Inteligencia de seguridad elevada: Guided courses ayuda a los desarrolladores a estar preparados para el NIST

Publicado el 23 de septiembre de 2021
por el doctor Matias Madou
ESTUDIO DE CASO

Inteligencia de seguridad elevada: Guided courses ayuda a los desarrolladores a estar preparados para el NIST

Publicado el 23 de septiembre de 2021
por el doctor Matias Madou
Ver recurso
Ver recurso

Últimamente se han producido algunos movimientos muy positivos en el sector de la ciberseguridad. Parece que el sentimiento de dar prioridad a la seguridad en la construcción de software, tan pronto como sea posible, está empezando a mejorar en muchas organizaciones. Esto, unido a medidas oficiales como la Orden Ejecutiva de Biden sobre ciberseguridad, ha dejado muy claro que todo el mundo tiene que poner de su parte para garantizar la seguridad del software y de los datos. Lo que es especialmente emocionante es que la conversación en torno al papel del desarrollador en el mantenimiento de las normas de codificación segura sigue evolucionando, incluso a nivel gubernamental.

Sin embargo, hay algo que falta en la conversación. La Orden Ejecutiva sugiere que los desarrolladores necesitan habilidades de seguridad verificadas, pero actualmente no existe ninguna certificación oficial de este tipo. Muchas empresas siguen guiándose por el NIST (que proporcionó directrices actualizadas en respuesta a la OE) en su búsqueda del cumplimiento y de normas más estrictas de seguridad del software, pero si pensamos en estrategias para reducir significativamente las vulnerabilidades, al tiempo que incorporamos las herramientas adecuadas y mantenemos la velocidad de lanzamiento, la mayoría son simplemente demasiado genéricas para crear el resultado deseado. Aquí es donde muchas empresas se quedan sin rumbo, perseverando con una formación limitada de los desarrolladores, o no construyendo sobre bases generales para capacitarlos con habilidades prácticas.

Los desarrolladores concienciados con la seguridad no crecen en los árboles, pero se pueden cultivar y elevar mucho más rápido con las herramientas adecuadas. Para ello, nos complace anunciar nuestro propio curso de conformidad con el NIST, estructurado según las directrices de la Orden Ejecutiva del Gobierno de los Estados Unidos.

Apoyo significativo a nivel de código para los desarrolladores

Utilizando las directrices del NIST para el software crítico para las órdenes ejecutivas (EO-critical ), estructuramos el curso para alcanzar los cinco objetivos clave que, en última instancia, mejorarán la seguridad del software vital que se utiliza en los niveles más altos del gobierno, y que idealmente debería actuar como un punto de referencia para un desarrollo de mayor calidad desde el principio.

Para lograr un verdadero avance en una cohorte de desarrollo, cualquier actualización debe ir más allá de la teoría y aplicarse de manera que no dé lugar a un cambio constante de contexto entre el trabajo y la formación para encontrar respuestas y mantenerse ágil. Las prácticas de seguridad meticulosas (por no hablar del equipo de seguridad) se consideran un obstáculo para los sprints de desarrollo a tiempo, y obstaculizan seriamente el estilo del ingeniero medio centrado en las características. 

Los microaprendizajes breves y fáciles de aprender que se adaptan a las necesidades de los desarrolladores tienen una acogida mucho menos fría y dan lugar a un desarrollo de habilidades memorable y práctico. 

Echa un vistazo a cómo hemos estructurado esto para nuestro curso NIST:

Guided Courses ayuda a los desarrolladores a prepararse para el NIST


Objetivo 1: Proteger el software crítico para la Tierra y las plataformas de software crítico para la Tierra de accesos y usos no autorizados.

Los atacantes se basan en la desconfiguración de la seguridad y en prácticas de autenticación inadecuadas para infiltrarse con éxito en los sistemas, hacerse con cuentas y robar datos. Son un error común que puede conducir a grandes problemas si se explota con éxito.

