Cómo Thales implantó la seguridad impulsada por los desarrolladores
Fondo
Thales Group es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri, es el Director Técnico de Seguridad del Software en Thales. Viswanath, o Vis, comenzó su carrera en el ámbito de la seguridad inicialmente como programador. Ahora es un alto dirigente de seguridad en Thales, con más de 18 años de experiencia en el sector de la seguridad, y posee más de 30 certificaciones, entre ellas CISSP, PMP y GSE. Ha formado a más de 3.000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío SANS en ciberseguridad internacional tournaments (como Netwars) y es miembro activo de la Junta Consultiva GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un programa de aprendizaje de código seguro de éxito en Thales.
Situación
Cuando Vis empezó a trabajar en Thales, enseñó a las unidades de negocio a buscar el origen de las vulnerabilidades descubiertas mediante pruebas de penetración como posible solución para reducir la deuda tecnológica acumulada. El equipo de seguridad de aplicaciones utilizaba 7 proveedores diferentes con los que trabajaban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pen-testing. Vis quería comprender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación a través de una fuerte integración entre proceso y tecnología. Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían formación ni conocimientos de seguridad. Su planteamiento inicial consistía en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero enseguida se dio cuenta de que no iba a ser posible con todos los viajes necesarios para impartir la formación en persona y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
"Siempre va a haber un desequilibrio en la proporción entre seguridad y desarrollo. Incluso si tuviera una proporción de 1:1 entre seguridad y desarrolladores, no podría mantenerlos comprometidos todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significaba que teníamos que ser capaces de promover el autoaprendizaje de los desarrolladores y hacer que pudieran ir a su propio ritmo. Si necesitaban ayuda, yo podía ayudarles, pero me di cuenta de que no podía ser el tipo que les enseñaba a solucionar cada vulnerabilidad que encontraban".
Al principio, los directores de desarrollo se opusieron a la inversión de tiempo que los desarrolladores tendrían que dedicar al aprendizaje de código seguro, ya que muchos de ellos empezaban desde cero. Vis tenía que gestionar la percepción de que un compromiso con el aprendizaje seguro del código podría interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Tenía que encontrar la forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud de "las personas primero" para abordar las vulnerabilidades en su origen, "La gente suele decir que la seguridad resta tiempo al desarrollo. Para mí, si desarrollas algo y es inseguro, para empezar ha sido una pérdida de tiempo. Siempre hay que desarrollar software para que sea seguro y ahorrarse el tiempo de tener que arreglar vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de distribuir código fiable".
Acción
Vis tenía dos objetivos principales en mente: proteger su software y concienciar a los equipos de desarrolladores de Thales en materia de seguridad. Era fundamental implantar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistió en crear una comunidad de seguridad a lo largo del tiempo, trabajando para vincular la codificación segura con las políticas corporativas y desarrollando un mandato para el aprendizaje de código seguro en la organización. Al fomentar una cultura de comunidad que conectaba a desarrolladores, probadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron campeones de seguridad apasionados por la seguridad como parte de su trabajo diario que ayudaron a difundir las prácticas de código seguro por toda la organización. Vis evaluó a más de una docena de proveedores de capacitación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue un gran beneficio tener un proveedor que cubriera todos los lenguajes de programación y marcos en su entorno en lugar de una solución poco sistemática. Vis se apoyó en el enorme volumen de contenido de Secure Code Warriorpara crear formación y aprendizaje a su propio ritmo al que pudieran acceder los desarrolladores del programa de seguridad:
"El top 10 de OWASP no son simplemente diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades cubiertas por OWASP combinadas con el gran número de lenguajes de programación puede ser abrumador - la amplia gama de retos y la cobertura que tenemos en estas cosas fue un factor clave en la elección de SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de construir un programa continuo."
