Inteligencia de seguridad elevada: Guided courses ayuda a los desarrolladores a estar preparados para el NIST
Inteligencia de seguridad elevada: Guided courses ayuda a los desarrolladores a estar preparados para el NIST
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/63e39c3130772fc53f57f9b6_61442137663aa3f5d2b0c018_ben-sweet-2LowviVHZ-E-unsplash.webp)
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/63e39c3130772f826b57f9b5_61442137663aa3f5d2b0c018_ben-sweet-2LowviVHZ-E-unsplash.webp)
Últimamente se han producido algunos movimientos muy positivos en el sector de la ciberseguridad. Parece que el sentimiento de dar prioridad a la seguridad en la construcción de software, tan pronto como sea posible, está empezando a mejorar en muchas organizaciones. Esto, unido a medidas oficiales como la Orden Ejecutiva de Biden sobre ciberseguridad, ha dejado muy claro que todo el mundo tiene que poner de su parte para garantizar la seguridad del software y de los datos. Lo que es especialmente emocionante es que la conversación en torno al papel del desarrollador en el mantenimiento de las normas de codificación segura sigue evolucionando, incluso a nivel gubernamental.
Sin embargo, hay algo que falta en la conversación. La Orden Ejecutiva sugiere que los desarrolladores necesitan habilidades de seguridad verificadas, pero actualmente no existe ninguna certificación oficial de este tipo. Muchas empresas siguen guiándose por el NIST (que proporcionó directrices actualizadas en respuesta a la OE) en su búsqueda del cumplimiento y de normas más estrictas de seguridad del software, pero si pensamos en estrategias para reducir significativamente las vulnerabilidades, al tiempo que incorporamos las herramientas adecuadas y mantenemos la velocidad de lanzamiento, la mayoría son simplemente demasiado genéricas para crear el resultado deseado. Aquí es donde muchas empresas se quedan sin rumbo, perseverando con una formación limitada de los desarrolladores, o no construyendo sobre bases generales para capacitarlos con habilidades prácticas.
Los desarrolladores concienciados con la seguridad no crecen en los árboles, pero se pueden cultivar y elevar mucho más rápido con las herramientas adecuadas. Para ello, nos complace anunciar nuestro propio curso de conformidad con el NIST, estructurado según las directrices de la Orden Ejecutiva del Gobierno de los Estados Unidos.
Apoyo significativo a nivel de código para los desarrolladores
Utilizando las directrices del NIST para el software crítico para las órdenes ejecutivas (EO-critical ), estructuramos el curso para alcanzar los cinco objetivos clave que, en última instancia, mejorarán la seguridad del software vital que se utiliza en los niveles más altos del gobierno, y que idealmente debería actuar como un punto de referencia para un desarrollo de mayor calidad desde el principio.
Para lograr un verdadero avance en una cohorte de desarrollo, cualquier actualización debe ir más allá de la teoría y aplicarse de manera que no dé lugar a un cambio constante de contexto entre el trabajo y la formación para encontrar respuestas y mantenerse ágil. Las prácticas de seguridad meticulosas (por no hablar del equipo de seguridad) se consideran un obstáculo para los sprints de desarrollo a tiempo, y obstaculizan seriamente el estilo del ingeniero medio centrado en las características.
Los microaprendizajes breves y fáciles de aprender que se adaptan a las necesidades de los desarrolladores tienen una acogida mucho menos fría y dan lugar a un desarrollo de habilidades memorable y práctico.
Echa un vistazo a cómo hemos estructurado esto para nuestro curso NIST:
![Guided Courses ayuda a los desarrolladores a prepararse para el NIST](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/633b24f8d3847c3f318fef69_guided-courses-helping-developers-get-nist-ready.jpg)
Objetivo 1: Proteger el software crítico para la Tierra y las plataformas de software crítico para la Tierra de accesos y usos no autorizados.
Los atacantes se basan en la desconfiguración de la seguridad y en prácticas de autenticación inadecuadas para infiltrarse con éxito en los sistemas, hacerse con cuentas y robar datos. Son un error común que puede conducir a grandes problemas si se explota con éxito.
