Golpea primero, golpea fuerte: por qué la codificación segura curada courses no tiene piedad con las ciberamenazas
Hay una verdad incómoda que tiende a ser ignorada por los gobiernos, las grandes empresas e incluso algunos líderes de la industria: como sociedad, estamos en una batalla constante contra las ciberamenazas, y actualmente estamos en el lado perdedor. ¿Cómo lo sabemos? Estas estadísticas nos cuentan una historia aleccionadora:
- Se calcula que la ciberdelincuencia tendrá un coste mundial de 6 billones de dólares en 2021
- Cada 39 segundosse produce un ciberataque
- El24% de las violaciones de datos se deben a errores humanos
- Un alarmante 77% de las organizaciones no tiene un plan de respuesta a incidentes de ciberseguridad que se extienda a toda la empresa y se aplique de forma coherente entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una carencia crítica de personal; es poco probable que se cubra el déficit de competencias, y no hay ningún ejército secreto de AppSec que venga a sacarnos de apuros. Lo sabemos desde hace años, y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una gran defensa, y podemos atacar primero con un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos quieren hacer creer. Tenemos un as en la manga, y el clima de ciberseguridad nos presenta una oportunidad de oro. No hace falta buscar más allá de sus equipos de desarrollo internos el personal que vendrá a rescatar a la organización, pero su programa de seguridad debe apoyar su trayectoria para que se conviertan en ingenieros conscientes de la seguridad que estén dispuestos a compartir la responsabilidad de codificar de forma segura.
Cualquier tipo de formación no serv irá -ya lo hemos dicho bastante-, pero incluso la formación adecuada que engancha, crea conocimientos contextuales y ayuda a los desarrolladores a amar la seguridad podría ser mucho más eficaz, si estuviera más adaptada a las necesidades de la empresa, a las amenazas a las que se enfrentan y a los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos a salvo.
Y ahí es donde entran en juego nuestras nuevas funciones, Coursesentra en juego. Por cierto, si has entendido la referencia del título, eres oficialmente viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: construir la defensa, reforzar las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones de vídeo secos y genéricos, y luego esperar que florezca una pasión por la codificación segura). Pero incluso en el caso de la formación competitiva diseñada para atraer la mentalidad de los desarrolladores, el contenido puede ser un poco más amplio de lo que se necesita para los requisitos particulares de una organización.
Un curso curado que contenga los módulos exactos en los que sus desarrolladores necesitarían mostrar competencia tendrá un impacto potente, y les permitirá ponerse en marcha cuando se trate de las mejores prácticas de seguridad en su trabajo diario. Adapte los programas para que se adapten a los equipos de frontend, ingenieros de la nube, etc., con la capacidad de profundizar en las vulnerabilidades que más importan, en los lenguajes y marcos que son relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de un conocimiento preciso de los problemas que suponen un mayor riesgo.
Personalizar un curso para su cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una gran base sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad enciende un sentido de orgullo y responsabilidad en los desarrolladores, en lugar de un gemido y un facepalm.
Como punto de partida, es una muy buena idea poner a todo el mundo al día con el OWASP Top 10, pero para alcanzar realmente nuevas cotas en el cumplimiento de la industria, se puede diseñar un curso a medida en torno a los requisitos de regulaciones específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con las directrices PCI-DSS que rigen las aplicaciones de pago y procesamiento de tarjetas. Hay mucho en juego cuando se está a cargo de procesar y almacenar información sensible como los números de las tarjetas de crédito, y ser ultra específico con el aprendizaje de los desarrolladores reduce el ruido, ofrece la educación correcta en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza Courses en sus equipos:
"Courses son una gran solución para nuestros ingenieros. Con la nueva función -que agrupa el itinerario de aprendizaje, los vídeos y los puntos de comprobación en un módulo personalizable- tenemos la posibilidad de configurar el contenido en función de lo que necesitemos en cada momento. La capacidad de cumplimiento y la flexibilidad ofrecen una oportunidad aún mayor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca".
