¿Son sus desarrolladores la primera línea de riesgo o de defensa? Califique a su empresa según nuestra lista de comprobación de codificación segura
¿Son sus desarrolladores la primera línea de riesgo o de defensa? Califique a su empresa según nuestra lista de comprobación de codificación segura
Si observamos cualquier organización, pública o comercial, hay dos cosas que podemos garantizar. En primer lugar, sus productos y servicios son cada vez más digitales, lo que significa que implican a desarrolladores de software que crean líneas de código. En segundo lugar, estos negocios digitales están bajo la presión de competidores tradicionales y no tradicionales, que operan en un mundo más dinámico y global.
En este entorno, los CIO se han convertido en los nuevos innovadores y ocupan posiciones de poder e influencia. Sin embargo, la fuerte presión para acelerar la salida al mercado, mejorar la calidad y aumentar la flexibilidad ha dado lugar a equipos de desarrollo complejos y distribuidos, centrados en el desarrollo rápido de características y funciones sin tener en cuenta las vulnerabilidades que podrían estar creando.
Ahora más que nunca, se necesita una nueva forma de trabajar. Sólo hay que ver el daño nuclear de Equifax tras su reciente brecha, que fue el resultado de una codificación insegura. Los CIOs y CISOs deben pensar cuidadosamente si sus equipos de desarrollo son la primera línea de riesgo, o son los campeones de seguridad de la empresa, la verdadera "primera línea de defensa" de su empresa.
He creado esta lista de comprobación de la codificación segura para ayudar a los CIO y CISO a considerar si han configurado sus equipos de desarrollo para que sean campeones de la codificación segura que puedan ayudarle a innovar con un código más rápido, mejor y más seguro.
1. ¿Reconoce su ejecutivo de nivel superior que la seguridad tradicional de la red no es suficiente?
Proteger la capa de red con las medidas de seguridad tradicionales ya no es suficiente y, de todos modos, rara vez tenía éxito, incluso contra los hackers semiprofesionales. Entre muchos informes coincidentes, el informe de Verizon sobre investigaciones de fugas de datos de 2017 sitúa que el 35% de las fugas de datos actuales están causadas por vulnerabilidades de las aplicaciones web. La seguridad de las aplicaciones web es tan importante como la seguridad de la red.
2. ¿Está pensando en la seguridad desde el principio?
Las herramientas actuales de seguridad de las aplicaciones se centran en ir de derecha a izquierda en el ciclo de vida del desarrollo del software (SDLC). Este enfoque favorece la detección y la reacción, lo que significa que los equipos de seguridad detectan las vulnerabilidades en el código escrito y reaccionan para solucionarlas. Según el Instituto Nacional de Estándares y Tecnología (NIST), es 30 veces más caro detectar y corregir las vulnerabilidades en el código comprometido que prevenirlas al escribir el código en el IDE. Por no hablar de los retrasos en los que se incurre para remediar el problema. Los campeones del código seguro comienzan en el extremo izquierdo del SDLC, centrándose en la formación continua de sus desarrolladores en la codificación segura, para que puedan ser la primera línea de defensa de su organización, evitando las vulnerabilidades en primer lugar.
3. ¿Realmente construye habilidades de seguridad en lugar de sólo alimentar el conocimiento?
La mayoría de las soluciones de formación (en línea y en el aula) se centran en la creación de conocimientos en lugar de en la creación de habilidades. Para que los desarrolladores escriban código seguro, necesitan tener acceso regular a un aprendizaje práctico que les haga participar activamente en el aprendizaje y la creación de sus habilidades de codificación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y en sus propios lenguajes/marcos. Esta experiencia de aprendizaje debe ayudarles a comprender cómo localizar, identificar y corregir las vulnerabilidades conocidas en el código.
4. ¿Mide sus habilidades de codificación segura con métricas en tiempo real?
Es importante crear pruebas que demuestren al desarrollador y a su organización que las habilidades de codificación segura de un desarrollador están mejorando. No se puede mejorar lo que no se puede medir. Sus evaluaciones deben ayudar a identificar el progreso de sus equipos de desarrollo en tiempo real, así como a comparar sus puntos fuertes y débiles en materia de codificación segura.
5. ¿Está seguro de que sus proveedores subcontratados aplican técnicas de codificación seguras?
Muchas organizaciones deciden contratar trabajos de desarrollo a grandes empresas de desarrollo onshore o offshore. En el mejor de los casos, la única forma de garantizar la seguridad que pide una organización es una declaración en el contrato que exige que el producto final sea "seguro". Pocos verifican realmente las habilidades de estas empresas de desarrollo por adelantado y terminan con un software que no sigue las buenas prácticas de codificación segura. En el peor de los casos, no las conocen y ponen en marcha la aplicación. El escenario más común es que los especialistas dedicados a ello (por los que usted paga) los detecten y usted se enfrente a retrasos en la puesta en marcha y a discusiones contractuales sobre quién tiene que pagar por la corrección de estas debilidades de seguridad. Sea inteligente por adelantado, y evalúe las habilidades de seguridad de la aplicación de los desarrolladores que van a construir su próxima aplicación.
