¿Son sus desarrolladores la primera línea de riesgo o de defensa? Califique a su empresa según nuestra lista de comprobación de codificación segura
Si observamos cualquier organización, pública o comercial, hay dos cosas que podemos garantizar. En primer lugar, sus productos y servicios son cada vez más digitales, lo que significa que implican a desarrolladores de software que crean líneas de código. En segundo lugar, estos negocios digitales están bajo la presión de competidores tradicionales y no tradicionales, que operan en un mundo más dinámico y global.
En este entorno, los CIO se han convertido en los nuevos innovadores y ocupan posiciones de poder e influencia. Sin embargo, la fuerte presión para acelerar la salida al mercado, mejorar la calidad y aumentar la flexibilidad ha dado lugar a equipos de desarrollo complejos y distribuidos, centrados en el desarrollo rápido de características y funciones sin tener en cuenta las vulnerabilidades que podrían estar creando.
Ahora más que nunca, se necesita una nueva forma de trabajar. Sólo hay que ver el daño nuclear de Equifax tras su reciente brecha, que fue el resultado de una codificación insegura. Los CIOs y CISOs deben pensar cuidadosamente si sus equipos de desarrollo son la primera línea de riesgo, o son los campeones de seguridad de la empresa, la verdadera "primera línea de defensa" de su empresa.
He creado esta lista de comprobación de la codificación segura para ayudar a los CIO y CISO a considerar si han configurado sus equipos de desarrollo para que sean campeones de la codificación segura que puedan ayudarle a innovar con un código más rápido, mejor y más seguro.
1. ¿Reconoce su ejecutivo de nivel superior que la seguridad tradicional de la red no es suficiente?
Proteger la capa de red con las medidas de seguridad tradicionales ya no es suficiente y, de todos modos, rara vez tenía éxito, incluso contra los hackers semiprofesionales. Entre muchos informes coincidentes, el informe de Verizon sobre investigaciones de fugas de datos de 2017 sitúa que el 35% de las fugas de datos actuales están causadas por vulnerabilidades de las aplicaciones web. La seguridad de las aplicaciones web es tan importante como la seguridad de la red.
2. ¿Está pensando en la seguridad desde el principio?
Las herramientas actuales de seguridad de las aplicaciones se centran en ir de derecha a izquierda en el ciclo de vida del desarrollo del software (SDLC). Este enfoque favorece la detección y la reacción, lo que significa que los equipos de seguridad detectan las vulnerabilidades en el código escrito y reaccionan para solucionarlas. Según el Instituto Nacional de Estándares y Tecnología (NIST), es 30 veces más caro detectar y corregir las vulnerabilidades en el código comprometido que prevenirlas al escribir el código en el IDE. Por no hablar de los retrasos en los que se incurre para remediar el problema. Los campeones del código seguro comienzan en el extremo izquierdo del SDLC, centrándose en la formación continua de sus desarrolladores en la codificación segura, para que puedan ser la primera línea de defensa de su organización, evitando las vulnerabilidades en primer lugar.
3. ¿Realmente construye habilidades de seguridad en lugar de sólo alimentar el conocimiento?
La mayoría de las soluciones de formación (en línea y en el aula) se centran en la creación de conocimientos en lugar de en la creación de habilidades. Para que los desarrolladores escriban código seguro, necesitan tener acceso regular a un aprendizaje práctico que les haga participar activamente en el aprendizaje y la creación de sus habilidades de codificación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y en sus propios lenguajes/marcos. Esta experiencia de aprendizaje debe ayudarles a comprender cómo localizar, identificar y corregir las vulnerabilidades conocidas en el código.
4. ¿Mide sus habilidades de codificación segura con métricas en tiempo real?
Es importante crear pruebas que demuestren al desarrollador y a su organización que las habilidades de codificación segura de un desarrollador están mejorando. No se puede mejorar lo que no se puede medir. Sus evaluaciones deben ayudar a identificar el progreso de sus equipos de desarrollo en tiempo real, así como a comparar sus puntos fuertes y débiles en materia de codificación segura.
