¿Son sus desarrolladores la primera línea de riesgo o de defensa? Califique a su empresa según nuestra lista de comprobación de codificación segura
Si observamos cualquier organización, pública o comercial, hay dos cosas que podemos garantizar. En primer lugar, sus productos y servicios son cada vez más digitales, lo que significa que implican a desarrolladores de software que crean líneas de código. En segundo lugar, estos negocios digitales están bajo la presión de competidores tradicionales y no tradicionales, que operan en un mundo más dinámico y global.
En este entorno, los CIO se han convertido en los nuevos innovadores y ocupan posiciones de poder e influencia. Sin embargo, la fuerte presión para acelerar la salida al mercado, mejorar la calidad y aumentar la flexibilidad ha dado lugar a equipos de desarrollo complejos y distribuidos, centrados en el desarrollo rápido de características y funciones sin tener en cuenta las vulnerabilidades que podrían estar creando.
Ahora más que nunca, se necesita una nueva forma de trabajar. Sólo hay que ver el daño nuclear de Equifax tras su reciente brecha, que fue el resultado de una codificación insegura. Los CIOs y CISOs deben pensar cuidadosamente si sus equipos de desarrollo son la primera línea de riesgo, o son los campeones de seguridad de la empresa, la verdadera "primera línea de defensa" de su empresa.
He creado esta lista de comprobación de la codificación segura para ayudar a los CIO y CISO a considerar si han configurado sus equipos de desarrollo para que sean campeones de la codificación segura que puedan ayudarle a innovar con un código más rápido, mejor y más seguro.
1. ¿Reconoce su ejecutivo de nivel superior que la seguridad tradicional de la red no es suficiente?
Proteger la capa de red con las medidas de seguridad tradicionales ya no es suficiente y, de todos modos, rara vez tenía éxito, incluso contra los hackers semiprofesionales. Entre muchos informes coincidentes, el informe de Verizon sobre investigaciones de fugas de datos de 2017 sitúa que el 35% de las fugas de datos actuales están causadas por vulnerabilidades de las aplicaciones web. La seguridad de las aplicaciones web es tan importante como la seguridad de la red.
2. ¿Está pensando en la seguridad desde el principio?
Las herramientas actuales de seguridad de las aplicaciones se centran en ir de derecha a izquierda en el ciclo de vida del desarrollo del software (SDLC). Este enfoque favorece la detección y la reacción, lo que significa que los equipos de seguridad detectan las vulnerabilidades en el código escrito y reaccionan para solucionarlas. Según el Instituto Nacional de Estándares y Tecnología (NIST), es 30 veces más caro detectar y corregir las vulnerabilidades en el código comprometido que prevenirlas al escribir el código en el IDE. Por no hablar de los retrasos en los que se incurre para remediar el problema. Los campeones del código seguro comienzan en el extremo izquierdo del SDLC, centrándose en la formación continua de sus desarrolladores en la codificación segura, para que puedan ser la primera línea de defensa de su organización, evitando las vulnerabilidades en primer lugar.
3. ¿Realmente construye habilidades de seguridad en lugar de sólo alimentar el conocimiento?
La mayoría de las soluciones de formación (en línea y en el aula) se centran en la creación de conocimientos en lugar de en la creación de habilidades. Para que los desarrolladores escriban código seguro, necesitan tener acceso regular a un aprendizaje práctico que les haga participar activamente en el aprendizaje y la creación de sus habilidades de codificación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y en sus propios lenguajes/marcos. Esta experiencia de aprendizaje debe ayudarles a comprender cómo localizar, identificar y corregir las vulnerabilidades conocidas en el código.
4. ¿Mide sus habilidades de codificación segura con métricas en tiempo real?
Es importante crear pruebas que demuestren al desarrollador y a su organización que las habilidades de codificación segura de un desarrollador están mejorando. No se puede mejorar lo que no se puede medir. Sus evaluaciones deben ayudar a identificar el progreso de sus equipos de desarrollo en tiempo real, así como a comparar sus puntos fuertes y débiles en materia de codificación segura.