En la Secure Code Warrior Learning Platformlos desarrolladores pueden jugar a desafíos basados en fragmentos de código del mundo real que reflejan fielmente cómo aparecerían estos fallos en su trabajo diario, y conseguir que encuentren una solución precisa para asegurarlos. Para los ingenieros de DevOps, asegurar la infraestructura requiere meticulosas configuraciones de control de acceso, y existen retos especializados para cumplir este requisito en lenguajes de Infraestructura como Código (IaC) como Terraform, CloudFormation y Ansible, así como en el código utilizado en Docker y Kubernetes.

Objetivo 2: Proteger la confidencialidad, la integridad y la disponibilidad de los datos utilizados por el software crítico para la Tierra y las plataformas de software crítico para la Tierra.

Localizar la vulnerabilidad Crear usuarios


Para este objetivo, todos los caminos conducen al control de acceso. El control de acceso roto destronó recientemente a los fallos de inyección como la entrada principal en el OWASP Top 10 2021, y es un fallo grave que requiere las habilidades de los desarrolladores conscientes de la seguridad para encontrar y arreglar lo antes posible.

El curso aborda conceptos como el de mínimo privilegio a nivel de código, y ayuda a inculcar el enfoque de limitar el acceso en las cuentas de usuario sólo a las áreas necesarias como mejor práctica.

Objetivo 3: Identificar y mantener las plataformas de software críticas para la OT y el software desplegado en esas plataformas para proteger el software crítico para la OT de la explotación.

Uno de los mayores retos en las grandes organizaciones es mantener la supervisión de la seguridad en todo el software, los sistemas y los componentes en juego. Cuando se trata de la gestión de riesgos y la aplicación de parches, estos elementos deben ser una prioridad en cualquier programa de seguridad, con los desarrolladores en alerta máxima para realizar el mantenimiento de la seguridad. 

En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos que les ayudarán a identificar y corregir componentes vulnerables, así como la desconfiguración de la seguridad basada en permisos.

Objetivo 4: Detectar, responder y recuperarse rápidamente de las amenazas e incidentes relacionados con el software crítico para la Tierra y las plataformas de software crítico para la Tierra.

Es lamentable (y una pérdida de tiempo y dinero) que muchas organizaciones sigan centrándose en la respuesta a los incidentes -en lugar de la prevención- a la hora de abordar los problemas de ciberseguridad. Esta es una cultura que estamos luchando por cambiar, y los desarrolladores están a la cabeza para proporcionar una potencia de fuego preventiva cuando están debidamente formados en las mejores prácticas de seguridad. 

El objetivo 4 requiere que los desarrolladores, en el contexto de su función, supervisen continuamente la seguridad en sus entornos y puntos finales tanto a nivel de software como de red. El registro y la monitorización insuficientes son otro error común e insidioso, y es vital que los ingenieros sean capaces de navegar con éxito en sus tareas diarias.

En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos para perfeccionar estas habilidades, ya sea trabajando con lenguajes web, de API o de nube.

Conciencia de seguridad con sostenibilidad.

Objetivo 5: Reforzar la comprensión y el rendimiento de las acciones humanas que fomentan la seguridad del software crítico para la Tierra y de las plataformas de software crítico para la Tierra.

Este es bastante generalizado, pero es el más importante de conseguir... y no se puede hacer sin dominar los cuatro primeros objetivos. Esta directriz pide que se lleven a cabo actividades frecuentes de concienciación sobre la seguridad, y que todas las "acciones humanas" sobre el software crítico para la OE sean llevadas a cabo por quienes están adecuadamente formados en el contexto de sus funciones y responsabilidades.

Los desarrolladores se encuentran entre los que están más cerca del código, además de las configuraciones de seguridad y el control de acceso. Sus habilidades de seguridad deben ser alimentadas, y para lograr los altos estándares señalados por el NIST, una estructura de curso práctico podría ser la manera eficiente de abordarlo, especialmente con grandes cohortes de desarrollo. 

Ayude a sus desarrolladores a obtener una valiosa experiencia en seguridad.


Empiece hoy mismoa aumentar los puntos de experiencia y el coeficiente de seguridad de su equipo de desarrollo.

Ver recurso
Ver recurso

Autor

Doctor Matias Madou

Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.

Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.

¿Quieres más?

Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.

Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.

Ver blog
¿Quieres más?

Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores

Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.

Centro de recursos

Inteligencia de seguridad elevada: Guided courses ayuda a los desarrolladores a estar preparados para el NIST

Publicado el 22 de enero de 2024
Por el doctor Matias Madou

Últimamente se han producido algunos movimientos muy positivos en el sector de la ciberseguridad. Parece que el sentimiento de dar prioridad a la seguridad en la construcción de software, tan pronto como sea posible, está empezando a mejorar en muchas organizaciones. Esto, unido a medidas oficiales como la Orden Ejecutiva de Biden sobre ciberseguridad, ha dejado muy claro que todo el mundo tiene que poner de su parte para garantizar la seguridad del software y de los datos. Lo que es especialmente emocionante es que la conversación en torno al papel del desarrollador en el mantenimiento de las normas de codificación segura sigue evolucionando, incluso a nivel gubernamental.

Sin embargo, hay algo que falta en la conversación. La Orden Ejecutiva sugiere que los desarrolladores necesitan habilidades de seguridad verificadas, pero actualmente no existe ninguna certificación oficial de este tipo. Muchas empresas siguen guiándose por el NIST (que proporcionó directrices actualizadas en respuesta a la OE) en su búsqueda del cumplimiento y de normas más estrictas de seguridad del software, pero si pensamos en estrategias para reducir significativamente las vulnerabilidades, al tiempo que incorporamos las herramientas adecuadas y mantenemos la velocidad de lanzamiento, la mayoría son simplemente demasiado genéricas para crear el resultado deseado. Aquí es donde muchas empresas se quedan sin rumbo, perseverando con una formación limitada de los desarrolladores, o no construyendo sobre bases generales para capacitarlos con habilidades prácticas.

Los desarrolladores concienciados con la seguridad no crecen en los árboles, pero se pueden cultivar y elevar mucho más rápido con las herramientas adecuadas. Para ello, nos complace anunciar nuestro propio curso de conformidad con el NIST, estructurado según las directrices de la Orden Ejecutiva del Gobierno de los Estados Unidos.

Apoyo significativo a nivel de código para los desarrolladores

Utilizando las directrices del NIST para el software crítico para las órdenes ejecutivas (EO-critical ), estructuramos el curso para alcanzar los cinco objetivos clave que, en última instancia, mejorarán la seguridad del software vital que se utiliza en los niveles más altos del gobierno, y que idealmente debería actuar como un punto de referencia para un desarrollo de mayor calidad desde el principio.

Para lograr un verdadero avance en una cohorte de desarrollo, cualquier actualización debe ir más allá de la teoría y aplicarse de manera que no dé lugar a un cambio constante de contexto entre el trabajo y la formación para encontrar respuestas y mantenerse ágil. Las prácticas de seguridad meticulosas (por no hablar del equipo de seguridad) se consideran un obstáculo para los sprints de desarrollo a tiempo, y obstaculizan seriamente el estilo del ingeniero medio centrado en las características. 

Los microaprendizajes breves y fáciles de aprender que se adaptan a las necesidades de los desarrolladores tienen una acogida mucho menos fría y dan lugar a un desarrollo de habilidades memorable y práctico. 

Echa un vistazo a cómo hemos estructurado esto para nuestro curso NIST:

Guided Courses ayuda a los desarrolladores a prepararse para el NIST


Objetivo 1: Proteger el software crítico para la Tierra y las plataformas de software crítico para la Tierra de accesos y usos no autorizados.

Los atacantes se basan en la desconfiguración de la seguridad y en prácticas de autenticación inadecuadas para infiltrarse con éxito en los sistemas, hacerse con cuentas y robar datos. Son un error común que puede conducir a grandes problemas si se explota con éxito.

En la Secure Code Warrior Learning Platformlos desarrolladores pueden jugar a desafíos basados en fragmentos de código del mundo real que reflejan fielmente cómo aparecerían estos fallos en su trabajo diario, y conseguir que encuentren una solución precisa para asegurarlos. Para los ingenieros de DevOps, asegurar la infraestructura requiere meticulosas configuraciones de control de acceso, y existen retos especializados para cumplir este requisito en lenguajes de Infraestructura como Código (IaC) como Terraform, CloudFormation y Ansible, así como en el código utilizado en Docker y Kubernetes.