Y recuerde, puede ser una formación de cumplimiento curada, pero sigue siendo una experiencia de aprendizaje contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La formación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps hay muchos platos que girar. El tiempo reservado para la formación debe utilizarse sabiamente, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al crear un curso personalizado que sea hiperpertinente, se respeta el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, se trabaja para lograr una reducción cuantificable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas en seguridad de las aplicaciones y los ingenieros suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con Courses puede permitir que ambas partes se pongan de acuerdo sobre las mejores prácticas de seguridad. Los desarrolladores apreciarán, sin duda, que el equipo de AppSec les facilite soluciones, lo que minimiza su carga y les ayuda a elaborar un código de mayor calidad.
Elimine los puntos débiles y amplíe la higiene de la seguridad a nivel empresarial
Todos somos humanos y, por desgracia, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, aunque son asombrosamente comunes. El Informe de Amenazas a la Seguridad en Internet 2019 de Symantec confirmó que más de 70 millones de registros fueron robados como resultado de buckets S3 mal configurados. Las desconfiguraciones de seguridad son una de las principales causas de las filtraciones de datos, y los errores humanos representan alrededor de una cuarta parte de ellas.
Estos problemas se producen por varias razones, pero la falta de concienciación y formación en materia de seguridad es un factor que contribuye a que se dejen abiertas pequeñas ventanas de oportunidad para que los atacantes las aprovechen. Para que la higiene de la seguridad sea escalable y tenga impacto, debe hacerla valer con un curso hecho a medida para su empresa. No muestre ninguna piedad a sus enemigos y elimine todas las oportunidades de que causen el mayor dolor de cabeza que pueda encontrar.
Ya estamos viendo un impacto asombroso con nuestros clientes, incluido este proveedor líder de SaaS de contabilidad en la nube:
"Courses'tailored learning pathway' ha sido un cambio de juego. La especificidad en torno a los lenguajes de programación y las vulnerabilidades proporciona más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro".
Prepárese para DevSec. Descubra más sobre la nueva función de Secure Code Warriors Courses aquí.
Un curso curado que contenga los módulos exactos en los que sus desarrolladores necesitarían mostrar competencia tendrá un impacto potente, y les permitirá ponerse en marcha cuando se trate de las mejores prácticas de seguridad en su trabajo diario.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Hay una verdad incómoda que tiende a ser ignorada por los gobiernos, las grandes empresas e incluso algunos líderes de la industria: como sociedad, estamos en una batalla constante contra las ciberamenazas, y actualmente estamos en el lado perdedor. ¿Cómo lo sabemos? Estas estadísticas nos cuentan una historia aleccionadora:
- Se calcula que la ciberdelincuencia tendrá un coste mundial de 6 billones de dólares en 2021
- Cada 39 segundosse produce un ciberataque
- El24% de las violaciones de datos se deben a errores humanos
- Un alarmante 77% de las organizaciones no tiene un plan de respuesta a incidentes de ciberseguridad que se extienda a toda la empresa y se aplique de forma coherente entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una carencia crítica de personal; es poco probable que se cubra el déficit de competencias, y no hay ningún ejército secreto de AppSec que venga a sacarnos de apuros. Lo sabemos desde hace años, y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una gran defensa, y podemos atacar primero con un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos quieren hacer creer. Tenemos un as en la manga, y el clima de ciberseguridad nos presenta una oportunidad de oro. No hace falta buscar más allá de sus equipos de desarrollo internos el personal que vendrá a rescatar a la organización, pero su programa de seguridad debe apoyar su trayectoria para que se conviertan en ingenieros conscientes de la seguridad que estén dispuestos a compartir la responsabilidad de codificar de forma segura.
Cualquier tipo de formación no serv irá -ya lo hemos dicho bastante-, pero incluso la formación adecuada que engancha, crea conocimientos contextuales y ayuda a los desarrolladores a amar la seguridad podría ser mucho más eficaz, si estuviera más adaptada a las necesidades de la empresa, a las amenazas a las que se enfrentan y a los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos a salvo.
