Pieter Danhieux, Consejero Delegado y Cofundador, Secure Code Warrior: "todo el mundo debería comprender y asumir el papel que desempeña en la ciberseguridad"
Esta entrevista apareció originalmente en CyberNews.
A pesar de la prevalencia de herramientas y servicios de seguridad, las empresas siguen luchando para mantenerse al día con el panorama de amenazas en constante evolución.
Esto puede atribuirse a la falta de concienciación y formación en materia de seguridad entre los desarrolladores, lo que puede dar lugar a que se publique código de riesgo y sea explotado por agentes malintencionados. Aunque las medidas de seguridad como el software antivirus o las soluciones de análisis de vulnerabilidades pueden añadir una capa de seguridad, nuestro invitado de hoy explica que todo empieza con un equipo de desarrollo centrado en la seguridad.
El equipo de CyberNews se reunió con Pieter Danhieux, Director General y Cofundador de Secure Code Warrioruna empresa que ofrece un sitio learning platform y un conjunto de herramientas orientadas a los desarrolladores que les ayudan a sortear las vulnerabilidades de seguridad.
¿Cómo ha sido su viaje? Cómo surgió la idea de Secure Code Warrior ?
De joven, me fascinaba desmontar la tecnología para descubrir qué contenía y cómo funcionaba. Para alivio de mi familia y de los electrodomésticos que compartíamos, con el tiempo pasé a adoptar el mismo enfoque con el hardware y el software, buscando formas de vulnerarlos y romperlos. Así nació mi pasión de por vida por la seguridad y, durante muchos años, me dediqué a compartir mis habilidades de "ruptura" con estudiantes, colegas y la comunidad de seguridad, mostrando cómo encontrar, usar y abusar de los errores en el software. Más tarde, volví a centrarme en mejorar las competencias de los defensores, enseñando a los desarrolladores patrones de codificación buenos y seguros en un entorno de clase, y ayudándoles a comprender las vulnerabilidades comunes y cómo evitarlas. También trabajé en consultoría, donde asesoré a grandes empresas sobre cómo podían mejorar sus programas de seguridad, especialmente en lo relativo a la participación de los desarrolladores. Fue durante este tiempo cuando conecté con lo que ahora es mi equipo fundador en Secure Code Warrior. Juntos, comprendimos los puntos débiles a los que se enfrentaban los equipos de seguridad y desarrollo cuando se trataba de vulnerabilidades a nivel de código, así como los problemas que existían con la mayoría de las soluciones de formación dirigidas a mejorar las habilidades de seguridad de los desarrolladores. Nos pusimos a trabajar en nuestra visión de un learning platform que pudiera escalarse a nivel empresarial, sin dejar de ser divertido y atractivo para los desarrolladores. En última instancia, queríamos crear un conjunto de herramientas que se adaptaran al entorno de trabajo de los desarrolladores, fueran menos perturbadoras y les ayudaran a adoptar una mentalidad que diera prioridad a la seguridad. Y nos propusimos que fuera lo más flexible posible en cuanto a lenguaje y contenido.
¿Puede presentarnos lo que hace? ¿Cuáles son los principales retos que ayuda a superar?
En última instancia, ayudamos a las empresas a acelerar el desarrollo de software eliminando los problemas de seguridad y los retrasos que a menudo provoca el uso de malos patrones de seguridad en el código. Hemos creado un sitio web learning platform y un conjunto de herramientas orientadas a los desarrolladores que ayudan a los equipos de desarrollo a sortear las vulnerabilidades de seguridad más comunes, muchas de las cuales existen desde hace décadas y siguen exponiendo a las empresas a riesgos cibernéticos. La razón por la que persisten es que los desarrolladores carecen de la formación y las habilidades necesarias para corregir estos problemas a nivel de código, y a menudo los introducen en primer lugar mediante el uso continuado de patrones y técnicas de codificación deficientes. No se les enseña codificación segura a nivel terciario, y la mayoría de los programas de formación en el lugar de trabajo son ineficaces a la hora de ofrecer contenidos que sean relevantes para su trabajo diario, además de ser demasiado infrecuentes para tener un verdadero impacto en la calidad del código y la seguridad a lo largo del tiempo. Nuestras soluciones pretenden proporcionar un desarrollo de habilidades atractivo y relevante que cambie los comportamientos de codificación y les ayude a dar prioridad a la seguridad en el mundo real. Nos integramos cada vez más en los entornos con los que los desarrolladores están más familiarizados, y nuestro enfoque en el aprendizaje contextual ofrece a los usuarios la mejor oportunidad de retener los resultados clave de la educación. También nos esforzamos por hacer esto de una manera que ayude a los desarrolladores a ver la seguridad bajo una luz positiva y divertida que recompense el éxito y construya comunidad.
Dado que el aprendizaje de la codificación segura puede resultar tedioso para algunos, ¿cómo consigue que su formación sea eficaz y entretenida a la vez?
Nuestro buque insignia learning platform se ha diseñado pensando en la participación de los desarrolladores. Una de las funciones más populares es el modo Tournament , en el que los participantes pueden poner a prueba los conocimientos adquiridos durante la formación contra sus compañeros. Se obtienen puntos por cada respuesta correcta y se actualiza una tabla de clasificación en directo durante toda la sesión de tournament . Hemos organizado estas pruebas en eventos y conferencias de la comunidad, y algunos de nuestros clientes han creado temas increíblemente complejos en los que todo el mundo va disfrazado. Además, nuestro contenido en general está disponible en más de sesenta marcos de programación, utilizando fragmentos de código reales que realmente verán en su trabajo diario. Es mucho más fácil mantener el compromiso cuando el contenido es hiperpertinente y ayuda a resolver problemas reales, en lugar de ver vídeos o un examen anual de cumplimiento.
