Pieter Danhieux es el Director General, Presidente y Cofundador de Secure Code Warrior.
En 2020, Pieter fue reconocido como finalista en la categoría de Campeón de la Diversidad de los Premios SC Europa 2020, y fue galardonado con la elección del editor como Director General del Año por la revista Cyber Defense (CDM), la principal revista de seguridad de la información electrónica del sector. En 2016, fue el número 80 de la lista de las personas más cool de la tecnología en Australia (Business Insider), recibió el premio al profesional de la ciberseguridad del año (AISA - Asociación Australiana de Seguridad de la Información) y es miembro del Consejo de Tecnología de Forbes.
Pieter es también instructor principal del Instituto SANS, que enseña a militares, gobiernos y organizaciones privadas técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas e individuos en busca de debilidades de seguridad. También es miembro del consejo asesor de NVISO, una empresa de consultoría de ciberseguridad en Europa. Antes de crear su propia empresa, Pieter trabajó en Ernst & Young y BAE Systems. También es uno de los cofundadores de BruCON, una de las conferencias de hacking más impresionantes de este planeta.
Comenzó su carrera de seguridad de la información a una edad temprana y obtuvo la certificación Certified Information Systems Security Professional (CISSP) como una de las personas más jóvenes de Bélgica. En su camino, reunió toda una serie de certificados de ciberseguridad (CISA, GCFA, GCIH, GPEN, GWAP) y actualmente es una de las pocas personas selectas en todo el mundo que posee la máxima certificación GIAC Security Expert (GSE).
Director General, Presidente y Cofundador
El impulso del Gobierno australiano para tomarse en serio la ciberseguridad está claro que se ha identificado como un área de riesgo clave a nivel nacional, pero ¿llega su estrategia lo suficientemente lejos?
Gran parte de las iniciativas en torno al "giro a la izquierda", es decir, la introducción de la seguridad en una fase mucho más temprana del proceso de desarrollo, simplemente no mueven la aguja lo suficiente.
La última Orden Ejecutiva del Gobierno Federal de los Estados Unidos toca muchos aspectos de la ciberseguridad funcional, pero por primera vez, destaca específicamente el impacto de los desarrolladores, y la necesidad de que tengan habilidades y conciencia de seguridad verificadas.
El Instituto Nacional de Normas y Tecnología (NIST) ha publicado un libro blanco actualizado en el que se detallan varios planes de acción para reducir las vulnerabilidades del software y los riesgos cibernéticos.
Podría haber empezado este artículo con todos los datos y cifras que indican una startup próspera e hipercreciente; son innegablemente impresionantes y la trayectoria de nuestra empresa en curso es sólida. Sin embargo, para mí, estos números no reflejan lo que más me enorgullece de 2019.
Nuestros hitos de cumpleaños son un maravilloso recordatorio para reflexionar sobre los frutos de nuestro trabajo, celebrar el equipo y afrontar el año que viene con confianza. Y ahora, siete años después de su creación, me pregunto: ¿Lo hemos conseguido? ¿Es ésta una empresa de verdad? Por supuesto, hemos alcanzado la madurez, pero espero que nunca perdamos el sentido de la curiosidad, la pasión y el fanatismo que hemos tenido desde el principio.
Esta semana celebramos oficialmente ocho años de Secure Code Warrior. Por un lado, eso es 350 veces la duración de la misión Apolo 11, así como el equivalente a 45.000 partidos de fútbol, o jugar a Super Mario Odyssey 5696 veces hasta el final. Por otro lado, es sólo una trigésima parte de la vida de una tortuga gigante (250 años, por si te lo estás preguntando). En el mundo de una startup de alto crecimiento, representa un viaje de muchos giros, lecciones y logros, muchos de los cuales eran inimaginables cuando entintamos por primera vez nuestro plan de negocio.
Dejar la seguridad de la API al azar es una forma segura de introducir problemas más adelante, con consecuencias potencialmente devastadoras en el peor de los casos, y frustrantes reajustes y bajo rendimiento en el mejor.