Y ahí es donde entran en juego nuestras nuevas funciones, Coursesentra en juego. Por cierto, si has entendido la referencia del título, eres oficialmente viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: construir la defensa, reforzar las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones de vídeo secos y genéricos, y luego esperar que florezca una pasión por la codificación segura). Pero incluso en el caso de la formación competitiva diseñada para atraer la mentalidad de los desarrolladores, el contenido puede ser un poco más amplio de lo que se necesita para los requisitos particulares de una organización.
Un curso curado que contenga los módulos exactos en los que sus desarrolladores necesitarían mostrar competencia tendrá un impacto potente, y les permitirá ponerse en marcha cuando se trate de las mejores prácticas de seguridad en su trabajo diario. Adapte los programas para que se adapten a los equipos de frontend, ingenieros de la nube, etc., con la capacidad de profundizar en las vulnerabilidades que más importan, en los lenguajes y marcos que son relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de un conocimiento preciso de los problemas que suponen un mayor riesgo.
Personalizar un curso para su cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una gran base sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad enciende un sentido de orgullo y responsabilidad en los desarrolladores, en lugar de un gemido y un facepalm.
Como punto de partida, es una muy buena idea poner a todo el mundo al día con el OWASP Top 10, pero para alcanzar realmente nuevas cotas en el cumplimiento de la industria, se puede diseñar un curso a medida en torno a los requisitos de regulaciones específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con las directrices PCI-DSS que rigen las aplicaciones de pago y procesamiento de tarjetas. Hay mucho en juego cuando se está a cargo de procesar y almacenar información sensible como los números de las tarjetas de crédito, y ser ultra específico con el aprendizaje de los desarrolladores reduce el ruido, ofrece la educación correcta en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza Courses en sus equipos:
"Courses son una gran solución para nuestros ingenieros. Con la nueva función -que agrupa el itinerario de aprendizaje, los vídeos y los puntos de comprobación en un módulo personalizable- tenemos la posibilidad de configurar el contenido en función de lo que necesitemos en cada momento. La capacidad de cumplimiento y la flexibilidad ofrecen una oportunidad aún mayor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca".
Y recuerde, puede ser una formación de cumplimiento curada, pero sigue siendo una experiencia de aprendizaje contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La formación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps hay muchos platos que girar. El tiempo reservado para la formación debe utilizarse sabiamente, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al crear un curso personalizado que sea hiperpertinente, se respeta el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, se trabaja para lograr una reducción cuantificable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas en seguridad de las aplicaciones y los ingenieros suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con Courses puede permitir que ambas partes se pongan de acuerdo sobre las mejores prácticas de seguridad. Los desarrolladores apreciarán, sin duda, que el equipo de AppSec les facilite soluciones, lo que minimiza su carga y les ayuda a elaborar un código de mayor calidad.
Elimine los puntos débiles y amplíe la higiene de la seguridad a nivel empresarial
Todos somos humanos y, por desgracia, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, aunque son asombrosamente comunes. El Informe de Amenazas a la Seguridad en Internet 2019 de Symantec confirmó que más de 70 millones de registros fueron robados como resultado de buckets S3 mal configurados. Las desconfiguraciones de seguridad son una de las principales causas de las filtraciones de datos, y los errores humanos representan alrededor de una cuarta parte de ellas.
Estos problemas se producen por varias razones, pero la falta de concienciación y formación en materia de seguridad es un factor que contribuye a que se dejen abiertas pequeñas ventanas de oportunidad para que los atacantes las aprovechen. Para que la higiene de la seguridad sea escalable y tenga impacto, debe hacerla valer con un curso hecho a medida para su empresa. No muestre ninguna piedad a sus enemigos y elimine todas las oportunidades de que causen el mayor dolor de cabeza que pueda encontrar.
Ya estamos viendo un impacto asombroso con nuestros clientes, incluido este proveedor líder de SaaS de contabilidad en la nube:
"Courses'tailored learning pathway' ha sido un cambio de juego. La especificidad en torno a los lenguajes de programación y las vulnerabilidades proporciona más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro".
Prepárese para DevSec. Descubra más sobre la nueva función de Secure Code Warriors Courses aquí.
