Golpea primero, golpea fuerte: por qué la codificación segura curada courses no tiene piedad con las ciberamenazas
Golpea primero, golpea fuerte: por qué la codificación segura curada courses no tiene piedad con las ciberamenazas
Hay una verdad incómoda que tiende a ser ignorada por los gobiernos, las grandes empresas e incluso algunos líderes de la industria: como sociedad, estamos en una batalla constante contra las ciberamenazas, y actualmente estamos en el lado perdedor. ¿Cómo lo sabemos? Estas estadísticas nos cuentan una historia aleccionadora:
- Se calcula que la ciberdelincuencia tendrá un coste mundial de 6 billones de dólares en 2021
- Cada 39 segundosse produce un ciberataque
- El24% de las violaciones de datos se deben a errores humanos
- Un alarmante 77% de las organizaciones no tiene un plan de respuesta a incidentes de ciberseguridad que se extienda a toda la empresa y se aplique de forma coherente entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una carencia crítica de personal; es poco probable que se cubra el déficit de competencias, y no hay ningún ejército secreto de AppSec que venga a sacarnos de apuros. Lo sabemos desde hace años, y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una gran defensa, y podemos atacar primero con un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos quieren hacer creer. Tenemos un as en la manga, y el clima de ciberseguridad nos presenta una oportunidad de oro. No hace falta buscar más allá de sus equipos de desarrollo internos el personal que vendrá a rescatar a la organización, pero su programa de seguridad debe apoyar su trayectoria para que se conviertan en ingenieros conscientes de la seguridad que estén dispuestos a compartir la responsabilidad de codificar de forma segura.
Cualquier tipo de formación no serv irá -ya lo hemos dicho bastante-, pero incluso la formación adecuada que engancha, crea conocimientos contextuales y ayuda a los desarrolladores a amar la seguridad podría ser mucho más eficaz, si estuviera más adaptada a las necesidades de la empresa, a las amenazas a las que se enfrentan y a los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos a salvo.
Y ahí es donde entran en juego nuestras nuevas funciones, Coursesentra en juego. Por cierto, si has entendido la referencia del título, eres oficialmente viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: construir la defensa, reforzar las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones de vídeo secos y genéricos, y luego esperar que florezca una pasión por la codificación segura). Pero incluso en el caso de la formación competitiva diseñada para atraer la mentalidad de los desarrolladores, el contenido puede ser un poco más amplio de lo que se necesita para los requisitos particulares de una organización.
Un curso curado que contenga los módulos exactos en los que sus desarrolladores necesitarían mostrar competencia tendrá un impacto potente, y les permitirá ponerse en marcha cuando se trate de las mejores prácticas de seguridad en su trabajo diario. Adapte los programas para que se adapten a los equipos de frontend, ingenieros de la nube, etc., con la capacidad de profundizar en las vulnerabilidades que más importan, en los lenguajes y marcos que son relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de un conocimiento preciso de los problemas que suponen un mayor riesgo.
Personalizar un curso para su cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una gran base sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad enciende un sentido de orgullo y responsabilidad en los desarrolladores, en lugar de un gemido y un facepalm.
Como punto de partida, es una muy buena idea poner a todo el mundo al día con el OWASP Top 10, pero para alcanzar realmente nuevas cotas en el cumplimiento de la industria, se puede diseñar un curso a medida en torno a los requisitos de regulaciones específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con las directrices PCI-DSS que rigen las aplicaciones de pago y procesamiento de tarjetas. Hay mucho en juego cuando se está a cargo de procesar y almacenar información sensible como los números de las tarjetas de crédito, y ser ultra específico con el aprendizaje de los desarrolladores reduce el ruido, ofrece la educación correcta en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza Courses en sus equipos:
"Courses son una gran solución para nuestros ingenieros. Con la nueva función -que agrupa el itinerario de aprendizaje, los vídeos y los puntos de comprobación en un módulo personalizable- tenemos la posibilidad de configurar el contenido en función de lo que necesitemos en cada momento. La capacidad de cumplimiento y la flexibilidad ofrecen una oportunidad aún mayor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca".
