Cómo Thales implantó la seguridad impulsada por los desarrolladores
Fondo
Thales Group es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri, es el Director Técnico de Seguridad del Software en Thales. Viswanath, o Vis, comenzó su carrera en el ámbito de la seguridad inicialmente como programador. Ahora es un alto dirigente de seguridad en Thales, con más de 18 años de experiencia en el sector de la seguridad, y posee más de 30 certificaciones, entre ellas CISSP, PMP y GSE. Ha formado a más de 3.000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío SANS en ciberseguridad internacional tournaments (como Netwars) y es miembro activo de la Junta Consultiva GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un programa de aprendizaje de código seguro de éxito en Thales.
Situación
Cuando Vis empezó a trabajar en Thales, enseñó a las unidades de negocio a buscar el origen de las vulnerabilidades descubiertas mediante pruebas de penetración como posible solución para reducir la deuda tecnológica acumulada. El equipo de seguridad de aplicaciones utilizaba 7 proveedores diferentes con los que trabajaban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pen-testing. Vis quería comprender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación a través de una fuerte integración entre proceso y tecnología. Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían formación ni conocimientos de seguridad. Su planteamiento inicial consistía en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero enseguida se dio cuenta de que no iba a ser posible con todos los viajes necesarios para impartir la formación en persona y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
"Siempre va a haber un desequilibrio en la proporción entre seguridad y desarrollo. Incluso si tuviera una proporción de 1:1 entre seguridad y desarrolladores, no podría mantenerlos comprometidos todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significaba que teníamos que ser capaces de promover el autoaprendizaje de los desarrolladores y hacer que pudieran ir a su propio ritmo. Si necesitaban ayuda, yo podía ayudarles, pero me di cuenta de que no podía ser el tipo que les enseñaba a solucionar cada vulnerabilidad que encontraban".
Al principio, los directores de desarrollo se opusieron a la inversión de tiempo que los desarrolladores tendrían que dedicar al aprendizaje de código seguro, ya que muchos de ellos empezaban desde cero. Vis tenía que gestionar la percepción de que un compromiso con el aprendizaje seguro del código podría interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Tenía que encontrar la forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud de "las personas primero" para abordar las vulnerabilidades en su origen, "La gente suele decir que la seguridad resta tiempo al desarrollo. Para mí, si desarrollas algo y es inseguro, para empezar ha sido una pérdida de tiempo. Siempre hay que desarrollar software para que sea seguro y ahorrarse el tiempo de tener que arreglar vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de distribuir código fiable".
Acción
Vis tenía dos objetivos principales en mente: proteger su software y concienciar a los equipos de desarrolladores de Thales en materia de seguridad. Era fundamental implantar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistió en crear una comunidad de seguridad a lo largo del tiempo, trabajando para vincular la codificación segura con las políticas corporativas y desarrollando un mandato para el aprendizaje de código seguro en la organización. Al fomentar una cultura de comunidad que conectaba a desarrolladores, probadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron campeones de seguridad apasionados por la seguridad como parte de su trabajo diario que ayudaron a difundir las prácticas de código seguro por toda la organización. Vis evaluó a más de una docena de proveedores de capacitación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue un gran beneficio tener un proveedor que cubriera todos los lenguajes de programación y marcos en su entorno en lugar de una solución poco sistemática. Vis se apoyó en el enorme volumen de contenido de Secure Code Warriorpara crear formación y aprendizaje a su propio ritmo al que pudieran acceder los desarrolladores del programa de seguridad:
"El top 10 de OWASP no son simplemente diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades cubiertas por OWASP combinadas con el gran número de lenguajes de programación puede ser abrumador - la amplia gama de retos y la cobertura que tenemos en estas cosas fue un factor clave en la elección de SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de construir un programa continuo."