Hay una verdad incómoda que tiende a ser ignorada por los gobiernos, las grandes empresas e incluso algunos líderes de la industria: como sociedad, estamos en una batalla constante contra las ciberamenazas, y actualmente estamos en el lado perdedor. ¿Cómo lo sabemos? Estas estadísticas nos cuentan una historia aleccionadora:
- Se calcula que la ciberdelincuencia tendrá un coste mundial de 6 billones de dólares en 2021
- Cada 39 segundosse produce un ciberataque
- El24% de las violaciones de datos se deben a errores humanos
- Un alarmante 77% de las organizaciones no tiene un plan de respuesta a incidentes de ciberseguridad que se extienda a toda la empresa y se aplique de forma coherente entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una carencia crítica de personal; es poco probable que se cubra el déficit de competencias, y no hay ningún ejército secreto de AppSec que venga a sacarnos de apuros. Lo sabemos desde hace años, y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una gran defensa, y podemos atacar primero con un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos quieren hacer creer. Tenemos un as en la manga, y el clima de ciberseguridad nos presenta una oportunidad de oro. No hace falta buscar más allá de sus equipos de desarrollo internos el personal que vendrá a rescatar a la organización, pero su programa de seguridad debe apoyar su trayectoria para que se conviertan en ingenieros conscientes de la seguridad que estén dispuestos a compartir la responsabilidad de codificar de forma segura.
Cualquier tipo de formación no serv irá -ya lo hemos dicho bastante-, pero incluso la formación adecuada que engancha, crea conocimientos contextuales y ayuda a los desarrolladores a amar la seguridad podría ser mucho más eficaz, si estuviera más adaptada a las necesidades de la empresa, a las amenazas a las que se enfrentan y a los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos a salvo.
Y ahí es donde entran en juego nuestras nuevas funciones, Coursesentra en juego. Por cierto, si has entendido la referencia del título, eres oficialmente viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: construir la defensa, reforzar las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones de vídeo secos y genéricos, y luego esperar que florezca una pasión por la codificación segura). Pero incluso en el caso de la formación competitiva diseñada para atraer la mentalidad de los desarrolladores, el contenido puede ser un poco más amplio de lo que se necesita para los requisitos particulares de una organización.
Un curso curado que contenga los módulos exactos en los que sus desarrolladores necesitarían mostrar competencia tendrá un impacto potente, y les permitirá ponerse en marcha cuando se trate de las mejores prácticas de seguridad en su trabajo diario. Adapte los programas para que se adapten a los equipos de frontend, ingenieros de la nube, etc., con la capacidad de profundizar en las vulnerabilidades que más importan, en los lenguajes y marcos que son relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de un conocimiento preciso de los problemas que suponen un mayor riesgo.
Personalizar un curso para su cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una gran base sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad enciende un sentido de orgullo y responsabilidad en los desarrolladores, en lugar de un gemido y un facepalm.
Como punto de partida, es una muy buena idea poner a todo el mundo al día con el OWASP Top 10, pero para alcanzar realmente nuevas cotas en el cumplimiento de la industria, se puede diseñar un curso a medida en torno a los requisitos de regulaciones específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con las directrices PCI-DSS que rigen las aplicaciones de pago y procesamiento de tarjetas. Hay mucho en juego cuando se está a cargo de procesar y almacenar información sensible como los números de las tarjetas de crédito, y ser ultra específico con el aprendizaje de los desarrolladores reduce el ruido, ofrece la educación correcta en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza Courses en sus equipos:
"Courses son una gran solución para nuestros ingenieros. Con la nueva función -que agrupa el itinerario de aprendizaje, los vídeos y los puntos de comprobación en un módulo personalizable- tenemos la posibilidad de configurar el contenido en función de lo que necesitemos en cada momento. La capacidad de cumplimiento y la flexibilidad ofrecen una oportunidad aún mayor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca".
