Código fuera de la jaula: Por qué los desarrolladores seguros pueden trabajar sin límites
Este artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
Parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos canales de desarrollo debido a todas las puertas de seguridad?
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Este artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
Este artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Este artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
Índice
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
.png)
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