La idea de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funcione bien, garantizará que se descubran rápidamente los puntos conflictivos y que se realicen pruebas exhaustivas, dos componentes esenciales para luchar contra la propagación de un virus contagioso.
¿Cómo se supone que los desarrolladores van a escribir código seguro si nadie les enseña por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar escribir estas vulnerabilidades en sus respectivos marcos de programación en primer lugar?
Hacia finales del año pasado, la increíble comunidad de MITRE publicó su lista de los 25 errores de software más peligrosos del CWE que afectaron al mundo en 2019. Y la mayoría no fue una sorpresa.
Nuestra visión es capacitar a los desarrolladores para que sean la primera línea de defensa de su organización haciendo que la seguridad sea muy visible y proporcionándoles las habilidades y herramientas para escribir código seguro desde el principio.
El investigador de seguridad adolescente, Bill Demirkapi, que expuso importantes vulnerabilidades en el software utilizado por su escuela, ciertamente me trajo algunos recuerdos. Recuerdo ser el niño curioso que levantaba el capó del software para echar un vistazo por debajo y ver cómo funcionaba... y si podía romperlo.
Capacitar a los desarrolladores para que escriban código seguro desde el principio es una oportunidad para que los CISO tomen cierto control proactivo del problema de la seguridad, y donde existe la posibilidad de obtener mejoras rápidas, fáciles y medibles tanto para los equipos de seguridad como para los de desarrollo.
La sanidad podría ser el próximo "gran" campo de batalla de la ciberseguridad, ya que los delincuentes atacarán las mismas máquinas que diagnostican los problemas médicos, proporcionan tratamientos y mantienen la vida.
En ciberseguridad, a menudo somos como cazadores. Nuestros ojos están firmemente pegados al horizonte, buscando la próxima vulnerabilidad. Sin embargo, este enfoque hacia el futuro puede tener el sorprendente efecto de disminuir nuestra conciencia de seguridad en general.
Estos eventos centrados en los desarrolladores se encuentran entre mis favoritos del calendario; proporcionan un humilde recordatorio de la comunidad que trabaja incansablemente para educar y capacitar a los ingenieros y especialistas de software para defender la seguridad en su trabajo.
La verdadera batalla a la que nos enfrentamos no es contra los "script kiddies", ni contra los peligrosos sindicatos de ciberdelincuentes organizados... es conseguir que más gente se preocupe de que se produzcan violaciones de datos.
La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.
Poner énfasis en un enfoque preventivo -en contraposición al reactivo- puede no ser ampliamente comprendido fuera del equipo de seguridad, especialmente si no se ha producido un incidente de seguridad grande y grave.
Este año, el PCI Security Standards Council ha publicado un nuevo conjunto de directrices de seguridad del software como parte de su PCI Software Security Framework. Esta actualización pretende adaptar las mejores prácticas de seguridad del software al desarrollo de software moderno.
La aparición del metaverso, el fenómeno digital del momento, añade una nueva y enorme superficie de ataque tanto para las vulnerabilidades a nivel de código como para la ingeniería social. Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre de humo y espejos.
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción.
Un reciente informe del Centro de Evaluación de la Ciberseguridad de Huawei, del Reino Unido, ha detectado importantes problemas de seguridad en los procesos de ingeniería de software de Huawei. Pero es un problema que puede solucionarse.
Aunque las iniciativas normativas sin duda mejorarán y crecerán con el tiempo, si las organizaciones ya están pulsando el botón del pánico y saltando a la formación ahora, podrían encontrarse mal equipadas para el futuro.
El reciente ataque a los repositorios de GitHub pone de manifiesto un problema bien conocido en el sector de la seguridad: la mayoría de los desarrolladores no están suficientemente concienciados en materia de seguridad, y los datos valiosos podrían estar en peligro en cualquier momento.
