¿Son sus desarrolladores la primera línea de riesgo o de defensa? Califique a su empresa según nuestra lista de comprobación de codificación segura
Si observamos cualquier organización, pública o comercial, hay dos cosas que podemos garantizar. En primer lugar, sus productos y servicios son cada vez más digitales, lo que significa que implican a desarrolladores de software que crean líneas de código. En segundo lugar, estos negocios digitales están bajo la presión de competidores tradicionales y no tradicionales, que operan en un mundo más dinámico y global.
En este entorno, los CIO se han convertido en los nuevos innovadores y ocupan posiciones de poder e influencia. Sin embargo, la fuerte presión para acelerar la salida al mercado, mejorar la calidad y aumentar la flexibilidad ha dado lugar a equipos de desarrollo complejos y distribuidos, centrados en el desarrollo rápido de características y funciones sin tener en cuenta las vulnerabilidades que podrían estar creando.
Ahora más que nunca, se necesita una nueva forma de trabajar. Sólo hay que ver el daño nuclear de Equifax tras su reciente brecha, que fue el resultado de una codificación insegura. Los CIOs y CISOs deben pensar cuidadosamente si sus equipos de desarrollo son la primera línea de riesgo, o son los campeones de seguridad de la empresa, la verdadera "primera línea de defensa" de su empresa.
He creado esta lista de comprobación de la codificación segura para ayudar a los CIO y CISO a considerar si han configurado sus equipos de desarrollo para que sean campeones de la codificación segura que puedan ayudarle a innovar con un código más rápido, mejor y más seguro.
1. ¿Reconoce su ejecutivo de nivel superior que la seguridad tradicional de la red no es suficiente?
Proteger la capa de red con las medidas de seguridad tradicionales ya no es suficiente y, de todos modos, rara vez tenía éxito, incluso contra los hackers semiprofesionales. Entre muchos informes coincidentes, el informe de Verizon sobre investigaciones de fugas de datos de 2017 sitúa que el 35% de las fugas de datos actuales están causadas por vulnerabilidades de las aplicaciones web. La seguridad de las aplicaciones web es tan importante como la seguridad de la red.
2. ¿Está pensando en la seguridad desde el principio?
Las herramientas actuales de seguridad de las aplicaciones se centran en ir de derecha a izquierda en el ciclo de vida del desarrollo del software (SDLC). Este enfoque favorece la detección y la reacción, lo que significa que los equipos de seguridad detectan las vulnerabilidades en el código escrito y reaccionan para solucionarlas. Según el Instituto Nacional de Estándares y Tecnología (NIST), es 30 veces más caro detectar y corregir las vulnerabilidades en el código comprometido que prevenirlas al escribir el código en el IDE. Por no hablar de los retrasos en los que se incurre para remediar el problema. Los campeones del código seguro comienzan en el extremo izquierdo del SDLC, centrándose en la formación continua de sus desarrolladores en la codificación segura, para que puedan ser la primera línea de defensa de su organización, evitando las vulnerabilidades en primer lugar.
3. ¿Realmente construye habilidades de seguridad en lugar de sólo alimentar el conocimiento?
La mayoría de las soluciones de formación (en línea y en el aula) se centran en la creación de conocimientos en lugar de en la creación de habilidades. Para que los desarrolladores escriban código seguro, necesitan tener acceso regular a un aprendizaje práctico que les haga participar activamente en el aprendizaje y la creación de sus habilidades de codificación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y en sus propios lenguajes/marcos. Esta experiencia de aprendizaje debe ayudarles a comprender cómo localizar, identificar y corregir las vulnerabilidades conocidas en el código.
4. ¿Mide sus habilidades de codificación segura con métricas en tiempo real?
Es importante crear pruebas que demuestren al desarrollador y a su organización que las habilidades de codificación segura de un desarrollador están mejorando. No se puede mejorar lo que no se puede medir. Sus evaluaciones deben ayudar a identificar el progreso de sus equipos de desarrollo en tiempo real, así como a comparar sus puntos fuertes y débiles en materia de codificación segura.
5. ¿Está seguro de que sus proveedores subcontratados aplican técnicas de codificación seguras?
