Cómo Thales implantó la seguridad impulsada por los desarrolladores
Fondo
Thales Group es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri, es el Director Técnico de Seguridad del Software en Thales. Viswanath, o Vis, comenzó su carrera en el ámbito de la seguridad inicialmente como programador. Ahora es un alto dirigente de seguridad en Thales, con más de 18 años de experiencia en el sector de la seguridad, y posee más de 30 certificaciones, entre ellas CISSP, PMP y GSE. Ha formado a más de 3.000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío SANS en ciberseguridad internacional tournaments (como Netwars) y es miembro activo de la Junta Consultiva GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un programa de aprendizaje de código seguro de éxito en Thales.
Situación
Cuando Vis empezó a trabajar en Thales, enseñó a las unidades de negocio a buscar el origen de las vulnerabilidades descubiertas mediante pruebas de penetración como posible solución para reducir la deuda tecnológica acumulada. El equipo de seguridad de aplicaciones utilizaba 7 proveedores diferentes con los que trabajaban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pen-testing. Vis quería comprender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación a través de una fuerte integración entre proceso y tecnología. Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían formación ni conocimientos de seguridad. Su planteamiento inicial consistía en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero enseguida se dio cuenta de que no iba a ser posible con todos los viajes necesarios para impartir la formación en persona y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
"Siempre va a haber un desequilibrio en la proporción entre seguridad y desarrollo. Incluso si tuviera una proporción de 1:1 entre seguridad y desarrolladores, no podría mantenerlos comprometidos todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significaba que teníamos que ser capaces de promover el autoaprendizaje de los desarrolladores y hacer que pudieran ir a su propio ritmo. Si necesitaban ayuda, yo podía ayudarles, pero me di cuenta de que no podía ser el tipo que les enseñaba a solucionar cada vulnerabilidad que encontraban".
Al principio, los directores de desarrollo se opusieron a la inversión de tiempo que los desarrolladores tendrían que dedicar al aprendizaje de código seguro, ya que muchos de ellos empezaban desde cero. Vis tenía que gestionar la percepción de que un compromiso con el aprendizaje seguro del código podría interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Tenía que encontrar la forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud de "las personas primero" para abordar las vulnerabilidades en su origen, "La gente suele decir que la seguridad resta tiempo al desarrollo. Para mí, si desarrollas algo y es inseguro, para empezar ha sido una pérdida de tiempo. Siempre hay que desarrollar software para que sea seguro y ahorrarse el tiempo de tener que arreglar vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de distribuir código fiable".
Acción
Vis tenía dos objetivos principales en mente: proteger su software y concienciar a los equipos de desarrolladores de Thales en materia de seguridad. Era fundamental implantar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistió en crear una comunidad de seguridad a lo largo del tiempo, trabajando para vincular la codificación segura con las políticas corporativas y desarrollando un mandato para el aprendizaje de código seguro en la organización. Al fomentar una cultura de comunidad que conectaba a desarrolladores, probadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron campeones de seguridad apasionados por la seguridad como parte de su trabajo diario que ayudaron a difundir las prácticas de código seguro por toda la organización. Vis evaluó a más de una docena de proveedores de capacitación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue un gran beneficio tener un proveedor que cubriera todos los lenguajes de programación y marcos en su entorno en lugar de una solución poco sistemática. Vis se apoyó en el enorme volumen de contenido de Secure Code Warriorpara crear formación y aprendizaje a su propio ritmo al que pudieran acceder los desarrolladores del programa de seguridad:
"El top 10 de OWASP no son simplemente diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades cubiertas por OWASP combinadas con el gran número de lenguajes de programación puede ser abrumador - la amplia gama de retos y la cobertura que tenemos en estas cosas fue un factor clave en la elección de SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de construir un programa continuo."
