Pieter Danhieux, director ejecutivo y cofundador de Secure Code Warrior: «todos deben entender y aceptar el papel que desempeñan en la ciberseguridad»
Esta entrevista apareció originalmente en Cibernoticias.
A pesar de la prevalencia de herramientas y servicios de seguridad, las empresas siguen esforzándose por mantenerse al día con el panorama de amenazas en constante evolución.
Esto puede atribuirse a la falta de concienciación y formación en materia de seguridad entre los desarrolladores, lo que puede llevar a que actores malintencionados publiquen y exploten códigos peligrosos. Si bien medidas de seguridad como software antivirus Si bien las soluciones sólidas de análisis de vulnerabilidades pueden añadir una capa de seguridad, nuestro invitado de hoy explica que todo comienza con un equipo de desarrollo centrado en la seguridad.
Para analizar cómo se puede capacitar a los desarrolladores para identificar y mitigar las amenazas de seguridad, el equipo de CyberNews conversó con Pieter Danhieux, director ejecutivo y cofundador de Secure Code Warrior, una empresa que ofrece una plataforma de aprendizaje y un conjunto de herramientas centradas en los desarrolladores que ayudan a los equipos de desarrollo a superar las vulnerabilidades de seguridad.
¿Cómo ha sido tu viaje? ¿Cómo surgió la idea de Secure Code Warrior?
Cuando era un joven nerd, me fascinaba desarmar la tecnología para descubrir qué había dentro y cómo funcionaba. Para gran alivio de mi familia y de los dispositivos que compartíamos, al final pasé a adoptar el mismo enfoque con el hardware y el software, buscando formas de romper la brecha. Nació una pasión por la seguridad que llevaba toda la vida y, durante muchos años, me concentré en compartir mis habilidades para «romper» con estudiantes, colegas y miembros de la comunidad de seguridad, enseñándoles cómo encontrar, usar y abusar de los errores en el software. Más adelante, volví a centrarme en mejorar las habilidades de los defensores, enseñar a los desarrolladores patrones de codificación buenos y seguros en el aula y ayudarlos a comprender las vulnerabilidades más comunes y a evitarlas. También trabajé en consultoría, donde asesoré a grandes empresas sobre cómo podían mejorar sus programas de seguridad, especialmente en lo que respecta a la participación de los desarrolladores. Fue durante este tiempo cuando me conecté con lo que hoy es mi equipo fundador en Secure Code Warrior. Juntos, comprendimos los problemas a los que se enfrentaban tanto los equipos de seguridad como los de desarrollo en lo que respecta a las vulnerabilidades a nivel de código, así como los problemas que existían con la mayoría de las soluciones de formación destinadas a mejorar las habilidades de seguridad de los desarrolladores. Nos pusimos manos a la obra en nuestra visión de una plataforma de aprendizaje que pudiera ampliarse a nivel empresarial sin dejar de ser divertida y atractiva para los desarrolladores. En última instancia, queríamos crear un conjunto de herramientas que se adaptaran al entorno de trabajo de los desarrolladores, que fueran menos disruptivas y que les ayudaran a desarrollar una mentalidad que diera prioridad a la seguridad. Y nos propusimos hacer que esto fuera lo más flexible posible en términos de lenguaje y rico en contenido.
¿Puedes presentarnos lo que haces? ¿Cuáles son los principales desafíos que ayudas a superar?
En última instancia, ayudamos a las empresas a acelerar el desarrollo de su software eliminando los problemas de seguridad y los retrasos que suele provocar el uso de patrones de seguridad incorrectos en el código. Hemos creado una plataforma de aprendizaje y un conjunto de herramientas centradas en los desarrolladores que ayudan a los equipos de desarrollo a superar las vulnerabilidades de seguridad más comunes, muchas de las cuales existen desde hace décadas y siguen exponiendo a las empresas al riesgo cibernético en la actualidad. La razón por la que persisten es que los desarrolladores carecen de la formación y las habilidades necesarias para solucionar estos problemas a nivel de código y, a menudo, los introducen en primer lugar mediante el uso continuo de patrones y técnicas de codificación deficientes. No se les enseña codificación segura en el nivel terciario y la mayoría de los programas de formación en el lugar de trabajo no son eficaces a la hora de ofrecer contenido relevante para su trabajo diario, además de ser demasiado poco frecuentes como para tener un impacto real en la calidad y la seguridad del código a lo largo del tiempo. Nuestras soluciones buscan proporcionar un desarrollo de habilidades atractivo y relevante que cambie los comportamientos de codificación y les ayude a anteponer la seguridad en el mundo real. Nos integramos cada vez más con los entornos con los que los desarrolladores están más familiarizados, y nuestro enfoque en el aprendizaje contextual brinda a los usuarios la mejor oportunidad de conservar los resultados educativos clave. También nos esforzamos por hacerlo de manera que ayude a los desarrolladores a ver la seguridad de una manera positiva y divertida, que recompense el éxito y cree una comunidad.
Dado que aprender a programar de forma segura puede parecer tedioso para algunos, ¿cómo se las arregla para que su formación sea eficaz y entretenida?
Nuestra plataforma de aprendizaje insignia está diseñada pensando en la participación de los desarrolladores. Una de las funciones más populares es el modo Torneo, en el que los participantes pueden poner a prueba los conocimientos que han adquirido durante el entrenamiento comparándolos con sus compañeros. Se anotan puntos por cada respuesta correcta y la tabla de clasificación se actualiza en directo a lo largo de la sesión del torneo. Las hemos organizado en eventos y conferencias de la comunidad, y algunos de nuestros clientes han creado temas increíblemente complejos en los que todos vienen disfrazados. Es una gran experiencia de trabajo en equipo y el momento perfecto para celebrar el compromiso de mejorar sus habilidades con pizza, premios y un descanso de la rutina normal. Además, nuestro contenido en general está disponible en más de sesenta marcos de programación, utilizando fragmentos de código reales que verán en su trabajo diario. Es mucho más fácil mantener la participación cuando el contenido es muy relevante y ayuda a resolver problemas reales, en lugar de ver vídeos o realizar un examen de cumplimiento anual.
