo en cuenta y siga esforzándose por lograr un nivel más alto de seguridad del software.
La verdadera batalla a la que nos enfrentamos no es contra los niños que escriben guiones ni contra los peligrosos sindicatos organizados del cibercrimen, sino que consiste en lograr que más personas se preocupen por las violaciones de datos que se están produciendo.
首席执行官、主席和联合创始人
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
2018 ha sido un año gigantesco para los profesionales de la ciberseguridad. A pesar de las advertencias para tomarse la seguridad más en serio, la prensa constante en torno a fomentar más talento en la industria de la seguridad y los intentos generales de hacer que las organizaciones sean más conscientes de la ciberseguridad, nos quedan ante los cráteres humeantes que han dejado cientos de ciberataques, que representan violaciones de datos a gran escala y la desconfianza de los consumidores hacia algunos nombres muy conocidos. Solo en la primera mitad de 2018, Se comprometieron 4.500 millones de registros de datos en 945 incidentes distintos.
Lo he dicho antes, muchas veces: podemos hacerlo mejor. Sin embargo, la verdadera batalla a la que nos enfrentamos no es contra los niños que escriben guiones, las peligrosas bandas de ciberdelincuencia organizada o las misteriosas figuras con capucha que escriben en sus ordenadores portátiles; la lucha consiste en hacer que más personas se preocupen de que se produzcan estas infracciones.
El cumplimiento del RGPD es un buen comienzo, pero no tendrá un gran efecto a corto plazo.
La de la Unión Europea Reglamento general de protección de datos Las leyes (GDPR) están ahora en pleno apogeo; una amenaza inminente para las organizaciones que no se toman en serio la protección de datos. La imposición de enormes multas a las personas declaradas incumplidoras pretendía ser una patada en el trasero para que las empresas reforzaran sus prácticas de seguridad, traten los datos de los clientes con más respeto y elaboren una estrategia para mitigar los ciberataques.
Se ha advertido a algunas organizaciones de que se impondrán enormes multas, pero aún no hemos visto consecuencias reales como resultado del incumplimiento del GDPR. Sin penalizaciones por quiebra, solo un montón de ventanas emergentes en las que hacer clic para los usuarios de la web. Esto se debe en parte a que los procesos legales llevan mucho tiempo y hay muchas oportunidades para apelar: cualquier empresa que se haya convertido en un ejemplo probablemente esté enfrascada en una batalla legal de meses o años. Para poner fin a un año de pesadilla para Facebook, recientemente denunciaron otra violación de datos: un error de API que exponía las fotos privadas de 6,8 millones de usuarios a 1500 aplicaciones no autorizadas. La detectaron y corrigieron en un plazo de dos semanas, pero las agencias de protección de datos y el público no se enteraron de la infracción hasta meses después. Las leyes del RGPD exigen la notificación de una infracción en un plazo de 72 horas, por lo que plantea muchas preguntas sobre qué tan influyentes y efectivas son realmente estas leyes en la actualidad.
Y, por supuesto, las infracciones en otros lugares no se han detenido: las de noviembre Playa de Marriott reveló que la enorme cantidad de 500 millones de registros de datos estaban comprometidos y, quizás lo que es aún más preocupante, que los atacantes habían accedido a sus sistemas durante cuatro años antes de ser descubiertos. Sin embargo, cabe señalar que Marriott parece estar participando en algunos control de daños: han ofrecido a las víctimas un suscripción gratuita de 12 meses a WebWatcher, una herramienta de control crediticio... pero con 500 millones de registros que los piratas informáticos pueden examinar, queda por ver si un año será suficiente para monitorear algo significativo para la mayoría; al fin y al cabo, pueden pasar algunos años antes de que sus datos aparezcan destacados para un uso sin escrúpulos.
Regulaciones a largo plazo, como el GDPR voluntad impulsan un cambio positivo si se aplican. Cuando las empresas se enfrenten a una sanción financiera importante (o, de hecho, a demandas colectivas por parte de clientes cuyos datos se han visto comprometidos) o a una caída de los beneficios a una escala lo suficientemente larga, creo que la mayoría de las empresas se centrarán frenéticamente en fortalecer las bases de datos en línea.
Las instituciones financieras seguirán liderando el cambio positivo a corto plazo.
