泰雷兹如何实施开发人员驱动的安全性
Antecedentes
Thales Group es una empresa multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri es el director técnico de seguridad del software en Thales. Viswanath, o Vis, comenzó su carrera en el campo de la seguridad inicialmente como programador. Ahora es un líder sénior de seguridad en Thales, cuenta con más de 18 años de experiencia en el sector de la seguridad y cuenta con más de 30 certificaciones, entre las que se incluyen CISSP, PMP y GSE. Ha formado a más de 3000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío de SANS en torneos internacionales de ciberseguridad (como Netwars) y es miembro activo del Consejo Asesor del GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un exitoso programa de aprendizaje de códigos seguro en Thales.
Situación
Cuando Vis comenzó en Thales, entrenó a las unidades de negocio para que analizaran el origen de las vulnerabilidades descubiertas mediante pruebas de bolígrafo como una posible solución para reducir la acumulación de deudas tecnológicas. El equipo de seguridad de las aplicaciones recurrió a siete proveedores diferentes con los que trabajaban para reforzar su postura en materia de seguridad, desde herramientas IAST/DAST hasta herramientas para realizar pruebas con lápiz. Vis quería entender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación mediante una sólida integración entre los procesos y la tecnología. Esto implicó pasar de un enfoque basado exclusivamente en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían experiencia en seguridad ni conocimientos de seguridad. Su enfoque inicial consistía en ofrecer formación presencial a los desarrolladores sobre temas como los 10 mejores puestos de OWASP, pero pronto se dio cuenta de que esta formación no iba a crecer con todos los viajes necesarios para impartir clases presenciales y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
«Siempre habrá un desequilibrio en la relación entre seguridad y desarrollo. Aunque tuviera una relación de seguridad de 1:1, respecto a los desarrolladores, no podría mantenerlos ocupados todo el tiempo. Para mantener a nuestros desarrolladores informados sobre los nuevos vectores de ataque, las mejores prácticas, los nuevos lenguajes y las vulnerabilidades descubiertas recientemente, necesitábamos promover el autoaprendizaje entre los desarrolladores y hacer que fueran capaces de hacerlo a su propio ritmo. Si necesitan ayuda, puedo ayudarlos, pero me di cuenta de que no podía ser la persona que les enseñara cómo solucionar todas las vulnerabilidades que encuentran».
Al principio, los directores de desarrollo se mostraron reacios a invertir tiempo en el aprendizaje seguro de código, ya que reconocieron que muchos desarrolladores comenzaban desde cero. Vis necesitaba gestionar la percepción de que el compromiso con el aprendizaje seguro del código podía interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Necesitaba encontrar una manera de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud en la que las personas eran lo primero para abordar las vulnerabilidades en su origen, «La gente suele decir que la seguridad le quita tiempo al desarrollo. Para mí, si uno desarrolla algo y es inseguro, para empezar fue una pérdida de tiempo. Siempre debes desarrollar software para que sea seguro y ahorrarte el tiempo de tener que corregir las vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de enviar un código fiable».
Acción
Vis tenía dos objetivos principales en mente: proteger su software y aumentar la conciencia de seguridad en los equipos de desarrolladores de Thales. Era fundamental implementar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistía en crear una comunidad de seguridad con el tiempo, trabajar para vincular la codificación segura con las políticas corporativas y desarrollar un mandato para que la organización aprendiera código de forma segura. Al fomentar una cultura de comunidad que conectara a desarrolladores, evaluadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron defensores de la seguridad que sentían pasión por la seguridad y, como parte de su trabajo diario, ayudaron a dar a conocer las prácticas de codificación seguras en toda la organización. Vis evaluó a más de una docena de proveedores de formación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue una gran ventaja contar con un proveedor que cubriera todos los lenguajes y marcos de programación de su entorno, en lugar de una solución fragmentaria. Vis aprovechó el enorme volumen de contenido de Secure Code Warrior para crear cursos de formación y aprendizaje a su propio ritmo para que los desarrolladores del programa de seguridad pudieran acceder a:
«El top 10 de OWASP no consiste simplemente en diez cosas que debes saber. La profundidad y la diversidad de las vulnerabilidades que cubre OWASP, combinadas con la enorme cantidad de lenguajes de programación, pueden resultar abrumadoras. La amplia gama de desafíos y la cobertura que tenemos sobre estos temas fueron un factor clave a la hora de elegir SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de crear un programa continuo».
