Construir la confianza: El camino hacia una verdadera sinergia de seguridad entre AppSec y los desarrolladores
Una versión de este artículo apareció en Revista de Ciberdefensa. Se ha actualizado y sindicado aquí.
Una relación que se construye sobre la base inestable de la desconfianza es, bueno, mejor abordarla con bajas expectativas. Lamentablemente, este puede ser el estado de la relación de trabajo entre los desarrolladores y el equipo de AppSec dentro de una organización. Por lo general, la situación no es ideal y conduce a malos resultados en un mundo de dependencias tecnológicas de alto riesgo.
Los desarrolladores prosperan en la resolución de problemas, la creación de características y la creatividad en su trabajo. La seguridad de las aplicaciones, por otro lado, tiene la poco envidiable tarea de encontrar fallos de seguridad en su código, devolverlo para que se corrija y proporcionar auditorías e informes que estropean el brillo de los proyectos favoritos de los ingenieros. No es justo culpar únicamente a los desarrolladores -la seguridad no es su prioridad ni forma parte de sus KPI- ni se puede penalizar al sobrecargado equipo de AppSec por hacer simplemente su trabajo. Sin embargo, para las mejores prácticas de ciberseguridad, y mejores resultados de seguridad a nivel organizativo, realmente necesitan empezar a jugar bien.
Y todo comienza con la confianza.
La imagen de "chico malo" de AppSec se interpone en el camino de la armonía de DevSecOps.
Si tus únicas interacciones con alguien se producen cuando te señalan dónde te has equivocado, lo más probable es que su aportación no se vea con buenos ojos.
Rara vez se ve a menos que haya un problema, las connotaciones negativas de la presencia del equipo de seguridad tienden a causar cierta fricción. La relación ha estado fracturada durante bastante tiempo, con los desarrolladores viendo al equipo de AppSec como bloqueadores de su creatividad, proceso y envío puntual de características, mientras que AppSec se cansa mucho de señalar continuamente errores de seguridad comunes que han existido (al igual que su remedio) durante décadas.
Con plazos cada vez más imposibles, equipos con pocos recursos y un fuerte deseo de evitar el retrabajo, los desarrolladores suelen esperar hasta el último momento posible para enviar su código, haciendo que la ventana de oportunidad para la revisión e intervención de AppSec sea lo más pequeña posible. Un proceso disfuncional, y que tiene un impacto inaceptable de aumento del riesgo de ciberseguridad para la organización.
Para los especialistas en seguridad, es un caso de "no disparar al mensajero" - después de todo, su trabajo es encontrar errores y reportarlos para que puedan ser remediados - nada personal. El problema es que a menudo pueden hacer recomendaciones que no son las más adecuadas para la pila tecnológica de la empresa, por lo que pueden considerarse poco útiles en el panorama general del desarrollo de software interno.
La noción de AppSec como el villano es contraintuitiva para la mayoría de las metodologías de desarrollo, pero para DevSecOps, es un desastre. El estándar de oro se ha movido mucho más allá de Waterfall, Agile, e incluso DevOps, en un proceso que ve la seguridad como una responsabilidad compartida desde el principio del SDLC como vital.
Para que el DevSecOps funcione, los ingenieros de software deben tener una razón para preocuparse por la seguridad, y eso pasa por entender por qué es tan importante para ellos hacer su parte para asegurar el software del mundo. Los especialistas en seguridad que se esfuerzan por extender la rama de olivo, trabajan con los directores de desarrollo para satisfacer las necesidades del equipo y asumen un papel más de mentores para fomentar la concienciación sobre la seguridad tienden a ver los beneficios a largo plazo de sus esfuerzos... y pasan algo menos de tiempo rasgándose las vestiduras por otro error XSS.
Los desarrolladores deben estar capacitados para ofrecer mejores resultados de codificación segura.
Cuando se trata de aprender codificación segura durante la educación terciaria, para muchos ingenieros es inexistente. Y no es porque estuvieran ocupados jugando al beer pong y al WoW: simplemente no forma parte de la mayoría de las titulaciones de informática y TI.
Para ello, la formación en el puesto de trabajo es a menudo la primera que recibe un desarrollador en el arte de la seguridad del software, y rara vez le hace arder el mundo. Las horas de vídeos aburridos son un método de formación habitual, al igual que los ejercicios de cumplimiento de normas que son demasiado infrecuentes como para tener un impacto real en la enseñanza de los desarrolladores de cómo codificar de forma segura, o hacer algún progreso en la reducción de las vulnerabilidades comunes en el software de una organización.