Puede que no sorprenda tanto que las instituciones financieras, que son las guardianas del dinero ganado con tanto esfuerzo en el mundo, cuenten con algunas de las políticas de mejores prácticas de ciberseguridad más estrictas, así como procesos integrales para reducir su riesgo.
Un factor importante de este cumplimiento proviene de la Consejo de normas de seguridad PCI, quienes mantienen su compromiso de ayudar a las organizaciones financieras a implementar una política de seguridad viable y a cumplir las directrices en todos los ámbitos. Han sido una fuerza positiva al ayudar a esta vertical a alcanzar uno de los estándares de seguridad más altos en el software de pagos.
Entonces, ¿qué están haciendo las instituciones financieras de manera diferente a las demás? Según mi experiencia, por lo general son más conscientes de la seguridad y dedican sus recursos a programas de formación holísticos no solo para los profesionales de AppSec y los que realizan pruebas previas, sino también para sus equipos de desarrollo (que suelen ser muy grandes y están dispersos por todo el mundo). Se aseguran de que los responsables de la toma de decisiones de alto nivel comprendan que los procesos de seguridad no son medidas que se «fijan y olvidan», sino que deben evolucionar con la misma rapidez que la tecnología que se utiliza y adaptarse a los riesgos variables.
Más organizaciones transformarán su cartera de seguridad.
En comparación con otras ramas de TI, AppSec es relativamente joven. Es difícil ser el chico nuevo: es fácil que te malinterpreten y es posible que aún no hayas establecido las relaciones clave que necesitas. Sin embargo, creo que cada año que pasa, es más fácil para AppSec encontrar su lugar incluso en las organizaciones más anticuadas que se resisten al cambio.
Cada vez es más evidente que las empresas no pueden convertir el cumplimiento de la seguridad en un paso final de última hora en sus procesos de software. Deben realizarse controles y medidas de punto a punto, concentrándose más en la agregación de datos y proporcionando más visibilidad a los niveles ejecutivos de la empresa. Sin esto, la seguridad permanecerá fuera de la vista y de la mente de la mayoría. Y en ese escenario, es prácticamente imposible reunir los recursos necesarios para planificar el riesgo.
La buena noticia es que más organizaciones que nunca están detectando sus propios ciberataques y trabajando para solucionarlos. ¿La mala noticia? Ese proceso está tomando un promedio de ochenta y cinco días.
Las herramientas de prueba con lápiz y la revisión manual del código son arduas, costosas y lentas en una época en la que la innovación rápida y la producción de funciones son imprescindibles en el ámbito tecnológico. La concienciación sobre la seguridad debe mantenerse desde el principio: desde el momento en que el desarrollador escribe el código en primer lugar.
Nuestra industria reconocerá el problema principal: necesitamos que las personas se preocupen más.
Esta es la cuestión: podría contar de manera conservadora a veinte personas de mi red que se han alojado en un hotel Marriott en algún momento de los últimos cuatro años. Con 500 millones de registros robados durante ese tiempo, es muy probable que sus datos hayan sido parte de ese robo. Todo, desde la información de contacto actual hasta los números de tarjetas de crédito aún válidos y la información de pasaportes, podría estar a la venta ahora mismo en la web oscura. Sin embargo, su factor de cuidado era básicamente cero.
Y, bueno, es fácil caer en la autocomplacencia cuando, en un robo de datos a tan gran escala, eres básicamente una aguja en un pajar.
Pero, ¿cuál es el verdadero problema? Las empresas que no han logrado mantener seguros los datos de sus propios clientes se enfrentan a muy pocas repercusiones. ¿El precio de sus acciones se ve afectado inmediatamente después del incidente? Puedes apostar a que sí. Target, Equifax y ahora Marriott podrían dar fe de ello. Sin embargo, un resumen de doce meses muestra que la recuperación a la normalidad es bastante rápida. Un par de años después, y financieramente, todo está perdonado.
Hasta que no haya repercusiones graves: multas enormes, regulaciones más estrictas y pérdidas significativas de negocios, AppSec será una industria que deberá luchar constantemente para transmitir la gravedad de los crecientes riesgos cibernéticos a los que está expuesta una empresa.