En la Secure Code Warrior Learning Platformlos desarrolladores pueden jugar a desafíos basados en fragmentos de código del mundo real que reflejan fielmente cómo aparecerían estos fallos en su trabajo diario, y conseguir que encuentren una solución precisa para asegurarlos. Para los ingenieros de DevOps, asegurar la infraestructura requiere meticulosas configuraciones de control de acceso, y existen retos especializados para cumplir este requisito en lenguajes de Infraestructura como Código (IaC) como Terraform, CloudFormation y Ansible, así como en el código utilizado en Docker y Kubernetes.
Objetivo 2: Proteger la confidencialidad, la integridad y la disponibilidad de los datos utilizados por el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
![Localizar la vulnerabilidad Crear usuarios](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/633ac33a6320c8f25a91f4c4_locate-vulnerability-create-users.jpg)
Para este objetivo, todos los caminos conducen al control de acceso. El control de acceso roto destronó recientemente a los fallos de inyección como la entrada principal en el OWASP Top 10 2021, y es un fallo grave que requiere las habilidades de los desarrolladores conscientes de la seguridad para encontrar y arreglar lo antes posible.
El curso aborda conceptos como el de mínimo privilegio a nivel de código, y ayuda a inculcar el enfoque de limitar el acceso en las cuentas de usuario sólo a las áreas necesarias como mejor práctica.
Objetivo 3: Identificar y mantener las plataformas de software críticas para la OT y el software desplegado en esas plataformas para proteger el software crítico para la OT de la explotación.
Uno de los mayores retos en las grandes organizaciones es mantener la supervisión de la seguridad en todo el software, los sistemas y los componentes en juego. Cuando se trata de la gestión de riesgos y la aplicación de parches, estos elementos deben ser una prioridad en cualquier programa de seguridad, con los desarrolladores en alerta máxima para realizar el mantenimiento de la seguridad.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos que les ayudarán a identificar y corregir componentes vulnerables, así como la desconfiguración de la seguridad basada en permisos.
Objetivo 4: Detectar, responder y recuperarse rápidamente de las amenazas e incidentes relacionados con el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
Es lamentable (y una pérdida de tiempo y dinero) que muchas organizaciones sigan centrándose en la respuesta a los incidentes -en lugar de la prevención- a la hora de abordar los problemas de ciberseguridad. Esta es una cultura que estamos luchando por cambiar, y los desarrolladores están a la cabeza para proporcionar una potencia de fuego preventiva cuando están debidamente formados en las mejores prácticas de seguridad.
El objetivo 4 requiere que los desarrolladores, en el contexto de su función, supervisen continuamente la seguridad en sus entornos y puntos finales tanto a nivel de software como de red. El registro y la monitorización insuficientes son otro error común e insidioso, y es vital que los ingenieros sean capaces de navegar con éxito en sus tareas diarias.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos para perfeccionar estas habilidades, ya sea trabajando con lenguajes web, de API o de nube.
Conciencia de seguridad con sostenibilidad.
Objetivo 5: Reforzar la comprensión y el rendimiento de las acciones humanas que fomentan la seguridad del software crítico para la Tierra y de las plataformas de software crítico para la Tierra.
Este es bastante generalizado, pero es el más importante de conseguir... y no se puede hacer sin dominar los cuatro primeros objetivos. Esta directriz pide que se lleven a cabo actividades frecuentes de concienciación sobre la seguridad, y que todas las "acciones humanas" sobre el software crítico para la OE sean llevadas a cabo por quienes están adecuadamente formados en el contexto de sus funciones y responsabilidades.
Los desarrolladores se encuentran entre los que están más cerca del código, además de las configuraciones de seguridad y el control de acceso. Sus habilidades de seguridad deben ser alimentadas, y para lograr los altos estándares señalados por el NIST, una estructura de curso práctico podría ser la manera eficiente de abordarlo, especialmente con grandes cohortes de desarrollo.
