El cumplimiento de FinServ depende de la seguridad del software
Las instituciones de servicios financieros tienen razones de peso para asegurarse de que el código de software que utilizan es seguro. Una motivación obvia, por supuesto, es la necesidad de proteger sus datos de una violación, que puede ser costosa en términos de información personal filtrada, gastos de limpieza, multas y restitución, y daños a la reputación de una organización. Otro motivo constante es la necesidad de cumplir toda una serie de normativas industriales y gubernamentales.
Como manejan tanta información sensible, personal y financiera, así como el dinero de la gente, los servicios financieros son un sector muy regulado. Dependiendo de los servicios que presten, las empresas deben cumplir una mezcla de normas y requisitos.
La Payment Card Industry Data Security Standard (PCI DSS) es bien conocida por sus normas de protección de datos de titulares de tarjetas, por ejemplo. Los requisitos de la Ley Sarbanes-Oxely regulan la gestión de los registros financieros. Las empresas que operan a escala internacional están familiarizadas con la Digital Operational Resilience Act (DORA), que es un marco vinculante de gestión de riesgos, y las normas mundiales para transferencias de fondos establecidas por la Society for Worldwide Interbank Financial Telecommunication, conocida como Swift.
Y leyes como la Ley de Privacidad del Consumidor de California (CCPA) y el Reglamento General de Protección de Datos (GDPR) de la UE establecen requisitos para proteger la privacidad y la información personal de los clientes. Hay otras, como las normativas establecidas por la Oficina del Interventor de la Moneda (OCC) de Estados Unidos y el Banco Central Europeo (BCE).
Por si fuera poco, la Estrategia Nacional de Ciberseguridad establece, entre otras cosas, que los fabricantes de software deben ser considerados responsables de la seguridad ineficaz de los programas informáticos. Y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), junto con 17 socios estadounidenses e internacionales, ha publicado orientaciones sobre los principios de Secure-By-Design para el desarrollo de software.
Un hilo común para las empresas de servicios financieros es que el código seguro es un elemento crítico para ayudar a cumplir los objetivos de esas normativas que pueden facilitar la demostración de su cumplimiento. Y subraya por qué los desarrolladores necesitan formación y actualización para garantizar que la seguridad se aplica al código desde el principio del proceso de desarrollo.
Como ejemplo de cómo funciona, veamos la versión más reciente de PCI DSS.
La codificación segura (y la formación de los desarrolladores) es el núcleo de PCI DSS 4.0
La norma PCI DSS 4.0, que será obligatoria a partir del 1 de abril de 2024, incluye varias actualizaciones sustanciales con respecto a la norma PCI DSS 3.2.1, entre las que destaca el énfasis en el papel que desempeñan los desarrolladores a la hora de garantizar la seguridad del código de software.
La PCI reconoció hace tiempo la importancia del software seguro. La versión 2.0, que se publicó en 2017, incluía orientaciones para desarrolladores sobre cómo garantizar transacciones seguras en dispositivos móviles. Las directrices de la versión 4.0 hacen ahora hincapié en la aplicación de las mejores prácticas de seguridad al desarrollo de software e incluyen algunas orientaciones específicas sobre la formación de los desarrolladores.
Los requisitos suelen establecerse a grandes rasgos, aunque las empresas pueden querer aplicar un enfoque más exhaustivo.
Por ejemplo, un requisito de la versión 4.0 afirma que "se definen y comprenden los procesos y mecanismos para desarrollar y mantener sistemas y software seguros". Una buena forma de asegurarse de que esto es así es que los desarrolladores reciban una formación precisa en los lenguajes de programación y marcos de trabajo que utilizan, con el fin de colmar cualquier laguna de conocimientos.
Otro requisito establece que los desarrolladores que trabajen con software a medida y personalizado deben recibir formación al menos una vez cada 12 meses, que cubra:
- Seguridad del software pertinente para su función laboral y lenguajes de desarrollo.
- Diseño de software seguro y técnicas de codificación.
- Cómo utilizar las herramientas de pruebas de seguridad -si se utilizan- para detectar vulnerabilidades en el software.
