El cambio que necesitamos en las tierras baldías de AppSec: mis predicciones para 2019
2018 ha sido un año gigantesco para los profesionales de la ciberseguridad. A pesar de las advertencias para tomarse la seguridad más en serio, la prensa constante en torno a fomentar más talento en la industria de la seguridad y los intentos generales de hacer que las organizaciones sean más conscientes de la ciberseguridad, nos quedan ante los cráteres humeantes que han dejado cientos de ciberataques, que representan violaciones de datos a gran escala y la desconfianza de los consumidores hacia algunos nombres muy conocidos. Solo en la primera mitad de 2018, Se comprometieron 4.500 millones de registros de datos en 945 incidentes distintos.
Lo he dicho antes, muchas veces: podemos hacerlo mejor. Sin embargo, la verdadera batalla a la que nos enfrentamos no es contra los niños que escriben guiones, las peligrosas bandas de ciberdelincuencia organizada o las misteriosas figuras con capucha que escriben en sus ordenadores portátiles; la lucha consiste en hacer que más personas se preocupen de que se produzcan estas infracciones.
El cumplimiento del RGPD es un buen comienzo, pero no tendrá un gran efecto a corto plazo.
La de la Unión Europea Reglamento general de protección de datos Las leyes (GDPR) están ahora en pleno apogeo; una amenaza inminente para las organizaciones que no se toman en serio la protección de datos. La imposición de enormes multas a las personas declaradas incumplidoras pretendía ser una patada en el trasero para que las empresas reforzaran sus prácticas de seguridad, traten los datos de los clientes con más respeto y elaboren una estrategia para mitigar los ciberataques.
Se ha advertido a algunas organizaciones de que se impondrán enormes multas, pero aún no hemos visto consecuencias reales como resultado del incumplimiento del GDPR. Sin penalizaciones por quiebra, solo un montón de ventanas emergentes en las que hacer clic para los usuarios de la web. Esto se debe en parte a que los procesos legales llevan mucho tiempo y hay muchas oportunidades para apelar: cualquier empresa que se haya convertido en un ejemplo probablemente esté enfrascada en una batalla legal de meses o años. Para poner fin a un año de pesadilla para Facebook, recientemente denunciaron otra violación de datos: un error de API que exponía las fotos privadas de 6,8 millones de usuarios a 1500 aplicaciones no autorizadas. La detectaron y corrigieron en un plazo de dos semanas, pero las agencias de protección de datos y el público no se enteraron de la infracción hasta meses después. Las leyes del RGPD exigen la notificación de una infracción en un plazo de 72 horas, por lo que plantea muchas preguntas sobre qué tan influyentes y efectivas son realmente estas leyes en la actualidad.
Y, por supuesto, las infracciones en otros lugares no se han detenido: las de noviembre Playa de Marriott reveló que la enorme cantidad de 500 millones de registros de datos estaban comprometidos y, quizás lo que es aún más preocupante, que los atacantes habían accedido a sus sistemas durante cuatro años antes de ser descubiertos. Sin embargo, cabe señalar que Marriott parece estar participando en algunos control de daños: han ofrecido a las víctimas un suscripción gratuita de 12 meses a WebWatcher, una herramienta de control crediticio... pero con 500 millones de registros que los piratas informáticos pueden examinar, queda por ver si un año será suficiente para monitorear algo significativo para la mayoría; al fin y al cabo, pueden pasar algunos años antes de que sus datos aparezcan destacados para un uso sin escrúpulos.
Regulaciones a largo plazo, como el GDPR voluntad impulsan un cambio positivo si se aplican. Cuando las empresas se enfrenten a una sanción financiera importante (o, de hecho, a demandas colectivas por parte de clientes cuyos datos se han visto comprometidos) o a una caída de los beneficios a una escala lo suficientemente larga, creo que la mayoría de las empresas se centrarán frenéticamente en fortalecer las bases de datos en línea.
Las instituciones financieras seguirán liderando el cambio positivo a corto plazo.
Puede que no sorprenda tanto que las instituciones financieras, que son las guardianas del dinero ganado con tanto esfuerzo en el mundo, cuenten con algunas de las políticas de mejores prácticas de ciberseguridad más estrictas, así como procesos integrales para reducir su riesgo.