Vis y su equipo estructuraron cuatro niveles de implementación del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de verdad para las correcciones de vulnerabilidades.. En lugar de confiar en las búsquedas de Google que podrían ayudarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenido de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para corregir las vulnerabilidades del código. Según Vis:
«Los desarrolladores no deberían tener la libertad de decidir cómo corregir una vulnerabilidad y, potencialmente, introducir una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS mediante la integración con SCORM de SCW para asegurarnos de que los desarrolladores aprendieran a corregir la vulnerabilidad de la manera correcta. Esto también nos permitió garantizar que se reconociera a los desarrolladores que ofrecían software seguro. Les pedimos que alcancen un cierto nivel de codificación segura y podemos hacer un seguimiento de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, la empresa reconoce y valora el arduo trabajo que han realizado».
Resultados
Vis y su equipo publican un boletín mensual sobre código seguro en el que pueden reconocer a los mejores estudiantes de la empresa. Utilizan el SCW para analizar los puntajes de las evaluaciones, la participación en los torneos y los desafíos jugados a fin de amplificar ese logro. Esto también motiva a otros desarrolladores a aprender. Los KPI que estableció inicialmente se centraron en reducir el número total de vulnerabilidades en 2 años. Tras implementar el SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir a nivel del código fuente. Vis lo expresa de esta manera:
«Los KPI que presentamos a nuestra gerencia reflejan la selección bien informada que hicimos. Nos enorgullece contar con una formación en código seguro que brinda confianza empresarial a nuestros clientes. Se nos reconoce por nuestro completo programa de formación sobre código seguro y nuestros clientes y colegas nos respetan. Tener un programa como este añade mucho valor a su empresa».
Conclusiones clave
Vis reconoció que las personas, los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Al centrarse en la seguridad del software, en los conocimientos de los desarrolladores y en cumplir con las normas, es posible crear un programa de código seguro con un aprendizaje ágil que reduzca las vulnerabilidades del código fuente con el paso del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que buscan desarrollar habilidades de seguridad en los equipos de desarrolladores.
Antecedentes
Thales Group es una empresa multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri es el director técnico de seguridad del software en Thales. Viswanath, o Vis, comenzó su carrera en el campo de la seguridad inicialmente como programador. Ahora es un líder sénior de seguridad en Thales, cuenta con más de 18 años de experiencia en el sector de la seguridad y cuenta con más de 30 certificaciones, entre las que se incluyen CISSP, PMP y GSE. Ha formado a más de 3000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío de SANS en torneos internacionales de ciberseguridad (como Netwars) y es miembro activo del Consejo Asesor del GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un exitoso programa de aprendizaje de códigos seguro en Thales.
Situación
Cuando Vis comenzó en Thales, entrenó a las unidades de negocio para que analizaran el origen de las vulnerabilidades descubiertas mediante pruebas de bolígrafo como una posible solución para reducir la acumulación de deudas tecnológicas. El equipo de seguridad de las aplicaciones recurrió a siete proveedores diferentes con los que trabajaban para reforzar su postura en materia de seguridad, desde herramientas IAST/DAST hasta herramientas para realizar pruebas con lápiz. Vis quería entender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación mediante una sólida integración entre los procesos y la tecnología. Esto implicó pasar de un enfoque basado exclusivamente en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían experiencia en seguridad ni conocimientos de seguridad. Su enfoque inicial consistía en ofrecer formación presencial a los desarrolladores sobre temas como los 10 mejores puestos de OWASP, pero pronto se dio cuenta de que esta formación no iba a crecer con todos los viajes necesarios para impartir clases presenciales y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
«Siempre habrá un desequilibrio en la relación entre seguridad y desarrollo. Aunque tuviera una relación de seguridad de 1:1, respecto a los desarrolladores, no podría mantenerlos ocupados todo el tiempo. Para mantener a nuestros desarrolladores informados sobre los nuevos vectores de ataque, las mejores prácticas, los nuevos lenguajes y las vulnerabilidades descubiertas recientemente, necesitábamos promover el autoaprendizaje entre los desarrolladores y hacer que fueran capaces de hacerlo a su propio ritmo. Si necesitan ayuda, puedo ayudarlos, pero me di cuenta de que no podía ser la persona que les enseñara cómo solucionar todas las vulnerabilidades que encuentran».
