Información de seguridad mejorada: los cursos guiados ayudan a los desarrolladores a prepararse para el NIST.
Últimamente se han producido algunos movimientos muy positivos en el sector de la ciberseguridad. Parece que el sentimiento de dar prioridad a la seguridad en la construcción de software, tan pronto como sea posible, está empezando a mejorar en muchas organizaciones. Esto, unido a medidas oficiales como la Orden Ejecutiva de Biden sobre ciberseguridad, ha dejado muy claro que todo el mundo tiene que poner de su parte para garantizar la seguridad del software y de los datos. Lo que es especialmente emocionante es que la conversación en torno al papel del desarrollador en el mantenimiento de las normas de codificación segura sigue evolucionando, incluso a nivel gubernamental.
Sin embargo, hay algo que falta en la conversación. La Orden Ejecutiva sugiere que los desarrolladores necesitan habilidades de seguridad verificadas, pero actualmente no existe ninguna certificación oficial de este tipo. Muchas empresas siguen guiándose por el NIST (que proporcionó directrices actualizadas en respuesta a la OE) en su búsqueda del cumplimiento y de normas más estrictas de seguridad del software, pero si pensamos en estrategias para reducir significativamente las vulnerabilidades, al tiempo que incorporamos las herramientas adecuadas y mantenemos la velocidad de lanzamiento, la mayoría son simplemente demasiado genéricas para crear el resultado deseado. Aquí es donde muchas empresas se quedan sin rumbo, perseverando con una formación limitada de los desarrolladores, o no construyendo sobre bases generales para capacitarlos con habilidades prácticas.
Los desarrolladores concienciados con la seguridad no crecen en los árboles, pero se pueden cultivar y elevar mucho más rápido con las herramientas adecuadas. Para ello, nos complace anunciar nuestro propio curso de conformidad con el NIST, estructurado según las directrices de la Orden Ejecutiva del Gobierno de los Estados Unidos.
Apoyo significativo a nivel de código para los desarrolladores
Utilizando las directrices del NIST para el software crítico para las órdenes ejecutivas (EO-critical ), estructuramos el curso para alcanzar los cinco objetivos clave que, en última instancia, mejorarán la seguridad del software vital que se utiliza en los niveles más altos del gobierno, y que idealmente debería actuar como un punto de referencia para un desarrollo de mayor calidad desde el principio.
Para lograr un verdadero avance en una cohorte de desarrollo, cualquier actualización debe ir más allá de la teoría y aplicarse de manera que no dé lugar a un cambio constante de contexto entre el trabajo y la formación para encontrar respuestas y mantenerse ágil. Las prácticas de seguridad meticulosas (por no hablar del equipo de seguridad) se consideran un obstáculo para los sprints de desarrollo a tiempo, y obstaculizan seriamente el estilo del ingeniero medio centrado en las características.
Los microaprendizajes breves y fáciles de aprender que se adaptan a las necesidades de los desarrolladores tienen una acogida mucho menos fría y dan lugar a un desarrollo de habilidades memorable y práctico.
Echa un vistazo a cómo hemos estructurado esto para nuestro curso NIST:
Objetivo 1: Proteger el software crítico para la Tierra y las plataformas de software crítico para la Tierra de accesos y usos no autorizados.
Los atacantes se basan en la desconfiguración de la seguridad y en prácticas de autenticación inadecuadas para infiltrarse con éxito en los sistemas, hacerse con cuentas y robar datos. Son un error común que puede conducir a grandes problemas si se explota con éxito.
En la Secure Code Warrior Learning Platformlos desarrolladores pueden jugar a desafíos basados en fragmentos de código del mundo real que reflejan fielmente cómo aparecerían estos fallos en su trabajo diario, y conseguir que encuentren una solución precisa para asegurarlos. Para los ingenieros de DevOps, asegurar la infraestructura requiere meticulosas configuraciones de control de acceso, y existen retos especializados para cumplir este requisito en lenguajes de Infraestructura como Código (IaC) como Terraform, CloudFormation y Ansible, así como en el código utilizado en Docker y Kubernetes.