Vis y su equipo estructuraron cuatro niveles de despliegue del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de la verdad para las correcciones de vulnerabilidades. En lugar de confiar en las búsquedas de Google que podrían llevarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenidos de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para las correcciones de vulnerabilidades en el código. Según Vis:
"Los desarrolladores no deberían tener libertad para decidir cómo solucionar una vulnerabilidad e introducir potencialmente una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para asegurarnos de que los desarrolladores aprendían a solucionar la vulnerabilidad de la forma correcta. Esto también nos dio una manera de asegurar que los desarrolladores que entregan software seguro estaban siendo reconocidos. Les pedimos que alcancen un determinado nivel de codificación segura y podemos hacer un seguimiento a través de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, el duro trabajo que han realizado es reconocido y valorado en la empresa".
Resultados
Vis y su equipo publican mensualmente un boletín de código seguro en el que reconocen a los mejores aprendices de la empresa. Utilizan SCW para consultar las puntuaciones de assessment , la participación en tournament y los retos jugados para amplificar ese logro. Esto motiva a otros desarrolladores a aprender también. Los KPI que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en 2 años. Tras implantar SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir en el código fuente. Vis lo expresa de esta manera:
"Los KPI que presentamos a nuestros directivos reflejan esa selección bien informada que hicimos. Estamos orgullosos de contar con una formación en código seguro que ofrece confianza empresarial a nuestros clientes. Somos reconocidos por nuestro completo programa de formación en código seguro y somos respetados por nuestros clientes y compañeros. Tener un programa como éste añade mucho valor a la empresa".
Principales conclusiones
Vis reconoció que tanto las personas como los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Centrándose en la seguridad del software, los conocimientos de los desarrolladores y el cumplimiento de la normativa, es posible elaborar un aprendizaje ágil para un programa de código seguro que reduzca las vulnerabilidades del código fuente a lo largo del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que busquen crear habilidades de seguridad en los equipos de desarrolladores.
En este estudio de caso, descubra cómo Thales ha desarrollado enfoques de personas, procesos y tecnología para un programa ágil de aprendizaje de código seguro con el fin de implicar a los desarrolladores para que se conviertan en campeones activos de la seguridad.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Fondo
Thales Group es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri, es el Director Técnico de Seguridad del Software en Thales. Viswanath, o Vis, comenzó su carrera en el ámbito de la seguridad inicialmente como programador. Ahora es un alto dirigente de seguridad en Thales, con más de 18 años de experiencia en el sector de la seguridad, y posee más de 30 certificaciones, entre ellas CISSP, PMP y GSE. Ha formado a más de 3.000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío SANS en ciberseguridad internacional tournaments (como Netwars) y es miembro activo de la Junta Consultiva GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un programa de aprendizaje de código seguro de éxito en Thales.
Situación
Cuando Vis empezó a trabajar en Thales, enseñó a las unidades de negocio a buscar el origen de las vulnerabilidades descubiertas mediante pruebas de penetración como posible solución para reducir la deuda tecnológica acumulada. El equipo de seguridad de aplicaciones utilizaba 7 proveedores diferentes con los que trabajaban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pen-testing. Vis quería comprender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación a través de una fuerte integración entre proceso y tecnología. Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían formación ni conocimientos de seguridad. Su planteamiento inicial consistía en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero enseguida se dio cuenta de que no iba a ser posible con todos los viajes necesarios para impartir la formación en persona y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
"Siempre va a haber un desequilibrio en la proporción entre seguridad y desarrollo. Incluso si tuviera una proporción de 1:1 entre seguridad y desarrolladores, no podría mantenerlos comprometidos todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significaba que teníamos que ser capaces de promover el autoaprendizaje de los desarrolladores y hacer que pudieran ir a su propio ritmo. Si necesitaban ayuda, yo podía ayudarles, pero me di cuenta de que no podía ser el tipo que les enseñaba a solucionar cada vulnerabilidad que encontraban".