¿Cuáles considera que son los principales retos a los que se enfrentan los desarrolladores hoy en día?
Creo que es importante establecer que los desarrolladores quieren hacerlo bien, pero no han sido adecuadamente capacitados para la seguridad en su educación o carreras. Esta es la clave de muchos de los problemas a los que se enfrentan desde el punto de vista de la seguridad. También tienden a considerar que la seguridad queda fuera de su ámbito de responsabilidades y, en la gran mayoría de las organizaciones, sus indicadores clave de rendimiento no incluyen nada relacionado con los resultados de la codificación segura. Sin embargo, los desarrolladores necesitan el apoyo y las herramientas adecuadas para ser el cambio que queremos ver, y el reto radica en una capacitación eficaz, dándoles tiempo para formarse, e invirtiendo en esa capacitación ahora para lograr la seguridad a toda velocidad más adelante.
¿Cómo han afectado los recientes acontecimientos mundiales a su campo de trabajo?
Aunque sin duda todas las empresas han notado algunos efectos de la actual coyuntura mundial en sus objetivos, previsiones y presupuestos, hemos tenido la suerte de capear el temporal hasta la fecha. La ciberseguridad es un elemento no negociable de la mayoría de las empresas, y trabajamos duro para seguir formando parte de esa conversación con clientes y clientes potenciales.
¿Cuáles son algunas de las mejores prácticas que deben seguir las organizaciones a la hora de desarrollar software o aplicaciones?
Cada organización tendrá sus matices, pero por lo general, las empresas que operan con las mejores prácticas de seguridad están dispuestas a pensar con originalidad y probar distintos enfoques. No olvidan el poder de las personas para marcar una diferencia positiva en los resultados de la seguridad. Sin embargo, ante la falta de personal cualificado en materia de seguridad en todo el mundo, que probablemente no se solucionará a corto plazo, los desarrolladores capacitados para la seguridad pueden ayudar a reducir los riesgos y cumplir las normativas desde el punto de vista de la creación de software. Pueden influir en la fase más temprana y barata posible del proceso.
Además de las herramientas de codificación segura, ¿qué otras medidas o prácticas cree que no sólo pueden mejorar sino también asegurar las operaciones empresariales?
Todas las empresas deberían tener algún tipo de formación en seguridad basada en funciones. Hay una plétora de amenazas que existen fuera de los exploits a nivel de código que los actores de amenazas tratan de aprovechar, por lo que cada persona en la organización debe tener alguna base regular en los principios de seguridad que se aplican a sus puestos de trabajo.En ese sentido, todos, desde el director de la oficina hasta el equipo de contabilidad deben entender y aceptar el papel que desempeñan en la acción y la conciencia de la ciberseguridad.
Dada la actual coyuntura económica, los CISO están sometidos a una gran presión para mantener la seguridad de las empresas al menor coste.
Los CISO necesitan emplear algo de creatividad en este clima, especialmente a medida que la legislación sobre ciberseguridad se vuelve cada vez más exigente y, en algunos casos, conduce a que los CISO sean considerados personalmente responsables en caso de infracción. Si añadimos los despidos a la mezcla, nos encontramos con una situación en la que se espera que menos ingenieros asuman más responsabilidades mientras escriben el mismo volumen de software. Los CISO pueden ayudar a las empresas a alcanzar el éxito abordando uno de los principales obstáculos que les frenan: la seguridad.
La etapa más barata, con diferencia, para abordar las vulnerabilidades de seguridad a nivel de código y los errores de configuración es antes de que el software se haya distribuido, lo que naturalmente sitúa al desarrollador en una posición privilegiada para reducir ese riesgo. Sin embargo, necesitan un apoyo a medida para conseguirlo. La seguridad a gran velocidad es posible si se proporciona a la cohorte de ingenieros herramientas que tengan en cuenta primero al desarrollador, teniendo en cuenta su flujo de trabajo actual y su pila tecnológica. Necesitan capacitación para lograr precisión en la seguridad a gran velocidad, y la mejor forma de hacerlo es mostrándoles cómo utilizar patrones de codificación seguros y solucionar los problemas más rápidamente.
Por el coste de una formación completa para desarrolladores, se puede trabajar esencialmente para eliminar las vulnerabilidades en su origen, ahorrando tiempo y dinero más adelante en el ciclo de vida de desarrollo del software (SDLC). Con la frecuencia de los ataques a gran escala y más responsabilidad para los CISO que en cualquier otro momento de la historia, debemos dejar de culpar a la escasez de habilidades de ciberseguridad por quedarnos atrás. Dé prioridad a las prácticas de seguridad defensivas y eleve el personal que ya tiene delante.
¿Qué le depara el futuro a Secure Code Warrior?
Queremos seguir innovando, con el desarrollador en primer plano en las soluciones que sacamos al mercado. Nos centramos en permitirles ofrecer seguridad sin comprometer la velocidad de entrega de funciones ni su cordura mientras hacen malabarismos con múltiples prioridades.
Nuestro objetivo es ayudar a las organizaciones a revolucionar su programa de seguridad defensiva, y queremos que los desarrolladores habilitados para la seguridad sean los héroes de esa historia. Esté atento a este espacio.
Preguntas y respuestas de CyberNews a Pieter Danhieux, Consejero Delegado y Cofundador de Secure Code Warrior.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Esta entrevista apareció originalmente en CyberNews.
A pesar de la prevalencia de herramientas y servicios de seguridad, las empresas siguen luchando para mantenerse al día con el panorama de amenazas en constante evolución.