Vis y su equipo estructuraron cuatro niveles de despliegue del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de la verdad para las correcciones de vulnerabilidades. En lugar de confiar en las búsquedas de Google que podrían llevarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenidos de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para las correcciones de vulnerabilidades en el código. Según Vis:
"Los desarrolladores no deberían tener libertad para decidir cómo solucionar una vulnerabilidad e introducir potencialmente una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para asegurarnos de que los desarrolladores aprendían a solucionar la vulnerabilidad de la forma correcta. Esto también nos dio una manera de asegurar que los desarrolladores que entregan software seguro estaban siendo reconocidos. Les pedimos que alcancen un determinado nivel de codificación segura y podemos hacer un seguimiento a través de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, el duro trabajo que han realizado es reconocido y valorado en la empresa".
Resultados
Vis y su equipo publican mensualmente un boletín de código seguro en el que reconocen a los mejores aprendices de la empresa. Utilizan SCW para consultar las puntuaciones de assessment , la participación en tournament y los retos jugados para amplificar ese logro. Esto motiva a otros desarrolladores a aprender también. Los KPI que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en 2 años. Tras implantar SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir en el código fuente. Vis lo expresa de esta manera:
"Los KPI que presentamos a nuestros directivos reflejan esa selección bien informada que hicimos. Estamos orgullosos de contar con una formación en código seguro que ofrece confianza empresarial a nuestros clientes. Somos reconocidos por nuestro completo programa de formación en código seguro y somos respetados por nuestros clientes y compañeros. Tener un programa como éste añade mucho valor a la empresa".
Principales conclusiones
Vis reconoció que tanto las personas como los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Centrándose en la seguridad del software, los conocimientos de los desarrolladores y el cumplimiento de la normativa, es posible elaborar un aprendizaje ágil para un programa de código seguro que reduzca las vulnerabilidades del código fuente a lo largo del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que busquen crear habilidades de seguridad en los equipos de desarrolladores.
En este estudio de caso, descubra cómo Thales ha desarrollado enfoques de personas, procesos y tecnología para un programa ágil de aprendizaje de código seguro con el fin de implicar a los desarrolladores para que se conviertan en campeones activos de la seguridad.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Fondo
Thales Group es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri, es el Director Técnico de Seguridad del Software en Thales. Viswanath, o Vis, comenzó su carrera en el ámbito de la seguridad inicialmente como programador. Ahora es un alto dirigente de seguridad en Thales, con más de 18 años de experiencia en el sector de la seguridad, y posee más de 30 certificaciones, entre ellas CISSP, PMP y GSE. Ha formado a más de 3.000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío SANS en ciberseguridad internacional tournaments (como Netwars) y es miembro activo de la Junta Consultiva GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un programa de aprendizaje de código seguro de éxito en Thales.
Situación
Cuando Vis empezó a trabajar en Thales, enseñó a las unidades de negocio a buscar el origen de las vulnerabilidades descubiertas mediante pruebas de penetración como posible solución para reducir la deuda tecnológica acumulada. El equipo de seguridad de aplicaciones utilizaba 7 proveedores diferentes con los que trabajaban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pen-testing. Vis quería comprender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación a través de una fuerte integración entre proceso y tecnología. Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían formación ni conocimientos de seguridad. Su planteamiento inicial consistía en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero enseguida se dio cuenta de que no iba a ser posible con todos los viajes necesarios para impartir la formación en persona y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
"Siempre va a haber un desequilibrio en la proporción entre seguridad y desarrollo. Incluso si tuviera una proporción de 1:1 entre seguridad y desarrolladores, no podría mantenerlos comprometidos todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significaba que teníamos que ser capaces de promover el autoaprendizaje de los desarrolladores y hacer que pudieran ir a su propio ritmo. Si necesitaban ayuda, yo podía ayudarles, pero me di cuenta de que no podía ser el tipo que les enseñaba a solucionar cada vulnerabilidad que encontraban".