Vis y su equipo estructuraron cuatro niveles de despliegue del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de la verdad para las correcciones de vulnerabilidades. En lugar de confiar en las búsquedas de Google que podrían llevarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenidos de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para las correcciones de vulnerabilidades en el código. Según Vis:
"Los desarrolladores no deberían tener libertad para decidir cómo solucionar una vulnerabilidad e introducir potencialmente una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para asegurarnos de que los desarrolladores aprendían a solucionar la vulnerabilidad de la forma correcta. Esto también nos dio una manera de asegurar que los desarrolladores que entregan software seguro estaban siendo reconocidos. Les pedimos que alcancen un determinado nivel de codificación segura y podemos hacer un seguimiento a través de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, el duro trabajo que han realizado es reconocido y valorado en la empresa".
Resultados
Vis y su equipo publican mensualmente un boletín de código seguro en el que reconocen a los mejores aprendices de la empresa. Utilizan SCW para consultar las puntuaciones de assessment , la participación en tournament y los retos jugados para amplificar ese logro. Esto motiva a otros desarrolladores a aprender también. Los KPI que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en 2 años. Tras implantar SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir en el código fuente. Vis lo expresa de esta manera:
"Los KPI que presentamos a nuestros directivos reflejan esa selección bien informada que hicimos. Estamos orgullosos de contar con una formación en código seguro que ofrece confianza empresarial a nuestros clientes. Somos reconocidos por nuestro completo programa de formación en código seguro y somos respetados por nuestros clientes y compañeros. Tener un programa como éste añade mucho valor a la empresa".
Principales conclusiones
Vis reconoció que tanto las personas como los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Centrándose en la seguridad del software, los conocimientos de los desarrolladores y el cumplimiento de la normativa, es posible elaborar un aprendizaje ágil para un programa de código seguro que reduzca las vulnerabilidades del código fuente a lo largo del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que busquen crear habilidades de seguridad en los equipos de desarrolladores.
En este estudio de caso, descubra cómo Thales ha desarrollado enfoques de personas, procesos y tecnología para un programa ágil de aprendizaje de código seguro con el fin de implicar a los desarrolladores para que se conviertan en campeones activos de la seguridad.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Fondo
Thales Group es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri, es el Director Técnico de Seguridad del Software en Thales. Viswanath, o Vis, comenzó su carrera en el ámbito de la seguridad inicialmente como programador. Ahora es un alto dirigente de seguridad en Thales, con más de 18 años de experiencia en el sector de la seguridad, y posee más de 30 certificaciones, entre ellas CISSP, PMP y GSE. Ha formado a más de 3.000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío SANS en ciberseguridad internacional tournaments (como Netwars) y es miembro activo de la Junta Consultiva GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un programa de aprendizaje de código seguro de éxito en Thales.
Situación
Cuando Vis empezó a trabajar en Thales, enseñó a las unidades de negocio a buscar el origen de las vulnerabilidades descubiertas mediante pruebas de penetración como posible solución para reducir la deuda tecnológica acumulada. El equipo de seguridad de aplicaciones utilizaba 7 proveedores diferentes con los que trabajaban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pen-testing. Vis quería comprender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación a través de una fuerte integración entre proceso y tecnología. Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían formación ni conocimientos de seguridad. Su planteamiento inicial consistía en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero enseguida se dio cuenta de que no iba a ser posible con todos los viajes necesarios para impartir la formación en persona y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
"Siempre va a haber un desequilibrio en la proporción entre seguridad y desarrollo. Incluso si tuviera una proporción de 1:1 entre seguridad y desarrolladores, no podría mantenerlos comprometidos todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significaba que teníamos que ser capaces de promover el autoaprendizaje de los desarrolladores y hacer que pudieran ir a su propio ritmo. Si necesitaban ayuda, yo podía ayudarles, pero me di cuenta de que no podía ser el tipo que les enseñaba a solucionar cada vulnerabilidad que encontraban".