Objetivo 2: Proteger la confidencialidad, la integridad y la disponibilidad de los datos utilizados por el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
Para este objetivo, todos los caminos conducen al control de acceso. El control de acceso roto destronó recientemente a los fallos de inyección como la entrada principal en el OWASP Top 10 2021, y es un fallo grave que requiere las habilidades de los desarrolladores conscientes de la seguridad para encontrar y arreglar lo antes posible.
El curso aborda conceptos como el de mínimo privilegio a nivel de código, y ayuda a inculcar el enfoque de limitar el acceso en las cuentas de usuario sólo a las áreas necesarias como mejor práctica.
Objetivo 3: Identificar y mantener las plataformas de software críticas para la OT y el software desplegado en esas plataformas para proteger el software crítico para la OT de la explotación.
Uno de los mayores retos en las grandes organizaciones es mantener la supervisión de la seguridad en todo el software, los sistemas y los componentes en juego. Cuando se trata de la gestión de riesgos y la aplicación de parches, estos elementos deben ser una prioridad en cualquier programa de seguridad, con los desarrolladores en alerta máxima para realizar el mantenimiento de la seguridad.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos que les ayudarán a identificar y corregir componentes vulnerables, así como la desconfiguración de la seguridad basada en permisos.
Objetivo 4: Detectar, responder y recuperarse rápidamente de las amenazas e incidentes relacionados con el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
Es lamentable (y una pérdida de tiempo y dinero) que muchas organizaciones sigan centrándose en la respuesta a los incidentes -en lugar de la prevención- a la hora de abordar los problemas de ciberseguridad. Esta es una cultura que estamos luchando por cambiar, y los desarrolladores están a la cabeza para proporcionar una potencia de fuego preventiva cuando están debidamente formados en las mejores prácticas de seguridad.
El objetivo 4 requiere que los desarrolladores, en el contexto de su función, supervisen continuamente la seguridad en sus entornos y puntos finales tanto a nivel de software como de red. El registro y la monitorización insuficientes son otro error común e insidioso, y es vital que los ingenieros sean capaces de navegar con éxito en sus tareas diarias.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos para perfeccionar estas habilidades, ya sea trabajando con lenguajes web, de API o de nube.
Conciencia de seguridad con sostenibilidad.
Objetivo 5: Reforzar la comprensión y el rendimiento de las acciones humanas que fomentan la seguridad del software crítico para la Tierra y de las plataformas de software crítico para la Tierra.
Este es bastante generalizado, pero es el más importante de conseguir... y no se puede hacer sin dominar los cuatro primeros objetivos. Esta directriz pide que se lleven a cabo actividades frecuentes de concienciación sobre la seguridad, y que todas las "acciones humanas" sobre el software crítico para la OE sean llevadas a cabo por quienes están adecuadamente formados en el contexto de sus funciones y responsabilidades.
Los desarrolladores se encuentran entre los que están más cerca del código, además de las configuraciones de seguridad y el control de acceso. Sus habilidades de seguridad deben ser alimentadas, y para lograr los altos estándares señalados por el NIST, una estructura de curso práctico podría ser la manera eficiente de abordarlo, especialmente con grandes cohortes de desarrollo.
Empiece hoy mismoa aumentar los puntos de experiencia y el coeficiente de seguridad de su equipo de desarrollo.
Los desarrolladores, junto con los responsables de las configuraciones de seguridad y el control de acceso, son los que más cerca están del código. Es necesario fomentar sus competencias en materia de seguridad y, para alcanzar los elevados estándares establecidos por el NIST, una estructura de cursos orientada a la práctica podría ser la forma adecuada de abordar el problema, especialmente en el caso de grandes grupos de desarrolladores.
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
Últimamente se han producido algunos movimientos muy positivos en el sector de la ciberseguridad. Parece que el sentimiento de dar prioridad a la seguridad en la construcción de software, tan pronto como sea posible, está empezando a mejorar en muchas organizaciones. Esto, unido a medidas oficiales como la Orden Ejecutiva de Biden sobre ciberseguridad, ha dejado muy claro que todo el mundo tiene que poner de su parte para garantizar la seguridad del software y de los datos. Lo que es especialmente emocionante es que la conversación en torno al papel del desarrollador en el mantenimiento de las normas de codificación segura sigue evolucionando, incluso a nivel gubernamental.
