Golpea primero, ataca con fuerza: por qué los cursos de codificación segura seleccionados no tienen piedad con las ciberamenazas
Existe una verdad algo incómoda, que los gobiernos, las grandes corporaciones e incluso algunos líderes de la industria tienden a pasar por alto: como sociedad, estamos en una batalla constante contra las ciberamenazas y actualmente estamos en el bando perdedor. ¿Cómo sabemos esto? Estas estadísticas cuentan una historia aleccionadora:
- Se estima que la ciberdelincuencia tiene un costo global de 6 billones de dólares de aquí a 2021
- Se produce un ciberataque cada 39 segundos
- El 24% de las filtraciones de datos son causados por un error humano
- Un alarmante 77% de las organizaciones no tener un plan de respuesta a incidentes de ciberseguridad que se amplía en toda la empresa y se aplica de manera uniforme entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una escasez crítica de personal; es poco probable que se llene la brecha de habilidades y no hay ningún ejército secreto de AppSec que venga a rescatarnos. Lo sabemos desde hace años y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una buena defensa, y podemos atacar primero si tenemos un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos hacen creer. Tenemos un as bajo la manga y el clima de ciberseguridad nos presenta una oportunidad de oro. No necesita buscar más allá de sus equipos de desarrollo internos para encontrar al personal que vendrá a rescatar a la organización, pero su programa de seguridad debe respaldar su trayectoria para convertirse en ingenieros conscientes de la seguridad que estén preparados para compartir la responsabilidad de programar de forma segura.
Cualquier entrenamiento antiguo no servirá - ya lo hemos dicho lo suficiente, pero incluso la formación adecuada que involucre, desarrolle conocimientos contextuales y ayude a los desarrolladores a disfrutar de la seguridad podría ser mucho más eficaz si tan solo estuviera más adaptada a las necesidades de la empresa, las amenazas a las que se enfrenta y los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos seguros.
Y ahí es donde nuestras funciones más recientes, Cursos, entra en juego. Por cierto, si tienes la referencia en el título, oficialmente eres viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: desarrolle la defensa, refuerce las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones en vídeo genéricos y secos, y esperar que florezca la pasión por la programación segura). Sin embargo, incluso con un aprendizaje competitivo diseñado para adaptarse a la mentalidad de los desarrolladores, es posible que el contenido sea un poco más amplio de lo que se necesita para cumplir con los requisitos particulares de una organización.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario. Personalice los programas para que se adapten a los equipos de frontend, a los ingenieros de nube, etc., con la capacidad de analizar en profundidad las vulnerabilidades más importantes, en los lenguajes y marcos que sean relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de una conciencia precisa sobre los problemas que representan un mayor riesgo.
Personalice un curso para garantizar el cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una base excelente sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad despierta un sentimiento de orgullo y responsabilidad en los desarrolladores, en lugar de quejarse y ponerse la palma de la cara.
Como punto de partida, es una muy buena idea poner a todos al día con el Top 10 de OWASP, pero para alcanzar realmente nuevos niveles de cumplimiento relevantes para la industria, puedes diseñar un curso personalizado en torno a los requisitos de las normativas específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con la Pautas de PCI-DSS que rigen las aplicaciones de procesamiento de pagos y tarjetas. Hay mucho en juego cuando te encargas de procesar y almacenar información confidencial, como los números de tarjetas de crédito, y conseguir la máxima especificidad con el aprendizaje de los desarrolladores evita el ruido, proporciona la formación adecuada en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza los cursos en sus equipos:
«Los cursos son una gran solución para nuestros ingenieros. Con la nueva función, que agrupa la ruta de aprendizaje, los vídeos y los puntos de control en un módulo personalizable, podemos diseñar el contenido en función de lo que necesitamos en cada momento. Las capacidades de cumplimiento y la flexibilidad brindan una oportunidad aún mejor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca».
