Cómo este riesgo pasado por alto puede colapsar su startup de la noche a la mañana Mas Cipolleti

Bill Gates dijo una vez: “La primera regla de cualquier tecnología utilizada en una empresa es que la automatización aplicada a una operación eficiente aumentará la eficiencia. La segunda es que la automatización aplicada a una operación eficiente aumentará la eficiencia”. ineficiente La operación magnificará la ineficiencia”.

Los fundadores de startups rara vez consideran que sus empresas son ineficientes, debido a las muchas tareas que deben realizar a la vez y a la necesidad de mantenerse al día con las rápidas tendencias tecnológicas, pero su cultura de ingeniería a menudo lo es. Si bien estos fundadores se centran en cosas como la iteración rápida y el lanzamiento de productos mínimos viables (MVP), a menudo pasan por alto los fundamentos del desarrollo seguro.

Por eso la verdadera ciberseguridad La amenaza que enfrentan las startups no son los actores extranjeros hostiles ni las hazañas futuristas de la inteligencia artificial; es la cultura de priorizar la velocidad, la que reduce silenciosamente la efectividad de la seguridad hasta que una función no probada, una dependencia o una falla en el control de acceso hace que todo se derrumbe.

Relacionado: La ciberseguridad débil (o inexistente) está cobrando un precio enorme a las pequeñas empresas. Aquí le mostramos cómo proteger el suyo.

La cultura de las startups a menudo prioriza la velocidad sobre la seguridad

La cultura startup tiende a prosperar en la velocidadya que sus miembros siguen comprometidos con el desarrollo y actualizados en innovaciones tecnológicas. El éxito de los equipos internos se mide por factores como la iteración rápida y las métricas de crecimiento a corto plazo. Además, se recompensa la entrega del producto, mientras que la seguridad se trata como algo que es bueno tener, pero no necesariamente esencial. Desafortunadamente, la falta de atención a la seguridad puede crear puntos ciegos que conduzcan a debilidades sistémicas.

Es bastante común que los desarrolladores se apoyen en gran medida en bibliotecas de código abierto no verificadas, código copiado y pegado de foros o GitHub y dependencias heredadas con exploits conocidos. Los canales de integración continua a menudo omiten por completo las pruebas de seguridad. Pocas empresas emergentes dedican tiempo o presupuesto a medidas de seguridadincluidas auditorías de código, modelado de amenazas o incluso la adopción de estándares básicos de codificación segura.

Estos procedimientos pueden crear fragilidad estructural, dejando a las empresas cada vez más vulnerables a fallos de seguridad cuanto más avanzan en otras áreas. El código que impulsa a los unicornios del mañana es a menudo un mosaico no garantizado, donde la deuda de seguridad crece más rápido que la deuda técnica.

A un paso del colapso

Después de haber presenciado los resultados de miles de auditorías a lo largo de los años, comencé a notar patrones recurrentes, muchos de los cuales conducen inevitablemente al fracaso de la empresa. Por ejemplo, el código reutilizado que no se audita adecuadamente puede provocar daños críticos. vulnerabilidades. Las puertas traseras entran en producción, a veces sin querer, a veces no. El control de acceso inseguro puede permitir que cualquier persona con la información correcta acceda y manipule los sistemas centrales.

La cultura startup se ha convencido a sí misma de que la innovación rápida es la supervivencia, pero la verdad es que muchas de estas empresas están a pasos del colapso total debido a su falta de procedimientos de seguridad. Y estos colapsos pueden ser desencadenados por una única función insegura o por una dependencia de terceros comprometida, lo que resulta en pérdidas multimillonarias en minutos.

Relacionado: La estrategia de seguridad de su empresa tiene un agujero evidente. Esto es lo que lo causa y cómo solucionarlo.

Confianza fuera de lugar: los desarrolladores no están capacitados para la seguridad

No es realista esperar desarrolladores Ser expertos en seguridad, pero las nuevas empresas operan habitualmente como si lo fueran. Una vez finalizado, el código se puede poner en producción con poco más que el sello de aprobación de un ejecutivo y sin una revisión formal.

Muchos fundadores e incluso ingenieros de startups Web3 a menudo carecen de una comprensión sólida de la seguridad o de los riesgos potenciales en sus sistemas, incluido el riesgo del código, el riesgo de Oracle, el riesgo operativo y el riesgo de cumplimiento. Suelen creer que, mientras el código esté bien escrito, estos problemas no existirán. Sin embargo, en realidad, las preocupaciones por la seguridad no equivalen a la calidad del código.