Sin embargo, hay algo que falta en la conversación. La Orden Ejecutiva sugiere que los desarrolladores necesitan habilidades de seguridad verificadas, pero actualmente no existe ninguna certificación oficial de este tipo. Muchas empresas siguen guiándose por el NIST (que proporcionó directrices actualizadas en respuesta a la OE) en su búsqueda del cumplimiento y de normas más estrictas de seguridad del software, pero si pensamos en estrategias para reducir significativamente las vulnerabilidades, al tiempo que incorporamos las herramientas adecuadas y mantenemos la velocidad de lanzamiento, la mayoría son simplemente demasiado genéricas para crear el resultado deseado. Aquí es donde muchas empresas se quedan sin rumbo, perseverando con una formación limitada de los desarrolladores, o no construyendo sobre bases generales para capacitarlos con habilidades prácticas.
Los desarrolladores concienciados con la seguridad no crecen en los árboles, pero se pueden cultivar y elevar mucho más rápido con las herramientas adecuadas. Para ello, nos complace anunciar nuestro propio curso de conformidad con el NIST, estructurado según las directrices de la Orden Ejecutiva del Gobierno de los Estados Unidos.
Apoyo significativo a nivel de código para los desarrolladores
Utilizando las directrices del NIST para el software crítico para las órdenes ejecutivas (EO-critical ), estructuramos el curso para alcanzar los cinco objetivos clave que, en última instancia, mejorarán la seguridad del software vital que se utiliza en los niveles más altos del gobierno, y que idealmente debería actuar como un punto de referencia para un desarrollo de mayor calidad desde el principio.
Para lograr un verdadero avance en una cohorte de desarrollo, cualquier actualización debe ir más allá de la teoría y aplicarse de manera que no dé lugar a un cambio constante de contexto entre el trabajo y la formación para encontrar respuestas y mantenerse ágil. Las prácticas de seguridad meticulosas (por no hablar del equipo de seguridad) se consideran un obstáculo para los sprints de desarrollo a tiempo, y obstaculizan seriamente el estilo del ingeniero medio centrado en las características.
Los microaprendizajes breves y fáciles de aprender que se adaptan a las necesidades de los desarrolladores tienen una acogida mucho menos fría y dan lugar a un desarrollo de habilidades memorable y práctico.
Echa un vistazo a cómo hemos estructurado esto para nuestro curso NIST:
Objetivo 1: Proteger el software crítico para la Tierra y las plataformas de software crítico para la Tierra de accesos y usos no autorizados.
Los atacantes se basan en la desconfiguración de la seguridad y en prácticas de autenticación inadecuadas para infiltrarse con éxito en los sistemas, hacerse con cuentas y robar datos. Son un error común que puede conducir a grandes problemas si se explota con éxito.
En la Secure Code Warrior Learning Platformlos desarrolladores pueden jugar a desafíos basados en fragmentos de código del mundo real que reflejan fielmente cómo aparecerían estos fallos en su trabajo diario, y conseguir que encuentren una solución precisa para asegurarlos. Para los ingenieros de DevOps, asegurar la infraestructura requiere meticulosas configuraciones de control de acceso, y existen retos especializados para cumplir este requisito en lenguajes de Infraestructura como Código (IaC) como Terraform, CloudFormation y Ansible, así como en el código utilizado en Docker y Kubernetes.
Objetivo 2: Proteger la confidencialidad, la integridad y la disponibilidad de los datos utilizados por el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
Para este objetivo, todos los caminos conducen al control de acceso. El control de acceso roto destronó recientemente a los fallos de inyección como la entrada principal en el OWASP Top 10 2021, y es un fallo grave que requiere las habilidades de los desarrolladores conscientes de la seguridad para encontrar y arreglar lo antes posible.
El curso aborda conceptos como el de mínimo privilegio a nivel de código, y ayuda a inculcar el enfoque de limitar el acceso en las cuentas de usuario sólo a las áreas necesarias como mejor práctica.
Objetivo 3: Identificar y mantener las plataformas de software críticas para la OT y el software desplegado en esas plataformas para proteger el software crítico para la OT de la explotación.