6. ¿Sus desarrolladores conocen los puntos débiles de seguridad más comunes?
El 85,5% de las vulnerabilidades de las aplicaciones web explotadas se atribuyen a sólo 10 vulnerabilidades conocidas " el Top 10 de OWASP. Su formación en seguridad de aplicaciones debe cubrir como mínimo éstas y muchos más tipos de vulnerabilidades. Los retos que sus desarrolladores completan deben ser continuamente revisados y actualizados con nuevos retos para nuevos marcos de codificación o nuevos tipos de vulnerabilidad.
7. ¿Dispone de campeones de seguridad internos?
Todas las organizaciones con muchos desarrolladores deberían invertir en alguien que defienda la seguridad dentro de sus equipos de desarrollo. Su propósito es ser un punto de contacto de apoyo para cualquier persona que tenga preguntas sobre la seguridad, pero también defender las prácticas de codificación y arquitectura seguras dentro de un equipo.
8. ¿Ha invertido en herramientas para que sus desarrolladores faciliten la codificación segura?
En un entorno con muchos cambios en las aplicaciones o en el que se practica un desarrollo ágil, la automatización de partes de la seguridad es esencial para mantener el ritmo y el volumen. Hay herramientas disponibles en cada etapa del ciclo de vida del desarrollo que servirán como asesores, puertas de calidad o herramientas de detección. Hay plugins del IDE que se centran en determinados tipos de errores de seguridad y actúan como correctores ortográficos mientras el desarrollador escribe su código. También hay herramientas que se integran con el proceso de construcción que detectan ciertos tipos de debilidades cuando el código se está enviando a un repositorio de código. También hay herramientas que ejecutan pruebas automatizadas sobre el código, simulando técnicas de hacking una vez que el software está en producción. Todas tienen sus propias ventajas y dificultades, y ninguna puede garantizar al 100% que no haya problemas de seguridad. La regla de oro es que cuanto antes se detecte el punto débil, más rápido y barato será remediarlo con el menor impacto en la empresa.
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
¿Cómo se ha enfrentado su organización a esta lista de control?
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
Pieter Danhieux
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Artículos relacionados que recomendamos
Artículos relacionados que recomendamos
Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.
Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.
Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores
Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.
¿Son sus desarrolladores la primera línea de riesgo o de defensa? Califique a su empresa según nuestra lista de comprobación de codificación segura
Si observamos cualquier organización, pública o comercial, hay dos cosas que podemos garantizar. En primer lugar, sus productos y servicios son cada vez más digitales, lo que significa que implican a desarrolladores de software que crean líneas de código. En segundo lugar, estos negocios digitales están bajo la presión de competidores tradicionales y no tradicionales, que operan en un mundo más dinámico y global.
En este entorno, los CIO se han convertido en los nuevos innovadores y ocupan posiciones de poder e influencia. Sin embargo, la fuerte presión para acelerar la salida al mercado, mejorar la calidad y aumentar la flexibilidad ha dado lugar a equipos de desarrollo complejos y distribuidos, centrados en el desarrollo rápido de características y funciones sin tener en cuenta las vulnerabilidades que podrían estar creando.
Ahora más que nunca, se necesita una nueva forma de trabajar. Sólo hay que ver el daño nuclear de Equifax tras su reciente brecha, que fue el resultado de una codificación insegura. Los CIOs y CISOs deben pensar cuidadosamente si sus equipos de desarrollo son la primera línea de riesgo, o son los campeones de seguridad de la empresa, la verdadera "primera línea de defensa" de su empresa.
He creado esta lista de comprobación de la codificación segura para ayudar a los CIO y CISO a considerar si han configurado sus equipos de desarrollo para que sean campeones de la codificación segura que puedan ayudarle a innovar con un código más rápido, mejor y más seguro.
1. ¿Reconoce su ejecutivo de nivel superior que la seguridad tradicional de la red no es suficiente?
Proteger la capa de red con las medidas de seguridad tradicionales ya no es suficiente y, de todos modos, rara vez tenía éxito, incluso contra los hackers semiprofesionales. Entre muchos informes coincidentes, el informe de Verizon sobre investigaciones de fugas de datos de 2017 sitúa que el 35% de las fugas de datos actuales están causadas por vulnerabilidades de las aplicaciones web. La seguridad de las aplicaciones web es tan importante como la seguridad de la red.
2. ¿Está pensando en la seguridad desde el principio?
