Conciencia de seguridad certificada: una orden ejecutiva para mejorar la calidad de los desarrolladores
Si existe el tiempo divino, hay que decir que la Administración de Biden dio en el clavo con su Orden ejecutiva (EO), en el que se aborda el plan del gobierno de los EE. UU. para reforzar las redes federales y mejorar los estándares y las mejores prácticas de ciberseguridad en todo el país. Esta estrategia sigue a dos ciberataques recientes y devastadores: la continua violación de la cadena de suministro de Vientos solares, además del Oleoducto colonial ataque a la infraestructura de gas.
Si bien estos acontecimientos indudablemente causaron repercusiones en todos los niveles del gobierno, esta directiva marca un momento emocionante para la futuro de la ciberseguridad. Parece que por fin nos estamos tomando en serio la protección de nuestra existencia digital desde arriba, y no hay mejor momento que ahora para impulsar mejores estándares y un software de mayor calidad.
La EO aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan verificado habilidades y conciencia de seguridad. Durante años, hemos gritado a los cuatro vientos diciendo que este es el camino a seguir para combatir las vulnerabilidades comunes que tan a menudo nos hacen perder, y que los mandatos gubernamentales se alineen con este enfoque es el camino hacia el éxito generalizado en la ciberdefensa.
¿Cómo deben responder las organizaciones (y los departamentos federales por igual) a esta orden? Analicemos algunas de las categorías principales.
«Tick-the-Box» está descartado.
Hace tiempo que señalamos la ineficacia de la mayoría de los tipos de formación en ciberseguridad para desarrolladores. Con frecuencia es demasiado genérica, no se imparte de manera que atraiga e inspire el resultado deseado (léase: código más seguro) y se aborda con muy poca frecuencia. Y lo que es peor, muchas empresas se contentan con una formación «lista para cumplir», es decir, un enfoque que ofrece lo mínimo y listo para cumplir con un requisito operativo y obtener una marca de verificación junto al nombre del desarrollador. Estas estrategias educativas son las que mantienen a todos los CISO en el filo de la navaja, cruzando los dedos y esperando que su empresa no sea víctima de la próxima brecha de seguridad cibernética. Simplemente no sirven para reducir las vulnerabilidades y crear código de mayor calidad.
En la sección 4 del mandato de Biden, se deja en claro la necesidad de que una organización demuestre que sus desarrolladores muestran un cumplimiento de seguridad documentado y verificado:
»Las directrices deberán incluir criterios que puedan utilizarse para evaluar la seguridad del software, incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras.»
Hay un pequeño problema con eso: actualmente no existe ninguna certificación estándar de la industria específica para desarrolladores. Poder comparar el nivel de habilidades de programación segura de los desarrolladores y trabajar con cursos y evaluaciones para mejorar esas habilidades es fundamental, ya que permite a las empresas establecer objetivos y lograr el cumplimiento. Cuando los desarrolladores pueden demostrar sus competencias básicas en un entorno práctico y práctico, estas pueden evaluarse y certificarse de forma significativa y fiable. Es fundamental para nuestra oferta en Secure Code Warrior, y nos hemos esforzado por crear un sistema que pueda utilizarse para obtener una certificación fiable y que se pueda personalizar según sus requisitos técnicos y organizativos.
Estas habilidades son valiosas y no se pueden automatizar. La certificación puede transformar a los desarrolladores en una fuerza consciente de la seguridad que puede defender el código base contra las amenazas insidiosas.
Un enfoque en las herramientas para desarrolladores (y en las herramientas en general).
Además de las directrices sobre la verificación de las prácticas de codificación seguras, la EO profundiza bastante en el aspecto de la seguridad relacionado con la automatización y las herramientas.
Simplemente se está produciendo demasiado código como para que los humanos lo manejen solos desde una perspectiva de seguridad, y la automatización, como parte de un extenso paquete tecnológico, es una parte importante de todos los programas de seguridad, como debería ser. Sin embargo, no todas las herramientas se crean de la misma manera, y no existe una «herramienta que las gobierne a todas» que detecte todas las vulnerabilidades en todos los lenguajes de programación. Un buen programa de seguridad adopta un enfoque matizado, especialmente cuando se trata de herramientas y servicios dirigidos a los desarrolladores.