Uno de los mayores retos en las grandes organizaciones es mantener la supervisión de la seguridad en todo el software, los sistemas y los componentes en juego. Cuando se trata de la gestión de riesgos y la aplicación de parches, estos elementos deben ser una prioridad en cualquier programa de seguridad, con los desarrolladores en alerta máxima para realizar el mantenimiento de la seguridad.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos que les ayudarán a identificar y corregir componentes vulnerables, así como la desconfiguración de la seguridad basada en permisos.
Objetivo 4: Detectar, responder y recuperarse rápidamente de las amenazas e incidentes relacionados con el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
Es lamentable (y una pérdida de tiempo y dinero) que muchas organizaciones sigan centrándose en la respuesta a los incidentes -en lugar de la prevención- a la hora de abordar los problemas de ciberseguridad. Esta es una cultura que estamos luchando por cambiar, y los desarrolladores están a la cabeza para proporcionar una potencia de fuego preventiva cuando están debidamente formados en las mejores prácticas de seguridad.
El objetivo 4 requiere que los desarrolladores, en el contexto de su función, supervisen continuamente la seguridad en sus entornos y puntos finales tanto a nivel de software como de red. El registro y la monitorización insuficientes son otro error común e insidioso, y es vital que los ingenieros sean capaces de navegar con éxito en sus tareas diarias.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos para perfeccionar estas habilidades, ya sea trabajando con lenguajes web, de API o de nube.
Conciencia de seguridad con sostenibilidad.
Objetivo 5: Reforzar la comprensión y el rendimiento de las acciones humanas que fomentan la seguridad del software crítico para la Tierra y de las plataformas de software crítico para la Tierra.
Este es bastante generalizado, pero es el más importante de conseguir... y no se puede hacer sin dominar los cuatro primeros objetivos. Esta directriz pide que se lleven a cabo actividades frecuentes de concienciación sobre la seguridad, y que todas las "acciones humanas" sobre el software crítico para la OE sean llevadas a cabo por quienes están adecuadamente formados en el contexto de sus funciones y responsabilidades.
Los desarrolladores se encuentran entre los que están más cerca del código, además de las configuraciones de seguridad y el control de acceso. Sus habilidades de seguridad deben ser alimentadas, y para lograr los altos estándares señalados por el NIST, una estructura de curso práctico podría ser la manera eficiente de abordarlo, especialmente con grandes cohortes de desarrollo.
Empiece hoy mismoa aumentar los puntos de experiencia y el coeficiente de seguridad de su equipo de desarrollo.
Últimamente se han producido algunos movimientos muy positivos en el sector de la ciberseguridad. Parece que el sentimiento de dar prioridad a la seguridad en la construcción de software, tan pronto como sea posible, está empezando a mejorar en muchas organizaciones. Esto, unido a medidas oficiales como la Orden Ejecutiva de Biden sobre ciberseguridad, ha dejado muy claro que todo el mundo tiene que poner de su parte para garantizar la seguridad del software y de los datos. Lo que es especialmente emocionante es que la conversación en torno al papel del desarrollador en el mantenimiento de las normas de codificación segura sigue evolucionando, incluso a nivel gubernamental.
Sin embargo, hay algo que falta en la conversación. La Orden Ejecutiva sugiere que los desarrolladores necesitan habilidades de seguridad verificadas, pero actualmente no existe ninguna certificación oficial de este tipo. Muchas empresas siguen guiándose por el NIST (que proporcionó directrices actualizadas en respuesta a la OE) en su búsqueda del cumplimiento y de normas más estrictas de seguridad del software, pero si pensamos en estrategias para reducir significativamente las vulnerabilidades, al tiempo que incorporamos las herramientas adecuadas y mantenemos la velocidad de lanzamiento, la mayoría son simplemente demasiado genéricas para crear el resultado deseado. Aquí es donde muchas empresas se quedan sin rumbo, perseverando con una formación limitada de los desarrolladores, o no construyendo sobre bases generales para capacitarlos con habilidades prácticas.
Los desarrolladores concienciados con la seguridad no crecen en los árboles, pero se pueden cultivar y elevar mucho más rápido con las herramientas adecuadas. Para ello, nos complace anunciar nuestro propio curso de conformidad con el NIST, estructurado según las directrices de la Orden Ejecutiva del Gobierno de los Estados Unidos.
