El futuro del trabajo es flexible y es excelente para la ciberseguridad
Una versión de este artículo apareció en ABETO. Se ha actualizado y distribuido aquí.
Dicen que el cambio es lo único constante en la vida, pero 2020 realmente ha supuesto una prueba para muchas personas en todo el mundo. La pandemia mundial de la COVID-19 nos ha obligado a pensar, a un nivel profundo, en cómo nos conectamos. El autoaislamiento y el distanciamiento social: estas han sido algunas de las adaptaciones que hemos realizado en el mundo físico y, a pesar de que muchos de nosotros pasamos tanto tiempo conectados a Internet, la situación es muy diferente, ya que no tenemos otra opción a la hora de comunicarnos y, si es posible, trabajar. Todo es, a la vez, una tragedia y un despertar.
Al igual que muchas empresas de tecnología, el trabajo flexible no es nuevo para nosotros y trabajar desde casa es una de las ventajas del trabajo. Ya «a principios» de 2009, trabajaba de forma remota desde Bélgica para empresas de Silicon Valley. La tecnología era manera menos avanzado en aquel entonces, pero aún era factible. Sin embargo, incluso para nosotros, ahora mismo, era un ajuste tener a todos los miembros del equipo trabajando desde casa hasta nuevo aviso. También he visto a muchas empresas tomar esta decisión, incluidas muchas que no estaban tan preparadas como otras para gestionar una fuerza laboral remota.
Ya sea que la incomodidad provenga de las incógnitas de una nueva forma de trabajar, de un poco de desconfianza o quizás de no «creer» en el trabajo remoto, me parece que las empresas que se resisten a ello tienden a quedarse atrás en términos de atraer a los mejores talentos, mantener el alcance global y, francamente, adaptarse a los tiempos. Esta crisis actual no ha dejado a muchos más remedio que crear una fuerza laboral remota, ya que la alternativa es el cierre total de las empresas en medio de un clima económico caótico.
Si hay algo positivo que podemos sacar de esta tragedia, es que las personas habrán visto los beneficios de una fuerza laboral digital y la miríada de formas en que un equipo puede conectarse a pesar de no estar físicamente unido. Y la industria de la ciberseguridad es una industria que realmente puede prosperar si se trabaja desde cualquier lugar y siempre se trabaja.
Los atacantes no se encerraron: están muy activos y se están aprovechando de esta crisis, aprovechando el pánico y la incertidumbre mundiales para llevar a cabo ciberataques contra centros médicos. En una situación como esta, no es descabellado ver un aumento de los ciberataques, especialmente el ransomware. Al fin y al cabo, se trata de robar para sobrevivir en tiempos económicos precarios. Esto no significa que esté bien, y el hecho es que todavía podemos trabajar, entrenarnos y luchar contra los ciberataques en cualquier lugar donde haya una conexión a Internet.
El futuro es flexible y así es como nosotros, y la industria de la ciberseguridad en su conjunto, podemos hacer que funcione ahora y en el futuro:
Los productos Access-Anywhere son universales y valiosos
Antes de cualquier tipo de situación de cuarentena forzada, los equipos globales todavía tenían que encontrar la manera de colaborar cuando era necesario. Las teleconferencias asequibles hicieron su debut el mismo año que los Rolling Stones (1964), y no cabe duda de que los primeros en adoptarlas dijeron lo mismo: «¿estás ahí?» Los problemas de «no, adelante» a los que nos enfrentamos hoy en día (aunque podamos vernos en vídeo).
En 2020, la tecnología de las comunicaciones digitales será una parte enorme del industria de las TIC multimillonaria, en el que las plataformas móviles y sociales nativas de la nube dominan y sustituyen a la tecnología tradicional. Innovaciones como Slack, Zoom y Discord nos han mantenido más conectados que nunca, especialmente en el trabajo. Y la comunicación es solo un aspecto de la historia.
Los servicios digitales a los que se puede acceder desde cualquier lugar con una conexión a Internet, bajo demanda, que satisfacen una necesidad básica, ya sea de conexión, entretenimiento o productividad, son parte de nuestro futuro flexible. Como clientes, buscamos la hiperpersonalización y, como empresa, buscamos ofrecer una experiencia digital personal que sea de la misma calidad sin concesiones, sin importar desde dónde se acceda a ella.
En todas las industrias, todos los días, se crean aplicaciones basadas en la web para agilizar los procesos, revolucionar las formas en que vivimos y trabajamos y resolver problemas que quizás no nos habíamos dado cuenta de que teníamos. No estamos ni cerca de la cima de las herramientas y la formación en ciberseguridad a las que se puede acceder bajo demanda, de forma atractiva y útil para el usuario, con beneficios tangibles para la empresa.
Los desarrolladores aprecian la flexibilidad en sus trabajos diarios, y nuestro enfoque en la formación de codificación segura, práctica y divertida, así como en la integración del flujo de trabajo, está diseñado teniendo en cuenta a estos usuarios finales. Las herramientas deben ser fáciles de usar para que no suponga ningún esfuerzo, sin que la formación valiosa se perciba como una tarea ardua. Con un campo de juego tan amplio en la industria de la ciberseguridad, ha llegado el momento de innovar en múltiples áreas de ataque y defensa, donde metodologías que priorizan la seguridad como DevSecOps aún pueden prosperar incluso si todos están en casa. Se trata de colaborar y de disponer de un conjunto de herramientas bien pensadas para que cada miembro del equipo haga su trabajo de forma eficaz, independientemente de su ubicación física.
Entrena cuando más lo necesitas (o cuando quieres cambiar tu día)
Una de las ventajas del trabajo flexible es que los días que realizas tareas desde casa se agotan los días que realizas tus tareas desde casa. Para algunos, eso podría significar recuperar alrededor de dos horas de tiempo concentrado y de calidad. En un mundo ideal, todo el personal tendría tiempo en su horario normal de trabajo para aprender y desarrollar sus habilidades, y esto se puede gestionar con mucha más facilidad en el entorno remoto adecuado. Es beneficioso para las superestrellas que trabajan a distancia, ya que pueden sentirse desafiadas y apoyadas si siguen aprendiendo.
Dado que el panorama de la ciberseguridad cambia cada segundo, es imprescindible capacitarse con frecuencia para mantenerse al día con las posibles amenazas que podrían afectar a la organización. Además, una formación integral y cuantificable que se adapte a las necesidades de la empresa es un gran paso en la dirección correcta. Estos fueron algunos de los factores fundamentales a la hora de diseñar la plataforma Secure Code Warrior; queríamos una formación a la que se pudiera acceder desde cualquier lugar, justo cuando la necesitara, en el lenguaje de desarrollo y el marco que eligiera el usuario.
Los desarrolladores tienen una relación tensa con la seguridad y, en muchos sentidos, no se les ha atendido de una manera lo suficientemente específica como para interactuar adecuadamente con las mejores prácticas de seguridad. La formación gamificada y bajo demanda puede ayudar a convencerlos sin importar dónde se encuentren; esto también es imprescindible para garantizar que los equipos y proveedores externos también demuestren un conocimiento adecuado de la seguridad, especialmente cuando están involucrados en cualquier tipo de modificación del software de una organización.
Mantener a tu cohorte comprometida y capacitándola con una formación que ayude a la organización (sin mencionar su propia carrera) es un elemento muy eficaz cuando se trata de retener a los mejores y más leales talentos... una necesidad absoluta, ya que nos enfrentamos a una escasez continua de habilidades de ciberseguridad.