Objetivo 2: Proteger la confidencialidad, la integridad y la disponibilidad de los datos utilizados por el software crítico para la Tierra y las plataformas de software crítico para la Tierra.

Localizar la vulnerabilidad Crear usuarios


Para este objetivo, todos los caminos conducen al control de acceso. El control de acceso roto destronó recientemente a los fallos de inyección como la entrada principal en el OWASP Top 10 2021, y es un fallo grave que requiere las habilidades de los desarrolladores conscientes de la seguridad para encontrar y arreglar lo antes posible.

El curso aborda conceptos como el de mínimo privilegio a nivel de código, y ayuda a inculcar el enfoque de limitar el acceso en las cuentas de usuario sólo a las áreas necesarias como mejor práctica.

Objetivo 3: Identificar y mantener las plataformas de software críticas para la OT y el software desplegado en esas plataformas para proteger el software crítico para la OT de la explotación.

Uno de los mayores retos en las grandes organizaciones es mantener la supervisión de la seguridad en todo el software, los sistemas y los componentes en juego. Cuando se trata de la gestión de riesgos y la aplicación de parches, estos elementos deben ser una prioridad en cualquier programa de seguridad, con los desarrolladores en alerta máxima para realizar el mantenimiento de la seguridad. 

En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos que les ayudarán a identificar y corregir componentes vulnerables, así como la desconfiguración de la seguridad basada en permisos.

Objetivo 4: Detectar, responder y recuperarse rápidamente de las amenazas e incidentes relacionados con el software crítico para la Tierra y las plataformas de software crítico para la Tierra.

Es lamentable (y una pérdida de tiempo y dinero) que muchas organizaciones sigan centrándose en la respuesta a los incidentes -en lugar de la prevención- a la hora de abordar los problemas de ciberseguridad. Esta es una cultura que estamos luchando por cambiar, y los desarrolladores están a la cabeza para proporcionar una potencia de fuego preventiva cuando están debidamente formados en las mejores prácticas de seguridad. 

El objetivo 4 requiere que los desarrolladores, en el contexto de su función, supervisen continuamente la seguridad en sus entornos y puntos finales tanto a nivel de software como de red. El registro y la monitorización insuficientes son otro error común e insidioso, y es vital que los ingenieros sean capaces de navegar con éxito en sus tareas diarias.

En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos para perfeccionar estas habilidades, ya sea trabajando con lenguajes web, de API o de nube.

Conciencia de seguridad con sostenibilidad.

Objetivo 5: Reforzar la comprensión y el rendimiento de las acciones humanas que fomentan la seguridad del software crítico para la Tierra y de las plataformas de software crítico para la Tierra.

Este es bastante generalizado, pero es el más importante de conseguir... y no se puede hacer sin dominar los cuatro primeros objetivos. Esta directriz pide que se lleven a cabo actividades frecuentes de concienciación sobre la seguridad, y que todas las "acciones humanas" sobre el software crítico para la OE sean llevadas a cabo por quienes están adecuadamente formados en el contexto de sus funciones y responsabilidades.

Los desarrolladores se encuentran entre los que están más cerca del código, además de las configuraciones de seguridad y el control de acceso. Sus habilidades de seguridad deben ser alimentadas, y para lograr los altos estándares señalados por el NIST, una estructura de curso práctico podría ser la manera eficiente de abordarlo, especialmente con grandes cohortes de desarrollo. 

Ayude a sus desarrolladores a obtener una valiosa experiencia en seguridad.


Empiece hoy mismoa aumentar los puntos de experiencia y el coeficiente de seguridad de su equipo de desarrollo.

Nos gustaría contar con su permiso para enviarle información sobre nuestros productos y/o temas relacionados con la codificación segura. Siempre trataremos sus datos personales con el máximo cuidado y nunca los venderemos a otras empresas con fines de marketing.

Para enviar el formulario, habilite las cookies "Analytics". Siéntase libre de desactivarlas de nuevo una vez que haya terminado.