Pieter Danhieux, Consejero Delegado y Cofundador, Secure Code Warrior: "todo el mundo debería comprender y asumir el papel que desempeña en la ciberseguridad"
Pieter Danhieux, Consejero Delegado y Cofundador, Secure Code Warrior: "todo el mundo debería comprender y asumir el papel que desempeña en la ciberseguridad"
Esta entrevista apareció originalmente en CyberNews.
A pesar de la prevalencia de herramientas y servicios de seguridad, las empresas siguen luchando para mantenerse al día con el panorama de amenazas en constante evolución.
Esto puede atribuirse a la falta de concienciación y formación en materia de seguridad entre los desarrolladores, lo que puede dar lugar a que se publique código de riesgo y sea explotado por agentes malintencionados. Aunque las medidas de seguridad como el software antivirus o las soluciones de análisis de vulnerabilidades pueden añadir una capa de seguridad, nuestro invitado de hoy explica que todo empieza con un equipo de desarrollo centrado en la seguridad.
El equipo de CyberNews se reunió con Pieter Danhieux, Director General y Cofundador de Secure Code Warrioruna empresa que ofrece un sitio learning platform y un conjunto de herramientas orientadas a los desarrolladores que les ayudan a sortear las vulnerabilidades de seguridad.
¿Cómo ha sido su viaje? Cómo surgió la idea de Secure Code Warrior ?
De joven, me fascinaba desmontar la tecnología para descubrir qué contenía y cómo funcionaba. Para alivio de mi familia y de los electrodomésticos que compartíamos, con el tiempo pasé a adoptar el mismo enfoque con el hardware y el software, buscando formas de vulnerarlos y romperlos. Así nació mi pasión de por vida por la seguridad y, durante muchos años, me dediqué a compartir mis habilidades de "ruptura" con estudiantes, colegas y la comunidad de seguridad, mostrando cómo encontrar, usar y abusar de los errores en el software. Más tarde, volví a centrarme en mejorar las competencias de los defensores, enseñando a los desarrolladores patrones de codificación buenos y seguros en un entorno de clase, y ayudándoles a comprender las vulnerabilidades comunes y cómo evitarlas. También trabajé en consultoría, donde asesoré a grandes empresas sobre cómo podían mejorar sus programas de seguridad, especialmente en lo relativo a la participación de los desarrolladores. Fue durante este tiempo cuando conecté con lo que ahora es mi equipo fundador en Secure Code Warrior. Juntos, comprendimos los puntos débiles a los que se enfrentaban los equipos de seguridad y desarrollo cuando se trataba de vulnerabilidades a nivel de código, así como los problemas que existían con la mayoría de las soluciones de formación dirigidas a mejorar las habilidades de seguridad de los desarrolladores. Nos pusimos a trabajar en nuestra visión de un learning platform que pudiera escalarse a nivel empresarial, sin dejar de ser divertido y atractivo para los desarrolladores. En última instancia, queríamos crear un conjunto de herramientas que se adaptaran al entorno de trabajo de los desarrolladores, fueran menos perturbadoras y les ayudaran a adoptar una mentalidad que diera prioridad a la seguridad. Y nos propusimos que fuera lo más flexible posible en cuanto a lenguaje y contenido.
¿Puede presentarnos lo que hace? ¿Cuáles son los principales retos que ayuda a superar?
En última instancia, ayudamos a las empresas a acelerar el desarrollo de software eliminando los problemas de seguridad y los retrasos que a menudo provoca el uso de malos patrones de seguridad en el código. Hemos creado un sitio web learning platform y un conjunto de herramientas orientadas a los desarrolladores que ayudan a los equipos de desarrollo a sortear las vulnerabilidades de seguridad más comunes, muchas de las cuales existen desde hace décadas y siguen exponiendo a las empresas a riesgos cibernéticos. La razón por la que persisten es que los desarrolladores carecen de la formación y las habilidades necesarias para corregir estos problemas a nivel de código, y a menudo los introducen en primer lugar mediante el uso continuado de patrones y técnicas de codificación deficientes. No se les enseña codificación segura a nivel terciario, y la mayoría de los programas de formación en el lugar de trabajo son ineficaces a la hora de ofrecer contenidos que sean relevantes para su trabajo diario, además de ser demasiado infrecuentes para tener un verdadero impacto en la calidad del código y la seguridad a lo largo del tiempo. Nuestras soluciones pretenden proporcionar un desarrollo de habilidades atractivo y relevante que cambie los comportamientos de codificación y les ayude a dar prioridad a la seguridad en el mundo real. Nos integramos cada vez más en los entornos con los que los desarrolladores están más familiarizados, y nuestro enfoque en el aprendizaje contextual ofrece a los usuarios la mejor oportunidad de retener los resultados clave de la educación. También nos esforzamos por hacer esto de una manera que ayude a los desarrolladores a ver la seguridad bajo una luz positiva y divertida que recompense el éxito y construya comunidad.