Las fuerzas de trabajo remotas pueden empoderarse, ser productivas y estar seguras
Es una postura bastante anticuada en la que, para ser productivo, tienes que estar visible en una oficina de nueve a cinco. Sin embargo, muchas empresas (incluso algunas de las más nuevas e interesantes) siguen operando con esta idea en mente. Existe un profundo sentimiento de desconfianza en sus propios trabajadores, como si la mera sugerencia de trabajar desde casa les hiciera imaginarse a sus equipos jugando en ropa interior en lugar de hacer su trabajo.
O eso, o simplemente no se han lanzado a un trabajo remoto viable.
Naturalmente, los miembros del equipo deben demostrar que pueden mantener la productividad en casa mostrando su rendimiento; sin embargo, debes dar a tu grupo la mejor oportunidad de triunfar fuera de la oficina. Pregúntate a ti mismo:
- ¿Tienen el hardware adecuado?
- ¿De verdad has implementado alguna de esas increíbles herramientas de comunicación de las que hablamos antes?
- ¿Se ha asegurado de que todos los directivos se registran y están presentes digitalmente con su equipo, con sesiones periódicas de pie?
- ¿Has pensado en herramientas de productividad para realizar un seguimiento de los proyectos y ayudar a cada miembro del equipo a tomar la dirección, establecer objetivos y una sensación de logro a medida que completan las tareas?
En el clima actual, muchas empresas se enfrentaron a la decisión de realizar las operaciones de forma remota o cerrar por completo. Es posible que algunas empresas que optaron por pasar a trabajar a distancia no estuvieran del todo preparadas y es posible que haya algunos problemas que resolver... pero el problema es que es probable que estas empresas también se expongan a algunos riesgos de seguridad.
Cómo evitar errores de seguridad en entornos de trabajo remotos
Hay varios vectores de amenazas a tener en cuenta, ya que es probable que el personal esté en su propia red y que esté utilizando una variedad de dispositivos para acceder a las cuentas de la empresa, cada uno con sus propias necesidades de seguridad que pueden estar vigentes o no.
En situaciones de trabajo remoto, todo el mundo tiende a recibir un aumento de correos electrónicos, además de tener que ordenar varios inicios de sesión, sistemas y configuraciones. Es demasiado fácil que los ataques de ingeniería social y el malware pasen desapercibidos en un montón de dispositivos fuera del ámbito de la seguridad interna. Esta no es una razón para abandonar el trabajo remoto, es una oportunidad de oro para aprender haciendo y hacerlo lo más sólido posible para el futuro. Y en las organizaciones que se centran en la seguridad, esta es una buena oportunidad para auditar los procesos y «comerse la comida de su perro» en lo que respecta a las mejores prácticas de seguridad para todos.
Hablando de errores, también es importante evaluar su espacio de trabajo remoto para detectar posibles amenazas... sobre todo para su orgullo, como esta pobre pareja. Moraleja de la historia: asegúrate de que todos usen pantalones si estás en una videollamada.
Los ciberataques no se detienen solo porque estemos en crisis
Es profundamente perturbador ver los efectos de la COVID-19 en todo el mundo, y ahora más que nunca es el momento de unirnos y tener en cuenta a otras personas en esta crisis de salud mundial. Lo que pasa es que los atacantes se están aprovechando activamente de este miedo y caos generalizados, tal vez porque están desesperados por poner comida en la mesa. Como sociedad, somos increíblemente vulnerables en este momento.
Instituciones de salud, incluido un centro de pruebas de vacunas, se han visto azotados por ataques de ransomware y DDoS, por no hablar de aquellos que intentan aprovecharse de las organizaciones financieras y gubernamentales, distraídas y sobrecargadas de trabajo, lanzando campañas de suplantación de identidad y malware contra ellas. Otra amenaza inminente gira en torno a la propia vacuna: se ha informado de que la administración Trump ofreció a una empresa alemana grandes sumas de dinero para desarrollar una vacuna contra la COVID-19 para uso exclusivo de los Estados Unidos. Los datos de la vacuna son posiblemente la información más valiosa de la Tierra en la actualidad, lo que sería una recompensa muy atractiva para un atacante.
Este es un recordatorio demasiado oportuno de que, si bien nos aislamos de la amenaza muy real de un virus físico, nuestro latido digital también está siendo atacado. La conciencia de seguridad es de suma importancia en cada organización y se debe proporcionar una formación adecuada en todos los niveles; incluso medidas como hacer cumplir el uso de herramientas de administración de contraseñas y aprender a detectar un correo electrónico de suplantación de identidad son útiles.
Y cuando se trata de desarrolladores, son la primera línea de defensa para proteger el código que se produce activamente en la empresa, y pueden ser un activo valioso para su equipo de AppSec a la hora de evitar más problemas derivados de un ciberataque al cerrar las puertas traseras creadas por las vulnerabilidades más comunes.
Las empresas que innovan digitalmente pueden capear tormentas más grandes
Un subproducto extremadamente desafortunado del confinamiento masivo ha sido la recesión económica, que ha obligado a muchas personas a quedarse sin trabajo en los sectores más afectados. Todo esto se ha agravado de manera bastante repentina, y es una experiencia que muchos de nosotros probablemente no hayamos vivido en nuestras vidas.
Si bien no todos los negocios nativos digitales son capaces de superar automáticamente la recesión (ni mucho menos), por su naturaleza, las empresas que se dedican a la tecnología digital son mucho más ágiles, adaptables y sostenibles incluso cuando se dan las circunstancias más izquierdistas.
Nuestra empresa puede funcionar de manera eficiente y eficaz con una fuerza laboral remota, y esto es una capa adicional de protección para nuestro valioso equipo y también para los clientes a los que apoyan. Consideramos que la formación viable en código seguro es una parte esencial de las empresas modernas y, si nos eligen, podemos ofrecerla y adaptarla según sea necesario. Muchas empresas, por la naturaleza de los productos o servicios que venden, no pueden permitirse el mismo lujo, pero tal vez les sorprenda investigar dónde se pueden digitalizar los procesos, prepararlos para el futuro y hacerlos tan bajo demanda como sea posible, incluso en los espacios más tradicionales.
Encontrar nuevas formas de conectarse es un desafío positivo, no un obstáculo
Es un poco dramático, pero me acuerdo de la famosa cita de Parque Jurásico en la que el Dr. Ian Malcolm dice: «la vida encuentra un camino». La verdad es que sí, y eso ha quedado muy claro en el cambio al trabajo remoto en toda nuestra empresa. Los equipos que antes no interactuaban mucho están descubriendo intereses comunes en las charlas sin cita previa, los juegos de oficina en línea y una lista de reproducción compartida de Spotify desde una oficina global. Siempre hay una forma de forjar una relación significativa, y mi consejo es que permitas que los equipos exploren y crezcan de forma orgánica.
Para nuestros clientes, ha sido increíble ver que su compromiso de perfeccionar las habilidades de codificación segura entre los desarrolladores ha superado cualquier problema de trabajo remoto. Han estado utilizando nuestra función de torneos y, aunque estos suelen celebrarse en persona con un poco de fanfarria, sus versiones virtuales han generado una buena participación, una competencia amistosa y una excelente (productiva) distracción de las actividades del día a día que normalmente se realizan de forma solitaria. Al igual que los videojuegos son ahora un evento mucho más social que antes, este tipo de formación en el puesto de trabajo fomenta la conexión no solo con el material del curso, sino también entre sí. Y está disponible para cualquier persona, en cualquier lugar. Como fanático de la seguridad, estoy totalmente sesgado, pero bueno, este es un momento tan bueno como cualquier otro para ayudar a fomentar el amor por la programación segura entre los desarrolladores. Todos son superhéroes de la seguridad en ciernes, y ha llegado el momento de reforzar tu primera línea de la forma más divertida posible.
