Convertir el aburrido cumplimiento del PCI-DSS en un ejercicio significativo para todos: Parte 1 - AppSec
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