Y recuerde, puede ser una formación de cumplimiento curada, pero sigue siendo una experiencia de aprendizaje contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La formación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps hay muchos platos que girar. El tiempo reservado para la formación debe utilizarse sabiamente, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al crear un curso personalizado que sea hiperpertinente, se respeta el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, se trabaja para lograr una reducción cuantificable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas en seguridad de las aplicaciones y los ingenieros suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con Courses puede permitir que ambas partes se pongan de acuerdo sobre las mejores prácticas de seguridad. Los desarrolladores apreciarán, sin duda, que el equipo de AppSec les facilite soluciones, lo que minimiza su carga y les ayuda a elaborar un código de mayor calidad.
Elimine los puntos débiles y amplíe la higiene de la seguridad a nivel empresarial
Todos somos humanos y, por desgracia, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, aunque son asombrosamente comunes. El Informe de Amenazas a la Seguridad en Internet 2019 de Symantec confirmó que más de 70 millones de registros fueron robados como resultado de buckets S3 mal configurados. Las desconfiguraciones de seguridad son una de las principales causas de las filtraciones de datos, y los errores humanos representan alrededor de una cuarta parte de ellas.
Estos problemas se producen por varias razones, pero la falta de concienciación y formación en materia de seguridad es un factor que contribuye a que se dejen abiertas pequeñas ventanas de oportunidad para que los atacantes las aprovechen. Para que la higiene de la seguridad sea escalable y tenga impacto, debe hacerla valer con un curso hecho a medida para su empresa. No muestre ninguna piedad a sus enemigos y elimine todas las oportunidades de que causen el mayor dolor de cabeza que pueda encontrar.
Ya estamos viendo un impacto asombroso con nuestros clientes, incluido este proveedor líder de SaaS de contabilidad en la nube:
"Courses'tailored learning pathway' ha sido un cambio de juego. La especificidad en torno a los lenguajes de programación y las vulnerabilidades proporciona más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro".
Prepárese para DevSec. Descubra más sobre la nueva función de Secure Code Warriors Courses aquí.
Doctor Matias Madou
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Artículos relacionados que recomendamos
Artículos relacionados que recomendamos
Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.
Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.
Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores
Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.
Golpea primero, golpea fuerte: por qué la codificación segura curada courses no tiene piedad con las ciberamenazas
Hay una verdad incómoda que tiende a ser ignorada por los gobiernos, las grandes empresas e incluso algunos líderes de la industria: como sociedad, estamos en una batalla constante contra las ciberamenazas, y actualmente estamos en el lado perdedor. ¿Cómo lo sabemos? Estas estadísticas nos cuentan una historia aleccionadora:
- Se calcula que la ciberdelincuencia tendrá un coste mundial de 6 billones de dólares en 2021
- Cada 39 segundosse produce un ciberataque
- El24% de las violaciones de datos se deben a errores humanos
- Un alarmante 77% de las organizaciones no tiene un plan de respuesta a incidentes de ciberseguridad que se extienda a toda la empresa y se aplique de forma coherente entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una carencia crítica de personal; es poco probable que se cubra el déficit de competencias, y no hay ningún ejército secreto de AppSec que venga a sacarnos de apuros. Lo sabemos desde hace años, y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una gran defensa, y podemos atacar primero con un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos quieren hacer creer. Tenemos un as en la manga, y el clima de ciberseguridad nos presenta una oportunidad de oro. No hace falta buscar más allá de sus equipos de desarrollo internos el personal que vendrá a rescatar a la organización, pero su programa de seguridad debe apoyar su trayectoria para que se conviertan en ingenieros conscientes de la seguridad que estén dispuestos a compartir la responsabilidad de codificar de forma segura.
Cualquier tipo de formación no serv irá -ya lo hemos dicho bastante-, pero incluso la formación adecuada que engancha, crea conocimientos contextuales y ayuda a los desarrolladores a amar la seguridad podría ser mucho más eficaz, si estuviera más adaptada a las necesidades de la empresa, a las amenazas a las que se enfrentan y a los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos a salvo.