Ya sea que la incomodidad provenga de las incógnitas de una nueva forma de trabajar, de un poco de desconfianza o quizás de no creer en el trabajo remoto, me parece que las empresas que se resisten a ello tienden a quedarse atrás en términos de atraer a los mejores talentos, mantener el alcance global y, francamente, adaptarse a los tiempos.
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Una versión de este artículo apareció en ABETO. Se ha actualizado y distribuido aquí.
Dicen que el cambio es lo único constante en la vida, pero 2020 realmente ha supuesto una prueba para muchas personas en todo el mundo. La pandemia mundial de la COVID-19 nos ha obligado a pensar, a un nivel profundo, en cómo nos conectamos. El autoaislamiento y el distanciamiento social: estas han sido algunas de las adaptaciones que hemos realizado en el mundo físico y, a pesar de que muchos de nosotros pasamos tanto tiempo conectados a Internet, la situación es muy diferente, ya que no tenemos otra opción a la hora de comunicarnos y, si es posible, trabajar. Todo es, a la vez, una tragedia y un despertar.
Al igual que muchas empresas de tecnología, el trabajo flexible no es nuevo para nosotros y trabajar desde casa es una de las ventajas del trabajo. Ya «a principios» de 2009, trabajaba de forma remota desde Bélgica para empresas de Silicon Valley. La tecnología era manera menos avanzado en aquel entonces, pero aún era factible. Sin embargo, incluso para nosotros, ahora mismo, era un ajuste tener a todos los miembros del equipo trabajando desde casa hasta nuevo aviso. También he visto a muchas empresas tomar esta decisión, incluidas muchas que no estaban tan preparadas como otras para gestionar una fuerza laboral remota.
Ya sea que la incomodidad provenga de las incógnitas de una nueva forma de trabajar, de un poco de desconfianza o quizás de no «creer» en el trabajo remoto, me parece que las empresas que se resisten a ello tienden a quedarse atrás en términos de atraer a los mejores talentos, mantener el alcance global y, francamente, adaptarse a los tiempos. Esta crisis actual no ha dejado a muchos más remedio que crear una fuerza laboral remota, ya que la alternativa es el cierre total de las empresas en medio de un clima económico caótico.
Si hay algo positivo que podemos sacar de esta tragedia, es que las personas habrán visto los beneficios de una fuerza laboral digital y la miríada de formas en que un equipo puede conectarse a pesar de no estar físicamente unido. Y la industria de la ciberseguridad es una industria que realmente puede prosperar si se trabaja desde cualquier lugar y siempre se trabaja.
Los atacantes no se encerraron: están muy activos y se están aprovechando de esta crisis, aprovechando el pánico y la incertidumbre mundiales para llevar a cabo ciberataques contra centros médicos. En una situación como esta, no es descabellado ver un aumento de los ciberataques, especialmente el ransomware. Al fin y al cabo, se trata de robar para sobrevivir en tiempos económicos precarios. Esto no significa que esté bien, y el hecho es que todavía podemos trabajar, entrenarnos y luchar contra los ciberataques en cualquier lugar donde haya una conexión a Internet.
El futuro es flexible y así es como nosotros, y la industria de la ciberseguridad en su conjunto, podemos hacer que funcione ahora y en el futuro:
Los productos Access-Anywhere son universales y valiosos
Antes de cualquier tipo de situación de cuarentena forzada, los equipos globales todavía tenían que encontrar la manera de colaborar cuando era necesario. Las teleconferencias asequibles hicieron su debut el mismo año que los Rolling Stones (1964), y no cabe duda de que los primeros en adoptarlas dijeron lo mismo: «¿estás ahí?» Los problemas de «no, adelante» a los que nos enfrentamos hoy en día (aunque podamos vernos en vídeo).
En 2020, la tecnología de las comunicaciones digitales será una parte enorme del industria de las TIC multimillonaria, en el que las plataformas móviles y sociales nativas de la nube dominan y sustituyen a la tecnología tradicional. Innovaciones como Slack, Zoom y Discord nos han mantenido más conectados que nunca, especialmente en el trabajo. Y la comunicación es solo un aspecto de la historia.
Los servicios digitales a los que se puede acceder desde cualquier lugar con una conexión a Internet, bajo demanda, que satisfacen una necesidad básica, ya sea de conexión, entretenimiento o productividad, son parte de nuestro futuro flexible. Como clientes, buscamos la hiperpersonalización y, como empresa, buscamos ofrecer una experiencia digital personal que sea de la misma calidad sin concesiones, sin importar desde dónde se acceda a ella.
En todas las industrias, todos los días, se crean aplicaciones basadas en la web para agilizar los procesos, revolucionar las formas en que vivimos y trabajamos y resolver problemas que quizás no nos habíamos dado cuenta de que teníamos. No estamos ni cerca de la cima de las herramientas y la formación en ciberseguridad a las que se puede acceder bajo demanda, de forma atractiva y útil para el usuario, con beneficios tangibles para la empresa.
Los desarrolladores aprecian la flexibilidad en sus trabajos diarios, y nuestro enfoque en la formación de codificación segura, práctica y divertida, así como en la integración del flujo de trabajo, está diseñado teniendo en cuenta a estos usuarios finales. Las herramientas deben ser fáciles de usar para que no suponga ningún esfuerzo, sin que la formación valiosa se perciba como una tarea ardua. Con un campo de juego tan amplio en la industria de la ciberseguridad, ha llegado el momento de innovar en múltiples áreas de ataque y defensa, donde metodologías que priorizan la seguridad como DevSecOps aún pueden prosperar incluso si todos están en casa. Se trata de colaborar y de disponer de un conjunto de herramientas bien pensadas para que cada miembro del equipo haga su trabajo de forma eficaz, independientemente de su ubicación física.
Entrena cuando más lo necesitas (o cuando quieres cambiar tu día)
Una de las ventajas del trabajo flexible es que los días que realizas tareas desde casa se agotan los días que realizas tus tareas desde casa. Para algunos, eso podría significar recuperar alrededor de dos horas de tiempo concentrado y de calidad. En un mundo ideal, todo el personal tendría tiempo en su horario normal de trabajo para aprender y desarrollar sus habilidades, y esto se puede gestionar con mucha más facilidad en el entorno remoto adecuado. Es beneficioso para las superestrellas que trabajan a distancia, ya que pueden sentirse desafiadas y apoyadas si siguen aprendiendo.
Dado que el panorama de la ciberseguridad cambia cada segundo, es imprescindible capacitarse con frecuencia para mantenerse al día con las posibles amenazas que podrían afectar a la organización. Además, una formación integral y cuantificable que se adapte a las necesidades de la empresa es un gran paso en la dirección correcta. Estos fueron algunos de los factores fundamentales a la hora de diseñar la plataforma Secure Code Warrior; queríamos una formación a la que se pudiera acceder desde cualquier lugar, justo cuando la necesitara, en el lenguaje de desarrollo y el marco que eligiera el usuario.
Los desarrolladores tienen una relación tensa con la seguridad y, en muchos sentidos, no se les ha atendido de una manera lo suficientemente específica como para interactuar adecuadamente con las mejores prácticas de seguridad. La formación gamificada y bajo demanda puede ayudar a convencerlos sin importar dónde se encuentren; esto también es imprescindible para garantizar que los equipos y proveedores externos también demuestren un conocimiento adecuado de la seguridad, especialmente cuando están involucrados en cualquier tipo de modificación del software de una organización.
Mantener a tu cohorte comprometida y capacitándola con una formación que ayude a la organización (sin mencionar su propia carrera) es un elemento muy eficaz cuando se trata de retener a los mejores y más leales talentos... una necesidad absoluta, ya que nos enfrentamos a una escasez continua de habilidades de ciberseguridad.
