La formación en materia de seguridad plantea interrogantes en la educación
Desde que comenzamos nuestra misión en 2015, siempre nos hemos centrado en facilitar una formación de codificación segura divertida, relevante y atractiva para los desarrolladores. Hace tiempo que reconocimos la importancia de dar a los desarrolladores los conocimientos y las herramientas para entender las mejores prácticas de seguridad, por qué son importantes y cómo pueden ayudar a fortificar el software de los ataques maliciosos mientras se escribe el código.
Sin embargo, la formación en seguridad no es un concepto nuevo. Ciertamente no fuimos los primeros en tomar la iniciativa, y las medidas de seguridad adecuadas han sido una consideración en el desarrollo de software durante mucho tiempo. Seguro que algunos tipos de formación son más eficaces que otros, pero el acceso a cierta formación en seguridad es relativamente fácil de encontrar, especialmente hoy en día.
... entonces, ¿por qué demonios tenemos tantas violaciones de datos? Hasta septiembre, más de cuatro mil millones de registros han sido expuestos a través de múltiples ciberataques solo en 2019.
Actualmente, muchas organizaciones están librando una batalla perdida para mantener a salvo nuestros datos, cada vez más valiosos. Los CISO y los CIO de todo el mundo tienen muy claro que "cambiar a la izquierda" todavía es demasiado tarde; debemos empezar por la izquierda con la seguridad en el SDLC, y eso significa que los desarrolladores deben tener los conocimientos de seguridad adecuados para corregir los fallos mucho antes de que el código se comprometa, y mucho menos que se haga público.
Los especialistas en seguridad de las aplicaciones no pueden ser los únicos guardianes de los conocimientos de seguridad.
En el pasado, la seguridad del software era el dominio de un grupo muy particular de frikis inteligentes, sin apenas interacción con los ingenieros que escribían el código. Su trabajo consistía en probar, romper y evitar que el código inseguro viera la luz. Si se cruzaban, lo más probable era que el especialista en seguridad señalara los fallos del código... algo que garantizaba una recepción fría por parte del desarrollador que había trabajado como un esclavo en su creación.
Si avanzamos hasta hoy, la situación es prácticamente la misma, salvo que ahora hay mucho más en juego. Casi todos los aspectos de nuestras vidas están digitalizados... todo, desde los álbumes de fotos en las redes sociales, los historiales médicos, las operaciones bancarias y nuestros documentos de identidad más valiosos. Una cosa era proteger el software y los sistemas operativos mayoritariamente fuera de línea y autónomos. Otra muy distinta es tener que defenderse de las amenazas a miles de millones de líneas de código, con cientos de millones de usuarios potencialmente en riesgo. Simplemente hay demasiado en juego para que un solo grupo de especialistas asuma toda la responsabilidad, y por eso debemos tender un puente entre AppSec y el equipo de desarrollo. Tienen que trabajar juntos, compartir conocimientos y operar como una unidad cohesionada y consciente de la seguridad.
Sólo hay un problema: los desarrolladores rara vez tienen la oportunidad de aprender habilidades de codificación segura de manera significativa. La mayor parte de la educación terciaria apenas aborda las mejores prácticas de seguridad, y la formación en el puesto de trabajo varía enormemente en calidad.
¿No es de extrañar que veamos grandes infracciones cada dos días? Descargue nuestra lista de comprobación de AppSec.
Una "licencia para codificar".
A pesar del sombrío panorama actual, soy optimista sobre el futuro de la seguridad. Hay un cambio en el aire, y estoy muy animado por la inmensa cantidad de organizaciones que se toman en serio la codificación segura en este momento.
Cada vez es más evidente que los desarrolladores necesitan tener acceso a las herramientas y conocimientos adecuados para mitigar los riesgos de seguridad, y que una cultura floreciente de concienciación sobre la seguridad es vital en la lucha contra las violaciones de datos. Cuando los desarrolladores asumen la responsabilidad de la seguridad a medida que se escribe el código, es mucho menos fácil para los atacantes explotar fallos simples y obtener las llaves del castillo.
Siempre se ha dado el caso de que algunos desarrolladores son más conscientes de la seguridad que otros, y esto supone un verdadero reto para las organizaciones. Mientras que los equipos de desarrollo internos suelen tener cierto grado de formación y control de habilidades, las aguas se enturbian mucho cuando se introducen en la mezcla contratistas, autónomos y recién licenciados. ¿Actúan con una mentalidad de seguridad? ¿Pueden evitar con éxito fallos antiguos, como el cross-site scripting, que existen desde hace décadas? Es difícil saberlo, pero a menudo se les deja sueltos en partes vitales de una construcción de software. Vaya.
Afortunadamente, estamos viendo un aumento de las normas no negociables para los desarrolladores. Por ejemplo, algunas organizaciones están utilizando Secure Code Warrior como herramienta para evaluar las habilidades de desarrollo y emitir una "licencia para codificar". Si no superan las evaluaciones fundamentales de codificación segura, no podrán trabajar en ningún proyecto. Esto ha sido muy valioso para ayudar a los graduados y pasantes a ponerse al día con sus habilidades de seguridad, mientras que al mismo tiempo, inculcar un sentido de importancia para codificar de forma segura. Después de todo, la seguridad debe ser sinónimo de calidad cuando se trata de software.
La formación extracurricular está poniendo a las universidades en el punto de mira.
