Los beneficios de la evaluación comparativa de las habilidades de seguridad para los desarrolladores
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
Conclusión
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
El creciente enfoque en el código seguro y los principios de seguridad desde el diseño requiere que los desarrolladores estén capacitados en ciberseguridad desde el inicio del SDLC, con herramientas como la puntuación de confianza de Secure Code Warrior que ayudan a medir y mejorar su progreso.
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
Conclusión
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
Conclusión
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
Conclusión
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
