Golpea primero, golpea fuerte: por qué la codificación segura curada courses no tiene piedad con las ciberamenazas
Hay una verdad incómoda que tiende a ser ignorada por los gobiernos, las grandes empresas e incluso algunos líderes de la industria: como sociedad, estamos en una batalla constante contra las ciberamenazas, y actualmente estamos en el lado perdedor. ¿Cómo lo sabemos? Estas estadísticas nos cuentan una historia aleccionadora:
- Se calcula que la ciberdelincuencia tendrá un coste mundial de 6 billones de dólares en 2021
- Cada 39 segundosse produce un ciberataque
- El24% de las violaciones de datos se deben a errores humanos
- Un alarmante 77% de las organizaciones no tiene un plan de respuesta a incidentes de ciberseguridad que se extienda a toda la empresa y se aplique de forma coherente entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una carencia crítica de personal; es poco probable que se cubra el déficit de competencias, y no hay ningún ejército secreto de AppSec que venga a sacarnos de apuros. Lo sabemos desde hace años, y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una gran defensa, y podemos atacar primero con un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos quieren hacer creer. Tenemos un as en la manga, y el clima de ciberseguridad nos presenta una oportunidad de oro. No hace falta buscar más allá de sus equipos de desarrollo internos el personal que vendrá a rescatar a la organización, pero su programa de seguridad debe apoyar su trayectoria para que se conviertan en ingenieros conscientes de la seguridad que estén dispuestos a compartir la responsabilidad de codificar de forma segura.
Cualquier tipo de formación no serv irá -ya lo hemos dicho bastante-, pero incluso la formación adecuada que engancha, crea conocimientos contextuales y ayuda a los desarrolladores a amar la seguridad podría ser mucho más eficaz, si estuviera más adaptada a las necesidades de la empresa, a las amenazas a las que se enfrentan y a los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos a salvo.
Y ahí es donde entran en juego nuestras nuevas funciones, Coursesentra en juego. Por cierto, si has entendido la referencia del título, eres oficialmente viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: construir la defensa, reforzar las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones de vídeo secos y genéricos, y luego esperar que florezca una pasión por la codificación segura). Pero incluso en el caso de la formación competitiva diseñada para atraer la mentalidad de los desarrolladores, el contenido puede ser un poco más amplio de lo que se necesita para los requisitos particulares de una organización.
Un curso curado que contenga los módulos exactos en los que sus desarrolladores necesitarían mostrar competencia tendrá un impacto potente, y les permitirá ponerse en marcha cuando se trate de las mejores prácticas de seguridad en su trabajo diario. Adapte los programas para que se adapten a los equipos de frontend, ingenieros de la nube, etc., con la capacidad de profundizar en las vulnerabilidades que más importan, en los lenguajes y marcos que son relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de un conocimiento preciso de los problemas que suponen un mayor riesgo.
Personalizar un curso para su cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una gran base sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad enciende un sentido de orgullo y responsabilidad en los desarrolladores, en lugar de un gemido y un facepalm.
Como punto de partida, es una muy buena idea poner a todo el mundo al día con el OWASP Top 10, pero para alcanzar realmente nuevas cotas en el cumplimiento de la industria, se puede diseñar un curso a medida en torno a los requisitos de regulaciones específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con las directrices PCI-DSS que rigen las aplicaciones de pago y procesamiento de tarjetas. Hay mucho en juego cuando se está a cargo de procesar y almacenar información sensible como los números de las tarjetas de crédito, y ser ultra específico con el aprendizaje de los desarrolladores reduce el ruido, ofrece la educación correcta en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza Courses en sus equipos:
"Courses son una gran solución para nuestros ingenieros. Con la nueva función -que agrupa el itinerario de aprendizaje, los vídeos y los puntos de comprobación en un módulo personalizable- tenemos la posibilidad de configurar el contenido en función de lo que necesitemos en cada momento. La capacidad de cumplimiento y la flexibilidad ofrecen una oportunidad aún mayor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca".