Al principio, los directores de desarrollo se opusieron a la inversión de tiempo que los desarrolladores tendrían que dedicar al aprendizaje de código seguro, ya que muchos de ellos empezaban desde cero. Vis tenía que gestionar la percepción de que un compromiso con el aprendizaje seguro del código podría interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Tenía que encontrar la forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud de "las personas primero" para abordar las vulnerabilidades en su origen, "La gente suele decir que la seguridad resta tiempo al desarrollo. Para mí, si desarrollas algo y es inseguro, para empezar ha sido una pérdida de tiempo. Siempre hay que desarrollar software para que sea seguro y ahorrarse el tiempo de tener que arreglar vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de distribuir código fiable".
Acción
Vis tenía dos objetivos principales en mente: proteger su software y concienciar a los equipos de desarrolladores de Thales en materia de seguridad. Era fundamental implantar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistió en crear una comunidad de seguridad a lo largo del tiempo, trabajando para vincular la codificación segura con las políticas corporativas y desarrollando un mandato para el aprendizaje de código seguro en la organización. Al fomentar una cultura de comunidad que conectaba a desarrolladores, probadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron campeones de seguridad apasionados por la seguridad como parte de su trabajo diario que ayudaron a difundir las prácticas de código seguro por toda la organización. Vis evaluó a más de una docena de proveedores de capacitación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue un gran beneficio tener un proveedor que cubriera todos los lenguajes de programación y marcos en su entorno en lugar de una solución poco sistemática. Vis se apoyó en el enorme volumen de contenido de Secure Code Warriorpara crear formación y aprendizaje a su propio ritmo al que pudieran acceder los desarrolladores del programa de seguridad:
"El top 10 de OWASP no son simplemente diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades cubiertas por OWASP combinadas con el gran número de lenguajes de programación puede ser abrumador - la amplia gama de retos y la cobertura que tenemos en estas cosas fue un factor clave en la elección de SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de construir un programa continuo."
Vis y su equipo estructuraron cuatro niveles de despliegue del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de la verdad para las correcciones de vulnerabilidades. En lugar de confiar en las búsquedas de Google que podrían llevarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenidos de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para las correcciones de vulnerabilidades en el código. Según Vis:
"Los desarrolladores no deberían tener libertad para decidir cómo solucionar una vulnerabilidad e introducir potencialmente una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para asegurarnos de que los desarrolladores aprendían a solucionar la vulnerabilidad de la forma correcta. Esto también nos dio una manera de asegurar que los desarrolladores que entregan software seguro estaban siendo reconocidos. Les pedimos que alcancen un determinado nivel de codificación segura y podemos hacer un seguimiento a través de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, el duro trabajo que han realizado es reconocido y valorado en la empresa".
Resultados
Vis y su equipo publican mensualmente un boletín de código seguro en el que reconocen a los mejores aprendices de la empresa. Utilizan SCW para consultar las puntuaciones de assessment , la participación en tournament y los retos jugados para amplificar ese logro. Esto motiva a otros desarrolladores a aprender también. Los KPI que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en 2 años. Tras implantar SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir en el código fuente. Vis lo expresa de esta manera:
"Los KPI que presentamos a nuestros directivos reflejan esa selección bien informada que hicimos. Estamos orgullosos de contar con una formación en código seguro que ofrece confianza empresarial a nuestros clientes. Somos reconocidos por nuestro completo programa de formación en código seguro y somos respetados por nuestros clientes y compañeros. Tener un programa como éste añade mucho valor a la empresa".
Principales conclusiones
Vis reconoció que tanto las personas como los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Centrándose en la seguridad del software, los conocimientos de los desarrolladores y el cumplimiento de la normativa, es posible elaborar un aprendizaje ágil para un programa de código seguro que reduzca las vulnerabilidades del código fuente a lo largo del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que busquen crear habilidades de seguridad en los equipos de desarrolladores.