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/636d3361baa757ed73202b99_help-developers-gain-valuable-security-xp.png)
Empiece hoy mismoa aumentar los puntos de experiencia y el coeficiente de seguridad de su equipo de desarrollo.
Recursos para empezar
Agente fiduciario de Secure Code Warrior
Descubra SCW Trust Agent, una solución innovadora diseñada para mejorar la seguridad alineando los conocimientos y habilidades de código seguro de los desarrolladores con el trabajo que envían. Proporciona una visibilidad y unos controles exhaustivos de todo el repositorio de código de una organización, analizando cada confirmación en función de los perfiles de código seguro de los desarrolladores. Con SCW Trust Agent, las organizaciones pueden reforzar su postura de seguridad, optimizar los ciclos de vida de desarrollo y ampliar la seguridad impulsada por los desarrolladores.
Puntuación de confianza por Secure Code Warrior
Descubra SCW Trust Score, una referencia pionera en el sector que le ayudará a medir la eficacia de su programa de seguridad. Compárelo con sus homólogos del sector, optimice su postura de seguridad y tome decisiones basadas en datos para mejorar la seguridad del software.
Recursos para empezar
Las mujeres en la seguridad están ganando: Cómo la AWSN está creando una nueva generación de supermujeres de la seguridad
Secure-by-Design es la última iniciativa en boca de todos, y el gobierno australiano, colaborando con CISA en los niveles más altos de la gobernanza mundial, está orientando un estándar más alto de calidad y seguridad del software por parte de los vendedores.
Las mujeres en la seguridad están ganando: Cómo la AWSN está creando una nueva generación de supermujeres de la seguridad
Secure-by-Design es la última iniciativa en boca de todos, y el gobierno australiano, colaborando con CISA en los niveles más altos de la gobernanza mundial, está orientando un estándar más alto de calidad y seguridad del software por parte de los vendedores.
SCW Trust Agent: visibilidad y control para ampliar la seguridad impulsada por los desarrolladores
SCW Trust Agent, presentado por Secure Code Warrior, ofrece a los responsables de seguridad la visibilidad y el control necesarios para ampliar la seguridad impulsada por los desarrolladores dentro de las organizaciones. Al conectarse a los repositorios de código, evalúa los metadatos de commit del código, inspecciona a los desarrolladores, los lenguajes de programación utilizados y las marcas de tiempo de envío para determinar los conocimientos de seguridad de los desarrolladores.
¿Está preparado su programa de seguridad para el Plan Estratégico de Ciberseguridad de CISA?
El Plan Estratégico de Ciberseguridad impulsa cambios importantes en la forma en que la mayoría de las organizaciones abordan la ciberseguridad, y los desarrolladores se encuentran en una posición única para ayudar a alcanzar esos nuevos objetivos.
Inteligencia de seguridad elevada: Guided courses ayuda a los desarrolladores a estar preparados para el NIST
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/63e39c3130772fc53f57f9b6_61442137663aa3f5d2b0c018_ben-sweet-2LowviVHZ-E-unsplash.webp)
Últimamente se han producido algunos movimientos muy positivos en el sector de la ciberseguridad. Parece que el sentimiento de dar prioridad a la seguridad en la construcción de software, tan pronto como sea posible, está empezando a mejorar en muchas organizaciones. Esto, unido a medidas oficiales como la Orden Ejecutiva de Biden sobre ciberseguridad, ha dejado muy claro que todo el mundo tiene que poner de su parte para garantizar la seguridad del software y de los datos. Lo que es especialmente emocionante es que la conversación en torno al papel del desarrollador en el mantenimiento de las normas de codificación segura sigue evolucionando, incluso a nivel gubernamental.
Sin embargo, hay algo que falta en la conversación. La Orden Ejecutiva sugiere que los desarrolladores necesitan habilidades de seguridad verificadas, pero actualmente no existe ninguna certificación oficial de este tipo. Muchas empresas siguen guiándose por el NIST (que proporcionó directrices actualizadas en respuesta a la OE) en su búsqueda del cumplimiento y de normas más estrictas de seguridad del software, pero si pensamos en estrategias para reducir significativamente las vulnerabilidades, al tiempo que incorporamos las herramientas adecuadas y mantenemos la velocidad de lanzamiento, la mayoría son simplemente demasiado genéricas para crear el resultado deseado. Aquí es donde muchas empresas se quedan sin rumbo, perseverando con una formación limitada de los desarrolladores, o no construyendo sobre bases generales para capacitarlos con habilidades prácticas.