Esto puede atribuirse a la falta de concienciación y formación en materia de seguridad entre los desarrolladores, lo que puede dar lugar a que se publique código de riesgo y sea explotado por agentes malintencionados. Aunque las medidas de seguridad como el software antivirus o las soluciones de análisis de vulnerabilidades pueden añadir una capa de seguridad, nuestro invitado de hoy explica que todo empieza con un equipo de desarrollo centrado en la seguridad.
El equipo de CyberNews se reunió con Pieter Danhieux, Director General y Cofundador de Secure Code Warrioruna empresa que ofrece un sitio learning platform y un conjunto de herramientas orientadas a los desarrolladores que les ayudan a sortear las vulnerabilidades de seguridad.
¿Cómo ha sido su viaje? Cómo surgió la idea de Secure Code Warrior ?
De joven, me fascinaba desmontar la tecnología para descubrir qué contenía y cómo funcionaba. Para alivio de mi familia y de los electrodomésticos que compartíamos, con el tiempo pasé a adoptar el mismo enfoque con el hardware y el software, buscando formas de vulnerarlos y romperlos. Así nació mi pasión de por vida por la seguridad y, durante muchos años, me dediqué a compartir mis habilidades de "ruptura" con estudiantes, colegas y la comunidad de seguridad, mostrando cómo encontrar, usar y abusar de los errores en el software. Más tarde, volví a centrarme en mejorar las competencias de los defensores, enseñando a los desarrolladores patrones de codificación buenos y seguros en un entorno de clase, y ayudándoles a comprender las vulnerabilidades comunes y cómo evitarlas. También trabajé en consultoría, donde asesoré a grandes empresas sobre cómo podían mejorar sus programas de seguridad, especialmente en lo relativo a la participación de los desarrolladores. Fue durante este tiempo cuando conecté con lo que ahora es mi equipo fundador en Secure Code Warrior. Juntos, comprendimos los puntos débiles a los que se enfrentaban los equipos de seguridad y desarrollo cuando se trataba de vulnerabilidades a nivel de código, así como los problemas que existían con la mayoría de las soluciones de formación dirigidas a mejorar las habilidades de seguridad de los desarrolladores. Nos pusimos a trabajar en nuestra visión de un learning platform que pudiera escalarse a nivel empresarial, sin dejar de ser divertido y atractivo para los desarrolladores. En última instancia, queríamos crear un conjunto de herramientas que se adaptaran al entorno de trabajo de los desarrolladores, fueran menos perturbadoras y les ayudaran a adoptar una mentalidad que diera prioridad a la seguridad. Y nos propusimos que fuera lo más flexible posible en cuanto a lenguaje y contenido.
¿Puede presentarnos lo que hace? ¿Cuáles son los principales retos que ayuda a superar?
En última instancia, ayudamos a las empresas a acelerar el desarrollo de software eliminando los problemas de seguridad y los retrasos que a menudo provoca el uso de malos patrones de seguridad en el código. Hemos creado un sitio web learning platform y un conjunto de herramientas orientadas a los desarrolladores que ayudan a los equipos de desarrollo a sortear las vulnerabilidades de seguridad más comunes, muchas de las cuales existen desde hace décadas y siguen exponiendo a las empresas a riesgos cibernéticos. La razón por la que persisten es que los desarrolladores carecen de la formación y las habilidades necesarias para corregir estos problemas a nivel de código, y a menudo los introducen en primer lugar mediante el uso continuado de patrones y técnicas de codificación deficientes. No se les enseña codificación segura a nivel terciario, y la mayoría de los programas de formación en el lugar de trabajo son ineficaces a la hora de ofrecer contenidos que sean relevantes para su trabajo diario, además de ser demasiado infrecuentes para tener un verdadero impacto en la calidad del código y la seguridad a lo largo del tiempo. Nuestras soluciones pretenden proporcionar un desarrollo de habilidades atractivo y relevante que cambie los comportamientos de codificación y les ayude a dar prioridad a la seguridad en el mundo real. Nos integramos cada vez más en los entornos con los que los desarrolladores están más familiarizados, y nuestro enfoque en el aprendizaje contextual ofrece a los usuarios la mejor oportunidad de retener los resultados clave de la educación. También nos esforzamos por hacer esto de una manera que ayude a los desarrolladores a ver la seguridad bajo una luz positiva y divertida que recompense el éxito y construya comunidad.
Dado que el aprendizaje de la codificación segura puede resultar tedioso para algunos, ¿cómo consigue que su formación sea eficaz y entretenida a la vez?
Nuestro buque insignia learning platform se ha diseñado pensando en la participación de los desarrolladores. Una de las funciones más populares es el modo Tournament , en el que los participantes pueden poner a prueba los conocimientos adquiridos durante la formación contra sus compañeros. Se obtienen puntos por cada respuesta correcta y se actualiza una tabla de clasificación en directo durante toda la sesión de tournament . Hemos organizado estas pruebas en eventos y conferencias de la comunidad, y algunos de nuestros clientes han creado temas increíblemente complejos en los que todo el mundo va disfrazado. Además, nuestro contenido en general está disponible en más de sesenta marcos de programación, utilizando fragmentos de código reales que realmente verán en su trabajo diario. Es mucho más fácil mantener el compromiso cuando el contenido es hiperpertinente y ayuda a resolver problemas reales, en lugar de ver vídeos o un examen anual de cumplimiento.
¿Cuáles considera que son los principales retos a los que se enfrentan los desarrolladores hoy en día?
