Convertir el aburrido cumplimiento del PCI-DSS en un ejercicio significativo para todos: Parte 1 - AppSec
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