Dado que el aprendizaje de la codificación segura puede resultar tedioso para algunos, ¿cómo consigue que su formación sea eficaz y entretenida a la vez?
Nuestro buque insignia learning platform se ha diseñado pensando en la participación de los desarrolladores. Una de las funciones más populares es el modo Tournament , en el que los participantes pueden poner a prueba los conocimientos adquiridos durante la formación contra sus compañeros. Se obtienen puntos por cada respuesta correcta y se actualiza una tabla de clasificación en directo durante toda la sesión de tournament . Hemos organizado estas pruebas en eventos y conferencias de la comunidad, y algunos de nuestros clientes han creado temas increíblemente complejos en los que todo el mundo va disfrazado. Además, nuestro contenido en general está disponible en más de sesenta marcos de programación, utilizando fragmentos de código reales que realmente verán en su trabajo diario. Es mucho más fácil mantener el compromiso cuando el contenido es hiperpertinente y ayuda a resolver problemas reales, en lugar de ver vídeos o un examen anual de cumplimiento.
¿Cuáles considera que son los principales retos a los que se enfrentan los desarrolladores hoy en día?
Creo que es importante establecer que los desarrolladores quieren hacerlo bien, pero no han sido adecuadamente capacitados para la seguridad en su educación o carreras. Esta es la clave de muchos de los problemas a los que se enfrentan desde el punto de vista de la seguridad. También tienden a considerar que la seguridad queda fuera de su ámbito de responsabilidades y, en la gran mayoría de las organizaciones, sus indicadores clave de rendimiento no incluyen nada relacionado con los resultados de la codificación segura. Sin embargo, los desarrolladores necesitan el apoyo y las herramientas adecuadas para ser el cambio que queremos ver, y el reto radica en una capacitación eficaz, dándoles tiempo para formarse, e invirtiendo en esa capacitación ahora para lograr la seguridad a toda velocidad más adelante.
¿Cómo han afectado los recientes acontecimientos mundiales a su campo de trabajo?
Aunque sin duda todas las empresas han notado algunos efectos de la actual coyuntura mundial en sus objetivos, previsiones y presupuestos, hemos tenido la suerte de capear el temporal hasta la fecha. La ciberseguridad es un elemento no negociable de la mayoría de las empresas, y trabajamos duro para seguir formando parte de esa conversación con clientes y clientes potenciales.
¿Cuáles son algunas de las mejores prácticas que deben seguir las organizaciones a la hora de desarrollar software o aplicaciones?
Cada organización tendrá sus matices, pero por lo general, las empresas que operan con las mejores prácticas de seguridad están dispuestas a pensar con originalidad y probar distintos enfoques. No olvidan el poder de las personas para marcar una diferencia positiva en los resultados de la seguridad. Sin embargo, ante la falta de personal cualificado en materia de seguridad en todo el mundo, que probablemente no se solucionará a corto plazo, los desarrolladores capacitados para la seguridad pueden ayudar a reducir los riesgos y cumplir las normativas desde el punto de vista de la creación de software. Pueden influir en la fase más temprana y barata posible del proceso.
Además de las herramientas de codificación segura, ¿qué otras medidas o prácticas cree que no sólo pueden mejorar sino también asegurar las operaciones empresariales?
Todas las empresas deberían tener algún tipo de formación en seguridad basada en funciones. Hay una plétora de amenazas que existen fuera de los exploits a nivel de código que los actores de amenazas tratan de aprovechar, por lo que cada persona en la organización debe tener alguna base regular en los principios de seguridad que se aplican a sus puestos de trabajo.En ese sentido, todos, desde el director de la oficina hasta el equipo de contabilidad deben entender y aceptar el papel que desempeñan en la acción y la conciencia de la ciberseguridad.
Dada la actual coyuntura económica, los CISO están sometidos a una gran presión para mantener la seguridad de las empresas al menor coste.