Tanto el equipo de AppSec como la cohorte de desarrollo están muy ocupados, por lo que cualquier formación debe ser significativa, atractiva y práctica. Hablando desde un entorno de desarrollo, nos encanta resolver problemas y utilizar las herramientas, por lo que la mayoría de la formación estática pasa de largo mientras nos concentramos en algo más urgente (o, seamos sinceros, interesante).
Los especialistas en seguridad de las aplicaciones están en un lugar de influencia, y pueden forjar una situación beneficiosa a largo plazo defendiendo los intereses de los desarrolladores. Buscar una formación viable que sea relevante para el trabajo y que se imparta en sus lenguajes y marcos preferidos es un gran paso para cambiar la aguja e inspirar una cultura de seguridad positiva de base dentro de una organización. Llevamos décadas intentando lo mismo, y está claro que el enfoque de formación "de talla única" no funciona. Al ayudar a proporcionar las herramientas y los conocimientos adecuados a los desarrolladores, éstos pueden mejorar su capacitación en materia de codificación segura, actuar con un mayor sentido de la seguridad y producir un código de mayor calidad.
Los esfuerzos para llegar a la misma página deben venir de ambas partes.
Es fácil que personas con objetivos diferentes se malinterpreten o, en el peor de los casos, se vuelvan algo desconfiadas. El objetivo de AppSec es mantenerse al día con la avalancha de código que se produce, y encontrar cualquier problema de seguridad que pueda poner en peligro los datos, el acceso no autorizado y los ataques maliciosos que tienen el potencial de destruir el sentimiento positivo de los clientes durante años.
Los desarrolladores, entre otras cosas, construyen funciones con una fecha límite. Tienen la tarea de hacer que el software sea funcional y bonito, y de ser los creadores de experiencias digitales únicas que mantengan a los clientes fieles. Ya tienen mucho que hacer, y lanzarles una bola curva en forma de responsabilidad por la seguridad es una perspectiva desalentadora. Se considera que el problema de la seguridad del código es de AppSec, y aunque eso era algo factible en los años 90 (ya sabes, antes de que se pudieran hackear nuestros coches y de que pudiéramos llevar toda nuestra vida en un superordenador de bolsillo llamado teléfono inteligente), simplemente hay demasiado código y no hay suficientes personas que lo hagan pasar por el guante de la seguridad.
Con una buena dosis de empatía, además de la habilitación para hacer de la seguridad una prioridad desde el principio del proceso de creación de software, AppSec y los desarrolladores pueden ver formas de alinear sus objetivos. Después de todo, una cultura de seguridad positiva depende de ello, y los desarrolladores conscientes de la seguridad son el ingrediente secreto para detener las vulnerabilidades comunes, incluso con una escasez de habilidades de ciberseguridad cada vez mayor.
El respeto mutuo del tiempo tiene inmensos beneficios.
Como he dicho antes, todo el mundo está muy ocupado cuando se trata de hacer magia (es decir, software increíble). Los desarrolladores necesitarán un tiempo de trabajo asignado para realizar una formación viable y práctica que desarrolle sus habilidades de codificación segura, y cualquier programa de formación debería ser hiperrelevante por diseño.
El personal de seguridad de las aplicaciones pierde su tiempo solucionando las mismas vulnerabilidades del Top 10 de OWASP una y otra vez, y los desarrolladores tienen el suyo reducido con ejercicios de poco compromiso que refuerzan la idea en sus mentes de que la seguridad es una tarea.
Las experiencias de aprendizaje seleccionadas son vitales, y ayudan a ir al grano mediante la entrega contextual y en tamaño de bocado de la formación pertinente, justo en el momento en que se necesita.
Al crear un curso de codificación segura personalizado que se adapte a los resultados deseados y a los itinerarios de aprendizaje internos, se respeta el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, se trabaja para lograr una reducción cuantificable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa. Es una victoria rápida en la búsqueda de acabar con las rivalidades blandas y avanzar en el salvaje oeste de la ciberseguridad como un frente unido.
La última función de aprendizaje contextual deSecure Code Warrior, Coursesya está disponible.
