Cómo el gobierno australiano puede desarrollar la resiliencia nacional en materia de ciberseguridad y hacer frente a las amenazas
Con 2020 viendo un enorme aumento en el trabajo remoto, además de las continuas filtraciones de datos a gran escala y un enfoque cada vez mayor en las consecuencias de comprometer la privacidad en línea, nunca ha habido un enfoque público más centrado en la ciberseguridad. Como resultado, los gobiernos de todo el mundo han intervenido para remodelar y actualizar sus planes e infraestructuras de ciberseguridad, incluidas las estrategias y normativas que las empresas deben seguir a la hora de gestionar nuestros recursos digitales más preciados.
Las directrices de protección estratégica para la ciberseguridad no son un concepto nuevo, y organizaciones como NIST han influido en las políticas de los departamentos gubernamentales mundiales durante muchos años. A medida que avanzamos a un ritmo vertiginoso en el avance digital, a muchos les resulta difícil mantenerse al día con la cantidad de amenazas, los posibles vectores de ataque y los requisitos de cumplimiento que forman parte de un panorama en constante cambio.
Un reciente incumplimiento de 54.000 licencias de conducir de Nueva Gales del Sur como resultado de un bucket de S3 mal configurado y de fácil acceso en un servidor de terceros, ha puesto en peligro a miles de personas, y el investigador de seguridad que lo denunció admitió que es posible que los datos ya se hayan vendido en la web oscura. Lo triste es que se trata de una solución fácil y no habría sido posible si la seguridad hubiera sido una prioridad para los configuradores de la caché.
El Gobierno australiano publicó recientemente el Estrategia Australiana de Ciberseguridad 2020, destacando las nuevas iniciativas y el aumento de financiación de 1.670 millones de dólares que se utilizarán durante la próxima década para lograr su «visión de crear un mundo en línea más seguro para los australianos, sus empresas y los servicios esenciales de los que todos dependemos». Evidentemente, se trata de una revisión y un plan actualizado que acogemos con gran satisfacción, sobre todo si se tiene en cuenta que uno de los principales objetivos es:
«Acciones de las empresas para proteger sus productos y servicios y proteger a sus clientes de las vulnerabilidades cibernéticas conocidas«.
Si bien los organismos gubernamentales tienden a centrarse (como deberían) en las medidas de seguridad relacionadas con la infraestructura crítica de un país (áreas que están listas para un ataque organizado catastrófico), lo que faltaba en el pasado eran directrices para las empresas que recopilan y utilizan nuestros datos todos los días.
Ahora, cuando se trata de estrategias oficiales como esta, no siempre se trata de cerveza y bolos. Puede resultar un poco difícil de interpretar e impreciso en cuanto a los detalles, lo que deja en manos del equipo de seguridad de la organización la elaboración de un plan basado en directrices no específicas. Este problema no es exclusivo del gobierno de Australia, pero analicemos su nuevo lanzamiento.
Centrarse en la reacción, no en la prevención.
La Estrategia de Ciberseguridad de Australia actualizada es un avance más relevante con respecto a la última versión de 2016, con planes bastante completos para las empresas, especialmente para las pymes. La estrategia describe lo siguiente:
«El gobierno y las grandes empresas ayudarán a las pequeñas y medianas empresas (PYMES) a crecer y aumentar su conciencia y capacidad en materia de ciberseguridad. El Gobierno australiano colaborará con las grandes empresas y los proveedores de servicios para proporcionar a las pymes información y herramientas en materia de ciberseguridad como parte de «paquetes» de servicios seguros (como el bloqueo de amenazas, los antivirus y la formación en materia de ciberseguridad)».
Esto proporcionará a las pymes una base básica decente sobre la que proteger sus negocios de las ciberamenazas, pero es en gran medida un enfoque reactivo, y la atención se centra en las herramientas de detección, una parte relativamente pequeña del panorama de la ciberseguridad.
Sorprendentemente, también hay poca información sobre cómo las grandes empresas pueden protegerse y reducir sus vectores de ataque. Si bien muchos pueden formar parte de los planes para proteger la infraestructura crítica (como las telecomunicaciones y el transporte), servicios financieros, venta al por menor, y muchos otros mercados verticales tienen mucho que perder cuando se trata de un ciberataque exitoso. Quizás esto forme parte de la próxima legislación, pero aun así, es fundamental destacar la importancia de aplicar meticulosas mejores prácticas de ciberseguridad a nivel empresarial para lograr un cambio significativo y una disminución de los datos comprometidos y la ciberdelincuencia.
En general, cuando se considera la estrategia en su conjunto, se basa en un enfoque reactivo. La lucha contra los ciberataques, la desarticulación de los ciberdelincuentes activos y la garantía de su persecución, así como el intercambio de información de inteligencia con los aliados internacionales, son factores importantes, pero imagínese si la norma nacional de protección se centrara en la prevención. Además de las medidas de protección para la infraestructura crítica, si la seguridad fuera una prioridad en todas las empresas y cada persona que toque el código que crea nuestro mundo digital estuviera debidamente equipada para bloquear los ataques antes de que se produzcan, el ahorro de tiempo, dinero y angustia para las víctimas es inconmensurable.
La resiliencia es posible, pero hay que planificarla.