5. ¿Está seguro de que sus proveedores subcontratados aplican técnicas de codificación seguras?
Muchas organizaciones deciden contratar trabajos de desarrollo a grandes empresas de desarrollo onshore o offshore. En el mejor de los casos, la única forma de garantizar la seguridad que pide una organización es una declaración en el contrato que exige que el producto final sea "seguro". Pocos verifican realmente las habilidades de estas empresas de desarrollo por adelantado y terminan con un software que no sigue las buenas prácticas de codificación segura. En el peor de los casos, no las conocen y ponen en marcha la aplicación. El escenario más común es que los especialistas dedicados a ello (por los que usted paga) los detecten y usted se enfrente a retrasos en la puesta en marcha y a discusiones contractuales sobre quién tiene que pagar por la corrección de estas debilidades de seguridad. Sea inteligente por adelantado, y evalúe las habilidades de seguridad de la aplicación de los desarrolladores que van a construir su próxima aplicación.
6. ¿Sus desarrolladores conocen los puntos débiles de seguridad más comunes?
El 85,5% de las vulnerabilidades de las aplicaciones web explotadas se atribuyen a sólo 10 vulnerabilidades conocidas " el Top 10 de OWASP. Su formación en seguridad de aplicaciones debe cubrir como mínimo éstas y muchos más tipos de vulnerabilidades. Los retos que sus desarrolladores completan deben ser continuamente revisados y actualizados con nuevos retos para nuevos marcos de codificación o nuevos tipos de vulnerabilidad.
7. ¿Dispone de campeones de seguridad internos?
Todas las organizaciones con muchos desarrolladores deberían invertir en alguien que defienda la seguridad dentro de sus equipos de desarrollo. Su propósito es ser un punto de contacto de apoyo para cualquier persona que tenga preguntas sobre la seguridad, pero también defender las prácticas de codificación y arquitectura seguras dentro de un equipo.
8. ¿Ha invertido en herramientas para que sus desarrolladores faciliten la codificación segura?
En un entorno con muchos cambios en las aplicaciones o en el que se practica un desarrollo ágil, la automatización de partes de la seguridad es esencial para mantener el ritmo y el volumen. Hay herramientas disponibles en cada etapa del ciclo de vida del desarrollo que servirán como asesores, puertas de calidad o herramientas de detección. Hay plugins del IDE que se centran en determinados tipos de errores de seguridad y actúan como correctores ortográficos mientras el desarrollador escribe su código. También hay herramientas que se integran con el proceso de construcción que detectan ciertos tipos de debilidades cuando el código se está enviando a un repositorio de código. También hay herramientas que ejecutan pruebas automatizadas sobre el código, simulando técnicas de hacking una vez que el software está en producción. Todas tienen sus propias ventajas y dificultades, y ninguna puede garantizar al 100% que no haya problemas de seguridad. La regla de oro es que cuanto antes se detecte el punto débil, más rápido y barato será remediarlo con el menor impacto en la empresa.
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
¿Cómo se ha enfrentado su organización a esta lista de control?
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Si observamos cualquier organización, pública o comercial, hay dos cosas que podemos garantizar. En primer lugar, sus productos y servicios son cada vez más digitales, lo que significa que implican a desarrolladores de software que crean líneas de código. En segundo lugar, estos negocios digitales están bajo la presión de competidores tradicionales y no tradicionales, que operan en un mundo más dinámico y global.
En este entorno, los CIO se han convertido en los nuevos innovadores y ocupan posiciones de poder e influencia. Sin embargo, la fuerte presión para acelerar la salida al mercado, mejorar la calidad y aumentar la flexibilidad ha dado lugar a equipos de desarrollo complejos y distribuidos, centrados en el desarrollo rápido de características y funciones sin tener en cuenta las vulnerabilidades que podrían estar creando.
Ahora más que nunca, se necesita una nueva forma de trabajar. Sólo hay que ver el daño nuclear de Equifax tras su reciente brecha, que fue el resultado de una codificación insegura. Los CIOs y CISOs deben pensar cuidadosamente si sus equipos de desarrollo son la primera línea de riesgo, o son los campeones de seguridad de la empresa, la verdadera "primera línea de defensa" de su empresa.