Me temo que empeorará mucho antes de que mejore, por lo que es de suma importancia que trabajemos para crear desarrolladores conscientes de la seguridad y culturas de seguridad sólidas en la primera línea de los equipos técnicos de una organización. Téngalo en cuenta y siga esforzándose por lograr un nivel más alto de seguridad del software.
2018 ha sido un año gigantesco para los profesionales de la ciberseguridad. A pesar de las advertencias para tomarse la seguridad más en serio, la prensa constante en torno a fomentar más talento en la industria de la seguridad y los intentos generales de hacer que las organizaciones sean más conscientes de la ciberseguridad, nos quedan ante los cráteres humeantes que han dejado cientos de ciberataques, que representan violaciones de datos a gran escala y la desconfianza de los consumidores hacia algunos nombres muy conocidos. Solo en la primera mitad de 2018, Se comprometieron 4.500 millones de registros de datos en 945 incidentes distintos.
Lo he dicho antes, muchas veces: podemos hacerlo mejor. Sin embargo, la verdadera batalla a la que nos enfrentamos no es contra los niños que escriben guiones, las peligrosas bandas de ciberdelincuencia organizada o las misteriosas figuras con capucha que escriben en sus ordenadores portátiles; la lucha consiste en hacer que más personas se preocupen de que se produzcan estas infracciones.
El cumplimiento del RGPD es un buen comienzo, pero no tendrá un gran efecto a corto plazo.
La de la Unión Europea Reglamento general de protección de datos Las leyes (GDPR) están ahora en pleno apogeo; una amenaza inminente para las organizaciones que no se toman en serio la protección de datos. La imposición de enormes multas a las personas declaradas incumplidoras pretendía ser una patada en el trasero para que las empresas reforzaran sus prácticas de seguridad, traten los datos de los clientes con más respeto y elaboren una estrategia para mitigar los ciberataques.
Se ha advertido a algunas organizaciones de que se impondrán enormes multas, pero aún no hemos visto consecuencias reales como resultado del incumplimiento del GDPR. Sin penalizaciones por quiebra, solo un montón de ventanas emergentes en las que hacer clic para los usuarios de la web. Esto se debe en parte a que los procesos legales llevan mucho tiempo y hay muchas oportunidades para apelar: cualquier empresa que se haya convertido en un ejemplo probablemente esté enfrascada en una batalla legal de meses o años. Para poner fin a un año de pesadilla para Facebook, recientemente denunciaron otra violación de datos: un error de API que exponía las fotos privadas de 6,8 millones de usuarios a 1500 aplicaciones no autorizadas. La detectaron y corrigieron en un plazo de dos semanas, pero las agencias de protección de datos y el público no se enteraron de la infracción hasta meses después. Las leyes del RGPD exigen la notificación de una infracción en un plazo de 72 horas, por lo que plantea muchas preguntas sobre qué tan influyentes y efectivas son realmente estas leyes en la actualidad.
Y, por supuesto, las infracciones en otros lugares no se han detenido: las de noviembre Playa de Marriott reveló que la enorme cantidad de 500 millones de registros de datos estaban comprometidos y, quizás lo que es aún más preocupante, que los atacantes habían accedido a sus sistemas durante cuatro años antes de ser descubiertos. Sin embargo, cabe señalar que Marriott parece estar participando en algunos control de daños: han ofrecido a las víctimas un suscripción gratuita de 12 meses a WebWatcher, una herramienta de control crediticio... pero con 500 millones de registros que los piratas informáticos pueden examinar, queda por ver si un año será suficiente para monitorear algo significativo para la mayoría; al fin y al cabo, pueden pasar algunos años antes de que sus datos aparezcan destacados para un uso sin escrúpulos.
Regulaciones a largo plazo, como el GDPR voluntad impulsan un cambio positivo si se aplican. Cuando las empresas se enfrenten a una sanción financiera importante (o, de hecho, a demandas colectivas por parte de clientes cuyos datos se han visto comprometidos) o a una caída de los beneficios a una escala lo suficientemente larga, creo que la mayoría de las empresas se centrarán frenéticamente en fortalecer las bases de datos en línea.
Las instituciones financieras seguirán liderando el cambio positivo a corto plazo.