Cambiar la conversación en torno a la codificación segura requiere algo más que un artículo aquí, un discurso de apertura allá. Tiene que ser un movimiento que abarque a toda la comunidad, y es estupendo ver que tantas organizaciones de primer nivel toman nota y crean programas de seguridad de alto nivel con un nivel envidiable. Una de estas empresas es HSBC, cuyo formidable programa está garantizando que los recién licenciados y los nuevos contratados se pongan en marcha lo antes posible. Como director de la Academia de Tecnología de HSBC India, Sekhar Babu Tatavarti ha considerado que la formación en seguridad es imprescindible:
"En HSBC Technology, queríamos asegurarnos de que nuestra comunidad de desarrolladores comprendiera la importancia de la codificación segura para proteger al banco de las vulnerabilidades. En el Programa de Formación para Graduados que tuvimos este año, pensamos que era una gran oportunidad para atraparlos jóvenes y permitirles autoaprender y arraigar las mejores prácticas de codificación segura antes de que lleguen al piso y comiencen a codificar en sus respectivos proyectos.
Elegimos la plataforma Secure Code Warrior por su maravilloso método de gamificación del aprendizaje para los graduados, y no desmintieron nuestras expectativas. Estamos encantados de que cada uno de ellos haya participado con entusiasmo en tournament , además de completar la certificación de cinturón blanco en diferentes tecnologías", afirmó.
Cada vez más organizaciones, como HSBC, consideran que las capacidades de codificación segura son esenciales a nivel de desarrollador. Y lo que esto ha hecho, en efecto, es arrojar luz sobre la educación terciaria en su conjunto. Los CISO y los CIO están empezando a preguntarse por qué los ingenieros recién graduados están completando su educación sin ninguna formación sólida en seguridad.
Innovación en la educación terciaria.
Mientras que la codificación segura debe convertirse en un componente obligatorio de la ingeniería de software a nivel terciario, algunas universidades están liderando la carga de proporcionar una formación de primera categoría y priorizar la seguridad como parte del proceso de desarrollo desde el principio, en lugar de ser el dominio de los escasos especialistas en AppSec sobre el terreno.
En la Universidad de Queensland (Australia), el profesor Ryan Ko está realizando importantes avances en la preparación de la próxima oleada de desarrolladores para protegernos de la inevitable avalancha de ciberataques:
"La mayoría de las vulnerabilidades del software se introducen en la fase de codificación, por lo que si podemos abordar esto en su origen (es decir, el programador), podríamos erradicar la mayoría de los problemas recurrentes que se encuentran hoy en la lista CVE. Dado que el software afecta a la vida y el sustento de la mayor parte de nuestra sociedad moderna, las universidades y las instituciones de formación tienen la responsabilidad moral y social de enseñar a todos los programadores noveles a codificar de forma segura", afirmó.
Se trata de una evolución emocionante con respecto al estándar courses, que ofrece muy poco en cuanto a conocimientos y habilidades de seguridad significativos. Y este es un "virus" que no me importaría propagar más. Para mi deleite, la Universidad Macquarie también está infectando a sus estudiantes con una mentalidad de seguridad primero, gracias a los esfuerzos de individuos como Christophe Doche:
"Lanzado en 2016, el Centro de Seguridad Cibernética de la Universidad Optus Macquarie es la primera iniciativa de este tipo en Australia, vinculando a los académicos en seguridad de la información, negocios, criminología, inteligencia, derecho y psicología junto con expertos en ciberseguridad de la industria y el gobierno.
Nuestra misión es posicionar a Australia como líder mundial en ciberseguridad a través de la educación, la investigación y las asociaciones. Un aspecto importante de esto es abordar la bien documentada brecha de habilidades en ciberseguridad, con proyecciones que muestran que es muy probable que 1,8 millones de puestos de trabajo no se cubran en todo el mundo en 2022.
Para solucionar este déficit de cualificación es necesario un enfoque múltiple, que implique el perfeccionamiento y la reconversión de la mano de obra existente, así como la formación de una nueva generación de especialistas en ciberseguridad", afirmó.
Su enfoque es increíble, ya que ofrece un aprendizaje de precisión con un alto grado de participación que ayuda a reducir las diferencias entre los departamentos y a crear un ritmo de concienciación de seguridad próspero. Están aprovechando el microaprendizaje en su estrategia, ofreciendo módulos de aprendizaje gamificados y del tamaño de un bocado con un alto índice de retención, compromiso y repetición. Estoy especialmente orgulloso de que podamos ayudarles a involucrar a sus estudiantes de forma creativa:
. "Un excelente ejemplo de este compromiso es la asociación con Secure Code warrior. Después de un tournament organizado por Secure Code Warrior y el Cyber Security Hub en agosto de 2019, ahora estamos estudiando la posibilidad de integrar la plataforma Secure Code Warrior en nuestro plan de estudios, especialmente en nuestra nueva unidad sobre Desarrollo de Aplicaciones Seguras", dijo Christophe.
Iniciativas como las de la Universidad Macquarie y la Universidad de Queensland son realmente pioneras en la codificación segura en el espacio educativo. Nuestro objetivo como profesionales de la seguridad de las aplicaciones, desarrolladores y comunidad de seguridad en general, debe ser incorporar la seguridad a todo lo que hacemos, y continuar con nuestro compromiso de empezar por la izquierda.