Muchas organizaciones deciden contratar trabajos de desarrollo a grandes empresas de desarrollo onshore o offshore. En el mejor de los casos, la única forma de garantizar la seguridad que pide una organización es una declaración en el contrato que exige que el producto final sea "seguro". Pocos verifican realmente las habilidades de estas empresas de desarrollo por adelantado y terminan con un software que no sigue las buenas prácticas de codificación segura. En el peor de los casos, no las conocen y ponen en marcha la aplicación. El escenario más común es que los especialistas dedicados a ello (por los que usted paga) los detecten y usted se enfrente a retrasos en la puesta en marcha y a discusiones contractuales sobre quién tiene que pagar por la corrección de estas debilidades de seguridad. Sea inteligente por adelantado, y evalúe las habilidades de seguridad de la aplicación de los desarrolladores que van a construir su próxima aplicación.
6. ¿Sus desarrolladores conocen los puntos débiles de seguridad más comunes?
El 85,5% de las vulnerabilidades de las aplicaciones web explotadas se atribuyen a sólo 10 vulnerabilidades conocidas " el Top 10 de OWASP. Su formación en seguridad de aplicaciones debe cubrir como mínimo éstas y muchos más tipos de vulnerabilidades. Los retos que sus desarrolladores completan deben ser continuamente revisados y actualizados con nuevos retos para nuevos marcos de codificación o nuevos tipos de vulnerabilidad.
7. ¿Dispone de campeones de seguridad internos?
Todas las organizaciones con muchos desarrolladores deberían invertir en alguien que defienda la seguridad dentro de sus equipos de desarrollo. Su propósito es ser un punto de contacto de apoyo para cualquier persona que tenga preguntas sobre la seguridad, pero también defender las prácticas de codificación y arquitectura seguras dentro de un equipo.
8. ¿Ha invertido en herramientas para que sus desarrolladores faciliten la codificación segura?
En un entorno con muchos cambios en las aplicaciones o en el que se practica un desarrollo ágil, la automatización de partes de la seguridad es esencial para mantener el ritmo y el volumen. Hay herramientas disponibles en cada etapa del ciclo de vida del desarrollo que servirán como asesores, puertas de calidad o herramientas de detección. Hay plugins del IDE que se centran en determinados tipos de errores de seguridad y actúan como correctores ortográficos mientras el desarrollador escribe su código. También hay herramientas que se integran con el proceso de construcción que detectan ciertos tipos de debilidades cuando el código se está enviando a un repositorio de código. También hay herramientas que ejecutan pruebas automatizadas sobre el código, simulando técnicas de hacking una vez que el software está en producción. Todas tienen sus propias ventajas y dificultades, y ninguna puede garantizar al 100% que no haya problemas de seguridad. La regla de oro es que cuanto antes se detecte el punto débil, más rápido y barato será remediarlo con el menor impacto en la empresa.
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
¿Cómo se ha enfrentado su organización a esta lista de control?
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Si observamos cualquier organización, pública o comercial, hay dos cosas que podemos garantizar. En primer lugar, sus productos y servicios son cada vez más digitales, lo que significa que implican a desarrolladores de software que crean líneas de código. En segundo lugar, estos negocios digitales están bajo la presión de competidores tradicionales y no tradicionales, que operan en un mundo más dinámico y global.
En este entorno, los CIO se han convertido en los nuevos innovadores y ocupan posiciones de poder e influencia. Sin embargo, la fuerte presión para acelerar la salida al mercado, mejorar la calidad y aumentar la flexibilidad ha dado lugar a equipos de desarrollo complejos y distribuidos, centrados en el desarrollo rápido de características y funciones sin tener en cuenta las vulnerabilidades que podrían estar creando.
Ahora más que nunca, se necesita una nueva forma de trabajar. Sólo hay que ver el daño nuclear de Equifax tras su reciente brecha, que fue el resultado de una codificación insegura. Los CIOs y CISOs deben pensar cuidadosamente si sus equipos de desarrollo son la primera línea de riesgo, o son los campeones de seguridad de la empresa, la verdadera "primera línea de defensa" de su empresa.