Y ahí es donde entran en juego nuestras nuevas funciones, Coursesentra en juego. Por cierto, si has entendido la referencia del título, eres oficialmente viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: construir la defensa, reforzar las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones de vídeo secos y genéricos, y luego esperar que florezca una pasión por la codificación segura). Pero incluso en el caso de la formación competitiva diseñada para atraer la mentalidad de los desarrolladores, el contenido puede ser un poco más amplio de lo que se necesita para los requisitos particulares de una organización.
Un curso curado que contenga los módulos exactos en los que sus desarrolladores necesitarían mostrar competencia tendrá un impacto potente, y les permitirá ponerse en marcha cuando se trate de las mejores prácticas de seguridad en su trabajo diario. Adapte los programas para que se adapten a los equipos de frontend, ingenieros de la nube, etc., con la capacidad de profundizar en las vulnerabilidades que más importan, en los lenguajes y marcos que son relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de un conocimiento preciso de los problemas que suponen un mayor riesgo.
Personalizar un curso para su cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una gran base sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad enciende un sentido de orgullo y responsabilidad en los desarrolladores, en lugar de un gemido y un facepalm.
Como punto de partida, es una muy buena idea poner a todo el mundo al día con el OWASP Top 10, pero para alcanzar realmente nuevas cotas en el cumplimiento de la industria, se puede diseñar un curso a medida en torno a los requisitos de regulaciones específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con las directrices PCI-DSS que rigen las aplicaciones de pago y procesamiento de tarjetas. Hay mucho en juego cuando se está a cargo de procesar y almacenar información sensible como los números de las tarjetas de crédito, y ser ultra específico con el aprendizaje de los desarrolladores reduce el ruido, ofrece la educación correcta en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza Courses en sus equipos:
"Courses son una gran solución para nuestros ingenieros. Con la nueva función -que agrupa el itinerario de aprendizaje, los vídeos y los puntos de comprobación en un módulo personalizable- tenemos la posibilidad de configurar el contenido en función de lo que necesitemos en cada momento. La capacidad de cumplimiento y la flexibilidad ofrecen una oportunidad aún mayor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca".
Y recuerde, puede ser una formación de cumplimiento curada, pero sigue siendo una experiencia de aprendizaje contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La formación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps hay muchos platos que girar. El tiempo reservado para la formación debe utilizarse sabiamente, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al crear un curso personalizado que sea hiperpertinente, se respeta el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, se trabaja para lograr una reducción cuantificable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas en seguridad de las aplicaciones y los ingenieros suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con Courses puede permitir que ambas partes se pongan de acuerdo sobre las mejores prácticas de seguridad. Los desarrolladores apreciarán, sin duda, que el equipo de AppSec les facilite soluciones, lo que minimiza su carga y les ayuda a elaborar un código de mayor calidad.
Elimine los puntos débiles y amplíe la higiene de la seguridad a nivel empresarial
Todos somos humanos y, por desgracia, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, aunque son asombrosamente comunes. El Informe de Amenazas a la Seguridad en Internet 2019 de Symantec confirmó que más de 70 millones de registros fueron robados como resultado de buckets S3 mal configurados. Las desconfiguraciones de seguridad son una de las principales causas de las filtraciones de datos, y los errores humanos representan alrededor de una cuarta parte de ellas.
Estos problemas se producen por varias razones, pero la falta de concienciación y formación en materia de seguridad es un factor que contribuye a que se dejen abiertas pequeñas ventanas de oportunidad para que los atacantes las aprovechen. Para que la higiene de la seguridad sea escalable y tenga impacto, debe hacerla valer con un curso hecho a medida para su empresa. No muestre ninguna piedad a sus enemigos y elimine todas las oportunidades de que causen el mayor dolor de cabeza que pueda encontrar.
Ya estamos viendo un impacto asombroso con nuestros clientes, incluido este proveedor líder de SaaS de contabilidad en la nube:
"Courses'tailored learning pathway' ha sido un cambio de juego. La especificidad en torno a los lenguajes de programación y las vulnerabilidades proporciona más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro".
Prepárese para DevSec. Descubra más sobre la nueva función de Secure Code Warriors Courses aquí.