Un factor importante de este cumplimiento proviene de la Consejo de normas de seguridad PCI, quienes mantienen su compromiso de ayudar a las organizaciones financieras a implementar una política de seguridad viable y a cumplir las directrices en todos los ámbitos. Han sido una fuerza positiva al ayudar a esta vertical a alcanzar uno de los estándares de seguridad más altos en el software de pagos.
Entonces, ¿qué están haciendo las instituciones financieras de manera diferente a las demás? Según mi experiencia, por lo general son más conscientes de la seguridad y dedican sus recursos a programas de formación holísticos no solo para los profesionales de AppSec y los que realizan pruebas previas, sino también para sus equipos de desarrollo (que suelen ser muy grandes y están dispersos por todo el mundo). Se aseguran de que los responsables de la toma de decisiones de alto nivel comprendan que los procesos de seguridad no son medidas que se «fijan y olvidan», sino que deben evolucionar con la misma rapidez que la tecnología que se utiliza y adaptarse a los riesgos variables.
Más organizaciones transformarán su cartera de seguridad.
En comparación con otras ramas de TI, AppSec es relativamente joven. Es difícil ser el chico nuevo: es fácil que te malinterpreten y es posible que aún no hayas establecido las relaciones clave que necesitas. Sin embargo, creo que cada año que pasa, es más fácil para AppSec encontrar su lugar incluso en las organizaciones más anticuadas que se resisten al cambio.
Cada vez es más evidente que las empresas no pueden convertir el cumplimiento de la seguridad en un paso final de última hora en sus procesos de software. Deben realizarse controles y medidas de punto a punto, concentrándose más en la agregación de datos y proporcionando más visibilidad a los niveles ejecutivos de la empresa. Sin esto, la seguridad permanecerá fuera de la vista y de la mente de la mayoría. Y en ese escenario, es prácticamente imposible reunir los recursos necesarios para planificar el riesgo.
La buena noticia es que más organizaciones que nunca están detectando sus propios ciberataques y trabajando para solucionarlos. ¿La mala noticia? Ese proceso está tomando un promedio de ochenta y cinco días.
Las herramientas de prueba con lápiz y la revisión manual del código son arduas, costosas y lentas en una época en la que la innovación rápida y la producción de funciones son imprescindibles en el ámbito tecnológico. La concienciación sobre la seguridad debe mantenerse desde el principio: desde el momento en que el desarrollador escribe el código en primer lugar.
Nuestra industria reconocerá el problema principal: necesitamos que las personas se preocupen más.
Esta es la cuestión: podría contar de manera conservadora a veinte personas de mi red que se han alojado en un hotel Marriott en algún momento de los últimos cuatro años. Con 500 millones de registros robados durante ese tiempo, es muy probable que sus datos hayan sido parte de ese robo. Todo, desde la información de contacto actual hasta los números de tarjetas de crédito aún válidos y la información de pasaportes, podría estar a la venta ahora mismo en la web oscura. Sin embargo, su factor de cuidado era básicamente cero.
Y, bueno, es fácil caer en la autocomplacencia cuando, en un robo de datos a tan gran escala, eres básicamente una aguja en un pajar.
Pero, ¿cuál es el verdadero problema? Las empresas que no han logrado mantener seguros los datos de sus propios clientes se enfrentan a muy pocas repercusiones. ¿El precio de sus acciones se ve afectado inmediatamente después del incidente? Puedes apostar a que sí. Target, Equifax y ahora Marriott podrían dar fe de ello. Sin embargo, un resumen de doce meses muestra que la recuperación a la normalidad es bastante rápida. Un par de años después, y financieramente, todo está perdonado.
Hasta que no haya repercusiones graves: multas enormes, regulaciones más estrictas y pérdidas significativas de negocios, AppSec será una industria que deberá luchar constantemente para transmitir la gravedad de los crecientes riesgos cibernéticos a los que está expuesta una empresa.
Me temo que empeorará mucho antes de que mejore, por lo que es de suma importancia que trabajemos para crear desarrolladores conscientes de la seguridad y culturas de seguridad sólidas en la primera línea de los equipos técnicos de una organización. Téngalo en cuenta y siga esforzándose por lograr un nivel más alto de seguridad del software.