Creo que es importante establecer que los desarrolladores quieren hacerlo bien, pero no han sido adecuadamente capacitados para la seguridad en su educación o carreras. Esta es la clave de muchos de los problemas a los que se enfrentan desde el punto de vista de la seguridad. También tienden a considerar que la seguridad queda fuera de su ámbito de responsabilidades y, en la gran mayoría de las organizaciones, sus indicadores clave de rendimiento no incluyen nada relacionado con los resultados de la codificación segura. Sin embargo, los desarrolladores necesitan el apoyo y las herramientas adecuadas para ser el cambio que queremos ver, y el reto radica en una capacitación eficaz, dándoles tiempo para formarse, e invirtiendo en esa capacitación ahora para lograr la seguridad a toda velocidad más adelante.
¿Cómo han afectado los recientes acontecimientos mundiales a su campo de trabajo?
Aunque sin duda todas las empresas han notado algunos efectos de la actual coyuntura mundial en sus objetivos, previsiones y presupuestos, hemos tenido la suerte de capear el temporal hasta la fecha. La ciberseguridad es un elemento no negociable de la mayoría de las empresas, y trabajamos duro para seguir formando parte de esa conversación con clientes y clientes potenciales.
¿Cuáles son algunas de las mejores prácticas que deben seguir las organizaciones a la hora de desarrollar software o aplicaciones?
Cada organización tendrá sus matices, pero por lo general, las empresas que operan con las mejores prácticas de seguridad están dispuestas a pensar con originalidad y probar distintos enfoques. No olvidan el poder de las personas para marcar una diferencia positiva en los resultados de la seguridad. Sin embargo, ante la falta de personal cualificado en materia de seguridad en todo el mundo, que probablemente no se solucionará a corto plazo, los desarrolladores capacitados para la seguridad pueden ayudar a reducir los riesgos y cumplir las normativas desde el punto de vista de la creación de software. Pueden influir en la fase más temprana y barata posible del proceso.
Además de las herramientas de codificación segura, ¿qué otras medidas o prácticas cree que no sólo pueden mejorar sino también asegurar las operaciones empresariales?
Todas las empresas deberían tener algún tipo de formación en seguridad basada en funciones. Hay una plétora de amenazas que existen fuera de los exploits a nivel de código que los actores de amenazas tratan de aprovechar, por lo que cada persona en la organización debe tener alguna base regular en los principios de seguridad que se aplican a sus puestos de trabajo.En ese sentido, todos, desde el director de la oficina hasta el equipo de contabilidad deben entender y aceptar el papel que desempeñan en la acción y la conciencia de la ciberseguridad.
Dada la actual coyuntura económica, los CISO están sometidos a una gran presión para mantener la seguridad de las empresas al menor coste.
Los CISO necesitan emplear algo de creatividad en este clima, especialmente a medida que la legislación sobre ciberseguridad se vuelve cada vez más exigente y, en algunos casos, conduce a que los CISO sean considerados personalmente responsables en caso de infracción. Si añadimos los despidos a la mezcla, nos encontramos con una situación en la que se espera que menos ingenieros asuman más responsabilidades mientras escriben el mismo volumen de software. Los CISO pueden ayudar a las empresas a alcanzar el éxito abordando uno de los principales obstáculos que les frenan: la seguridad.
La etapa más barata, con diferencia, para abordar las vulnerabilidades de seguridad a nivel de código y los errores de configuración es antes de que el software se haya distribuido, lo que naturalmente sitúa al desarrollador en una posición privilegiada para reducir ese riesgo. Sin embargo, necesitan un apoyo a medida para conseguirlo. La seguridad a gran velocidad es posible si se proporciona a la cohorte de ingenieros herramientas que tengan en cuenta primero al desarrollador, teniendo en cuenta su flujo de trabajo actual y su pila tecnológica. Necesitan capacitación para lograr precisión en la seguridad a gran velocidad, y la mejor forma de hacerlo es mostrándoles cómo utilizar patrones de codificación seguros y solucionar los problemas más rápidamente.
Por el coste de una formación completa para desarrolladores, se puede trabajar esencialmente para eliminar las vulnerabilidades en su origen, ahorrando tiempo y dinero más adelante en el ciclo de vida de desarrollo del software (SDLC). Con la frecuencia de los ataques a gran escala y más responsabilidad para los CISO que en cualquier otro momento de la historia, debemos dejar de culpar a la escasez de habilidades de ciberseguridad por quedarnos atrás. Dé prioridad a las prácticas de seguridad defensivas y eleve el personal que ya tiene delante.
¿Qué le depara el futuro a Secure Code Warrior?
Queremos seguir innovando, con el desarrollador en primer plano en las soluciones que sacamos al mercado. Nos centramos en permitirles ofrecer seguridad sin comprometer la velocidad de entrega de funciones ni su cordura mientras hacen malabarismos con múltiples prioridades.
Nuestro objetivo es ayudar a las organizaciones a revolucionar su programa de seguridad defensiva, y queremos que los desarrolladores habilitados para la seguridad sean los héroes de esa historia. Esté atento a este espacio.
Esta entrevista apareció originalmente en CyberNews.
A pesar de la prevalencia de herramientas y servicios de seguridad, las empresas siguen luchando para mantenerse al día con el panorama de amenazas en constante evolución.
Esto puede atribuirse a la falta de concienciación y formación en materia de seguridad entre los desarrolladores, lo que puede dar lugar a que se publique código de riesgo y sea explotado por agentes malintencionados. Aunque las medidas de seguridad como el software antivirus o las soluciones de análisis de vulnerabilidades pueden añadir una capa de seguridad, nuestro invitado de hoy explica que todo empieza con un equipo de desarrollo centrado en la seguridad.