Pero, en realidad, una vez al año no es suficiente para abordar los principales problemas de seguridad y acabar con los malos hábitos de codificación. La formación debe ser continua y mesurada, con un proceso de verificación de las competencias para garantizar que se hace un buen uso de ella.
PCI DSS 4.0 incluye más de media docena de otros requisitos que abordan áreas como la prevención y mitigación de diversos tipos de ataques, la documentación de componentes de software de terceros, la identificación y gestión de vulnerabilidades y otras medidas de seguridad. En todos los casos, las organizaciones harían bien en aplicar a fondo esas medidas. La formación sobre vectores de ataque debe ser frecuente, no anual. Los componentes de terceros, que suelen ser una fuente de vulnerabilidades, deben inventariarse cuidadosamente mediante un programa de lista de materiales de software (SBOM). Y las organizaciones deben asegurarse de tener funciones claramente definidas para gestionar las vulnerabilidades.
La nueva versión también ofrece a las organizaciones cierta flexibilidad a la hora de cumplir sus requisitos, centrándose en los resultados más que en marcar casillas, al tiempo que añade nuevos requisitos para los controles de autenticación, la longitud de las contraseñas, las cuentas compartidas y otros factores.
La conformidad comienza al principio del SDLC
Lo que estas normativas tienen en común es que intentan establecer normas estrictas para proteger los datos y las transacciones en el sector de los servicios financieros. Y, como en el caso de la última versión de la PCI DSS, hacen cada vez más hincapié en la importancia de un código seguro al principio del ciclo de vida de desarrollo del software (SDLC). La Estrategia Nacional de Ciberseguridad y los principios Secure by Design de CISA también responsabilizan de la seguridad a los creadores de software -antes de que se distribuya-, de modo que incluso las empresas que no se rigen directamente por la normativa de servicios financieros deben cumplirla.
Las organizaciones necesitan salvar la brecha que existe entre los equipos DevOps (que se centran en la velocidad de desarrollo) y los equipos AppSec (que se apresuran a introducir la seguridad en el proceso) formando a los desarrolladores para que la seguridad sea inherente a su enfoque. Sin embargo, esto requiere un complejo conjunto de habilidades que implican más de lo que pueden ofrecer las sesiones de formación anuales o los programas educativos estándar y estancados. La formación debe ser continua y ágil, diseñada para involucrar a los alumnos con escenarios activos del mundo real e impartida en pequeñas sesiones que se adapten a sus horarios de trabajo.
Las empresas de servicios financieros necesitan garantizar la seguridad tanto para protegerse contra las infracciones como para cumplir la normativa, cada vez más estricta. Los costes del incumplimiento pueden ser tan perjudiciales como una violación en términos de impacto en la reputación de una empresa y costes monetarios. El Informe de IBM sobre el coste de una violación de datos en 2023, por ejemplo, descubrió que las organizaciones con un alto nivel de incumplimiento se enfrentaban, de media, a multas y otros costes por un total de 5,05 millones de dólares, medio millón más que el coste medio de una violación de datos real.
El continuo crecimiento de los entornos basados en la nube y las transacciones digitales ha hecho que la seguridad del software en el sector de los servicios financieros sea de vital importancia, algo que reconocen normativas como PCI DSS. La mejor manera de garantizar un software seguro es mediante una codificación segura al inicio del SDLC. Y la forma de conseguirlo es formando eficazmente a los desarrolladores en prácticas de codificación segura.
Para obtener una visión completa de cómo la codificación segura puede ayudar a garantizar el éxito, la seguridad y los beneficios de las empresas de servicios financieros, puede leer el libro electrónico recién publicado Secure Code Warrior : La guía definitiva de las tendencias de seguridad en los servicios financieros.
Consulte las páginas del Secure Code Warrior para obtener más información sobre la ciberseguridad, el panorama cada vez más peligroso de las amenazas y saber cómo puede emplear tecnología innovadora y formación para proteger mejor a su organización y a sus clientes.
Las normativas que regulan el sector de los servicios financieros, como la PCI DSS, insisten en la importancia de un código seguro y en la necesidad de formar a los desarrolladores en las mejores prácticas de seguridad.