La verdadera batalla a la que nos enfrentamos no es contra los niños que escriben guiones ni contra los peligrosos sindicatos organizados del cibercrimen, sino que consiste en lograr que más personas se preocupen por las violaciones de datos que se están produciendo.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 ha sido un año gigantesco para los profesionales de la ciberseguridad. A pesar de las advertencias para tomarse la seguridad más en serio, la prensa constante en torno a fomentar más talento en la industria de la seguridad y los intentos generales de hacer que las organizaciones sean más conscientes de la ciberseguridad, nos quedan ante los cráteres humeantes que han dejado cientos de ciberataques, que representan violaciones de datos a gran escala y la desconfianza de los consumidores hacia algunos nombres muy conocidos. Solo en la primera mitad de 2018, Se comprometieron 4.500 millones de registros de datos en 945 incidentes distintos.
Lo he dicho antes, muchas veces: podemos hacerlo mejor. Sin embargo, la verdadera batalla a la que nos enfrentamos no es contra los niños que escriben guiones, las peligrosas bandas de ciberdelincuencia organizada o las misteriosas figuras con capucha que escriben en sus ordenadores portátiles; la lucha consiste en hacer que más personas se preocupen de que se produzcan estas infracciones.
El cumplimiento del RGPD es un buen comienzo, pero no tendrá un gran efecto a corto plazo.
La de la Unión Europea Reglamento general de protección de datos Las leyes (GDPR) están ahora en pleno apogeo; una amenaza inminente para las organizaciones que no se toman en serio la protección de datos. La imposición de enormes multas a las personas declaradas incumplidoras pretendía ser una patada en el trasero para que las empresas reforzaran sus prácticas de seguridad, traten los datos de los clientes con más respeto y elaboren una estrategia para mitigar los ciberataques.
Se ha advertido a algunas organizaciones de que se impondrán enormes multas, pero aún no hemos visto consecuencias reales como resultado del incumplimiento del GDPR. Sin penalizaciones por quiebra, solo un montón de ventanas emergentes en las que hacer clic para los usuarios de la web. Esto se debe en parte a que los procesos legales llevan mucho tiempo y hay muchas oportunidades para apelar: cualquier empresa que se haya convertido en un ejemplo probablemente esté enfrascada en una batalla legal de meses o años. Para poner fin a un año de pesadilla para Facebook, recientemente denunciaron otra violación de datos: un error de API que exponía las fotos privadas de 6,8 millones de usuarios a 1500 aplicaciones no autorizadas. La detectaron y corrigieron en un plazo de dos semanas, pero las agencias de protección de datos y el público no se enteraron de la infracción hasta meses después. Las leyes del RGPD exigen la notificación de una infracción en un plazo de 72 horas, por lo que plantea muchas preguntas sobre qué tan influyentes y efectivas son realmente estas leyes en la actualidad.
Y, por supuesto, las infracciones en otros lugares no se han detenido: las de noviembre Playa de Marriott reveló que la enorme cantidad de 500 millones de registros de datos estaban comprometidos y, quizás lo que es aún más preocupante, que los atacantes habían accedido a sus sistemas durante cuatro años antes de ser descubiertos. Sin embargo, cabe señalar que Marriott parece estar participando en algunos control de daños: han ofrecido a las víctimas un suscripción gratuita de 12 meses a WebWatcher, una herramienta de control crediticio... pero con 500 millones de registros que los piratas informáticos pueden examinar, queda por ver si un año será suficiente para monitorear algo significativo para la mayoría; al fin y al cabo, pueden pasar algunos años antes de que sus datos aparezcan destacados para un uso sin escrúpulos.
Regulaciones a largo plazo, como el GDPR voluntad impulsan un cambio positivo si se aplican. Cuando las empresas se enfrenten a una sanción financiera importante (o, de hecho, a demandas colectivas por parte de clientes cuyos datos se han visto comprometidos) o a una caída de los beneficios a una escala lo suficientemente larga, creo que la mayoría de las empresas se centrarán frenéticamente en fortalecer las bases de datos en línea.
Las instituciones financieras seguirán liderando el cambio positivo a corto plazo.
