Cada título en informática debe requerir un curso de ciberseguridad
Por Jack Cable
Seguridad y Privacidad
Harvard Business Review
La ciberseguridad se está comiendo el mundo del software. En los últimos años, hemos visto un número creciente de problemas de seguridad, que van desde la interferencia rusa en las elecciones presidenciales de los EE. UU. De 2016 hasta la violación de Equifax de la información privada de los estadounidenses en 2017 a los numerosos problemas de datos de Facebook. Lo que es peor, nada parece estar mejorando. En los últimos seis años, se han producido más de 1,000 violaciones de datos en todo el mundo, a pesar de las promesas de las compañías de todo el mundo de que "tomamos en serio su privacidad y seguridad".
El problema es que muchas compañías no tienen un incentivo para cuidar nuestra información personal cuando el mayor castigo no es más que una palmada en la muñeca. Las empresas con frecuencia sacrifican la seguridad por otros desarrollos comerciales, ya que invertir en ella a menudo no genera beneficios financieros inmediatos. Además, tanto las empresas como los gobiernos no mejorarán, y no podrán, mejorar su postura sin una cartera de personas con talento que entiendan cómo funciona la seguridad.
Como investigador de seguridad que ha descubierto cientos de fallas en los sistemas de las empresas y los gobiernos, puedo decir que los problemas más graves son a menudo los más simples, un indicador de que las empresas necesitan volver y revisar los conceptos básicos. Examinar las brechas de datos revela una tendencia notable: en casi todos los casos, no provienen de piratas informáticos sofisticados que explotan vulnerabilidades novedosas, sino más bien de simples errores que cualquier ojo bien entrenado podría detectar. La violación de Equifax, según su CEO, se debió a un error de un solo empleado y fue fácilmente evitable. Dow Jones también sufrió una violación de datos porque un empleado configuró mal un servidor que almacena información del usuario, exponiendo los datos del cliente a cualquier visitante público.
La escasez de talento en ciberseguridad está bien documentada, y una fuente dice que hay aproximadamente 500,000 empleos no cubiertos solo en los EE. UU. Si bien está claro que estos trabajadores son desesperadamente necesarios, me pregunto si los roles genéricos de seguridad cibernética son todo lo que se necesita para combatir un futuro de violaciones y ataques de datos. Después de todo, en un mundo cada vez más dominado por Internet, los creadores de software juegan un papel crucial. A medida que la conectividad continúa expandiéndose desde Internet a nuestras muñecas, automóviles y medios de vida completos, la seguridad seguirá siendo cada vez más importante para la seguridad del mundo real. En caso de que las empresas no actúen, el estado de seguridad se mantendrá igual mientras las apuestas crezcan astronómicamente más.
Si le pregunta al ingeniero de software promedio qué papel juega la seguridad en su proceso de desarrollo, la mayoría de las respuestas probablemente se encuentren en algún lugar como "Realmente no pienso en la seguridad" o "Aporto seguridad cuando la necesito". , los desarrolladores lamentablemente no están preparados y muchos carecen incluso del conocimiento de seguridad más básico. En una encuesta, casi el 70% de los profesionales de desarrollo y TI describieron su capacitación en seguridad de aplicaciones como "inadecuada" y el 86% dijo que sus organizaciones no están invirtiendo lo suficiente en este tipo de capacitación. Como consecuencia, la mayoría de los desarrolladores ven la seguridad como una ocurrencia tardía, un paso adicional que impide el desarrollo rápido. Pero a medida que las violaciones de datos se convierten en la norma, este paradigma debe cambiar. ¿Por qué los ingenieros de software, que están creando el código que sustenta los avances tecnológicos, no deberían ser responsables de la seguridad del código?
Abordar sistemáticamente el problema de seguridad comienza con educar a los desarrolladores de software a escala. Dado que la mayoría de las infracciones se pueden evitar fácilmente utilizando las mejores prácticas de la industria, una pequeña cantidad de conocimiento puede ser muy útil. Las universidades son en parte culpables de esta falta de preparación. Solo uno de los 24 mejores programas de pregrado en ciencias de la computación de EE. UU. Enumera un curso de seguridad como un requisito básico (lo comprobé). Esa única excepción: UC San Diego. En las otras 23 escuelas, los estudiantes pueden obtener un título sin tomar una sola clase de seguridad y escribir código que afecte los dispositivos en los que confiamos cada vez más.