Del esfuerzo del Gobierno australiano por tomarse en serio la ciberseguridad se desprende claramente que se la ha identificado como un área de riesgo clave a nivel nacional. Como cualquier otro ataque malintencionado que tenga la capacidad de perturbar nuestro modo de vida, la resiliencia es absolutamente crucial, no solo para resistir un intento de este tipo, sino también para disuadir de que se produzca. A fin de cuentas, incluso los actores de las amenazas pueden ser perezosos y, si se ponen demasiados obstáculos para lograr su objetivo, optarán por un objetivo más fácil para alcanzar su objetivo.
Por el momento, nos enfrentamos a una escasez mundial de habilidades de ciberseguridad, y esto es algo que mantiene despiertos a los CISO de todo el mundo por la noche. Miles de millones de líneas de código, violaciones de datos constantes y a gran escala y un mayor riesgo de penalización (solo en Marriott) recibió una multa de 123 millones de dólares en virtud del RGPD por su violación de datos en 2018... y ellos tuvo otra infracción este año) ha creado más que nunca un abismo en la demanda de especialistas en seguridad que, siendo realistas, es poco probable que se cierre. Simplemente hay demasiado código y muy pocos recursos para garantizar que esté fortificado desde todos los ángulos.
Entonces, ¿deberíamos renunciar a la idea de que alguna vez nos mantendremos firmes frente a las ciberamenazas? No hay ninguna posibilidad. La resiliencia requiere utilizar todos los recursos disponibles y pensar un paso por delante. Y para muchas empresas, sus desarrolladores pueden desbloquear un poderoso método de fortificación justo cuando se escribe el código. Cuando se combina con una cultura de seguridad visible y positiva en toda la empresa, esto proporciona una base segura que es difícil de romper para muchos atacantes. Sin embargo, este método requiere tomar las sugerencias de la Estrategia de Ciberseguridad de Australia, como ejemplo, y profundizar en la forma en que se pueden personalizar para respaldar un cambio efectivo que sea relevante para la empresa.
Para ello, es importante desglosar un par de consejos:
- Formación sobre sensibilización en materia de seguridad: se dirige específicamente a las pymes y, en el contexto de todo el informe, tiene como objetivo principal enseñar a todo el personal la higiene básica de la seguridad (por ejemplo, detectar correos electrónicos de suplantación de identidad, no hacer clic en enlaces desconocidos, etc.). Siendo realistas, debe ir mucho más allá y centrarse en funciones específicas, especialmente para quienes se dedican al código, como los desarrolladores. Es imperativo que la formación en materia de seguridad sea un componente de las medidas preventivas y del fomento de la resiliencia
- Educación: En un cambio refrescante, hay un plan detallado para abordar la escasez de habilidades de ciberseguridad durante la próxima década, haciendo hincapié en la formación en ciberseguridad desde la escuela primaria y secundaria hasta la educación superior. Esto es muy necesario si queremos construir las superestrellas de la seguridad del futuro, pero desde la perspectiva de abordar las necesidades empresariales en este momento, la formación práctica en codificación segura para la cohorte de desarrollo es una necesidad absoluta para empezar a reducir las vulnerabilidades comunes y debe formar parte de un programa de seguridad funcional.
Como expertos en seguridad, debemos hacer más para ayudar a las empresas de todo el mundo a entender la importancia de crear un programa de seguridad interna que vaya más allá de las simples medidas fundamentales de concienciación. Dedicar tiempo a mejorar las habilidades de los desarrolladores alivia la presión sobre los especialistas en AppSec, que tienen el exceso de trabajo, y garantizar que toda la organización esté tan concienciada con la seguridad como sea posible en el contexto de su función es vital para reducir el área de ataque del software a la superficie amenazada.
La mejora de las habilidades de los desarrolladores es un tiempo bien empleado, entonces, ¿por qué tantas empresas lo ignoran?
Una encuesta reciente de DDLS concluyó que hay muy poco sentido de prioridad en lo que respecta a la formación en ciberseguridad en las organizaciones australianas. De hecho, ni siquiera figuraba entre las tres principales prioridades de formación, a pesar de que el 77% de los encuestados califica el conocimiento de la ciberseguridad como «extremadamente» o «muy importante» en sus negocios.
No es de extrañar, entonces, que Australia esté esforzándose por cerrar la creciente brecha de habilidades y tenga mucho trabajo por hacer para crear una infraestructura más resiliente, desde los servicios esenciales hasta el comercio minorista y todo lo demás.
Aquí hay una enorme oportunidad para gobiernos para crear una certificación básica o regulación de habilidades de seguridad, y la estrategia alude a esto como una forma de trabajar con recursos limitados. Sin embargo, una vez más, esta parece ser una propuesta para el futuro, y tenemos las herramientas para empezar mucho antes si nos centramos primero en las áreas de alto impacto. Para mí, la esperanza reside en los equipos de desarrollo de cada organización y, si cuentan con las herramientas y los conocimientos necesarios para tener éxito, pueden eliminar de inmediato las vulnerabilidades más comunes y reducir significativamente el riesgo de que se produzca una violación de datos en su organización.
En 2019, El 24% de todas las filtraciones de datos se debieron a errores humanos - es decir, errores de configuración de seguridad, que suelen ser correcciones relativamente simples a nivel de código. Si la formación se convierte en una prioridad, junto con la creación de conciencia en materia de seguridad en toda la empresa, apuesto a que habría menos CISO que los CISO firmaran las notificaciones de infracciones a miles de clientes comprometidos.