Y recuerde, puede que se trate de una formación sobre cumplimiento curada, pero aun así se ofrece como una experiencia de aprendizaje pequeña, contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La educación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps, hay muchos platos que hacer girar. El tiempo reservado para la formación debe utilizarse con prudencia, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al seleccionar un curso personalizado que sea muy relevante, respetas el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, trabajas para lograr una reducción mensurable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas e ingenieros de AppSec suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con los cursos puede permitir a ambas partes ponerse de acuerdo con las prácticas recomendadas de seguridad. No cabe duda de que los desarrolladores apreciarán que el equipo de AppSec les dé la posibilidad de centrarse en las soluciones, ya que minimiza la carga que tienen que soportar y les ayuda a crear un estándar de código más elevado.
Elimine las debilidades, amplíe la higiene de seguridad a nivel empresarial
Todos somos humanos y, lamentablemente, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, pero son asombrosamente comunes. Los de Symantec Informe sobre amenazas a la seguridad en Internet de 2019 confirmó que se robaron más de 70 millones de registros como resultado de la mala configuración de los cubos S3. Los errores de configuración de seguridad son una de las principales causas de las filtraciones de datos, y la causa principal son los errores humanos alrededor de una cuarta parte de ellos.
Estos problemas ocurren por varias razones, pero la falta de conciencia y capacitación en materia de seguridad es un factor importante para que los atacantes puedan aprovechar las pequeñas oportunidades. Para lograr una higiene de seguridad escalable que tenga un impacto positivo, debe contar con un curso personalizado para su empresa. No muestres piedad con tus enemigos y elimina cualquier oportunidad que tengan para causar el mayor dolor de cabeza que puedas encontrar.
Ya estamos viendo un impacto sorprendente en nuestros clientes, incluido este proveedor líder de SaaS de contabilidad basado en la nube:
«La ruta de aprendizaje personalizada de los cursos ha supuesto un punto de inflexión. La especificidad de los lenguajes de programación y las vulnerabilidades proporcionan más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro».
Prepárate para DevSec. Obtenga más información sobre la nueva función de cursos de Secure Code Warrior aquí.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario.
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Existe una verdad algo incómoda, que los gobiernos, las grandes corporaciones e incluso algunos líderes de la industria tienden a pasar por alto: como sociedad, estamos en una batalla constante contra las ciberamenazas y actualmente estamos en el bando perdedor. ¿Cómo sabemos esto? Estas estadísticas cuentan una historia aleccionadora:
- Se estima que la ciberdelincuencia tiene un costo global de 6 billones de dólares de aquí a 2021
- Se produce un ciberataque cada 39 segundos
- El 24% de las filtraciones de datos son causados por un error humano
- Un alarmante 77% de las organizaciones no tener un plan de respuesta a incidentes de ciberseguridad que se amplía en toda la empresa y se aplica de manera uniforme entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una escasez crítica de personal; es poco probable que se llene la brecha de habilidades y no hay ningún ejército secreto de AppSec que venga a rescatarnos. Lo sabemos desde hace años y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una buena defensa, y podemos atacar primero si tenemos un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos hacen creer. Tenemos un as bajo la manga y el clima de ciberseguridad nos presenta una oportunidad de oro. No necesita buscar más allá de sus equipos de desarrollo internos para encontrar al personal que vendrá a rescatar a la organización, pero su programa de seguridad debe respaldar su trayectoria para convertirse en ingenieros conscientes de la seguridad que estén preparados para compartir la responsabilidad de programar de forma segura.
Cualquier entrenamiento antiguo no servirá - ya lo hemos dicho lo suficiente, pero incluso la formación adecuada que involucre, desarrolle conocimientos contextuales y ayude a los desarrolladores a disfrutar de la seguridad podría ser mucho más eficaz si tan solo estuviera más adaptada a las necesidades de la empresa, las amenazas a las que se enfrenta y los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos seguros.