Apoyo significativo a nivel de código para los desarrolladores
Utilizando las directrices del NIST para el software crítico para las órdenes ejecutivas (EO-critical ), estructuramos el curso para alcanzar los cinco objetivos clave que, en última instancia, mejorarán la seguridad del software vital que se utiliza en los niveles más altos del gobierno, y que idealmente debería actuar como un punto de referencia para un desarrollo de mayor calidad desde el principio.
Para lograr un verdadero avance en una cohorte de desarrollo, cualquier actualización debe ir más allá de la teoría y aplicarse de manera que no dé lugar a un cambio constante de contexto entre el trabajo y la formación para encontrar respuestas y mantenerse ágil. Las prácticas de seguridad meticulosas (por no hablar del equipo de seguridad) se consideran un obstáculo para los sprints de desarrollo a tiempo, y obstaculizan seriamente el estilo del ingeniero medio centrado en las características.
Los microaprendizajes breves y fáciles de aprender que se adaptan a las necesidades de los desarrolladores tienen una acogida mucho menos fría y dan lugar a un desarrollo de habilidades memorable y práctico.
Echa un vistazo a cómo hemos estructurado esto para nuestro curso NIST:
Objetivo 1: Proteger el software crítico para la Tierra y las plataformas de software crítico para la Tierra de accesos y usos no autorizados.
Los atacantes se basan en la desconfiguración de la seguridad y en prácticas de autenticación inadecuadas para infiltrarse con éxito en los sistemas, hacerse con cuentas y robar datos. Son un error común que puede conducir a grandes problemas si se explota con éxito.
En la Secure Code Warrior Learning Platformlos desarrolladores pueden jugar a desafíos basados en fragmentos de código del mundo real que reflejan fielmente cómo aparecerían estos fallos en su trabajo diario, y conseguir que encuentren una solución precisa para asegurarlos. Para los ingenieros de DevOps, asegurar la infraestructura requiere meticulosas configuraciones de control de acceso, y existen retos especializados para cumplir este requisito en lenguajes de Infraestructura como Código (IaC) como Terraform, CloudFormation y Ansible, así como en el código utilizado en Docker y Kubernetes.
Objetivo 2: Proteger la confidencialidad, la integridad y la disponibilidad de los datos utilizados por el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
Para este objetivo, todos los caminos conducen al control de acceso. El control de acceso roto destronó recientemente a los fallos de inyección como la entrada principal en el OWASP Top 10 2021, y es un fallo grave que requiere las habilidades de los desarrolladores conscientes de la seguridad para encontrar y arreglar lo antes posible.
El curso aborda conceptos como el de mínimo privilegio a nivel de código, y ayuda a inculcar el enfoque de limitar el acceso en las cuentas de usuario sólo a las áreas necesarias como mejor práctica.
Objetivo 3: Identificar y mantener las plataformas de software críticas para la OT y el software desplegado en esas plataformas para proteger el software crítico para la OT de la explotación.
Uno de los mayores retos en las grandes organizaciones es mantener la supervisión de la seguridad en todo el software, los sistemas y los componentes en juego. Cuando se trata de la gestión de riesgos y la aplicación de parches, estos elementos deben ser una prioridad en cualquier programa de seguridad, con los desarrolladores en alerta máxima para realizar el mantenimiento de la seguridad.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos que les ayudarán a identificar y corregir componentes vulnerables, así como la desconfiguración de la seguridad basada en permisos.
Objetivo 4: Detectar, responder y recuperarse rápidamente de las amenazas e incidentes relacionados con el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
Es lamentable (y una pérdida de tiempo y dinero) que muchas organizaciones sigan centrándose en la respuesta a los incidentes -en lugar de la prevención- a la hora de abordar los problemas de ciberseguridad. Esta es una cultura que estamos luchando por cambiar, y los desarrolladores están a la cabeza para proporcionar una potencia de fuego preventiva cuando están debidamente formados en las mejores prácticas de seguridad.
El objetivo 4 requiere que los desarrolladores, en el contexto de su función, supervisen continuamente la seguridad en sus entornos y puntos finales tanto a nivel de software como de red. El registro y la monitorización insuficientes son otro error común e insidioso, y es vital que los ingenieros sean capaces de navegar con éxito en sus tareas diarias.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos para perfeccionar estas habilidades, ya sea trabajando con lenguajes web, de API o de nube.