Puede que no sorprenda tanto que las instituciones financieras, que son las guardianas del dinero ganado con tanto esfuerzo en el mundo, cuenten con algunas de las políticas de mejores prácticas de ciberseguridad más estrictas, así como procesos integrales para reducir su riesgo.
Un factor importante de este cumplimiento proviene de la Consejo de normas de seguridad PCI, quienes mantienen su compromiso de ayudar a las organizaciones financieras a implementar una política de seguridad viable y a cumplir las directrices en todos los ámbitos. Han sido una fuerza positiva al ayudar a esta vertical a alcanzar uno de los estándares de seguridad más altos en el software de pagos.
Entonces, ¿qué están haciendo las instituciones financieras de manera diferente a las demás? Según mi experiencia, por lo general son más conscientes de la seguridad y dedican sus recursos a programas de formación holísticos no solo para los profesionales de AppSec y los que realizan pruebas previas, sino también para sus equipos de desarrollo (que suelen ser muy grandes y están dispersos por todo el mundo). Se aseguran de que los responsables de la toma de decisiones de alto nivel comprendan que los procesos de seguridad no son medidas que se «fijan y olvidan», sino que deben evolucionar con la misma rapidez que la tecnología que se utiliza y adaptarse a los riesgos variables.
Más organizaciones transformarán su cartera de seguridad.
En comparación con otras ramas de TI, AppSec es relativamente joven. Es difícil ser el chico nuevo: es fácil que te malinterpreten y es posible que aún no hayas establecido las relaciones clave que necesitas. Sin embargo, creo que cada año que pasa, es más fácil para AppSec encontrar su lugar incluso en las organizaciones más anticuadas que se resisten al cambio.
Cada vez es más evidente que las empresas no pueden convertir el cumplimiento de la seguridad en un paso final de última hora en sus procesos de software. Deben realizarse controles y medidas de punto a punto, concentrándose más en la agregación de datos y proporcionando más visibilidad a los niveles ejecutivos de la empresa. Sin esto, la seguridad permanecerá fuera de la vista y de la mente de la mayoría. Y en ese escenario, es prácticamente imposible reunir los recursos necesarios para planificar el riesgo.
La buena noticia es que más organizaciones que nunca están detectando sus propios ciberataques y trabajando para solucionarlos. ¿La mala noticia? Ese proceso está tomando un promedio de ochenta y cinco días.
Las herramientas de prueba con lápiz y la revisión manual del código son arduas, costosas y lentas en una época en la que la innovación rápida y la producción de funciones son imprescindibles en el ámbito tecnológico. La concienciación sobre la seguridad debe mantenerse desde el principio: desde el momento en que el desarrollador escribe el código en primer lugar.
Nuestra industria reconocerá el problema principal: necesitamos que las personas se preocupen más.
Esta es la cuestión: podría contar de manera conservadora a veinte personas de mi red que se han alojado en un hotel Marriott en algún momento de los últimos cuatro años. Con 500 millones de registros robados durante ese tiempo, es muy probable que sus datos hayan sido parte de ese robo. Todo, desde la información de contacto actual hasta los números de tarjetas de crédito aún válidos y la información de pasaportes, podría estar a la venta ahora mismo en la web oscura. Sin embargo, su factor de cuidado era básicamente cero.
Y, bueno, es fácil caer en la autocomplacencia cuando, en un robo de datos a tan gran escala, eres básicamente una aguja en un pajar.
Pero, ¿cuál es el verdadero problema? Las empresas que no han logrado mantener seguros los datos de sus propios clientes se enfrentan a muy pocas repercusiones. ¿El precio de sus acciones se ve afectado inmediatamente después del incidente? Puedes apostar a que sí. Target, Equifax y ahora Marriott podrían dar fe de ello. Sin embargo, un resumen de doce meses muestra que la recuperación a la normalidad es bastante rápida. Un par de años después, y financieramente, todo está perdonado.
Hasta que no haya repercusiones graves: multas enormes, regulaciones más estrictas y pérdidas significativas de negocios, AppSec será una industria que deberá luchar constantemente para transmitir la gravedad de los crecientes riesgos cibernéticos a los que está expuesta una empresa.