5. ¿Está seguro de que sus proveedores subcontratados aplican técnicas de codificación seguras?
Muchas organizaciones deciden contratar trabajos de desarrollo a grandes empresas de desarrollo onshore o offshore. En el mejor de los casos, la única forma de garantizar la seguridad que pide una organización es una declaración en el contrato que exige que el producto final sea "seguro". Pocos verifican realmente las habilidades de estas empresas de desarrollo por adelantado y terminan con un software que no sigue las buenas prácticas de codificación segura. En el peor de los casos, no las conocen y ponen en marcha la aplicación. El escenario más común es que los especialistas dedicados a ello (por los que usted paga) los detecten y usted se enfrente a retrasos en la puesta en marcha y a discusiones contractuales sobre quién tiene que pagar por la corrección de estas debilidades de seguridad. Sea inteligente por adelantado, y evalúe las habilidades de seguridad de la aplicación de los desarrolladores que van a construir su próxima aplicación.
6. ¿Sus desarrolladores conocen los puntos débiles de seguridad más comunes?
El 85,5% de las vulnerabilidades de las aplicaciones web explotadas se atribuyen a sólo 10 vulnerabilidades conocidas " el Top 10 de OWASP. Su formación en seguridad de aplicaciones debe cubrir como mínimo éstas y muchos más tipos de vulnerabilidades. Los retos que sus desarrolladores completan deben ser continuamente revisados y actualizados con nuevos retos para nuevos marcos de codificación o nuevos tipos de vulnerabilidad.
7. ¿Dispone de campeones de seguridad internos?
Todas las organizaciones con muchos desarrolladores deberían invertir en alguien que defienda la seguridad dentro de sus equipos de desarrollo. Su propósito es ser un punto de contacto de apoyo para cualquier persona que tenga preguntas sobre la seguridad, pero también defender las prácticas de codificación y arquitectura seguras dentro de un equipo.
8. ¿Ha invertido en herramientas para que sus desarrolladores faciliten la codificación segura?
En un entorno con muchos cambios en las aplicaciones o en el que se practica un desarrollo ágil, la automatización de partes de la seguridad es esencial para mantener el ritmo y el volumen. Hay herramientas disponibles en cada etapa del ciclo de vida del desarrollo que servirán como asesores, puertas de calidad o herramientas de detección. Hay plugins del IDE que se centran en determinados tipos de errores de seguridad y actúan como correctores ortográficos mientras el desarrollador escribe su código. También hay herramientas que se integran con el proceso de construcción que detectan ciertos tipos de debilidades cuando el código se está enviando a un repositorio de código. También hay herramientas que ejecutan pruebas automatizadas sobre el código, simulando técnicas de hacking una vez que el software está en producción. Todas tienen sus propias ventajas y dificultades, y ninguna puede garantizar al 100% que no haya problemas de seguridad. La regla de oro es que cuanto antes se detecte el punto débil, más rápido y barato será remediarlo con el menor impacto en la empresa.
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
¿Cómo se ha enfrentado su organización a esta lista de control?
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Si observamos cualquier organización, pública o comercial, hay dos cosas que podemos garantizar. En primer lugar, sus productos y servicios son cada vez más digitales, lo que significa que implican a desarrolladores de software que crean líneas de código. En segundo lugar, estos negocios digitales están bajo la presión de competidores tradicionales y no tradicionales, que operan en un mundo más dinámico y global.
En este entorno, los CIO se han convertido en los nuevos innovadores y ocupan posiciones de poder e influencia. Sin embargo, la fuerte presión para acelerar la salida al mercado, mejorar la calidad y aumentar la flexibilidad ha dado lugar a equipos de desarrollo complejos y distribuidos, centrados en el desarrollo rápido de características y funciones sin tener en cuenta las vulnerabilidades que podrían estar creando.
Ahora más que nunca, se necesita una nueva forma de trabajar. Sólo hay que ver el daño nuclear de Equifax tras su reciente brecha, que fue el resultado de una codificación insegura. Los CIOs y CISOs deben pensar cuidadosamente si sus equipos de desarrollo son la primera línea de riesgo, o son los campeones de seguridad de la empresa, la verdadera "primera línea de defensa" de su empresa.