Del esfuerzo del Gobierno australiano por tomarse en serio la ciberseguridad se desprende claramente que se la ha identificado como un área de riesgo clave a nivel nacional, pero ¿su estrategia va lo suficientemente lejos?
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Con 2020 viendo un enorme aumento en el trabajo remoto, además de las continuas filtraciones de datos a gran escala y un enfoque cada vez mayor en las consecuencias de comprometer la privacidad en línea, nunca ha habido un enfoque público más centrado en la ciberseguridad. Como resultado, los gobiernos de todo el mundo han intervenido para remodelar y actualizar sus planes e infraestructuras de ciberseguridad, incluidas las estrategias y normativas que las empresas deben seguir a la hora de gestionar nuestros recursos digitales más preciados.
Las directrices de protección estratégica para la ciberseguridad no son un concepto nuevo, y organizaciones como NIST han influido en las políticas de los departamentos gubernamentales mundiales durante muchos años. A medida que avanzamos a un ritmo vertiginoso en el avance digital, a muchos les resulta difícil mantenerse al día con la cantidad de amenazas, los posibles vectores de ataque y los requisitos de cumplimiento que forman parte de un panorama en constante cambio.
Un reciente incumplimiento de 54.000 licencias de conducir de Nueva Gales del Sur como resultado de un bucket de S3 mal configurado y de fácil acceso en un servidor de terceros, ha puesto en peligro a miles de personas, y el investigador de seguridad que lo denunció admitió que es posible que los datos ya se hayan vendido en la web oscura. Lo triste es que se trata de una solución fácil y no habría sido posible si la seguridad hubiera sido una prioridad para los configuradores de la caché.
El Gobierno australiano publicó recientemente el Estrategia Australiana de Ciberseguridad 2020, destacando las nuevas iniciativas y el aumento de financiación de 1.670 millones de dólares que se utilizarán durante la próxima década para lograr su «visión de crear un mundo en línea más seguro para los australianos, sus empresas y los servicios esenciales de los que todos dependemos». Evidentemente, se trata de una revisión y un plan actualizado que acogemos con gran satisfacción, sobre todo si se tiene en cuenta que uno de los principales objetivos es:
«Acciones de las empresas para proteger sus productos y servicios y proteger a sus clientes de las vulnerabilidades cibernéticas conocidas«.
Si bien los organismos gubernamentales tienden a centrarse (como deberían) en las medidas de seguridad relacionadas con la infraestructura crítica de un país (áreas que están listas para un ataque organizado catastrófico), lo que faltaba en el pasado eran directrices para las empresas que recopilan y utilizan nuestros datos todos los días.
Ahora, cuando se trata de estrategias oficiales como esta, no siempre se trata de cerveza y bolos. Puede resultar un poco difícil de interpretar e impreciso en cuanto a los detalles, lo que deja en manos del equipo de seguridad de la organización la elaboración de un plan basado en directrices no específicas. Este problema no es exclusivo del gobierno de Australia, pero analicemos su nuevo lanzamiento.
Centrarse en la reacción, no en la prevención.
La Estrategia de Ciberseguridad de Australia actualizada es un avance más relevante con respecto a la última versión de 2016, con planes bastante completos para las empresas, especialmente para las pymes. La estrategia describe lo siguiente:
«El gobierno y las grandes empresas ayudarán a las pequeñas y medianas empresas (PYMES) a crecer y aumentar su conciencia y capacidad en materia de ciberseguridad. El Gobierno australiano colaborará con las grandes empresas y los proveedores de servicios para proporcionar a las pymes información y herramientas en materia de ciberseguridad como parte de «paquetes» de servicios seguros (como el bloqueo de amenazas, los antivirus y la formación en materia de ciberseguridad)».
Esto proporcionará a las pymes una base básica decente sobre la que proteger sus negocios de las ciberamenazas, pero es en gran medida un enfoque reactivo, y la atención se centra en las herramientas de detección, una parte relativamente pequeña del panorama de la ciberseguridad.
Sorprendentemente, también hay poca información sobre cómo las grandes empresas pueden protegerse y reducir sus vectores de ataque. Si bien muchos pueden formar parte de los planes para proteger la infraestructura crítica (como las telecomunicaciones y el transporte), servicios financieros, venta al por menor, y muchos otros mercados verticales tienen mucho que perder cuando se trata de un ciberataque exitoso. Quizás esto forme parte de la próxima legislación, pero aun así, es fundamental destacar la importancia de aplicar meticulosas mejores prácticas de ciberseguridad a nivel empresarial para lograr un cambio significativo y una disminución de los datos comprometidos y la ciberdelincuencia.
En general, cuando se considera la estrategia en su conjunto, se basa en un enfoque reactivo. La lucha contra los ciberataques, la desarticulación de los ciberdelincuentes activos y la garantía de su persecución, así como el intercambio de información de inteligencia con los aliados internacionales, son factores importantes, pero imagínese si la norma nacional de protección se centrara en la prevención. Además de las medidas de protección para la infraestructura crítica, si la seguridad fuera una prioridad en todas las empresas y cada persona que toque el código que crea nuestro mundo digital estuviera debidamente equipada para bloquear los ataques antes de que se produzcan, el ahorro de tiempo, dinero y angustia para las víctimas es inconmensurable.
La resiliencia es posible, pero hay que planificarla.