Conciencia de seguridad con sostenibilidad.
Objetivo 5: Reforzar la comprensión y el rendimiento de las acciones humanas que fomentan la seguridad del software crítico para la Tierra y de las plataformas de software crítico para la Tierra.
Este es bastante generalizado, pero es el más importante de conseguir... y no se puede hacer sin dominar los cuatro primeros objetivos. Esta directriz pide que se lleven a cabo actividades frecuentes de concienciación sobre la seguridad, y que todas las "acciones humanas" sobre el software crítico para la OE sean llevadas a cabo por quienes están adecuadamente formados en el contexto de sus funciones y responsabilidades.
Los desarrolladores se encuentran entre los que están más cerca del código, además de las configuraciones de seguridad y el control de acceso. Sus habilidades de seguridad deben ser alimentadas, y para lograr los altos estándares señalados por el NIST, una estructura de curso práctico podría ser la manera eficiente de abordarlo, especialmente con grandes cohortes de desarrollo.
Empiece hoy mismoa aumentar los puntos de experiencia y el coeficiente de seguridad de su equipo de desarrollo.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
Últimamente se han producido algunos movimientos muy positivos en el sector de la ciberseguridad. Parece que el sentimiento de dar prioridad a la seguridad en la construcción de software, tan pronto como sea posible, está empezando a mejorar en muchas organizaciones. Esto, unido a medidas oficiales como la Orden Ejecutiva de Biden sobre ciberseguridad, ha dejado muy claro que todo el mundo tiene que poner de su parte para garantizar la seguridad del software y de los datos. Lo que es especialmente emocionante es que la conversación en torno al papel del desarrollador en el mantenimiento de las normas de codificación segura sigue evolucionando, incluso a nivel gubernamental.
Sin embargo, hay algo que falta en la conversación. La Orden Ejecutiva sugiere que los desarrolladores necesitan habilidades de seguridad verificadas, pero actualmente no existe ninguna certificación oficial de este tipo. Muchas empresas siguen guiándose por el NIST (que proporcionó directrices actualizadas en respuesta a la OE) en su búsqueda del cumplimiento y de normas más estrictas de seguridad del software, pero si pensamos en estrategias para reducir significativamente las vulnerabilidades, al tiempo que incorporamos las herramientas adecuadas y mantenemos la velocidad de lanzamiento, la mayoría son simplemente demasiado genéricas para crear el resultado deseado. Aquí es donde muchas empresas se quedan sin rumbo, perseverando con una formación limitada de los desarrolladores, o no construyendo sobre bases generales para capacitarlos con habilidades prácticas.
Los desarrolladores concienciados con la seguridad no crecen en los árboles, pero se pueden cultivar y elevar mucho más rápido con las herramientas adecuadas. Para ello, nos complace anunciar nuestro propio curso de conformidad con el NIST, estructurado según las directrices de la Orden Ejecutiva del Gobierno de los Estados Unidos.
Apoyo significativo a nivel de código para los desarrolladores
Utilizando las directrices del NIST para el software crítico para las órdenes ejecutivas (EO-critical ), estructuramos el curso para alcanzar los cinco objetivos clave que, en última instancia, mejorarán la seguridad del software vital que se utiliza en los niveles más altos del gobierno, y que idealmente debería actuar como un punto de referencia para un desarrollo de mayor calidad desde el principio.
Para lograr un verdadero avance en una cohorte de desarrollo, cualquier actualización debe ir más allá de la teoría y aplicarse de manera que no dé lugar a un cambio constante de contexto entre el trabajo y la formación para encontrar respuestas y mantenerse ágil. Las prácticas de seguridad meticulosas (por no hablar del equipo de seguridad) se consideran un obstáculo para los sprints de desarrollo a tiempo, y obstaculizan seriamente el estilo del ingeniero medio centrado en las características.
Los microaprendizajes breves y fáciles de aprender que se adaptan a las necesidades de los desarrolladores tienen una acogida mucho menos fría y dan lugar a un desarrollo de habilidades memorable y práctico.
Echa un vistazo a cómo hemos estructurado esto para nuestro curso NIST:
Objetivo 1: Proteger el software crítico para la Tierra y las plataformas de software crítico para la Tierra de accesos y usos no autorizados.