Fondo
Thales Group es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri, es el Director Técnico de Seguridad del Software en Thales. Viswanath, o Vis, comenzó su carrera en el ámbito de la seguridad inicialmente como programador. Ahora es un alto dirigente de seguridad en Thales, con más de 18 años de experiencia en el sector de la seguridad, y posee más de 30 certificaciones, entre ellas CISSP, PMP y GSE. Ha formado a más de 3.000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío SANS en ciberseguridad internacional tournaments (como Netwars) y es miembro activo de la Junta Consultiva GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un programa de aprendizaje de código seguro de éxito en Thales.
Situación
Cuando Vis empezó a trabajar en Thales, enseñó a las unidades de negocio a buscar el origen de las vulnerabilidades descubiertas mediante pruebas de penetración como posible solución para reducir la deuda tecnológica acumulada. El equipo de seguridad de aplicaciones utilizaba 7 proveedores diferentes con los que trabajaban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pen-testing. Vis quería comprender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación a través de una fuerte integración entre proceso y tecnología. Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían formación ni conocimientos de seguridad. Su planteamiento inicial consistía en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero enseguida se dio cuenta de que no iba a ser posible con todos los viajes necesarios para impartir la formación en persona y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
"Siempre va a haber un desequilibrio en la proporción entre seguridad y desarrollo. Incluso si tuviera una proporción de 1:1 entre seguridad y desarrolladores, no podría mantenerlos comprometidos todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significaba que teníamos que ser capaces de promover el autoaprendizaje de los desarrolladores y hacer que pudieran ir a su propio ritmo. Si necesitaban ayuda, yo podía ayudarles, pero me di cuenta de que no podía ser el tipo que les enseñaba a solucionar cada vulnerabilidad que encontraban".
Al principio, los directores de desarrollo se opusieron a la inversión de tiempo que los desarrolladores tendrían que dedicar al aprendizaje de código seguro, ya que muchos de ellos empezaban desde cero. Vis tenía que gestionar la percepción de que un compromiso con el aprendizaje seguro del código podría interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Tenía que encontrar la forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud de "las personas primero" para abordar las vulnerabilidades en su origen, "La gente suele decir que la seguridad resta tiempo al desarrollo. Para mí, si desarrollas algo y es inseguro, para empezar ha sido una pérdida de tiempo. Siempre hay que desarrollar software para que sea seguro y ahorrarse el tiempo de tener que arreglar vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de distribuir código fiable".
Acción
Vis tenía dos objetivos principales en mente: proteger su software y concienciar a los equipos de desarrolladores de Thales en materia de seguridad. Era fundamental implantar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistió en crear una comunidad de seguridad a lo largo del tiempo, trabajando para vincular la codificación segura con las políticas corporativas y desarrollando un mandato para el aprendizaje de código seguro en la organización. Al fomentar una cultura de comunidad que conectaba a desarrolladores, probadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron campeones de seguridad apasionados por la seguridad como parte de su trabajo diario que ayudaron a difundir las prácticas de código seguro por toda la organización. Vis evaluó a más de una docena de proveedores de capacitación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue un gran beneficio tener un proveedor que cubriera todos los lenguajes de programación y marcos en su entorno en lugar de una solución poco sistemática. Vis se apoyó en el enorme volumen de contenido de Secure Code Warriorpara crear formación y aprendizaje a su propio ritmo al que pudieran acceder los desarrolladores del programa de seguridad:
"El top 10 de OWASP no son simplemente diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades cubiertas por OWASP combinadas con el gran número de lenguajes de programación puede ser abrumador - la amplia gama de retos y la cobertura que tenemos en estas cosas fue un factor clave en la elección de SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de construir un programa continuo."
Vis y su equipo estructuraron cuatro niveles de despliegue del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de la verdad para las correcciones de vulnerabilidades. En lugar de confiar en las búsquedas de Google que podrían llevarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenidos de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para las correcciones de vulnerabilidades en el código. Según Vis:
"Los desarrolladores no deberían tener libertad para decidir cómo solucionar una vulnerabilidad e introducir potencialmente una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para asegurarnos de que los desarrolladores aprendían a solucionar la vulnerabilidad de la forma correcta. Esto también nos dio una manera de asegurar que los desarrolladores que entregan software seguro estaban siendo reconocidos. Les pedimos que alcancen un determinado nivel de codificación segura y podemos hacer un seguimiento a través de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, el duro trabajo que han realizado es reconocido y valorado en la empresa".