He creado esta lista de comprobación de la codificación segura para ayudar a los CIO y CISO a considerar si han configurado sus equipos de desarrollo para que sean campeones de la codificación segura que puedan ayudarle a innovar con un código más rápido, mejor y más seguro.
1. ¿Reconoce su ejecutivo de nivel superior que la seguridad tradicional de la red no es suficiente?
Proteger la capa de red con las medidas de seguridad tradicionales ya no es suficiente y, de todos modos, rara vez tenía éxito, incluso contra los hackers semiprofesionales. Entre muchos informes coincidentes, el informe de Verizon sobre investigaciones de fugas de datos de 2017 sitúa que el 35% de las fugas de datos actuales están causadas por vulnerabilidades de las aplicaciones web. La seguridad de las aplicaciones web es tan importante como la seguridad de la red.
2. ¿Está pensando en la seguridad desde el principio?
Las herramientas actuales de seguridad de las aplicaciones se centran en ir de derecha a izquierda en el ciclo de vida del desarrollo del software (SDLC). Este enfoque favorece la detección y la reacción, lo que significa que los equipos de seguridad detectan las vulnerabilidades en el código escrito y reaccionan para solucionarlas. Según el Instituto Nacional de Estándares y Tecnología (NIST), es 30 veces más caro detectar y corregir las vulnerabilidades en el código comprometido que prevenirlas al escribir el código en el IDE. Por no hablar de los retrasos en los que se incurre para remediar el problema. Los campeones del código seguro comienzan en el extremo izquierdo del SDLC, centrándose en la formación continua de sus desarrolladores en la codificación segura, para que puedan ser la primera línea de defensa de su organización, evitando las vulnerabilidades en primer lugar.
3. ¿Realmente construye habilidades de seguridad en lugar de sólo alimentar el conocimiento?
La mayoría de las soluciones de formación (en línea y en el aula) se centran en la creación de conocimientos en lugar de en la creación de habilidades. Para que los desarrolladores escriban código seguro, necesitan tener acceso regular a un aprendizaje práctico que les haga participar activamente en el aprendizaje y la creación de sus habilidades de codificación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y en sus propios lenguajes/marcos. Esta experiencia de aprendizaje debe ayudarles a comprender cómo localizar, identificar y corregir las vulnerabilidades conocidas en el código.
4. ¿Mide sus habilidades de codificación segura con métricas en tiempo real?
Es importante crear pruebas que demuestren al desarrollador y a su organización que las habilidades de codificación segura de un desarrollador están mejorando. No se puede mejorar lo que no se puede medir. Sus evaluaciones deben ayudar a identificar el progreso de sus equipos de desarrollo en tiempo real, así como a comparar sus puntos fuertes y débiles en materia de codificación segura.
5. ¿Está seguro de que sus proveedores subcontratados aplican técnicas de codificación seguras?
Muchas organizaciones deciden contratar trabajos de desarrollo a grandes empresas de desarrollo onshore o offshore. En el mejor de los casos, la única forma de garantizar la seguridad que pide una organización es una declaración en el contrato que exige que el producto final sea "seguro". Pocos verifican realmente las habilidades de estas empresas de desarrollo por adelantado y terminan con un software que no sigue las buenas prácticas de codificación segura. En el peor de los casos, no las conocen y ponen en marcha la aplicación. El escenario más común es que los especialistas dedicados a ello (por los que usted paga) los detecten y usted se enfrente a retrasos en la puesta en marcha y a discusiones contractuales sobre quién tiene que pagar por la corrección de estas debilidades de seguridad. Sea inteligente por adelantado, y evalúe las habilidades de seguridad de la aplicación de los desarrolladores que van a construir su próxima aplicación.
6. ¿Sus desarrolladores conocen los puntos débiles de seguridad más comunes?
El 85,5% de las vulnerabilidades de las aplicaciones web explotadas se atribuyen a sólo 10 vulnerabilidades conocidas " el Top 10 de OWASP. Su formación en seguridad de aplicaciones debe cubrir como mínimo éstas y muchos más tipos de vulnerabilidades. Los retos que sus desarrolladores completan deben ser continuamente revisados y actualizados con nuevos retos para nuevos marcos de codificación o nuevos tipos de vulnerabilidad.