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior crea una cultura de desarrolladores orientados a la seguridad, dotándoles de las habilidades necesarias para codificar de forma segura. Nuestro buque insignia es Agile Learning Platform , que ofrece itinerarios basados en habilidades relevantes, prácticas en missions y herramientas contextuales para que los desarrolladores aprendan, desarrollen y apliquen rápidamente sus habilidades para escribir código seguro a gran velocidad.
Las instituciones de servicios financieros tienen razones de peso para asegurarse de que el código de software que utilizan es seguro. Una motivación obvia, por supuesto, es la necesidad de proteger sus datos de una violación, que puede ser costosa en términos de información personal filtrada, gastos de limpieza, multas y restitución, y daños a la reputación de una organización. Otro motivo constante es la necesidad de cumplir toda una serie de normativas industriales y gubernamentales.
Como manejan tanta información sensible, personal y financiera, así como el dinero de la gente, los servicios financieros son un sector muy regulado. Dependiendo de los servicios que presten, las empresas deben cumplir una mezcla de normas y requisitos.
La Payment Card Industry Data Security Standard (PCI DSS) es bien conocida por sus normas de protección de datos de titulares de tarjetas, por ejemplo. Los requisitos de la Ley Sarbanes-Oxely regulan la gestión de los registros financieros. Las empresas que operan a escala internacional están familiarizadas con la Digital Operational Resilience Act (DORA), que es un marco vinculante de gestión de riesgos, y las normas mundiales para transferencias de fondos establecidas por la Society for Worldwide Interbank Financial Telecommunication, conocida como Swift.
Y leyes como la Ley de Privacidad del Consumidor de California (CCPA) y el Reglamento General de Protección de Datos (GDPR) de la UE establecen requisitos para proteger la privacidad y la información personal de los clientes. Hay otras, como las normativas establecidas por la Oficina del Interventor de la Moneda (OCC) de Estados Unidos y el Banco Central Europeo (BCE).
Por si fuera poco, la Estrategia Nacional de Ciberseguridad establece, entre otras cosas, que los fabricantes de software deben ser considerados responsables de la seguridad ineficaz de los programas informáticos. Y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), junto con 17 socios estadounidenses e internacionales, ha publicado orientaciones sobre los principios de Secure-By-Design para el desarrollo de software.
Un hilo común para las empresas de servicios financieros es que el código seguro es un elemento crítico para ayudar a cumplir los objetivos de esas normativas que pueden facilitar la demostración de su cumplimiento. Y subraya por qué los desarrolladores necesitan formación y actualización para garantizar que la seguridad se aplica al código desde el principio del proceso de desarrollo.
Como ejemplo de cómo funciona, veamos la versión más reciente de PCI DSS.
La codificación segura (y la formación de los desarrolladores) es el núcleo de PCI DSS 4.0
La norma PCI DSS 4.0, que será obligatoria a partir del 1 de abril de 2024, incluye varias actualizaciones sustanciales con respecto a la norma PCI DSS 3.2.1, entre las que destaca el énfasis en el papel que desempeñan los desarrolladores a la hora de garantizar la seguridad del código de software.
La PCI reconoció hace tiempo la importancia del software seguro. La versión 2.0, que se publicó en 2017, incluía orientaciones para desarrolladores sobre cómo garantizar transacciones seguras en dispositivos móviles. Las directrices de la versión 4.0 hacen ahora hincapié en la aplicación de las mejores prácticas de seguridad al desarrollo de software e incluyen algunas orientaciones específicas sobre la formación de los desarrolladores.
Los requisitos suelen establecerse a grandes rasgos, aunque las empresas pueden querer aplicar un enfoque más exhaustivo.
Por ejemplo, un requisito de la versión 4.0 afirma que "se definen y comprenden los procesos y mecanismos para desarrollar y mantener sistemas y software seguros". Una buena forma de asegurarse de que esto es así es que los desarrolladores reciban una formación precisa en los lenguajes de programación y marcos de trabajo que utilizan, con el fin de colmar cualquier laguna de conocimientos.
Otro requisito establece que los desarrolladores que trabajen con software a medida y personalizado deben recibir formación al menos una vez cada 12 meses, que cubra:
- Seguridad del software pertinente para su función laboral y lenguajes de desarrollo.