¿Cuáles consideras que son los principales desafíos a los que se enfrentan los desarrolladores hoy en día?
Creo que es importante establecer que los desarrolladores quieren que les vaya bien, pero no se les ha brindado la seguridad adecuada en su educación o carrera. Esta es la clave de muchos de los problemas a los que se enfrentan desde el punto de vista de la seguridad. También tienden a considerar que la seguridad queda fuera de su ámbito de responsabilidades y, en la gran mayoría de las organizaciones, sus KPI no incluyen nada relacionado con los resultados de la codificación segura. Si queremos ver un cambio en el volumen de vulnerabilidades a nivel de código, es necesario romper con este status quo. Sin embargo, los desarrolladores necesitan el soporte y las herramientas adecuados para lograr el cambio que queremos ver, y el desafío radica en la capacitación efectiva, dándoles tiempo para capacitarse e invertir en esa mejora de habilidades ahora para lograr una seguridad rápida en el futuro.
¿Cómo afectaron los recientes acontecimientos mundiales a su campo de trabajo?
Si bien no cabe duda de que todas las empresas sintieron algunos efectos del clima mundial actual en sus objetivos, proyecciones y presupuestos, hasta la fecha hemos tenido la suerte de capear la tormenta. La ciberseguridad es un elemento no negociable en la mayoría de las empresas, y trabajamos arduamente para seguir siendo parte de esa conversación con los clientes y posibles clientes.
¿Cuáles son algunas de las mejores prácticas que las organizaciones deben seguir al desarrollar software o aplicaciones?
Cada organización tendrá sus matices, pero en general, las empresas que operan con las mejores prácticas de seguridad están dispuestas a pensar de forma innovadora y probar diferentes enfoques. No olvidan el poder de las personas para marcar una diferencia positiva en los resultados de seguridad. La mayoría de las veces, los desarrolladores no son una gran consideración en un programa de seguridad. Sin embargo, ante la falta de conocimientos en materia de seguridad que existe en todo el mundo y que es poco probable que se subsane pronto, los desarrolladores que se ocupan de la seguridad pueden ayudar a reducir los riesgos y lograr el cumplimiento desde la perspectiva de la creación de software. Pueden tener un impacto en la fase más temprana y económica posible del proceso.
Además de las herramientas de codificación seguras, ¿qué otras medidas o prácticas cree que no solo pueden mejorar sino también proteger las operaciones comerciales?
Todas las empresas deben tener algún tipo de formación en seguridad basada en funciones. Existe una plétora de amenazas que van más allá de las vulnerabilidades a nivel de código que los actores de amenazas buscan aprovechar, por lo que todas las personas de la organización deben tener un conocimiento regular de los principios de seguridad aplicables a sus puestos de trabajo. En ese sentido, todos, desde el gerente de la oficina hasta el equipo de contabilidad, deben entender y aceptar el papel que desempeñan en la acción y la concienciación sobre la ciberseguridad.
Dado el clima económico actual, los CISO están bajo mucha presión para mantener las empresas seguras al menor costo, ¿qué consejo les daría?
Los CISO necesitan emplear algo de creatividad en este clima, especialmente a medida que la legislación sobre ciberseguridad se vuelve cada vez más exigente y, en algunos casos, lleva a que los CISO rindan cuentas personalmente en caso de una violación. Si a esto le sumamos los despidos, tendremos que esperar que menos ingenieros asuman más responsabilidades mientras escriben el mismo volumen de software. Los CISO pueden ayudar a las empresas a alcanzar el éxito abordando uno de los principales obstáculos que las ralentizan: la seguridad.
Con mucho, la etapa más barata para abordar las vulnerabilidades de seguridad y los errores de configuración a nivel de código es antes de que se publique el software, lo que naturalmente coloca al desarrollador en una posición privilegiada para reducir ese riesgo. Sin embargo, necesitan un soporte personalizado para lograrlo. La seguridad a gran velocidad es posible si proporcionan a los ingenieros herramientas que dan prioridad a los desarrolladores, teniendo en cuenta su flujo de trabajo y tecnología actuales. Necesitan capacitación para lograr la precisión de la seguridad a gran velocidad, y la mejor manera de abordar este problema es mostrarles cómo usar patrones de codificación seguros y corregir las cosas más rápido.
Por el coste de una formación integral para desarrolladores, básicamente puedes trabajar para eliminar las vulnerabilidades en su origen, lo que te permitirá ahorrar tiempo y dinero más adelante en el ciclo de vida del desarrollo de software (SDLC). Con la frecuencia de los ataques a gran escala y la mayor responsabilidad de los CISO que en ningún otro momento de la historia, debemos dejar de culpar a la escasez de habilidades en ciberseguridad por el retraso. Priorice las prácticas de seguridad defensiva y eleve el personal que ya tiene delante.
¿Qué le depara el futuro a Secure Code Warrior?
Queremos seguir innovando, teniendo en cuenta al desarrollador en las soluciones que lanzamos al mercado. Nos centramos en permitirles ofrecer seguridad sin comprometer la velocidad de entrega de las funciones ni su cordura cuando tienen que hacer malabares con múltiples prioridades.
Nuestro objetivo es ayudar a las organizaciones a revolucionar sus programas de seguridad defensiva, y queremos que los desarrolladores con capacidades de seguridad sean los héroes de esa historia. Mira este espacio.