Los CISO necesitan emplear algo de creatividad en este clima, especialmente a medida que la legislación sobre ciberseguridad se vuelve cada vez más exigente y, en algunos casos, conduce a que los CISO sean considerados personalmente responsables en caso de infracción. Si añadimos los despidos a la mezcla, nos encontramos con una situación en la que se espera que menos ingenieros asuman más responsabilidades mientras escriben el mismo volumen de software. Los CISO pueden ayudar a las empresas a alcanzar el éxito abordando uno de los principales obstáculos que les frenan: la seguridad.
La etapa más barata, con diferencia, para abordar las vulnerabilidades de seguridad a nivel de código y los errores de configuración es antes de que el software se haya distribuido, lo que naturalmente sitúa al desarrollador en una posición privilegiada para reducir ese riesgo. Sin embargo, necesitan un apoyo a medida para conseguirlo. La seguridad a gran velocidad es posible si se proporciona a la cohorte de ingenieros herramientas que tengan en cuenta primero al desarrollador, teniendo en cuenta su flujo de trabajo actual y su pila tecnológica. Necesitan capacitación para lograr precisión en la seguridad a gran velocidad, y la mejor forma de hacerlo es mostrándoles cómo utilizar patrones de codificación seguros y solucionar los problemas más rápidamente.
Por el coste de una formación completa para desarrolladores, se puede trabajar esencialmente para eliminar las vulnerabilidades en su origen, ahorrando tiempo y dinero más adelante en el ciclo de vida de desarrollo del software (SDLC). Con la frecuencia de los ataques a gran escala y más responsabilidad para los CISO que en cualquier otro momento de la historia, debemos dejar de culpar a la escasez de habilidades de ciberseguridad por quedarnos atrás. Dé prioridad a las prácticas de seguridad defensivas y eleve el personal que ya tiene delante.
¿Qué le depara el futuro a Secure Code Warrior?
Queremos seguir innovando, con el desarrollador en primer plano en las soluciones que sacamos al mercado. Nos centramos en permitirles ofrecer seguridad sin comprometer la velocidad de entrega de funciones ni su cordura mientras hacen malabarismos con múltiples prioridades.
Nuestro objetivo es ayudar a las organizaciones a revolucionar su programa de seguridad defensiva, y queremos que los desarrolladores habilitados para la seguridad sean los héroes de esa historia. Esté atento a este espacio.
Pieter Danhieux
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Artículos relacionados que recomendamos
Artículos relacionados que recomendamos
Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.
Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.
Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores
Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.
Pieter Danhieux, Consejero Delegado y Cofundador, Secure Code Warrior: "todo el mundo debería comprender y asumir el papel que desempeña en la ciberseguridad"
Esta entrevista apareció originalmente en CyberNews.
A pesar de la prevalencia de herramientas y servicios de seguridad, las empresas siguen luchando para mantenerse al día con el panorama de amenazas en constante evolución.
Esto puede atribuirse a la falta de concienciación y formación en materia de seguridad entre los desarrolladores, lo que puede dar lugar a que se publique código de riesgo y sea explotado por agentes malintencionados. Aunque las medidas de seguridad como el software antivirus o las soluciones de análisis de vulnerabilidades pueden añadir una capa de seguridad, nuestro invitado de hoy explica que todo empieza con un equipo de desarrollo centrado en la seguridad.
El equipo de CyberNews se reunió con Pieter Danhieux, Director General y Cofundador de Secure Code Warrioruna empresa que ofrece un sitio learning platform y un conjunto de herramientas orientadas a los desarrolladores que les ayudan a sortear las vulnerabilidades de seguridad.
¿Cómo ha sido su viaje? Cómo surgió la idea de Secure Code Warrior ?