- Diseño de software seguro y técnicas de codificación.
- Cómo utilizar las herramientas de pruebas de seguridad -si se utilizan- para detectar vulnerabilidades en el software.
Pero, en realidad, una vez al año no es suficiente para abordar los principales problemas de seguridad y acabar con los malos hábitos de codificación. La formación debe ser continua y mesurada, con un proceso de verificación de las competencias para garantizar que se hace un buen uso de ella.
PCI DSS 4.0 incluye más de media docena de otros requisitos que abordan áreas como la prevención y mitigación de diversos tipos de ataques, la documentación de componentes de software de terceros, la identificación y gestión de vulnerabilidades y otras medidas de seguridad. En todos los casos, las organizaciones harían bien en aplicar a fondo esas medidas. La formación sobre vectores de ataque debe ser frecuente, no anual. Los componentes de terceros, que suelen ser una fuente de vulnerabilidades, deben inventariarse cuidadosamente mediante un programa de lista de materiales de software (SBOM). Y las organizaciones deben asegurarse de tener funciones claramente definidas para gestionar las vulnerabilidades.
La nueva versión también ofrece a las organizaciones cierta flexibilidad a la hora de cumplir sus requisitos, centrándose en los resultados más que en marcar casillas, al tiempo que añade nuevos requisitos para los controles de autenticación, la longitud de las contraseñas, las cuentas compartidas y otros factores.
La conformidad comienza al principio del SDLC
Lo que estas normativas tienen en común es que intentan establecer normas estrictas para proteger los datos y las transacciones en el sector de los servicios financieros. Y, como en el caso de la última versión de la PCI DSS, hacen cada vez más hincapié en la importancia de un código seguro al principio del ciclo de vida de desarrollo del software (SDLC). La Estrategia Nacional de Ciberseguridad y los principios Secure by Design de CISA también responsabilizan de la seguridad a los creadores de software -antes de que se distribuya-, de modo que incluso las empresas que no se rigen directamente por la normativa de servicios financieros deben cumplirla.
Las organizaciones necesitan salvar la brecha que existe entre los equipos DevOps (que se centran en la velocidad de desarrollo) y los equipos AppSec (que se apresuran a introducir la seguridad en el proceso) formando a los desarrolladores para que la seguridad sea inherente a su enfoque. Sin embargo, esto requiere un complejo conjunto de habilidades que implican más de lo que pueden ofrecer las sesiones de formación anuales o los programas educativos estándar y estancados. La formación debe ser continua y ágil, diseñada para involucrar a los alumnos con escenarios activos del mundo real e impartida en pequeñas sesiones que se adapten a sus horarios de trabajo.
Las empresas de servicios financieros necesitan garantizar la seguridad tanto para protegerse contra las infracciones como para cumplir la normativa, cada vez más estricta. Los costes del incumplimiento pueden ser tan perjudiciales como una violación en términos de impacto en la reputación de una empresa y costes monetarios. El Informe de IBM sobre el coste de una violación de datos en 2023, por ejemplo, descubrió que las organizaciones con un alto nivel de incumplimiento se enfrentaban, de media, a multas y otros costes por un total de 5,05 millones de dólares, medio millón más que el coste medio de una violación de datos real.
El continuo crecimiento de los entornos basados en la nube y las transacciones digitales ha hecho que la seguridad del software en el sector de los servicios financieros sea de vital importancia, algo que reconocen normativas como PCI DSS. La mejor manera de garantizar un software seguro es mediante una codificación segura al inicio del SDLC. Y la forma de conseguirlo es formando eficazmente a los desarrolladores en prácticas de codificación segura.
Para obtener una visión completa de cómo la codificación segura puede ayudar a garantizar el éxito, la seguridad y los beneficios de las empresas de servicios financieros, puede leer el libro electrónico recién publicado Secure Code Warrior : La guía definitiva de las tendencias de seguridad en los servicios financieros.
Consulte las páginas del Secure Code Warrior para obtener más información sobre la ciberseguridad, el panorama cada vez más peligroso de las amenazas y saber cómo puede emplear tecnología innovadora y formación para proteger mejor a su organización y a sus clientes.