Del esfuerzo del Gobierno australiano por tomarse en serio la ciberseguridad se desprende claramente que se la ha identificado como un área de riesgo clave a nivel nacional. Como cualquier otro ataque malintencionado que tenga la capacidad de perturbar nuestro modo de vida, la resiliencia es absolutamente crucial, no solo para resistir un intento de este tipo, sino también para disuadir de que se produzca. A fin de cuentas, incluso los actores de las amenazas pueden ser perezosos y, si se ponen demasiados obstáculos para lograr su objetivo, optarán por un objetivo más fácil para alcanzar su objetivo.
Por el momento, nos enfrentamos a una escasez mundial de habilidades de ciberseguridad, y esto es algo que mantiene despiertos a los CISO de todo el mundo por la noche. Miles de millones de líneas de código, violaciones de datos constantes y a gran escala y un mayor riesgo de penalización (solo en Marriott) recibió una multa de 123 millones de dólares en virtud del RGPD por su violación de datos en 2018... y ellos tuvo otra infracción este año) ha creado más que nunca un abismo en la demanda de especialistas en seguridad que, siendo realistas, es poco probable que se cierre. Simplemente hay demasiado código y muy pocos recursos para garantizar que esté fortificado desde todos los ángulos.
Entonces, ¿deberíamos renunciar a la idea de que alguna vez nos mantendremos firmes frente a las ciberamenazas? No hay ninguna posibilidad. La resiliencia requiere utilizar todos los recursos disponibles y pensar un paso por delante. Y para muchas empresas, sus desarrolladores pueden desbloquear un poderoso método de fortificación justo cuando se escribe el código. Cuando se combina con una cultura de seguridad visible y positiva en toda la empresa, esto proporciona una base segura que es difícil de romper para muchos atacantes. Sin embargo, este método requiere tomar las sugerencias de la Estrategia de Ciberseguridad de Australia, como ejemplo, y profundizar en la forma en que se pueden personalizar para respaldar un cambio efectivo que sea relevante para la empresa.
Para ello, es importante desglosar un par de consejos:
- Formación sobre sensibilización en materia de seguridad: se dirige específicamente a las pymes y, en el contexto de todo el informe, tiene como objetivo principal enseñar a todo el personal la higiene básica de la seguridad (por ejemplo, detectar correos electrónicos de suplantación de identidad, no hacer clic en enlaces desconocidos, etc.). Siendo realistas, debe ir mucho más allá y centrarse en funciones específicas, especialmente para quienes se dedican al código, como los desarrolladores. Es imperativo que la formación en materia de seguridad sea un componente de las medidas preventivas y del fomento de la resiliencia
- Educación: En un cambio refrescante, hay un plan detallado para abordar la escasez de habilidades de ciberseguridad durante la próxima década, haciendo hincapié en la formación en ciberseguridad desde la escuela primaria y secundaria hasta la educación superior. Esto es muy necesario si queremos construir las superestrellas de la seguridad del futuro, pero desde la perspectiva de abordar las necesidades empresariales en este momento, la formación práctica en codificación segura para la cohorte de desarrollo es una necesidad absoluta para empezar a reducir las vulnerabilidades comunes y debe formar parte de un programa de seguridad funcional.
Como expertos en seguridad, debemos hacer más para ayudar a las empresas de todo el mundo a entender la importancia de crear un programa de seguridad interna que vaya más allá de las simples medidas fundamentales de concienciación. Dedicar tiempo a mejorar las habilidades de los desarrolladores alivia la presión sobre los especialistas en AppSec, que tienen el exceso de trabajo, y garantizar que toda la organización esté tan concienciada con la seguridad como sea posible en el contexto de su función es vital para reducir el área de ataque del software a la superficie amenazada.
La mejora de las habilidades de los desarrolladores es un tiempo bien empleado, entonces, ¿por qué tantas empresas lo ignoran?
Una encuesta reciente de DDLS concluyó que hay muy poco sentido de prioridad en lo que respecta a la formación en ciberseguridad en las organizaciones australianas. De hecho, ni siquiera figuraba entre las tres principales prioridades de formación, a pesar de que el 77% de los encuestados califica el conocimiento de la ciberseguridad como «extremadamente» o «muy importante» en sus negocios.
No es de extrañar, entonces, que Australia esté esforzándose por cerrar la creciente brecha de habilidades y tenga mucho trabajo por hacer para crear una infraestructura más resiliente, desde los servicios esenciales hasta el comercio minorista y todo lo demás.
Aquí hay una enorme oportunidad para gobiernos para crear una certificación básica o regulación de habilidades de seguridad, y la estrategia alude a esto como una forma de trabajar con recursos limitados. Sin embargo, una vez más, esta parece ser una propuesta para el futuro, y tenemos las herramientas para empezar mucho antes si nos centramos primero en las áreas de alto impacto. Para mí, la esperanza reside en los equipos de desarrollo de cada organización y, si cuentan con las herramientas y los conocimientos necesarios para tener éxito, pueden eliminar de inmediato las vulnerabilidades más comunes y reducir significativamente el riesgo de que se produzca una violación de datos en su organización.
En 2019, El 24% de todas las filtraciones de datos se debieron a errores humanos - es decir, errores de configuración de seguridad, que suelen ser correcciones relativamente simples a nivel de código. Si la formación se convierte en una prioridad, junto con la creación de conciencia en materia de seguridad en toda la empresa, apuesto a que habría menos CISO que los CISO firmaran las notificaciones de infracciones a miles de clientes comprometidos.