Y ahí es donde nuestras funciones más recientes, Cursos, entra en juego. Por cierto, si tienes la referencia en el título, oficialmente eres viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: desarrolle la defensa, refuerce las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones en vídeo genéricos y secos, y esperar que florezca la pasión por la programación segura). Sin embargo, incluso con un aprendizaje competitivo diseñado para adaptarse a la mentalidad de los desarrolladores, es posible que el contenido sea un poco más amplio de lo que se necesita para cumplir con los requisitos particulares de una organización.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario. Personalice los programas para que se adapten a los equipos de frontend, a los ingenieros de nube, etc., con la capacidad de analizar en profundidad las vulnerabilidades más importantes, en los lenguajes y marcos que sean relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de una conciencia precisa sobre los problemas que representan un mayor riesgo.
Personalice un curso para garantizar el cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una base excelente sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad despierta un sentimiento de orgullo y responsabilidad en los desarrolladores, en lugar de quejarse y ponerse la palma de la cara.
Como punto de partida, es una muy buena idea poner a todos al día con el Top 10 de OWASP, pero para alcanzar realmente nuevos niveles de cumplimiento relevantes para la industria, puedes diseñar un curso personalizado en torno a los requisitos de las normativas específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con la Pautas de PCI-DSS que rigen las aplicaciones de procesamiento de pagos y tarjetas. Hay mucho en juego cuando te encargas de procesar y almacenar información confidencial, como los números de tarjetas de crédito, y conseguir la máxima especificidad con el aprendizaje de los desarrolladores evita el ruido, proporciona la formación adecuada en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza los cursos en sus equipos:
«Los cursos son una gran solución para nuestros ingenieros. Con la nueva función, que agrupa la ruta de aprendizaje, los vídeos y los puntos de control en un módulo personalizable, podemos diseñar el contenido en función de lo que necesitamos en cada momento. Las capacidades de cumplimiento y la flexibilidad brindan una oportunidad aún mejor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca».
Y recuerde, puede que se trate de una formación sobre cumplimiento curada, pero aun así se ofrece como una experiencia de aprendizaje pequeña, contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La educación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps, hay muchos platos que hacer girar. El tiempo reservado para la formación debe utilizarse con prudencia, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al seleccionar un curso personalizado que sea muy relevante, respetas el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, trabajas para lograr una reducción mensurable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas e ingenieros de AppSec suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con los cursos puede permitir a ambas partes ponerse de acuerdo con las prácticas recomendadas de seguridad. No cabe duda de que los desarrolladores apreciarán que el equipo de AppSec les dé la posibilidad de centrarse en las soluciones, ya que minimiza la carga que tienen que soportar y les ayuda a crear un estándar de código más elevado.
Elimine las debilidades, amplíe la higiene de seguridad a nivel empresarial
Todos somos humanos y, lamentablemente, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, pero son asombrosamente comunes. Los de Symantec Informe sobre amenazas a la seguridad en Internet de 2019 confirmó que se robaron más de 70 millones de registros como resultado de la mala configuración de los cubos S3. Los errores de configuración de seguridad son una de las principales causas de las filtraciones de datos, y la causa principal son los errores humanos alrededor de una cuarta parte de ellos.
Estos problemas ocurren por varias razones, pero la falta de conciencia y capacitación en materia de seguridad es un factor importante para que los atacantes puedan aprovechar las pequeñas oportunidades. Para lograr una higiene de seguridad escalable que tenga un impacto positivo, debe contar con un curso personalizado para su empresa. No muestres piedad con tus enemigos y elimina cualquier oportunidad que tengan para causar el mayor dolor de cabeza que puedas encontrar.
Ya estamos viendo un impacto sorprendente en nuestros clientes, incluido este proveedor líder de SaaS de contabilidad basado en la nube:
«La ruta de aprendizaje personalizada de los cursos ha supuesto un punto de inflexión. La especificidad de los lenguajes de programación y las vulnerabilidades proporcionan más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro».