Los desarrolladores concienciados con la seguridad no crecen en los árboles, pero se pueden cultivar y elevar mucho más rápido con las herramientas adecuadas. Para ello, nos complace anunciar nuestro propio curso de conformidad con el NIST, estructurado según las directrices de la Orden Ejecutiva del Gobierno de los Estados Unidos.
Apoyo significativo a nivel de código para los desarrolladores
Utilizando las directrices del NIST para el software crítico para las órdenes ejecutivas (EO-critical ), estructuramos el curso para alcanzar los cinco objetivos clave que, en última instancia, mejorarán la seguridad del software vital que se utiliza en los niveles más altos del gobierno, y que idealmente debería actuar como un punto de referencia para un desarrollo de mayor calidad desde el principio.
Para lograr un verdadero avance en una cohorte de desarrollo, cualquier actualización debe ir más allá de la teoría y aplicarse de manera que no dé lugar a un cambio constante de contexto entre el trabajo y la formación para encontrar respuestas y mantenerse ágil. Las prácticas de seguridad meticulosas (por no hablar del equipo de seguridad) se consideran un obstáculo para los sprints de desarrollo a tiempo, y obstaculizan seriamente el estilo del ingeniero medio centrado en las características.
Los microaprendizajes breves y fáciles de aprender que se adaptan a las necesidades de los desarrolladores tienen una acogida mucho menos fría y dan lugar a un desarrollo de habilidades memorable y práctico.
Echa un vistazo a cómo hemos estructurado esto para nuestro curso NIST:
![Guided Courses ayuda a los desarrolladores a prepararse para el NIST](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/633b24f8d3847c3f318fef69_guided-courses-helping-developers-get-nist-ready.jpg)
Objetivo 1: Proteger el software crítico para la Tierra y las plataformas de software crítico para la Tierra de accesos y usos no autorizados.
Los atacantes se basan en la desconfiguración de la seguridad y en prácticas de autenticación inadecuadas para infiltrarse con éxito en los sistemas, hacerse con cuentas y robar datos. Son un error común que puede conducir a grandes problemas si se explota con éxito.
En la Secure Code Warrior Learning Platformlos desarrolladores pueden jugar a desafíos basados en fragmentos de código del mundo real que reflejan fielmente cómo aparecerían estos fallos en su trabajo diario, y conseguir que encuentren una solución precisa para asegurarlos. Para los ingenieros de DevOps, asegurar la infraestructura requiere meticulosas configuraciones de control de acceso, y existen retos especializados para cumplir este requisito en lenguajes de Infraestructura como Código (IaC) como Terraform, CloudFormation y Ansible, así como en el código utilizado en Docker y Kubernetes.
Objetivo 2: Proteger la confidencialidad, la integridad y la disponibilidad de los datos utilizados por el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
![Localizar la vulnerabilidad Crear usuarios](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/633ac33a6320c8f25a91f4c4_locate-vulnerability-create-users.jpg)
Para este objetivo, todos los caminos conducen al control de acceso. El control de acceso roto destronó recientemente a los fallos de inyección como la entrada principal en el OWASP Top 10 2021, y es un fallo grave que requiere las habilidades de los desarrolladores conscientes de la seguridad para encontrar y arreglar lo antes posible.
El curso aborda conceptos como el de mínimo privilegio a nivel de código, y ayuda a inculcar el enfoque de limitar el acceso en las cuentas de usuario sólo a las áreas necesarias como mejor práctica.
Objetivo 3: Identificar y mantener las plataformas de software críticas para la OT y el software desplegado en esas plataformas para proteger el software crítico para la OT de la explotación.