Las fuerzas de trabajo remotas pueden empoderarse, ser productivas y estar seguras
Es una postura bastante anticuada en la que, para ser productivo, tienes que estar visible en una oficina de nueve a cinco. Sin embargo, muchas empresas (incluso algunas de las más nuevas e interesantes) siguen operando con esta idea en mente. Existe un profundo sentimiento de desconfianza en sus propios trabajadores, como si la mera sugerencia de trabajar desde casa les hiciera imaginarse a sus equipos jugando en ropa interior en lugar de hacer su trabajo.
O eso, o simplemente no se han lanzado a un trabajo remoto viable.
Naturalmente, los miembros del equipo deben demostrar que pueden mantener la productividad en casa mostrando su rendimiento; sin embargo, debes dar a tu grupo la mejor oportunidad de triunfar fuera de la oficina. Pregúntate a ti mismo:
- ¿Tienen el hardware adecuado?
- ¿De verdad has implementado alguna de esas increíbles herramientas de comunicación de las que hablamos antes?
- ¿Se ha asegurado de que todos los directivos se registran y están presentes digitalmente con su equipo, con sesiones periódicas de pie?
- ¿Has pensado en herramientas de productividad para realizar un seguimiento de los proyectos y ayudar a cada miembro del equipo a tomar la dirección, establecer objetivos y una sensación de logro a medida que completan las tareas?
En el clima actual, muchas empresas se enfrentaron a la decisión de realizar las operaciones de forma remota o cerrar por completo. Es posible que algunas empresas que optaron por pasar a trabajar a distancia no estuvieran del todo preparadas y es posible que haya algunos problemas que resolver... pero el problema es que es probable que estas empresas también se expongan a algunos riesgos de seguridad.
Cómo evitar errores de seguridad en entornos de trabajo remotos
Hay varios vectores de amenazas a tener en cuenta, ya que es probable que el personal esté en su propia red y que esté utilizando una variedad de dispositivos para acceder a las cuentas de la empresa, cada uno con sus propias necesidades de seguridad que pueden estar vigentes o no.
En situaciones de trabajo remoto, todo el mundo tiende a recibir un aumento de correos electrónicos, además de tener que ordenar varios inicios de sesión, sistemas y configuraciones. Es demasiado fácil que los ataques de ingeniería social y el malware pasen desapercibidos en un montón de dispositivos fuera del ámbito de la seguridad interna. Esta no es una razón para abandonar el trabajo remoto, es una oportunidad de oro para aprender haciendo y hacerlo lo más sólido posible para el futuro. Y en las organizaciones que se centran en la seguridad, esta es una buena oportunidad para auditar los procesos y «comerse la comida de su perro» en lo que respecta a las mejores prácticas de seguridad para todos.
Hablando de errores, también es importante evaluar su espacio de trabajo remoto para detectar posibles amenazas... sobre todo para su orgullo, como esta pobre pareja. Moraleja de la historia: asegúrate de que todos usen pantalones si estás en una videollamada.
Los ciberataques no se detienen solo porque estemos en crisis
Es profundamente perturbador ver los efectos de la COVID-19 en todo el mundo, y ahora más que nunca es el momento de unirnos y tener en cuenta a otras personas en esta crisis de salud mundial. Lo que pasa es que los atacantes se están aprovechando activamente de este miedo y caos generalizados, tal vez porque están desesperados por poner comida en la mesa. Como sociedad, somos increíblemente vulnerables en este momento.
Instituciones de salud, incluido un centro de pruebas de vacunas, se han visto azotados por ataques de ransomware y DDoS, por no hablar de aquellos que intentan aprovecharse de las organizaciones financieras y gubernamentales, distraídas y sobrecargadas de trabajo, lanzando campañas de suplantación de identidad y malware contra ellas. Otra amenaza inminente gira en torno a la propia vacuna: se ha informado de que la administración Trump ofreció a una empresa alemana grandes sumas de dinero para desarrollar una vacuna contra la COVID-19 para uso exclusivo de los Estados Unidos. Los datos de la vacuna son posiblemente la información más valiosa de la Tierra en la actualidad, lo que sería una recompensa muy atractiva para un atacante.
Este es un recordatorio demasiado oportuno de que, si bien nos aislamos de la amenaza muy real de un virus físico, nuestro latido digital también está siendo atacado. La conciencia de seguridad es de suma importancia en cada organización y se debe proporcionar una formación adecuada en todos los niveles; incluso medidas como hacer cumplir el uso de herramientas de administración de contraseñas y aprender a detectar un correo electrónico de suplantación de identidad son útiles.
Y cuando se trata de desarrolladores, son la primera línea de defensa para proteger el código que se produce activamente en la empresa, y pueden ser un activo valioso para su equipo de AppSec a la hora de evitar más problemas derivados de un ciberataque al cerrar las puertas traseras creadas por las vulnerabilidades más comunes.
Las empresas que innovan digitalmente pueden capear tormentas más grandes
Un subproducto extremadamente desafortunado del confinamiento masivo ha sido la recesión económica, que ha obligado a muchas personas a quedarse sin trabajo en los sectores más afectados. Todo esto se ha agravado de manera bastante repentina, y es una experiencia que muchos de nosotros probablemente no hayamos vivido en nuestras vidas.
Si bien no todos los negocios nativos digitales son capaces de superar automáticamente la recesión (ni mucho menos), por su naturaleza, las empresas que se dedican a la tecnología digital son mucho más ágiles, adaptables y sostenibles incluso cuando se dan las circunstancias más izquierdistas.
Nuestra empresa puede funcionar de manera eficiente y eficaz con una fuerza laboral remota, y esto es una capa adicional de protección para nuestro valioso equipo y también para los clientes a los que apoyan. Consideramos que la formación viable en código seguro es una parte esencial de las empresas modernas y, si nos eligen, podemos ofrecerla y adaptarla según sea necesario. Muchas empresas, por la naturaleza de los productos o servicios que venden, no pueden permitirse el mismo lujo, pero tal vez les sorprenda investigar dónde se pueden digitalizar los procesos, prepararlos para el futuro y hacerlos tan bajo demanda como sea posible, incluso en los espacios más tradicionales.
Encontrar nuevas formas de conectarse es un desafío positivo, no un obstáculo
Es un poco dramático, pero me acuerdo de la famosa cita de Parque Jurásico en la que el Dr. Ian Malcolm dice: «la vida encuentra un camino». La verdad es que sí, y eso ha quedado muy claro en el cambio al trabajo remoto en toda nuestra empresa. Los equipos que antes no interactuaban mucho están descubriendo intereses comunes en las charlas sin cita previa, los juegos de oficina en línea y una lista de reproducción compartida de Spotify desde una oficina global. Siempre hay una forma de forjar una relación significativa, y mi consejo es que permitas que los equipos exploren y crezcan de forma orgánica.
Para nuestros clientes, ha sido increíble ver que su compromiso de perfeccionar las habilidades de codificación segura entre los desarrolladores ha superado cualquier problema de trabajo remoto. Han estado utilizando nuestra función de torneos y, aunque estos suelen celebrarse en persona con un poco de fanfarria, sus versiones virtuales han generado una buena participación, una competencia amistosa y una excelente (productiva) distracción de las actividades del día a día que normalmente se realizan de forma solitaria. Al igual que los videojuegos son ahora un evento mucho más social que antes, este tipo de formación en el puesto de trabajo fomenta la conexión no solo con el material del curso, sino también entre sí. Y está disponible para cualquier persona, en cualquier lugar. Como fanático de la seguridad, estoy totalmente sesgado, pero bueno, este es un momento tan bueno como cualquier otro para ayudar a fomentar el amor por la programación segura entre los desarrolladores. Todos son superhéroes de la seguridad en ciernes, y ha llegado el momento de reforzar tu primera línea de la forma más divertida posible.