Preguntas y respuestas de CyberNews con Pieter Danhieux, director ejecutivo y cofundador de Secure Code Warrior.
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Esta entrevista apareció originalmente en Cibernoticias.
A pesar de la prevalencia de herramientas y servicios de seguridad, las empresas siguen esforzándose por mantenerse al día con el panorama de amenazas en constante evolución.
Esto puede atribuirse a la falta de concienciación y formación en materia de seguridad entre los desarrolladores, lo que puede llevar a que actores malintencionados publiquen y exploten códigos peligrosos. Si bien medidas de seguridad como software antivirus Si bien las soluciones sólidas de análisis de vulnerabilidades pueden añadir una capa de seguridad, nuestro invitado de hoy explica que todo comienza con un equipo de desarrollo centrado en la seguridad.
Para analizar cómo se puede capacitar a los desarrolladores para identificar y mitigar las amenazas de seguridad, el equipo de CyberNews conversó con Pieter Danhieux, director ejecutivo y cofundador de Secure Code Warrior, una empresa que ofrece una plataforma de aprendizaje y un conjunto de herramientas centradas en los desarrolladores que ayudan a los equipos de desarrollo a superar las vulnerabilidades de seguridad.
¿Cómo ha sido tu viaje? ¿Cómo surgió la idea de Secure Code Warrior?
Cuando era un joven nerd, me fascinaba desarmar la tecnología para descubrir qué había dentro y cómo funcionaba. Para gran alivio de mi familia y de los dispositivos que compartíamos, al final pasé a adoptar el mismo enfoque con el hardware y el software, buscando formas de romper la brecha. Nació una pasión por la seguridad que llevaba toda la vida y, durante muchos años, me concentré en compartir mis habilidades para «romper» con estudiantes, colegas y miembros de la comunidad de seguridad, enseñándoles cómo encontrar, usar y abusar de los errores en el software. Más adelante, volví a centrarme en mejorar las habilidades de los defensores, enseñar a los desarrolladores patrones de codificación buenos y seguros en el aula y ayudarlos a comprender las vulnerabilidades más comunes y a evitarlas. También trabajé en consultoría, donde asesoré a grandes empresas sobre cómo podían mejorar sus programas de seguridad, especialmente en lo que respecta a la participación de los desarrolladores. Fue durante este tiempo cuando me conecté con lo que hoy es mi equipo fundador en Secure Code Warrior. Juntos, comprendimos los problemas a los que se enfrentaban tanto los equipos de seguridad como los de desarrollo en lo que respecta a las vulnerabilidades a nivel de código, así como los problemas que existían con la mayoría de las soluciones de formación destinadas a mejorar las habilidades de seguridad de los desarrolladores. Nos pusimos manos a la obra en nuestra visión de una plataforma de aprendizaje que pudiera ampliarse a nivel empresarial sin dejar de ser divertida y atractiva para los desarrolladores. En última instancia, queríamos crear un conjunto de herramientas que se adaptaran al entorno de trabajo de los desarrolladores, que fueran menos disruptivas y que les ayudaran a desarrollar una mentalidad que diera prioridad a la seguridad. Y nos propusimos hacer que esto fuera lo más flexible posible en términos de lenguaje y rico en contenido.
¿Puedes presentarnos lo que haces? ¿Cuáles son los principales desafíos que ayudas a superar?
En última instancia, ayudamos a las empresas a acelerar el desarrollo de su software eliminando los problemas de seguridad y los retrasos que suele provocar el uso de patrones de seguridad incorrectos en el código. Hemos creado una plataforma de aprendizaje y un conjunto de herramientas centradas en los desarrolladores que ayudan a los equipos de desarrollo a superar las vulnerabilidades de seguridad más comunes, muchas de las cuales existen desde hace décadas y siguen exponiendo a las empresas al riesgo cibernético en la actualidad. La razón por la que persisten es que los desarrolladores carecen de la formación y las habilidades necesarias para solucionar estos problemas a nivel de código y, a menudo, los introducen en primer lugar mediante el uso continuo de patrones y técnicas de codificación deficientes. No se les enseña codificación segura en el nivel terciario y la mayoría de los programas de formación en el lugar de trabajo no son eficaces a la hora de ofrecer contenido relevante para su trabajo diario, además de ser demasiado poco frecuentes como para tener un impacto real en la calidad y la seguridad del código a lo largo del tiempo. Nuestras soluciones buscan proporcionar un desarrollo de habilidades atractivo y relevante que cambie los comportamientos de codificación y les ayude a anteponer la seguridad en el mundo real. Nos integramos cada vez más con los entornos con los que los desarrolladores están más familiarizados, y nuestro enfoque en el aprendizaje contextual brinda a los usuarios la mejor oportunidad de conservar los resultados educativos clave. También nos esforzamos por hacerlo de manera que ayude a los desarrolladores a ver la seguridad de una manera positiva y divertida, que recompense el éxito y cree una comunidad.
Dado que aprender a programar de forma segura puede parecer tedioso para algunos, ¿cómo se las arregla para que su formación sea eficaz y entretenida?
Nuestra plataforma de aprendizaje insignia está diseñada pensando en la participación de los desarrolladores. Una de las funciones más populares es el modo Torneo, en el que los participantes pueden poner a prueba los conocimientos que han adquirido durante el entrenamiento comparándolos con sus compañeros. Se anotan puntos por cada respuesta correcta y la tabla de clasificación se actualiza en directo a lo largo de la sesión del torneo. Las hemos organizado en eventos y conferencias de la comunidad, y algunos de nuestros clientes han creado temas increíblemente complejos en los que todos vienen disfrazados. Es una gran experiencia de trabajo en equipo y el momento perfecto para celebrar el compromiso de mejorar sus habilidades con pizza, premios y un descanso de la rutina normal. Además, nuestro contenido en general está disponible en más de sesenta marcos de programación, utilizando fragmentos de código reales que verán en su trabajo diario. Es mucho más fácil mantener la participación cuando el contenido es muy relevante y ayuda a resolver problemas reales, en lugar de ver vídeos o realizar un examen de cumplimiento anual.