Y recuerde, puede ser una formación de cumplimiento curada, pero sigue siendo una experiencia de aprendizaje contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La formación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps hay muchos platos que girar. El tiempo reservado para la formación debe utilizarse sabiamente, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al crear un curso personalizado que sea hiperpertinente, se respeta el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, se trabaja para lograr una reducción cuantificable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas en seguridad de las aplicaciones y los ingenieros suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con Courses puede permitir que ambas partes se pongan de acuerdo sobre las mejores prácticas de seguridad. Los desarrolladores apreciarán, sin duda, que el equipo de AppSec les facilite soluciones, lo que minimiza su carga y les ayuda a elaborar un código de mayor calidad.
Elimine los puntos débiles y amplíe la higiene de la seguridad a nivel empresarial
Todos somos humanos y, por desgracia, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, aunque son asombrosamente comunes. El Informe de Amenazas a la Seguridad en Internet 2019 de Symantec confirmó que más de 70 millones de registros fueron robados como resultado de buckets S3 mal configurados. Las desconfiguraciones de seguridad son una de las principales causas de las filtraciones de datos, y los errores humanos representan alrededor de una cuarta parte de ellas.
Estos problemas se producen por varias razones, pero la falta de concienciación y formación en materia de seguridad es un factor que contribuye a que se dejen abiertas pequeñas ventanas de oportunidad para que los atacantes las aprovechen. Para que la higiene de la seguridad sea escalable y tenga impacto, debe hacerla valer con un curso hecho a medida para su empresa. No muestre ninguna piedad a sus enemigos y elimine todas las oportunidades de que causen el mayor dolor de cabeza que pueda encontrar.
Ya estamos viendo un impacto asombroso con nuestros clientes, incluido este proveedor líder de SaaS de contabilidad en la nube:
"Courses'tailored learning pathway' ha sido un cambio de juego. La especificidad en torno a los lenguajes de programación y las vulnerabilidades proporciona más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro".
Prepárese para DevSec. Descubra más sobre la nueva función de Secure Code Warriors Courses aquí.
Un curso curado que contenga los módulos exactos en los que sus desarrolladores necesitarían mostrar competencia tendrá un impacto potente, y les permitirá ponerse en marcha cuando se trate de las mejores prácticas de seguridad en su trabajo diario.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Hay una verdad incómoda que tiende a ser ignorada por los gobiernos, las grandes empresas e incluso algunos líderes de la industria: como sociedad, estamos en una batalla constante contra las ciberamenazas, y actualmente estamos en el lado perdedor. ¿Cómo lo sabemos? Estas estadísticas nos cuentan una historia aleccionadora:
- Se calcula que la ciberdelincuencia tendrá un coste mundial de 6 billones de dólares en 2021
- Cada 39 segundosse produce un ciberataque
- El24% de las violaciones de datos se deben a errores humanos
- Un alarmante 77% de las organizaciones no tiene un plan de respuesta a incidentes de ciberseguridad que se extienda a toda la empresa y se aplique de forma coherente entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una carencia crítica de personal; es poco probable que se cubra el déficit de competencias, y no hay ningún ejército secreto de AppSec que venga a sacarnos de apuros. Lo sabemos desde hace años, y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una gran defensa, y podemos atacar primero con un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos quieren hacer creer. Tenemos un as en la manga, y el clima de ciberseguridad nos presenta una oportunidad de oro. No hace falta buscar más allá de sus equipos de desarrollo internos el personal que vendrá a rescatar a la organización, pero su programa de seguridad debe apoyar su trayectoria para que se conviertan en ingenieros conscientes de la seguridad que estén dispuestos a compartir la responsabilidad de codificar de forma segura.
Cualquier tipo de formación no serv irá -ya lo hemos dicho bastante-, pero incluso la formación adecuada que engancha, crea conocimientos contextuales y ayuda a los desarrolladores a amar la seguridad podría ser mucho más eficaz, si estuviera más adaptada a las necesidades de la empresa, a las amenazas a las que se enfrentan y a los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos a salvo.