Puede que no sorprenda tanto que las instituciones financieras, que son las guardianas del dinero ganado con tanto esfuerzo en el mundo, cuenten con algunas de las políticas de mejores prácticas de ciberseguridad más estrictas, así como procesos integrales para reducir su riesgo.
Un factor importante de este cumplimiento proviene de la Consejo de normas de seguridad PCI, quienes mantienen su compromiso de ayudar a las organizaciones financieras a implementar una política de seguridad viable y a cumplir las directrices en todos los ámbitos. Han sido una fuerza positiva al ayudar a esta vertical a alcanzar uno de los estándares de seguridad más altos en el software de pagos.
Entonces, ¿qué están haciendo las instituciones financieras de manera diferente a las demás? Según mi experiencia, por lo general son más conscientes de la seguridad y dedican sus recursos a programas de formación holísticos no solo para los profesionales de AppSec y los que realizan pruebas previas, sino también para sus equipos de desarrollo (que suelen ser muy grandes y están dispersos por todo el mundo). Se aseguran de que los responsables de la toma de decisiones de alto nivel comprendan que los procesos de seguridad no son medidas que se «fijan y olvidan», sino que deben evolucionar con la misma rapidez que la tecnología que se utiliza y adaptarse a los riesgos variables.
Más organizaciones transformarán su cartera de seguridad.
En comparación con otras ramas de TI, AppSec es relativamente joven. Es difícil ser el chico nuevo: es fácil que te malinterpreten y es posible que aún no hayas establecido las relaciones clave que necesitas. Sin embargo, creo que cada año que pasa, es más fácil para AppSec encontrar su lugar incluso en las organizaciones más anticuadas que se resisten al cambio.
Cada vez es más evidente que las empresas no pueden convertir el cumplimiento de la seguridad en un paso final de última hora en sus procesos de software. Deben realizarse controles y medidas de punto a punto, concentrándose más en la agregación de datos y proporcionando más visibilidad a los niveles ejecutivos de la empresa. Sin esto, la seguridad permanecerá fuera de la vista y de la mente de la mayoría. Y en ese escenario, es prácticamente imposible reunir los recursos necesarios para planificar el riesgo.
La buena noticia es que más organizaciones que nunca están detectando sus propios ciberataques y trabajando para solucionarlos. ¿La mala noticia? Ese proceso está tomando un promedio de ochenta y cinco días.
Las herramientas de prueba con lápiz y la revisión manual del código son arduas, costosas y lentas en una época en la que la innovación rápida y la producción de funciones son imprescindibles en el ámbito tecnológico. La concienciación sobre la seguridad debe mantenerse desde el principio: desde el momento en que el desarrollador escribe el código en primer lugar.
Nuestra industria reconocerá el problema principal: necesitamos que las personas se preocupen más.
Esta es la cuestión: podría contar de manera conservadora a veinte personas de mi red que se han alojado en un hotel Marriott en algún momento de los últimos cuatro años. Con 500 millones de registros robados durante ese tiempo, es muy probable que sus datos hayan sido parte de ese robo. Todo, desde la información de contacto actual hasta los números de tarjetas de crédito aún válidos y la información de pasaportes, podría estar a la venta ahora mismo en la web oscura. Sin embargo, su factor de cuidado era básicamente cero.
Y, bueno, es fácil caer en la autocomplacencia cuando, en un robo de datos a tan gran escala, eres básicamente una aguja en un pajar.
Pero, ¿cuál es el verdadero problema? Las empresas que no han logrado mantener seguros los datos de sus propios clientes se enfrentan a muy pocas repercusiones. ¿El precio de sus acciones se ve afectado inmediatamente después del incidente? Puedes apostar a que sí. Target, Equifax y ahora Marriott podrían dar fe de ello. Sin embargo, un resumen de doce meses muestra que la recuperación a la normalidad es bastante rápida. Un par de años después, y financieramente, todo está perdonado.
Hasta que no haya repercusiones graves: multas enormes, regulaciones más estrictas y pérdidas significativas de negocios, AppSec será una industria que deberá luchar constantemente para transmitir la gravedad de los crecientes riesgos cibernéticos a los que está expuesta una empresa.