He creado esta lista de comprobación de la codificación segura para ayudar a los CIO y CISO a considerar si han configurado sus equipos de desarrollo para que sean campeones de la codificación segura que puedan ayudarle a innovar con un código más rápido, mejor y más seguro.
1. ¿Reconoce su ejecutivo de nivel superior que la seguridad tradicional de la red no es suficiente?
Proteger la capa de red con las medidas de seguridad tradicionales ya no es suficiente y, de todos modos, rara vez tenía éxito, incluso contra los hackers semiprofesionales. Entre muchos informes coincidentes, el informe de Verizon sobre investigaciones de fugas de datos de 2017 sitúa que el 35% de las fugas de datos actuales están causadas por vulnerabilidades de las aplicaciones web. La seguridad de las aplicaciones web es tan importante como la seguridad de la red.
2. ¿Está pensando en la seguridad desde el principio?
Las herramientas actuales de seguridad de las aplicaciones se centran en ir de derecha a izquierda en el ciclo de vida del desarrollo del software (SDLC). Este enfoque favorece la detección y la reacción, lo que significa que los equipos de seguridad detectan las vulnerabilidades en el código escrito y reaccionan para solucionarlas. Según el Instituto Nacional de Estándares y Tecnología (NIST), es 30 veces más caro detectar y corregir las vulnerabilidades en el código comprometido que prevenirlas al escribir el código en el IDE. Por no hablar de los retrasos en los que se incurre para remediar el problema. Los campeones del código seguro comienzan en el extremo izquierdo del SDLC, centrándose en la formación continua de sus desarrolladores en la codificación segura, para que puedan ser la primera línea de defensa de su organización, evitando las vulnerabilidades en primer lugar.
3. ¿Realmente construye habilidades de seguridad en lugar de sólo alimentar el conocimiento?
La mayoría de las soluciones de formación (en línea y en el aula) se centran en la creación de conocimientos en lugar de en la creación de habilidades. Para que los desarrolladores escriban código seguro, necesitan tener acceso regular a un aprendizaje práctico que les haga participar activamente en el aprendizaje y la creación de sus habilidades de codificación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y en sus propios lenguajes/marcos. Esta experiencia de aprendizaje debe ayudarles a comprender cómo localizar, identificar y corregir las vulnerabilidades conocidas en el código.
4. ¿Mide sus habilidades de codificación segura con métricas en tiempo real?
Es importante crear pruebas que demuestren al desarrollador y a su organización que las habilidades de codificación segura de un desarrollador están mejorando. No se puede mejorar lo que no se puede medir. Sus evaluaciones deben ayudar a identificar el progreso de sus equipos de desarrollo en tiempo real, así como a comparar sus puntos fuertes y débiles en materia de codificación segura.
5. ¿Está seguro de que sus proveedores subcontratados aplican técnicas de codificación seguras?
Muchas organizaciones deciden contratar trabajos de desarrollo a grandes empresas de desarrollo onshore o offshore. En el mejor de los casos, la única forma de garantizar la seguridad que pide una organización es una declaración en el contrato que exige que el producto final sea "seguro". Pocos verifican realmente las habilidades de estas empresas de desarrollo por adelantado y terminan con un software que no sigue las buenas prácticas de codificación segura. En el peor de los casos, no las conocen y ponen en marcha la aplicación. El escenario más común es que los especialistas dedicados a ello (por los que usted paga) los detecten y usted se enfrente a retrasos en la puesta en marcha y a discusiones contractuales sobre quién tiene que pagar por la corrección de estas debilidades de seguridad. Sea inteligente por adelantado, y evalúe las habilidades de seguridad de la aplicación de los desarrolladores que van a construir su próxima aplicación.
6. ¿Sus desarrolladores conocen los puntos débiles de seguridad más comunes?