Una versión de este artículo apareció en ABETO. Se ha actualizado y distribuido aquí.
Dicen que el cambio es lo único constante en la vida, pero 2020 realmente ha supuesto una prueba para muchas personas en todo el mundo. La pandemia mundial de la COVID-19 nos ha obligado a pensar, a un nivel profundo, en cómo nos conectamos. El autoaislamiento y el distanciamiento social: estas han sido algunas de las adaptaciones que hemos realizado en el mundo físico y, a pesar de que muchos de nosotros pasamos tanto tiempo conectados a Internet, la situación es muy diferente, ya que no tenemos otra opción a la hora de comunicarnos y, si es posible, trabajar. Todo es, a la vez, una tragedia y un despertar.
Al igual que muchas empresas de tecnología, el trabajo flexible no es nuevo para nosotros y trabajar desde casa es una de las ventajas del trabajo. Ya «a principios» de 2009, trabajaba de forma remota desde Bélgica para empresas de Silicon Valley. La tecnología era manera menos avanzado en aquel entonces, pero aún era factible. Sin embargo, incluso para nosotros, ahora mismo, era un ajuste tener a todos los miembros del equipo trabajando desde casa hasta nuevo aviso. También he visto a muchas empresas tomar esta decisión, incluidas muchas que no estaban tan preparadas como otras para gestionar una fuerza laboral remota.
Ya sea que la incomodidad provenga de las incógnitas de una nueva forma de trabajar, de un poco de desconfianza o quizás de no «creer» en el trabajo remoto, me parece que las empresas que se resisten a ello tienden a quedarse atrás en términos de atraer a los mejores talentos, mantener el alcance global y, francamente, adaptarse a los tiempos. Esta crisis actual no ha dejado a muchos más remedio que crear una fuerza laboral remota, ya que la alternativa es el cierre total de las empresas en medio de un clima económico caótico.
Si hay algo positivo que podemos sacar de esta tragedia, es que las personas habrán visto los beneficios de una fuerza laboral digital y la miríada de formas en que un equipo puede conectarse a pesar de no estar físicamente unido. Y la industria de la ciberseguridad es una industria que realmente puede prosperar si se trabaja desde cualquier lugar y siempre se trabaja.
Los atacantes no se encerraron: están muy activos y se están aprovechando de esta crisis, aprovechando el pánico y la incertidumbre mundiales para llevar a cabo ciberataques contra centros médicos. En una situación como esta, no es descabellado ver un aumento de los ciberataques, especialmente el ransomware. Al fin y al cabo, se trata de robar para sobrevivir en tiempos económicos precarios. Esto no significa que esté bien, y el hecho es que todavía podemos trabajar, entrenarnos y luchar contra los ciberataques en cualquier lugar donde haya una conexión a Internet.
El futuro es flexible y así es como nosotros, y la industria de la ciberseguridad en su conjunto, podemos hacer que funcione ahora y en el futuro:
Los productos Access-Anywhere son universales y valiosos
Antes de cualquier tipo de situación de cuarentena forzada, los equipos globales todavía tenían que encontrar la manera de colaborar cuando era necesario. Las teleconferencias asequibles hicieron su debut el mismo año que los Rolling Stones (1964), y no cabe duda de que los primeros en adoptarlas dijeron lo mismo: «¿estás ahí?» Los problemas de «no, adelante» a los que nos enfrentamos hoy en día (aunque podamos vernos en vídeo).
En 2020, la tecnología de las comunicaciones digitales será una parte enorme del industria de las TIC multimillonaria, en el que las plataformas móviles y sociales nativas de la nube dominan y sustituyen a la tecnología tradicional. Innovaciones como Slack, Zoom y Discord nos han mantenido más conectados que nunca, especialmente en el trabajo. Y la comunicación es solo un aspecto de la historia.
Los servicios digitales a los que se puede acceder desde cualquier lugar con una conexión a Internet, bajo demanda, que satisfacen una necesidad básica, ya sea de conexión, entretenimiento o productividad, son parte de nuestro futuro flexible. Como clientes, buscamos la hiperpersonalización y, como empresa, buscamos ofrecer una experiencia digital personal que sea de la misma calidad sin concesiones, sin importar desde dónde se acceda a ella.
En todas las industrias, todos los días, se crean aplicaciones basadas en la web para agilizar los procesos, revolucionar las formas en que vivimos y trabajamos y resolver problemas que quizás no nos habíamos dado cuenta de que teníamos. No estamos ni cerca de la cima de las herramientas y la formación en ciberseguridad a las que se puede acceder bajo demanda, de forma atractiva y útil para el usuario, con beneficios tangibles para la empresa.
Los desarrolladores aprecian la flexibilidad en sus trabajos diarios, y nuestro enfoque en la formación de codificación segura, práctica y divertida, así como en la integración del flujo de trabajo, está diseñado teniendo en cuenta a estos usuarios finales. Las herramientas deben ser fáciles de usar para que no suponga ningún esfuerzo, sin que la formación valiosa se perciba como una tarea ardua. Con un campo de juego tan amplio en la industria de la ciberseguridad, ha llegado el momento de innovar en múltiples áreas de ataque y defensa, donde metodologías que priorizan la seguridad como DevSecOps aún pueden prosperar incluso si todos están en casa. Se trata de colaborar y de disponer de un conjunto de herramientas bien pensadas para que cada miembro del equipo haga su trabajo de forma eficaz, independientemente de su ubicación física.
Entrena cuando más lo necesitas (o cuando quieres cambiar tu día)
Una de las ventajas del trabajo flexible es que los días que realizas tareas desde casa se agotan los días que realizas tus tareas desde casa. Para algunos, eso podría significar recuperar alrededor de dos horas de tiempo concentrado y de calidad. En un mundo ideal, todo el personal tendría tiempo en su horario normal de trabajo para aprender y desarrollar sus habilidades, y esto se puede gestionar con mucha más facilidad en el entorno remoto adecuado. Es beneficioso para las superestrellas que trabajan a distancia, ya que pueden sentirse desafiadas y apoyadas si siguen aprendiendo.
Dado que el panorama de la ciberseguridad cambia cada segundo, es imprescindible capacitarse con frecuencia para mantenerse al día con las posibles amenazas que podrían afectar a la organización. Además, una formación integral y cuantificable que se adapte a las necesidades de la empresa es un gran paso en la dirección correcta. Estos fueron algunos de los factores fundamentales a la hora de diseñar la plataforma Secure Code Warrior; queríamos una formación a la que se pudiera acceder desde cualquier lugar, justo cuando la necesitara, en el lenguaje de desarrollo y el marco que eligiera el usuario.
Los desarrolladores tienen una relación tensa con la seguridad y, en muchos sentidos, no se les ha atendido de una manera lo suficientemente específica como para interactuar adecuadamente con las mejores prácticas de seguridad. La formación gamificada y bajo demanda puede ayudar a convencerlos sin importar dónde se encuentren; esto también es imprescindible para garantizar que los equipos y proveedores externos también demuestren un conocimiento adecuado de la seguridad, especialmente cuando están involucrados en cualquier tipo de modificación del software de una organización.
Mantener a tu cohorte comprometida y capacitándola con una formación que ayude a la organización (sin mencionar su propia carrera) es un elemento muy eficaz cuando se trata de retener a los mejores y más leales talentos... una necesidad absoluta, ya que nos enfrentamos a una escasez continua de habilidades de ciberseguridad.