De joven, me fascinaba desmontar la tecnología para descubrir qué contenía y cómo funcionaba. Para alivio de mi familia y de los electrodomésticos que compartíamos, con el tiempo pasé a adoptar el mismo enfoque con el hardware y el software, buscando formas de vulnerarlos y romperlos. Así nació mi pasión de por vida por la seguridad y, durante muchos años, me dediqué a compartir mis habilidades de "ruptura" con estudiantes, colegas y la comunidad de seguridad, mostrando cómo encontrar, usar y abusar de los errores en el software. Más tarde, volví a centrarme en mejorar las competencias de los defensores, enseñando a los desarrolladores patrones de codificación buenos y seguros en un entorno de clase, y ayudándoles a comprender las vulnerabilidades comunes y cómo evitarlas. También trabajé en consultoría, donde asesoré a grandes empresas sobre cómo podían mejorar sus programas de seguridad, especialmente en lo relativo a la participación de los desarrolladores. Fue durante este tiempo cuando conecté con lo que ahora es mi equipo fundador en Secure Code Warrior. Juntos, comprendimos los puntos débiles a los que se enfrentaban los equipos de seguridad y desarrollo cuando se trataba de vulnerabilidades a nivel de código, así como los problemas que existían con la mayoría de las soluciones de formación dirigidas a mejorar las habilidades de seguridad de los desarrolladores. Nos pusimos a trabajar en nuestra visión de un learning platform que pudiera escalarse a nivel empresarial, sin dejar de ser divertido y atractivo para los desarrolladores. En última instancia, queríamos crear un conjunto de herramientas que se adaptaran al entorno de trabajo de los desarrolladores, fueran menos perturbadoras y les ayudaran a adoptar una mentalidad que diera prioridad a la seguridad. Y nos propusimos que fuera lo más flexible posible en cuanto a lenguaje y contenido.
¿Puede presentarnos lo que hace? ¿Cuáles son los principales retos que ayuda a superar?
En última instancia, ayudamos a las empresas a acelerar el desarrollo de software eliminando los problemas de seguridad y los retrasos que a menudo provoca el uso de malos patrones de seguridad en el código. Hemos creado un sitio web learning platform y un conjunto de herramientas orientadas a los desarrolladores que ayudan a los equipos de desarrollo a sortear las vulnerabilidades de seguridad más comunes, muchas de las cuales existen desde hace décadas y siguen exponiendo a las empresas a riesgos cibernéticos. La razón por la que persisten es que los desarrolladores carecen de la formación y las habilidades necesarias para corregir estos problemas a nivel de código, y a menudo los introducen en primer lugar mediante el uso continuado de patrones y técnicas de codificación deficientes. No se les enseña codificación segura a nivel terciario, y la mayoría de los programas de formación en el lugar de trabajo son ineficaces a la hora de ofrecer contenidos que sean relevantes para su trabajo diario, además de ser demasiado infrecuentes para tener un verdadero impacto en la calidad del código y la seguridad a lo largo del tiempo. Nuestras soluciones pretenden proporcionar un desarrollo de habilidades atractivo y relevante que cambie los comportamientos de codificación y les ayude a dar prioridad a la seguridad en el mundo real. Nos integramos cada vez más en los entornos con los que los desarrolladores están más familiarizados, y nuestro enfoque en el aprendizaje contextual ofrece a los usuarios la mejor oportunidad de retener los resultados clave de la educación. También nos esforzamos por hacer esto de una manera que ayude a los desarrolladores a ver la seguridad bajo una luz positiva y divertida que recompense el éxito y construya comunidad.
Dado que el aprendizaje de la codificación segura puede resultar tedioso para algunos, ¿cómo consigue que su formación sea eficaz y entretenida a la vez?
Nuestro buque insignia learning platform se ha diseñado pensando en la participación de los desarrolladores. Una de las funciones más populares es el modo Tournament , en el que los participantes pueden poner a prueba los conocimientos adquiridos durante la formación contra sus compañeros. Se obtienen puntos por cada respuesta correcta y se actualiza una tabla de clasificación en directo durante toda la sesión de tournament . Hemos organizado estas pruebas en eventos y conferencias de la comunidad, y algunos de nuestros clientes han creado temas increíblemente complejos en los que todo el mundo va disfrazado. Además, nuestro contenido en general está disponible en más de sesenta marcos de programación, utilizando fragmentos de código reales que realmente verán en su trabajo diario. Es mucho más fácil mantener el compromiso cuando el contenido es hiperpertinente y ayuda a resolver problemas reales, en lugar de ver vídeos o un examen anual de cumplimiento.
¿Cuáles considera que son los principales retos a los que se enfrentan los desarrolladores hoy en día?
Creo que es importante establecer que los desarrolladores quieren hacerlo bien, pero no han sido adecuadamente capacitados para la seguridad en su educación o carreras. Esta es la clave de muchos de los problemas a los que se enfrentan desde el punto de vista de la seguridad. También tienden a considerar que la seguridad queda fuera de su ámbito de responsabilidades y, en la gran mayoría de las organizaciones, sus indicadores clave de rendimiento no incluyen nada relacionado con los resultados de la codificación segura. Sin embargo, los desarrolladores necesitan el apoyo y las herramientas adecuadas para ser el cambio que queremos ver, y el reto radica en una capacitación eficaz, dándoles tiempo para formarse, e invirtiendo en esa capacitación ahora para lograr la seguridad a toda velocidad más adelante.