Y ahí es donde entran en juego nuestras nuevas funciones, Coursesentra en juego. Por cierto, si has entendido la referencia del título, eres oficialmente viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: construir la defensa, reforzar las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones de vídeo secos y genéricos, y luego esperar que florezca una pasión por la codificación segura). Pero incluso en el caso de la formación competitiva diseñada para atraer la mentalidad de los desarrolladores, el contenido puede ser un poco más amplio de lo que se necesita para los requisitos particulares de una organización.
Un curso curado que contenga los módulos exactos en los que sus desarrolladores necesitarían mostrar competencia tendrá un impacto potente, y les permitirá ponerse en marcha cuando se trate de las mejores prácticas de seguridad en su trabajo diario. Adapte los programas para que se adapten a los equipos de frontend, ingenieros de la nube, etc., con la capacidad de profundizar en las vulnerabilidades que más importan, en los lenguajes y marcos que son relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de un conocimiento preciso de los problemas que suponen un mayor riesgo.
Personalizar un curso para su cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una gran base sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad enciende un sentido de orgullo y responsabilidad en los desarrolladores, en lugar de un gemido y un facepalm.
Como punto de partida, es una muy buena idea poner a todo el mundo al día con el OWASP Top 10, pero para alcanzar realmente nuevas cotas en el cumplimiento de la industria, se puede diseñar un curso a medida en torno a los requisitos de regulaciones específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con las directrices PCI-DSS que rigen las aplicaciones de pago y procesamiento de tarjetas. Hay mucho en juego cuando se está a cargo de procesar y almacenar información sensible como los números de las tarjetas de crédito, y ser ultra específico con el aprendizaje de los desarrolladores reduce el ruido, ofrece la educación correcta en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza Courses en sus equipos:
"Courses son una gran solución para nuestros ingenieros. Con la nueva función -que agrupa el itinerario de aprendizaje, los vídeos y los puntos de comprobación en un módulo personalizable- tenemos la posibilidad de configurar el contenido en función de lo que necesitemos en cada momento. La capacidad de cumplimiento y la flexibilidad ofrecen una oportunidad aún mayor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca".
Y recuerde, puede ser una formación de cumplimiento curada, pero sigue siendo una experiencia de aprendizaje contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La formación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps hay muchos platos que girar. El tiempo reservado para la formación debe utilizarse sabiamente, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al crear un curso personalizado que sea hiperpertinente, se respeta el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, se trabaja para lograr una reducción cuantificable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas en seguridad de las aplicaciones y los ingenieros suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con Courses puede permitir que ambas partes se pongan de acuerdo sobre las mejores prácticas de seguridad. Los desarrolladores apreciarán, sin duda, que el equipo de AppSec les facilite soluciones, lo que minimiza su carga y les ayuda a elaborar un código de mayor calidad.
Elimine los puntos débiles y amplíe la higiene de la seguridad a nivel empresarial
Todos somos humanos y, por desgracia, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, aunque son asombrosamente comunes. El Informe de Amenazas a la Seguridad en Internet 2019 de Symantec confirmó que más de 70 millones de registros fueron robados como resultado de buckets S3 mal configurados. Las desconfiguraciones de seguridad son una de las principales causas de las filtraciones de datos, y los errores humanos representan alrededor de una cuarta parte de ellas.
Estos problemas se producen por varias razones, pero la falta de concienciación y formación en materia de seguridad es un factor que contribuye a que se dejen abiertas pequeñas ventanas de oportunidad para que los atacantes las aprovechen. Para que la higiene de la seguridad sea escalable y tenga impacto, debe hacerla valer con un curso hecho a medida para su empresa. No muestre ninguna piedad a sus enemigos y elimine todas las oportunidades de que causen el mayor dolor de cabeza que pueda encontrar.
Ya estamos viendo un impacto asombroso con nuestros clientes, incluido este proveedor líder de SaaS de contabilidad en la nube:
"Courses'tailored learning pathway' ha sido un cambio de juego. La especificidad en torno a los lenguajes de programación y las vulnerabilidades proporciona más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro".