Uno de los mayores retos en las grandes organizaciones es mantener la supervisión de la seguridad en todo el software, los sistemas y los componentes en juego. Cuando se trata de la gestión de riesgos y la aplicación de parches, estos elementos deben ser una prioridad en cualquier programa de seguridad, con los desarrolladores en alerta máxima para realizar el mantenimiento de la seguridad.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos que les ayudarán a identificar y corregir componentes vulnerables, así como la desconfiguración de la seguridad basada en permisos.
Objetivo 4: Detectar, responder y recuperarse rápidamente de las amenazas e incidentes relacionados con el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
Es lamentable (y una pérdida de tiempo y dinero) que muchas organizaciones sigan centrándose en la respuesta a los incidentes -en lugar de la prevención- a la hora de abordar los problemas de ciberseguridad. Esta es una cultura que estamos luchando por cambiar, y los desarrolladores están a la cabeza para proporcionar una potencia de fuego preventiva cuando están debidamente formados en las mejores prácticas de seguridad.
El objetivo 4 requiere que los desarrolladores, en el contexto de su función, supervisen continuamente la seguridad en sus entornos y puntos finales tanto a nivel de software como de red. El registro y la monitorización insuficientes son otro error común e insidioso, y es vital que los ingenieros sean capaces de navegar con éxito en sus tareas diarias.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos para perfeccionar estas habilidades, ya sea trabajando con lenguajes web, de API o de nube.
Conciencia de seguridad con sostenibilidad.
Objetivo 5: Reforzar la comprensión y el rendimiento de las acciones humanas que fomentan la seguridad del software crítico para la Tierra y de las plataformas de software crítico para la Tierra.
Este es bastante generalizado, pero es el más importante de conseguir... y no se puede hacer sin dominar los cuatro primeros objetivos. Esta directriz pide que se lleven a cabo actividades frecuentes de concienciación sobre la seguridad, y que todas las "acciones humanas" sobre el software crítico para la OE sean llevadas a cabo por quienes están adecuadamente formados en el contexto de sus funciones y responsabilidades.
Los desarrolladores se encuentran entre los que están más cerca del código, además de las configuraciones de seguridad y el control de acceso. Sus habilidades de seguridad deben ser alimentadas, y para lograr los altos estándares señalados por el NIST, una estructura de curso práctico podría ser la manera eficiente de abordarlo, especialmente con grandes cohortes de desarrollo.
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/636d3361baa757ed73202b99_help-developers-gain-valuable-security-xp.png)
Empiece hoy mismoa aumentar los puntos de experiencia y el coeficiente de seguridad de su equipo de desarrollo.
Recursos para empezar
Las mujeres en la seguridad están ganando: Cómo la AWSN está creando una nueva generación de supermujeres de la seguridad
Secure-by-Design es la última iniciativa en boca de todos, y el gobierno australiano, colaborando con CISA en los niveles más altos de la gobernanza mundial, está orientando un estándar más alto de calidad y seguridad del software por parte de los vendedores.
SCW Trust Agent: visibilidad y control para ampliar la seguridad impulsada por los desarrolladores
SCW Trust Agent, presentado por Secure Code Warrior, ofrece a los responsables de seguridad la visibilidad y el control necesarios para ampliar la seguridad impulsada por los desarrolladores dentro de las organizaciones. Al conectarse a los repositorios de código, evalúa los metadatos de commit del código, inspecciona a los desarrolladores, los lenguajes de programación utilizados y las marcas de tiempo de envío para determinar los conocimientos de seguridad de los desarrolladores.
Agente fiduciario de Secure Code Warrior
Descubra SCW Trust Agent, una solución innovadora diseñada para mejorar la seguridad alineando los conocimientos y habilidades de código seguro de los desarrolladores con el trabajo que envían. Proporciona una visibilidad y unos controles exhaustivos de todo el repositorio de código de una organización, analizando cada confirmación en función de los perfiles de código seguro de los desarrolladores. Con SCW Trust Agent, las organizaciones pueden reforzar su postura de seguridad, optimizar los ciclos de vida de desarrollo y ampliar la seguridad impulsada por los desarrolladores.