El 85,5% de las vulnerabilidades de las aplicaciones web explotadas se atribuyen a sólo 10 vulnerabilidades conocidas " el Top 10 de OWASP. Su formación en seguridad de aplicaciones debe cubrir como mínimo éstas y muchos más tipos de vulnerabilidades. Los retos que sus desarrolladores completan deben ser continuamente revisados y actualizados con nuevos retos para nuevos marcos de codificación o nuevos tipos de vulnerabilidad.
7. ¿Dispone de campeones de seguridad internos?
Todas las organizaciones con muchos desarrolladores deberían invertir en alguien que defienda la seguridad dentro de sus equipos de desarrollo. Su propósito es ser un punto de contacto de apoyo para cualquier persona que tenga preguntas sobre la seguridad, pero también defender las prácticas de codificación y arquitectura seguras dentro de un equipo.
8. ¿Ha invertido en herramientas para que sus desarrolladores faciliten la codificación segura?
En un entorno con muchos cambios en las aplicaciones o en el que se practica un desarrollo ágil, la automatización de partes de la seguridad es esencial para mantener el ritmo y el volumen. Hay herramientas disponibles en cada etapa del ciclo de vida del desarrollo que servirán como asesores, puertas de calidad o herramientas de detección. Hay plugins del IDE que se centran en determinados tipos de errores de seguridad y actúan como correctores ortográficos mientras el desarrollador escribe su código. También hay herramientas que se integran con el proceso de construcción que detectan ciertos tipos de debilidades cuando el código se está enviando a un repositorio de código. También hay herramientas que ejecutan pruebas automatizadas sobre el código, simulando técnicas de hacking una vez que el software está en producción. Todas tienen sus propias ventajas y dificultades, y ninguna puede garantizar al 100% que no haya problemas de seguridad. La regla de oro es que cuanto antes se detecte el punto débil, más rápido y barato será remediarlo con el menor impacto en la empresa.
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
¿Cómo se ha enfrentado su organización a esta lista de control?
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
Si observamos cualquier organización, pública o comercial, hay dos cosas que podemos garantizar. En primer lugar, sus productos y servicios son cada vez más digitales, lo que significa que implican a desarrolladores de software que crean líneas de código. En segundo lugar, estos negocios digitales están bajo la presión de competidores tradicionales y no tradicionales, que operan en un mundo más dinámico y global.
En este entorno, los CIO se han convertido en los nuevos innovadores y ocupan posiciones de poder e influencia. Sin embargo, la fuerte presión para acelerar la salida al mercado, mejorar la calidad y aumentar la flexibilidad ha dado lugar a equipos de desarrollo complejos y distribuidos, centrados en el desarrollo rápido de características y funciones sin tener en cuenta las vulnerabilidades que podrían estar creando.
Ahora más que nunca, se necesita una nueva forma de trabajar. Sólo hay que ver el daño nuclear de Equifax tras su reciente brecha, que fue el resultado de una codificación insegura. Los CIOs y CISOs deben pensar cuidadosamente si sus equipos de desarrollo son la primera línea de riesgo, o son los campeones de seguridad de la empresa, la verdadera "primera línea de defensa" de su empresa.
He creado esta lista de comprobación de la codificación segura para ayudar a los CIO y CISO a considerar si han configurado sus equipos de desarrollo para que sean campeones de la codificación segura que puedan ayudarle a innovar con un código más rápido, mejor y más seguro.
1. ¿Reconoce su ejecutivo de nivel superior que la seguridad tradicional de la red no es suficiente?
Proteger la capa de red con las medidas de seguridad tradicionales ya no es suficiente y, de todos modos, rara vez tenía éxito, incluso contra los hackers semiprofesionales. Entre muchos informes coincidentes, el informe de Verizon sobre investigaciones de fugas de datos de 2017 sitúa que el 35% de las fugas de datos actuales están causadas por vulnerabilidades de las aplicaciones web. La seguridad de las aplicaciones web es tan importante como la seguridad de la red.
2. ¿Está pensando en la seguridad desde el principio?