Al principio, los directores de desarrollo se mostraron reacios a invertir tiempo en el aprendizaje seguro de código, ya que reconocieron que muchos desarrolladores comenzaban desde cero. Vis necesitaba gestionar la percepción de que el compromiso con el aprendizaje seguro del código podía interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Necesitaba encontrar una manera de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud en la que las personas eran lo primero para abordar las vulnerabilidades en su origen, «La gente suele decir que la seguridad le quita tiempo al desarrollo. Para mí, si uno desarrolla algo y es inseguro, para empezar fue una pérdida de tiempo. Siempre debes desarrollar software para que sea seguro y ahorrarte el tiempo de tener que corregir las vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de enviar un código fiable».
Acción
Vis tenía dos objetivos principales en mente: proteger su software y aumentar la conciencia de seguridad en los equipos de desarrolladores de Thales. Era fundamental implementar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistía en crear una comunidad de seguridad con el tiempo, trabajar para vincular la codificación segura con las políticas corporativas y desarrollar un mandato para que la organización aprendiera código de forma segura. Al fomentar una cultura de comunidad que conectara a desarrolladores, evaluadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron defensores de la seguridad que sentían pasión por la seguridad y, como parte de su trabajo diario, ayudaron a dar a conocer las prácticas de codificación seguras en toda la organización. Vis evaluó a más de una docena de proveedores de formación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue una gran ventaja contar con un proveedor que cubriera todos los lenguajes y marcos de programación de su entorno, en lugar de una solución fragmentaria. Vis aprovechó el enorme volumen de contenido de Secure Code Warrior para crear cursos de formación y aprendizaje a su propio ritmo para que los desarrolladores del programa de seguridad pudieran acceder a:
«El top 10 de OWASP no consiste simplemente en diez cosas que debes saber. La profundidad y la diversidad de las vulnerabilidades que cubre OWASP, combinadas con la enorme cantidad de lenguajes de programación, pueden resultar abrumadoras. La amplia gama de desafíos y la cobertura que tenemos sobre estos temas fueron un factor clave a la hora de elegir SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de crear un programa continuo».
Vis y su equipo estructuraron cuatro niveles de implementación del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de verdad para las correcciones de vulnerabilidades.. En lugar de confiar en las búsquedas de Google que podrían ayudarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenido de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para corregir las vulnerabilidades del código. Según Vis:
«Los desarrolladores no deberían tener la libertad de decidir cómo corregir una vulnerabilidad y, potencialmente, introducir una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS mediante la integración con SCORM de SCW para asegurarnos de que los desarrolladores aprendieran a corregir la vulnerabilidad de la manera correcta. Esto también nos permitió garantizar que se reconociera a los desarrolladores que ofrecían software seguro. Les pedimos que alcancen un cierto nivel de codificación segura y podemos hacer un seguimiento de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, la empresa reconoce y valora el arduo trabajo que han realizado».
Resultados
Vis y su equipo publican un boletín mensual sobre código seguro en el que pueden reconocer a los mejores estudiantes de la empresa. Utilizan el SCW para analizar los puntajes de las evaluaciones, la participación en los torneos y los desafíos jugados a fin de amplificar ese logro. Esto también motiva a otros desarrolladores a aprender. Los KPI que estableció inicialmente se centraron en reducir el número total de vulnerabilidades en 2 años. Tras implementar el SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir a nivel del código fuente. Vis lo expresa de esta manera:
«Los KPI que presentamos a nuestra gerencia reflejan la selección bien informada que hicimos. Nos enorgullece contar con una formación en código seguro que brinda confianza empresarial a nuestros clientes. Se nos reconoce por nuestro completo programa de formación sobre código seguro y nuestros clientes y colegas nos respetan. Tener un programa como este añade mucho valor a su empresa».
Conclusiones clave
Vis reconoció que las personas, los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Al centrarse en la seguridad del software, en los conocimientos de los desarrolladores y en cumplir con las normas, es posible crear un programa de código seguro con un aprendizaje ágil que reduzca las vulnerabilidades del código fuente con el paso del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que buscan desarrollar habilidades de seguridad en los equipos de desarrolladores.