Me temo que empeorará mucho antes de que mejore, por lo que es de suma importancia que trabajemos para crear desarrolladores conscientes de la seguridad y culturas de seguridad sólidas en la primera línea de los equipos técnicos de una organización. Téngalo en cuenta y siga esforzándose por lograr un nivel más alto de seguridad del software.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
2018 ha sido un año gigantesco para los profesionales de la ciberseguridad. A pesar de las advertencias para tomarse la seguridad más en serio, la prensa constante en torno a fomentar más talento en la industria de la seguridad y los intentos generales de hacer que las organizaciones sean más conscientes de la ciberseguridad, nos quedan ante los cráteres humeantes que han dejado cientos de ciberataques, que representan violaciones de datos a gran escala y la desconfianza de los consumidores hacia algunos nombres muy conocidos. Solo en la primera mitad de 2018, Se comprometieron 4.500 millones de registros de datos en 945 incidentes distintos.
Lo he dicho antes, muchas veces: podemos hacerlo mejor. Sin embargo, la verdadera batalla a la que nos enfrentamos no es contra los niños que escriben guiones, las peligrosas bandas de ciberdelincuencia organizada o las misteriosas figuras con capucha que escriben en sus ordenadores portátiles; la lucha consiste en hacer que más personas se preocupen de que se produzcan estas infracciones.
El cumplimiento del RGPD es un buen comienzo, pero no tendrá un gran efecto a corto plazo.
La de la Unión Europea Reglamento general de protección de datos Las leyes (GDPR) están ahora en pleno apogeo; una amenaza inminente para las organizaciones que no se toman en serio la protección de datos. La imposición de enormes multas a las personas declaradas incumplidoras pretendía ser una patada en el trasero para que las empresas reforzaran sus prácticas de seguridad, traten los datos de los clientes con más respeto y elaboren una estrategia para mitigar los ciberataques.
Se ha advertido a algunas organizaciones de que se impondrán enormes multas, pero aún no hemos visto consecuencias reales como resultado del incumplimiento del GDPR. Sin penalizaciones por quiebra, solo un montón de ventanas emergentes en las que hacer clic para los usuarios de la web. Esto se debe en parte a que los procesos legales llevan mucho tiempo y hay muchas oportunidades para apelar: cualquier empresa que se haya convertido en un ejemplo probablemente esté enfrascada en una batalla legal de meses o años. Para poner fin a un año de pesadilla para Facebook, recientemente denunciaron otra violación de datos: un error de API que exponía las fotos privadas de 6,8 millones de usuarios a 1500 aplicaciones no autorizadas. La detectaron y corrigieron en un plazo de dos semanas, pero las agencias de protección de datos y el público no se enteraron de la infracción hasta meses después. Las leyes del RGPD exigen la notificación de una infracción en un plazo de 72 horas, por lo que plantea muchas preguntas sobre qué tan influyentes y efectivas son realmente estas leyes en la actualidad.
Y, por supuesto, las infracciones en otros lugares no se han detenido: las de noviembre Playa de Marriott reveló que la enorme cantidad de 500 millones de registros de datos estaban comprometidos y, quizás lo que es aún más preocupante, que los atacantes habían accedido a sus sistemas durante cuatro años antes de ser descubiertos. Sin embargo, cabe señalar que Marriott parece estar participando en algunos control de daños: han ofrecido a las víctimas un suscripción gratuita de 12 meses a WebWatcher, una herramienta de control crediticio... pero con 500 millones de registros que los piratas informáticos pueden examinar, queda por ver si un año será suficiente para monitorear algo significativo para la mayoría; al fin y al cabo, pueden pasar algunos años antes de que sus datos aparezcan destacados para un uso sin escrúpulos.
Regulaciones a largo plazo, como el GDPR voluntad impulsan un cambio positivo si se aplican. Cuando las empresas se enfrenten a una sanción financiera importante (o, de hecho, a demandas colectivas por parte de clientes cuyos datos se han visto comprometidos) o a una caída de los beneficios a una escala lo suficientemente larga, creo que la mayoría de las empresas se centrarán frenéticamente en fortalecer las bases de datos en línea.
Las instituciones financieras seguirán liderando el cambio positivo a corto plazo.
Puede que no sorprenda tanto que las instituciones financieras, que son las guardianas del dinero ganado con tanto esfuerzo en el mundo, cuenten con algunas de las políticas de mejores prácticas de ciberseguridad más estrictas, así como procesos integrales para reducir su riesgo.