Como estudiante de pregrado en Stanford, tengo la oportunidad de ver de primera mano cómo se incuba la próxima generación de informáticos y desarrolladores de software. Si bien el plan de estudios cubre bien los fundamentos de la informática y las tendencias actuales, como el aprendizaje automático, la seguridad está marcadamente ausente de la lista de requisitos de grado. Las únicas clases prácticas de seguridad de Stanford para estudiantes de informática se ofrecen como asignaturas optativas para aquellos que puedan mostrar interés.
Dado que Stanford, entre otras universidades, está produciendo informáticos que inevitablemente serán responsables del impacto que la tecnología tendrá en nuestro mundo en las próximas décadas, es deber de las universidades garantizar que los estudiantes no solo puedan obtener un trabajo sino también codificar Atención y precisión que la seguridad necesita. Por esta razón, las universidades deben revisar sus requisitos de grado para hacer un estándar de curso de seguridad para todos los estudiantes que estudian ciencias de la computación. Tal curso debería enseñar los fundamentos de la construcción de software seguro, incluidos los escollos de seguridad comunes, las prácticas de codificación segura y la seguridad de las aplicaciones. A través de este curso, las universidades también podrían explorar las implicaciones de la aplicación de la tecnología en el funcionamiento de la sociedad en general, a medida que los estudiantes aprenden los conocimientos técnicos necesarios para construir un Internet seguro.
La comunidad de seguridad está estancada para avanzar en la mejora de la seguridad global. Las empresas deben hacer que la experiencia en seguridad sea una prioridad al contratar desarrolladores, y las escuelas deben prepararlos dándoles las habilidades de seguridad necesarias para ser desarrolladores completos. Hasta que la capacidad de un desarrollador para codificar de forma segura se valore tanto como su capacidad para escribir un algoritmo de clasificación, continuaremos enfrentando problemas a gran escala. Brinde a los ingenieros de software los conocimientos básicos necesarios para crear un código seguro, y los resultados se amortizarán por sí mismos.
Jack Cable (también conocido como @jackhcable) es un codificador convertido en hacker de sombrero blanco y estudiante de la Universidad de Stanford, actualmente clasificado entre los primeros 50 en HackerOne. En 2018, Jack se convirtió en la persona más joven en recibir autorización de seguridad del Departamento de Defensa a través de su trabajo en programas gubernamentales de ciberseguridad. También es el fundador de Lightning Security. En 2018, Jack fue reconocido por la revista Time como uno de los 25 adolescentes más influyentes de 2018.
Seguridad y Privacidad
Harvard Business Review
La ciberseguridad se está comiendo el mundo del software. En los últimos años, hemos visto un número creciente de problemas de seguridad, que van desde la interferencia rusa en las elecciones presidenciales de los EE. UU. De 2016 hasta la violación de Equifax de la información privada de los estadounidenses en 2017 a los numerosos problemas de datos de Facebook. Lo que es peor, nada parece estar mejorando. En los últimos seis años, se han producido más de 1,000 violaciones de datos en todo el mundo, a pesar de las promesas de las compañías de todo el mundo de que "tomamos en serio su privacidad y seguridad".
El problema es que muchas compañías no tienen un incentivo para cuidar nuestra información personal cuando el mayor castigo no es más que una palmada en la muñeca. Las empresas con frecuencia sacrifican la seguridad por otros desarrollos comerciales, ya que invertir en ella a menudo no genera beneficios financieros inmediatos. Además, tanto las empresas como los gobiernos no mejorarán, y no podrán, mejorar su postura sin una cartera de personas con talento que entiendan cómo funciona la seguridad.
Como investigador de seguridad que ha descubierto cientos de fallas en los sistemas de las empresas y los gobiernos, puedo decir que los problemas más graves son a menudo los más simples, un indicador de que las empresas necesitan volver y revisar los conceptos básicos. Examinar las brechas de datos revela una tendencia notable: en casi todos los casos, no provienen de piratas informáticos sofisticados que explotan vulnerabilidades novedosas, sino más bien de simples errores que cualquier ojo bien entrenado podría detectar. La violación de Equifax, según su CEO, se debió a un error de un solo empleado y fue fácilmente evitable. Dow Jones también sufrió una violación de datos porque un empleado configuró mal un servidor que almacena información del usuario, exponiendo los datos del cliente a cualquier visitante público.
La escasez de talento en ciberseguridad está bien documentada, y una fuente dice que hay aproximadamente 500,000 empleos no cubiertos solo en los EE. UU. Si bien está claro que estos trabajadores son desesperadamente necesarios, me pregunto si los roles genéricos de seguridad cibernética son todo lo que se necesita para combatir un futuro de violaciones y ataques de datos. Después de todo, en un mundo cada vez más dominado por Internet, los creadores de software juegan un papel crucial. A medida que la conectividad continúa expandiéndose desde Internet a nuestras muñecas, automóviles y medios de vida completos, la seguridad seguirá siendo cada vez más importante para la seguridad del mundo real. En caso de que las empresas no actúen, el estado de seguridad se mantendrá igual mientras las apuestas crezcan astronómicamente más.