¿Cuáles consideras que son los principales desafíos a los que se enfrentan los desarrolladores hoy en día?
Creo que es importante establecer que los desarrolladores quieren que les vaya bien, pero no se les ha brindado la seguridad adecuada en su educación o carrera. Esta es la clave de muchos de los problemas a los que se enfrentan desde el punto de vista de la seguridad. También tienden a considerar que la seguridad queda fuera de su ámbito de responsabilidades y, en la gran mayoría de las organizaciones, sus KPI no incluyen nada relacionado con los resultados de la codificación segura. Si queremos ver un cambio en el volumen de vulnerabilidades a nivel de código, es necesario romper con este status quo. Sin embargo, los desarrolladores necesitan el soporte y las herramientas adecuados para lograr el cambio que queremos ver, y el desafío radica en la capacitación efectiva, dándoles tiempo para capacitarse e invertir en esa mejora de habilidades ahora para lograr una seguridad rápida en el futuro.
¿Cómo afectaron los recientes acontecimientos mundiales a su campo de trabajo?
Si bien no cabe duda de que todas las empresas sintieron algunos efectos del clima mundial actual en sus objetivos, proyecciones y presupuestos, hasta la fecha hemos tenido la suerte de capear la tormenta. La ciberseguridad es un elemento no negociable en la mayoría de las empresas, y trabajamos arduamente para seguir siendo parte de esa conversación con los clientes y posibles clientes.
¿Cuáles son algunas de las mejores prácticas que las organizaciones deben seguir al desarrollar software o aplicaciones?
Cada organización tendrá sus matices, pero en general, las empresas que operan con las mejores prácticas de seguridad están dispuestas a pensar de forma innovadora y probar diferentes enfoques. No olvidan el poder de las personas para marcar una diferencia positiva en los resultados de seguridad. La mayoría de las veces, los desarrolladores no son una gran consideración en un programa de seguridad. Sin embargo, ante la falta de conocimientos en materia de seguridad que existe en todo el mundo y que es poco probable que se subsane pronto, los desarrolladores que se ocupan de la seguridad pueden ayudar a reducir los riesgos y lograr el cumplimiento desde la perspectiva de la creación de software. Pueden tener un impacto en la fase más temprana y económica posible del proceso.
Además de las herramientas de codificación seguras, ¿qué otras medidas o prácticas cree que no solo pueden mejorar sino también proteger las operaciones comerciales?
Todas las empresas deben tener algún tipo de formación en seguridad basada en funciones. Existe una plétora de amenazas que van más allá de las vulnerabilidades a nivel de código que los actores de amenazas buscan aprovechar, por lo que todas las personas de la organización deben tener un conocimiento regular de los principios de seguridad aplicables a sus puestos de trabajo. En ese sentido, todos, desde el gerente de la oficina hasta el equipo de contabilidad, deben entender y aceptar el papel que desempeñan en la acción y la concienciación sobre la ciberseguridad.
Dado el clima económico actual, los CISO están bajo mucha presión para mantener las empresas seguras al menor costo, ¿qué consejo les daría?
Los CISO necesitan emplear algo de creatividad en este clima, especialmente a medida que la legislación sobre ciberseguridad se vuelve cada vez más exigente y, en algunos casos, lleva a que los CISO rindan cuentas personalmente en caso de una violación. Si a esto le sumamos los despidos, tendremos que esperar que menos ingenieros asuman más responsabilidades mientras escriben el mismo volumen de software. Los CISO pueden ayudar a las empresas a alcanzar el éxito abordando uno de los principales obstáculos que las ralentizan: la seguridad.
Con mucho, la etapa más barata para abordar las vulnerabilidades de seguridad y los errores de configuración a nivel de código es antes de que se publique el software, lo que naturalmente coloca al desarrollador en una posición privilegiada para reducir ese riesgo. Sin embargo, necesitan un soporte personalizado para lograrlo. La seguridad a gran velocidad es posible si proporcionan a los ingenieros herramientas que dan prioridad a los desarrolladores, teniendo en cuenta su flujo de trabajo y tecnología actuales. Necesitan capacitación para lograr la precisión de la seguridad a gran velocidad, y la mejor manera de abordar este problema es mostrarles cómo usar patrones de codificación seguros y corregir las cosas más rápido.
Por el coste de una formación integral para desarrolladores, básicamente puedes trabajar para eliminar las vulnerabilidades en su origen, lo que te permitirá ahorrar tiempo y dinero más adelante en el ciclo de vida del desarrollo de software (SDLC). Con la frecuencia de los ataques a gran escala y la mayor responsabilidad de los CISO que en ningún otro momento de la historia, debemos dejar de culpar a la escasez de habilidades en ciberseguridad por el retraso. Priorice las prácticas de seguridad defensiva y eleve el personal que ya tiene delante.
¿Qué le depara el futuro a Secure Code Warrior?
Queremos seguir innovando, teniendo en cuenta al desarrollador en las soluciones que lanzamos al mercado. Nos centramos en permitirles ofrecer seguridad sin comprometer la velocidad de entrega de las funciones ni su cordura cuando tienen que hacer malabares con múltiples prioridades.