El equipo de CyberNews se reunió con Pieter Danhieux, Director General y Cofundador de Secure Code Warrioruna empresa que ofrece un sitio learning platform y un conjunto de herramientas orientadas a los desarrolladores que les ayudan a sortear las vulnerabilidades de seguridad.
¿Cómo ha sido su viaje? Cómo surgió la idea de Secure Code Warrior ?
De joven, me fascinaba desmontar la tecnología para descubrir qué contenía y cómo funcionaba. Para alivio de mi familia y de los electrodomésticos que compartíamos, con el tiempo pasé a adoptar el mismo enfoque con el hardware y el software, buscando formas de vulnerarlos y romperlos. Así nació mi pasión de por vida por la seguridad y, durante muchos años, me dediqué a compartir mis habilidades de "ruptura" con estudiantes, colegas y la comunidad de seguridad, mostrando cómo encontrar, usar y abusar de los errores en el software. Más tarde, volví a centrarme en mejorar las competencias de los defensores, enseñando a los desarrolladores patrones de codificación buenos y seguros en un entorno de clase, y ayudándoles a comprender las vulnerabilidades comunes y cómo evitarlas. También trabajé en consultoría, donde asesoré a grandes empresas sobre cómo podían mejorar sus programas de seguridad, especialmente en lo relativo a la participación de los desarrolladores. Fue durante este tiempo cuando conecté con lo que ahora es mi equipo fundador en Secure Code Warrior. Juntos, comprendimos los puntos débiles a los que se enfrentaban los equipos de seguridad y desarrollo cuando se trataba de vulnerabilidades a nivel de código, así como los problemas que existían con la mayoría de las soluciones de formación dirigidas a mejorar las habilidades de seguridad de los desarrolladores. Nos pusimos a trabajar en nuestra visión de un learning platform que pudiera escalarse a nivel empresarial, sin dejar de ser divertido y atractivo para los desarrolladores. En última instancia, queríamos crear un conjunto de herramientas que se adaptaran al entorno de trabajo de los desarrolladores, fueran menos perturbadoras y les ayudaran a adoptar una mentalidad que diera prioridad a la seguridad. Y nos propusimos que fuera lo más flexible posible en cuanto a lenguaje y contenido.
¿Puede presentarnos lo que hace? ¿Cuáles son los principales retos que ayuda a superar?
En última instancia, ayudamos a las empresas a acelerar el desarrollo de software eliminando los problemas de seguridad y los retrasos que a menudo provoca el uso de malos patrones de seguridad en el código. Hemos creado un sitio web learning platform y un conjunto de herramientas orientadas a los desarrolladores que ayudan a los equipos de desarrollo a sortear las vulnerabilidades de seguridad más comunes, muchas de las cuales existen desde hace décadas y siguen exponiendo a las empresas a riesgos cibernéticos. La razón por la que persisten es que los desarrolladores carecen de la formación y las habilidades necesarias para corregir estos problemas a nivel de código, y a menudo los introducen en primer lugar mediante el uso continuado de patrones y técnicas de codificación deficientes. No se les enseña codificación segura a nivel terciario, y la mayoría de los programas de formación en el lugar de trabajo son ineficaces a la hora de ofrecer contenidos que sean relevantes para su trabajo diario, además de ser demasiado infrecuentes para tener un verdadero impacto en la calidad del código y la seguridad a lo largo del tiempo. Nuestras soluciones pretenden proporcionar un desarrollo de habilidades atractivo y relevante que cambie los comportamientos de codificación y les ayude a dar prioridad a la seguridad en el mundo real. Nos integramos cada vez más en los entornos con los que los desarrolladores están más familiarizados, y nuestro enfoque en el aprendizaje contextual ofrece a los usuarios la mejor oportunidad de retener los resultados clave de la educación. También nos esforzamos por hacer esto de una manera que ayude a los desarrolladores a ver la seguridad bajo una luz positiva y divertida que recompense el éxito y construya comunidad.
Dado que el aprendizaje de la codificación segura puede resultar tedioso para algunos, ¿cómo consigue que su formación sea eficaz y entretenida a la vez?
Nuestro buque insignia learning platform se ha diseñado pensando en la participación de los desarrolladores. Una de las funciones más populares es el modo Tournament , en el que los participantes pueden poner a prueba los conocimientos adquiridos durante la formación contra sus compañeros. Se obtienen puntos por cada respuesta correcta y se actualiza una tabla de clasificación en directo durante toda la sesión de tournament . Hemos organizado estas pruebas en eventos y conferencias de la comunidad, y algunos de nuestros clientes han creado temas increíblemente complejos en los que todo el mundo va disfrazado. Además, nuestro contenido en general está disponible en más de sesenta marcos de programación, utilizando fragmentos de código reales que realmente verán en su trabajo diario. Es mucho más fácil mantener el compromiso cuando el contenido es hiperpertinente y ayuda a resolver problemas reales, en lugar de ver vídeos o un examen anual de cumplimiento.
¿Cuáles considera que son los principales retos a los que se enfrentan los desarrolladores hoy en día?
Creo que es importante establecer que los desarrolladores quieren hacerlo bien, pero no han sido adecuadamente capacitados para la seguridad en su educación o carreras. Esta es la clave de muchos de los problemas a los que se enfrentan desde el punto de vista de la seguridad. También tienden a considerar que la seguridad queda fuera de su ámbito de responsabilidades y, en la gran mayoría de las organizaciones, sus indicadores clave de rendimiento no incluyen nada relacionado con los resultados de la codificación segura. Sin embargo, los desarrolladores necesitan el apoyo y las herramientas adecuadas para ser el cambio que queremos ver, y el reto radica en una capacitación eficaz, dándoles tiempo para formarse, e invirtiendo en esa capacitación ahora para lograr la seguridad a toda velocidad más adelante.