Mientras que la codificación segura debe convertirse en un componente obligatorio de la ingeniería de software en el nivel terciario, algunas universidades están liderando la carga de proporcionar una formación de primera categoría y dar prioridad a la seguridad como parte del proceso de desarrollo desde el principio.p
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDirector General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Desde que comenzamos nuestra misión en 2015, siempre nos hemos centrado en facilitar una formación de codificación segura divertida, relevante y atractiva para los desarrolladores. Hace tiempo que reconocimos la importancia de dar a los desarrolladores los conocimientos y las herramientas para entender las mejores prácticas de seguridad, por qué son importantes y cómo pueden ayudar a fortificar el software de los ataques maliciosos mientras se escribe el código.
Sin embargo, la formación en seguridad no es un concepto nuevo. Ciertamente no fuimos los primeros en tomar la iniciativa, y las medidas de seguridad adecuadas han sido una consideración en el desarrollo de software durante mucho tiempo. Seguro que algunos tipos de formación son más eficaces que otros, pero el acceso a cierta formación en seguridad es relativamente fácil de encontrar, especialmente hoy en día.
... entonces, ¿por qué demonios tenemos tantas violaciones de datos? Hasta septiembre, más de cuatro mil millones de registros han sido expuestos a través de múltiples ciberataques solo en 2019.
Actualmente, muchas organizaciones están librando una batalla perdida para mantener a salvo nuestros datos, cada vez más valiosos. Los CISO y los CIO de todo el mundo tienen muy claro que "cambiar a la izquierda" todavía es demasiado tarde; debemos empezar por la izquierda con la seguridad en el SDLC, y eso significa que los desarrolladores deben tener los conocimientos de seguridad adecuados para corregir los fallos mucho antes de que el código se comprometa, y mucho menos que se haga público.
Los especialistas en seguridad de las aplicaciones no pueden ser los únicos guardianes de los conocimientos de seguridad.
En el pasado, la seguridad del software era el dominio de un grupo muy particular de frikis inteligentes, sin apenas interacción con los ingenieros que escribían el código. Su trabajo consistía en probar, romper y evitar que el código inseguro viera la luz. Si se cruzaban, lo más probable era que el especialista en seguridad señalara los fallos del código... algo que garantizaba una recepción fría por parte del desarrollador que había trabajado como un esclavo en su creación.
Si avanzamos hasta hoy, la situación es prácticamente la misma, salvo que ahora hay mucho más en juego. Casi todos los aspectos de nuestras vidas están digitalizados... todo, desde los álbumes de fotos en las redes sociales, los historiales médicos, las operaciones bancarias y nuestros documentos de identidad más valiosos. Una cosa era proteger el software y los sistemas operativos mayoritariamente fuera de línea y autónomos. Otra muy distinta es tener que defenderse de las amenazas a miles de millones de líneas de código, con cientos de millones de usuarios potencialmente en riesgo. Simplemente hay demasiado en juego para que un solo grupo de especialistas asuma toda la responsabilidad, y por eso debemos tender un puente entre AppSec y el equipo de desarrollo. Tienen que trabajar juntos, compartir conocimientos y operar como una unidad cohesionada y consciente de la seguridad.
Sólo hay un problema: los desarrolladores rara vez tienen la oportunidad de aprender habilidades de codificación segura de manera significativa. La mayor parte de la educación terciaria apenas aborda las mejores prácticas de seguridad, y la formación en el puesto de trabajo varía enormemente en calidad.
¿No es de extrañar que veamos grandes infracciones cada dos días? Descargue nuestra lista de comprobación de AppSec.
Una "licencia para codificar".
A pesar del sombrío panorama actual, soy optimista sobre el futuro de la seguridad. Hay un cambio en el aire, y estoy muy animado por la inmensa cantidad de organizaciones que se toman en serio la codificación segura en este momento.
Cada vez es más evidente que los desarrolladores necesitan tener acceso a las herramientas y conocimientos adecuados para mitigar los riesgos de seguridad, y que una cultura floreciente de concienciación sobre la seguridad es vital en la lucha contra las violaciones de datos. Cuando los desarrolladores asumen la responsabilidad de la seguridad a medida que se escribe el código, es mucho menos fácil para los atacantes explotar fallos simples y obtener las llaves del castillo.
Siempre se ha dado el caso de que algunos desarrolladores son más conscientes de la seguridad que otros, y esto supone un verdadero reto para las organizaciones. Mientras que los equipos de desarrollo internos suelen tener cierto grado de formación y control de habilidades, las aguas se enturbian mucho cuando se introducen en la mezcla contratistas, autónomos y recién licenciados. ¿Actúan con una mentalidad de seguridad? ¿Pueden evitar con éxito fallos antiguos, como el cross-site scripting, que existen desde hace décadas? Es difícil saberlo, pero a menudo se les deja sueltos en partes vitales de una construcción de software. Vaya.
Afortunadamente, estamos viendo un aumento de las normas no negociables para los desarrolladores. Por ejemplo, algunas organizaciones están utilizando Secure Code Warrior como herramienta para evaluar las habilidades de desarrollo y emitir una "licencia para codificar". Si no superan las evaluaciones fundamentales de codificación segura, no podrán trabajar en ningún proyecto. Esto ha sido muy valioso para ayudar a los graduados y pasantes a ponerse al día con sus habilidades de seguridad, mientras que al mismo tiempo, inculcar un sentido de importancia para codificar de forma segura. Después de todo, la seguridad debe ser sinónimo de calidad cuando se trata de software.