Y recuerde, puede ser una formación de cumplimiento curada, pero sigue siendo una experiencia de aprendizaje contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La formación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps hay muchos platos que girar. El tiempo reservado para la formación debe utilizarse sabiamente, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al crear un curso personalizado que sea hiperpertinente, se respeta el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, se trabaja para lograr una reducción cuantificable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas en seguridad de las aplicaciones y los ingenieros suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con Courses puede permitir que ambas partes se pongan de acuerdo sobre las mejores prácticas de seguridad. Los desarrolladores apreciarán, sin duda, que el equipo de AppSec les facilite soluciones, lo que minimiza su carga y les ayuda a elaborar un código de mayor calidad.
Elimine los puntos débiles y amplíe la higiene de la seguridad a nivel empresarial
Todos somos humanos y, por desgracia, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, aunque son asombrosamente comunes. El Informe de Amenazas a la Seguridad en Internet 2019 de Symantec confirmó que más de 70 millones de registros fueron robados como resultado de buckets S3 mal configurados. Las desconfiguraciones de seguridad son una de las principales causas de las filtraciones de datos, y los errores humanos representan alrededor de una cuarta parte de ellas.
Estos problemas se producen por varias razones, pero la falta de concienciación y formación en materia de seguridad es un factor que contribuye a que se dejen abiertas pequeñas ventanas de oportunidad para que los atacantes las aprovechen. Para que la higiene de la seguridad sea escalable y tenga impacto, debe hacerla valer con un curso hecho a medida para su empresa. No muestre ninguna piedad a sus enemigos y elimine todas las oportunidades de que causen el mayor dolor de cabeza que pueda encontrar.
Ya estamos viendo un impacto asombroso con nuestros clientes, incluido este proveedor líder de SaaS de contabilidad en la nube:
"Courses'tailored learning pathway' ha sido un cambio de juego. La especificidad en torno a los lenguajes de programación y las vulnerabilidades proporciona más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro".
Prepárese para DevSec. Descubra más sobre la nueva función de Secure Code Warriors Courses aquí.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Hay una verdad incómoda que tiende a ser ignorada por los gobiernos, las grandes empresas e incluso algunos líderes de la industria: como sociedad, estamos en una batalla constante contra las ciberamenazas, y actualmente estamos en el lado perdedor. ¿Cómo lo sabemos? Estas estadísticas nos cuentan una historia aleccionadora:
- Se calcula que la ciberdelincuencia tendrá un coste mundial de 6 billones de dólares en 2021
- Cada 39 segundosse produce un ciberataque
- El24% de las violaciones de datos se deben a errores humanos
- Un alarmante 77% de las organizaciones no tiene un plan de respuesta a incidentes de ciberseguridad que se extienda a toda la empresa y se aplique de forma coherente entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una carencia crítica de personal; es poco probable que se cubra el déficit de competencias, y no hay ningún ejército secreto de AppSec que venga a sacarnos de apuros. Lo sabemos desde hace años, y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una gran defensa, y podemos atacar primero con un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos quieren hacer creer. Tenemos un as en la manga, y el clima de ciberseguridad nos presenta una oportunidad de oro. No hace falta buscar más allá de sus equipos de desarrollo internos el personal que vendrá a rescatar a la organización, pero su programa de seguridad debe apoyar su trayectoria para que se conviertan en ingenieros conscientes de la seguridad que estén dispuestos a compartir la responsabilidad de codificar de forma segura.
Cualquier tipo de formación no serv irá -ya lo hemos dicho bastante-, pero incluso la formación adecuada que engancha, crea conocimientos contextuales y ayuda a los desarrolladores a amar la seguridad podría ser mucho más eficaz, si estuviera más adaptada a las necesidades de la empresa, a las amenazas a las que se enfrentan y a los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos a salvo.
Y ahí es donde entran en juego nuestras nuevas funciones, Coursesentra en juego. Por cierto, si has entendido la referencia del título, eres oficialmente viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: construir la defensa, reforzar las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones de vídeo secos y genéricos, y luego esperar que florezca una pasión por la codificación segura). Pero incluso en el caso de la formación competitiva diseñada para atraer la mentalidad de los desarrolladores, el contenido puede ser un poco más amplio de lo que se necesita para los requisitos particulares de una organización.