Nuestro objetivo es ayudar a las organizaciones a revolucionar sus programas de seguridad defensiva, y queremos que los desarrolladores con capacidades de seguridad sean los héroes de esa historia. Mira este espacio.
Esta entrevista apareció originalmente en Cibernoticias.
A pesar de la prevalencia de herramientas y servicios de seguridad, las empresas siguen esforzándose por mantenerse al día con el panorama de amenazas en constante evolución.
Esto puede atribuirse a la falta de concienciación y formación en materia de seguridad entre los desarrolladores, lo que puede llevar a que actores malintencionados publiquen y exploten códigos peligrosos. Si bien medidas de seguridad como software antivirus Si bien las soluciones sólidas de análisis de vulnerabilidades pueden añadir una capa de seguridad, nuestro invitado de hoy explica que todo comienza con un equipo de desarrollo centrado en la seguridad.
Para analizar cómo se puede capacitar a los desarrolladores para identificar y mitigar las amenazas de seguridad, el equipo de CyberNews conversó con Pieter Danhieux, director ejecutivo y cofundador de Secure Code Warrior, una empresa que ofrece una plataforma de aprendizaje y un conjunto de herramientas centradas en los desarrolladores que ayudan a los equipos de desarrollo a superar las vulnerabilidades de seguridad.
¿Cómo ha sido tu viaje? ¿Cómo surgió la idea de Secure Code Warrior?
Cuando era un joven nerd, me fascinaba desarmar la tecnología para descubrir qué había dentro y cómo funcionaba. Para gran alivio de mi familia y de los dispositivos que compartíamos, al final pasé a adoptar el mismo enfoque con el hardware y el software, buscando formas de romper la brecha. Nació una pasión por la seguridad que llevaba toda la vida y, durante muchos años, me concentré en compartir mis habilidades para «romper» con estudiantes, colegas y miembros de la comunidad de seguridad, enseñándoles cómo encontrar, usar y abusar de los errores en el software. Más adelante, volví a centrarme en mejorar las habilidades de los defensores, enseñar a los desarrolladores patrones de codificación buenos y seguros en el aula y ayudarlos a comprender las vulnerabilidades más comunes y a evitarlas. También trabajé en consultoría, donde asesoré a grandes empresas sobre cómo podían mejorar sus programas de seguridad, especialmente en lo que respecta a la participación de los desarrolladores. Fue durante este tiempo cuando me conecté con lo que hoy es mi equipo fundador en Secure Code Warrior. Juntos, comprendimos los problemas a los que se enfrentaban tanto los equipos de seguridad como los de desarrollo en lo que respecta a las vulnerabilidades a nivel de código, así como los problemas que existían con la mayoría de las soluciones de formación destinadas a mejorar las habilidades de seguridad de los desarrolladores. Nos pusimos manos a la obra en nuestra visión de una plataforma de aprendizaje que pudiera ampliarse a nivel empresarial sin dejar de ser divertida y atractiva para los desarrolladores. En última instancia, queríamos crear un conjunto de herramientas que se adaptaran al entorno de trabajo de los desarrolladores, que fueran menos disruptivas y que les ayudaran a desarrollar una mentalidad que diera prioridad a la seguridad. Y nos propusimos hacer que esto fuera lo más flexible posible en términos de lenguaje y rico en contenido.
¿Puedes presentarnos lo que haces? ¿Cuáles son los principales desafíos que ayudas a superar?
En última instancia, ayudamos a las empresas a acelerar el desarrollo de su software eliminando los problemas de seguridad y los retrasos que suele provocar el uso de patrones de seguridad incorrectos en el código. Hemos creado una plataforma de aprendizaje y un conjunto de herramientas centradas en los desarrolladores que ayudan a los equipos de desarrollo a superar las vulnerabilidades de seguridad más comunes, muchas de las cuales existen desde hace décadas y siguen exponiendo a las empresas al riesgo cibernético en la actualidad. La razón por la que persisten es que los desarrolladores carecen de la formación y las habilidades necesarias para solucionar estos problemas a nivel de código y, a menudo, los introducen en primer lugar mediante el uso continuo de patrones y técnicas de codificación deficientes. No se les enseña codificación segura en el nivel terciario y la mayoría de los programas de formación en el lugar de trabajo no son eficaces a la hora de ofrecer contenido relevante para su trabajo diario, además de ser demasiado poco frecuentes como para tener un impacto real en la calidad y la seguridad del código a lo largo del tiempo. Nuestras soluciones buscan proporcionar un desarrollo de habilidades atractivo y relevante que cambie los comportamientos de codificación y les ayude a anteponer la seguridad en el mundo real. Nos integramos cada vez más con los entornos con los que los desarrolladores están más familiarizados, y nuestro enfoque en el aprendizaje contextual brinda a los usuarios la mejor oportunidad de conservar los resultados educativos clave. También nos esforzamos por hacerlo de manera que ayude a los desarrolladores a ver la seguridad de una manera positiva y divertida, que recompense el éxito y cree una comunidad.
Dado que aprender a programar de forma segura puede parecer tedioso para algunos, ¿cómo se las arregla para que su formación sea eficaz y entretenida?
Nuestra plataforma de aprendizaje insignia está diseñada pensando en la participación de los desarrolladores. Una de las funciones más populares es el modo Torneo, en el que los participantes pueden poner a prueba los conocimientos que han adquirido durante el entrenamiento comparándolos con sus compañeros. Se anotan puntos por cada respuesta correcta y la tabla de clasificación se actualiza en directo a lo largo de la sesión del torneo. Las hemos organizado en eventos y conferencias de la comunidad, y algunos de nuestros clientes han creado temas increíblemente complejos en los que todos vienen disfrazados. Es una gran experiencia de trabajo en equipo y el momento perfecto para celebrar el compromiso de mejorar sus habilidades con pizza, premios y un descanso de la rutina normal. Además, nuestro contenido en general está disponible en más de sesenta marcos de programación, utilizando fragmentos de código reales que verán en su trabajo diario. Es mucho más fácil mantener la participación cuando el contenido es muy relevante y ayuda a resolver problemas reales, en lugar de ver vídeos o realizar un examen de cumplimiento anual.