Al principio, los directores de desarrollo se opusieron a la inversión de tiempo que los desarrolladores tendrían que dedicar al aprendizaje de código seguro, ya que muchos de ellos empezaban desde cero. Vis tenía que gestionar la percepción de que un compromiso con el aprendizaje seguro del código podría interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Tenía que encontrar la forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud de "las personas primero" para abordar las vulnerabilidades en su origen, "La gente suele decir que la seguridad resta tiempo al desarrollo. Para mí, si desarrollas algo y es inseguro, para empezar ha sido una pérdida de tiempo. Siempre hay que desarrollar software para que sea seguro y ahorrarse el tiempo de tener que arreglar vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de distribuir código fiable".
Acción
Vis tenía dos objetivos principales en mente: proteger su software y concienciar a los equipos de desarrolladores de Thales en materia de seguridad. Era fundamental implantar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistió en crear una comunidad de seguridad a lo largo del tiempo, trabajando para vincular la codificación segura con las políticas corporativas y desarrollando un mandato para el aprendizaje de código seguro en la organización. Al fomentar una cultura de comunidad que conectaba a desarrolladores, probadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron campeones de seguridad apasionados por la seguridad como parte de su trabajo diario que ayudaron a difundir las prácticas de código seguro por toda la organización. Vis evaluó a más de una docena de proveedores de capacitación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue un gran beneficio tener un proveedor que cubriera todos los lenguajes de programación y marcos en su entorno en lugar de una solución poco sistemática. Vis se apoyó en el enorme volumen de contenido de Secure Code Warriorpara crear formación y aprendizaje a su propio ritmo al que pudieran acceder los desarrolladores del programa de seguridad:
"El top 10 de OWASP no son simplemente diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades cubiertas por OWASP combinadas con el gran número de lenguajes de programación puede ser abrumador - la amplia gama de retos y la cobertura que tenemos en estas cosas fue un factor clave en la elección de SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de construir un programa continuo."
Vis y su equipo estructuraron cuatro niveles de despliegue del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de la verdad para las correcciones de vulnerabilidades. En lugar de confiar en las búsquedas de Google que podrían llevarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenidos de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para las correcciones de vulnerabilidades en el código. Según Vis:
"Los desarrolladores no deberían tener libertad para decidir cómo solucionar una vulnerabilidad e introducir potencialmente una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para asegurarnos de que los desarrolladores aprendían a solucionar la vulnerabilidad de la forma correcta. Esto también nos dio una manera de asegurar que los desarrolladores que entregan software seguro estaban siendo reconocidos. Les pedimos que alcancen un determinado nivel de codificación segura y podemos hacer un seguimiento a través de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, el duro trabajo que han realizado es reconocido y valorado en la empresa".
Resultados
Vis y su equipo publican mensualmente un boletín de código seguro en el que reconocen a los mejores aprendices de la empresa. Utilizan SCW para consultar las puntuaciones de assessment , la participación en tournament y los retos jugados para amplificar ese logro. Esto motiva a otros desarrolladores a aprender también. Los KPI que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en 2 años. Tras implantar SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir en el código fuente. Vis lo expresa de esta manera:
"Los KPI que presentamos a nuestros directivos reflejan esa selección bien informada que hicimos. Estamos orgullosos de contar con una formación en código seguro que ofrece confianza empresarial a nuestros clientes. Somos reconocidos por nuestro completo programa de formación en código seguro y somos respetados por nuestros clientes y compañeros. Tener un programa como éste añade mucho valor a la empresa".
Principales conclusiones
Vis reconoció que tanto las personas como los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Centrándose en la seguridad del software, los conocimientos de los desarrolladores y el cumplimiento de la normativa, es posible elaborar un aprendizaje ágil para un programa de código seguro que reduzca las vulnerabilidades del código fuente a lo largo del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que busquen crear habilidades de seguridad en los equipos de desarrolladores.
Fondo
Thales Group es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri, es el Director Técnico de Seguridad del Software en Thales. Viswanath, o Vis, comenzó su carrera en el ámbito de la seguridad inicialmente como programador. Ahora es un alto dirigente de seguridad en Thales, con más de 18 años de experiencia en el sector de la seguridad, y posee más de 30 certificaciones, entre ellas CISSP, PMP y GSE. Ha formado a más de 3.000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío SANS en ciberseguridad internacional tournaments (como Netwars) y es miembro activo de la Junta Consultiva GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un programa de aprendizaje de código seguro de éxito en Thales.