Prepárese para DevSec. Descubra más sobre la nueva función de Secure Code Warriors Courses aquí.
Hay una verdad incómoda que tiende a ser ignorada por los gobiernos, las grandes empresas e incluso algunos líderes de la industria: como sociedad, estamos en una batalla constante contra las ciberamenazas, y actualmente estamos en el lado perdedor. ¿Cómo lo sabemos? Estas estadísticas nos cuentan una historia aleccionadora:
- Se calcula que la ciberdelincuencia tendrá un coste mundial de 6 billones de dólares en 2021
- Cada 39 segundosse produce un ciberataque
- El24% de las violaciones de datos se deben a errores humanos
- Un alarmante 77% de las organizaciones no tiene un plan de respuesta a incidentes de ciberseguridad que se extienda a toda la empresa y se aplique de forma coherente entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una carencia crítica de personal; es poco probable que se cubra el déficit de competencias, y no hay ningún ejército secreto de AppSec que venga a sacarnos de apuros. Lo sabemos desde hace años, y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una gran defensa, y podemos atacar primero con un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos quieren hacer creer. Tenemos un as en la manga, y el clima de ciberseguridad nos presenta una oportunidad de oro. No hace falta buscar más allá de sus equipos de desarrollo internos el personal que vendrá a rescatar a la organización, pero su programa de seguridad debe apoyar su trayectoria para que se conviertan en ingenieros conscientes de la seguridad que estén dispuestos a compartir la responsabilidad de codificar de forma segura.
Cualquier tipo de formación no serv irá -ya lo hemos dicho bastante-, pero incluso la formación adecuada que engancha, crea conocimientos contextuales y ayuda a los desarrolladores a amar la seguridad podría ser mucho más eficaz, si estuviera más adaptada a las necesidades de la empresa, a las amenazas a las que se enfrentan y a los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos a salvo.
Y ahí es donde entran en juego nuestras nuevas funciones, Coursesentra en juego. Por cierto, si has entendido la referencia del título, eres oficialmente viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: construir la defensa, reforzar las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones de vídeo secos y genéricos, y luego esperar que florezca una pasión por la codificación segura). Pero incluso en el caso de la formación competitiva diseñada para atraer la mentalidad de los desarrolladores, el contenido puede ser un poco más amplio de lo que se necesita para los requisitos particulares de una organización.
Un curso curado que contenga los módulos exactos en los que sus desarrolladores necesitarían mostrar competencia tendrá un impacto potente, y les permitirá ponerse en marcha cuando se trate de las mejores prácticas de seguridad en su trabajo diario. Adapte los programas para que se adapten a los equipos de frontend, ingenieros de la nube, etc., con la capacidad de profundizar en las vulnerabilidades que más importan, en los lenguajes y marcos que son relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de un conocimiento preciso de los problemas que suponen un mayor riesgo.
Personalizar un curso para su cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una gran base sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad enciende un sentido de orgullo y responsabilidad en los desarrolladores, en lugar de un gemido y un facepalm.
Como punto de partida, es una muy buena idea poner a todo el mundo al día con el OWASP Top 10, pero para alcanzar realmente nuevas cotas en el cumplimiento de la industria, se puede diseñar un curso a medida en torno a los requisitos de regulaciones específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con las directrices PCI-DSS que rigen las aplicaciones de pago y procesamiento de tarjetas. Hay mucho en juego cuando se está a cargo de procesar y almacenar información sensible como los números de las tarjetas de crédito, y ser ultra específico con el aprendizaje de los desarrolladores reduce el ruido, ofrece la educación correcta en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza Courses en sus equipos:
"Courses son una gran solución para nuestros ingenieros. Con la nueva función -que agrupa el itinerario de aprendizaje, los vídeos y los puntos de comprobación en un módulo personalizable- tenemos la posibilidad de configurar el contenido en función de lo que necesitemos en cada momento. La capacidad de cumplimiento y la flexibilidad ofrecen una oportunidad aún mayor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca".
