El factor humano olvidado que impulsa las fallas de seguridad de las aplicaciones web
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
%20(1).avif)
.avif)