Las herramientas actuales de seguridad de las aplicaciones se centran en ir de derecha a izquierda en el ciclo de vida del desarrollo del software (SDLC). Este enfoque favorece la detección y la reacción, lo que significa que los equipos de seguridad detectan las vulnerabilidades en el código escrito y reaccionan para solucionarlas. Según el Instituto Nacional de Estándares y Tecnología (NIST), es 30 veces más caro detectar y corregir las vulnerabilidades en el código comprometido que prevenirlas al escribir el código en el IDE. Por no hablar de los retrasos en los que se incurre para remediar el problema. Los campeones del código seguro comienzan en el extremo izquierdo del SDLC, centrándose en la formación continua de sus desarrolladores en la codificación segura, para que puedan ser la primera línea de defensa de su organización, evitando las vulnerabilidades en primer lugar.
3. ¿Realmente construye habilidades de seguridad en lugar de sólo alimentar el conocimiento?
La mayoría de las soluciones de formación (en línea y en el aula) se centran en la creación de conocimientos en lugar de en la creación de habilidades. Para que los desarrolladores escriban código seguro, necesitan tener acceso regular a un aprendizaje práctico que les haga participar activamente en el aprendizaje y la creación de sus habilidades de codificación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y en sus propios lenguajes/marcos. Esta experiencia de aprendizaje debe ayudarles a comprender cómo localizar, identificar y corregir las vulnerabilidades conocidas en el código.
4. ¿Mide sus habilidades de codificación segura con métricas en tiempo real?
Es importante crear pruebas que demuestren al desarrollador y a su organización que las habilidades de codificación segura de un desarrollador están mejorando. No se puede mejorar lo que no se puede medir. Sus evaluaciones deben ayudar a identificar el progreso de sus equipos de desarrollo en tiempo real, así como a comparar sus puntos fuertes y débiles en materia de codificación segura.
5. ¿Está seguro de que sus proveedores subcontratados aplican técnicas de codificación seguras?
Muchas organizaciones deciden contratar trabajos de desarrollo a grandes empresas de desarrollo onshore o offshore. En el mejor de los casos, la única forma de garantizar la seguridad que pide una organización es una declaración en el contrato que exige que el producto final sea "seguro". Pocos verifican realmente las habilidades de estas empresas de desarrollo por adelantado y terminan con un software que no sigue las buenas prácticas de codificación segura. En el peor de los casos, no las conocen y ponen en marcha la aplicación. El escenario más común es que los especialistas dedicados a ello (por los que usted paga) los detecten y usted se enfrente a retrasos en la puesta en marcha y a discusiones contractuales sobre quién tiene que pagar por la corrección de estas debilidades de seguridad. Sea inteligente por adelantado, y evalúe las habilidades de seguridad de la aplicación de los desarrolladores que van a construir su próxima aplicación.
6. ¿Sus desarrolladores conocen los puntos débiles de seguridad más comunes?
El 85,5% de las vulnerabilidades de las aplicaciones web explotadas se atribuyen a sólo 10 vulnerabilidades conocidas " el Top 10 de OWASP. Su formación en seguridad de aplicaciones debe cubrir como mínimo éstas y muchos más tipos de vulnerabilidades. Los retos que sus desarrolladores completan deben ser continuamente revisados y actualizados con nuevos retos para nuevos marcos de codificación o nuevos tipos de vulnerabilidad.
7. ¿Dispone de campeones de seguridad internos?
Todas las organizaciones con muchos desarrolladores deberían invertir en alguien que defienda la seguridad dentro de sus equipos de desarrollo. Su propósito es ser un punto de contacto de apoyo para cualquier persona que tenga preguntas sobre la seguridad, pero también defender las prácticas de codificación y arquitectura seguras dentro de un equipo.
8. ¿Ha invertido en herramientas para que sus desarrolladores faciliten la codificación segura?
En un entorno con muchos cambios en las aplicaciones o en el que se practica un desarrollo ágil, la automatización de partes de la seguridad es esencial para mantener el ritmo y el volumen. Hay herramientas disponibles en cada etapa del ciclo de vida del desarrollo que servirán como asesores, puertas de calidad o herramientas de detección. Hay plugins del IDE que se centran en determinados tipos de errores de seguridad y actúan como correctores ortográficos mientras el desarrollador escribe su código. También hay herramientas que se integran con el proceso de construcción que detectan ciertos tipos de debilidades cuando el código se está enviando a un repositorio de código. También hay herramientas que ejecutan pruebas automatizadas sobre el código, simulando técnicas de hacking una vez que el software está en producción. Todas tienen sus propias ventajas y dificultades, y ninguna puede garantizar al 100% que no haya problemas de seguridad. La regla de oro es que cuanto antes se detecte el punto débil, más rápido y barato será remediarlo con el menor impacto en la empresa.
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
¿Cómo se ha enfrentado su organización a esta lista de control?
A medida que los CIOs construyen agresivamente sus capacidades de agilidad empresarial, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción. Piénselo dos veces antes de omitir esta capacidad crítica.