7. ¿Dispone de campeones de seguridad internos?
Todas las organizaciones con muchos desarrolladores deberían invertir en alguien que defienda la seguridad dentro de sus equipos de desarrollo. Su propósito es ser un punto de contacto de apoyo para cualquier persona que tenga preguntas sobre la seguridad, pero también defender las prácticas de codificación y arquitectura seguras dentro de un equipo.
8. ¿Ha invertido en herramientas para que sus desarrolladores faciliten la codificación segura?
En un entorno con muchos cambios en las aplicaciones o en el que se practica un desarrollo ágil, la automatización de partes de la seguridad es esencial para mantener el ritmo y el volumen. Hay herramientas disponibles en cada etapa del ciclo de vida del desarrollo que servirán como asesores, puertas de calidad o herramientas de detección. Hay plugins del IDE que se centran en determinados tipos de errores de seguridad y actúan como correctores ortográficos mientras el desarrollador escribe su código. También hay herramientas que se integran con el proceso de construcción que detectan ciertos tipos de debilidades cuando el código se está enviando a un repositorio de código. También hay herramientas que ejecutan pruebas automatizadas sobre el código, simulando técnicas de hacking una vez que el software está en producción. Todas tienen sus propias ventajas y dificultades, y ninguna puede garantizar al 100% que no haya problemas de seguridad. La regla de oro es que cuanto antes se detecte el punto débil, más rápido y barato será remediarlo con el menor impacto en la empresa.
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
¿Cómo se ha enfrentado su organización a esta lista de control?
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
Si observamos cualquier organización, pública o comercial, hay dos cosas que podemos garantizar. En primer lugar, sus productos y servicios son cada vez más digitales, lo que significa que implican a desarrolladores de software que crean líneas de código. En segundo lugar, estos negocios digitales están bajo la presión de competidores tradicionales y no tradicionales, que operan en un mundo más dinámico y global.
En este entorno, los CIO se han convertido en los nuevos innovadores y ocupan posiciones de poder e influencia. Sin embargo, la fuerte presión para acelerar la salida al mercado, mejorar la calidad y aumentar la flexibilidad ha dado lugar a equipos de desarrollo complejos y distribuidos, centrados en el desarrollo rápido de características y funciones sin tener en cuenta las vulnerabilidades que podrían estar creando.
Ahora más que nunca, se necesita una nueva forma de trabajar. Sólo hay que ver el daño nuclear de Equifax tras su reciente brecha, que fue el resultado de una codificación insegura. Los CIOs y CISOs deben pensar cuidadosamente si sus equipos de desarrollo son la primera línea de riesgo, o son los campeones de seguridad de la empresa, la verdadera "primera línea de defensa" de su empresa.
He creado esta lista de comprobación de la codificación segura para ayudar a los CIO y CISO a considerar si han configurado sus equipos de desarrollo para que sean campeones de la codificación segura que puedan ayudarle a innovar con un código más rápido, mejor y más seguro.
1. ¿Reconoce su ejecutivo de nivel superior que la seguridad tradicional de la red no es suficiente?
Proteger la capa de red con las medidas de seguridad tradicionales ya no es suficiente y, de todos modos, rara vez tenía éxito, incluso contra los hackers semiprofesionales. Entre muchos informes coincidentes, el informe de Verizon sobre investigaciones de fugas de datos de 2017 sitúa que el 35% de las fugas de datos actuales están causadas por vulnerabilidades de las aplicaciones web. La seguridad de las aplicaciones web es tan importante como la seguridad de la red.
2. ¿Está pensando en la seguridad desde el principio?
Las herramientas actuales de seguridad de las aplicaciones se centran en ir de derecha a izquierda en el ciclo de vida del desarrollo del software (SDLC). Este enfoque favorece la detección y la reacción, lo que significa que los equipos de seguridad detectan las vulnerabilidades en el código escrito y reaccionan para solucionarlas. Según el Instituto Nacional de Estándares y Tecnología (NIST), es 30 veces más caro detectar y corregir las vulnerabilidades en el código comprometido que prevenirlas al escribir el código en el IDE. Por no hablar de los retrasos en los que se incurre para remediar el problema. Los campeones del código seguro comienzan en el extremo izquierdo del SDLC, centrándose en la formación continua de sus desarrolladores en la codificación segura, para que puedan ser la primera línea de defensa de su organización, evitando las vulnerabilidades en primer lugar.