Me temo que empeorará mucho antes de que mejore, por lo que es de suma importancia que trabajemos para crear desarrolladores conscientes de la seguridad y culturas de seguridad sólidas en la primera línea de los equipos técnicos de una organización. Téngalo en cuenta y siga esforzándose por lograr un nivel más alto de seguridad del software.
2018 ha sido un año gigantesco para los profesionales de la ciberseguridad. A pesar de las advertencias para tomarse la seguridad más en serio, la prensa constante en torno a fomentar más talento en la industria de la seguridad y los intentos generales de hacer que las organizaciones sean más conscientes de la ciberseguridad, nos quedan ante los cráteres humeantes que han dejado cientos de ciberataques, que representan violaciones de datos a gran escala y la desconfianza de los consumidores hacia algunos nombres muy conocidos. Solo en la primera mitad de 2018, Se comprometieron 4.500 millones de registros de datos en 945 incidentes distintos.
Lo he dicho antes, muchas veces: podemos hacerlo mejor. Sin embargo, la verdadera batalla a la que nos enfrentamos no es contra los niños que escriben guiones, las peligrosas bandas de ciberdelincuencia organizada o las misteriosas figuras con capucha que escriben en sus ordenadores portátiles; la lucha consiste en hacer que más personas se preocupen de que se produzcan estas infracciones.
El cumplimiento del RGPD es un buen comienzo, pero no tendrá un gran efecto a corto plazo.
La de la Unión Europea Reglamento general de protección de datos Las leyes (GDPR) están ahora en pleno apogeo; una amenaza inminente para las organizaciones que no se toman en serio la protección de datos. La imposición de enormes multas a las personas declaradas incumplidoras pretendía ser una patada en el trasero para que las empresas reforzaran sus prácticas de seguridad, traten los datos de los clientes con más respeto y elaboren una estrategia para mitigar los ciberataques.
Se ha advertido a algunas organizaciones de que se impondrán enormes multas, pero aún no hemos visto consecuencias reales como resultado del incumplimiento del GDPR. Sin penalizaciones por quiebra, solo un montón de ventanas emergentes en las que hacer clic para los usuarios de la web. Esto se debe en parte a que los procesos legales llevan mucho tiempo y hay muchas oportunidades para apelar: cualquier empresa que se haya convertido en un ejemplo probablemente esté enfrascada en una batalla legal de meses o años. Para poner fin a un año de pesadilla para Facebook, recientemente denunciaron otra violación de datos: un error de API que exponía las fotos privadas de 6,8 millones de usuarios a 1500 aplicaciones no autorizadas. La detectaron y corrigieron en un plazo de dos semanas, pero las agencias de protección de datos y el público no se enteraron de la infracción hasta meses después. Las leyes del RGPD exigen la notificación de una infracción en un plazo de 72 horas, por lo que plantea muchas preguntas sobre qué tan influyentes y efectivas son realmente estas leyes en la actualidad.
Y, por supuesto, las infracciones en otros lugares no se han detenido: las de noviembre Playa de Marriott reveló que la enorme cantidad de 500 millones de registros de datos estaban comprometidos y, quizás lo que es aún más preocupante, que los atacantes habían accedido a sus sistemas durante cuatro años antes de ser descubiertos. Sin embargo, cabe señalar que Marriott parece estar participando en algunos control de daños: han ofrecido a las víctimas un suscripción gratuita de 12 meses a WebWatcher, una herramienta de control crediticio... pero con 500 millones de registros que los piratas informáticos pueden examinar, queda por ver si un año será suficiente para monitorear algo significativo para la mayoría; al fin y al cabo, pueden pasar algunos años antes de que sus datos aparezcan destacados para un uso sin escrúpulos.
Regulaciones a largo plazo, como el GDPR voluntad impulsan un cambio positivo si se aplican. Cuando las empresas se enfrenten a una sanción financiera importante (o, de hecho, a demandas colectivas por parte de clientes cuyos datos se han visto comprometidos) o a una caída de los beneficios a una escala lo suficientemente larga, creo que la mayoría de las empresas se centrarán frenéticamente en fortalecer las bases de datos en línea.
Las instituciones financieras seguirán liderando el cambio positivo a corto plazo.
Puede que no sorprenda tanto que las instituciones financieras, que son las guardianas del dinero ganado con tanto esfuerzo en el mundo, cuenten con algunas de las políticas de mejores prácticas de ciberseguridad más estrictas, así como procesos integrales para reducir su riesgo.