Hay muchas soluciones que encuentran vulnerabilidades en el código, pero la seguridad debe poner más énfasis en enseñar a los desarrolladores a seguir las pautas de seguridad que les impidan cometer estos errores en primer lugar.
Con la llegada del GDPR, así como una estrategia revisada tras un ataque en varias fases que expuso los datos sensibles de muchas figuras públicas -así como los servidores del gobierno federal alemán-, está claro que la concienciación y la acción en materia de ciberseguridad son prioritarias para los líderes de la región DACH.
La percepción de lo que constituye el acto de codificar de forma segura es objeto de debate. Según una reciente investigación realizada en colaboración con Evans Data, este sentimiento se ha puesto negro sobre blanco. La encuesta State of Developer-Driven Security 2022 ahonda en las principales percepciones y experiencias de 1200 desarrolladores activos, iluminando sus actitudes y desafíos en el ámbito de la seguridad.
Nuestra vicepresidenta de éxito de clientes, Fatemah Beydoun, presentó recientemente su charla "Mentoring for the future: Cómo podemos mejorar el fomento del talento femenino en ciberseguridad" ante un público muy receptivo. Ella ha sido una parte integral de impulsar un cambio positivo dentro de la industria de la ciberseguridad.
Mientras que la codificación segura debe convertirse en un componente obligatorio de la ingeniería de software en el nivel terciario, algunas universidades están liderando la carga de proporcionar una formación de primera categoría y dar prioridad a la seguridad como parte del proceso de desarrollo desde el principio.p
Los CISO y CIO creativos e inspiradores tienen el poder de innovar y dar forma a nuestro mundo digital, pero también pueden ser fundamentales para transformar la cultura de seguridad de una organización.
Aunque VxWorks no es un nombre familiar para el consumidor medio, este producto de software beneficia a muchas personas como usted y yo, todos los días. Y ahora, nos enfrentamos a la posibilidad de que cientos de millones de dispositivos con VxWorks estén comprometidos.
Debemos trabajar para cambiar la conversación, para hacer de la seguridad una parte integral de la vida laboral de cada desarrollador. Y creo que una de las mejores maneras de hacerlo es empoderar y comprometer a los desarrolladores con la seguridad a través de, por ejemplo, la gamificación.
Es ese momento especial del año (para nosotros, al menos) en el que reflexiono sobre nuestra vuelta más reciente alrededor del sol, y lo que se ha hecho en los 365 días anteriores para posicionarnos para un nuevo año de crecimiento, lecciones e inevitable imprevisibilidad.
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
No importa si está formando a la alta dirección en ciberseguridad o ayudando a los desarrolladores en JAVA o C# a asegurar sus habilidades de codificación, hay un lugar para la creatividad, la gamificación y la diversión.
El 23 de junio es una fecha especial en el calendario geek, ya que se celebra el Día Internacional de la Mujer en la Ingeniería. Esta es nuestra oportunidad de arrojar luz sobre la contribución de las mujeres al desarrollo de software.
El sector de la seguridad del software no es precisamente conocido por sus sentimientos cálidos y difusos, sus observaciones caprichosas y sus comentarios sobre la vida, pero, quizás a medida que envejezco, me encuentro reflexionando sobre el impacto que todos podemos tener en el mundo.
Con el aumento de los ciberataques, que afectan a todo tipo de organizaciones y a todos los sectores, la amenaza de que se produzcan violaciones de datos costosas, embarazosas y que afecten a los resultados es muy real. El problema no se está reduciendo, sino que está creciendo como un tumor.
En nuestra industria, muchos expertos en seguridad han comenzado a predecir los temas candentes del año, pero con más de cinco mil millones de registros de datos sensibles robados en 2019, pensamos que sería más preciso predecir lo que no sucederá en la ciberseguridad en el futuro inmediato.
Ayudando a definir las responsabilidades de nuestras aplicaciones y software dentro de una jerarquía estricta, y aplicando esas políticas con el mínimo privilegio, podemos asegurarnos de que nuestras aplicaciones y software también sobreviven y prosperan a pesar del panorama de amenazas que se cierne sobre ellos.