Las fuerzas de trabajo remotas pueden empoderarse, ser productivas y estar seguras
Es una postura bastante anticuada en la que, para ser productivo, tienes que estar visible en una oficina de nueve a cinco. Sin embargo, muchas empresas (incluso algunas de las más nuevas e interesantes) siguen operando con esta idea en mente. Existe un profundo sentimiento de desconfianza en sus propios trabajadores, como si la mera sugerencia de trabajar desde casa les hiciera imaginarse a sus equipos jugando en ropa interior en lugar de hacer su trabajo.
O eso, o simplemente no se han lanzado a un trabajo remoto viable.
Naturalmente, los miembros del equipo deben demostrar que pueden mantener la productividad en casa mostrando su rendimiento; sin embargo, debes dar a tu grupo la mejor oportunidad de triunfar fuera de la oficina. Pregúntate a ti mismo:
- ¿Tienen el hardware adecuado?
- ¿De verdad has implementado alguna de esas increíbles herramientas de comunicación de las que hablamos antes?
- ¿Se ha asegurado de que todos los directivos se registran y están presentes digitalmente con su equipo, con sesiones periódicas de pie?
- ¿Has pensado en herramientas de productividad para realizar un seguimiento de los proyectos y ayudar a cada miembro del equipo a tomar la dirección, establecer objetivos y una sensación de logro a medida que completan las tareas?
En el clima actual, muchas empresas se enfrentaron a la decisión de realizar las operaciones de forma remota o cerrar por completo. Es posible que algunas empresas que optaron por pasar a trabajar a distancia no estuvieran del todo preparadas y es posible que haya algunos problemas que resolver... pero el problema es que es probable que estas empresas también se expongan a algunos riesgos de seguridad.
Cómo evitar errores de seguridad en entornos de trabajo remotos
Hay varios vectores de amenazas a tener en cuenta, ya que es probable que el personal esté en su propia red y que esté utilizando una variedad de dispositivos para acceder a las cuentas de la empresa, cada uno con sus propias necesidades de seguridad que pueden estar vigentes o no.
En situaciones de trabajo remoto, todo el mundo tiende a recibir un aumento de correos electrónicos, además de tener que ordenar varios inicios de sesión, sistemas y configuraciones. Es demasiado fácil que los ataques de ingeniería social y el malware pasen desapercibidos en un montón de dispositivos fuera del ámbito de la seguridad interna. Esta no es una razón para abandonar el trabajo remoto, es una oportunidad de oro para aprender haciendo y hacerlo lo más sólido posible para el futuro. Y en las organizaciones que se centran en la seguridad, esta es una buena oportunidad para auditar los procesos y «comerse la comida de su perro» en lo que respecta a las mejores prácticas de seguridad para todos.
Hablando de errores, también es importante evaluar su espacio de trabajo remoto para detectar posibles amenazas... sobre todo para su orgullo, como esta pobre pareja. Moraleja de la historia: asegúrate de que todos usen pantalones si estás en una videollamada.
Los ciberataques no se detienen solo porque estemos en crisis
Es profundamente perturbador ver los efectos de la COVID-19 en todo el mundo, y ahora más que nunca es el momento de unirnos y tener en cuenta a otras personas en esta crisis de salud mundial. Lo que pasa es que los atacantes se están aprovechando activamente de este miedo y caos generalizados, tal vez porque están desesperados por poner comida en la mesa. Como sociedad, somos increíblemente vulnerables en este momento.
Instituciones de salud, incluido un centro de pruebas de vacunas, se han visto azotados por ataques de ransomware y DDoS, por no hablar de aquellos que intentan aprovecharse de las organizaciones financieras y gubernamentales, distraídas y sobrecargadas de trabajo, lanzando campañas de suplantación de identidad y malware contra ellas. Otra amenaza inminente gira en torno a la propia vacuna: se ha informado de que la administración Trump ofreció a una empresa alemana grandes sumas de dinero para desarrollar una vacuna contra la COVID-19 para uso exclusivo de los Estados Unidos. Los datos de la vacuna son posiblemente la información más valiosa de la Tierra en la actualidad, lo que sería una recompensa muy atractiva para un atacante.
Este es un recordatorio demasiado oportuno de que, si bien nos aislamos de la amenaza muy real de un virus físico, nuestro latido digital también está siendo atacado. La conciencia de seguridad es de suma importancia en cada organización y se debe proporcionar una formación adecuada en todos los niveles; incluso medidas como hacer cumplir el uso de herramientas de administración de contraseñas y aprender a detectar un correo electrónico de suplantación de identidad son útiles.
Y cuando se trata de desarrolladores, son la primera línea de defensa para proteger el código que se produce activamente en la empresa, y pueden ser un activo valioso para su equipo de AppSec a la hora de evitar más problemas derivados de un ciberataque al cerrar las puertas traseras creadas por las vulnerabilidades más comunes.
Las empresas que innovan digitalmente pueden capear tormentas más grandes
Un subproducto extremadamente desafortunado del confinamiento masivo ha sido la recesión económica, que ha obligado a muchas personas a quedarse sin trabajo en los sectores más afectados. Todo esto se ha agravado de manera bastante repentina, y es una experiencia que muchos de nosotros probablemente no hayamos vivido en nuestras vidas.
Si bien no todos los negocios nativos digitales son capaces de superar automáticamente la recesión (ni mucho menos), por su naturaleza, las empresas que se dedican a la tecnología digital son mucho más ágiles, adaptables y sostenibles incluso cuando se dan las circunstancias más izquierdistas.
Nuestra empresa puede funcionar de manera eficiente y eficaz con una fuerza laboral remota, y esto es una capa adicional de protección para nuestro valioso equipo y también para los clientes a los que apoyan. Consideramos que la formación viable en código seguro es una parte esencial de las empresas modernas y, si nos eligen, podemos ofrecerla y adaptarla según sea necesario. Muchas empresas, por la naturaleza de los productos o servicios que venden, no pueden permitirse el mismo lujo, pero tal vez les sorprenda investigar dónde se pueden digitalizar los procesos, prepararlos para el futuro y hacerlos tan bajo demanda como sea posible, incluso en los espacios más tradicionales.
Encontrar nuevas formas de conectarse es un desafío positivo, no un obstáculo
Es un poco dramático, pero me acuerdo de la famosa cita de Parque Jurásico en la que el Dr. Ian Malcolm dice: «la vida encuentra un camino». La verdad es que sí, y eso ha quedado muy claro en el cambio al trabajo remoto en toda nuestra empresa. Los equipos que antes no interactuaban mucho están descubriendo intereses comunes en las charlas sin cita previa, los juegos de oficina en línea y una lista de reproducción compartida de Spotify desde una oficina global. Siempre hay una forma de forjar una relación significativa, y mi consejo es que permitas que los equipos exploren y crezcan de forma orgánica.
Para nuestros clientes, ha sido increíble ver que su compromiso de perfeccionar las habilidades de codificación segura entre los desarrolladores ha superado cualquier problema de trabajo remoto. Han estado utilizando nuestra función de torneos y, aunque estos suelen celebrarse en persona con un poco de fanfarria, sus versiones virtuales han generado una buena participación, una competencia amistosa y una excelente (productiva) distracción de las actividades del día a día que normalmente se realizan de forma solitaria. Al igual que los videojuegos son ahora un evento mucho más social que antes, este tipo de formación en el puesto de trabajo fomenta la conexión no solo con el material del curso, sino también entre sí. Y está disponible para cualquier persona, en cualquier lugar. Como fanático de la seguridad, estoy totalmente sesgado, pero bueno, este es un momento tan bueno como cualquier otro para ayudar a fomentar el amor por la programación segura entre los desarrolladores. Todos son superhéroes de la seguridad en ciernes, y ha llegado el momento de reforzar tu primera línea de la forma más divertida posible.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Una versión de este artículo apareció en ABETO. Se ha actualizado y distribuido aquí.