La formación extracurricular está poniendo a las universidades en el punto de mira.
Cambiar la conversación en torno a la codificación segura requiere algo más que un artículo aquí, un discurso de apertura allá. Tiene que ser un movimiento que abarque a toda la comunidad, y es estupendo ver que tantas organizaciones de primer nivel toman nota y crean programas de seguridad de alto nivel con un nivel envidiable. Una de estas empresas es HSBC, cuyo formidable programa está garantizando que los recién licenciados y los nuevos contratados se pongan en marcha lo antes posible. Como director de la Academia de Tecnología de HSBC India, Sekhar Babu Tatavarti ha considerado que la formación en seguridad es imprescindible:
"En HSBC Technology, queríamos asegurarnos de que nuestra comunidad de desarrolladores comprendiera la importancia de la codificación segura para proteger al banco de las vulnerabilidades. En el Programa de Formación para Graduados que tuvimos este año, pensamos que era una gran oportunidad para atraparlos jóvenes y permitirles autoaprender y arraigar las mejores prácticas de codificación segura antes de que lleguen al piso y comiencen a codificar en sus respectivos proyectos.
Elegimos la plataforma Secure Code Warrior por su maravilloso método de gamificación del aprendizaje para los graduados, y no desmintieron nuestras expectativas. Estamos encantados de que cada uno de ellos haya participado con entusiasmo en tournament , además de completar la certificación de cinturón blanco en diferentes tecnologías", afirmó.
Cada vez más organizaciones, como HSBC, consideran que las capacidades de codificación segura son esenciales a nivel de desarrollador. Y lo que esto ha hecho, en efecto, es arrojar luz sobre la educación terciaria en su conjunto. Los CISO y los CIO están empezando a preguntarse por qué los ingenieros recién graduados están completando su educación sin ninguna formación sólida en seguridad.
Innovación en la educación terciaria.
Mientras que la codificación segura debe convertirse en un componente obligatorio de la ingeniería de software a nivel terciario, algunas universidades están liderando la carga de proporcionar una formación de primera categoría y priorizar la seguridad como parte del proceso de desarrollo desde el principio, en lugar de ser el dominio de los escasos especialistas en AppSec sobre el terreno.
En la Universidad de Queensland (Australia), el profesor Ryan Ko está realizando importantes avances en la preparación de la próxima oleada de desarrolladores para protegernos de la inevitable avalancha de ciberataques:
"La mayoría de las vulnerabilidades del software se introducen en la fase de codificación, por lo que si podemos abordar esto en su origen (es decir, el programador), podríamos erradicar la mayoría de los problemas recurrentes que se encuentran hoy en la lista CVE. Dado que el software afecta a la vida y el sustento de la mayor parte de nuestra sociedad moderna, las universidades y las instituciones de formación tienen la responsabilidad moral y social de enseñar a todos los programadores noveles a codificar de forma segura", afirmó.
Se trata de una evolución emocionante con respecto al estándar courses, que ofrece muy poco en cuanto a conocimientos y habilidades de seguridad significativos. Y este es un "virus" que no me importaría propagar más. Para mi deleite, la Universidad Macquarie también está infectando a sus estudiantes con una mentalidad de seguridad primero, gracias a los esfuerzos de individuos como Christophe Doche:
"Lanzado en 2016, el Centro de Seguridad Cibernética de la Universidad Optus Macquarie es la primera iniciativa de este tipo en Australia, vinculando a los académicos en seguridad de la información, negocios, criminología, inteligencia, derecho y psicología junto con expertos en ciberseguridad de la industria y el gobierno.
Nuestra misión es posicionar a Australia como líder mundial en ciberseguridad a través de la educación, la investigación y las asociaciones. Un aspecto importante de esto es abordar la bien documentada brecha de habilidades en ciberseguridad, con proyecciones que muestran que es muy probable que 1,8 millones de puestos de trabajo no se cubran en todo el mundo en 2022.
Para solucionar este déficit de cualificación es necesario un enfoque múltiple, que implique el perfeccionamiento y la reconversión de la mano de obra existente, así como la formación de una nueva generación de especialistas en ciberseguridad", afirmó.
Su enfoque es increíble, ya que ofrece un aprendizaje de precisión con un alto grado de participación que ayuda a reducir las diferencias entre los departamentos y a crear un ritmo de concienciación de seguridad próspero. Están aprovechando el microaprendizaje en su estrategia, ofreciendo módulos de aprendizaje gamificados y del tamaño de un bocado con un alto índice de retención, compromiso y repetición. Estoy especialmente orgulloso de que podamos ayudarles a involucrar a sus estudiantes de forma creativa:
. "Un excelente ejemplo de este compromiso es la asociación con Secure Code warrior. Después de un tournament organizado por Secure Code Warrior y el Cyber Security Hub en agosto de 2019, ahora estamos estudiando la posibilidad de integrar la plataforma Secure Code Warrior en nuestro plan de estudios, especialmente en nuestra nueva unidad sobre Desarrollo de Aplicaciones Seguras", dijo Christophe.
Iniciativas como las de la Universidad Macquarie y la Universidad de Queensland son realmente pioneras en la codificación segura en el espacio educativo. Nuestro objetivo como profesionales de la seguridad de las aplicaciones, desarrolladores y comunidad de seguridad en general, debe ser incorporar la seguridad a todo lo que hacemos, y continuar con nuestro compromiso de empezar por la izquierda.