Con 2020 viendo un enorme aumento en el trabajo remoto, además de las continuas filtraciones de datos a gran escala y un enfoque cada vez mayor en las consecuencias de comprometer la privacidad en línea, nunca ha habido un enfoque público más centrado en la ciberseguridad. Como resultado, los gobiernos de todo el mundo han intervenido para remodelar y actualizar sus planes e infraestructuras de ciberseguridad, incluidas las estrategias y normativas que las empresas deben seguir a la hora de gestionar nuestros recursos digitales más preciados.
Las directrices de protección estratégica para la ciberseguridad no son un concepto nuevo, y organizaciones como NIST han influido en las políticas de los departamentos gubernamentales mundiales durante muchos años. A medida que avanzamos a un ritmo vertiginoso en el avance digital, a muchos les resulta difícil mantenerse al día con la cantidad de amenazas, los posibles vectores de ataque y los requisitos de cumplimiento que forman parte de un panorama en constante cambio.
Un reciente incumplimiento de 54.000 licencias de conducir de Nueva Gales del Sur como resultado de un bucket de S3 mal configurado y de fácil acceso en un servidor de terceros, ha puesto en peligro a miles de personas, y el investigador de seguridad que lo denunció admitió que es posible que los datos ya se hayan vendido en la web oscura. Lo triste es que se trata de una solución fácil y no habría sido posible si la seguridad hubiera sido una prioridad para los configuradores de la caché.
El Gobierno australiano publicó recientemente el Estrategia Australiana de Ciberseguridad 2020, destacando las nuevas iniciativas y el aumento de financiación de 1.670 millones de dólares que se utilizarán durante la próxima década para lograr su «visión de crear un mundo en línea más seguro para los australianos, sus empresas y los servicios esenciales de los que todos dependemos». Evidentemente, se trata de una revisión y un plan actualizado que acogemos con gran satisfacción, sobre todo si se tiene en cuenta que uno de los principales objetivos es:
«Acciones de las empresas para proteger sus productos y servicios y proteger a sus clientes de las vulnerabilidades cibernéticas conocidas«.
Si bien los organismos gubernamentales tienden a centrarse (como deberían) en las medidas de seguridad relacionadas con la infraestructura crítica de un país (áreas que están listas para un ataque organizado catastrófico), lo que faltaba en el pasado eran directrices para las empresas que recopilan y utilizan nuestros datos todos los días.
Ahora, cuando se trata de estrategias oficiales como esta, no siempre se trata de cerveza y bolos. Puede resultar un poco difícil de interpretar e impreciso en cuanto a los detalles, lo que deja en manos del equipo de seguridad de la organización la elaboración de un plan basado en directrices no específicas. Este problema no es exclusivo del gobierno de Australia, pero analicemos su nuevo lanzamiento.
Centrarse en la reacción, no en la prevención.
La Estrategia de Ciberseguridad de Australia actualizada es un avance más relevante con respecto a la última versión de 2016, con planes bastante completos para las empresas, especialmente para las pymes. La estrategia describe lo siguiente:
«El gobierno y las grandes empresas ayudarán a las pequeñas y medianas empresas (PYMES) a crecer y aumentar su conciencia y capacidad en materia de ciberseguridad. El Gobierno australiano colaborará con las grandes empresas y los proveedores de servicios para proporcionar a las pymes información y herramientas en materia de ciberseguridad como parte de «paquetes» de servicios seguros (como el bloqueo de amenazas, los antivirus y la formación en materia de ciberseguridad)».
Esto proporcionará a las pymes una base básica decente sobre la que proteger sus negocios de las ciberamenazas, pero es en gran medida un enfoque reactivo, y la atención se centra en las herramientas de detección, una parte relativamente pequeña del panorama de la ciberseguridad.
Sorprendentemente, también hay poca información sobre cómo las grandes empresas pueden protegerse y reducir sus vectores de ataque. Si bien muchos pueden formar parte de los planes para proteger la infraestructura crítica (como las telecomunicaciones y el transporte), servicios financieros, venta al por menor, y muchos otros mercados verticales tienen mucho que perder cuando se trata de un ciberataque exitoso. Quizás esto forme parte de la próxima legislación, pero aun así, es fundamental destacar la importancia de aplicar meticulosas mejores prácticas de ciberseguridad a nivel empresarial para lograr un cambio significativo y una disminución de los datos comprometidos y la ciberdelincuencia.
En general, cuando se considera la estrategia en su conjunto, se basa en un enfoque reactivo. La lucha contra los ciberataques, la desarticulación de los ciberdelincuentes activos y la garantía de su persecución, así como el intercambio de información de inteligencia con los aliados internacionales, son factores importantes, pero imagínese si la norma nacional de protección se centrara en la prevención. Además de las medidas de protección para la infraestructura crítica, si la seguridad fuera una prioridad en todas las empresas y cada persona que toque el código que crea nuestro mundo digital estuviera debidamente equipada para bloquear los ataques antes de que se produzcan, el ahorro de tiempo, dinero y angustia para las víctimas es inconmensurable.
La resiliencia es posible, pero hay que planificarla.