He creado esta lista de comprobación de la codificación segura para ayudar a los CIO y CISO a considerar si han configurado sus equipos de desarrollo para que sean campeones de la codificación segura que puedan ayudarle a innovar con un código más rápido, mejor y más seguro.
1. ¿Reconoce su ejecutivo de nivel superior que la seguridad tradicional de la red no es suficiente?
Proteger la capa de red con las medidas de seguridad tradicionales ya no es suficiente y, de todos modos, rara vez tenía éxito, incluso contra los hackers semiprofesionales. Entre muchos informes coincidentes, el informe de Verizon sobre investigaciones de fugas de datos de 2017 sitúa que el 35% de las fugas de datos actuales están causadas por vulnerabilidades de las aplicaciones web. La seguridad de las aplicaciones web es tan importante como la seguridad de la red.
2. ¿Está pensando en la seguridad desde el principio?
Las herramientas actuales de seguridad de las aplicaciones se centran en ir de derecha a izquierda en el ciclo de vida del desarrollo del software (SDLC). Este enfoque favorece la detección y la reacción, lo que significa que los equipos de seguridad detectan las vulnerabilidades en el código escrito y reaccionan para solucionarlas. Según el Instituto Nacional de Estándares y Tecnología (NIST), es 30 veces más caro detectar y corregir las vulnerabilidades en el código comprometido que prevenirlas al escribir el código en el IDE. Por no hablar de los retrasos en los que se incurre para remediar el problema. Los campeones del código seguro comienzan en el extremo izquierdo del SDLC, centrándose en la formación continua de sus desarrolladores en la codificación segura, para que puedan ser la primera línea de defensa de su organización, evitando las vulnerabilidades en primer lugar.
3. ¿Realmente construye habilidades de seguridad en lugar de sólo alimentar el conocimiento?
La mayoría de las soluciones de formación (en línea y en el aula) se centran en la creación de conocimientos en lugar de en la creación de habilidades. Para que los desarrolladores escriban código seguro, necesitan tener acceso regular a un aprendizaje práctico que les haga participar activamente en el aprendizaje y la creación de sus habilidades de codificación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y en sus propios lenguajes/marcos. Esta experiencia de aprendizaje debe ayudarles a comprender cómo localizar, identificar y corregir las vulnerabilidades conocidas en el código.
4. ¿Mide sus habilidades de codificación segura con métricas en tiempo real?
Es importante crear pruebas que demuestren al desarrollador y a su organización que las habilidades de codificación segura de un desarrollador están mejorando. No se puede mejorar lo que no se puede medir. Sus evaluaciones deben ayudar a identificar el progreso de sus equipos de desarrollo en tiempo real, así como a comparar sus puntos fuertes y débiles en materia de codificación segura.
5. ¿Está seguro de que sus proveedores subcontratados aplican técnicas de codificación seguras?
Muchas organizaciones deciden contratar trabajos de desarrollo a grandes empresas de desarrollo onshore o offshore. En el mejor de los casos, la única forma de garantizar la seguridad que pide una organización es una declaración en el contrato que exige que el producto final sea "seguro". Pocos verifican realmente las habilidades de estas empresas de desarrollo por adelantado y terminan con un software que no sigue las buenas prácticas de codificación segura. En el peor de los casos, no las conocen y ponen en marcha la aplicación. El escenario más común es que los especialistas dedicados a ello (por los que usted paga) los detecten y usted se enfrente a retrasos en la puesta en marcha y a discusiones contractuales sobre quién tiene que pagar por la corrección de estas debilidades de seguridad. Sea inteligente por adelantado, y evalúe las habilidades de seguridad de la aplicación de los desarrolladores que van a construir su próxima aplicación.
6. ¿Sus desarrolladores conocen los puntos débiles de seguridad más comunes?
El 85,5% de las vulnerabilidades de las aplicaciones web explotadas se atribuyen a sólo 10 vulnerabilidades conocidas " el Top 10 de OWASP. Su formación en seguridad de aplicaciones debe cubrir como mínimo éstas y muchos más tipos de vulnerabilidades. Los retos que sus desarrolladores completan deben ser continuamente revisados y actualizados con nuevos retos para nuevos marcos de codificación o nuevos tipos de vulnerabilidad.