Desde que comenzamos nuestra misión en 2015, siempre nos hemos centrado en facilitar una formación de codificación segura divertida, relevante y atractiva para los desarrolladores. Hace tiempo que reconocimos la importancia de dar a los desarrolladores los conocimientos y las herramientas para entender las mejores prácticas de seguridad, por qué son importantes y cómo pueden ayudar a fortificar el software de los ataques maliciosos mientras se escribe el código.
Sin embargo, la formación en seguridad no es un concepto nuevo. Ciertamente no fuimos los primeros en tomar la iniciativa, y las medidas de seguridad adecuadas han sido una consideración en el desarrollo de software durante mucho tiempo. Seguro que algunos tipos de formación son más eficaces que otros, pero el acceso a cierta formación en seguridad es relativamente fácil de encontrar, especialmente hoy en día.
... entonces, ¿por qué demonios tenemos tantas violaciones de datos? Hasta septiembre, más de cuatro mil millones de registros han sido expuestos a través de múltiples ciberataques solo en 2019.
Actualmente, muchas organizaciones están librando una batalla perdida para mantener a salvo nuestros datos, cada vez más valiosos. Los CISO y los CIO de todo el mundo tienen muy claro que "cambiar a la izquierda" todavía es demasiado tarde; debemos empezar por la izquierda con la seguridad en el SDLC, y eso significa que los desarrolladores deben tener los conocimientos de seguridad adecuados para corregir los fallos mucho antes de que el código se comprometa, y mucho menos que se haga público.
Los especialistas en seguridad de las aplicaciones no pueden ser los únicos guardianes de los conocimientos de seguridad.
En el pasado, la seguridad del software era el dominio de un grupo muy particular de frikis inteligentes, sin apenas interacción con los ingenieros que escribían el código. Su trabajo consistía en probar, romper y evitar que el código inseguro viera la luz. Si se cruzaban, lo más probable era que el especialista en seguridad señalara los fallos del código... algo que garantizaba una recepción fría por parte del desarrollador que había trabajado como un esclavo en su creación.
Si avanzamos hasta hoy, la situación es prácticamente la misma, salvo que ahora hay mucho más en juego. Casi todos los aspectos de nuestras vidas están digitalizados... todo, desde los álbumes de fotos en las redes sociales, los historiales médicos, las operaciones bancarias y nuestros documentos de identidad más valiosos. Una cosa era proteger el software y los sistemas operativos mayoritariamente fuera de línea y autónomos. Otra muy distinta es tener que defenderse de las amenazas a miles de millones de líneas de código, con cientos de millones de usuarios potencialmente en riesgo. Simplemente hay demasiado en juego para que un solo grupo de especialistas asuma toda la responsabilidad, y por eso debemos tender un puente entre AppSec y el equipo de desarrollo. Tienen que trabajar juntos, compartir conocimientos y operar como una unidad cohesionada y consciente de la seguridad.
Sólo hay un problema: los desarrolladores rara vez tienen la oportunidad de aprender habilidades de codificación segura de manera significativa. La mayor parte de la educación terciaria apenas aborda las mejores prácticas de seguridad, y la formación en el puesto de trabajo varía enormemente en calidad.
¿No es de extrañar que veamos grandes infracciones cada dos días? Descargue nuestra lista de comprobación de AppSec.
Una "licencia para codificar".
A pesar del sombrío panorama actual, soy optimista sobre el futuro de la seguridad. Hay un cambio en el aire, y estoy muy animado por la inmensa cantidad de organizaciones que se toman en serio la codificación segura en este momento.
Cada vez es más evidente que los desarrolladores necesitan tener acceso a las herramientas y conocimientos adecuados para mitigar los riesgos de seguridad, y que una cultura floreciente de concienciación sobre la seguridad es vital en la lucha contra las violaciones de datos. Cuando los desarrolladores asumen la responsabilidad de la seguridad a medida que se escribe el código, es mucho menos fácil para los atacantes explotar fallos simples y obtener las llaves del castillo.
Siempre se ha dado el caso de que algunos desarrolladores son más conscientes de la seguridad que otros, y esto supone un verdadero reto para las organizaciones. Mientras que los equipos de desarrollo internos suelen tener cierto grado de formación y control de habilidades, las aguas se enturbian mucho cuando se introducen en la mezcla contratistas, autónomos y recién licenciados. ¿Actúan con una mentalidad de seguridad? ¿Pueden evitar con éxito fallos antiguos, como el cross-site scripting, que existen desde hace décadas? Es difícil saberlo, pero a menudo se les deja sueltos en partes vitales de una construcción de software. Vaya.
Afortunadamente, estamos viendo un aumento de las normas no negociables para los desarrolladores. Por ejemplo, algunas organizaciones están utilizando Secure Code Warrior como herramienta para evaluar las habilidades de desarrollo y emitir una "licencia para codificar". Si no superan las evaluaciones fundamentales de codificación segura, no podrán trabajar en ningún proyecto. Esto ha sido muy valioso para ayudar a los graduados y pasantes a ponerse al día con sus habilidades de seguridad, mientras que al mismo tiempo, inculcar un sentido de importancia para codificar de forma segura. Después de todo, la seguridad debe ser sinónimo de calidad cuando se trata de software.