¿Cómo han afectado los recientes acontecimientos mundiales a su campo de trabajo?
Aunque sin duda todas las empresas han notado algunos efectos de la actual coyuntura mundial en sus objetivos, previsiones y presupuestos, hemos tenido la suerte de capear el temporal hasta la fecha. La ciberseguridad es un elemento no negociable de la mayoría de las empresas, y trabajamos duro para seguir formando parte de esa conversación con clientes y clientes potenciales.
¿Cuáles son algunas de las mejores prácticas que deben seguir las organizaciones a la hora de desarrollar software o aplicaciones?
Cada organización tendrá sus matices, pero por lo general, las empresas que operan con las mejores prácticas de seguridad están dispuestas a pensar con originalidad y probar distintos enfoques. No olvidan el poder de las personas para marcar una diferencia positiva en los resultados de la seguridad. Sin embargo, ante la falta de personal cualificado en materia de seguridad en todo el mundo, que probablemente no se solucionará a corto plazo, los desarrolladores capacitados para la seguridad pueden ayudar a reducir los riesgos y cumplir las normativas desde el punto de vista de la creación de software. Pueden influir en la fase más temprana y barata posible del proceso.
Además de las herramientas de codificación segura, ¿qué otras medidas o prácticas cree que no sólo pueden mejorar sino también asegurar las operaciones empresariales?
Todas las empresas deberían tener algún tipo de formación en seguridad basada en funciones. Hay una plétora de amenazas que existen fuera de los exploits a nivel de código que los actores de amenazas tratan de aprovechar, por lo que cada persona en la organización debe tener alguna base regular en los principios de seguridad que se aplican a sus puestos de trabajo.En ese sentido, todos, desde el director de la oficina hasta el equipo de contabilidad deben entender y aceptar el papel que desempeñan en la acción y la conciencia de la ciberseguridad.
Dada la actual coyuntura económica, los CISO están sometidos a una gran presión para mantener la seguridad de las empresas al menor coste.
Los CISO necesitan emplear algo de creatividad en este clima, especialmente a medida que la legislación sobre ciberseguridad se vuelve cada vez más exigente y, en algunos casos, conduce a que los CISO sean considerados personalmente responsables en caso de infracción. Si añadimos los despidos a la mezcla, nos encontramos con una situación en la que se espera que menos ingenieros asuman más responsabilidades mientras escriben el mismo volumen de software. Los CISO pueden ayudar a las empresas a alcanzar el éxito abordando uno de los principales obstáculos que les frenan: la seguridad.
La etapa más barata, con diferencia, para abordar las vulnerabilidades de seguridad a nivel de código y los errores de configuración es antes de que el software se haya distribuido, lo que naturalmente sitúa al desarrollador en una posición privilegiada para reducir ese riesgo. Sin embargo, necesitan un apoyo a medida para conseguirlo. La seguridad a gran velocidad es posible si se proporciona a la cohorte de ingenieros herramientas que tengan en cuenta primero al desarrollador, teniendo en cuenta su flujo de trabajo actual y su pila tecnológica. Necesitan capacitación para lograr precisión en la seguridad a gran velocidad, y la mejor forma de hacerlo es mostrándoles cómo utilizar patrones de codificación seguros y solucionar los problemas más rápidamente.
Por el coste de una formación completa para desarrolladores, se puede trabajar esencialmente para eliminar las vulnerabilidades en su origen, ahorrando tiempo y dinero más adelante en el ciclo de vida de desarrollo del software (SDLC). Con la frecuencia de los ataques a gran escala y más responsabilidad para los CISO que en cualquier otro momento de la historia, debemos dejar de culpar a la escasez de habilidades de ciberseguridad por quedarnos atrás. Dé prioridad a las prácticas de seguridad defensivas y eleve el personal que ya tiene delante.
¿Qué le depara el futuro a Secure Code Warrior?
Queremos seguir innovando, con el desarrollador en primer plano en las soluciones que sacamos al mercado. Nos centramos en permitirles ofrecer seguridad sin comprometer la velocidad de entrega de funciones ni su cordura mientras hacen malabarismos con múltiples prioridades.
Nuestro objetivo es ayudar a las organizaciones a revolucionar su programa de seguridad defensiva, y queremos que los desarrolladores habilitados para la seguridad sean los héroes de esa historia. Esté atento a este espacio.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Esta entrevista apareció originalmente en CyberNews.
A pesar de la prevalencia de herramientas y servicios de seguridad, las empresas siguen luchando para mantenerse al día con el panorama de amenazas en constante evolución.
Esto puede atribuirse a la falta de concienciación y formación en materia de seguridad entre los desarrolladores, lo que puede dar lugar a que se publique código de riesgo y sea explotado por agentes malintencionados. Aunque las medidas de seguridad como el software antivirus o las soluciones de análisis de vulnerabilidades pueden añadir una capa de seguridad, nuestro invitado de hoy explica que todo empieza con un equipo de desarrollo centrado en la seguridad.
El equipo de CyberNews se reunió con Pieter Danhieux, Director General y Cofundador de Secure Code Warrioruna empresa que ofrece un sitio learning platform y un conjunto de herramientas orientadas a los desarrolladores que les ayudan a sortear las vulnerabilidades de seguridad.
¿Cómo ha sido su viaje? Cómo surgió la idea de Secure Code Warrior ?