Una relación que se construye sobre la base inestable de la desconfianza es, bueno, mejor abordarla con bajas expectativas. Lamentablemente, este puede ser el estado de la relación de trabajo entre los desarrolladores y el equipo de AppSec dentro de una organización.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una versión de este artículo apareció en Revista de Ciberdefensa. Se ha actualizado y sindicado aquí.
Una relación que se construye sobre la base inestable de la desconfianza es, bueno, mejor abordarla con bajas expectativas. Lamentablemente, este puede ser el estado de la relación de trabajo entre los desarrolladores y el equipo de AppSec dentro de una organización. Por lo general, la situación no es ideal y conduce a malos resultados en un mundo de dependencias tecnológicas de alto riesgo.
Los desarrolladores prosperan en la resolución de problemas, la creación de características y la creatividad en su trabajo. La seguridad de las aplicaciones, por otro lado, tiene la poco envidiable tarea de encontrar fallos de seguridad en su código, devolverlo para que se corrija y proporcionar auditorías e informes que estropean el brillo de los proyectos favoritos de los ingenieros. No es justo culpar únicamente a los desarrolladores -la seguridad no es su prioridad ni forma parte de sus KPI- ni se puede penalizar al sobrecargado equipo de AppSec por hacer simplemente su trabajo. Sin embargo, para las mejores prácticas de ciberseguridad, y mejores resultados de seguridad a nivel organizativo, realmente necesitan empezar a jugar bien.
Y todo comienza con la confianza.
La imagen de "chico malo" de AppSec se interpone en el camino de la armonía de DevSecOps.
Si tus únicas interacciones con alguien se producen cuando te señalan dónde te has equivocado, lo más probable es que su aportación no se vea con buenos ojos.
Rara vez se ve a menos que haya un problema, las connotaciones negativas de la presencia del equipo de seguridad tienden a causar cierta fricción. La relación ha estado fracturada durante bastante tiempo, con los desarrolladores viendo al equipo de AppSec como bloqueadores de su creatividad, proceso y envío puntual de características, mientras que AppSec se cansa mucho de señalar continuamente errores de seguridad comunes que han existido (al igual que su remedio) durante décadas.
Con plazos cada vez más imposibles, equipos con pocos recursos y un fuerte deseo de evitar el retrabajo, los desarrolladores suelen esperar hasta el último momento posible para enviar su código, haciendo que la ventana de oportunidad para la revisión e intervención de AppSec sea lo más pequeña posible. Un proceso disfuncional, y que tiene un impacto inaceptable de aumento del riesgo de ciberseguridad para la organización.
Para los especialistas en seguridad, es un caso de "no disparar al mensajero" - después de todo, su trabajo es encontrar errores y reportarlos para que puedan ser remediados - nada personal. El problema es que a menudo pueden hacer recomendaciones que no son las más adecuadas para la pila tecnológica de la empresa, por lo que pueden considerarse poco útiles en el panorama general del desarrollo de software interno.
La noción de AppSec como el villano es contraintuitiva para la mayoría de las metodologías de desarrollo, pero para DevSecOps, es un desastre. El estándar de oro se ha movido mucho más allá de Waterfall, Agile, e incluso DevOps, en un proceso que ve la seguridad como una responsabilidad compartida desde el principio del SDLC como vital.
Para que el DevSecOps funcione, los ingenieros de software deben tener una razón para preocuparse por la seguridad, y eso pasa por entender por qué es tan importante para ellos hacer su parte para asegurar el software del mundo. Los especialistas en seguridad que se esfuerzan por extender la rama de olivo, trabajan con los directores de desarrollo para satisfacer las necesidades del equipo y asumen un papel más de mentores para fomentar la concienciación sobre la seguridad tienden a ver los beneficios a largo plazo de sus esfuerzos... y pasan algo menos de tiempo rasgándose las vestiduras por otro error XSS.
Los desarrolladores deben estar capacitados para ofrecer mejores resultados de codificación segura.
Cuando se trata de aprender codificación segura durante la educación terciaria, para muchos ingenieros es inexistente. Y no es porque estuvieran ocupados jugando al beer pong y al WoW: simplemente no forma parte de la mayoría de las titulaciones de informática y TI.