Antecedentes
Thales Group es una empresa multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri es el director técnico de seguridad del software en Thales. Viswanath, o Vis, comenzó su carrera en el campo de la seguridad inicialmente como programador. Ahora es un líder sénior de seguridad en Thales, cuenta con más de 18 años de experiencia en el sector de la seguridad y cuenta con más de 30 certificaciones, entre las que se incluyen CISSP, PMP y GSE. Ha formado a más de 3000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío de SANS en torneos internacionales de ciberseguridad (como Netwars) y es miembro activo del Consejo Asesor del GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un exitoso programa de aprendizaje de códigos seguro en Thales.
Situación
Cuando Vis comenzó en Thales, entrenó a las unidades de negocio para que analizaran el origen de las vulnerabilidades descubiertas mediante pruebas de bolígrafo como una posible solución para reducir la acumulación de deudas tecnológicas. El equipo de seguridad de las aplicaciones recurrió a siete proveedores diferentes con los que trabajaban para reforzar su postura en materia de seguridad, desde herramientas IAST/DAST hasta herramientas para realizar pruebas con lápiz. Vis quería entender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación mediante una sólida integración entre los procesos y la tecnología. Esto implicó pasar de un enfoque basado exclusivamente en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían experiencia en seguridad ni conocimientos de seguridad. Su enfoque inicial consistía en ofrecer formación presencial a los desarrolladores sobre temas como los 10 mejores puestos de OWASP, pero pronto se dio cuenta de que esta formación no iba a crecer con todos los viajes necesarios para impartir clases presenciales y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
«Siempre habrá un desequilibrio en la relación entre seguridad y desarrollo. Aunque tuviera una relación de seguridad de 1:1, respecto a los desarrolladores, no podría mantenerlos ocupados todo el tiempo. Para mantener a nuestros desarrolladores informados sobre los nuevos vectores de ataque, las mejores prácticas, los nuevos lenguajes y las vulnerabilidades descubiertas recientemente, necesitábamos promover el autoaprendizaje entre los desarrolladores y hacer que fueran capaces de hacerlo a su propio ritmo. Si necesitan ayuda, puedo ayudarlos, pero me di cuenta de que no podía ser la persona que les enseñara cómo solucionar todas las vulnerabilidades que encuentran».
Al principio, los directores de desarrollo se mostraron reacios a invertir tiempo en el aprendizaje seguro de código, ya que reconocieron que muchos desarrolladores comenzaban desde cero. Vis necesitaba gestionar la percepción de que el compromiso con el aprendizaje seguro del código podía interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Necesitaba encontrar una manera de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud en la que las personas eran lo primero para abordar las vulnerabilidades en su origen, «La gente suele decir que la seguridad le quita tiempo al desarrollo. Para mí, si uno desarrolla algo y es inseguro, para empezar fue una pérdida de tiempo. Siempre debes desarrollar software para que sea seguro y ahorrarte el tiempo de tener que corregir las vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de enviar un código fiable».
Acción
Vis tenía dos objetivos principales en mente: proteger su software y aumentar la conciencia de seguridad en los equipos de desarrolladores de Thales. Era fundamental implementar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistía en crear una comunidad de seguridad con el tiempo, trabajar para vincular la codificación segura con las políticas corporativas y desarrollar un mandato para que la organización aprendiera código de forma segura. Al fomentar una cultura de comunidad que conectara a desarrolladores, evaluadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron defensores de la seguridad que sentían pasión por la seguridad y, como parte de su trabajo diario, ayudaron a dar a conocer las prácticas de codificación seguras en toda la organización. Vis evaluó a más de una docena de proveedores de formación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue una gran ventaja contar con un proveedor que cubriera todos los lenguajes y marcos de programación de su entorno, en lugar de una solución fragmentaria. Vis aprovechó el enorme volumen de contenido de Secure Code Warrior para crear cursos de formación y aprendizaje a su propio ritmo para que los desarrolladores del programa de seguridad pudieran acceder a:
«El top 10 de OWASP no consiste simplemente en diez cosas que debes saber. La profundidad y la diversidad de las vulnerabilidades que cubre OWASP, combinadas con la enorme cantidad de lenguajes de programación, pueden resultar abrumadoras. La amplia gama de desafíos y la cobertura que tenemos sobre estos temas fueron un factor clave a la hora de elegir SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de crear un programa continuo».