7. ¿Dispone de campeones de seguridad internos?
Todas las organizaciones con muchos desarrolladores deberían invertir en alguien que defienda la seguridad dentro de sus equipos de desarrollo. Su propósito es ser un punto de contacto de apoyo para cualquier persona que tenga preguntas sobre la seguridad, pero también defender las prácticas de codificación y arquitectura seguras dentro de un equipo.
8. ¿Ha invertido en herramientas para que sus desarrolladores faciliten la codificación segura?
En un entorno con muchos cambios en las aplicaciones o en el que se practica un desarrollo ágil, la automatización de partes de la seguridad es esencial para mantener el ritmo y el volumen. Hay herramientas disponibles en cada etapa del ciclo de vida del desarrollo que servirán como asesores, puertas de calidad o herramientas de detección. Hay plugins del IDE que se centran en determinados tipos de errores de seguridad y actúan como correctores ortográficos mientras el desarrollador escribe su código. También hay herramientas que se integran con el proceso de construcción que detectan ciertos tipos de debilidades cuando el código se está enviando a un repositorio de código. También hay herramientas que ejecutan pruebas automatizadas sobre el código, simulando técnicas de hacking una vez que el software está en producción. Todas tienen sus propias ventajas y dificultades, y ninguna puede garantizar al 100% que no haya problemas de seguridad. La regla de oro es que cuanto antes se detecte el punto débil, más rápido y barato será remediarlo con el menor impacto en la empresa.
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
¿Cómo se ha enfrentado su organización a esta lista de control?
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
Si observamos cualquier organización, pública o comercial, hay dos cosas que podemos garantizar. En primer lugar, sus productos y servicios son cada vez más digitales, lo que significa que implican a desarrolladores de software que crean líneas de código. En segundo lugar, estos negocios digitales están bajo la presión de competidores tradicionales y no tradicionales, que operan en un mundo más dinámico y global.
En este entorno, los CIO se han convertido en los nuevos innovadores y ocupan posiciones de poder e influencia. Sin embargo, la fuerte presión para acelerar la salida al mercado, mejorar la calidad y aumentar la flexibilidad ha dado lugar a equipos de desarrollo complejos y distribuidos, centrados en el desarrollo rápido de características y funciones sin tener en cuenta las vulnerabilidades que podrían estar creando.
Ahora más que nunca, se necesita una nueva forma de trabajar. Sólo hay que ver el daño nuclear de Equifax tras su reciente brecha, que fue el resultado de una codificación insegura. Los CIOs y CISOs deben pensar cuidadosamente si sus equipos de desarrollo son la primera línea de riesgo, o son los campeones de seguridad de la empresa, la verdadera "primera línea de defensa" de su empresa.
He creado esta lista de comprobación de la codificación segura para ayudar a los CIO y CISO a considerar si han configurado sus equipos de desarrollo para que sean campeones de la codificación segura que puedan ayudarle a innovar con un código más rápido, mejor y más seguro.
1. ¿Reconoce su ejecutivo de nivel superior que la seguridad tradicional de la red no es suficiente?
Proteger la capa de red con las medidas de seguridad tradicionales ya no es suficiente y, de todos modos, rara vez tenía éxito, incluso contra los hackers semiprofesionales. Entre muchos informes coincidentes, el informe de Verizon sobre investigaciones de fugas de datos de 2017 sitúa que el 35% de las fugas de datos actuales están causadas por vulnerabilidades de las aplicaciones web. La seguridad de las aplicaciones web es tan importante como la seguridad de la red.
2. ¿Está pensando en la seguridad desde el principio?
