Los beneficios de la evaluación comparativa de las habilidades de seguridad para los desarrolladores
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
Conclusión
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
El creciente enfoque en el código seguro y los principios de seguridad desde el diseño requiere que los desarrolladores estén capacitados en ciberseguridad desde el inicio del SDLC, con herramientas como la puntuación de confianza de Secure Code Warrior que ayudan a medir y mejorar su progreso.
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
Conclusión
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
Conclusión
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
Conclusión
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