Para ello, la formación en el puesto de trabajo es a menudo la primera que recibe un desarrollador en el arte de la seguridad del software, y rara vez le hace arder el mundo. Las horas de vídeos aburridos son un método de formación habitual, al igual que los ejercicios de cumplimiento de normas que son demasiado infrecuentes como para tener un impacto real en la enseñanza de los desarrolladores de cómo codificar de forma segura, o hacer algún progreso en la reducción de las vulnerabilidades comunes en el software de una organización.
Tanto el equipo de AppSec como la cohorte de desarrollo están muy ocupados, por lo que cualquier formación debe ser significativa, atractiva y práctica. Hablando desde un entorno de desarrollo, nos encanta resolver problemas y utilizar las herramientas, por lo que la mayoría de la formación estática pasa de largo mientras nos concentramos en algo más urgente (o, seamos sinceros, interesante).
Los especialistas en seguridad de las aplicaciones están en un lugar de influencia, y pueden forjar una situación beneficiosa a largo plazo defendiendo los intereses de los desarrolladores. Buscar una formación viable que sea relevante para el trabajo y que se imparta en sus lenguajes y marcos preferidos es un gran paso para cambiar la aguja e inspirar una cultura de seguridad positiva de base dentro de una organización. Llevamos décadas intentando lo mismo, y está claro que el enfoque de formación "de talla única" no funciona. Al ayudar a proporcionar las herramientas y los conocimientos adecuados a los desarrolladores, éstos pueden mejorar su capacitación en materia de codificación segura, actuar con un mayor sentido de la seguridad y producir un código de mayor calidad.
Los esfuerzos para llegar a la misma página deben venir de ambas partes.
Es fácil que personas con objetivos diferentes se malinterpreten o, en el peor de los casos, se vuelvan algo desconfiadas. El objetivo de AppSec es mantenerse al día con la avalancha de código que se produce, y encontrar cualquier problema de seguridad que pueda poner en peligro los datos, el acceso no autorizado y los ataques maliciosos que tienen el potencial de destruir el sentimiento positivo de los clientes durante años.
Los desarrolladores, entre otras cosas, construyen funciones con una fecha límite. Tienen la tarea de hacer que el software sea funcional y bonito, y de ser los creadores de experiencias digitales únicas que mantengan a los clientes fieles. Ya tienen mucho que hacer, y lanzarles una bola curva en forma de responsabilidad por la seguridad es una perspectiva desalentadora. Se considera que el problema de la seguridad del código es de AppSec, y aunque eso era algo factible en los años 90 (ya sabes, antes de que se pudieran hackear nuestros coches y de que pudiéramos llevar toda nuestra vida en un superordenador de bolsillo llamado teléfono inteligente), simplemente hay demasiado código y no hay suficientes personas que lo hagan pasar por el guante de la seguridad.
Con una buena dosis de empatía, además de la habilitación para hacer de la seguridad una prioridad desde el principio del proceso de creación de software, AppSec y los desarrolladores pueden ver formas de alinear sus objetivos. Después de todo, una cultura de seguridad positiva depende de ello, y los desarrolladores conscientes de la seguridad son el ingrediente secreto para detener las vulnerabilidades comunes, incluso con una escasez de habilidades de ciberseguridad cada vez mayor.
El respeto mutuo del tiempo tiene inmensos beneficios.
Como he dicho antes, todo el mundo está muy ocupado cuando se trata de hacer magia (es decir, software increíble). Los desarrolladores necesitarán un tiempo de trabajo asignado para realizar una formación viable y práctica que desarrolle sus habilidades de codificación segura, y cualquier programa de formación debería ser hiperrelevante por diseño.
El personal de seguridad de las aplicaciones pierde su tiempo solucionando las mismas vulnerabilidades del Top 10 de OWASP una y otra vez, y los desarrolladores tienen el suyo reducido con ejercicios de poco compromiso que refuerzan la idea en sus mentes de que la seguridad es una tarea.
Las experiencias de aprendizaje seleccionadas son vitales, y ayudan a ir al grano mediante la entrega contextual y en tamaño de bocado de la formación pertinente, justo en el momento en que se necesita.
Al crear un curso de codificación segura personalizado que se adapte a los resultados deseados y a los itinerarios de aprendizaje internos, se respeta el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, se trabaja para lograr una reducción cuantificable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa. Es una victoria rápida en la búsqueda de acabar con las rivalidades blandas y avanzar en el salvaje oeste de la ciberseguridad como un frente unido.
La última función de aprendizaje contextual deSecure Code Warrior, Coursesya está disponible.