3. ¿Realmente construye habilidades de seguridad en lugar de sólo alimentar el conocimiento?
La mayoría de las soluciones de formación (en línea y en el aula) se centran en la creación de conocimientos en lugar de en la creación de habilidades. Para que los desarrolladores escriban código seguro, necesitan tener acceso regular a un aprendizaje práctico que les haga participar activamente en el aprendizaje y la creación de sus habilidades de codificación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y en sus propios lenguajes/marcos. Esta experiencia de aprendizaje debe ayudarles a comprender cómo localizar, identificar y corregir las vulnerabilidades conocidas en el código.
4. ¿Mide sus habilidades de codificación segura con métricas en tiempo real?
Es importante crear pruebas que demuestren al desarrollador y a su organización que las habilidades de codificación segura de un desarrollador están mejorando. No se puede mejorar lo que no se puede medir. Sus evaluaciones deben ayudar a identificar el progreso de sus equipos de desarrollo en tiempo real, así como a comparar sus puntos fuertes y débiles en materia de codificación segura.
5. ¿Está seguro de que sus proveedores subcontratados aplican técnicas de codificación seguras?
Muchas organizaciones deciden contratar trabajos de desarrollo a grandes empresas de desarrollo onshore o offshore. En el mejor de los casos, la única forma de garantizar la seguridad que pide una organización es una declaración en el contrato que exige que el producto final sea "seguro". Pocos verifican realmente las habilidades de estas empresas de desarrollo por adelantado y terminan con un software que no sigue las buenas prácticas de codificación segura. En el peor de los casos, no las conocen y ponen en marcha la aplicación. El escenario más común es que los especialistas dedicados a ello (por los que usted paga) los detecten y usted se enfrente a retrasos en la puesta en marcha y a discusiones contractuales sobre quién tiene que pagar por la corrección de estas debilidades de seguridad. Sea inteligente por adelantado, y evalúe las habilidades de seguridad de la aplicación de los desarrolladores que van a construir su próxima aplicación.
6. ¿Sus desarrolladores conocen los puntos débiles de seguridad más comunes?
El 85,5% de las vulnerabilidades de las aplicaciones web explotadas se atribuyen a sólo 10 vulnerabilidades conocidas " el Top 10 de OWASP. Su formación en seguridad de aplicaciones debe cubrir como mínimo éstas y muchos más tipos de vulnerabilidades. Los retos que sus desarrolladores completan deben ser continuamente revisados y actualizados con nuevos retos para nuevos marcos de codificación o nuevos tipos de vulnerabilidad.
7. ¿Dispone de campeones de seguridad internos?
Todas las organizaciones con muchos desarrolladores deberían invertir en alguien que defienda la seguridad dentro de sus equipos de desarrollo. Su propósito es ser un punto de contacto de apoyo para cualquier persona que tenga preguntas sobre la seguridad, pero también defender las prácticas de codificación y arquitectura seguras dentro de un equipo.
8. ¿Ha invertido en herramientas para que sus desarrolladores faciliten la codificación segura?
En un entorno con muchos cambios en las aplicaciones o en el que se practica un desarrollo ágil, la automatización de partes de la seguridad es esencial para mantener el ritmo y el volumen. Hay herramientas disponibles en cada etapa del ciclo de vida del desarrollo que servirán como asesores, puertas de calidad o herramientas de detección. Hay plugins del IDE que se centran en determinados tipos de errores de seguridad y actúan como correctores ortográficos mientras el desarrollador escribe su código. También hay herramientas que se integran con el proceso de construcción que detectan ciertos tipos de debilidades cuando el código se está enviando a un repositorio de código. También hay herramientas que ejecutan pruebas automatizadas sobre el código, simulando técnicas de hacking una vez que el software está en producción. Todas tienen sus propias ventajas y dificultades, y ninguna puede garantizar al 100% que no haya problemas de seguridad. La regla de oro es que cuanto antes se detecte el punto débil, más rápido y barato será remediarlo con el menor impacto en la empresa.