¿Cuáles consideras que son los principales desafíos a los que se enfrentan los desarrolladores hoy en día?
Creo que es importante establecer que los desarrolladores quieren que les vaya bien, pero no se les ha brindado la seguridad adecuada en su educación o carrera. Esta es la clave de muchos de los problemas a los que se enfrentan desde el punto de vista de la seguridad. También tienden a considerar que la seguridad queda fuera de su ámbito de responsabilidades y, en la gran mayoría de las organizaciones, sus KPI no incluyen nada relacionado con los resultados de la codificación segura. Si queremos ver un cambio en el volumen de vulnerabilidades a nivel de código, es necesario romper con este status quo. Sin embargo, los desarrolladores necesitan el soporte y las herramientas adecuados para lograr el cambio que queremos ver, y el desafío radica en la capacitación efectiva, dándoles tiempo para capacitarse e invertir en esa mejora de habilidades ahora para lograr una seguridad rápida en el futuro.
¿Cómo afectaron los recientes acontecimientos mundiales a su campo de trabajo?
Si bien no cabe duda de que todas las empresas sintieron algunos efectos del clima mundial actual en sus objetivos, proyecciones y presupuestos, hasta la fecha hemos tenido la suerte de capear la tormenta. La ciberseguridad es un elemento no negociable en la mayoría de las empresas, y trabajamos arduamente para seguir siendo parte de esa conversación con los clientes y posibles clientes.
¿Cuáles son algunas de las mejores prácticas que las organizaciones deben seguir al desarrollar software o aplicaciones?
Cada organización tendrá sus matices, pero en general, las empresas que operan con las mejores prácticas de seguridad están dispuestas a pensar de forma innovadora y probar diferentes enfoques. No olvidan el poder de las personas para marcar una diferencia positiva en los resultados de seguridad. La mayoría de las veces, los desarrolladores no son una gran consideración en un programa de seguridad. Sin embargo, ante la falta de conocimientos en materia de seguridad que existe en todo el mundo y que es poco probable que se subsane pronto, los desarrolladores que se ocupan de la seguridad pueden ayudar a reducir los riesgos y lograr el cumplimiento desde la perspectiva de la creación de software. Pueden tener un impacto en la fase más temprana y económica posible del proceso.
Además de las herramientas de codificación seguras, ¿qué otras medidas o prácticas cree que no solo pueden mejorar sino también proteger las operaciones comerciales?
Todas las empresas deben tener algún tipo de formación en seguridad basada en funciones. Existe una plétora de amenazas que van más allá de las vulnerabilidades a nivel de código que los actores de amenazas buscan aprovechar, por lo que todas las personas de la organización deben tener un conocimiento regular de los principios de seguridad aplicables a sus puestos de trabajo. En ese sentido, todos, desde el gerente de la oficina hasta el equipo de contabilidad, deben entender y aceptar el papel que desempeñan en la acción y la concienciación sobre la ciberseguridad.
Dado el clima económico actual, los CISO están bajo mucha presión para mantener las empresas seguras al menor costo, ¿qué consejo les daría?
Los CISO necesitan emplear algo de creatividad en este clima, especialmente a medida que la legislación sobre ciberseguridad se vuelve cada vez más exigente y, en algunos casos, lleva a que los CISO rindan cuentas personalmente en caso de una violación. Si a esto le sumamos los despidos, tendremos que esperar que menos ingenieros asuman más responsabilidades mientras escriben el mismo volumen de software. Los CISO pueden ayudar a las empresas a alcanzar el éxito abordando uno de los principales obstáculos que las ralentizan: la seguridad.
Con mucho, la etapa más barata para abordar las vulnerabilidades de seguridad y los errores de configuración a nivel de código es antes de que se publique el software, lo que naturalmente coloca al desarrollador en una posición privilegiada para reducir ese riesgo. Sin embargo, necesitan un soporte personalizado para lograrlo. La seguridad a gran velocidad es posible si proporcionan a los ingenieros herramientas que dan prioridad a los desarrolladores, teniendo en cuenta su flujo de trabajo y tecnología actuales. Necesitan capacitación para lograr la precisión de la seguridad a gran velocidad, y la mejor manera de abordar este problema es mostrarles cómo usar patrones de codificación seguros y corregir las cosas más rápido.
Por el coste de una formación integral para desarrolladores, básicamente puedes trabajar para eliminar las vulnerabilidades en su origen, lo que te permitirá ahorrar tiempo y dinero más adelante en el ciclo de vida del desarrollo de software (SDLC). Con la frecuencia de los ataques a gran escala y la mayor responsabilidad de los CISO que en ningún otro momento de la historia, debemos dejar de culpar a la escasez de habilidades en ciberseguridad por el retraso. Priorice las prácticas de seguridad defensiva y eleve el personal que ya tiene delante.
¿Qué le depara el futuro a Secure Code Warrior?
Queremos seguir innovando, teniendo en cuenta al desarrollador en las soluciones que lanzamos al mercado. Nos centramos en permitirles ofrecer seguridad sin comprometer la velocidad de entrega de las funciones ni su cordura cuando tienen que hacer malabares con múltiples prioridades.
Nuestro objetivo es ayudar a las organizaciones a revolucionar sus programas de seguridad defensiva, y queremos que los desarrolladores con capacidades de seguridad sean los héroes de esa historia. Mira este espacio.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Esta entrevista apareció originalmente en Cibernoticias.