La formación extracurricular está poniendo a las universidades en el punto de mira.
Cambiar la conversación en torno a la codificación segura requiere algo más que un artículo aquí, un discurso de apertura allá. Tiene que ser un movimiento que abarque a toda la comunidad, y es estupendo ver que tantas organizaciones de primer nivel toman nota y crean programas de seguridad de alto nivel con un nivel envidiable. Una de estas empresas es HSBC, cuyo formidable programa está garantizando que los recién licenciados y los nuevos contratados se pongan en marcha lo antes posible. Como director de la Academia de Tecnología de HSBC India, Sekhar Babu Tatavarti ha considerado que la formación en seguridad es imprescindible:
"En HSBC Technology, queríamos asegurarnos de que nuestra comunidad de desarrolladores comprendiera la importancia de la codificación segura para proteger al banco de las vulnerabilidades. En el Programa de Formación para Graduados que tuvimos este año, pensamos que era una gran oportunidad para atraparlos jóvenes y permitirles autoaprender y arraigar las mejores prácticas de codificación segura antes de que lleguen al piso y comiencen a codificar en sus respectivos proyectos.
Elegimos la plataforma Secure Code Warrior por su maravilloso método de gamificación del aprendizaje para los graduados, y no desmintieron nuestras expectativas. Estamos encantados de que cada uno de ellos haya participado con entusiasmo en tournament , además de completar la certificación de cinturón blanco en diferentes tecnologías", afirmó.
Cada vez más organizaciones, como HSBC, consideran que las capacidades de codificación segura son esenciales a nivel de desarrollador. Y lo que esto ha hecho, en efecto, es arrojar luz sobre la educación terciaria en su conjunto. Los CISO y los CIO están empezando a preguntarse por qué los ingenieros recién graduados están completando su educación sin ninguna formación sólida en seguridad.
Innovación en la educación terciaria.
Mientras que la codificación segura debe convertirse en un componente obligatorio de la ingeniería de software a nivel terciario, algunas universidades están liderando la carga de proporcionar una formación de primera categoría y priorizar la seguridad como parte del proceso de desarrollo desde el principio, en lugar de ser el dominio de los escasos especialistas en AppSec sobre el terreno.
En la Universidad de Queensland (Australia), el profesor Ryan Ko está realizando importantes avances en la preparación de la próxima oleada de desarrolladores para protegernos de la inevitable avalancha de ciberataques:
"La mayoría de las vulnerabilidades del software se introducen en la fase de codificación, por lo que si podemos abordar esto en su origen (es decir, el programador), podríamos erradicar la mayoría de los problemas recurrentes que se encuentran hoy en la lista CVE. Dado que el software afecta a la vida y el sustento de la mayor parte de nuestra sociedad moderna, las universidades y las instituciones de formación tienen la responsabilidad moral y social de enseñar a todos los programadores noveles a codificar de forma segura", afirmó.
Se trata de una evolución emocionante con respecto al estándar courses, que ofrece muy poco en cuanto a conocimientos y habilidades de seguridad significativos. Y este es un "virus" que no me importaría propagar más. Para mi deleite, la Universidad Macquarie también está infectando a sus estudiantes con una mentalidad de seguridad primero, gracias a los esfuerzos de individuos como Christophe Doche:
"Lanzado en 2016, el Centro de Seguridad Cibernética de la Universidad Optus Macquarie es la primera iniciativa de este tipo en Australia, vinculando a los académicos en seguridad de la información, negocios, criminología, inteligencia, derecho y psicología junto con expertos en ciberseguridad de la industria y el gobierno.
Nuestra misión es posicionar a Australia como líder mundial en ciberseguridad a través de la educación, la investigación y las asociaciones. Un aspecto importante de esto es abordar la bien documentada brecha de habilidades en ciberseguridad, con proyecciones que muestran que es muy probable que 1,8 millones de puestos de trabajo no se cubran en todo el mundo en 2022.
Para solucionar este déficit de cualificación es necesario un enfoque múltiple, que implique el perfeccionamiento y la reconversión de la mano de obra existente, así como la formación de una nueva generación de especialistas en ciberseguridad", afirmó.
Su enfoque es increíble, ya que ofrece un aprendizaje de precisión con un alto grado de participación que ayuda a reducir las diferencias entre los departamentos y a crear un ritmo de concienciación de seguridad próspero. Están aprovechando el microaprendizaje en su estrategia, ofreciendo módulos de aprendizaje gamificados y del tamaño de un bocado con un alto índice de retención, compromiso y repetición. Estoy especialmente orgulloso de que podamos ayudarles a involucrar a sus estudiantes de forma creativa:
. "Un excelente ejemplo de este compromiso es la asociación con Secure Code warrior. Después de un tournament organizado por Secure Code Warrior y el Cyber Security Hub en agosto de 2019, ahora estamos estudiando la posibilidad de integrar la plataforma Secure Code Warrior en nuestro plan de estudios, especialmente en nuestra nueva unidad sobre Desarrollo de Aplicaciones Seguras", dijo Christophe.