Del esfuerzo del Gobierno australiano por tomarse en serio la ciberseguridad se desprende claramente que se la ha identificado como un área de riesgo clave a nivel nacional. Como cualquier otro ataque malintencionado que tenga la capacidad de perturbar nuestro modo de vida, la resiliencia es absolutamente crucial, no solo para resistir un intento de este tipo, sino también para disuadir de que se produzca. A fin de cuentas, incluso los actores de las amenazas pueden ser perezosos y, si se ponen demasiados obstáculos para lograr su objetivo, optarán por un objetivo más fácil para alcanzar su objetivo.
Por el momento, nos enfrentamos a una escasez mundial de habilidades de ciberseguridad, y esto es algo que mantiene despiertos a los CISO de todo el mundo por la noche. Miles de millones de líneas de código, violaciones de datos constantes y a gran escala y un mayor riesgo de penalización (solo en Marriott) recibió una multa de 123 millones de dólares en virtud del RGPD por su violación de datos en 2018... y ellos tuvo otra infracción este año) ha creado más que nunca un abismo en la demanda de especialistas en seguridad que, siendo realistas, es poco probable que se cierre. Simplemente hay demasiado código y muy pocos recursos para garantizar que esté fortificado desde todos los ángulos.
Entonces, ¿deberíamos renunciar a la idea de que alguna vez nos mantendremos firmes frente a las ciberamenazas? No hay ninguna posibilidad. La resiliencia requiere utilizar todos los recursos disponibles y pensar un paso por delante. Y para muchas empresas, sus desarrolladores pueden desbloquear un poderoso método de fortificación justo cuando se escribe el código. Cuando se combina con una cultura de seguridad visible y positiva en toda la empresa, esto proporciona una base segura que es difícil de romper para muchos atacantes. Sin embargo, este método requiere tomar las sugerencias de la Estrategia de Ciberseguridad de Australia, como ejemplo, y profundizar en la forma en que se pueden personalizar para respaldar un cambio efectivo que sea relevante para la empresa.
Para ello, es importante desglosar un par de consejos:
- Formación sobre sensibilización en materia de seguridad: se dirige específicamente a las pymes y, en el contexto de todo el informe, tiene como objetivo principal enseñar a todo el personal la higiene básica de la seguridad (por ejemplo, detectar correos electrónicos de suplantación de identidad, no hacer clic en enlaces desconocidos, etc.). Siendo realistas, debe ir mucho más allá y centrarse en funciones específicas, especialmente para quienes se dedican al código, como los desarrolladores. Es imperativo que la formación en materia de seguridad sea un componente de las medidas preventivas y del fomento de la resiliencia
- Educación: En un cambio refrescante, hay un plan detallado para abordar la escasez de habilidades de ciberseguridad durante la próxima década, haciendo hincapié en la formación en ciberseguridad desde la escuela primaria y secundaria hasta la educación superior. Esto es muy necesario si queremos construir las superestrellas de la seguridad del futuro, pero desde la perspectiva de abordar las necesidades empresariales en este momento, la formación práctica en codificación segura para la cohorte de desarrollo es una necesidad absoluta para empezar a reducir las vulnerabilidades comunes y debe formar parte de un programa de seguridad funcional.
Como expertos en seguridad, debemos hacer más para ayudar a las empresas de todo el mundo a entender la importancia de crear un programa de seguridad interna que vaya más allá de las simples medidas fundamentales de concienciación. Dedicar tiempo a mejorar las habilidades de los desarrolladores alivia la presión sobre los especialistas en AppSec, que tienen el exceso de trabajo, y garantizar que toda la organización esté tan concienciada con la seguridad como sea posible en el contexto de su función es vital para reducir el área de ataque del software a la superficie amenazada.
La mejora de las habilidades de los desarrolladores es un tiempo bien empleado, entonces, ¿por qué tantas empresas lo ignoran?
Una encuesta reciente de DDLS concluyó que hay muy poco sentido de prioridad en lo que respecta a la formación en ciberseguridad en las organizaciones australianas. De hecho, ni siquiera figuraba entre las tres principales prioridades de formación, a pesar de que el 77% de los encuestados califica el conocimiento de la ciberseguridad como «extremadamente» o «muy importante» en sus negocios.
No es de extrañar, entonces, que Australia esté esforzándose por cerrar la creciente brecha de habilidades y tenga mucho trabajo por hacer para crear una infraestructura más resiliente, desde los servicios esenciales hasta el comercio minorista y todo lo demás.
Aquí hay una enorme oportunidad para gobiernos para crear una certificación básica o regulación de habilidades de seguridad, y la estrategia alude a esto como una forma de trabajar con recursos limitados. Sin embargo, una vez más, esta parece ser una propuesta para el futuro, y tenemos las herramientas para empezar mucho antes si nos centramos primero en las áreas de alto impacto. Para mí, la esperanza reside en los equipos de desarrollo de cada organización y, si cuentan con las herramientas y los conocimientos necesarios para tener éxito, pueden eliminar de inmediato las vulnerabilidades más comunes y reducir significativamente el riesgo de que se produzca una violación de datos en su organización.