Según nuestra experiencia en CertiK, los ingenieros de muchos clientes se muestran reacios a colaborar con investigadores de seguridad, considerando que los hallazgos de seguridad no son importantes o representan desafíos para su diseño e implementación. Este resistencia o negligencia a menudo conduce a que los problemas de seguridad no se detecten o no se resuelvan de manera oportuna.

Además, la mayoría de los planes de estudios de informática no incluyen una formación integral en desarrollo seguro y pocos ingenieros tienen experiencia práctica en pensamiento adversario o modelado de ataques. Incluso dentro de las empresas, las prácticas de codificación saludables tienden a aplicarse de manera inconsistente. Esto crea una situación peligrosa en la que los ingenieros tienen control sobre los sistemas que manejan los fondos de los clientes y datos privadospero sin la educación necesaria para prevenir desastres.

Mantener la rendición de cuentas con infraestructura esencial

Otros departamentos dentro de las empresas emergentes tienen estándares muy altos. Por ejemplo, los funcionarios financieros se preparan para las auditorías y los equipos legales enfrentan revisiones de cumplimiento. Sin embargo, los desarrolladores a menudo operan en un responsabilidad vacío. Esto debe cambiar si las empresas quieren tener éxito a largo plazo.

Para hacer esto, las startups deberían normalizar muchas de las mejores prácticas, como auditorías de terceros antes del lanzamiento de productos, el uso de herramientas de codificación segura e implementar capacitación en seguridad para todos los ingenieros, independientemente de sus especialidades. También es esencial implementar protocolos como control de acceso versionado y administración de claves sin un único punto de falla y propiedad de código distribuido, de modo que ningún sistema dependa de la autoridad no controlada de un desarrollador.

Es cierto que implementar estos procedimientos puede generar importantes costos generales, pero son pólizas de seguro para el éxito futuro de una empresa emergente y, por lo tanto, valen la pena. Reducen la probabilidad de catástrofes. incumplimientos eso podría hundir a una empresa más rápido que cualquier caída rápida del mercado.

Relacionado: 4 razones por las que necesita desarrolladores con habilidades en ciberseguridad en todos los equipos tecnológicos

Cambiando la trayectoria de los éxitos y fracasos de las startups

Desafortunadamente, el mundo de las startups ya está sembrando las semillas de fracasos multimillonarios. Las aplicaciones, protocolos y plataformas que se construyen hoy formarán la columna vertebral del futuro. infraestructura digital. Si los cimientos son actualmente inseguros, un eventual colapso será inevitable.

Los fundadores de startups de hoy enfrentan una elección fundamental: continuar tratando la seguridad como una distracción del crecimiento o reconocerla como un requisito previo para la supervivencia. Este último camino tiene que ver con la madurez, la resiliencia, el liderazgo y la sostenibilidad a largo plazo. Así como se espera que los funcionarios financieros y los asesores legales respeten los estándares, los desarrolladores deben tener el mismo nivel de responsabilidad.

La próxima generación de startups construirá empresas que perduren o se convertirán en las advertencias del mañana. La diferencia depende de si los líderes están dispuestos a exigir seguridad hoy, antes de que sea demasiado tarde.

Bill Gates dijo una vez: “La primera regla de cualquier tecnología utilizada en una empresa es que la automatización aplicada a una operación eficiente aumentará la eficiencia. La segunda es que la automatización aplicada a una operación eficiente aumentará la eficiencia”. ineficiente La operación magnificará la ineficiencia”.

Los fundadores de startups rara vez consideran que sus empresas son ineficientes, debido a las muchas tareas que deben realizar a la vez y a la necesidad de mantenerse al día con las rápidas tendencias tecnológicas, pero su cultura de ingeniería a menudo lo es. Si bien estos fundadores se centran en cosas como la iteración rápida y el lanzamiento de productos mínimos viables (MVP), a menudo pasan por alto los fundamentos del desarrollo seguro.

Por eso la verdadera ciberseguridad La amenaza que enfrentan las startups no son los actores extranjeros hostiles ni las hazañas futuristas de la inteligencia artificial; es la cultura de priorizar la velocidad, la que reduce silenciosamente la efectividad de la seguridad hasta que una función no probada, una dependencia o una falla en el control de acceso hace que todo se derrumbe.