Un factor importante de este cumplimiento proviene de la Consejo de normas de seguridad PCI, quienes mantienen su compromiso de ayudar a las organizaciones financieras a implementar una política de seguridad viable y a cumplir las directrices en todos los ámbitos. Han sido una fuerza positiva al ayudar a esta vertical a alcanzar uno de los estándares de seguridad más altos en el software de pagos.
Entonces, ¿qué están haciendo las instituciones financieras de manera diferente a las demás? Según mi experiencia, por lo general son más conscientes de la seguridad y dedican sus recursos a programas de formación holísticos no solo para los profesionales de AppSec y los que realizan pruebas previas, sino también para sus equipos de desarrollo (que suelen ser muy grandes y están dispersos por todo el mundo). Se aseguran de que los responsables de la toma de decisiones de alto nivel comprendan que los procesos de seguridad no son medidas que se «fijan y olvidan», sino que deben evolucionar con la misma rapidez que la tecnología que se utiliza y adaptarse a los riesgos variables.
Más organizaciones transformarán su cartera de seguridad.
En comparación con otras ramas de TI, AppSec es relativamente joven. Es difícil ser el chico nuevo: es fácil que te malinterpreten y es posible que aún no hayas establecido las relaciones clave que necesitas. Sin embargo, creo que cada año que pasa, es más fácil para AppSec encontrar su lugar incluso en las organizaciones más anticuadas que se resisten al cambio.
Cada vez es más evidente que las empresas no pueden convertir el cumplimiento de la seguridad en un paso final de última hora en sus procesos de software. Deben realizarse controles y medidas de punto a punto, concentrándose más en la agregación de datos y proporcionando más visibilidad a los niveles ejecutivos de la empresa. Sin esto, la seguridad permanecerá fuera de la vista y de la mente de la mayoría. Y en ese escenario, es prácticamente imposible reunir los recursos necesarios para planificar el riesgo.
La buena noticia es que más organizaciones que nunca están detectando sus propios ciberataques y trabajando para solucionarlos. ¿La mala noticia? Ese proceso está tomando un promedio de ochenta y cinco días.
Las herramientas de prueba con lápiz y la revisión manual del código son arduas, costosas y lentas en una época en la que la innovación rápida y la producción de funciones son imprescindibles en el ámbito tecnológico. La concienciación sobre la seguridad debe mantenerse desde el principio: desde el momento en que el desarrollador escribe el código en primer lugar.
Nuestra industria reconocerá el problema principal: necesitamos que las personas se preocupen más.
Esta es la cuestión: podría contar de manera conservadora a veinte personas de mi red que se han alojado en un hotel Marriott en algún momento de los últimos cuatro años. Con 500 millones de registros robados durante ese tiempo, es muy probable que sus datos hayan sido parte de ese robo. Todo, desde la información de contacto actual hasta los números de tarjetas de crédito aún válidos y la información de pasaportes, podría estar a la venta ahora mismo en la web oscura. Sin embargo, su factor de cuidado era básicamente cero.
Y, bueno, es fácil caer en la autocomplacencia cuando, en un robo de datos a tan gran escala, eres básicamente una aguja en un pajar.
Pero, ¿cuál es el verdadero problema? Las empresas que no han logrado mantener seguros los datos de sus propios clientes se enfrentan a muy pocas repercusiones. ¿El precio de sus acciones se ve afectado inmediatamente después del incidente? Puedes apostar a que sí. Target, Equifax y ahora Marriott podrían dar fe de ello. Sin embargo, un resumen de doce meses muestra que la recuperación a la normalidad es bastante rápida. Un par de años después, y financieramente, todo está perdonado.
Hasta que no haya repercusiones graves: multas enormes, regulaciones más estrictas y pérdidas significativas de negocios, AppSec será una industria que deberá luchar constantemente para transmitir la gravedad de los crecientes riesgos cibernéticos a los que está expuesta una empresa.