De joven, me fascinaba desmontar la tecnología para descubrir qué contenía y cómo funcionaba. Para alivio de mi familia y de los electrodomésticos que compartíamos, con el tiempo pasé a adoptar el mismo enfoque con el hardware y el software, buscando formas de vulnerarlos y romperlos. Así nació mi pasión de por vida por la seguridad y, durante muchos años, me dediqué a compartir mis habilidades de "ruptura" con estudiantes, colegas y la comunidad de seguridad, mostrando cómo encontrar, usar y abusar de los errores en el software. Más tarde, volví a centrarme en mejorar las competencias de los defensores, enseñando a los desarrolladores patrones de codificación buenos y seguros en un entorno de clase, y ayudándoles a comprender las vulnerabilidades comunes y cómo evitarlas. También trabajé en consultoría, donde asesoré a grandes empresas sobre cómo podían mejorar sus programas de seguridad, especialmente en lo relativo a la participación de los desarrolladores. Fue durante este tiempo cuando conecté con lo que ahora es mi equipo fundador en Secure Code Warrior. Juntos, comprendimos los puntos débiles a los que se enfrentaban los equipos de seguridad y desarrollo cuando se trataba de vulnerabilidades a nivel de código, así como los problemas que existían con la mayoría de las soluciones de formación dirigidas a mejorar las habilidades de seguridad de los desarrolladores. Nos pusimos a trabajar en nuestra visión de un learning platform que pudiera escalarse a nivel empresarial, sin dejar de ser divertido y atractivo para los desarrolladores. En última instancia, queríamos crear un conjunto de herramientas que se adaptaran al entorno de trabajo de los desarrolladores, fueran menos perturbadoras y les ayudaran a adoptar una mentalidad que diera prioridad a la seguridad. Y nos propusimos que fuera lo más flexible posible en cuanto a lenguaje y contenido.
¿Puede presentarnos lo que hace? ¿Cuáles son los principales retos que ayuda a superar?
En última instancia, ayudamos a las empresas a acelerar el desarrollo de software eliminando los problemas de seguridad y los retrasos que a menudo provoca el uso de malos patrones de seguridad en el código. Hemos creado un sitio web learning platform y un conjunto de herramientas orientadas a los desarrolladores que ayudan a los equipos de desarrollo a sortear las vulnerabilidades de seguridad más comunes, muchas de las cuales existen desde hace décadas y siguen exponiendo a las empresas a riesgos cibernéticos. La razón por la que persisten es que los desarrolladores carecen de la formación y las habilidades necesarias para corregir estos problemas a nivel de código, y a menudo los introducen en primer lugar mediante el uso continuado de patrones y técnicas de codificación deficientes. No se les enseña codificación segura a nivel terciario, y la mayoría de los programas de formación en el lugar de trabajo son ineficaces a la hora de ofrecer contenidos que sean relevantes para su trabajo diario, además de ser demasiado infrecuentes para tener un verdadero impacto en la calidad del código y la seguridad a lo largo del tiempo. Nuestras soluciones pretenden proporcionar un desarrollo de habilidades atractivo y relevante que cambie los comportamientos de codificación y les ayude a dar prioridad a la seguridad en el mundo real. Nos integramos cada vez más en los entornos con los que los desarrolladores están más familiarizados, y nuestro enfoque en el aprendizaje contextual ofrece a los usuarios la mejor oportunidad de retener los resultados clave de la educación. También nos esforzamos por hacer esto de una manera que ayude a los desarrolladores a ver la seguridad bajo una luz positiva y divertida que recompense el éxito y construya comunidad.
Dado que el aprendizaje de la codificación segura puede resultar tedioso para algunos, ¿cómo consigue que su formación sea eficaz y entretenida a la vez?
Nuestro buque insignia learning platform se ha diseñado pensando en la participación de los desarrolladores. Una de las funciones más populares es el modo Tournament , en el que los participantes pueden poner a prueba los conocimientos adquiridos durante la formación contra sus compañeros. Se obtienen puntos por cada respuesta correcta y se actualiza una tabla de clasificación en directo durante toda la sesión de tournament . Hemos organizado estas pruebas en eventos y conferencias de la comunidad, y algunos de nuestros clientes han creado temas increíblemente complejos en los que todo el mundo va disfrazado. Además, nuestro contenido en general está disponible en más de sesenta marcos de programación, utilizando fragmentos de código reales que realmente verán en su trabajo diario. Es mucho más fácil mantener el compromiso cuando el contenido es hiperpertinente y ayuda a resolver problemas reales, en lugar de ver vídeos o un examen anual de cumplimiento.
¿Cuáles considera que son los principales retos a los que se enfrentan los desarrolladores hoy en día?
Creo que es importante establecer que los desarrolladores quieren hacerlo bien, pero no han sido adecuadamente capacitados para la seguridad en su educación o carreras. Esta es la clave de muchos de los problemas a los que se enfrentan desde el punto de vista de la seguridad. También tienden a considerar que la seguridad queda fuera de su ámbito de responsabilidades y, en la gran mayoría de las organizaciones, sus indicadores clave de rendimiento no incluyen nada relacionado con los resultados de la codificación segura. Sin embargo, los desarrolladores necesitan el apoyo y las herramientas adecuadas para ser el cambio que queremos ver, y el reto radica en una capacitación eficaz, dándoles tiempo para formarse, e invirtiendo en esa capacitación ahora para lograr la seguridad a toda velocidad más adelante.
¿Cómo han afectado los recientes acontecimientos mundiales a su campo de trabajo?