Las herramientas actuales de seguridad de las aplicaciones se centran en ir de derecha a izquierda en el ciclo de vida del desarrollo del software (SDLC). Este enfoque favorece la detección y la reacción, lo que significa que los equipos de seguridad detectan las vulnerabilidades en el código escrito y reaccionan para solucionarlas. Según el Instituto Nacional de Estándares y Tecnología (NIST), es 30 veces más caro detectar y corregir las vulnerabilidades en el código comprometido que prevenirlas al escribir el código en el IDE. Por no hablar de los retrasos en los que se incurre para remediar el problema. Los campeones del código seguro comienzan en el extremo izquierdo del SDLC, centrándose en la formación continua de sus desarrolladores en la codificación segura, para que puedan ser la primera línea de defensa de su organización, evitando las vulnerabilidades en primer lugar.
3. ¿Realmente construye habilidades de seguridad en lugar de sólo alimentar el conocimiento?
La mayoría de las soluciones de formación (en línea y en el aula) se centran en la creación de conocimientos en lugar de en la creación de habilidades. Para que los desarrolladores escriban código seguro, necesitan tener acceso regular a un aprendizaje práctico que les haga participar activamente en el aprendizaje y la creación de sus habilidades de codificación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y en sus propios lenguajes/marcos. Esta experiencia de aprendizaje debe ayudarles a comprender cómo localizar, identificar y corregir las vulnerabilidades conocidas en el código.
4. ¿Mide sus habilidades de codificación segura con métricas en tiempo real?
Es importante crear pruebas que demuestren al desarrollador y a su organización que las habilidades de codificación segura de un desarrollador están mejorando. No se puede mejorar lo que no se puede medir. Sus evaluaciones deben ayudar a identificar el progreso de sus equipos de desarrollo en tiempo real, así como a comparar sus puntos fuertes y débiles en materia de codificación segura.
5. ¿Está seguro de que sus proveedores subcontratados aplican técnicas de codificación seguras?
Muchas organizaciones deciden contratar trabajos de desarrollo a grandes empresas de desarrollo onshore o offshore. En el mejor de los casos, la única forma de garantizar la seguridad que pide una organización es una declaración en el contrato que exige que el producto final sea "seguro". Pocos verifican realmente las habilidades de estas empresas de desarrollo por adelantado y terminan con un software que no sigue las buenas prácticas de codificación segura. En el peor de los casos, no las conocen y ponen en marcha la aplicación. El escenario más común es que los especialistas dedicados a ello (por los que usted paga) los detecten y usted se enfrente a retrasos en la puesta en marcha y a discusiones contractuales sobre quién tiene que pagar por la corrección de estas debilidades de seguridad. Sea inteligente por adelantado, y evalúe las habilidades de seguridad de la aplicación de los desarrolladores que van a construir su próxima aplicación.
6. ¿Sus desarrolladores conocen los puntos débiles de seguridad más comunes?
El 85,5% de las vulnerabilidades de las aplicaciones web explotadas se atribuyen a sólo 10 vulnerabilidades conocidas " el Top 10 de OWASP. Su formación en seguridad de aplicaciones debe cubrir como mínimo éstas y muchos más tipos de vulnerabilidades. Los retos que sus desarrolladores completan deben ser continuamente revisados y actualizados con nuevos retos para nuevos marcos de codificación o nuevos tipos de vulnerabilidad.
7. ¿Dispone de campeones de seguridad internos?
Todas las organizaciones con muchos desarrolladores deberían invertir en alguien que defienda la seguridad dentro de sus equipos de desarrollo. Su propósito es ser un punto de contacto de apoyo para cualquier persona que tenga preguntas sobre la seguridad, pero también defender las prácticas de codificación y arquitectura seguras dentro de un equipo.
8. ¿Ha invertido en herramientas para que sus desarrolladores faciliten la codificación segura?
En un entorno con muchos cambios en las aplicaciones o en el que se practica un desarrollo ágil, la automatización de partes de la seguridad es esencial para mantener el ritmo y el volumen. Hay herramientas disponibles en cada etapa del ciclo de vida del desarrollo que servirán como asesores, puertas de calidad o herramientas de detección. Hay plugins del IDE que se centran en determinados tipos de errores de seguridad y actúan como correctores ortográficos mientras el desarrollador escribe su código. También hay herramientas que se integran con el proceso de construcción que detectan ciertos tipos de debilidades cuando el código se está enviando a un repositorio de código. También hay herramientas que ejecutan pruebas automatizadas sobre el código, simulando técnicas de hacking una vez que el software está en producción. Todas tienen sus propias ventajas y dificultades, y ninguna puede garantizar al 100% que no haya problemas de seguridad. La regla de oro es que cuanto antes se detecte el punto débil, más rápido y barato será remediarlo con el menor impacto en la empresa.
