Cómo Thales implantó la seguridad impulsada por los desarrolladores
Cómo Thales implantó la seguridad impulsada por los desarrolladores
Fondo
Thales Group es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri, es el Director Técnico de Seguridad del Software en Thales. Viswanath, o Vis, comenzó su carrera en el ámbito de la seguridad inicialmente como programador. Ahora es un alto dirigente de seguridad en Thales, con más de 18 años de experiencia en el sector de la seguridad, y posee más de 30 certificaciones, entre ellas CISSP, PMP y GSE. Ha formado a más de 3.000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío SANS en ciberseguridad internacional tournaments (como Netwars) y es miembro activo de la Junta Consultiva GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un programa de aprendizaje de código seguro de éxito en Thales.
Situación
Cuando Vis empezó a trabajar en Thales, enseñó a las unidades de negocio a buscar el origen de las vulnerabilidades descubiertas mediante pruebas de penetración como posible solución para reducir la deuda tecnológica acumulada. El equipo de seguridad de aplicaciones utilizaba 7 proveedores diferentes con los que trabajaban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pen-testing. Vis quería comprender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación a través de una fuerte integración entre proceso y tecnología. Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían formación ni conocimientos de seguridad. Su planteamiento inicial consistía en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero enseguida se dio cuenta de que no iba a ser posible con todos los viajes necesarios para impartir la formación en persona y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
"Siempre va a haber un desequilibrio en la proporción entre seguridad y desarrollo. Incluso si tuviera una proporción de 1:1 entre seguridad y desarrolladores, no podría mantenerlos comprometidos todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significaba que teníamos que ser capaces de promover el autoaprendizaje de los desarrolladores y hacer que pudieran ir a su propio ritmo. Si necesitaban ayuda, yo podía ayudarles, pero me di cuenta de que no podía ser el tipo que les enseñaba a solucionar cada vulnerabilidad que encontraban".
Al principio, los directores de desarrollo se opusieron a la inversión de tiempo que los desarrolladores tendrían que dedicar al aprendizaje de código seguro, ya que muchos de ellos empezaban desde cero. Vis tenía que gestionar la percepción de que un compromiso con el aprendizaje seguro del código podría interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Tenía que encontrar la forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud de "las personas primero" para abordar las vulnerabilidades en su origen, "La gente suele decir que la seguridad resta tiempo al desarrollo. Para mí, si desarrollas algo y es inseguro, para empezar ha sido una pérdida de tiempo. Siempre hay que desarrollar software para que sea seguro y ahorrarse el tiempo de tener que arreglar vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de distribuir código fiable".
Acción
Vis tenía dos objetivos principales en mente: proteger su software y concienciar a los equipos de desarrolladores de Thales en materia de seguridad. Era fundamental implantar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistió en crear una comunidad de seguridad a lo largo del tiempo, trabajando para vincular la codificación segura con las políticas corporativas y desarrollando un mandato para el aprendizaje de código seguro en la organización. Al fomentar una cultura de comunidad que conectaba a desarrolladores, probadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron campeones de seguridad apasionados por la seguridad como parte de su trabajo diario que ayudaron a difundir las prácticas de código seguro por toda la organización. Vis evaluó a más de una docena de proveedores de capacitación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue un gran beneficio tener un proveedor que cubriera todos los lenguajes de programación y marcos en su entorno en lugar de una solución poco sistemática. Vis se apoyó en el enorme volumen de contenido de Secure Code Warriorpara crear formación y aprendizaje a su propio ritmo al que pudieran acceder los desarrolladores del programa de seguridad:
"El top 10 de OWASP no son simplemente diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades cubiertas por OWASP combinadas con el gran número de lenguajes de programación puede ser abrumador - la amplia gama de retos y la cobertura que tenemos en estas cosas fue un factor clave en la elección de SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de construir un programa continuo."
Vis y su equipo estructuraron cuatro niveles de despliegue del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de la verdad para las correcciones de vulnerabilidades. En lugar de confiar en las búsquedas de Google que podrían llevarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenidos de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para las correcciones de vulnerabilidades en el código. Según Vis:
"Los desarrolladores no deberían tener libertad para decidir cómo solucionar una vulnerabilidad e introducir potencialmente una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para asegurarnos de que los desarrolladores aprendían a solucionar la vulnerabilidad de la forma correcta. Esto también nos dio una manera de asegurar que los desarrolladores que entregan software seguro estaban siendo reconocidos. Les pedimos que alcancen un determinado nivel de codificación segura y podemos hacer un seguimiento a través de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, el duro trabajo que han realizado es reconocido y valorado en la empresa".
Resultados
Vis y su equipo publican mensualmente un boletín de código seguro en el que reconocen a los mejores aprendices de la empresa. Utilizan SCW para consultar las puntuaciones de assessment , la participación en tournament y los retos jugados para amplificar ese logro. Esto motiva a otros desarrolladores a aprender también. Los KPI que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en 2 años. Tras implantar SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir en el código fuente. Vis lo expresa de esta manera:
"Los KPI que presentamos a nuestros directivos reflejan esa selección bien informada que hicimos. Estamos orgullosos de contar con una formación en código seguro que ofrece confianza empresarial a nuestros clientes. Somos reconocidos por nuestro completo programa de formación en código seguro y somos respetados por nuestros clientes y compañeros. Tener un programa como éste añade mucho valor a la empresa".
Principales conclusiones
Vis reconoció que tanto las personas como los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Centrándose en la seguridad del software, los conocimientos de los desarrolladores y el cumplimiento de la normativa, es posible elaborar un aprendizaje ágil para un programa de código seguro que reduzca las vulnerabilidades del código fuente a lo largo del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que busquen crear habilidades de seguridad en los equipos de desarrolladores.