Situación
Cuando Vis empezó a trabajar en Thales, enseñó a las unidades de negocio a buscar el origen de las vulnerabilidades descubiertas mediante pruebas de penetración como posible solución para reducir la deuda tecnológica acumulada. El equipo de seguridad de aplicaciones utilizaba 7 proveedores diferentes con los que trabajaban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pen-testing. Vis quería comprender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación a través de una fuerte integración entre proceso y tecnología. Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían formación ni conocimientos de seguridad. Su planteamiento inicial consistía en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero enseguida se dio cuenta de que no iba a ser posible con todos los viajes necesarios para impartir la formación en persona y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
"Siempre va a haber un desequilibrio en la proporción entre seguridad y desarrollo. Incluso si tuviera una proporción de 1:1 entre seguridad y desarrolladores, no podría mantenerlos comprometidos todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significaba que teníamos que ser capaces de promover el autoaprendizaje de los desarrolladores y hacer que pudieran ir a su propio ritmo. Si necesitaban ayuda, yo podía ayudarles, pero me di cuenta de que no podía ser el tipo que les enseñaba a solucionar cada vulnerabilidad que encontraban".
Al principio, los directores de desarrollo se opusieron a la inversión de tiempo que los desarrolladores tendrían que dedicar al aprendizaje de código seguro, ya que muchos de ellos empezaban desde cero. Vis tenía que gestionar la percepción de que un compromiso con el aprendizaje seguro del código podría interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Tenía que encontrar la forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud de "las personas primero" para abordar las vulnerabilidades en su origen, "La gente suele decir que la seguridad resta tiempo al desarrollo. Para mí, si desarrollas algo y es inseguro, para empezar ha sido una pérdida de tiempo. Siempre hay que desarrollar software para que sea seguro y ahorrarse el tiempo de tener que arreglar vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de distribuir código fiable".
Acción
Vis tenía dos objetivos principales en mente: proteger su software y concienciar a los equipos de desarrolladores de Thales en materia de seguridad. Era fundamental implantar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistió en crear una comunidad de seguridad a lo largo del tiempo, trabajando para vincular la codificación segura con las políticas corporativas y desarrollando un mandato para el aprendizaje de código seguro en la organización. Al fomentar una cultura de comunidad que conectaba a desarrolladores, probadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron campeones de seguridad apasionados por la seguridad como parte de su trabajo diario que ayudaron a difundir las prácticas de código seguro por toda la organización. Vis evaluó a más de una docena de proveedores de capacitación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue un gran beneficio tener un proveedor que cubriera todos los lenguajes de programación y marcos en su entorno en lugar de una solución poco sistemática. Vis se apoyó en el enorme volumen de contenido de Secure Code Warriorpara crear formación y aprendizaje a su propio ritmo al que pudieran acceder los desarrolladores del programa de seguridad:
"El top 10 de OWASP no son simplemente diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades cubiertas por OWASP combinadas con el gran número de lenguajes de programación puede ser abrumador - la amplia gama de retos y la cobertura que tenemos en estas cosas fue un factor clave en la elección de SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de construir un programa continuo."
Vis y su equipo estructuraron cuatro niveles de despliegue del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de la verdad para las correcciones de vulnerabilidades. En lugar de confiar en las búsquedas de Google que podrían llevarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenidos de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para las correcciones de vulnerabilidades en el código. Según Vis:
"Los desarrolladores no deberían tener libertad para decidir cómo solucionar una vulnerabilidad e introducir potencialmente una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para asegurarnos de que los desarrolladores aprendían a solucionar la vulnerabilidad de la forma correcta. Esto también nos dio una manera de asegurar que los desarrolladores que entregan software seguro estaban siendo reconocidos. Les pedimos que alcancen un determinado nivel de codificación segura y podemos hacer un seguimiento a través de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, el duro trabajo que han realizado es reconocido y valorado en la empresa".