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
¿Cómo se ha enfrentado su organización a esta lista de control?
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Si observamos cualquier organización, pública o comercial, hay dos cosas que podemos garantizar. En primer lugar, sus productos y servicios son cada vez más digitales, lo que significa que implican a desarrolladores de software que crean líneas de código. En segundo lugar, estos negocios digitales están bajo la presión de competidores tradicionales y no tradicionales, que operan en un mundo más dinámico y global.
En este entorno, los CIO se han convertido en los nuevos innovadores y ocupan posiciones de poder e influencia. Sin embargo, la fuerte presión para acelerar la salida al mercado, mejorar la calidad y aumentar la flexibilidad ha dado lugar a equipos de desarrollo complejos y distribuidos, centrados en el desarrollo rápido de características y funciones sin tener en cuenta las vulnerabilidades que podrían estar creando.
Ahora más que nunca, se necesita una nueva forma de trabajar. Sólo hay que ver el daño nuclear de Equifax tras su reciente brecha, que fue el resultado de una codificación insegura. Los CIOs y CISOs deben pensar cuidadosamente si sus equipos de desarrollo son la primera línea de riesgo, o son los campeones de seguridad de la empresa, la verdadera "primera línea de defensa" de su empresa.
He creado esta lista de comprobación de la codificación segura para ayudar a los CIO y CISO a considerar si han configurado sus equipos de desarrollo para que sean campeones de la codificación segura que puedan ayudarle a innovar con un código más rápido, mejor y más seguro.
1. ¿Reconoce su ejecutivo de nivel superior que la seguridad tradicional de la red no es suficiente?
Proteger la capa de red con las medidas de seguridad tradicionales ya no es suficiente y, de todos modos, rara vez tenía éxito, incluso contra los hackers semiprofesionales. Entre muchos informes coincidentes, el informe de Verizon sobre investigaciones de fugas de datos de 2017 sitúa que el 35% de las fugas de datos actuales están causadas por vulnerabilidades de las aplicaciones web. La seguridad de las aplicaciones web es tan importante como la seguridad de la red.
2. ¿Está pensando en la seguridad desde el principio?
Las herramientas actuales de seguridad de las aplicaciones se centran en ir de derecha a izquierda en el ciclo de vida del desarrollo del software (SDLC). Este enfoque favorece la detección y la reacción, lo que significa que los equipos de seguridad detectan las vulnerabilidades en el código escrito y reaccionan para solucionarlas. Según el Instituto Nacional de Estándares y Tecnología (NIST), es 30 veces más caro detectar y corregir las vulnerabilidades en el código comprometido que prevenirlas al escribir el código en el IDE. Por no hablar de los retrasos en los que se incurre para remediar el problema. Los campeones del código seguro comienzan en el extremo izquierdo del SDLC, centrándose en la formación continua de sus desarrolladores en la codificación segura, para que puedan ser la primera línea de defensa de su organización, evitando las vulnerabilidades en primer lugar.
3. ¿Realmente construye habilidades de seguridad en lugar de sólo alimentar el conocimiento?
La mayoría de las soluciones de formación (en línea y en el aula) se centran en la creación de conocimientos en lugar de en la creación de habilidades. Para que los desarrolladores escriban código seguro, necesitan tener acceso regular a un aprendizaje práctico que les haga participar activamente en el aprendizaje y la creación de sus habilidades de codificación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y en sus propios lenguajes/marcos. Esta experiencia de aprendizaje debe ayudarles a comprender cómo localizar, identificar y corregir las vulnerabilidades conocidas en el código.
4. ¿Mide sus habilidades de codificación segura con métricas en tiempo real?