Me temo que empeorará mucho antes de que mejore, por lo que es de suma importancia que trabajemos para crear desarrolladores conscientes de la seguridad y culturas de seguridad sólidas en la primera línea de los equipos técnicos de una organización. Téngalo en cuenta y siga esforzándose por lograr un nivel más alto de seguridad del software.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 ha sido un año gigantesco para los profesionales de la ciberseguridad. A pesar de las advertencias para tomarse la seguridad más en serio, la prensa constante en torno a fomentar más talento en la industria de la seguridad y los intentos generales de hacer que las organizaciones sean más conscientes de la ciberseguridad, nos quedan ante los cráteres humeantes que han dejado cientos de ciberataques, que representan violaciones de datos a gran escala y la desconfianza de los consumidores hacia algunos nombres muy conocidos. Solo en la primera mitad de 2018, Se comprometieron 4.500 millones de registros de datos en 945 incidentes distintos.
Lo he dicho antes, muchas veces: podemos hacerlo mejor. Sin embargo, la verdadera batalla a la que nos enfrentamos no es contra los niños que escriben guiones, las peligrosas bandas de ciberdelincuencia organizada o las misteriosas figuras con capucha que escriben en sus ordenadores portátiles; la lucha consiste en hacer que más personas se preocupen de que se produzcan estas infracciones.
El cumplimiento del RGPD es un buen comienzo, pero no tendrá un gran efecto a corto plazo.
La de la Unión Europea Reglamento general de protección de datos Las leyes (GDPR) están ahora en pleno apogeo; una amenaza inminente para las organizaciones que no se toman en serio la protección de datos. La imposición de enormes multas a las personas declaradas incumplidoras pretendía ser una patada en el trasero para que las empresas reforzaran sus prácticas de seguridad, traten los datos de los clientes con más respeto y elaboren una estrategia para mitigar los ciberataques.
Se ha advertido a algunas organizaciones de que se impondrán enormes multas, pero aún no hemos visto consecuencias reales como resultado del incumplimiento del GDPR. Sin penalizaciones por quiebra, solo un montón de ventanas emergentes en las que hacer clic para los usuarios de la web. Esto se debe en parte a que los procesos legales llevan mucho tiempo y hay muchas oportunidades para apelar: cualquier empresa que se haya convertido en un ejemplo probablemente esté enfrascada en una batalla legal de meses o años. Para poner fin a un año de pesadilla para Facebook, recientemente denunciaron otra violación de datos: un error de API que exponía las fotos privadas de 6,8 millones de usuarios a 1500 aplicaciones no autorizadas. La detectaron y corrigieron en un plazo de dos semanas, pero las agencias de protección de datos y el público no se enteraron de la infracción hasta meses después. Las leyes del RGPD exigen la notificación de una infracción en un plazo de 72 horas, por lo que plantea muchas preguntas sobre qué tan influyentes y efectivas son realmente estas leyes en la actualidad.
Y, por supuesto, las infracciones en otros lugares no se han detenido: las de noviembre Playa de Marriott reveló que la enorme cantidad de 500 millones de registros de datos estaban comprometidos y, quizás lo que es aún más preocupante, que los atacantes habían accedido a sus sistemas durante cuatro años antes de ser descubiertos. Sin embargo, cabe señalar que Marriott parece estar participando en algunos control de daños: han ofrecido a las víctimas un suscripción gratuita de 12 meses a WebWatcher, una herramienta de control crediticio... pero con 500 millones de registros que los piratas informáticos pueden examinar, queda por ver si un año será suficiente para monitorear algo significativo para la mayoría; al fin y al cabo, pueden pasar algunos años antes de que sus datos aparezcan destacados para un uso sin escrúpulos.
Regulaciones a largo plazo, como el GDPR voluntad impulsan un cambio positivo si se aplican. Cuando las empresas se enfrenten a una sanción financiera importante (o, de hecho, a demandas colectivas por parte de clientes cuyos datos se han visto comprometidos) o a una caída de los beneficios a una escala lo suficientemente larga, creo que la mayoría de las empresas se centrarán frenéticamente en fortalecer las bases de datos en línea.
Las instituciones financieras seguirán liderando el cambio positivo a corto plazo.
Puede que no sorprenda tanto que las instituciones financieras, que son las guardianas del dinero ganado con tanto esfuerzo en el mundo, cuenten con algunas de las políticas de mejores prácticas de ciberseguridad más estrictas, así como procesos integrales para reducir su riesgo.