Al principio, los directores de desarrollo se opusieron a la inversión de tiempo que los desarrolladores tendrían que dedicar al aprendizaje de código seguro, ya que muchos de ellos empezaban desde cero. Vis tenía que gestionar la percepción de que un compromiso con el aprendizaje seguro del código podría interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Tenía que encontrar la forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud de "las personas primero" para abordar las vulnerabilidades en su origen, "La gente suele decir que la seguridad resta tiempo al desarrollo. Para mí, si desarrollas algo y es inseguro, para empezar ha sido una pérdida de tiempo. Siempre hay que desarrollar software para que sea seguro y ahorrarse el tiempo de tener que arreglar vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de distribuir código fiable".
Acción
Vis tenía dos objetivos principales en mente: proteger su software y concienciar a los equipos de desarrolladores de Thales en materia de seguridad. Era fundamental implantar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistió en crear una comunidad de seguridad a lo largo del tiempo, trabajando para vincular la codificación segura con las políticas corporativas y desarrollando un mandato para el aprendizaje de código seguro en la organización. Al fomentar una cultura de comunidad que conectaba a desarrolladores, probadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron campeones de seguridad apasionados por la seguridad como parte de su trabajo diario que ayudaron a difundir las prácticas de código seguro por toda la organización. Vis evaluó a más de una docena de proveedores de capacitación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue un gran beneficio tener un proveedor que cubriera todos los lenguajes de programación y marcos en su entorno en lugar de una solución poco sistemática. Vis se apoyó en el enorme volumen de contenido de Secure Code Warriorpara crear formación y aprendizaje a su propio ritmo al que pudieran acceder los desarrolladores del programa de seguridad:
"El top 10 de OWASP no son simplemente diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades cubiertas por OWASP combinadas con el gran número de lenguajes de programación puede ser abrumador - la amplia gama de retos y la cobertura que tenemos en estas cosas fue un factor clave en la elección de SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de construir un programa continuo."
Vis y su equipo estructuraron cuatro niveles de despliegue del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de la verdad para las correcciones de vulnerabilidades. En lugar de confiar en las búsquedas de Google que podrían llevarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenidos de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para las correcciones de vulnerabilidades en el código. Según Vis:
"Los desarrolladores no deberían tener libertad para decidir cómo solucionar una vulnerabilidad e introducir potencialmente una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para asegurarnos de que los desarrolladores aprendían a solucionar la vulnerabilidad de la forma correcta. Esto también nos dio una manera de asegurar que los desarrolladores que entregan software seguro estaban siendo reconocidos. Les pedimos que alcancen un determinado nivel de codificación segura y podemos hacer un seguimiento a través de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, el duro trabajo que han realizado es reconocido y valorado en la empresa".
Resultados
Vis y su equipo publican mensualmente un boletín de código seguro en el que reconocen a los mejores aprendices de la empresa. Utilizan SCW para consultar las puntuaciones de assessment , la participación en tournament y los retos jugados para amplificar ese logro. Esto motiva a otros desarrolladores a aprender también. Los KPI que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en 2 años. Tras implantar SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir en el código fuente. Vis lo expresa de esta manera:
"Los KPI que presentamos a nuestros directivos reflejan esa selección bien informada que hicimos. Estamos orgullosos de contar con una formación en código seguro que ofrece confianza empresarial a nuestros clientes. Somos reconocidos por nuestro completo programa de formación en código seguro y somos respetados por nuestros clientes y compañeros. Tener un programa como éste añade mucho valor a la empresa".
Principales conclusiones
Vis reconoció que tanto las personas como los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Centrándose en la seguridad del software, los conocimientos de los desarrolladores y el cumplimiento de la normativa, es posible elaborar un aprendizaje ágil para un programa de código seguro que reduzca las vulnerabilidades del código fuente a lo largo del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que busquen crear habilidades de seguridad en los equipos de desarrolladores.