Es importante crear pruebas que demuestren al desarrollador y a su organización que las habilidades de codificación segura de un desarrollador están mejorando. No se puede mejorar lo que no se puede medir. Sus evaluaciones deben ayudar a identificar el progreso de sus equipos de desarrollo en tiempo real, así como a comparar sus puntos fuertes y débiles en materia de codificación segura.
5. ¿Está seguro de que sus proveedores subcontratados aplican técnicas de codificación seguras?
Muchas organizaciones deciden contratar trabajos de desarrollo a grandes empresas de desarrollo onshore o offshore. En el mejor de los casos, la única forma de garantizar la seguridad que pide una organización es una declaración en el contrato que exige que el producto final sea "seguro". Pocos verifican realmente las habilidades de estas empresas de desarrollo por adelantado y terminan con un software que no sigue las buenas prácticas de codificación segura. En el peor de los casos, no las conocen y ponen en marcha la aplicación. El escenario más común es que los especialistas dedicados a ello (por los que usted paga) los detecten y usted se enfrente a retrasos en la puesta en marcha y a discusiones contractuales sobre quién tiene que pagar por la corrección de estas debilidades de seguridad. Sea inteligente por adelantado, y evalúe las habilidades de seguridad de la aplicación de los desarrolladores que van a construir su próxima aplicación.
6. ¿Sus desarrolladores conocen los puntos débiles de seguridad más comunes?
El 85,5% de las vulnerabilidades de las aplicaciones web explotadas se atribuyen a sólo 10 vulnerabilidades conocidas " el Top 10 de OWASP. Su formación en seguridad de aplicaciones debe cubrir como mínimo éstas y muchos más tipos de vulnerabilidades. Los retos que sus desarrolladores completan deben ser continuamente revisados y actualizados con nuevos retos para nuevos marcos de codificación o nuevos tipos de vulnerabilidad.
7. ¿Dispone de campeones de seguridad internos?
Todas las organizaciones con muchos desarrolladores deberían invertir en alguien que defienda la seguridad dentro de sus equipos de desarrollo. Su propósito es ser un punto de contacto de apoyo para cualquier persona que tenga preguntas sobre la seguridad, pero también defender las prácticas de codificación y arquitectura seguras dentro de un equipo.
8. ¿Ha invertido en herramientas para que sus desarrolladores faciliten la codificación segura?
En un entorno con muchos cambios en las aplicaciones o en el que se practica un desarrollo ágil, la automatización de partes de la seguridad es esencial para mantener el ritmo y el volumen. Hay herramientas disponibles en cada etapa del ciclo de vida del desarrollo que servirán como asesores, puertas de calidad o herramientas de detección. Hay plugins del IDE que se centran en determinados tipos de errores de seguridad y actúan como correctores ortográficos mientras el desarrollador escribe su código. También hay herramientas que se integran con el proceso de construcción que detectan ciertos tipos de debilidades cuando el código se está enviando a un repositorio de código. También hay herramientas que ejecutan pruebas automatizadas sobre el código, simulando técnicas de hacking una vez que el software está en producción. Todas tienen sus propias ventajas y dificultades, y ninguna puede garantizar al 100% que no haya problemas de seguridad. La regla de oro es que cuanto antes se detecte el punto débil, más rápido y barato será remediarlo con el menor impacto en la empresa.
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
¿Cómo se ha enfrentado su organización a esta lista de control?
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
La potencia de OpenText Fortify + Secure Code Warrior
OpenText Fortify y Secure Code Warrior unen sus fuerzas para ayudar a las empresas a reducir riesgos, transformar a los desarrolladores en campeones de la seguridad y fomentar la confianza de los clientes. Más información aquí.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
Recursos para empezar
OWASP Top 10 para aplicaciones LLM: Novedades, cambios y cómo mantenerse seguro
Manténgase a la vanguardia de la seguridad de las aplicaciones LLM con las últimas actualizaciones del Top 10 de OWASP. Descubra qué hay de nuevo, qué ha cambiado y cómo Secure Code Warrior le equipa con recursos de aprendizaje actualizados para mitigar los riesgos en la IA Generativa.
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
.png)
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