A pesar de la prevalencia de herramientas y servicios de seguridad, las empresas siguen esforzándose por mantenerse al día con el panorama de amenazas en constante evolución.
Esto puede atribuirse a la falta de concienciación y formación en materia de seguridad entre los desarrolladores, lo que puede llevar a que actores malintencionados publiquen y exploten códigos peligrosos. Si bien medidas de seguridad como software antivirus Si bien las soluciones sólidas de análisis de vulnerabilidades pueden añadir una capa de seguridad, nuestro invitado de hoy explica que todo comienza con un equipo de desarrollo centrado en la seguridad.
Para analizar cómo se puede capacitar a los desarrolladores para identificar y mitigar las amenazas de seguridad, el equipo de CyberNews conversó con Pieter Danhieux, director ejecutivo y cofundador de Secure Code Warrior, una empresa que ofrece una plataforma de aprendizaje y un conjunto de herramientas centradas en los desarrolladores que ayudan a los equipos de desarrollo a superar las vulnerabilidades de seguridad.
¿Cómo ha sido tu viaje? ¿Cómo surgió la idea de Secure Code Warrior?
Cuando era un joven nerd, me fascinaba desarmar la tecnología para descubrir qué había dentro y cómo funcionaba. Para gran alivio de mi familia y de los dispositivos que compartíamos, al final pasé a adoptar el mismo enfoque con el hardware y el software, buscando formas de romper la brecha. Nació una pasión por la seguridad que llevaba toda la vida y, durante muchos años, me concentré en compartir mis habilidades para «romper» con estudiantes, colegas y miembros de la comunidad de seguridad, enseñándoles cómo encontrar, usar y abusar de los errores en el software. Más adelante, volví a centrarme en mejorar las habilidades de los defensores, enseñar a los desarrolladores patrones de codificación buenos y seguros en el aula y ayudarlos a comprender las vulnerabilidades más comunes y a evitarlas. También trabajé en consultoría, donde asesoré a grandes empresas sobre cómo podían mejorar sus programas de seguridad, especialmente en lo que respecta a la participación de los desarrolladores. Fue durante este tiempo cuando me conecté con lo que hoy es mi equipo fundador en Secure Code Warrior. Juntos, comprendimos los problemas a los que se enfrentaban tanto los equipos de seguridad como los de desarrollo en lo que respecta a las vulnerabilidades a nivel de código, así como los problemas que existían con la mayoría de las soluciones de formación destinadas a mejorar las habilidades de seguridad de los desarrolladores. Nos pusimos manos a la obra en nuestra visión de una plataforma de aprendizaje que pudiera ampliarse a nivel empresarial sin dejar de ser divertida y atractiva para los desarrolladores. En última instancia, queríamos crear un conjunto de herramientas que se adaptaran al entorno de trabajo de los desarrolladores, que fueran menos disruptivas y que les ayudaran a desarrollar una mentalidad que diera prioridad a la seguridad. Y nos propusimos hacer que esto fuera lo más flexible posible en términos de lenguaje y rico en contenido.
¿Puedes presentarnos lo que haces? ¿Cuáles son los principales desafíos que ayudas a superar?
En última instancia, ayudamos a las empresas a acelerar el desarrollo de su software eliminando los problemas de seguridad y los retrasos que suele provocar el uso de patrones de seguridad incorrectos en el código. Hemos creado una plataforma de aprendizaje y un conjunto de herramientas centradas en los desarrolladores que ayudan a los equipos de desarrollo a superar las vulnerabilidades de seguridad más comunes, muchas de las cuales existen desde hace décadas y siguen exponiendo a las empresas al riesgo cibernético en la actualidad. La razón por la que persisten es que los desarrolladores carecen de la formación y las habilidades necesarias para solucionar estos problemas a nivel de código y, a menudo, los introducen en primer lugar mediante el uso continuo de patrones y técnicas de codificación deficientes. No se les enseña codificación segura en el nivel terciario y la mayoría de los programas de formación en el lugar de trabajo no son eficaces a la hora de ofrecer contenido relevante para su trabajo diario, además de ser demasiado poco frecuentes como para tener un impacto real en la calidad y la seguridad del código a lo largo del tiempo. Nuestras soluciones buscan proporcionar un desarrollo de habilidades atractivo y relevante que cambie los comportamientos de codificación y les ayude a anteponer la seguridad en el mundo real. Nos integramos cada vez más con los entornos con los que los desarrolladores están más familiarizados, y nuestro enfoque en el aprendizaje contextual brinda a los usuarios la mejor oportunidad de conservar los resultados educativos clave. También nos esforzamos por hacerlo de manera que ayude a los desarrolladores a ver la seguridad de una manera positiva y divertida, que recompense el éxito y cree una comunidad.
Dado que aprender a programar de forma segura puede parecer tedioso para algunos, ¿cómo se las arregla para que su formación sea eficaz y entretenida?
Nuestra plataforma de aprendizaje insignia está diseñada pensando en la participación de los desarrolladores. Una de las funciones más populares es el modo Torneo, en el que los participantes pueden poner a prueba los conocimientos que han adquirido durante el entrenamiento comparándolos con sus compañeros. Se anotan puntos por cada respuesta correcta y la tabla de clasificación se actualiza en directo a lo largo de la sesión del torneo. Las hemos organizado en eventos y conferencias de la comunidad, y algunos de nuestros clientes han creado temas increíblemente complejos en los que todos vienen disfrazados. Es una gran experiencia de trabajo en equipo y el momento perfecto para celebrar el compromiso de mejorar sus habilidades con pizza, premios y un descanso de la rutina normal. Además, nuestro contenido en general está disponible en más de sesenta marcos de programación, utilizando fragmentos de código reales que verán en su trabajo diario. Es mucho más fácil mantener la participación cuando el contenido es muy relevante y ayuda a resolver problemas reales, en lugar de ver vídeos o realizar un examen de cumplimiento anual.