Y recuerde, puede ser una formación de cumplimiento curada, pero sigue siendo una experiencia de aprendizaje contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La formación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps hay muchos platos que girar. El tiempo reservado para la formación debe utilizarse sabiamente, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al crear un curso personalizado que sea hiperpertinente, se respeta el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, se trabaja para lograr una reducción cuantificable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas en seguridad de las aplicaciones y los ingenieros suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con Courses puede permitir que ambas partes se pongan de acuerdo sobre las mejores prácticas de seguridad. Los desarrolladores apreciarán, sin duda, que el equipo de AppSec les facilite soluciones, lo que minimiza su carga y les ayuda a elaborar un código de mayor calidad.
Elimine los puntos débiles y amplíe la higiene de la seguridad a nivel empresarial
Todos somos humanos y, por desgracia, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, aunque son asombrosamente comunes. El Informe de Amenazas a la Seguridad en Internet 2019 de Symantec confirmó que más de 70 millones de registros fueron robados como resultado de buckets S3 mal configurados. Las desconfiguraciones de seguridad son una de las principales causas de las filtraciones de datos, y los errores humanos representan alrededor de una cuarta parte de ellas.
Estos problemas se producen por varias razones, pero la falta de concienciación y formación en materia de seguridad es un factor que contribuye a que se dejen abiertas pequeñas ventanas de oportunidad para que los atacantes las aprovechen. Para que la higiene de la seguridad sea escalable y tenga impacto, debe hacerla valer con un curso hecho a medida para su empresa. No muestre ninguna piedad a sus enemigos y elimine todas las oportunidades de que causen el mayor dolor de cabeza que pueda encontrar.
Ya estamos viendo un impacto asombroso con nuestros clientes, incluido este proveedor líder de SaaS de contabilidad en la nube:
"Courses'tailored learning pathway' ha sido un cambio de juego. La especificidad en torno a los lenguajes de programación y las vulnerabilidades proporciona más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro".
Prepárese para DevSec. Descubra más sobre la nueva función de Secure Code Warriors Courses aquí.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Hay una verdad incómoda que tiende a ser ignorada por los gobiernos, las grandes empresas e incluso algunos líderes de la industria: como sociedad, estamos en una batalla constante contra las ciberamenazas, y actualmente estamos en el lado perdedor. ¿Cómo lo sabemos? Estas estadísticas nos cuentan una historia aleccionadora:
- Se calcula que la ciberdelincuencia tendrá un coste mundial de 6 billones de dólares en 2021
- Cada 39 segundosse produce un ciberataque
- El24% de las violaciones de datos se deben a errores humanos
- Un alarmante 77% de las organizaciones no tiene un plan de respuesta a incidentes de ciberseguridad que se extienda a toda la empresa y se aplique de forma coherente entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una carencia crítica de personal; es poco probable que se cubra el déficit de competencias, y no hay ningún ejército secreto de AppSec que venga a sacarnos de apuros. Lo sabemos desde hace años, y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una gran defensa, y podemos atacar primero con un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos quieren hacer creer. Tenemos un as en la manga, y el clima de ciberseguridad nos presenta una oportunidad de oro. No hace falta buscar más allá de sus equipos de desarrollo internos el personal que vendrá a rescatar a la organización, pero su programa de seguridad debe apoyar su trayectoria para que se conviertan en ingenieros conscientes de la seguridad que estén dispuestos a compartir la responsabilidad de codificar de forma segura.
Cualquier tipo de formación no serv irá -ya lo hemos dicho bastante-, pero incluso la formación adecuada que engancha, crea conocimientos contextuales y ayuda a los desarrolladores a amar la seguridad podría ser mucho más eficaz, si estuviera más adaptada a las necesidades de la empresa, a las amenazas a las que se enfrentan y a los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos a salvo.