Artículos relacionados que recomendamos
Artículos relacionados que recomendamos
Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.
Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.
Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores
Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.
Cómo Thales implantó la seguridad impulsada por los desarrolladores
Fondo
Thales Group es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri, es el Director Técnico de Seguridad del Software en Thales. Viswanath, o Vis, comenzó su carrera en el ámbito de la seguridad inicialmente como programador. Ahora es un alto dirigente de seguridad en Thales, con más de 18 años de experiencia en el sector de la seguridad, y posee más de 30 certificaciones, entre ellas CISSP, PMP y GSE. Ha formado a más de 3.000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío SANS en ciberseguridad internacional tournaments (como Netwars) y es miembro activo de la Junta Consultiva GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un programa de aprendizaje de código seguro de éxito en Thales.
Situación
Cuando Vis empezó a trabajar en Thales, enseñó a las unidades de negocio a buscar el origen de las vulnerabilidades descubiertas mediante pruebas de penetración como posible solución para reducir la deuda tecnológica acumulada. El equipo de seguridad de aplicaciones utilizaba 7 proveedores diferentes con los que trabajaban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pen-testing. Vis quería comprender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación a través de una fuerte integración entre proceso y tecnología. Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían formación ni conocimientos de seguridad. Su planteamiento inicial consistía en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero enseguida se dio cuenta de que no iba a ser posible con todos los viajes necesarios para impartir la formación en persona y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
"Siempre va a haber un desequilibrio en la proporción entre seguridad y desarrollo. Incluso si tuviera una proporción de 1:1 entre seguridad y desarrolladores, no podría mantenerlos comprometidos todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significaba que teníamos que ser capaces de promover el autoaprendizaje de los desarrolladores y hacer que pudieran ir a su propio ritmo. Si necesitaban ayuda, yo podía ayudarles, pero me di cuenta de que no podía ser el tipo que les enseñaba a solucionar cada vulnerabilidad que encontraban".
Al principio, los directores de desarrollo se opusieron a la inversión de tiempo que los desarrolladores tendrían que dedicar al aprendizaje de código seguro, ya que muchos de ellos empezaban desde cero. Vis tenía que gestionar la percepción de que un compromiso con el aprendizaje seguro del código podría interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Tenía que encontrar la forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud de "las personas primero" para abordar las vulnerabilidades en su origen, "La gente suele decir que la seguridad resta tiempo al desarrollo. Para mí, si desarrollas algo y es inseguro, para empezar ha sido una pérdida de tiempo. Siempre hay que desarrollar software para que sea seguro y ahorrarse el tiempo de tener que arreglar vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de distribuir código fiable".
Acción
Vis tenía dos objetivos principales en mente: proteger su software y concienciar a los equipos de desarrolladores de Thales en materia de seguridad. Era fundamental implantar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistió en crear una comunidad de seguridad a lo largo del tiempo, trabajando para vincular la codificación segura con las políticas corporativas y desarrollando un mandato para el aprendizaje de código seguro en la organización. Al fomentar una cultura de comunidad que conectaba a desarrolladores, probadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron campeones de seguridad apasionados por la seguridad como parte de su trabajo diario que ayudaron a difundir las prácticas de código seguro por toda la organización. Vis evaluó a más de una docena de proveedores de capacitación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue un gran beneficio tener un proveedor que cubriera todos los lenguajes de programación y marcos en su entorno en lugar de una solución poco sistemática. Vis se apoyó en el enorme volumen de contenido de Secure Code Warriorpara crear formación y aprendizaje a su propio ritmo al que pudieran acceder los desarrolladores del programa de seguridad:
"El top 10 de OWASP no son simplemente diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades cubiertas por OWASP combinadas con el gran número de lenguajes de programación puede ser abrumador - la amplia gama de retos y la cobertura que tenemos en estas cosas fue un factor clave en la elección de SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de construir un programa continuo."
Vis y su equipo estructuraron cuatro niveles de despliegue del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de la verdad para las correcciones de vulnerabilidades. En lugar de confiar en las búsquedas de Google que podrían llevarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenidos de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para las correcciones de vulnerabilidades en el código. Según Vis:
"Los desarrolladores no deberían tener libertad para decidir cómo solucionar una vulnerabilidad e introducir potencialmente una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para asegurarnos de que los desarrolladores aprendían a solucionar la vulnerabilidad de la forma correcta. Esto también nos dio una manera de asegurar que los desarrolladores que entregan software seguro estaban siendo reconocidos. Les pedimos que alcancen un determinado nivel de codificación segura y podemos hacer un seguimiento a través de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, el duro trabajo que han realizado es reconocido y valorado en la empresa".
Resultados
Vis y su equipo publican mensualmente un boletín de código seguro en el que reconocen a los mejores aprendices de la empresa. Utilizan SCW para consultar las puntuaciones de assessment , la participación en tournament y los retos jugados para amplificar ese logro. Esto motiva a otros desarrolladores a aprender también. Los KPI que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en 2 años. Tras implantar SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir en el código fuente. Vis lo expresa de esta manera:
"Los KPI que presentamos a nuestros directivos reflejan esa selección bien informada que hicimos. Estamos orgullosos de contar con una formación en código seguro que ofrece confianza empresarial a nuestros clientes. Somos reconocidos por nuestro completo programa de formación en código seguro y somos respetados por nuestros clientes y compañeros. Tener un programa como éste añade mucho valor a la empresa".
Principales conclusiones
Vis reconoció que tanto las personas como los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Centrándose en la seguridad del software, los conocimientos de los desarrolladores y el cumplimiento de la normativa, es posible elaborar un aprendizaje ágil para un programa de código seguro que reduzca las vulnerabilidades del código fuente a lo largo del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que busquen crear habilidades de seguridad en los equipos de desarrolladores.