Resultados
Vis y su equipo publican mensualmente un boletín de código seguro en el que reconocen a los mejores aprendices de la empresa. Utilizan SCW para consultar las puntuaciones de assessment , la participación en tournament y los retos jugados para amplificar ese logro. Esto motiva a otros desarrolladores a aprender también. Los KPI que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en 2 años. Tras implantar SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir en el código fuente. Vis lo expresa de esta manera:
"Los KPI que presentamos a nuestros directivos reflejan esa selección bien informada que hicimos. Estamos orgullosos de contar con una formación en código seguro que ofrece confianza empresarial a nuestros clientes. Somos reconocidos por nuestro completo programa de formación en código seguro y somos respetados por nuestros clientes y compañeros. Tener un programa como éste añade mucho valor a la empresa".
Principales conclusiones
Vis reconoció que tanto las personas como los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Centrándose en la seguridad del software, los conocimientos de los desarrolladores y el cumplimiento de la normativa, es posible elaborar un aprendizaje ágil para un programa de código seguro que reduzca las vulnerabilidades del código fuente a lo largo del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que busquen crear habilidades de seguridad en los equipos de desarrolladores.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Fondo
Thales Group es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri, es el Director Técnico de Seguridad del Software en Thales. Viswanath, o Vis, comenzó su carrera en el ámbito de la seguridad inicialmente como programador. Ahora es un alto dirigente de seguridad en Thales, con más de 18 años de experiencia en el sector de la seguridad, y posee más de 30 certificaciones, entre ellas CISSP, PMP y GSE. Ha formado a más de 3.000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío SANS en ciberseguridad internacional tournaments (como Netwars) y es miembro activo de la Junta Consultiva GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un programa de aprendizaje de código seguro de éxito en Thales.
Situación
Cuando Vis empezó a trabajar en Thales, enseñó a las unidades de negocio a buscar el origen de las vulnerabilidades descubiertas mediante pruebas de penetración como posible solución para reducir la deuda tecnológica acumulada. El equipo de seguridad de aplicaciones utilizaba 7 proveedores diferentes con los que trabajaban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pen-testing. Vis quería comprender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación a través de una fuerte integración entre proceso y tecnología. Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían formación ni conocimientos de seguridad. Su planteamiento inicial consistía en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero enseguida se dio cuenta de que no iba a ser posible con todos los viajes necesarios para impartir la formación en persona y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
"Siempre va a haber un desequilibrio en la proporción entre seguridad y desarrollo. Incluso si tuviera una proporción de 1:1 entre seguridad y desarrolladores, no podría mantenerlos comprometidos todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significaba que teníamos que ser capaces de promover el autoaprendizaje de los desarrolladores y hacer que pudieran ir a su propio ritmo. Si necesitaban ayuda, yo podía ayudarles, pero me di cuenta de que no podía ser el tipo que les enseñaba a solucionar cada vulnerabilidad que encontraban".
Al principio, los directores de desarrollo se opusieron a la inversión de tiempo que los desarrolladores tendrían que dedicar al aprendizaje de código seguro, ya que muchos de ellos empezaban desde cero. Vis tenía que gestionar la percepción de que un compromiso con el aprendizaje seguro del código podría interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Tenía que encontrar la forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud de "las personas primero" para abordar las vulnerabilidades en su origen, "La gente suele decir que la seguridad resta tiempo al desarrollo. Para mí, si desarrollas algo y es inseguro, para empezar ha sido una pérdida de tiempo. Siempre hay que desarrollar software para que sea seguro y ahorrarse el tiempo de tener que arreglar vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de distribuir código fiable".