Aunque sin duda todas las empresas han notado algunos efectos de la actual coyuntura mundial en sus objetivos, previsiones y presupuestos, hemos tenido la suerte de capear el temporal hasta la fecha. La ciberseguridad es un elemento no negociable de la mayoría de las empresas, y trabajamos duro para seguir formando parte de esa conversación con clientes y clientes potenciales.
¿Cuáles son algunas de las mejores prácticas que deben seguir las organizaciones a la hora de desarrollar software o aplicaciones?
Cada organización tendrá sus matices, pero por lo general, las empresas que operan con las mejores prácticas de seguridad están dispuestas a pensar con originalidad y probar distintos enfoques. No olvidan el poder de las personas para marcar una diferencia positiva en los resultados de la seguridad. Sin embargo, ante la falta de personal cualificado en materia de seguridad en todo el mundo, que probablemente no se solucionará a corto plazo, los desarrolladores capacitados para la seguridad pueden ayudar a reducir los riesgos y cumplir las normativas desde el punto de vista de la creación de software. Pueden influir en la fase más temprana y barata posible del proceso.
Además de las herramientas de codificación segura, ¿qué otras medidas o prácticas cree que no sólo pueden mejorar sino también asegurar las operaciones empresariales?
Todas las empresas deberían tener algún tipo de formación en seguridad basada en funciones. Hay una plétora de amenazas que existen fuera de los exploits a nivel de código que los actores de amenazas tratan de aprovechar, por lo que cada persona en la organización debe tener alguna base regular en los principios de seguridad que se aplican a sus puestos de trabajo.En ese sentido, todos, desde el director de la oficina hasta el equipo de contabilidad deben entender y aceptar el papel que desempeñan en la acción y la conciencia de la ciberseguridad.
Dada la actual coyuntura económica, los CISO están sometidos a una gran presión para mantener la seguridad de las empresas al menor coste.
Los CISO necesitan emplear algo de creatividad en este clima, especialmente a medida que la legislación sobre ciberseguridad se vuelve cada vez más exigente y, en algunos casos, conduce a que los CISO sean considerados personalmente responsables en caso de infracción. Si añadimos los despidos a la mezcla, nos encontramos con una situación en la que se espera que menos ingenieros asuman más responsabilidades mientras escriben el mismo volumen de software. Los CISO pueden ayudar a las empresas a alcanzar el éxito abordando uno de los principales obstáculos que les frenan: la seguridad.
La etapa más barata, con diferencia, para abordar las vulnerabilidades de seguridad a nivel de código y los errores de configuración es antes de que el software se haya distribuido, lo que naturalmente sitúa al desarrollador en una posición privilegiada para reducir ese riesgo. Sin embargo, necesitan un apoyo a medida para conseguirlo. La seguridad a gran velocidad es posible si se proporciona a la cohorte de ingenieros herramientas que tengan en cuenta primero al desarrollador, teniendo en cuenta su flujo de trabajo actual y su pila tecnológica. Necesitan capacitación para lograr precisión en la seguridad a gran velocidad, y la mejor forma de hacerlo es mostrándoles cómo utilizar patrones de codificación seguros y solucionar los problemas más rápidamente.
Por el coste de una formación completa para desarrolladores, se puede trabajar esencialmente para eliminar las vulnerabilidades en su origen, ahorrando tiempo y dinero más adelante en el ciclo de vida de desarrollo del software (SDLC). Con la frecuencia de los ataques a gran escala y más responsabilidad para los CISO que en cualquier otro momento de la historia, debemos dejar de culpar a la escasez de habilidades de ciberseguridad por quedarnos atrás. Dé prioridad a las prácticas de seguridad defensivas y eleve el personal que ya tiene delante.
¿Qué le depara el futuro a Secure Code Warrior?
Queremos seguir innovando, con el desarrollador en primer plano en las soluciones que sacamos al mercado. Nos centramos en permitirles ofrecer seguridad sin comprometer la velocidad de entrega de funciones ni su cordura mientras hacen malabarismos con múltiples prioridades.
Nuestro objetivo es ayudar a las organizaciones a revolucionar su programa de seguridad defensiva, y queremos que los desarrolladores habilitados para la seguridad sean los héroes de esa historia. Esté atento a este espacio.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación sobre código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Temas que cubren todo, desde IA a XQuery Injection, ofrecidos para una variedad de roles desde Arquitectos e Ingenieros a Product Managers y QA. Eche un vistazo a lo que ofrece nuestro catálogo de contenidos por tema y función.
Búsqueda: Aprendizaje líder en la industria para mantener a los desarrolladores por delante mitigando el riesgo.
Quests es una learning platform que ayuda a los desarrolladores a mitigar los riesgos de seguridad del software mediante la mejora de sus habilidades de codificación segura. Con rutas de aprendizaje curadas, desafíos prácticos y actividades interactivas, capacita a los desarrolladores para identificar y prevenir vulnerabilidades.
La potencia de OpenText Fortify + Secure Code Warrior
OpenText Fortify y Secure Code Warrior unen sus fuerzas para ayudar a las empresas a reducir riesgos, transformar a los desarrolladores en campeones de la seguridad y fomentar la confianza de los clientes. Más información aquí.
Recursos para empezar
Inyección indirecta y riesgos de seguridad de las herramientas de codificación agéntica
Cómo se engañó a un agente de codificación para que escribiera código propenso a inyecciones SQL, instalara herramientas de shell y tal vez incluso acechara a su usuario.
La Década de los Defensores: Secure Code Warrior Cumple Diez Años
Secure Code Warriorha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.
10 predicciones clave: Secure Code Warrior sobre la influencia de la IA y el diseño seguro en 2025
Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de seguridad por diseño, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