En 2019, El 24% de todas las filtraciones de datos se debieron a errores humanos - es decir, errores de configuración de seguridad, que suelen ser correcciones relativamente simples a nivel de código. Si la formación se convierte en una prioridad, junto con la creación de conciencia en materia de seguridad en toda la empresa, apuesto a que habría menos CISO que los CISO firmaran las notificaciones de infracciones a miles de clientes comprometidos.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Con 2020 viendo un enorme aumento en el trabajo remoto, además de las continuas filtraciones de datos a gran escala y un enfoque cada vez mayor en las consecuencias de comprometer la privacidad en línea, nunca ha habido un enfoque público más centrado en la ciberseguridad. Como resultado, los gobiernos de todo el mundo han intervenido para remodelar y actualizar sus planes e infraestructuras de ciberseguridad, incluidas las estrategias y normativas que las empresas deben seguir a la hora de gestionar nuestros recursos digitales más preciados.
Las directrices de protección estratégica para la ciberseguridad no son un concepto nuevo, y organizaciones como NIST han influido en las políticas de los departamentos gubernamentales mundiales durante muchos años. A medida que avanzamos a un ritmo vertiginoso en el avance digital, a muchos les resulta difícil mantenerse al día con la cantidad de amenazas, los posibles vectores de ataque y los requisitos de cumplimiento que forman parte de un panorama en constante cambio.
Un reciente incumplimiento de 54.000 licencias de conducir de Nueva Gales del Sur como resultado de un bucket de S3 mal configurado y de fácil acceso en un servidor de terceros, ha puesto en peligro a miles de personas, y el investigador de seguridad que lo denunció admitió que es posible que los datos ya se hayan vendido en la web oscura. Lo triste es que se trata de una solución fácil y no habría sido posible si la seguridad hubiera sido una prioridad para los configuradores de la caché.
El Gobierno australiano publicó recientemente el Estrategia Australiana de Ciberseguridad 2020, destacando las nuevas iniciativas y el aumento de financiación de 1.670 millones de dólares que se utilizarán durante la próxima década para lograr su «visión de crear un mundo en línea más seguro para los australianos, sus empresas y los servicios esenciales de los que todos dependemos». Evidentemente, se trata de una revisión y un plan actualizado que acogemos con gran satisfacción, sobre todo si se tiene en cuenta que uno de los principales objetivos es:
«Acciones de las empresas para proteger sus productos y servicios y proteger a sus clientes de las vulnerabilidades cibernéticas conocidas«.
Si bien los organismos gubernamentales tienden a centrarse (como deberían) en las medidas de seguridad relacionadas con la infraestructura crítica de un país (áreas que están listas para un ataque organizado catastrófico), lo que faltaba en el pasado eran directrices para las empresas que recopilan y utilizan nuestros datos todos los días.
Ahora, cuando se trata de estrategias oficiales como esta, no siempre se trata de cerveza y bolos. Puede resultar un poco difícil de interpretar e impreciso en cuanto a los detalles, lo que deja en manos del equipo de seguridad de la organización la elaboración de un plan basado en directrices no específicas. Este problema no es exclusivo del gobierno de Australia, pero analicemos su nuevo lanzamiento.
Centrarse en la reacción, no en la prevención.
La Estrategia de Ciberseguridad de Australia actualizada es un avance más relevante con respecto a la última versión de 2016, con planes bastante completos para las empresas, especialmente para las pymes. La estrategia describe lo siguiente:
«El gobierno y las grandes empresas ayudarán a las pequeñas y medianas empresas (PYMES) a crecer y aumentar su conciencia y capacidad en materia de ciberseguridad. El Gobierno australiano colaborará con las grandes empresas y los proveedores de servicios para proporcionar a las pymes información y herramientas en materia de ciberseguridad como parte de «paquetes» de servicios seguros (como el bloqueo de amenazas, los antivirus y la formación en materia de ciberseguridad)».
Esto proporcionará a las pymes una base básica decente sobre la que proteger sus negocios de las ciberamenazas, pero es en gran medida un enfoque reactivo, y la atención se centra en las herramientas de detección, una parte relativamente pequeña del panorama de la ciberseguridad.
Sorprendentemente, también hay poca información sobre cómo las grandes empresas pueden protegerse y reducir sus vectores de ataque. Si bien muchos pueden formar parte de los planes para proteger la infraestructura crítica (como las telecomunicaciones y el transporte), servicios financieros, venta al por menor, y muchos otros mercados verticales tienen mucho que perder cuando se trata de un ciberataque exitoso. Quizás esto forme parte de la próxima legislación, pero aun así, es fundamental destacar la importancia de aplicar meticulosas mejores prácticas de ciberseguridad a nivel empresarial para lograr un cambio significativo y una disminución de los datos comprometidos y la ciberdelincuencia.
En general, cuando se considera la estrategia en su conjunto, se basa en un enfoque reactivo. La lucha contra los ciberataques, la desarticulación de los ciberdelincuentes activos y la garantía de su persecución, así como el intercambio de información de inteligencia con los aliados internacionales, son factores importantes, pero imagínese si la norma nacional de protección se centrara en la prevención. Además de las medidas de protección para la infraestructura crítica, si la seguridad fuera una prioridad en todas las empresas y cada persona que toque el código que crea nuestro mundo digital estuviera debidamente equipada para bloquear los ataques antes de que se produzcan, el ahorro de tiempo, dinero y angustia para las víctimas es inconmensurable.
La resiliencia es posible, pero hay que planificarla.