Una versión de este artículo apareció en Revista de Ciberdefensa. Se ha actualizado y sindicado aquí.
Una relación que se construye sobre la base inestable de la desconfianza es, bueno, mejor abordarla con bajas expectativas. Lamentablemente, este puede ser el estado de la relación de trabajo entre los desarrolladores y el equipo de AppSec dentro de una organización. Por lo general, la situación no es ideal y conduce a malos resultados en un mundo de dependencias tecnológicas de alto riesgo.
Los desarrolladores prosperan en la resolución de problemas, la creación de características y la creatividad en su trabajo. La seguridad de las aplicaciones, por otro lado, tiene la poco envidiable tarea de encontrar fallos de seguridad en su código, devolverlo para que se corrija y proporcionar auditorías e informes que estropean el brillo de los proyectos favoritos de los ingenieros. No es justo culpar únicamente a los desarrolladores -la seguridad no es su prioridad ni forma parte de sus KPI- ni se puede penalizar al sobrecargado equipo de AppSec por hacer simplemente su trabajo. Sin embargo, para las mejores prácticas de ciberseguridad, y mejores resultados de seguridad a nivel organizativo, realmente necesitan empezar a jugar bien.
Y todo comienza con la confianza.
La imagen de "chico malo" de AppSec se interpone en el camino de la armonía de DevSecOps.
Si tus únicas interacciones con alguien se producen cuando te señalan dónde te has equivocado, lo más probable es que su aportación no se vea con buenos ojos.
Rara vez se ve a menos que haya un problema, las connotaciones negativas de la presencia del equipo de seguridad tienden a causar cierta fricción. La relación ha estado fracturada durante bastante tiempo, con los desarrolladores viendo al equipo de AppSec como bloqueadores de su creatividad, proceso y envío puntual de características, mientras que AppSec se cansa mucho de señalar continuamente errores de seguridad comunes que han existido (al igual que su remedio) durante décadas.
Con plazos cada vez más imposibles, equipos con pocos recursos y un fuerte deseo de evitar el retrabajo, los desarrolladores suelen esperar hasta el último momento posible para enviar su código, haciendo que la ventana de oportunidad para la revisión e intervención de AppSec sea lo más pequeña posible. Un proceso disfuncional, y que tiene un impacto inaceptable de aumento del riesgo de ciberseguridad para la organización.
Para los especialistas en seguridad, es un caso de "no disparar al mensajero" - después de todo, su trabajo es encontrar errores y reportarlos para que puedan ser remediados - nada personal. El problema es que a menudo pueden hacer recomendaciones que no son las más adecuadas para la pila tecnológica de la empresa, por lo que pueden considerarse poco útiles en el panorama general del desarrollo de software interno.
La noción de AppSec como el villano es contraintuitiva para la mayoría de las metodologías de desarrollo, pero para DevSecOps, es un desastre. El estándar de oro se ha movido mucho más allá de Waterfall, Agile, e incluso DevOps, en un proceso que ve la seguridad como una responsabilidad compartida desde el principio del SDLC como vital.
Para que el DevSecOps funcione, los ingenieros de software deben tener una razón para preocuparse por la seguridad, y eso pasa por entender por qué es tan importante para ellos hacer su parte para asegurar el software del mundo. Los especialistas en seguridad que se esfuerzan por extender la rama de olivo, trabajan con los directores de desarrollo para satisfacer las necesidades del equipo y asumen un papel más de mentores para fomentar la concienciación sobre la seguridad tienden a ver los beneficios a largo plazo de sus esfuerzos... y pasan algo menos de tiempo rasgándose las vestiduras por otro error XSS.
Los desarrolladores deben estar capacitados para ofrecer mejores resultados de codificación segura.
Cuando se trata de aprender codificación segura durante la educación terciaria, para muchos ingenieros es inexistente. Y no es porque estuvieran ocupados jugando al beer pong y al WoW: simplemente no forma parte de la mayoría de las titulaciones de informática y TI.
Para ello, la formación en el puesto de trabajo es a menudo la primera que recibe un desarrollador en el arte de la seguridad del software, y rara vez le hace arder el mundo. Las horas de vídeos aburridos son un método de formación habitual, al igual que los ejercicios de cumplimiento de normas que son demasiado infrecuentes como para tener un impacto real en la enseñanza de los desarrolladores de cómo codificar de forma segura, o hacer algún progreso en la reducción de las vulnerabilidades comunes en el software de una organización.