Resultados
Vis y su equipo publican mensualmente un boletín de código seguro en el que reconocen a los mejores aprendices de la empresa. Utilizan SCW para consultar las puntuaciones de assessment , la participación en tournament y los retos jugados para amplificar ese logro. Esto motiva a otros desarrolladores a aprender también. Los KPI que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en 2 años. Tras implantar SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir en el código fuente. Vis lo expresa de esta manera:
"Los KPI que presentamos a nuestros directivos reflejan esa selección bien informada que hicimos. Estamos orgullosos de contar con una formación en código seguro que ofrece confianza empresarial a nuestros clientes. Somos reconocidos por nuestro completo programa de formación en código seguro y somos respetados por nuestros clientes y compañeros. Tener un programa como éste añade mucho valor a la empresa".
Principales conclusiones
Vis reconoció que tanto las personas como los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Centrándose en la seguridad del software, los conocimientos de los desarrolladores y el cumplimiento de la normativa, es posible elaborar un aprendizaje ágil para un programa de código seguro que reduzca las vulnerabilidades del código fuente a lo largo del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que busquen crear habilidades de seguridad en los equipos de desarrolladores.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Fondo
Thales Group es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri, es el Director Técnico de Seguridad del Software en Thales. Viswanath, o Vis, comenzó su carrera en el ámbito de la seguridad inicialmente como programador. Ahora es un alto dirigente de seguridad en Thales, con más de 18 años de experiencia en el sector de la seguridad, y posee más de 30 certificaciones, entre ellas CISSP, PMP y GSE. Ha formado a más de 3.000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío SANS en ciberseguridad internacional tournaments (como Netwars) y es miembro activo de la Junta Consultiva GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un programa de aprendizaje de código seguro de éxito en Thales.
Situación
Cuando Vis empezó a trabajar en Thales, enseñó a las unidades de negocio a buscar el origen de las vulnerabilidades descubiertas mediante pruebas de penetración como posible solución para reducir la deuda tecnológica acumulada. El equipo de seguridad de aplicaciones utilizaba 7 proveedores diferentes con los que trabajaban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pen-testing. Vis quería comprender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación a través de una fuerte integración entre proceso y tecnología. Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían formación ni conocimientos de seguridad. Su planteamiento inicial consistía en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero enseguida se dio cuenta de que no iba a ser posible con todos los viajes necesarios para impartir la formación en persona y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
"Siempre va a haber un desequilibrio en la proporción entre seguridad y desarrollo. Incluso si tuviera una proporción de 1:1 entre seguridad y desarrolladores, no podría mantenerlos comprometidos todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significaba que teníamos que ser capaces de promover el autoaprendizaje de los desarrolladores y hacer que pudieran ir a su propio ritmo. Si necesitaban ayuda, yo podía ayudarles, pero me di cuenta de que no podía ser el tipo que les enseñaba a solucionar cada vulnerabilidad que encontraban".
Al principio, los directores de desarrollo se opusieron a la inversión de tiempo que los desarrolladores tendrían que dedicar al aprendizaje de código seguro, ya que muchos de ellos empezaban desde cero. Vis tenía que gestionar la percepción de que un compromiso con el aprendizaje seguro del código podría interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Tenía que encontrar la forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud de "las personas primero" para abordar las vulnerabilidades en su origen, "La gente suele decir que la seguridad resta tiempo al desarrollo. Para mí, si desarrollas algo y es inseguro, para empezar ha sido una pérdida de tiempo. Siempre hay que desarrollar software para que sea seguro y ahorrarse el tiempo de tener que arreglar vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de distribuir código fiable".