Un curso curado que contenga los módulos exactos en los que sus desarrolladores necesitarían mostrar competencia tendrá un impacto potente, y les permitirá ponerse en marcha cuando se trate de las mejores prácticas de seguridad en su trabajo diario. Adapte los programas para que se adapten a los equipos de frontend, ingenieros de la nube, etc., con la capacidad de profundizar en las vulnerabilidades que más importan, en los lenguajes y marcos que son relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de un conocimiento preciso de los problemas que suponen un mayor riesgo.
Personalizar un curso para su cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una gran base sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad enciende un sentido de orgullo y responsabilidad en los desarrolladores, en lugar de un gemido y un facepalm.
Como punto de partida, es una muy buena idea poner a todo el mundo al día con el OWASP Top 10, pero para alcanzar realmente nuevas cotas en el cumplimiento de la industria, se puede diseñar un curso a medida en torno a los requisitos de regulaciones específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con las directrices PCI-DSS que rigen las aplicaciones de pago y procesamiento de tarjetas. Hay mucho en juego cuando se está a cargo de procesar y almacenar información sensible como los números de las tarjetas de crédito, y ser ultra específico con el aprendizaje de los desarrolladores reduce el ruido, ofrece la educación correcta en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza Courses en sus equipos:
"Courses son una gran solución para nuestros ingenieros. Con la nueva función -que agrupa el itinerario de aprendizaje, los vídeos y los puntos de comprobación en un módulo personalizable- tenemos la posibilidad de configurar el contenido en función de lo que necesitemos en cada momento. La capacidad de cumplimiento y la flexibilidad ofrecen una oportunidad aún mayor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca".
Y recuerde, puede ser una formación de cumplimiento curada, pero sigue siendo una experiencia de aprendizaje contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La formación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps hay muchos platos que girar. El tiempo reservado para la formación debe utilizarse sabiamente, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al crear un curso personalizado que sea hiperpertinente, se respeta el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, se trabaja para lograr una reducción cuantificable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas en seguridad de las aplicaciones y los ingenieros suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con Courses puede permitir que ambas partes se pongan de acuerdo sobre las mejores prácticas de seguridad. Los desarrolladores apreciarán, sin duda, que el equipo de AppSec les facilite soluciones, lo que minimiza su carga y les ayuda a elaborar un código de mayor calidad.
Elimine los puntos débiles y amplíe la higiene de la seguridad a nivel empresarial
Todos somos humanos y, por desgracia, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, aunque son asombrosamente comunes. El Informe de Amenazas a la Seguridad en Internet 2019 de Symantec confirmó que más de 70 millones de registros fueron robados como resultado de buckets S3 mal configurados. Las desconfiguraciones de seguridad son una de las principales causas de las filtraciones de datos, y los errores humanos representan alrededor de una cuarta parte de ellas.
Estos problemas se producen por varias razones, pero la falta de concienciación y formación en materia de seguridad es un factor que contribuye a que se dejen abiertas pequeñas ventanas de oportunidad para que los atacantes las aprovechen. Para que la higiene de la seguridad sea escalable y tenga impacto, debe hacerla valer con un curso hecho a medida para su empresa. No muestre ninguna piedad a sus enemigos y elimine todas las oportunidades de que causen el mayor dolor de cabeza que pueda encontrar.
Ya estamos viendo un impacto asombroso con nuestros clientes, incluido este proveedor líder de SaaS de contabilidad en la nube:
"Courses'tailored learning pathway' ha sido un cambio de juego. La especificidad en torno a los lenguajes de programación y las vulnerabilidades proporciona más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro".
Prepárese para DevSec. Descubra más sobre la nueva función de Secure Code Warriors Courses aquí.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Panorama de la gestión de riesgos de los promotores
La gestión de riesgos del desarrollador es un enfoque holístico y proactivo de la seguridad de las aplicaciones, centrado en quienes contribuyen al código y no en los bits y bytes de la propia capa de la aplicación.
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Recursos para empezar
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