Las instituciones de servicios financieros tienen razones de peso para asegurarse de que el código de software que utilizan es seguro. Una motivación obvia, por supuesto, es la necesidad de proteger sus datos de una violación, que puede ser costosa en términos de información personal filtrada, gastos de limpieza, multas y restitución, y daños a la reputación de una organización. Otro motivo constante es la necesidad de cumplir toda una serie de normativas industriales y gubernamentales.
Como manejan tanta información sensible, personal y financiera, así como el dinero de la gente, los servicios financieros son un sector muy regulado. Dependiendo de los servicios que presten, las empresas deben cumplir una mezcla de normas y requisitos.
La Payment Card Industry Data Security Standard (PCI DSS) es bien conocida por sus normas de protección de datos de titulares de tarjetas, por ejemplo. Los requisitos de la Ley Sarbanes-Oxely regulan la gestión de los registros financieros. Las empresas que operan a escala internacional están familiarizadas con la Digital Operational Resilience Act (DORA), que es un marco vinculante de gestión de riesgos, y las normas mundiales para transferencias de fondos establecidas por la Society for Worldwide Interbank Financial Telecommunication, conocida como Swift.
Y leyes como la Ley de Privacidad del Consumidor de California (CCPA) y el Reglamento General de Protección de Datos (GDPR) de la UE establecen requisitos para proteger la privacidad y la información personal de los clientes. Hay otras, como las normativas establecidas por la Oficina del Interventor de la Moneda (OCC) de Estados Unidos y el Banco Central Europeo (BCE).
Por si fuera poco, la Estrategia Nacional de Ciberseguridad establece, entre otras cosas, que los fabricantes de software deben ser considerados responsables de la seguridad ineficaz de los programas informáticos. Y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), junto con 17 socios estadounidenses e internacionales, ha publicado orientaciones sobre los principios de Secure-By-Design para el desarrollo de software.
Un hilo común para las empresas de servicios financieros es que el código seguro es un elemento crítico para ayudar a cumplir los objetivos de esas normativas que pueden facilitar la demostración de su cumplimiento. Y subraya por qué los desarrolladores necesitan formación y actualización para garantizar que la seguridad se aplica al código desde el principio del proceso de desarrollo.
Como ejemplo de cómo funciona, veamos la versión más reciente de PCI DSS.
La codificación segura (y la formación de los desarrolladores) es el núcleo de PCI DSS 4.0
La norma PCI DSS 4.0, que será obligatoria a partir del 1 de abril de 2024, incluye varias actualizaciones sustanciales con respecto a la norma PCI DSS 3.2.1, entre las que destaca el énfasis en el papel que desempeñan los desarrolladores a la hora de garantizar la seguridad del código de software.
La PCI reconoció hace tiempo la importancia del software seguro. La versión 2.0, que se publicó en 2017, incluía orientaciones para desarrolladores sobre cómo garantizar transacciones seguras en dispositivos móviles. Las directrices de la versión 4.0 hacen ahora hincapié en la aplicación de las mejores prácticas de seguridad al desarrollo de software e incluyen algunas orientaciones específicas sobre la formación de los desarrolladores.
Los requisitos suelen establecerse a grandes rasgos, aunque las empresas pueden querer aplicar un enfoque más exhaustivo.
Por ejemplo, un requisito de la versión 4.0 afirma que "se definen y comprenden los procesos y mecanismos para desarrollar y mantener sistemas y software seguros". Una buena forma de asegurarse de que esto es así es que los desarrolladores reciban una formación precisa en los lenguajes de programación y marcos de trabajo que utilizan, con el fin de colmar cualquier laguna de conocimientos.
Otro requisito establece que los desarrolladores que trabajen con software a medida y personalizado deben recibir formación al menos una vez cada 12 meses, que cubra:
- Seguridad del software pertinente para su función laboral y lenguajes de desarrollo.
- Diseño de software seguro y técnicas de codificación.
- Cómo utilizar las herramientas de pruebas de seguridad -si se utilizan- para detectar vulnerabilidades en el software.