Prepárate para DevSec. Obtenga más información sobre la nueva función de cursos de Secure Code Warrior aquí.
Existe una verdad algo incómoda, que los gobiernos, las grandes corporaciones e incluso algunos líderes de la industria tienden a pasar por alto: como sociedad, estamos en una batalla constante contra las ciberamenazas y actualmente estamos en el bando perdedor. ¿Cómo sabemos esto? Estas estadísticas cuentan una historia aleccionadora:
- Se estima que la ciberdelincuencia tiene un costo global de 6 billones de dólares de aquí a 2021
- Se produce un ciberataque cada 39 segundos
- El 24% de las filtraciones de datos son causados por un error humano
- Un alarmante 77% de las organizaciones no tener un plan de respuesta a incidentes de ciberseguridad que se amplía en toda la empresa y se aplica de manera uniforme entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una escasez crítica de personal; es poco probable que se llene la brecha de habilidades y no hay ningún ejército secreto de AppSec que venga a rescatarnos. Lo sabemos desde hace años y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una buena defensa, y podemos atacar primero si tenemos un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos hacen creer. Tenemos un as bajo la manga y el clima de ciberseguridad nos presenta una oportunidad de oro. No necesita buscar más allá de sus equipos de desarrollo internos para encontrar al personal que vendrá a rescatar a la organización, pero su programa de seguridad debe respaldar su trayectoria para convertirse en ingenieros conscientes de la seguridad que estén preparados para compartir la responsabilidad de programar de forma segura.
Cualquier entrenamiento antiguo no servirá - ya lo hemos dicho lo suficiente, pero incluso la formación adecuada que involucre, desarrolle conocimientos contextuales y ayude a los desarrolladores a disfrutar de la seguridad podría ser mucho más eficaz si tan solo estuviera más adaptada a las necesidades de la empresa, las amenazas a las que se enfrenta y los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos seguros.
Y ahí es donde nuestras funciones más recientes, Cursos, entra en juego. Por cierto, si tienes la referencia en el título, oficialmente eres viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: desarrolle la defensa, refuerce las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones en vídeo genéricos y secos, y esperar que florezca la pasión por la programación segura). Sin embargo, incluso con un aprendizaje competitivo diseñado para adaptarse a la mentalidad de los desarrolladores, es posible que el contenido sea un poco más amplio de lo que se necesita para cumplir con los requisitos particulares de una organización.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario. Personalice los programas para que se adapten a los equipos de frontend, a los ingenieros de nube, etc., con la capacidad de analizar en profundidad las vulnerabilidades más importantes, en los lenguajes y marcos que sean relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de una conciencia precisa sobre los problemas que representan un mayor riesgo.
Personalice un curso para garantizar el cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una base excelente sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad despierta un sentimiento de orgullo y responsabilidad en los desarrolladores, en lugar de quejarse y ponerse la palma de la cara.
Como punto de partida, es una muy buena idea poner a todos al día con el Top 10 de OWASP, pero para alcanzar realmente nuevos niveles de cumplimiento relevantes para la industria, puedes diseñar un curso personalizado en torno a los requisitos de las normativas específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con la Pautas de PCI-DSS que rigen las aplicaciones de procesamiento de pagos y tarjetas. Hay mucho en juego cuando te encargas de procesar y almacenar información confidencial, como los números de tarjetas de crédito, y conseguir la máxima especificidad con el aprendizaje de los desarrolladores evita el ruido, proporciona la formación adecuada en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza los cursos en sus equipos:
«Los cursos son una gran solución para nuestros ingenieros. Con la nueva función, que agrupa la ruta de aprendizaje, los vídeos y los puntos de control en un módulo personalizable, podemos diseñar el contenido en función de lo que necesitamos en cada momento. Las capacidades de cumplimiento y la flexibilidad brindan una oportunidad aún mejor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca».