Tanto el equipo de AppSec como la cohorte de desarrollo están muy ocupados, por lo que cualquier formación debe ser significativa, atractiva y práctica. Hablando desde un entorno de desarrollo, nos encanta resolver problemas y utilizar las herramientas, por lo que la mayoría de la formación estática pasa de largo mientras nos concentramos en algo más urgente (o, seamos sinceros, interesante).
Los especialistas en seguridad de las aplicaciones están en un lugar de influencia, y pueden forjar una situación beneficiosa a largo plazo defendiendo los intereses de los desarrolladores. Buscar una formación viable que sea relevante para el trabajo y que se imparta en sus lenguajes y marcos preferidos es un gran paso para cambiar la aguja e inspirar una cultura de seguridad positiva de base dentro de una organización. Llevamos décadas intentando lo mismo, y está claro que el enfoque de formación "de talla única" no funciona. Al ayudar a proporcionar las herramientas y los conocimientos adecuados a los desarrolladores, éstos pueden mejorar su capacitación en materia de codificación segura, actuar con un mayor sentido de la seguridad y producir un código de mayor calidad.
Los esfuerzos para llegar a la misma página deben venir de ambas partes.
Es fácil que personas con objetivos diferentes se malinterpreten o, en el peor de los casos, se vuelvan algo desconfiadas. El objetivo de AppSec es mantenerse al día con la avalancha de código que se produce, y encontrar cualquier problema de seguridad que pueda poner en peligro los datos, el acceso no autorizado y los ataques maliciosos que tienen el potencial de destruir el sentimiento positivo de los clientes durante años.
Los desarrolladores, entre otras cosas, construyen funciones con una fecha límite. Tienen la tarea de hacer que el software sea funcional y bonito, y de ser los creadores de experiencias digitales únicas que mantengan a los clientes fieles. Ya tienen mucho que hacer, y lanzarles una bola curva en forma de responsabilidad por la seguridad es una perspectiva desalentadora. Se considera que el problema de la seguridad del código es de AppSec, y aunque eso era algo factible en los años 90 (ya sabes, antes de que se pudieran hackear nuestros coches y de que pudiéramos llevar toda nuestra vida en un superordenador de bolsillo llamado teléfono inteligente), simplemente hay demasiado código y no hay suficientes personas que lo hagan pasar por el guante de la seguridad.
Con una buena dosis de empatía, además de la habilitación para hacer de la seguridad una prioridad desde el principio del proceso de creación de software, AppSec y los desarrolladores pueden ver formas de alinear sus objetivos. Después de todo, una cultura de seguridad positiva depende de ello, y los desarrolladores conscientes de la seguridad son el ingrediente secreto para detener las vulnerabilidades comunes, incluso con una escasez de habilidades de ciberseguridad cada vez mayor.
El respeto mutuo del tiempo tiene inmensos beneficios.
Como he dicho antes, todo el mundo está muy ocupado cuando se trata de hacer magia (es decir, software increíble). Los desarrolladores necesitarán un tiempo de trabajo asignado para realizar una formación viable y práctica que desarrolle sus habilidades de codificación segura, y cualquier programa de formación debería ser hiperrelevante por diseño.
El personal de seguridad de las aplicaciones pierde su tiempo solucionando las mismas vulnerabilidades del Top 10 de OWASP una y otra vez, y los desarrolladores tienen el suyo reducido con ejercicios de poco compromiso que refuerzan la idea en sus mentes de que la seguridad es una tarea.
Las experiencias de aprendizaje seleccionadas son vitales, y ayudan a ir al grano mediante la entrega contextual y en tamaño de bocado de la formación pertinente, justo en el momento en que se necesita.
Al crear un curso de codificación segura personalizado que se adapte a los resultados deseados y a los itinerarios de aprendizaje internos, se respeta el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, se trabaja para lograr una reducción cuantificable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa. Es una victoria rápida en la búsqueda de acabar con las rivalidades blandas y avanzar en el salvaje oeste de la ciberseguridad como un frente unido.
La última función de aprendizaje contextual deSecure Code Warrior, Coursesya está disponible.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una versión de este artículo apareció en Revista de Ciberdefensa. Se ha actualizado y sindicado aquí.