Pero, en realidad, una vez al año no es suficiente para abordar los principales problemas de seguridad y acabar con los malos hábitos de codificación. La formación debe ser continua y mesurada, con un proceso de verificación de las competencias para garantizar que se hace un buen uso de ella.
PCI DSS 4.0 incluye más de media docena de otros requisitos que abordan áreas como la prevención y mitigación de diversos tipos de ataques, la documentación de componentes de software de terceros, la identificación y gestión de vulnerabilidades y otras medidas de seguridad. En todos los casos, las organizaciones harían bien en aplicar a fondo esas medidas. La formación sobre vectores de ataque debe ser frecuente, no anual. Los componentes de terceros, que suelen ser una fuente de vulnerabilidades, deben inventariarse cuidadosamente mediante un programa de lista de materiales de software (SBOM). Y las organizaciones deben asegurarse de tener funciones claramente definidas para gestionar las vulnerabilidades.
La nueva versión también ofrece a las organizaciones cierta flexibilidad a la hora de cumplir sus requisitos, centrándose en los resultados más que en marcar casillas, al tiempo que añade nuevos requisitos para los controles de autenticación, la longitud de las contraseñas, las cuentas compartidas y otros factores.
La conformidad comienza al principio del SDLC
Lo que estas normativas tienen en común es que intentan establecer normas estrictas para proteger los datos y las transacciones en el sector de los servicios financieros. Y, como en el caso de la última versión de la PCI DSS, hacen cada vez más hincapié en la importancia de un código seguro al principio del ciclo de vida de desarrollo del software (SDLC). La Estrategia Nacional de Ciberseguridad y los principios Secure by Design de CISA también responsabilizan de la seguridad a los creadores de software -antes de que se distribuya-, de modo que incluso las empresas que no se rigen directamente por la normativa de servicios financieros deben cumplirla.
Las organizaciones necesitan salvar la brecha que existe entre los equipos DevOps (que se centran en la velocidad de desarrollo) y los equipos AppSec (que se apresuran a introducir la seguridad en el proceso) formando a los desarrolladores para que la seguridad sea inherente a su enfoque. Sin embargo, esto requiere un complejo conjunto de habilidades que implican más de lo que pueden ofrecer las sesiones de formación anuales o los programas educativos estándar y estancados. La formación debe ser continua y ágil, diseñada para involucrar a los alumnos con escenarios activos del mundo real e impartida en pequeñas sesiones que se adapten a sus horarios de trabajo.
Las empresas de servicios financieros necesitan garantizar la seguridad tanto para protegerse contra las infracciones como para cumplir la normativa, cada vez más estricta. Los costes del incumplimiento pueden ser tan perjudiciales como una violación en términos de impacto en la reputación de una empresa y costes monetarios. El Informe de IBM sobre el coste de una violación de datos en 2023, por ejemplo, descubrió que las organizaciones con un alto nivel de incumplimiento se enfrentaban, de media, a multas y otros costes por un total de 5,05 millones de dólares, medio millón más que el coste medio de una violación de datos real.
El continuo crecimiento de los entornos basados en la nube y las transacciones digitales ha hecho que la seguridad del software en el sector de los servicios financieros sea de vital importancia, algo que reconocen normativas como PCI DSS. La mejor manera de garantizar un software seguro es mediante una codificación segura al inicio del SDLC. Y la forma de conseguirlo es formando eficazmente a los desarrolladores en prácticas de codificación segura.
Para obtener una visión completa de cómo la codificación segura puede ayudar a garantizar el éxito, la seguridad y los beneficios de las empresas de servicios financieros, puede leer el libro electrónico recién publicado Secure Code Warrior : La guía definitiva de las tendencias de seguridad en los servicios financieros.
Consulte las páginas del Secure Code Warrior para obtener más información sobre la ciberseguridad, el panorama cada vez más peligroso de las amenazas y saber cómo puede emplear tecnología innovadora y formación para proteger mejor a su organización y a sus clientes.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior crea una cultura de desarrolladores orientados a la seguridad, dotándoles de las habilidades necesarias para codificar de forma segura. Nuestro buque insignia es Agile Learning Platform , que ofrece itinerarios basados en habilidades relevantes, prácticas en missions y herramientas contextuales para que los desarrolladores aprendan, desarrollen y apliquen rápidamente sus habilidades para escribir código seguro a gran velocidad.