¿Cómo han afectado los recientes acontecimientos mundiales a su campo de trabajo?
Aunque sin duda todas las empresas han notado algunos efectos de la actual coyuntura mundial en sus objetivos, previsiones y presupuestos, hemos tenido la suerte de capear el temporal hasta la fecha. La ciberseguridad es un elemento no negociable de la mayoría de las empresas, y trabajamos duro para seguir formando parte de esa conversación con clientes y clientes potenciales.
¿Cuáles son algunas de las mejores prácticas que deben seguir las organizaciones a la hora de desarrollar software o aplicaciones?
Cada organización tendrá sus matices, pero por lo general, las empresas que operan con las mejores prácticas de seguridad están dispuestas a pensar con originalidad y probar distintos enfoques. No olvidan el poder de las personas para marcar una diferencia positiva en los resultados de la seguridad. Sin embargo, ante la falta de personal cualificado en materia de seguridad en todo el mundo, que probablemente no se solucionará a corto plazo, los desarrolladores capacitados para la seguridad pueden ayudar a reducir los riesgos y cumplir las normativas desde el punto de vista de la creación de software. Pueden influir en la fase más temprana y barata posible del proceso.
Además de las herramientas de codificación segura, ¿qué otras medidas o prácticas cree que no sólo pueden mejorar sino también asegurar las operaciones empresariales?
Todas las empresas deberían tener algún tipo de formación en seguridad basada en funciones. Hay una plétora de amenazas que existen fuera de los exploits a nivel de código que los actores de amenazas tratan de aprovechar, por lo que cada persona en la organización debe tener alguna base regular en los principios de seguridad que se aplican a sus puestos de trabajo.En ese sentido, todos, desde el director de la oficina hasta el equipo de contabilidad deben entender y aceptar el papel que desempeñan en la acción y la conciencia de la ciberseguridad.
Dada la actual coyuntura económica, los CISO están sometidos a una gran presión para mantener la seguridad de las empresas al menor coste.
Los CISO necesitan emplear algo de creatividad en este clima, especialmente a medida que la legislación sobre ciberseguridad se vuelve cada vez más exigente y, en algunos casos, conduce a que los CISO sean considerados personalmente responsables en caso de infracción. Si añadimos los despidos a la mezcla, nos encontramos con una situación en la que se espera que menos ingenieros asuman más responsabilidades mientras escriben el mismo volumen de software. Los CISO pueden ayudar a las empresas a alcanzar el éxito abordando uno de los principales obstáculos que les frenan: la seguridad.
La etapa más barata, con diferencia, para abordar las vulnerabilidades de seguridad a nivel de código y los errores de configuración es antes de que el software se haya distribuido, lo que naturalmente sitúa al desarrollador en una posición privilegiada para reducir ese riesgo. Sin embargo, necesitan un apoyo a medida para conseguirlo. La seguridad a gran velocidad es posible si se proporciona a la cohorte de ingenieros herramientas que tengan en cuenta primero al desarrollador, teniendo en cuenta su flujo de trabajo actual y su pila tecnológica. Necesitan capacitación para lograr precisión en la seguridad a gran velocidad, y la mejor forma de hacerlo es mostrándoles cómo utilizar patrones de codificación seguros y solucionar los problemas más rápidamente.
Por el coste de una formación completa para desarrolladores, se puede trabajar esencialmente para eliminar las vulnerabilidades en su origen, ahorrando tiempo y dinero más adelante en el ciclo de vida de desarrollo del software (SDLC). Con la frecuencia de los ataques a gran escala y más responsabilidad para los CISO que en cualquier otro momento de la historia, debemos dejar de culpar a la escasez de habilidades de ciberseguridad por quedarnos atrás. Dé prioridad a las prácticas de seguridad defensivas y eleve el personal que ya tiene delante.
¿Qué le depara el futuro a Secure Code Warrior?
Queremos seguir innovando, con el desarrollador en primer plano en las soluciones que sacamos al mercado. Nos centramos en permitirles ofrecer seguridad sin comprometer la velocidad de entrega de funciones ni su cordura mientras hacen malabarismos con múltiples prioridades.
Nuestro objetivo es ayudar a las organizaciones a revolucionar su programa de seguridad defensiva, y queremos que los desarrolladores habilitados para la seguridad sean los héroes de esa historia. Esté atento a este espacio.