Fondo
Thales Group es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri, es el Director Técnico de Seguridad del Software en Thales. Viswanath, o Vis, comenzó su carrera en el ámbito de la seguridad inicialmente como programador. Ahora es un alto dirigente de seguridad en Thales, con más de 18 años de experiencia en el sector de la seguridad, y posee más de 30 certificaciones, entre ellas CISSP, PMP y GSE. Ha formado a más de 3.000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío SANS en ciberseguridad internacional tournaments (como Netwars) y es miembro activo de la Junta Consultiva GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un programa de aprendizaje de código seguro de éxito en Thales.
Situación
Cuando Vis empezó a trabajar en Thales, enseñó a las unidades de negocio a buscar el origen de las vulnerabilidades descubiertas mediante pruebas de penetración como posible solución para reducir la deuda tecnológica acumulada. El equipo de seguridad de aplicaciones utilizaba 7 proveedores diferentes con los que trabajaban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pen-testing. Vis quería comprender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación a través de una fuerte integración entre proceso y tecnología. Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían formación ni conocimientos de seguridad. Su planteamiento inicial consistía en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero enseguida se dio cuenta de que no iba a ser posible con todos los viajes necesarios para impartir la formación en persona y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
"Siempre va a haber un desequilibrio en la proporción entre seguridad y desarrollo. Incluso si tuviera una proporción de 1:1 entre seguridad y desarrolladores, no podría mantenerlos comprometidos todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significaba que teníamos que ser capaces de promover el autoaprendizaje de los desarrolladores y hacer que pudieran ir a su propio ritmo. Si necesitaban ayuda, yo podía ayudarles, pero me di cuenta de que no podía ser el tipo que les enseñaba a solucionar cada vulnerabilidad que encontraban".
Al principio, los directores de desarrollo se opusieron a la inversión de tiempo que los desarrolladores tendrían que dedicar al aprendizaje de código seguro, ya que muchos de ellos empezaban desde cero. Vis tenía que gestionar la percepción de que un compromiso con el aprendizaje seguro del código podría interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Tenía que encontrar la forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud de "las personas primero" para abordar las vulnerabilidades en su origen, "La gente suele decir que la seguridad resta tiempo al desarrollo. Para mí, si desarrollas algo y es inseguro, para empezar ha sido una pérdida de tiempo. Siempre hay que desarrollar software para que sea seguro y ahorrarse el tiempo de tener que arreglar vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de distribuir código fiable".
Acción
Vis tenía dos objetivos principales en mente: proteger su software y concienciar a los equipos de desarrolladores de Thales en materia de seguridad. Era fundamental implantar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistió en crear una comunidad de seguridad a lo largo del tiempo, trabajando para vincular la codificación segura con las políticas corporativas y desarrollando un mandato para el aprendizaje de código seguro en la organización. Al fomentar una cultura de comunidad que conectaba a desarrolladores, probadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron campeones de seguridad apasionados por la seguridad como parte de su trabajo diario que ayudaron a difundir las prácticas de código seguro por toda la organización. Vis evaluó a más de una docena de proveedores de capacitación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue un gran beneficio tener un proveedor que cubriera todos los lenguajes de programación y marcos en su entorno en lugar de una solución poco sistemática. Vis se apoyó en el enorme volumen de contenido de Secure Code Warriorpara crear formación y aprendizaje a su propio ritmo al que pudieran acceder los desarrolladores del programa de seguridad:
"El top 10 de OWASP no son simplemente diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades cubiertas por OWASP combinadas con el gran número de lenguajes de programación puede ser abrumador - la amplia gama de retos y la cobertura que tenemos en estas cosas fue un factor clave en la elección de SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de construir un programa continuo."