Vis y su equipo estructuraron cuatro niveles de implementación del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de verdad para las correcciones de vulnerabilidades.. En lugar de confiar en las búsquedas de Google que podrían ayudarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenido de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para corregir las vulnerabilidades del código. Según Vis:
«Los desarrolladores no deberían tener la libertad de decidir cómo corregir una vulnerabilidad y, potencialmente, introducir una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS mediante la integración con SCORM de SCW para asegurarnos de que los desarrolladores aprendieran a corregir la vulnerabilidad de la manera correcta. Esto también nos permitió garantizar que se reconociera a los desarrolladores que ofrecían software seguro. Les pedimos que alcancen un cierto nivel de codificación segura y podemos hacer un seguimiento de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, la empresa reconoce y valora el arduo trabajo que han realizado».
Resultados
Vis y su equipo publican un boletín mensual sobre código seguro en el que pueden reconocer a los mejores estudiantes de la empresa. Utilizan el SCW para analizar los puntajes de las evaluaciones, la participación en los torneos y los desafíos jugados a fin de amplificar ese logro. Esto también motiva a otros desarrolladores a aprender. Los KPI que estableció inicialmente se centraron en reducir el número total de vulnerabilidades en 2 años. Tras implementar el SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir a nivel del código fuente. Vis lo expresa de esta manera:
«Los KPI que presentamos a nuestra gerencia reflejan la selección bien informada que hicimos. Nos enorgullece contar con una formación en código seguro que brinda confianza empresarial a nuestros clientes. Se nos reconoce por nuestro completo programa de formación sobre código seguro y nuestros clientes y colegas nos respetan. Tener un programa como este añade mucho valor a su empresa».
Conclusiones clave
Vis reconoció que las personas, los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Al centrarse en la seguridad del software, en los conocimientos de los desarrolladores y en cumplir con las normas, es posible crear un programa de código seguro con un aprendizaje ágil que reduzca las vulnerabilidades del código fuente con el paso del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que buscan desarrollar habilidades de seguridad en los equipos de desarrolladores.
Antecedentes
Thales Group es una empresa multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri es el director técnico de seguridad del software en Thales. Viswanath, o Vis, comenzó su carrera en el campo de la seguridad inicialmente como programador. Ahora es un líder sénior de seguridad en Thales, cuenta con más de 18 años de experiencia en el sector de la seguridad y cuenta con más de 30 certificaciones, entre las que se incluyen CISSP, PMP y GSE. Ha formado a más de 3000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío de SANS en torneos internacionales de ciberseguridad (como Netwars) y es miembro activo del Consejo Asesor del GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un exitoso programa de aprendizaje de códigos seguro en Thales.
Situación
Cuando Vis comenzó en Thales, entrenó a las unidades de negocio para que analizaran el origen de las vulnerabilidades descubiertas mediante pruebas de bolígrafo como una posible solución para reducir la acumulación de deudas tecnológicas. El equipo de seguridad de las aplicaciones recurrió a siete proveedores diferentes con los que trabajaban para reforzar su postura en materia de seguridad, desde herramientas IAST/DAST hasta herramientas para realizar pruebas con lápiz. Vis quería entender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación mediante una sólida integración entre los procesos y la tecnología. Esto implicó pasar de un enfoque basado exclusivamente en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían experiencia en seguridad ni conocimientos de seguridad. Su enfoque inicial consistía en ofrecer formación presencial a los desarrolladores sobre temas como los 10 mejores puestos de OWASP, pero pronto se dio cuenta de que esta formación no iba a crecer con todos los viajes necesarios para impartir clases presenciales y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
«Siempre habrá un desequilibrio en la relación entre seguridad y desarrollo. Aunque tuviera una relación de seguridad de 1:1, respecto a los desarrolladores, no podría mantenerlos ocupados todo el tiempo. Para mantener a nuestros desarrolladores informados sobre los nuevos vectores de ataque, las mejores prácticas, los nuevos lenguajes y las vulnerabilidades descubiertas recientemente, necesitábamos promover el autoaprendizaje entre los desarrolladores y hacer que fueran capaces de hacerlo a su propio ritmo. Si necesitan ayuda, puedo ayudarlos, pero me di cuenta de que no podía ser la persona que les enseñara cómo solucionar todas las vulnerabilidades que encuentran».