Y recuerde, puede que se trate de una formación sobre cumplimiento curada, pero aun así se ofrece como una experiencia de aprendizaje pequeña, contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La educación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps, hay muchos platos que hacer girar. El tiempo reservado para la formación debe utilizarse con prudencia, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al seleccionar un curso personalizado que sea muy relevante, respetas el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, trabajas para lograr una reducción mensurable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas e ingenieros de AppSec suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con los cursos puede permitir a ambas partes ponerse de acuerdo con las prácticas recomendadas de seguridad. No cabe duda de que los desarrolladores apreciarán que el equipo de AppSec les dé la posibilidad de centrarse en las soluciones, ya que minimiza la carga que tienen que soportar y les ayuda a crear un estándar de código más elevado.
Elimine las debilidades, amplíe la higiene de seguridad a nivel empresarial
Todos somos humanos y, lamentablemente, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, pero son asombrosamente comunes. Los de Symantec Informe sobre amenazas a la seguridad en Internet de 2019 confirmó que se robaron más de 70 millones de registros como resultado de la mala configuración de los cubos S3. Los errores de configuración de seguridad son una de las principales causas de las filtraciones de datos, y la causa principal son los errores humanos alrededor de una cuarta parte de ellos.
Estos problemas ocurren por varias razones, pero la falta de conciencia y capacitación en materia de seguridad es un factor importante para que los atacantes puedan aprovechar las pequeñas oportunidades. Para lograr una higiene de seguridad escalable que tenga un impacto positivo, debe contar con un curso personalizado para su empresa. No muestres piedad con tus enemigos y elimina cualquier oportunidad que tengan para causar el mayor dolor de cabeza que puedas encontrar.
Ya estamos viendo un impacto sorprendente en nuestros clientes, incluido este proveedor líder de SaaS de contabilidad basado en la nube:
«La ruta de aprendizaje personalizada de los cursos ha supuesto un punto de inflexión. La especificidad de los lenguajes de programación y las vulnerabilidades proporcionan más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro».
Prepárate para DevSec. Obtenga más información sobre la nueva función de cursos de Secure Code Warrior aquí.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Existe una verdad algo incómoda, que los gobiernos, las grandes corporaciones e incluso algunos líderes de la industria tienden a pasar por alto: como sociedad, estamos en una batalla constante contra las ciberamenazas y actualmente estamos en el bando perdedor. ¿Cómo sabemos esto? Estas estadísticas cuentan una historia aleccionadora:
- Se estima que la ciberdelincuencia tiene un costo global de 6 billones de dólares de aquí a 2021
- Se produce un ciberataque cada 39 segundos
- El 24% de las filtraciones de datos son causados por un error humano
- Un alarmante 77% de las organizaciones no tener un plan de respuesta a incidentes de ciberseguridad que se amplía en toda la empresa y se aplica de manera uniforme entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una escasez crítica de personal; es poco probable que se llene la brecha de habilidades y no hay ningún ejército secreto de AppSec que venga a rescatarnos. Lo sabemos desde hace años y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una buena defensa, y podemos atacar primero si tenemos un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos hacen creer. Tenemos un as bajo la manga y el clima de ciberseguridad nos presenta una oportunidad de oro. No necesita buscar más allá de sus equipos de desarrollo internos para encontrar al personal que vendrá a rescatar a la organización, pero su programa de seguridad debe respaldar su trayectoria para convertirse en ingenieros conscientes de la seguridad que estén preparados para compartir la responsabilidad de programar de forma segura.
Cualquier entrenamiento antiguo no servirá - ya lo hemos dicho lo suficiente, pero incluso la formación adecuada que involucre, desarrolle conocimientos contextuales y ayude a los desarrolladores a disfrutar de la seguridad podría ser mucho más eficaz si tan solo estuviera más adaptada a las necesidades de la empresa, las amenazas a las que se enfrenta y los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos seguros.