Iniciativas como las de la Universidad Macquarie y la Universidad de Queensland son realmente pioneras en la codificación segura en el espacio educativo. Nuestro objetivo como profesionales de la seguridad de las aplicaciones, desarrolladores y comunidad de seguridad en general, debe ser incorporar la seguridad a todo lo que hacemos, y continuar con nuestro compromiso de empezar por la izquierda.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostraciónDirector General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Desde que comenzamos nuestra misión en 2015, siempre nos hemos centrado en facilitar una formación de codificación segura divertida, relevante y atractiva para los desarrolladores. Hace tiempo que reconocimos la importancia de dar a los desarrolladores los conocimientos y las herramientas para entender las mejores prácticas de seguridad, por qué son importantes y cómo pueden ayudar a fortificar el software de los ataques maliciosos mientras se escribe el código.
Sin embargo, la formación en seguridad no es un concepto nuevo. Ciertamente no fuimos los primeros en tomar la iniciativa, y las medidas de seguridad adecuadas han sido una consideración en el desarrollo de software durante mucho tiempo. Seguro que algunos tipos de formación son más eficaces que otros, pero el acceso a cierta formación en seguridad es relativamente fácil de encontrar, especialmente hoy en día.
... entonces, ¿por qué demonios tenemos tantas violaciones de datos? Hasta septiembre, más de cuatro mil millones de registros han sido expuestos a través de múltiples ciberataques solo en 2019.
Actualmente, muchas organizaciones están librando una batalla perdida para mantener a salvo nuestros datos, cada vez más valiosos. Los CISO y los CIO de todo el mundo tienen muy claro que "cambiar a la izquierda" todavía es demasiado tarde; debemos empezar por la izquierda con la seguridad en el SDLC, y eso significa que los desarrolladores deben tener los conocimientos de seguridad adecuados para corregir los fallos mucho antes de que el código se comprometa, y mucho menos que se haga público.
Los especialistas en seguridad de las aplicaciones no pueden ser los únicos guardianes de los conocimientos de seguridad.
En el pasado, la seguridad del software era el dominio de un grupo muy particular de frikis inteligentes, sin apenas interacción con los ingenieros que escribían el código. Su trabajo consistía en probar, romper y evitar que el código inseguro viera la luz. Si se cruzaban, lo más probable era que el especialista en seguridad señalara los fallos del código... algo que garantizaba una recepción fría por parte del desarrollador que había trabajado como un esclavo en su creación.
Si avanzamos hasta hoy, la situación es prácticamente la misma, salvo que ahora hay mucho más en juego. Casi todos los aspectos de nuestras vidas están digitalizados... todo, desde los álbumes de fotos en las redes sociales, los historiales médicos, las operaciones bancarias y nuestros documentos de identidad más valiosos. Una cosa era proteger el software y los sistemas operativos mayoritariamente fuera de línea y autónomos. Otra muy distinta es tener que defenderse de las amenazas a miles de millones de líneas de código, con cientos de millones de usuarios potencialmente en riesgo. Simplemente hay demasiado en juego para que un solo grupo de especialistas asuma toda la responsabilidad, y por eso debemos tender un puente entre AppSec y el equipo de desarrollo. Tienen que trabajar juntos, compartir conocimientos y operar como una unidad cohesionada y consciente de la seguridad.
Sólo hay un problema: los desarrolladores rara vez tienen la oportunidad de aprender habilidades de codificación segura de manera significativa. La mayor parte de la educación terciaria apenas aborda las mejores prácticas de seguridad, y la formación en el puesto de trabajo varía enormemente en calidad.
¿No es de extrañar que veamos grandes infracciones cada dos días? Descargue nuestra lista de comprobación de AppSec.
Una "licencia para codificar".
A pesar del sombrío panorama actual, soy optimista sobre el futuro de la seguridad. Hay un cambio en el aire, y estoy muy animado por la inmensa cantidad de organizaciones que se toman en serio la codificación segura en este momento.
Cada vez es más evidente que los desarrolladores necesitan tener acceso a las herramientas y conocimientos adecuados para mitigar los riesgos de seguridad, y que una cultura floreciente de concienciación sobre la seguridad es vital en la lucha contra las violaciones de datos. Cuando los desarrolladores asumen la responsabilidad de la seguridad a medida que se escribe el código, es mucho menos fácil para los atacantes explotar fallos simples y obtener las llaves del castillo.
Siempre se ha dado el caso de que algunos desarrolladores son más conscientes de la seguridad que otros, y esto supone un verdadero reto para las organizaciones. Mientras que los equipos de desarrollo internos suelen tener cierto grado de formación y control de habilidades, las aguas se enturbian mucho cuando se introducen en la mezcla contratistas, autónomos y recién licenciados. ¿Actúan con una mentalidad de seguridad? ¿Pueden evitar con éxito fallos antiguos, como el cross-site scripting, que existen desde hace décadas? Es difícil saberlo, pero a menudo se les deja sueltos en partes vitales de una construcción de software. Vaya.
Afortunadamente, estamos viendo un aumento de las normas no negociables para los desarrolladores. Por ejemplo, algunas organizaciones están utilizando Secure Code Warrior como herramienta para evaluar las habilidades de desarrollo y emitir una "licencia para codificar". Si no superan las evaluaciones fundamentales de codificación segura, no podrán trabajar en ningún proyecto. Esto ha sido muy valioso para ayudar a los graduados y pasantes a ponerse al día con sus habilidades de seguridad, mientras que al mismo tiempo, inculcar un sentido de importancia para codificar de forma segura. Después de todo, la seguridad debe ser sinónimo de calidad cuando se trata de software.
La formación extracurricular está poniendo a las universidades en el punto de mira.