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
¿Cómo se ha enfrentado su organización a esta lista de control?
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Si observamos cualquier organización, pública o comercial, hay dos cosas que podemos garantizar. En primer lugar, sus productos y servicios son cada vez más digitales, lo que significa que implican a desarrolladores de software que crean líneas de código. En segundo lugar, estos negocios digitales están bajo la presión de competidores tradicionales y no tradicionales, que operan en un mundo más dinámico y global.
En este entorno, los CIO se han convertido en los nuevos innovadores y ocupan posiciones de poder e influencia. Sin embargo, la fuerte presión para acelerar la salida al mercado, mejorar la calidad y aumentar la flexibilidad ha dado lugar a equipos de desarrollo complejos y distribuidos, centrados en el desarrollo rápido de características y funciones sin tener en cuenta las vulnerabilidades que podrían estar creando.
Ahora más que nunca, se necesita una nueva forma de trabajar. Sólo hay que ver el daño nuclear de Equifax tras su reciente brecha, que fue el resultado de una codificación insegura. Los CIOs y CISOs deben pensar cuidadosamente si sus equipos de desarrollo son la primera línea de riesgo, o son los campeones de seguridad de la empresa, la verdadera "primera línea de defensa" de su empresa.
He creado esta lista de comprobación de la codificación segura para ayudar a los CIO y CISO a considerar si han configurado sus equipos de desarrollo para que sean campeones de la codificación segura que puedan ayudarle a innovar con un código más rápido, mejor y más seguro.
1. ¿Reconoce su ejecutivo de nivel superior que la seguridad tradicional de la red no es suficiente?
Proteger la capa de red con las medidas de seguridad tradicionales ya no es suficiente y, de todos modos, rara vez tenía éxito, incluso contra los hackers semiprofesionales. Entre muchos informes coincidentes, el informe de Verizon sobre investigaciones de fugas de datos de 2017 sitúa que el 35% de las fugas de datos actuales están causadas por vulnerabilidades de las aplicaciones web. La seguridad de las aplicaciones web es tan importante como la seguridad de la red.
2. ¿Está pensando en la seguridad desde el principio?
Las herramientas actuales de seguridad de las aplicaciones se centran en ir de derecha a izquierda en el ciclo de vida del desarrollo del software (SDLC). Este enfoque favorece la detección y la reacción, lo que significa que los equipos de seguridad detectan las vulnerabilidades en el código escrito y reaccionan para solucionarlas. Según el Instituto Nacional de Estándares y Tecnología (NIST), es 30 veces más caro detectar y corregir las vulnerabilidades en el código comprometido que prevenirlas al escribir el código en el IDE. Por no hablar de los retrasos en los que se incurre para remediar el problema. Los campeones del código seguro comienzan en el extremo izquierdo del SDLC, centrándose en la formación continua de sus desarrolladores en la codificación segura, para que puedan ser la primera línea de defensa de su organización, evitando las vulnerabilidades en primer lugar.
3. ¿Realmente construye habilidades de seguridad en lugar de sólo alimentar el conocimiento?
La mayoría de las soluciones de formación (en línea y en el aula) se centran en la creación de conocimientos en lugar de en la creación de habilidades. Para que los desarrolladores escriban código seguro, necesitan tener acceso regular a un aprendizaje práctico que les haga participar activamente en el aprendizaje y la creación de sus habilidades de codificación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y en sus propios lenguajes/marcos. Esta experiencia de aprendizaje debe ayudarles a comprender cómo localizar, identificar y corregir las vulnerabilidades conocidas en el código.
4. ¿Mide sus habilidades de codificación segura con métricas en tiempo real?
Es importante crear pruebas que demuestren al desarrollador y a su organización que las habilidades de codificación segura de un desarrollador están mejorando. No se puede mejorar lo que no se puede medir. Sus evaluaciones deben ayudar a identificar el progreso de sus equipos de desarrollo en tiempo real, así como a comparar sus puntos fuertes y débiles en materia de codificación segura.
5. ¿Está seguro de que sus proveedores subcontratados aplican técnicas de codificación seguras?