Y ahí es donde nuestras funciones más recientes, Cursos, entra en juego. Por cierto, si tienes la referencia en el título, oficialmente eres viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: desarrolle la defensa, refuerce las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones en vídeo genéricos y secos, y esperar que florezca la pasión por la programación segura). Sin embargo, incluso con un aprendizaje competitivo diseñado para adaptarse a la mentalidad de los desarrolladores, es posible que el contenido sea un poco más amplio de lo que se necesita para cumplir con los requisitos particulares de una organización.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario. Personalice los programas para que se adapten a los equipos de frontend, a los ingenieros de nube, etc., con la capacidad de analizar en profundidad las vulnerabilidades más importantes, en los lenguajes y marcos que sean relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de una conciencia precisa sobre los problemas que representan un mayor riesgo.
Personalice un curso para garantizar el cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una base excelente sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad despierta un sentimiento de orgullo y responsabilidad en los desarrolladores, en lugar de quejarse y ponerse la palma de la cara.
Como punto de partida, es una muy buena idea poner a todos al día con el Top 10 de OWASP, pero para alcanzar realmente nuevos niveles de cumplimiento relevantes para la industria, puedes diseñar un curso personalizado en torno a los requisitos de las normativas específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con la Pautas de PCI-DSS que rigen las aplicaciones de procesamiento de pagos y tarjetas. Hay mucho en juego cuando te encargas de procesar y almacenar información confidencial, como los números de tarjetas de crédito, y conseguir la máxima especificidad con el aprendizaje de los desarrolladores evita el ruido, proporciona la formación adecuada en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza los cursos en sus equipos:
«Los cursos son una gran solución para nuestros ingenieros. Con la nueva función, que agrupa la ruta de aprendizaje, los vídeos y los puntos de control en un módulo personalizable, podemos diseñar el contenido en función de lo que necesitamos en cada momento. Las capacidades de cumplimiento y la flexibilidad brindan una oportunidad aún mejor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca».
Y recuerde, puede que se trate de una formación sobre cumplimiento curada, pero aun así se ofrece como una experiencia de aprendizaje pequeña, contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La educación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps, hay muchos platos que hacer girar. El tiempo reservado para la formación debe utilizarse con prudencia, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al seleccionar un curso personalizado que sea muy relevante, respetas el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, trabajas para lograr una reducción mensurable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas e ingenieros de AppSec suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con los cursos puede permitir a ambas partes ponerse de acuerdo con las prácticas recomendadas de seguridad. No cabe duda de que los desarrolladores apreciarán que el equipo de AppSec les dé la posibilidad de centrarse en las soluciones, ya que minimiza la carga que tienen que soportar y les ayuda a crear un estándar de código más elevado.
Elimine las debilidades, amplíe la higiene de seguridad a nivel empresarial
Todos somos humanos y, lamentablemente, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, pero son asombrosamente comunes. Los de Symantec Informe sobre amenazas a la seguridad en Internet de 2019 confirmó que se robaron más de 70 millones de registros como resultado de la mala configuración de los cubos S3. Los errores de configuración de seguridad son una de las principales causas de las filtraciones de datos, y la causa principal son los errores humanos alrededor de una cuarta parte de ellos.
Estos problemas ocurren por varias razones, pero la falta de conciencia y capacitación en materia de seguridad es un factor importante para que los atacantes puedan aprovechar las pequeñas oportunidades. Para lograr una higiene de seguridad escalable que tenga un impacto positivo, debe contar con un curso personalizado para su empresa. No muestres piedad con tus enemigos y elimina cualquier oportunidad que tengan para causar el mayor dolor de cabeza que puedas encontrar.
Ya estamos viendo un impacto sorprendente en nuestros clientes, incluido este proveedor líder de SaaS de contabilidad basado en la nube:
«La ruta de aprendizaje personalizada de los cursos ha supuesto un punto de inflexión. La especificidad de los lenguajes de programación y las vulnerabilidades proporcionan más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro».
Prepárate para DevSec. Obtenga más información sobre la nueva función de cursos de Secure Code Warrior aquí.
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