Vis y su equipo estructuraron cuatro niveles de despliegue del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de la verdad para las correcciones de vulnerabilidades. En lugar de confiar en las búsquedas de Google que podrían llevarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenidos de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para las correcciones de vulnerabilidades en el código. Según Vis:
"Los desarrolladores no deberían tener libertad para decidir cómo solucionar una vulnerabilidad e introducir potencialmente una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para asegurarnos de que los desarrolladores aprendían a solucionar la vulnerabilidad de la forma correcta. Esto también nos dio una manera de asegurar que los desarrolladores que entregan software seguro estaban siendo reconocidos. Les pedimos que alcancen un determinado nivel de codificación segura y podemos hacer un seguimiento a través de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, el duro trabajo que han realizado es reconocido y valorado en la empresa".
Resultados
Vis y su equipo publican mensualmente un boletín de código seguro en el que reconocen a los mejores aprendices de la empresa. Utilizan SCW para consultar las puntuaciones de assessment , la participación en tournament y los retos jugados para amplificar ese logro. Esto motiva a otros desarrolladores a aprender también. Los KPI que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en 2 años. Tras implantar SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir en el código fuente. Vis lo expresa de esta manera:
"Los KPI que presentamos a nuestros directivos reflejan esa selección bien informada que hicimos. Estamos orgullosos de contar con una formación en código seguro que ofrece confianza empresarial a nuestros clientes. Somos reconocidos por nuestro completo programa de formación en código seguro y somos respetados por nuestros clientes y compañeros. Tener un programa como éste añade mucho valor a la empresa".
Principales conclusiones
Vis reconoció que tanto las personas como los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Centrándose en la seguridad del software, los conocimientos de los desarrolladores y el cumplimiento de la normativa, es posible elaborar un aprendizaje ágil para un programa de código seguro que reduzca las vulnerabilidades del código fuente a lo largo del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que busquen crear habilidades de seguridad en los equipos de desarrolladores.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Fondo
Thales Group es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri, es el Director Técnico de Seguridad del Software en Thales. Viswanath, o Vis, comenzó su carrera en el ámbito de la seguridad inicialmente como programador. Ahora es un alto dirigente de seguridad en Thales, con más de 18 años de experiencia en el sector de la seguridad, y posee más de 30 certificaciones, entre ellas CISSP, PMP y GSE. Ha formado a más de 3.000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío SANS en ciberseguridad internacional tournaments (como Netwars) y es miembro activo de la Junta Consultiva GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un programa de aprendizaje de código seguro de éxito en Thales.
Situación
Cuando Vis empezó a trabajar en Thales, enseñó a las unidades de negocio a buscar el origen de las vulnerabilidades descubiertas mediante pruebas de penetración como posible solución para reducir la deuda tecnológica acumulada. El equipo de seguridad de aplicaciones utilizaba 7 proveedores diferentes con los que trabajaban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pen-testing. Vis quería comprender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación a través de una fuerte integración entre proceso y tecnología. Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían formación ni conocimientos de seguridad. Su planteamiento inicial consistía en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero enseguida se dio cuenta de que no iba a ser posible con todos los viajes necesarios para impartir la formación en persona y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
"Siempre va a haber un desequilibrio en la proporción entre seguridad y desarrollo. Incluso si tuviera una proporción de 1:1 entre seguridad y desarrolladores, no podría mantenerlos comprometidos todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significaba que teníamos que ser capaces de promover el autoaprendizaje de los desarrolladores y hacer que pudieran ir a su propio ritmo. Si necesitaban ayuda, yo podía ayudarles, pero me di cuenta de que no podía ser el tipo que les enseñaba a solucionar cada vulnerabilidad que encontraban".
Al principio, los directores de desarrollo se opusieron a la inversión de tiempo que los desarrolladores tendrían que dedicar al aprendizaje de código seguro, ya que muchos de ellos empezaban desde cero. Vis tenía que gestionar la percepción de que un compromiso con el aprendizaje seguro del código podría interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Tenía que encontrar la forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud de "las personas primero" para abordar las vulnerabilidades en su origen, "La gente suele decir que la seguridad resta tiempo al desarrollo. Para mí, si desarrollas algo y es inseguro, para empezar ha sido una pérdida de tiempo. Siempre hay que desarrollar software para que sea seguro y ahorrarse el tiempo de tener que arreglar vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de distribuir código fiable".