Un factor importante de este cumplimiento proviene de la Consejo de normas de seguridad PCI, quienes mantienen su compromiso de ayudar a las organizaciones financieras a implementar una política de seguridad viable y a cumplir las directrices en todos los ámbitos. Han sido una fuerza positiva al ayudar a esta vertical a alcanzar uno de los estándares de seguridad más altos en el software de pagos.
Entonces, ¿qué están haciendo las instituciones financieras de manera diferente a las demás? Según mi experiencia, por lo general son más conscientes de la seguridad y dedican sus recursos a programas de formación holísticos no solo para los profesionales de AppSec y los que realizan pruebas previas, sino también para sus equipos de desarrollo (que suelen ser muy grandes y están dispersos por todo el mundo). Se aseguran de que los responsables de la toma de decisiones de alto nivel comprendan que los procesos de seguridad no son medidas que se «fijan y olvidan», sino que deben evolucionar con la misma rapidez que la tecnología que se utiliza y adaptarse a los riesgos variables.
Más organizaciones transformarán su cartera de seguridad.
En comparación con otras ramas de TI, AppSec es relativamente joven. Es difícil ser el chico nuevo: es fácil que te malinterpreten y es posible que aún no hayas establecido las relaciones clave que necesitas. Sin embargo, creo que cada año que pasa, es más fácil para AppSec encontrar su lugar incluso en las organizaciones más anticuadas que se resisten al cambio.
Cada vez es más evidente que las empresas no pueden convertir el cumplimiento de la seguridad en un paso final de última hora en sus procesos de software. Deben realizarse controles y medidas de punto a punto, concentrándose más en la agregación de datos y proporcionando más visibilidad a los niveles ejecutivos de la empresa. Sin esto, la seguridad permanecerá fuera de la vista y de la mente de la mayoría. Y en ese escenario, es prácticamente imposible reunir los recursos necesarios para planificar el riesgo.
La buena noticia es que más organizaciones que nunca están detectando sus propios ciberataques y trabajando para solucionarlos. ¿La mala noticia? Ese proceso está tomando un promedio de ochenta y cinco días.
Las herramientas de prueba con lápiz y la revisión manual del código son arduas, costosas y lentas en una época en la que la innovación rápida y la producción de funciones son imprescindibles en el ámbito tecnológico. La concienciación sobre la seguridad debe mantenerse desde el principio: desde el momento en que el desarrollador escribe el código en primer lugar.
Nuestra industria reconocerá el problema principal: necesitamos que las personas se preocupen más.
Esta es la cuestión: podría contar de manera conservadora a veinte personas de mi red que se han alojado en un hotel Marriott en algún momento de los últimos cuatro años. Con 500 millones de registros robados durante ese tiempo, es muy probable que sus datos hayan sido parte de ese robo. Todo, desde la información de contacto actual hasta los números de tarjetas de crédito aún válidos y la información de pasaportes, podría estar a la venta ahora mismo en la web oscura. Sin embargo, su factor de cuidado era básicamente cero.
Y, bueno, es fácil caer en la autocomplacencia cuando, en un robo de datos a tan gran escala, eres básicamente una aguja en un pajar.
Pero, ¿cuál es el verdadero problema? Las empresas que no han logrado mantener seguros los datos de sus propios clientes se enfrentan a muy pocas repercusiones. ¿El precio de sus acciones se ve afectado inmediatamente después del incidente? Puedes apostar a que sí. Target, Equifax y ahora Marriott podrían dar fe de ello. Sin embargo, un resumen de doce meses muestra que la recuperación a la normalidad es bastante rápida. Un par de años después, y financieramente, todo está perdonado.
Hasta que no haya repercusiones graves: multas enormes, regulaciones más estrictas y pérdidas significativas de negocios, AppSec será una industria que deberá luchar constantemente para transmitir la gravedad de los crecientes riesgos cibernéticos a los que está expuesta una empresa.
Me temo que empeorará mucho antes de que mejore, por lo que es de suma importancia que trabajemos para crear desarrolladores conscientes de la seguridad y culturas de seguridad sólidas en la primera línea de los equipos técnicos de una organización. Téngalo en cuenta y siga esforzándose por lograr un nivel más alto de seguridad del software.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.