Las instituciones de servicios financieros tienen razones de peso para asegurarse de que el código de software que utilizan es seguro. Una motivación obvia, por supuesto, es la necesidad de proteger sus datos de una violación, que puede ser costosa en términos de información personal filtrada, gastos de limpieza, multas y restitución, y daños a la reputación de una organización. Otro motivo constante es la necesidad de cumplir toda una serie de normativas industriales y gubernamentales.
Como manejan tanta información sensible, personal y financiera, así como el dinero de la gente, los servicios financieros son un sector muy regulado. Dependiendo de los servicios que presten, las empresas deben cumplir una mezcla de normas y requisitos.
La Payment Card Industry Data Security Standard (PCI DSS) es bien conocida por sus normas de protección de datos de titulares de tarjetas, por ejemplo. Los requisitos de la Ley Sarbanes-Oxely regulan la gestión de los registros financieros. Las empresas que operan a escala internacional están familiarizadas con la Digital Operational Resilience Act (DORA), que es un marco vinculante de gestión de riesgos, y las normas mundiales para transferencias de fondos establecidas por la Society for Worldwide Interbank Financial Telecommunication, conocida como Swift.
Y leyes como la Ley de Privacidad del Consumidor de California (CCPA) y el Reglamento General de Protección de Datos (GDPR) de la UE establecen requisitos para proteger la privacidad y la información personal de los clientes. Hay otras, como las normativas establecidas por la Oficina del Interventor de la Moneda (OCC) de Estados Unidos y el Banco Central Europeo (BCE).
Por si fuera poco, la Estrategia Nacional de Ciberseguridad establece, entre otras cosas, que los fabricantes de software deben ser considerados responsables de la seguridad ineficaz de los programas informáticos. Y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), junto con 17 socios estadounidenses e internacionales, ha publicado orientaciones sobre los principios de Secure-By-Design para el desarrollo de software.
Un hilo común para las empresas de servicios financieros es que el código seguro es un elemento crítico para ayudar a cumplir los objetivos de esas normativas que pueden facilitar la demostración de su cumplimiento. Y subraya por qué los desarrolladores necesitan formación y actualización para garantizar que la seguridad se aplica al código desde el principio del proceso de desarrollo.
Como ejemplo de cómo funciona, veamos la versión más reciente de PCI DSS.
La codificación segura (y la formación de los desarrolladores) es el núcleo de PCI DSS 4.0
La norma PCI DSS 4.0, que será obligatoria a partir del 1 de abril de 2024, incluye varias actualizaciones sustanciales con respecto a la norma PCI DSS 3.2.1, entre las que destaca el énfasis en el papel que desempeñan los desarrolladores a la hora de garantizar la seguridad del código de software.
La PCI reconoció hace tiempo la importancia del software seguro. La versión 2.0, que se publicó en 2017, incluía orientaciones para desarrolladores sobre cómo garantizar transacciones seguras en dispositivos móviles. Las directrices de la versión 4.0 hacen ahora hincapié en la aplicación de las mejores prácticas de seguridad al desarrollo de software e incluyen algunas orientaciones específicas sobre la formación de los desarrolladores.
Los requisitos suelen establecerse a grandes rasgos, aunque las empresas pueden querer aplicar un enfoque más exhaustivo.
Por ejemplo, un requisito de la versión 4.0 afirma que "se definen y comprenden los procesos y mecanismos para desarrollar y mantener sistemas y software seguros". Una buena forma de asegurarse de que esto es así es que los desarrolladores reciban una formación precisa en los lenguajes de programación y marcos de trabajo que utilizan, con el fin de colmar cualquier laguna de conocimientos.
Otro requisito establece que los desarrolladores que trabajen con software a medida y personalizado deben recibir formación al menos una vez cada 12 meses, que cubra:
- Seguridad del software pertinente para su función laboral y lenguajes de desarrollo.
- Diseño de software seguro y técnicas de codificación.