Muchas organizaciones deciden contratar trabajos de desarrollo a grandes empresas de desarrollo onshore o offshore. En el mejor de los casos, la única forma de garantizar la seguridad que pide una organización es una declaración en el contrato que exige que el producto final sea "seguro". Pocos verifican realmente las habilidades de estas empresas de desarrollo por adelantado y terminan con un software que no sigue las buenas prácticas de codificación segura. En el peor de los casos, no las conocen y ponen en marcha la aplicación. El escenario más común es que los especialistas dedicados a ello (por los que usted paga) los detecten y usted se enfrente a retrasos en la puesta en marcha y a discusiones contractuales sobre quién tiene que pagar por la corrección de estas debilidades de seguridad. Sea inteligente por adelantado, y evalúe las habilidades de seguridad de la aplicación de los desarrolladores que van a construir su próxima aplicación.
6. ¿Sus desarrolladores conocen los puntos débiles de seguridad más comunes?
El 85,5% de las vulnerabilidades de las aplicaciones web explotadas se atribuyen a sólo 10 vulnerabilidades conocidas " el Top 10 de OWASP. Su formación en seguridad de aplicaciones debe cubrir como mínimo éstas y muchos más tipos de vulnerabilidades. Los retos que sus desarrolladores completan deben ser continuamente revisados y actualizados con nuevos retos para nuevos marcos de codificación o nuevos tipos de vulnerabilidad.
7. ¿Dispone de campeones de seguridad internos?
Todas las organizaciones con muchos desarrolladores deberían invertir en alguien que defienda la seguridad dentro de sus equipos de desarrollo. Su propósito es ser un punto de contacto de apoyo para cualquier persona que tenga preguntas sobre la seguridad, pero también defender las prácticas de codificación y arquitectura seguras dentro de un equipo.
8. ¿Ha invertido en herramientas para que sus desarrolladores faciliten la codificación segura?
En un entorno con muchos cambios en las aplicaciones o en el que se practica un desarrollo ágil, la automatización de partes de la seguridad es esencial para mantener el ritmo y el volumen. Hay herramientas disponibles en cada etapa del ciclo de vida del desarrollo que servirán como asesores, puertas de calidad o herramientas de detección. Hay plugins del IDE que se centran en determinados tipos de errores de seguridad y actúan como correctores ortográficos mientras el desarrollador escribe su código. También hay herramientas que se integran con el proceso de construcción que detectan ciertos tipos de debilidades cuando el código se está enviando a un repositorio de código. También hay herramientas que ejecutan pruebas automatizadas sobre el código, simulando técnicas de hacking una vez que el software está en producción. Todas tienen sus propias ventajas y dificultades, y ninguna puede garantizar al 100% que no haya problemas de seguridad. La regla de oro es que cuanto antes se detecte el punto débil, más rápido y barato será remediarlo con el menor impacto en la empresa.
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
¿Cómo se ha enfrentado su organización a esta lista de control?
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Temas y contenidos de la formación sobre código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Temas que cubren todo, desde IA a XQuery Injection, ofrecidos para una variedad de roles desde Arquitectos e Ingenieros a Product Managers y QA. Eche un vistazo a lo que ofrece nuestro catálogo de contenidos por tema y función.
Búsqueda: Aprendizaje líder en la industria para mantener a los desarrolladores por delante mitigando el riesgo.
Quests es una learning platform que ayuda a los desarrolladores a mitigar los riesgos de seguridad del software mediante la mejora de sus habilidades de codificación segura. Con rutas de aprendizaje curadas, desafíos prácticos y actividades interactivas, capacita a los desarrolladores para identificar y prevenir vulnerabilidades.
Recursos para empezar
Inyección indirecta y riesgos de seguridad de las herramientas de codificación agéntica
Cómo se engañó a un agente de codificación para que escribiera código propenso a inyecciones SQL, instalara herramientas de shell y tal vez incluso acechara a su usuario.
La Década de los Defensores: Secure Code Warrior Cumple Diez Años
Secure Code Warriorha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.
10 predicciones clave: Secure Code Warrior sobre la influencia de la IA y el diseño seguro en 2025
Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de seguridad por diseño, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