Del esfuerzo del Gobierno australiano por tomarse en serio la ciberseguridad se desprende claramente que se la ha identificado como un área de riesgo clave a nivel nacional. Como cualquier otro ataque malintencionado que tenga la capacidad de perturbar nuestro modo de vida, la resiliencia es absolutamente crucial, no solo para resistir un intento de este tipo, sino también para disuadir de que se produzca. A fin de cuentas, incluso los actores de las amenazas pueden ser perezosos y, si se ponen demasiados obstáculos para lograr su objetivo, optarán por un objetivo más fácil para alcanzar su objetivo.
Por el momento, nos enfrentamos a una escasez mundial de habilidades de ciberseguridad, y esto es algo que mantiene despiertos a los CISO de todo el mundo por la noche. Miles de millones de líneas de código, violaciones de datos constantes y a gran escala y un mayor riesgo de penalización (solo en Marriott) recibió una multa de 123 millones de dólares en virtud del RGPD por su violación de datos en 2018... y ellos tuvo otra infracción este año) ha creado más que nunca un abismo en la demanda de especialistas en seguridad que, siendo realistas, es poco probable que se cierre. Simplemente hay demasiado código y muy pocos recursos para garantizar que esté fortificado desde todos los ángulos.
Entonces, ¿deberíamos renunciar a la idea de que alguna vez nos mantendremos firmes frente a las ciberamenazas? No hay ninguna posibilidad. La resiliencia requiere utilizar todos los recursos disponibles y pensar un paso por delante. Y para muchas empresas, sus desarrolladores pueden desbloquear un poderoso método de fortificación justo cuando se escribe el código. Cuando se combina con una cultura de seguridad visible y positiva en toda la empresa, esto proporciona una base segura que es difícil de romper para muchos atacantes. Sin embargo, este método requiere tomar las sugerencias de la Estrategia de Ciberseguridad de Australia, como ejemplo, y profundizar en la forma en que se pueden personalizar para respaldar un cambio efectivo que sea relevante para la empresa.
Para ello, es importante desglosar un par de consejos:
- Formación sobre sensibilización en materia de seguridad: se dirige específicamente a las pymes y, en el contexto de todo el informe, tiene como objetivo principal enseñar a todo el personal la higiene básica de la seguridad (por ejemplo, detectar correos electrónicos de suplantación de identidad, no hacer clic en enlaces desconocidos, etc.). Siendo realistas, debe ir mucho más allá y centrarse en funciones específicas, especialmente para quienes se dedican al código, como los desarrolladores. Es imperativo que la formación en materia de seguridad sea un componente de las medidas preventivas y del fomento de la resiliencia
- Educación: En un cambio refrescante, hay un plan detallado para abordar la escasez de habilidades de ciberseguridad durante la próxima década, haciendo hincapié en la formación en ciberseguridad desde la escuela primaria y secundaria hasta la educación superior. Esto es muy necesario si queremos construir las superestrellas de la seguridad del futuro, pero desde la perspectiva de abordar las necesidades empresariales en este momento, la formación práctica en codificación segura para la cohorte de desarrollo es una necesidad absoluta para empezar a reducir las vulnerabilidades comunes y debe formar parte de un programa de seguridad funcional.
Como expertos en seguridad, debemos hacer más para ayudar a las empresas de todo el mundo a entender la importancia de crear un programa de seguridad interna que vaya más allá de las simples medidas fundamentales de concienciación. Dedicar tiempo a mejorar las habilidades de los desarrolladores alivia la presión sobre los especialistas en AppSec, que tienen el exceso de trabajo, y garantizar que toda la organización esté tan concienciada con la seguridad como sea posible en el contexto de su función es vital para reducir el área de ataque del software a la superficie amenazada.
La mejora de las habilidades de los desarrolladores es un tiempo bien empleado, entonces, ¿por qué tantas empresas lo ignoran?
Una encuesta reciente de DDLS concluyó que hay muy poco sentido de prioridad en lo que respecta a la formación en ciberseguridad en las organizaciones australianas. De hecho, ni siquiera figuraba entre las tres principales prioridades de formación, a pesar de que el 77% de los encuestados califica el conocimiento de la ciberseguridad como «extremadamente» o «muy importante» en sus negocios.
No es de extrañar, entonces, que Australia esté esforzándose por cerrar la creciente brecha de habilidades y tenga mucho trabajo por hacer para crear una infraestructura más resiliente, desde los servicios esenciales hasta el comercio minorista y todo lo demás.
Aquí hay una enorme oportunidad para gobiernos para crear una certificación básica o regulación de habilidades de seguridad, y la estrategia alude a esto como una forma de trabajar con recursos limitados. Sin embargo, una vez más, esta parece ser una propuesta para el futuro, y tenemos las herramientas para empezar mucho antes si nos centramos primero en las áreas de alto impacto. Para mí, la esperanza reside en los equipos de desarrollo de cada organización y, si cuentan con las herramientas y los conocimientos necesarios para tener éxito, pueden eliminar de inmediato las vulnerabilidades más comunes y reducir significativamente el riesgo de que se produzca una violación de datos en su organización.
En 2019, El 24% de todas las filtraciones de datos se debieron a errores humanos - es decir, errores de configuración de seguridad, que suelen ser correcciones relativamente simples a nivel de código. Si la formación se convierte en una prioridad, junto con la creación de conciencia en materia de seguridad en toda la empresa, apuesto a que habría menos CISO que los CISO firmaran las notificaciones de infracciones a miles de clientes comprometidos.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.