Y ahí es donde entran en juego nuestras nuevas funciones, Coursesentra en juego. Por cierto, si has entendido la referencia del título, eres oficialmente viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: construir la defensa, reforzar las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones de vídeo secos y genéricos, y luego esperar que florezca una pasión por la codificación segura). Pero incluso en el caso de la formación competitiva diseñada para atraer la mentalidad de los desarrolladores, el contenido puede ser un poco más amplio de lo que se necesita para los requisitos particulares de una organización.
Un curso curado que contenga los módulos exactos en los que sus desarrolladores necesitarían mostrar competencia tendrá un impacto potente, y les permitirá ponerse en marcha cuando se trate de las mejores prácticas de seguridad en su trabajo diario. Adapte los programas para que se adapten a los equipos de frontend, ingenieros de la nube, etc., con la capacidad de profundizar en las vulnerabilidades que más importan, en los lenguajes y marcos que son relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de un conocimiento preciso de los problemas que suponen un mayor riesgo.
Personalizar un curso para su cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una gran base sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad enciende un sentido de orgullo y responsabilidad en los desarrolladores, en lugar de un gemido y un facepalm.
Como punto de partida, es una muy buena idea poner a todo el mundo al día con el OWASP Top 10, pero para alcanzar realmente nuevas cotas en el cumplimiento de la industria, se puede diseñar un curso a medida en torno a los requisitos de regulaciones específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con las directrices PCI-DSS que rigen las aplicaciones de pago y procesamiento de tarjetas. Hay mucho en juego cuando se está a cargo de procesar y almacenar información sensible como los números de las tarjetas de crédito, y ser ultra específico con el aprendizaje de los desarrolladores reduce el ruido, ofrece la educación correcta en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza Courses en sus equipos:
"Courses son una gran solución para nuestros ingenieros. Con la nueva función -que agrupa el itinerario de aprendizaje, los vídeos y los puntos de comprobación en un módulo personalizable- tenemos la posibilidad de configurar el contenido en función de lo que necesitemos en cada momento. La capacidad de cumplimiento y la flexibilidad ofrecen una oportunidad aún mayor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca".
Y recuerde, puede ser una formación de cumplimiento curada, pero sigue siendo una experiencia de aprendizaje contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La formación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps hay muchos platos que girar. El tiempo reservado para la formación debe utilizarse sabiamente, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al crear un curso personalizado que sea hiperpertinente, se respeta el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, se trabaja para lograr una reducción cuantificable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas en seguridad de las aplicaciones y los ingenieros suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con Courses puede permitir que ambas partes se pongan de acuerdo sobre las mejores prácticas de seguridad. Los desarrolladores apreciarán, sin duda, que el equipo de AppSec les facilite soluciones, lo que minimiza su carga y les ayuda a elaborar un código de mayor calidad.
Elimine los puntos débiles y amplíe la higiene de la seguridad a nivel empresarial
Todos somos humanos y, por desgracia, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, aunque son asombrosamente comunes. El Informe de Amenazas a la Seguridad en Internet 2019 de Symantec confirmó que más de 70 millones de registros fueron robados como resultado de buckets S3 mal configurados. Las desconfiguraciones de seguridad son una de las principales causas de las filtraciones de datos, y los errores humanos representan alrededor de una cuarta parte de ellas.
Estos problemas se producen por varias razones, pero la falta de concienciación y formación en materia de seguridad es un factor que contribuye a que se dejen abiertas pequeñas ventanas de oportunidad para que los atacantes las aprovechen. Para que la higiene de la seguridad sea escalable y tenga impacto, debe hacerla valer con un curso hecho a medida para su empresa. No muestre ninguna piedad a sus enemigos y elimine todas las oportunidades de que causen el mayor dolor de cabeza que pueda encontrar.
Ya estamos viendo un impacto asombroso con nuestros clientes, incluido este proveedor líder de SaaS de contabilidad en la nube:
"Courses'tailored learning pathway' ha sido un cambio de juego. La especificidad en torno a los lenguajes de programación y las vulnerabilidades proporciona más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro".
Prepárese para DevSec. Descubra más sobre la nueva función de Secure Code Warriors Courses aquí.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
.png)
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