Las herramientas actuales de seguridad de las aplicaciones se centran en ir de derecha a izquierda en el ciclo de vida del desarrollo del software (SDLC). Este enfoque favorece la detección y la reacción, lo que significa que los equipos de seguridad detectan las vulnerabilidades en el código escrito y reaccionan para solucionarlas. Según el Instituto Nacional de Estándares y Tecnología (NIST), es 30 veces más caro detectar y corregir las vulnerabilidades en el código comprometido que prevenirlas al escribir el código en el IDE. Por no hablar de los retrasos en los que se incurre para remediar el problema. Los campeones del código seguro comienzan en el extremo izquierdo del SDLC, centrándose en la formación continua de sus desarrolladores en la codificación segura, para que puedan ser la primera línea de defensa de su organización, evitando las vulnerabilidades en primer lugar.
3. ¿Realmente construye habilidades de seguridad en lugar de sólo alimentar el conocimiento?
La mayoría de las soluciones de formación (en línea y en el aula) se centran en la creación de conocimientos en lugar de en la creación de habilidades. Para que los desarrolladores escriban código seguro, necesitan tener acceso regular a un aprendizaje práctico que les haga participar activamente en el aprendizaje y la creación de sus habilidades de codificación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y en sus propios lenguajes/marcos. Esta experiencia de aprendizaje debe ayudarles a comprender cómo localizar, identificar y corregir las vulnerabilidades conocidas en el código.
4. ¿Mide sus habilidades de codificación segura con métricas en tiempo real?
Es importante crear pruebas que demuestren al desarrollador y a su organización que las habilidades de codificación segura de un desarrollador están mejorando. No se puede mejorar lo que no se puede medir. Sus evaluaciones deben ayudar a identificar el progreso de sus equipos de desarrollo en tiempo real, así como a comparar sus puntos fuertes y débiles en materia de codificación segura.
5. ¿Está seguro de que sus proveedores subcontratados aplican técnicas de codificación seguras?
Muchas organizaciones deciden contratar trabajos de desarrollo a grandes empresas de desarrollo onshore o offshore. En el mejor de los casos, la única forma de garantizar la seguridad que pide una organización es una declaración en el contrato que exige que el producto final sea "seguro". Pocos verifican realmente las habilidades de estas empresas de desarrollo por adelantado y terminan con un software que no sigue las buenas prácticas de codificación segura. En el peor de los casos, no las conocen y ponen en marcha la aplicación. El escenario más común es que los especialistas dedicados a ello (por los que usted paga) los detecten y usted se enfrente a retrasos en la puesta en marcha y a discusiones contractuales sobre quién tiene que pagar por la corrección de estas debilidades de seguridad. Sea inteligente por adelantado, y evalúe las habilidades de seguridad de la aplicación de los desarrolladores que van a construir su próxima aplicación.
6. ¿Sus desarrolladores conocen los puntos débiles de seguridad más comunes?
El 85,5% de las vulnerabilidades de las aplicaciones web explotadas se atribuyen a sólo 10 vulnerabilidades conocidas " el Top 10 de OWASP. Su formación en seguridad de aplicaciones debe cubrir como mínimo éstas y muchos más tipos de vulnerabilidades. Los retos que sus desarrolladores completan deben ser continuamente revisados y actualizados con nuevos retos para nuevos marcos de codificación o nuevos tipos de vulnerabilidad.
7. ¿Dispone de campeones de seguridad internos?
Todas las organizaciones con muchos desarrolladores deberían invertir en alguien que defienda la seguridad dentro de sus equipos de desarrollo. Su propósito es ser un punto de contacto de apoyo para cualquier persona que tenga preguntas sobre la seguridad, pero también defender las prácticas de codificación y arquitectura seguras dentro de un equipo.
8. ¿Ha invertido en herramientas para que sus desarrolladores faciliten la codificación segura?