- Cómo utilizar las herramientas de pruebas de seguridad -si se utilizan- para detectar vulnerabilidades en el software.
Pero, en realidad, una vez al año no es suficiente para abordar los principales problemas de seguridad y acabar con los malos hábitos de codificación. La formación debe ser continua y mesurada, con un proceso de verificación de las competencias para garantizar que se hace un buen uso de ella.
PCI DSS 4.0 incluye más de media docena de otros requisitos que abordan áreas como la prevención y mitigación de diversos tipos de ataques, la documentación de componentes de software de terceros, la identificación y gestión de vulnerabilidades y otras medidas de seguridad. En todos los casos, las organizaciones harían bien en aplicar a fondo esas medidas. La formación sobre vectores de ataque debe ser frecuente, no anual. Los componentes de terceros, que suelen ser una fuente de vulnerabilidades, deben inventariarse cuidadosamente mediante un programa de lista de materiales de software (SBOM). Y las organizaciones deben asegurarse de tener funciones claramente definidas para gestionar las vulnerabilidades.
La nueva versión también ofrece a las organizaciones cierta flexibilidad a la hora de cumplir sus requisitos, centrándose en los resultados más que en marcar casillas, al tiempo que añade nuevos requisitos para los controles de autenticación, la longitud de las contraseñas, las cuentas compartidas y otros factores.
La conformidad comienza al principio del SDLC
Lo que estas normativas tienen en común es que intentan establecer normas estrictas para proteger los datos y las transacciones en el sector de los servicios financieros. Y, como en el caso de la última versión de la PCI DSS, hacen cada vez más hincapié en la importancia de un código seguro al principio del ciclo de vida de desarrollo del software (SDLC). La Estrategia Nacional de Ciberseguridad y los principios Secure by Design de CISA también responsabilizan de la seguridad a los creadores de software -antes de que se distribuya-, de modo que incluso las empresas que no se rigen directamente por la normativa de servicios financieros deben cumplirla.
Las organizaciones necesitan salvar la brecha que existe entre los equipos DevOps (que se centran en la velocidad de desarrollo) y los equipos AppSec (que se apresuran a introducir la seguridad en el proceso) formando a los desarrolladores para que la seguridad sea inherente a su enfoque. Sin embargo, esto requiere un complejo conjunto de habilidades que implican más de lo que pueden ofrecer las sesiones de formación anuales o los programas educativos estándar y estancados. La formación debe ser continua y ágil, diseñada para involucrar a los alumnos con escenarios activos del mundo real e impartida en pequeñas sesiones que se adapten a sus horarios de trabajo.
Las empresas de servicios financieros necesitan garantizar la seguridad tanto para protegerse contra las infracciones como para cumplir la normativa, cada vez más estricta. Los costes del incumplimiento pueden ser tan perjudiciales como una violación en términos de impacto en la reputación de una empresa y costes monetarios. El Informe de IBM sobre el coste de una violación de datos en 2023, por ejemplo, descubrió que las organizaciones con un alto nivel de incumplimiento se enfrentaban, de media, a multas y otros costes por un total de 5,05 millones de dólares, medio millón más que el coste medio de una violación de datos real.
El continuo crecimiento de los entornos basados en la nube y las transacciones digitales ha hecho que la seguridad del software en el sector de los servicios financieros sea de vital importancia, algo que reconocen normativas como PCI DSS. La mejor manera de garantizar un software seguro es mediante una codificación segura al inicio del SDLC. Y la forma de conseguirlo es formando eficazmente a los desarrolladores en prácticas de codificación segura.
Para obtener una visión completa de cómo la codificación segura puede ayudar a garantizar el éxito, la seguridad y los beneficios de las empresas de servicios financieros, puede leer el libro electrónico recién publicado Secure Code Warrior : La guía definitiva de las tendencias de seguridad en los servicios financieros.
Consulte las páginas del Secure Code Warrior para obtener más información sobre la ciberseguridad, el panorama cada vez más peligroso de las amenazas y saber cómo puede emplear tecnología innovadora y formación para proteger mejor a su organización y a sus clientes.
Índice
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
.png)
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
