El factor humano olvidado que impulsa las fallas de seguridad de las aplicaciones web
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
首席执行官、主席和联合创始人
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
%20(1).avif)
.avif)