Si le pregunta al ingeniero de software promedio qué papel juega la seguridad en su proceso de desarrollo, la mayoría de las respuestas probablemente se encuentren en algún lugar como "Realmente no pienso en la seguridad" o "Aporto seguridad cuando la necesito". , los desarrolladores lamentablemente no están preparados y muchos carecen incluso del conocimiento de seguridad más básico. En una encuesta, casi el 70% de los profesionales de desarrollo y TI describieron su capacitación en seguridad de aplicaciones como "inadecuada" y el 86% dijo que sus organizaciones no están invirtiendo lo suficiente en este tipo de capacitación. Como consecuencia, la mayoría de los desarrolladores ven la seguridad como una ocurrencia tardía, un paso adicional que impide el desarrollo rápido. Pero a medida que las violaciones de datos se convierten en la norma, este paradigma debe cambiar. ¿Por qué los ingenieros de software, que están creando el código que sustenta los avances tecnológicos, no deberían ser responsables de la seguridad del código?
Abordar sistemáticamente el problema de seguridad comienza con educar a los desarrolladores de software a escala. Dado que la mayoría de las infracciones se pueden evitar fácilmente utilizando las mejores prácticas de la industria, una pequeña cantidad de conocimiento puede ser muy útil. Las universidades son en parte culpables de esta falta de preparación. Solo uno de los 24 mejores programas de pregrado en ciencias de la computación de EE. UU. Enumera un curso de seguridad como un requisito básico (lo comprobé). Esa única excepción: UC San Diego. En las otras 23 escuelas, los estudiantes pueden obtener un título sin tomar una sola clase de seguridad y escribir código que afecte los dispositivos en los que confiamos cada vez más.
Como estudiante de pregrado en Stanford, tengo la oportunidad de ver de primera mano cómo se incuba la próxima generación de informáticos y desarrolladores de software. Si bien el plan de estudios cubre bien los fundamentos de la informática y las tendencias actuales, como el aprendizaje automático, la seguridad está marcadamente ausente de la lista de requisitos de grado. Las únicas clases prácticas de seguridad de Stanford para estudiantes de informática se ofrecen como asignaturas optativas para aquellos que puedan mostrar interés.
Dado que Stanford, entre otras universidades, está produciendo informáticos que inevitablemente serán responsables del impacto que la tecnología tendrá en nuestro mundo en las próximas décadas, es deber de las universidades garantizar que los estudiantes no solo puedan obtener un trabajo sino también codificar Atención y precisión que la seguridad necesita. Por esta razón, las universidades deben revisar sus requisitos de grado para hacer un estándar de curso de seguridad para todos los estudiantes que estudian ciencias de la computación. Tal curso debería enseñar los fundamentos de la construcción de software seguro, incluidos los escollos de seguridad comunes, las prácticas de codificación segura y la seguridad de las aplicaciones. A través de este curso, las universidades también podrían explorar las implicaciones de la aplicación de la tecnología en el funcionamiento de la sociedad en general, a medida que los estudiantes aprenden los conocimientos técnicos necesarios para construir un Internet seguro.
La comunidad de seguridad está estancada para avanzar en la mejora de la seguridad global. Las empresas deben hacer que la experiencia en seguridad sea una prioridad al contratar desarrolladores, y las escuelas deben prepararlos dándoles las habilidades de seguridad necesarias para ser desarrolladores completos. Hasta que la capacidad de un desarrollador para codificar de forma segura se valore tanto como su capacidad para escribir un algoritmo de clasificación, continuaremos enfrentando problemas a gran escala. Brinde a los ingenieros de software los conocimientos básicos necesarios para crear un código seguro, y los resultados se amortizarán por sí mismos.
Jack Cable (también conocido como @jackhcable) es un codificador convertido en hacker de sombrero blanco y estudiante de la Universidad de Stanford, actualmente clasificado entre los primeros 50 en HackerOne. En 2018, Jack se convirtió en la persona más joven en recibir autorización de seguridad del Departamento de Defensa a través de su trabajo en programas gubernamentales de ciberseguridad. También es el fundador de Lightning Security. En 2018, Jack fue reconocido por la revista Time como uno de los 25 adolescentes más influyentes de 2018.
No hay comentarios:
Publicar un comentario