En un entorno con muchos cambios en las aplicaciones o en el que se practica un desarrollo ágil, la automatización de partes de la seguridad es esencial para mantener el ritmo y el volumen. Hay herramientas disponibles en cada etapa del ciclo de vida del desarrollo que servirán como asesores, puertas de calidad o herramientas de detección. Hay plugins del IDE que se centran en determinados tipos de errores de seguridad y actúan como correctores ortográficos mientras el desarrollador escribe su código. También hay herramientas que se integran con el proceso de construcción que detectan ciertos tipos de debilidades cuando el código se está enviando a un repositorio de código. También hay herramientas que ejecutan pruebas automatizadas sobre el código, simulando técnicas de hacking una vez que el software está en producción. Todas tienen sus propias ventajas y dificultades, y ninguna puede garantizar al 100% que no haya problemas de seguridad. La regla de oro es que cuanto antes se detecte el punto débil, más rápido y barato será remediarlo con el menor impacto en la empresa.
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
¿Cómo se ha enfrentado su organización a esta lista de control?
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Si observamos cualquier organización, pública o comercial, hay dos cosas que podemos garantizar. En primer lugar, sus productos y servicios son cada vez más digitales, lo que significa que implican a desarrolladores de software que crean líneas de código. En segundo lugar, estos negocios digitales están bajo la presión de competidores tradicionales y no tradicionales, que operan en un mundo más dinámico y global.
En este entorno, los CIO se han convertido en los nuevos innovadores y ocupan posiciones de poder e influencia. Sin embargo, la fuerte presión para acelerar la salida al mercado, mejorar la calidad y aumentar la flexibilidad ha dado lugar a equipos de desarrollo complejos y distribuidos, centrados en el desarrollo rápido de características y funciones sin tener en cuenta las vulnerabilidades que podrían estar creando.
Ahora más que nunca, se necesita una nueva forma de trabajar. Sólo hay que ver el daño nuclear de Equifax tras su reciente brecha, que fue el resultado de una codificación insegura. Los CIOs y CISOs deben pensar cuidadosamente si sus equipos de desarrollo son la primera línea de riesgo, o son los campeones de seguridad de la empresa, la verdadera "primera línea de defensa" de su empresa.
He creado esta lista de comprobación de la codificación segura para ayudar a los CIO y CISO a considerar si han configurado sus equipos de desarrollo para que sean campeones de la codificación segura que puedan ayudarle a innovar con un código más rápido, mejor y más seguro.
1. ¿Reconoce su ejecutivo de nivel superior que la seguridad tradicional de la red no es suficiente?
Proteger la capa de red con las medidas de seguridad tradicionales ya no es suficiente y, de todos modos, rara vez tenía éxito, incluso contra los hackers semiprofesionales. Entre muchos informes coincidentes, el informe de Verizon sobre investigaciones de fugas de datos de 2017 sitúa que el 35% de las fugas de datos actuales están causadas por vulnerabilidades de las aplicaciones web. La seguridad de las aplicaciones web es tan importante como la seguridad de la red.
2. ¿Está pensando en la seguridad desde el principio?
Las herramientas actuales de seguridad de las aplicaciones se centran en ir de derecha a izquierda en el ciclo de vida del desarrollo del software (SDLC). Este enfoque favorece la detección y la reacción, lo que significa que los equipos de seguridad detectan las vulnerabilidades en el código escrito y reaccionan para solucionarlas. Según el Instituto Nacional de Estándares y Tecnología (NIST), es 30 veces más caro detectar y corregir las vulnerabilidades en el código comprometido que prevenirlas al escribir el código en el IDE. Por no hablar de los retrasos en los que se incurre para remediar el problema. Los campeones del código seguro comienzan en el extremo izquierdo del SDLC, centrándose en la formación continua de sus desarrolladores en la codificación segura, para que puedan ser la primera línea de defensa de su organización, evitando las vulnerabilidades en primer lugar.
3. ¿Realmente construye habilidades de seguridad en lugar de sólo alimentar el conocimiento?