Acción
Vis tenía dos objetivos principales en mente: proteger su software y concienciar a los equipos de desarrolladores de Thales en materia de seguridad. Era fundamental implantar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistió en crear una comunidad de seguridad a lo largo del tiempo, trabajando para vincular la codificación segura con las políticas corporativas y desarrollando un mandato para el aprendizaje de código seguro en la organización. Al fomentar una cultura de comunidad que conectaba a desarrolladores, probadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron campeones de seguridad apasionados por la seguridad como parte de su trabajo diario que ayudaron a difundir las prácticas de código seguro por toda la organización. Vis evaluó a más de una docena de proveedores de capacitación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue un gran beneficio tener un proveedor que cubriera todos los lenguajes de programación y marcos en su entorno en lugar de una solución poco sistemática. Vis se apoyó en el enorme volumen de contenido de Secure Code Warriorpara crear formación y aprendizaje a su propio ritmo al que pudieran acceder los desarrolladores del programa de seguridad:
"El top 10 de OWASP no son simplemente diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades cubiertas por OWASP combinadas con el gran número de lenguajes de programación puede ser abrumador - la amplia gama de retos y la cobertura que tenemos en estas cosas fue un factor clave en la elección de SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de construir un programa continuo."
Vis y su equipo estructuraron cuatro niveles de despliegue del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de la verdad para las correcciones de vulnerabilidades. En lugar de confiar en las búsquedas de Google que podrían llevarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenidos de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para las correcciones de vulnerabilidades en el código. Según Vis:
"Los desarrolladores no deberían tener libertad para decidir cómo solucionar una vulnerabilidad e introducir potencialmente una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para asegurarnos de que los desarrolladores aprendían a solucionar la vulnerabilidad de la forma correcta. Esto también nos dio una manera de asegurar que los desarrolladores que entregan software seguro estaban siendo reconocidos. Les pedimos que alcancen un determinado nivel de codificación segura y podemos hacer un seguimiento a través de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, el duro trabajo que han realizado es reconocido y valorado en la empresa".
Resultados
Vis y su equipo publican mensualmente un boletín de código seguro en el que reconocen a los mejores aprendices de la empresa. Utilizan SCW para consultar las puntuaciones de assessment , la participación en tournament y los retos jugados para amplificar ese logro. Esto motiva a otros desarrolladores a aprender también. Los KPI que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en 2 años. Tras implantar SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir en el código fuente. Vis lo expresa de esta manera:
"Los KPI que presentamos a nuestros directivos reflejan esa selección bien informada que hicimos. Estamos orgullosos de contar con una formación en código seguro que ofrece confianza empresarial a nuestros clientes. Somos reconocidos por nuestro completo programa de formación en código seguro y somos respetados por nuestros clientes y compañeros. Tener un programa como éste añade mucho valor a la empresa".
Principales conclusiones
Vis reconoció que tanto las personas como los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Centrándose en la seguridad del software, los conocimientos de los desarrolladores y el cumplimiento de la normativa, es posible elaborar un aprendizaje ágil para un programa de código seguro que reduzca las vulnerabilidades del código fuente a lo largo del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que busquen crear habilidades de seguridad en los equipos de desarrolladores.
Índice
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Convierta la concienciación en acción este Mes de la Cibersensibilización
Este mes de octubre, convierta la concienciación en acción. Haga que el Mes de la Concienciación Cibernética sea memorable para sus desarrolladores con una experiencia de alto impacto y alta participación dirigida por el equipo de Servicios Profesionales de Secure Code Warrior.
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Temas y contenidos de la formación sobre código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Temas que cubren todo, desde IA a XQuery Injection, ofrecidos para una variedad de roles desde Arquitectos e Ingenieros a Product Managers y QA. Eche un vistazo a lo que ofrece nuestro catálogo de contenidos por tema y función.
Recursos para empezar
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
La Década de los Defensores: Secure Code Warrior Cumple Diez Años
Secure Code Warriorha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