Acción
Vis tenía dos objetivos principales en mente: proteger su software y concienciar a los equipos de desarrolladores de Thales en materia de seguridad. Era fundamental implantar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistió en crear una comunidad de seguridad a lo largo del tiempo, trabajando para vincular la codificación segura con las políticas corporativas y desarrollando un mandato para el aprendizaje de código seguro en la organización. Al fomentar una cultura de comunidad que conectaba a desarrolladores, probadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron campeones de seguridad apasionados por la seguridad como parte de su trabajo diario que ayudaron a difundir las prácticas de código seguro por toda la organización. Vis evaluó a más de una docena de proveedores de capacitación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue un gran beneficio tener un proveedor que cubriera todos los lenguajes de programación y marcos en su entorno en lugar de una solución poco sistemática. Vis se apoyó en el enorme volumen de contenido de Secure Code Warriorpara crear formación y aprendizaje a su propio ritmo al que pudieran acceder los desarrolladores del programa de seguridad:
"El top 10 de OWASP no son simplemente diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades cubiertas por OWASP combinadas con el gran número de lenguajes de programación puede ser abrumador - la amplia gama de retos y la cobertura que tenemos en estas cosas fue un factor clave en la elección de SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de construir un programa continuo."
Vis y su equipo estructuraron cuatro niveles de despliegue del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de la verdad para las correcciones de vulnerabilidades. En lugar de confiar en las búsquedas de Google que podrían llevarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenidos de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para las correcciones de vulnerabilidades en el código. Según Vis:
"Los desarrolladores no deberían tener libertad para decidir cómo solucionar una vulnerabilidad e introducir potencialmente una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para asegurarnos de que los desarrolladores aprendían a solucionar la vulnerabilidad de la forma correcta. Esto también nos dio una manera de asegurar que los desarrolladores que entregan software seguro estaban siendo reconocidos. Les pedimos que alcancen un determinado nivel de codificación segura y podemos hacer un seguimiento a través de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, el duro trabajo que han realizado es reconocido y valorado en la empresa".
Resultados
Vis y su equipo publican mensualmente un boletín de código seguro en el que reconocen a los mejores aprendices de la empresa. Utilizan SCW para consultar las puntuaciones de assessment , la participación en tournament y los retos jugados para amplificar ese logro. Esto motiva a otros desarrolladores a aprender también. Los KPI que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en 2 años. Tras implantar SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir en el código fuente. Vis lo expresa de esta manera:
"Los KPI que presentamos a nuestros directivos reflejan esa selección bien informada que hicimos. Estamos orgullosos de contar con una formación en código seguro que ofrece confianza empresarial a nuestros clientes. Somos reconocidos por nuestro completo programa de formación en código seguro y somos respetados por nuestros clientes y compañeros. Tener un programa como éste añade mucho valor a la empresa".
Principales conclusiones
Vis reconoció que tanto las personas como los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Centrándose en la seguridad del software, los conocimientos de los desarrolladores y el cumplimiento de la normativa, es posible elaborar un aprendizaje ágil para un programa de código seguro que reduzca las vulnerabilidades del código fuente a lo largo del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que busquen crear habilidades de seguridad en los equipos de desarrolladores.
Índice
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Kit de motivación para el liderazgo en ingeniería
¿Necesita ayuda para conseguir la aprobación de los responsables de ingeniería para su programa SCW? Este folleto proporciona las principales ventajas que le ayudarán a comunicar la importancia de su programa de codificación segura.
La potencia de OpenText Fortify + Secure Code Warrior
OpenText Fortify y Secure Code Warrior unen sus fuerzas para ayudar a las empresas a reducir riesgos, transformar a los desarrolladores en campeones de la seguridad y fomentar la confianza de los clientes. Más información aquí.
Recursos para empezar
La Década de los Defensores: Secure Code Warrior Cumple Diez Años
Secure Code Warriorha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.
10 predicciones clave: Secure Code Warrior sobre la influencia de la IA y el diseño seguro en 2025
Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de seguridad por diseño, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año.
OWASP Top 10 para aplicaciones LLM: Novedades, cambios y cómo mantenerse seguro
Manténgase a la vanguardia de la seguridad de las aplicaciones LLM con las últimas actualizaciones del Top 10 de OWASP. Descubra qué hay de nuevo, qué ha cambiado y cómo Secure Code Warrior le equipa con recursos de aprendizaje actualizados para mitigar los riesgos en la IA Generativa.
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