¿Cuáles consideras que son los principales desafíos a los que se enfrentan los desarrolladores hoy en día?
Creo que es importante establecer que los desarrolladores quieren que les vaya bien, pero no se les ha brindado la seguridad adecuada en su educación o carrera. Esta es la clave de muchos de los problemas a los que se enfrentan desde el punto de vista de la seguridad. También tienden a considerar que la seguridad queda fuera de su ámbito de responsabilidades y, en la gran mayoría de las organizaciones, sus KPI no incluyen nada relacionado con los resultados de la codificación segura. Si queremos ver un cambio en el volumen de vulnerabilidades a nivel de código, es necesario romper con este status quo. Sin embargo, los desarrolladores necesitan el soporte y las herramientas adecuados para lograr el cambio que queremos ver, y el desafío radica en la capacitación efectiva, dándoles tiempo para capacitarse e invertir en esa mejora de habilidades ahora para lograr una seguridad rápida en el futuro.
¿Cómo afectaron los recientes acontecimientos mundiales a su campo de trabajo?
Si bien no cabe duda de que todas las empresas sintieron algunos efectos del clima mundial actual en sus objetivos, proyecciones y presupuestos, hasta la fecha hemos tenido la suerte de capear la tormenta. La ciberseguridad es un elemento no negociable en la mayoría de las empresas, y trabajamos arduamente para seguir siendo parte de esa conversación con los clientes y posibles clientes.
¿Cuáles son algunas de las mejores prácticas que las organizaciones deben seguir al desarrollar software o aplicaciones?
Cada organización tendrá sus matices, pero en general, las empresas que operan con las mejores prácticas de seguridad están dispuestas a pensar de forma innovadora y probar diferentes enfoques. No olvidan el poder de las personas para marcar una diferencia positiva en los resultados de seguridad. La mayoría de las veces, los desarrolladores no son una gran consideración en un programa de seguridad. Sin embargo, ante la falta de conocimientos en materia de seguridad que existe en todo el mundo y que es poco probable que se subsane pronto, los desarrolladores que se ocupan de la seguridad pueden ayudar a reducir los riesgos y lograr el cumplimiento desde la perspectiva de la creación de software. Pueden tener un impacto en la fase más temprana y económica posible del proceso.
Además de las herramientas de codificación seguras, ¿qué otras medidas o prácticas cree que no solo pueden mejorar sino también proteger las operaciones comerciales?
Todas las empresas deben tener algún tipo de formación en seguridad basada en funciones. Existe una plétora de amenazas que van más allá de las vulnerabilidades a nivel de código que los actores de amenazas buscan aprovechar, por lo que todas las personas de la organización deben tener un conocimiento regular de los principios de seguridad aplicables a sus puestos de trabajo. En ese sentido, todos, desde el gerente de la oficina hasta el equipo de contabilidad, deben entender y aceptar el papel que desempeñan en la acción y la concienciación sobre la ciberseguridad.
Dado el clima económico actual, los CISO están bajo mucha presión para mantener las empresas seguras al menor costo, ¿qué consejo les daría?
Los CISO necesitan emplear algo de creatividad en este clima, especialmente a medida que la legislación sobre ciberseguridad se vuelve cada vez más exigente y, en algunos casos, lleva a que los CISO rindan cuentas personalmente en caso de una violación. Si a esto le sumamos los despidos, tendremos que esperar que menos ingenieros asuman más responsabilidades mientras escriben el mismo volumen de software. Los CISO pueden ayudar a las empresas a alcanzar el éxito abordando uno de los principales obstáculos que las ralentizan: la seguridad.
Con mucho, la etapa más barata para abordar las vulnerabilidades de seguridad y los errores de configuración a nivel de código es antes de que se publique el software, lo que naturalmente coloca al desarrollador en una posición privilegiada para reducir ese riesgo. Sin embargo, necesitan un soporte personalizado para lograrlo. La seguridad a gran velocidad es posible si proporcionan a los ingenieros herramientas que dan prioridad a los desarrolladores, teniendo en cuenta su flujo de trabajo y tecnología actuales. Necesitan capacitación para lograr la precisión de la seguridad a gran velocidad, y la mejor manera de abordar este problema es mostrarles cómo usar patrones de codificación seguros y corregir las cosas más rápido.
Por el coste de una formación integral para desarrolladores, básicamente puedes trabajar para eliminar las vulnerabilidades en su origen, lo que te permitirá ahorrar tiempo y dinero más adelante en el ciclo de vida del desarrollo de software (SDLC). Con la frecuencia de los ataques a gran escala y la mayor responsabilidad de los CISO que en ningún otro momento de la historia, debemos dejar de culpar a la escasez de habilidades en ciberseguridad por el retraso. Priorice las prácticas de seguridad defensiva y eleve el personal que ya tiene delante.
¿Qué le depara el futuro a Secure Code Warrior?
Queremos seguir innovando, teniendo en cuenta al desarrollador en las soluciones que lanzamos al mercado. Nos centramos en permitirles ofrecer seguridad sin comprometer la velocidad de entrega de las funciones ni su cordura cuando tienen que hacer malabares con múltiples prioridades.
Nuestro objetivo es ayudar a las organizaciones a revolucionar sus programas de seguridad defensiva, y queremos que los desarrolladores con capacidades de seguridad sean los héroes de esa historia. Mira este espacio.
%20(1).avif)
.avif)