Cambiar la conversación en torno a la codificación segura requiere algo más que un artículo aquí, un discurso de apertura allá. Tiene que ser un movimiento que abarque a toda la comunidad, y es estupendo ver que tantas organizaciones de primer nivel toman nota y crean programas de seguridad de alto nivel con un nivel envidiable. Una de estas empresas es HSBC, cuyo formidable programa está garantizando que los recién licenciados y los nuevos contratados se pongan en marcha lo antes posible. Como director de la Academia de Tecnología de HSBC India, Sekhar Babu Tatavarti ha considerado que la formación en seguridad es imprescindible:
"En HSBC Technology, queríamos asegurarnos de que nuestra comunidad de desarrolladores comprendiera la importancia de la codificación segura para proteger al banco de las vulnerabilidades. En el Programa de Formación para Graduados que tuvimos este año, pensamos que era una gran oportunidad para atraparlos jóvenes y permitirles autoaprender y arraigar las mejores prácticas de codificación segura antes de que lleguen al piso y comiencen a codificar en sus respectivos proyectos.
Elegimos la plataforma Secure Code Warrior por su maravilloso método de gamificación del aprendizaje para los graduados, y no desmintieron nuestras expectativas. Estamos encantados de que cada uno de ellos haya participado con entusiasmo en tournament , además de completar la certificación de cinturón blanco en diferentes tecnologías", afirmó.
Cada vez más organizaciones, como HSBC, consideran que las capacidades de codificación segura son esenciales a nivel de desarrollador. Y lo que esto ha hecho, en efecto, es arrojar luz sobre la educación terciaria en su conjunto. Los CISO y los CIO están empezando a preguntarse por qué los ingenieros recién graduados están completando su educación sin ninguna formación sólida en seguridad.
Innovación en la educación terciaria.
Mientras que la codificación segura debe convertirse en un componente obligatorio de la ingeniería de software a nivel terciario, algunas universidades están liderando la carga de proporcionar una formación de primera categoría y priorizar la seguridad como parte del proceso de desarrollo desde el principio, en lugar de ser el dominio de los escasos especialistas en AppSec sobre el terreno.
En la Universidad de Queensland (Australia), el profesor Ryan Ko está realizando importantes avances en la preparación de la próxima oleada de desarrolladores para protegernos de la inevitable avalancha de ciberataques:
"La mayoría de las vulnerabilidades del software se introducen en la fase de codificación, por lo que si podemos abordar esto en su origen (es decir, el programador), podríamos erradicar la mayoría de los problemas recurrentes que se encuentran hoy en la lista CVE. Dado que el software afecta a la vida y el sustento de la mayor parte de nuestra sociedad moderna, las universidades y las instituciones de formación tienen la responsabilidad moral y social de enseñar a todos los programadores noveles a codificar de forma segura", afirmó.
Se trata de una evolución emocionante con respecto al estándar courses, que ofrece muy poco en cuanto a conocimientos y habilidades de seguridad significativos. Y este es un "virus" que no me importaría propagar más. Para mi deleite, la Universidad Macquarie también está infectando a sus estudiantes con una mentalidad de seguridad primero, gracias a los esfuerzos de individuos como Christophe Doche:
"Lanzado en 2016, el Centro de Seguridad Cibernética de la Universidad Optus Macquarie es la primera iniciativa de este tipo en Australia, vinculando a los académicos en seguridad de la información, negocios, criminología, inteligencia, derecho y psicología junto con expertos en ciberseguridad de la industria y el gobierno.
Nuestra misión es posicionar a Australia como líder mundial en ciberseguridad a través de la educación, la investigación y las asociaciones. Un aspecto importante de esto es abordar la bien documentada brecha de habilidades en ciberseguridad, con proyecciones que muestran que es muy probable que 1,8 millones de puestos de trabajo no se cubran en todo el mundo en 2022.
Para solucionar este déficit de cualificación es necesario un enfoque múltiple, que implique el perfeccionamiento y la reconversión de la mano de obra existente, así como la formación de una nueva generación de especialistas en ciberseguridad", afirmó.
Su enfoque es increíble, ya que ofrece un aprendizaje de precisión con un alto grado de participación que ayuda a reducir las diferencias entre los departamentos y a crear un ritmo de concienciación de seguridad próspero. Están aprovechando el microaprendizaje en su estrategia, ofreciendo módulos de aprendizaje gamificados y del tamaño de un bocado con un alto índice de retención, compromiso y repetición. Estoy especialmente orgulloso de que podamos ayudarles a involucrar a sus estudiantes de forma creativa:
. "Un excelente ejemplo de este compromiso es la asociación con Secure Code warrior. Después de un tournament organizado por Secure Code Warrior y el Cyber Security Hub en agosto de 2019, ahora estamos estudiando la posibilidad de integrar la plataforma Secure Code Warrior en nuestro plan de estudios, especialmente en nuestra nueva unidad sobre Desarrollo de Aplicaciones Seguras", dijo Christophe.
Iniciativas como las de la Universidad Macquarie y la Universidad de Queensland son realmente pioneras en la codificación segura en el espacio educativo. Nuestro objetivo como profesionales de la seguridad de las aplicaciones, desarrolladores y comunidad de seguridad en general, debe ser incorporar la seguridad a todo lo que hacemos, y continuar con nuestro compromiso de empezar por la izquierda.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.