Dicen que el cambio es lo único constante en la vida, pero 2020 realmente ha supuesto una prueba para muchas personas en todo el mundo. La pandemia mundial de la COVID-19 nos ha obligado a pensar, a un nivel profundo, en cómo nos conectamos. El autoaislamiento y el distanciamiento social: estas han sido algunas de las adaptaciones que hemos realizado en el mundo físico y, a pesar de que muchos de nosotros pasamos tanto tiempo conectados a Internet, la situación es muy diferente, ya que no tenemos otra opción a la hora de comunicarnos y, si es posible, trabajar. Todo es, a la vez, una tragedia y un despertar.
Al igual que muchas empresas de tecnología, el trabajo flexible no es nuevo para nosotros y trabajar desde casa es una de las ventajas del trabajo. Ya «a principios» de 2009, trabajaba de forma remota desde Bélgica para empresas de Silicon Valley. La tecnología era manera menos avanzado en aquel entonces, pero aún era factible. Sin embargo, incluso para nosotros, ahora mismo, era un ajuste tener a todos los miembros del equipo trabajando desde casa hasta nuevo aviso. También he visto a muchas empresas tomar esta decisión, incluidas muchas que no estaban tan preparadas como otras para gestionar una fuerza laboral remota.
Ya sea que la incomodidad provenga de las incógnitas de una nueva forma de trabajar, de un poco de desconfianza o quizás de no «creer» en el trabajo remoto, me parece que las empresas que se resisten a ello tienden a quedarse atrás en términos de atraer a los mejores talentos, mantener el alcance global y, francamente, adaptarse a los tiempos. Esta crisis actual no ha dejado a muchos más remedio que crear una fuerza laboral remota, ya que la alternativa es el cierre total de las empresas en medio de un clima económico caótico.
Si hay algo positivo que podemos sacar de esta tragedia, es que las personas habrán visto los beneficios de una fuerza laboral digital y la miríada de formas en que un equipo puede conectarse a pesar de no estar físicamente unido. Y la industria de la ciberseguridad es una industria que realmente puede prosperar si se trabaja desde cualquier lugar y siempre se trabaja.
Los atacantes no se encerraron: están muy activos y se están aprovechando de esta crisis, aprovechando el pánico y la incertidumbre mundiales para llevar a cabo ciberataques contra centros médicos. En una situación como esta, no es descabellado ver un aumento de los ciberataques, especialmente el ransomware. Al fin y al cabo, se trata de robar para sobrevivir en tiempos económicos precarios. Esto no significa que esté bien, y el hecho es que todavía podemos trabajar, entrenarnos y luchar contra los ciberataques en cualquier lugar donde haya una conexión a Internet.
El futuro es flexible y así es como nosotros, y la industria de la ciberseguridad en su conjunto, podemos hacer que funcione ahora y en el futuro:
Los productos Access-Anywhere son universales y valiosos
Antes de cualquier tipo de situación de cuarentena forzada, los equipos globales todavía tenían que encontrar la manera de colaborar cuando era necesario. Las teleconferencias asequibles hicieron su debut el mismo año que los Rolling Stones (1964), y no cabe duda de que los primeros en adoptarlas dijeron lo mismo: «¿estás ahí?» Los problemas de «no, adelante» a los que nos enfrentamos hoy en día (aunque podamos vernos en vídeo).
En 2020, la tecnología de las comunicaciones digitales será una parte enorme del industria de las TIC multimillonaria, en el que las plataformas móviles y sociales nativas de la nube dominan y sustituyen a la tecnología tradicional. Innovaciones como Slack, Zoom y Discord nos han mantenido más conectados que nunca, especialmente en el trabajo. Y la comunicación es solo un aspecto de la historia.
Los servicios digitales a los que se puede acceder desde cualquier lugar con una conexión a Internet, bajo demanda, que satisfacen una necesidad básica, ya sea de conexión, entretenimiento o productividad, son parte de nuestro futuro flexible. Como clientes, buscamos la hiperpersonalización y, como empresa, buscamos ofrecer una experiencia digital personal que sea de la misma calidad sin concesiones, sin importar desde dónde se acceda a ella.
En todas las industrias, todos los días, se crean aplicaciones basadas en la web para agilizar los procesos, revolucionar las formas en que vivimos y trabajamos y resolver problemas que quizás no nos habíamos dado cuenta de que teníamos. No estamos ni cerca de la cima de las herramientas y la formación en ciberseguridad a las que se puede acceder bajo demanda, de forma atractiva y útil para el usuario, con beneficios tangibles para la empresa.
Los desarrolladores aprecian la flexibilidad en sus trabajos diarios, y nuestro enfoque en la formación de codificación segura, práctica y divertida, así como en la integración del flujo de trabajo, está diseñado teniendo en cuenta a estos usuarios finales. Las herramientas deben ser fáciles de usar para que no suponga ningún esfuerzo, sin que la formación valiosa se perciba como una tarea ardua. Con un campo de juego tan amplio en la industria de la ciberseguridad, ha llegado el momento de innovar en múltiples áreas de ataque y defensa, donde metodologías que priorizan la seguridad como DevSecOps aún pueden prosperar incluso si todos están en casa. Se trata de colaborar y de disponer de un conjunto de herramientas bien pensadas para que cada miembro del equipo haga su trabajo de forma eficaz, independientemente de su ubicación física.
Entrena cuando más lo necesitas (o cuando quieres cambiar tu día)
Una de las ventajas del trabajo flexible es que los días que realizas tareas desde casa se agotan los días que realizas tus tareas desde casa. Para algunos, eso podría significar recuperar alrededor de dos horas de tiempo concentrado y de calidad. En un mundo ideal, todo el personal tendría tiempo en su horario normal de trabajo para aprender y desarrollar sus habilidades, y esto se puede gestionar con mucha más facilidad en el entorno remoto adecuado. Es beneficioso para las superestrellas que trabajan a distancia, ya que pueden sentirse desafiadas y apoyadas si siguen aprendiendo.
Dado que el panorama de la ciberseguridad cambia cada segundo, es imprescindible capacitarse con frecuencia para mantenerse al día con las posibles amenazas que podrían afectar a la organización. Además, una formación integral y cuantificable que se adapte a las necesidades de la empresa es un gran paso en la dirección correcta. Estos fueron algunos de los factores fundamentales a la hora de diseñar la plataforma Secure Code Warrior; queríamos una formación a la que se pudiera acceder desde cualquier lugar, justo cuando la necesitara, en el lenguaje de desarrollo y el marco que eligiera el usuario.
Los desarrolladores tienen una relación tensa con la seguridad y, en muchos sentidos, no se les ha atendido de una manera lo suficientemente específica como para interactuar adecuadamente con las mejores prácticas de seguridad. La formación gamificada y bajo demanda puede ayudar a convencerlos sin importar dónde se encuentren; esto también es imprescindible para garantizar que los equipos y proveedores externos también demuestren un conocimiento adecuado de la seguridad, especialmente cuando están involucrados en cualquier tipo de modificación del software de una organización.
Mantener a tu cohorte comprometida y capacitándola con una formación que ayude a la organización (sin mencionar su propia carrera) es un elemento muy eficaz cuando se trata de retener a los mejores y más leales talentos... una necesidad absoluta, ya que nos enfrentamos a una escasez continua de habilidades de ciberseguridad.