Acción
Vis tenía dos objetivos principales en mente: proteger su software y concienciar a los equipos de desarrolladores de Thales en materia de seguridad. Era fundamental implantar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistió en crear una comunidad de seguridad a lo largo del tiempo, trabajando para vincular la codificación segura con las políticas corporativas y desarrollando un mandato para el aprendizaje de código seguro en la organización. Al fomentar una cultura de comunidad que conectaba a desarrolladores, probadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron campeones de seguridad apasionados por la seguridad como parte de su trabajo diario que ayudaron a difundir las prácticas de código seguro por toda la organización. Vis evaluó a más de una docena de proveedores de capacitación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue un gran beneficio tener un proveedor que cubriera todos los lenguajes de programación y marcos en su entorno en lugar de una solución poco sistemática. Vis se apoyó en el enorme volumen de contenido de Secure Code Warriorpara crear formación y aprendizaje a su propio ritmo al que pudieran acceder los desarrolladores del programa de seguridad:
"El top 10 de OWASP no son simplemente diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades cubiertas por OWASP combinadas con el gran número de lenguajes de programación puede ser abrumador - la amplia gama de retos y la cobertura que tenemos en estas cosas fue un factor clave en la elección de SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de construir un programa continuo."
Vis y su equipo estructuraron cuatro niveles de despliegue del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de la verdad para las correcciones de vulnerabilidades. En lugar de confiar en las búsquedas de Google que podrían llevarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenidos de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para las correcciones de vulnerabilidades en el código. Según Vis:
"Los desarrolladores no deberían tener libertad para decidir cómo solucionar una vulnerabilidad e introducir potencialmente una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para asegurarnos de que los desarrolladores aprendían a solucionar la vulnerabilidad de la forma correcta. Esto también nos dio una manera de asegurar que los desarrolladores que entregan software seguro estaban siendo reconocidos. Les pedimos que alcancen un determinado nivel de codificación segura y podemos hacer un seguimiento a través de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, el duro trabajo que han realizado es reconocido y valorado en la empresa".
Resultados
Vis y su equipo publican mensualmente un boletín de código seguro en el que reconocen a los mejores aprendices de la empresa. Utilizan SCW para consultar las puntuaciones de assessment , la participación en tournament y los retos jugados para amplificar ese logro. Esto motiva a otros desarrolladores a aprender también. Los KPI que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en 2 años. Tras implantar SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir en el código fuente. Vis lo expresa de esta manera:
"Los KPI que presentamos a nuestros directivos reflejan esa selección bien informada que hicimos. Estamos orgullosos de contar con una formación en código seguro que ofrece confianza empresarial a nuestros clientes. Somos reconocidos por nuestro completo programa de formación en código seguro y somos respetados por nuestros clientes y compañeros. Tener un programa como éste añade mucho valor a la empresa".
Principales conclusiones
Vis reconoció que tanto las personas como los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Centrándose en la seguridad del software, los conocimientos de los desarrolladores y el cumplimiento de la normativa, es posible elaborar un aprendizaje ágil para un programa de código seguro que reduzca las vulnerabilidades del código fuente a lo largo del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que busquen crear habilidades de seguridad en los equipos de desarrolladores.
Índice
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Recursos para empezar
Cierre el círculo de las vulnerabilidades con Secure Code Warrior + HackerOne
Secure Code Warrior se complace en anunciar nuestra nueva integración con HackerOne, líder en soluciones de seguridad ofensiva. Juntos, estamos construyendo un ecosistema potente e integrado. HackerOne señala dónde se producen realmente las vulnerabilidades en entornos reales, exponiendo el "qué" y el "dónde" de los problemas de seguridad.
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