El plan de movilización de la seguridad del software de código abierto representa un paso positivo para la seguridad impulsada por los desarrolladores. Sin embargo, todos debemos hacer un balance y evaluar honestamente si estamos lo suficientemente maduros en nuestra organización -y si nuestros equipos de desarrollo tienen el nivel adecuado de conciencia y habilidades de seguridad- para implementar las últimas y mejores estrategias defensivas.
Abordando temas candentes como la forma de sacar el máximo partido al presupuesto de AppSec de una organización, así como varias preguntas enrevesadas del público, el panel de Líderes en AppSec ofreció una verdadera magia matutina que ayudará a los especialistas en seguridad a crear programas viables dentro de sus organizaciones.
No estamos recibiendo un asesoramiento realista, ni las soluciones más rápidas, para combatir el incesante ataque que supone la ciberseguridad moderna. Por supuesto, cada brecha es diferente a su manera, y hay numerosos vectores de ataque que pueden ser explotados en el software vulnerable. Los consejos genéricos viables serán limitados, pero el enfoque de las mejores prácticas parece más defectuoso cada hora.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
La Estrategia Nacional de Ciberseguridad de CISA representa la mejor oportunidad que tenemos para elevar los estándares de software en todos los ámbitos y, finalmente, marcar el comienzo de una nueva era de desarrolladores cualificados en seguridad".
Aunque parece inevitable que la tecnología de IA al estilo LLM cambie nuestra forma de abordar muchos aspectos del trabajo -no sólo el desarrollo de software-, debemos dar un paso atrás y considerar los riesgos más allá de los titulares. Y como compañera de codificación, sus defectos son quizá su atributo más "humano".
Anunciamos el cierre de nuestra ronda de financiación Serie-C, habiendo recaudado 50 millones de dólares para la siguiente fase de nuestra misión: ayudar a más organizaciones pioneras a aprovechar el poder de su cohorte de desarrollo para frustrar vulnerabilidades comunes.
Tras el anuncio de nuestra financiación de serie C, me complace anunciar otro paso en la trayectoria de nuestra empresa. Synopsys, líder del sector de la seguridad, ha dado la bienvenida a una nueva e interesante incorporación a su gama de productos: Synopsys Developer Security Training, con tecnología Secure Code Warrior.
El Plan Estratégico de Ciberseguridad impulsa cambios importantes en la forma en que la mayoría de las organizaciones abordan la ciberseguridad, y los desarrolladores se encuentran en una posición única para ayudar a alcanzar esos nuevos objetivos.
Hoy es nuestro noveno cumpleaños, y sigo estando inmensamente orgulloso y agradecido por nuestros logros y nuestro lugar perdurable en el terreno de la ciberseguridad, mientras el panorama sigue cambiando rápidamente.
Se ha descubierto una vulnerabilidad crítica, CVE-2024-3094, en la biblioteca de compresión de datos XZ Utils utilizada por las principales distribuciones de Linux, introducida a través de una puerta trasera por un actor de amenaza. Este problema de alta gravedad permite la posible ejecución remota de código, lo que plantea riesgos significativos para los procesos de creación de software. El fallo afecta a las primeras versiones (5.6.0 y 5.6.1) de XZ Utils en Fedora Rawhide, con un llamamiento urgente a las organizaciones para que apliquen los parches. El incidente subraya el papel fundamental de los voluntarios de la comunidad en el mantenimiento del software de código abierto y destaca la necesidad de mejorar las prácticas de seguridad y el control de acceso dentro del ciclo de vida de desarrollo del software.
Secure-by-Design es la última iniciativa en boca de todos, y el gobierno australiano, colaborando con CISA en los niveles más altos de la gobernanza mundial, está orientando un estándar más alto de calidad y seguridad del software por parte de los vendedores.
Secure Code Warriorha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.