Las fuerzas de trabajo remotas pueden empoderarse, ser productivas y estar seguras
Es una postura bastante anticuada en la que, para ser productivo, tienes que estar visible en una oficina de nueve a cinco. Sin embargo, muchas empresas (incluso algunas de las más nuevas e interesantes) siguen operando con esta idea en mente. Existe un profundo sentimiento de desconfianza en sus propios trabajadores, como si la mera sugerencia de trabajar desde casa les hiciera imaginarse a sus equipos jugando en ropa interior en lugar de hacer su trabajo.
O eso, o simplemente no se han lanzado a un trabajo remoto viable.
Naturalmente, los miembros del equipo deben demostrar que pueden mantener la productividad en casa mostrando su rendimiento; sin embargo, debes dar a tu grupo la mejor oportunidad de triunfar fuera de la oficina. Pregúntate a ti mismo:
- ¿Tienen el hardware adecuado?
- ¿De verdad has implementado alguna de esas increíbles herramientas de comunicación de las que hablamos antes?
- ¿Se ha asegurado de que todos los directivos se registran y están presentes digitalmente con su equipo, con sesiones periódicas de pie?
- ¿Has pensado en herramientas de productividad para realizar un seguimiento de los proyectos y ayudar a cada miembro del equipo a tomar la dirección, establecer objetivos y una sensación de logro a medida que completan las tareas?
En el clima actual, muchas empresas se enfrentaron a la decisión de realizar las operaciones de forma remota o cerrar por completo. Es posible que algunas empresas que optaron por pasar a trabajar a distancia no estuvieran del todo preparadas y es posible que haya algunos problemas que resolver... pero el problema es que es probable que estas empresas también se expongan a algunos riesgos de seguridad.
Cómo evitar errores de seguridad en entornos de trabajo remotos
Hay varios vectores de amenazas a tener en cuenta, ya que es probable que el personal esté en su propia red y que esté utilizando una variedad de dispositivos para acceder a las cuentas de la empresa, cada uno con sus propias necesidades de seguridad que pueden estar vigentes o no.
En situaciones de trabajo remoto, todo el mundo tiende a recibir un aumento de correos electrónicos, además de tener que ordenar varios inicios de sesión, sistemas y configuraciones. Es demasiado fácil que los ataques de ingeniería social y el malware pasen desapercibidos en un montón de dispositivos fuera del ámbito de la seguridad interna. Esta no es una razón para abandonar el trabajo remoto, es una oportunidad de oro para aprender haciendo y hacerlo lo más sólido posible para el futuro. Y en las organizaciones que se centran en la seguridad, esta es una buena oportunidad para auditar los procesos y «comerse la comida de su perro» en lo que respecta a las mejores prácticas de seguridad para todos.
Hablando de errores, también es importante evaluar su espacio de trabajo remoto para detectar posibles amenazas... sobre todo para su orgullo, como esta pobre pareja. Moraleja de la historia: asegúrate de que todos usen pantalones si estás en una videollamada.
Los ciberataques no se detienen solo porque estemos en crisis
Es profundamente perturbador ver los efectos de la COVID-19 en todo el mundo, y ahora más que nunca es el momento de unirnos y tener en cuenta a otras personas en esta crisis de salud mundial. Lo que pasa es que los atacantes se están aprovechando activamente de este miedo y caos generalizados, tal vez porque están desesperados por poner comida en la mesa. Como sociedad, somos increíblemente vulnerables en este momento.
Instituciones de salud, incluido un centro de pruebas de vacunas, se han visto azotados por ataques de ransomware y DDoS, por no hablar de aquellos que intentan aprovecharse de las organizaciones financieras y gubernamentales, distraídas y sobrecargadas de trabajo, lanzando campañas de suplantación de identidad y malware contra ellas. Otra amenaza inminente gira en torno a la propia vacuna: se ha informado de que la administración Trump ofreció a una empresa alemana grandes sumas de dinero para desarrollar una vacuna contra la COVID-19 para uso exclusivo de los Estados Unidos. Los datos de la vacuna son posiblemente la información más valiosa de la Tierra en la actualidad, lo que sería una recompensa muy atractiva para un atacante.
Este es un recordatorio demasiado oportuno de que, si bien nos aislamos de la amenaza muy real de un virus físico, nuestro latido digital también está siendo atacado. La conciencia de seguridad es de suma importancia en cada organización y se debe proporcionar una formación adecuada en todos los niveles; incluso medidas como hacer cumplir el uso de herramientas de administración de contraseñas y aprender a detectar un correo electrónico de suplantación de identidad son útiles.
Y cuando se trata de desarrolladores, son la primera línea de defensa para proteger el código que se produce activamente en la empresa, y pueden ser un activo valioso para su equipo de AppSec a la hora de evitar más problemas derivados de un ciberataque al cerrar las puertas traseras creadas por las vulnerabilidades más comunes.
Las empresas que innovan digitalmente pueden capear tormentas más grandes
Un subproducto extremadamente desafortunado del confinamiento masivo ha sido la recesión económica, que ha obligado a muchas personas a quedarse sin trabajo en los sectores más afectados. Todo esto se ha agravado de manera bastante repentina, y es una experiencia que muchos de nosotros probablemente no hayamos vivido en nuestras vidas.
Si bien no todos los negocios nativos digitales son capaces de superar automáticamente la recesión (ni mucho menos), por su naturaleza, las empresas que se dedican a la tecnología digital son mucho más ágiles, adaptables y sostenibles incluso cuando se dan las circunstancias más izquierdistas.
Nuestra empresa puede funcionar de manera eficiente y eficaz con una fuerza laboral remota, y esto es una capa adicional de protección para nuestro valioso equipo y también para los clientes a los que apoyan. Consideramos que la formación viable en código seguro es una parte esencial de las empresas modernas y, si nos eligen, podemos ofrecerla y adaptarla según sea necesario. Muchas empresas, por la naturaleza de los productos o servicios que venden, no pueden permitirse el mismo lujo, pero tal vez les sorprenda investigar dónde se pueden digitalizar los procesos, prepararlos para el futuro y hacerlos tan bajo demanda como sea posible, incluso en los espacios más tradicionales.
Encontrar nuevas formas de conectarse es un desafío positivo, no un obstáculo
Es un poco dramático, pero me acuerdo de la famosa cita de Parque Jurásico en la que el Dr. Ian Malcolm dice: «la vida encuentra un camino». La verdad es que sí, y eso ha quedado muy claro en el cambio al trabajo remoto en toda nuestra empresa. Los equipos que antes no interactuaban mucho están descubriendo intereses comunes en las charlas sin cita previa, los juegos de oficina en línea y una lista de reproducción compartida de Spotify desde una oficina global. Siempre hay una forma de forjar una relación significativa, y mi consejo es que permitas que los equipos exploren y crezcan de forma orgánica.
Para nuestros clientes, ha sido increíble ver que su compromiso de perfeccionar las habilidades de codificación segura entre los desarrolladores ha superado cualquier problema de trabajo remoto. Han estado utilizando nuestra función de torneos y, aunque estos suelen celebrarse en persona con un poco de fanfarria, sus versiones virtuales han generado una buena participación, una competencia amistosa y una excelente (productiva) distracción de las actividades del día a día que normalmente se realizan de forma solitaria. Al igual que los videojuegos son ahora un evento mucho más social que antes, este tipo de formación en el puesto de trabajo fomenta la conexión no solo con el material del curso, sino también entre sí. Y está disponible para cualquier persona, en cualquier lugar. Como fanático de la seguridad, estoy totalmente sesgado, pero bueno, este es un momento tan bueno como cualquier otro para ayudar a fomentar el amor por la programación segura entre los desarrolladores. Todos son superhéroes de la seguridad en ciernes, y ha llegado el momento de reforzar tu primera línea de la forma más divertida posible.
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