La mayoría de las soluciones de formación (en línea y en el aula) se centran en la creación de conocimientos en lugar de en la creación de habilidades. Para que los desarrolladores escriban código seguro, necesitan tener acceso regular a un aprendizaje práctico que les haga participar activamente en el aprendizaje y la creación de sus habilidades de codificación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y en sus propios lenguajes/marcos. Esta experiencia de aprendizaje debe ayudarles a comprender cómo localizar, identificar y corregir las vulnerabilidades conocidas en el código.
4. ¿Mide sus habilidades de codificación segura con métricas en tiempo real?
Es importante crear pruebas que demuestren al desarrollador y a su organización que las habilidades de codificación segura de un desarrollador están mejorando. No se puede mejorar lo que no se puede medir. Sus evaluaciones deben ayudar a identificar el progreso de sus equipos de desarrollo en tiempo real, así como a comparar sus puntos fuertes y débiles en materia de codificación segura.
5. ¿Está seguro de que sus proveedores subcontratados aplican técnicas de codificación seguras?
Muchas organizaciones deciden contratar trabajos de desarrollo a grandes empresas de desarrollo onshore o offshore. En el mejor de los casos, la única forma de garantizar la seguridad que pide una organización es una declaración en el contrato que exige que el producto final sea "seguro". Pocos verifican realmente las habilidades de estas empresas de desarrollo por adelantado y terminan con un software que no sigue las buenas prácticas de codificación segura. En el peor de los casos, no las conocen y ponen en marcha la aplicación. El escenario más común es que los especialistas dedicados a ello (por los que usted paga) los detecten y usted se enfrente a retrasos en la puesta en marcha y a discusiones contractuales sobre quién tiene que pagar por la corrección de estas debilidades de seguridad. Sea inteligente por adelantado, y evalúe las habilidades de seguridad de la aplicación de los desarrolladores que van a construir su próxima aplicación.
6. ¿Sus desarrolladores conocen los puntos débiles de seguridad más comunes?
El 85,5% de las vulnerabilidades de las aplicaciones web explotadas se atribuyen a sólo 10 vulnerabilidades conocidas " el Top 10 de OWASP. Su formación en seguridad de aplicaciones debe cubrir como mínimo éstas y muchos más tipos de vulnerabilidades. Los retos que sus desarrolladores completan deben ser continuamente revisados y actualizados con nuevos retos para nuevos marcos de codificación o nuevos tipos de vulnerabilidad.
7. ¿Dispone de campeones de seguridad internos?
Todas las organizaciones con muchos desarrolladores deberían invertir en alguien que defienda la seguridad dentro de sus equipos de desarrollo. Su propósito es ser un punto de contacto de apoyo para cualquier persona que tenga preguntas sobre la seguridad, pero también defender las prácticas de codificación y arquitectura seguras dentro de un equipo.
8. ¿Ha invertido en herramientas para que sus desarrolladores faciliten la codificación segura?
En un entorno con muchos cambios en las aplicaciones o en el que se practica un desarrollo ágil, la automatización de partes de la seguridad es esencial para mantener el ritmo y el volumen. Hay herramientas disponibles en cada etapa del ciclo de vida del desarrollo que servirán como asesores, puertas de calidad o herramientas de detección. Hay plugins del IDE que se centran en determinados tipos de errores de seguridad y actúan como correctores ortográficos mientras el desarrollador escribe su código. También hay herramientas que se integran con el proceso de construcción que detectan ciertos tipos de debilidades cuando el código se está enviando a un repositorio de código. También hay herramientas que ejecutan pruebas automatizadas sobre el código, simulando técnicas de hacking una vez que el software está en producción. Todas tienen sus propias ventajas y dificultades, y ninguna puede garantizar al 100% que no haya problemas de seguridad. La regla de oro es que cuanto antes se detecte el punto débil, más rápido y barato será remediarlo con el menor impacto en la empresa.
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
¿Cómo se ha enfrentado su organización a esta lista de control?
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Panorama de la gestión de riesgos de los promotores
La gestión de riesgos del desarrollador es un enfoque holístico y proactivo de la seguridad de las aplicaciones, centrado en quienes contribuyen al código y no en los bits y bytes de la propia capa de la aplicación.
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Recursos para empezar
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