Al principio, los directores de desarrollo se mostraron reacios a invertir tiempo en el aprendizaje seguro de código, ya que reconocieron que muchos desarrolladores comenzaban desde cero. Vis necesitaba gestionar la percepción de que el compromiso con el aprendizaje seguro del código podía interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Necesitaba encontrar una manera de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud en la que las personas eran lo primero para abordar las vulnerabilidades en su origen, «La gente suele decir que la seguridad le quita tiempo al desarrollo. Para mí, si uno desarrolla algo y es inseguro, para empezar fue una pérdida de tiempo. Siempre debes desarrollar software para que sea seguro y ahorrarte el tiempo de tener que corregir las vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de enviar un código fiable».
Acción
Vis tenía dos objetivos principales en mente: proteger su software y aumentar la conciencia de seguridad en los equipos de desarrolladores de Thales. Era fundamental implementar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistía en crear una comunidad de seguridad con el tiempo, trabajar para vincular la codificación segura con las políticas corporativas y desarrollar un mandato para que la organización aprendiera código de forma segura. Al fomentar una cultura de comunidad que conectara a desarrolladores, evaluadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron defensores de la seguridad que sentían pasión por la seguridad y, como parte de su trabajo diario, ayudaron a dar a conocer las prácticas de codificación seguras en toda la organización. Vis evaluó a más de una docena de proveedores de formación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue una gran ventaja contar con un proveedor que cubriera todos los lenguajes y marcos de programación de su entorno, en lugar de una solución fragmentaria. Vis aprovechó el enorme volumen de contenido de Secure Code Warrior para crear cursos de formación y aprendizaje a su propio ritmo para que los desarrolladores del programa de seguridad pudieran acceder a:
«El top 10 de OWASP no consiste simplemente en diez cosas que debes saber. La profundidad y la diversidad de las vulnerabilidades que cubre OWASP, combinadas con la enorme cantidad de lenguajes de programación, pueden resultar abrumadoras. La amplia gama de desafíos y la cobertura que tenemos sobre estos temas fueron un factor clave a la hora de elegir SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de crear un programa continuo».
Vis y su equipo estructuraron cuatro niveles de implementación del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de verdad para las correcciones de vulnerabilidades.. En lugar de confiar en las búsquedas de Google que podrían ayudarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenido de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para corregir las vulnerabilidades del código. Según Vis:
«Los desarrolladores no deberían tener la libertad de decidir cómo corregir una vulnerabilidad y, potencialmente, introducir una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS mediante la integración con SCORM de SCW para asegurarnos de que los desarrolladores aprendieran a corregir la vulnerabilidad de la manera correcta. Esto también nos permitió garantizar que se reconociera a los desarrolladores que ofrecían software seguro. Les pedimos que alcancen un cierto nivel de codificación segura y podemos hacer un seguimiento de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, la empresa reconoce y valora el arduo trabajo que han realizado».
Resultados
Vis y su equipo publican un boletín mensual sobre código seguro en el que pueden reconocer a los mejores estudiantes de la empresa. Utilizan el SCW para analizar los puntajes de las evaluaciones, la participación en los torneos y los desafíos jugados a fin de amplificar ese logro. Esto también motiva a otros desarrolladores a aprender. Los KPI que estableció inicialmente se centraron en reducir el número total de vulnerabilidades en 2 años. Tras implementar el SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir a nivel del código fuente. Vis lo expresa de esta manera:
«Los KPI que presentamos a nuestra gerencia reflejan la selección bien informada que hicimos. Nos enorgullece contar con una formación en código seguro que brinda confianza empresarial a nuestros clientes. Se nos reconoce por nuestro completo programa de formación sobre código seguro y nuestros clientes y colegas nos respetan. Tener un programa como este añade mucho valor a su empresa».
Conclusiones clave
Vis reconoció que las personas, los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Al centrarse en la seguridad del software, en los conocimientos de los desarrolladores y en cumplir con las normas, es posible crear un programa de código seguro con un aprendizaje ágil que reduzca las vulnerabilidades del código fuente con el paso del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que buscan desarrollar habilidades de seguridad en los equipos de desarrolladores.
%20(1).avif)
.avif)