Una relación que se construye sobre la base inestable de la desconfianza es, bueno, mejor abordarla con bajas expectativas. Lamentablemente, este puede ser el estado de la relación de trabajo entre los desarrolladores y el equipo de AppSec dentro de una organización. Por lo general, la situación no es ideal y conduce a malos resultados en un mundo de dependencias tecnológicas de alto riesgo.
Los desarrolladores prosperan en la resolución de problemas, la creación de características y la creatividad en su trabajo. La seguridad de las aplicaciones, por otro lado, tiene la poco envidiable tarea de encontrar fallos de seguridad en su código, devolverlo para que se corrija y proporcionar auditorías e informes que estropean el brillo de los proyectos favoritos de los ingenieros. No es justo culpar únicamente a los desarrolladores -la seguridad no es su prioridad ni forma parte de sus KPI- ni se puede penalizar al sobrecargado equipo de AppSec por hacer simplemente su trabajo. Sin embargo, para las mejores prácticas de ciberseguridad, y mejores resultados de seguridad a nivel organizativo, realmente necesitan empezar a jugar bien.
Y todo comienza con la confianza.
La imagen de "chico malo" de AppSec se interpone en el camino de la armonía de DevSecOps.
Si tus únicas interacciones con alguien se producen cuando te señalan dónde te has equivocado, lo más probable es que su aportación no se vea con buenos ojos.
Rara vez se ve a menos que haya un problema, las connotaciones negativas de la presencia del equipo de seguridad tienden a causar cierta fricción. La relación ha estado fracturada durante bastante tiempo, con los desarrolladores viendo al equipo de AppSec como bloqueadores de su creatividad, proceso y envío puntual de características, mientras que AppSec se cansa mucho de señalar continuamente errores de seguridad comunes que han existido (al igual que su remedio) durante décadas.
Con plazos cada vez más imposibles, equipos con pocos recursos y un fuerte deseo de evitar el retrabajo, los desarrolladores suelen esperar hasta el último momento posible para enviar su código, haciendo que la ventana de oportunidad para la revisión e intervención de AppSec sea lo más pequeña posible. Un proceso disfuncional, y que tiene un impacto inaceptable de aumento del riesgo de ciberseguridad para la organización.
Para los especialistas en seguridad, es un caso de "no disparar al mensajero" - después de todo, su trabajo es encontrar errores y reportarlos para que puedan ser remediados - nada personal. El problema es que a menudo pueden hacer recomendaciones que no son las más adecuadas para la pila tecnológica de la empresa, por lo que pueden considerarse poco útiles en el panorama general del desarrollo de software interno.
La noción de AppSec como el villano es contraintuitiva para la mayoría de las metodologías de desarrollo, pero para DevSecOps, es un desastre. El estándar de oro se ha movido mucho más allá de Waterfall, Agile, e incluso DevOps, en un proceso que ve la seguridad como una responsabilidad compartida desde el principio del SDLC como vital.
Para que el DevSecOps funcione, los ingenieros de software deben tener una razón para preocuparse por la seguridad, y eso pasa por entender por qué es tan importante para ellos hacer su parte para asegurar el software del mundo. Los especialistas en seguridad que se esfuerzan por extender la rama de olivo, trabajan con los directores de desarrollo para satisfacer las necesidades del equipo y asumen un papel más de mentores para fomentar la concienciación sobre la seguridad tienden a ver los beneficios a largo plazo de sus esfuerzos... y pasan algo menos de tiempo rasgándose las vestiduras por otro error XSS.
Los desarrolladores deben estar capacitados para ofrecer mejores resultados de codificación segura.
Cuando se trata de aprender codificación segura durante la educación terciaria, para muchos ingenieros es inexistente. Y no es porque estuvieran ocupados jugando al beer pong y al WoW: simplemente no forma parte de la mayoría de las titulaciones de informática y TI.
Para ello, la formación en el puesto de trabajo es a menudo la primera que recibe un desarrollador en el arte de la seguridad del software, y rara vez le hace arder el mundo. Las horas de vídeos aburridos son un método de formación habitual, al igual que los ejercicios de cumplimiento de normas que son demasiado infrecuentes como para tener un impacto real en la enseñanza de los desarrolladores de cómo codificar de forma segura, o hacer algún progreso en la reducción de las vulnerabilidades comunes en el software de una organización.