Los atacantes se basan en la desconfiguración de la seguridad y en prácticas de autenticación inadecuadas para infiltrarse con éxito en los sistemas, hacerse con cuentas y robar datos. Son un error común que puede conducir a grandes problemas si se explota con éxito.
En la Secure Code Warrior Learning Platformlos desarrolladores pueden jugar a desafíos basados en fragmentos de código del mundo real que reflejan fielmente cómo aparecerían estos fallos en su trabajo diario, y conseguir que encuentren una solución precisa para asegurarlos. Para los ingenieros de DevOps, asegurar la infraestructura requiere meticulosas configuraciones de control de acceso, y existen retos especializados para cumplir este requisito en lenguajes de Infraestructura como Código (IaC) como Terraform, CloudFormation y Ansible, así como en el código utilizado en Docker y Kubernetes.
Objetivo 2: Proteger la confidencialidad, la integridad y la disponibilidad de los datos utilizados por el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
Para este objetivo, todos los caminos conducen al control de acceso. El control de acceso roto destronó recientemente a los fallos de inyección como la entrada principal en el OWASP Top 10 2021, y es un fallo grave que requiere las habilidades de los desarrolladores conscientes de la seguridad para encontrar y arreglar lo antes posible.
El curso aborda conceptos como el de mínimo privilegio a nivel de código, y ayuda a inculcar el enfoque de limitar el acceso en las cuentas de usuario sólo a las áreas necesarias como mejor práctica.
Objetivo 3: Identificar y mantener las plataformas de software críticas para la OT y el software desplegado en esas plataformas para proteger el software crítico para la OT de la explotación.
Uno de los mayores retos en las grandes organizaciones es mantener la supervisión de la seguridad en todo el software, los sistemas y los componentes en juego. Cuando se trata de la gestión de riesgos y la aplicación de parches, estos elementos deben ser una prioridad en cualquier programa de seguridad, con los desarrolladores en alerta máxima para realizar el mantenimiento de la seguridad.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos que les ayudarán a identificar y corregir componentes vulnerables, así como la desconfiguración de la seguridad basada en permisos.
Objetivo 4: Detectar, responder y recuperarse rápidamente de las amenazas e incidentes relacionados con el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
Es lamentable (y una pérdida de tiempo y dinero) que muchas organizaciones sigan centrándose en la respuesta a los incidentes -en lugar de la prevención- a la hora de abordar los problemas de ciberseguridad. Esta es una cultura que estamos luchando por cambiar, y los desarrolladores están a la cabeza para proporcionar una potencia de fuego preventiva cuando están debidamente formados en las mejores prácticas de seguridad.
El objetivo 4 requiere que los desarrolladores, en el contexto de su función, supervisen continuamente la seguridad en sus entornos y puntos finales tanto a nivel de software como de red. El registro y la monitorización insuficientes son otro error común e insidioso, y es vital que los ingenieros sean capaces de navegar con éxito en sus tareas diarias.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos para perfeccionar estas habilidades, ya sea trabajando con lenguajes web, de API o de nube.
Conciencia de seguridad con sostenibilidad.
Objetivo 5: Reforzar la comprensión y el rendimiento de las acciones humanas que fomentan la seguridad del software crítico para la Tierra y de las plataformas de software crítico para la Tierra.
Este es bastante generalizado, pero es el más importante de conseguir... y no se puede hacer sin dominar los cuatro primeros objetivos. Esta directriz pide que se lleven a cabo actividades frecuentes de concienciación sobre la seguridad, y que todas las "acciones humanas" sobre el software crítico para la OE sean llevadas a cabo por quienes están adecuadamente formados en el contexto de sus funciones y responsabilidades.
Los desarrolladores se encuentran entre los que están más cerca del código, además de las configuraciones de seguridad y el control de acceso. Sus habilidades de seguridad deben ser alimentadas, y para lograr los altos estándares señalados por el NIST, una estructura de curso práctico podría ser la manera eficiente de abordarlo, especialmente con grandes cohortes de desarrollo.
Empiece hoy mismoa aumentar los puntos de experiencia y el coeficiente de seguridad de su equipo de desarrollo.
Índice
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
El poder de la seguridad de aplicaciones OpenText + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
.png)