Un factor importante de este cumplimiento proviene de la Consejo de normas de seguridad PCI, quienes mantienen su compromiso de ayudar a las organizaciones financieras a implementar una política de seguridad viable y a cumplir las directrices en todos los ámbitos. Han sido una fuerza positiva al ayudar a esta vertical a alcanzar uno de los estándares de seguridad más altos en el software de pagos.
Entonces, ¿qué están haciendo las instituciones financieras de manera diferente a las demás? Según mi experiencia, por lo general son más conscientes de la seguridad y dedican sus recursos a programas de formación holísticos no solo para los profesionales de AppSec y los que realizan pruebas previas, sino también para sus equipos de desarrollo (que suelen ser muy grandes y están dispersos por todo el mundo). Se aseguran de que los responsables de la toma de decisiones de alto nivel comprendan que los procesos de seguridad no son medidas que se «fijan y olvidan», sino que deben evolucionar con la misma rapidez que la tecnología que se utiliza y adaptarse a los riesgos variables.
Más organizaciones transformarán su cartera de seguridad.
En comparación con otras ramas de TI, AppSec es relativamente joven. Es difícil ser el chico nuevo: es fácil que te malinterpreten y es posible que aún no hayas establecido las relaciones clave que necesitas. Sin embargo, creo que cada año que pasa, es más fácil para AppSec encontrar su lugar incluso en las organizaciones más anticuadas que se resisten al cambio.
Cada vez es más evidente que las empresas no pueden convertir el cumplimiento de la seguridad en un paso final de última hora en sus procesos de software. Deben realizarse controles y medidas de punto a punto, concentrándose más en la agregación de datos y proporcionando más visibilidad a los niveles ejecutivos de la empresa. Sin esto, la seguridad permanecerá fuera de la vista y de la mente de la mayoría. Y en ese escenario, es prácticamente imposible reunir los recursos necesarios para planificar el riesgo.
La buena noticia es que más organizaciones que nunca están detectando sus propios ciberataques y trabajando para solucionarlos. ¿La mala noticia? Ese proceso está tomando un promedio de ochenta y cinco días.
Las herramientas de prueba con lápiz y la revisión manual del código son arduas, costosas y lentas en una época en la que la innovación rápida y la producción de funciones son imprescindibles en el ámbito tecnológico. La concienciación sobre la seguridad debe mantenerse desde el principio: desde el momento en que el desarrollador escribe el código en primer lugar.
Nuestra industria reconocerá el problema principal: necesitamos que las personas se preocupen más.
Esta es la cuestión: podría contar de manera conservadora a veinte personas de mi red que se han alojado en un hotel Marriott en algún momento de los últimos cuatro años. Con 500 millones de registros robados durante ese tiempo, es muy probable que sus datos hayan sido parte de ese robo. Todo, desde la información de contacto actual hasta los números de tarjetas de crédito aún válidos y la información de pasaportes, podría estar a la venta ahora mismo en la web oscura. Sin embargo, su factor de cuidado era básicamente cero.
Y, bueno, es fácil caer en la autocomplacencia cuando, en un robo de datos a tan gran escala, eres básicamente una aguja en un pajar.
Pero, ¿cuál es el verdadero problema? Las empresas que no han logrado mantener seguros los datos de sus propios clientes se enfrentan a muy pocas repercusiones. ¿El precio de sus acciones se ve afectado inmediatamente después del incidente? Puedes apostar a que sí. Target, Equifax y ahora Marriott podrían dar fe de ello. Sin embargo, un resumen de doce meses muestra que la recuperación a la normalidad es bastante rápida. Un par de años después, y financieramente, todo está perdonado.
Hasta que no haya repercusiones graves: multas enormes, regulaciones más estrictas y pérdidas significativas de negocios, AppSec será una industria que deberá luchar constantemente para transmitir la gravedad de los crecientes riesgos cibernéticos a los que está expuesta una empresa.
Me temo que empeorará mucho antes de que mejore, por lo que es de suma importancia que trabajemos para crear desarrolladores conscientes de la seguridad y culturas de seguridad sólidas en la primera línea de los equipos técnicos de una organización. Téngalo en cuenta y siga esforzándose por lograr un nivel más alto de seguridad del software.
%20(1).avif)
.avif)