Tanto el equipo de AppSec como la cohorte de desarrollo están muy ocupados, por lo que cualquier formación debe ser significativa, atractiva y práctica. Hablando desde un entorno de desarrollo, nos encanta resolver problemas y utilizar las herramientas, por lo que la mayoría de la formación estática pasa de largo mientras nos concentramos en algo más urgente (o, seamos sinceros, interesante).
Los especialistas en seguridad de las aplicaciones están en un lugar de influencia, y pueden forjar una situación beneficiosa a largo plazo defendiendo los intereses de los desarrolladores. Buscar una formación viable que sea relevante para el trabajo y que se imparta en sus lenguajes y marcos preferidos es un gran paso para cambiar la aguja e inspirar una cultura de seguridad positiva de base dentro de una organización. Llevamos décadas intentando lo mismo, y está claro que el enfoque de formación "de talla única" no funciona. Al ayudar a proporcionar las herramientas y los conocimientos adecuados a los desarrolladores, éstos pueden mejorar su capacitación en materia de codificación segura, actuar con un mayor sentido de la seguridad y producir un código de mayor calidad.
Los esfuerzos para llegar a la misma página deben venir de ambas partes.
Es fácil que personas con objetivos diferentes se malinterpreten o, en el peor de los casos, se vuelvan algo desconfiadas. El objetivo de AppSec es mantenerse al día con la avalancha de código que se produce, y encontrar cualquier problema de seguridad que pueda poner en peligro los datos, el acceso no autorizado y los ataques maliciosos que tienen el potencial de destruir el sentimiento positivo de los clientes durante años.
Los desarrolladores, entre otras cosas, construyen funciones con una fecha límite. Tienen la tarea de hacer que el software sea funcional y bonito, y de ser los creadores de experiencias digitales únicas que mantengan a los clientes fieles. Ya tienen mucho que hacer, y lanzarles una bola curva en forma de responsabilidad por la seguridad es una perspectiva desalentadora. Se considera que el problema de la seguridad del código es de AppSec, y aunque eso era algo factible en los años 90 (ya sabes, antes de que se pudieran hackear nuestros coches y de que pudiéramos llevar toda nuestra vida en un superordenador de bolsillo llamado teléfono inteligente), simplemente hay demasiado código y no hay suficientes personas que lo hagan pasar por el guante de la seguridad.
Con una buena dosis de empatía, además de la habilitación para hacer de la seguridad una prioridad desde el principio del proceso de creación de software, AppSec y los desarrolladores pueden ver formas de alinear sus objetivos. Después de todo, una cultura de seguridad positiva depende de ello, y los desarrolladores conscientes de la seguridad son el ingrediente secreto para detener las vulnerabilidades comunes, incluso con una escasez de habilidades de ciberseguridad cada vez mayor.
El respeto mutuo del tiempo tiene inmensos beneficios.
Como he dicho antes, todo el mundo está muy ocupado cuando se trata de hacer magia (es decir, software increíble). Los desarrolladores necesitarán un tiempo de trabajo asignado para realizar una formación viable y práctica que desarrolle sus habilidades de codificación segura, y cualquier programa de formación debería ser hiperrelevante por diseño.
El personal de seguridad de las aplicaciones pierde su tiempo solucionando las mismas vulnerabilidades del Top 10 de OWASP una y otra vez, y los desarrolladores tienen el suyo reducido con ejercicios de poco compromiso que refuerzan la idea en sus mentes de que la seguridad es una tarea.
Las experiencias de aprendizaje seleccionadas son vitales, y ayudan a ir al grano mediante la entrega contextual y en tamaño de bocado de la formación pertinente, justo en el momento en que se necesita.
Al crear un curso de codificación segura personalizado que se adapte a los resultados deseados y a los itinerarios de aprendizaje internos, se respeta el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, se trabaja para lograr una reducción cuantificable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa. Es una victoria rápida en la búsqueda de acabar con las rivalidades blandas y avanzar en el salvaje oeste de la ciberseguridad como un frente unido.
La última función de aprendizaje contextual deSecure Code Warrior, Coursesya está disponible.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Panorama de la gestión de riesgos de los promotores
La gestión de riesgos del desarrollador es un enfoque holístico y proactivo de la seguridad de las aplicaciones, centrado en quienes contribuyen al código y no en los bits y bytes de la propia capa de la aplicación.
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Recursos para empezar
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