La sección 3 de la EO describe las expectativas de los proveedores que crean software que pueda ser utilizado por el gobierno federal, y las pautas instructivas sobre el uso de herramientas en el proceso de desarrollo:
» (iii) emplear herramientas automatizadas, o procesos comparables, para mantener cadenas de suministro de código fuente confiables, garantizando así la integridad del código;
(iv) emplear herramientas automatizadas, o procesos comparables, que comprueben las vulnerabilidades conocidas y potenciales y las corrijan, que deberán funcionar con regularidad o, como mínimo, antes del lanzamiento del producto, la versión o la actualización.»
Las herramientas de seguridad del paquete tecnológico para desarrolladores son una de las formas de mejorar las mejores prácticas de seguridad con rapidez, garantizando que las versiones tengan la mejor oportunidad de cumplir con los plazos y no se vean retrasadas por errores de seguridad y otros problemas espectaculares. Sin embargo, la cuestión es que los desarrolladores seguirán necesitando un aprendizaje contextual para aprovechar al máximo las herramientas más potentes. Es crucial que comprendan qué es lo que se ha marcado, por qué es peligroso y cómo remediarlo, y esto conllevará menos errores a la hora de identificar las herramientas.
Las mejores herramientas se integrarán con el entorno de los desarrolladores, ayudándoles a producir código de mayor calidad (y más seguro) y garantizarán que la seguridad sea una prioridad.
Asegurar la cadena de suministro.
Una de mis partes favoritas de la EO son los planes integrales para asegurar la cadena de suministro de software. Esto no es sorprendente, dado el evento de SolarWinds, pero es un punto culminante importante:
»La seguridad del software utilizado por el Gobierno Federal es vital para la capacidad del Gobierno Federal de desempeñar sus funciones críticas. El desarrollo de software comercial a menudo carece de transparencia, no se centra lo suficiente en la capacidad del software para resistir los ataques y no cuenta con los controles adecuados para evitar que actores malintencionados lo manipulen. Existe una necesidad urgente de implementar mecanismos más rigurosos y predecibles para garantizar que los productos funcionen de manera segura y según lo previsto... el Gobierno Federal debe tomar medidas para mejorar rápidamente la seguridad e integridad de la cadena de suministro de software, dando prioridad a abordar el software crítico.»
Esta decisión afectará a cualquier empresa de software que quiera hacer negocios con el gobierno de los EE. UU., pero debería aplicarse como norma en todas partes. La falta de transparencia por parte de los proveedores externos (por no hablar de los desarrolladores que utilizan componentes de terceros) con respecto a sus medidas de seguridad hace que sea increíblemente difícil evaluar, validar y declarar que se están cumpliendo las mejores prácticas de ciberseguridad. Debemos analizar los proveedores que utilizamos y el software que crean. Estas acciones pueden considerarse un «esfuerzo adicional», pero deberían ser inherentes al estándar de referencia de las mejores prácticas de ciberseguridad.
Enviar código seguro con confianza ha sido un problema en nuestra industria durante mucho tiempo, pero esta es la oportunidad perfecta para evaluar los procesos actuales y liderar el camino hacia una infraestructura de nube y software reforzada, que es la envidia de quienes se quedan atrás. Hable con nosotros ahora y descubra cómo puede aprovechar Cursos, Evaluaciones, y herramientas para desarrolladores para certificar a su próximo equipo de desarrolladores preocupados por la seguridad.
.avif)
La última orden ejecutiva del Gobierno Federal de los EE. UU. aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan conocimientos y habilidades de seguridad comprobados.
Director General, Presidente y Cofundador
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Si existe el tiempo divino, hay que decir que la Administración de Biden dio en el clavo con su Orden ejecutiva (EO), en el que se aborda el plan del gobierno de los EE. UU. para reforzar las redes federales y mejorar los estándares y las mejores prácticas de ciberseguridad en todo el país. Esta estrategia sigue a dos ciberataques recientes y devastadores: la continua violación de la cadena de suministro de Vientos solares, además del Oleoducto colonial ataque a la infraestructura de gas.
Si bien estos acontecimientos indudablemente causaron repercusiones en todos los niveles del gobierno, esta directiva marca un momento emocionante para la futuro de la ciberseguridad. Parece que por fin nos estamos tomando en serio la protección de nuestra existencia digital desde arriba, y no hay mejor momento que ahora para impulsar mejores estándares y un software de mayor calidad.
La EO aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan verificado habilidades y conciencia de seguridad. Durante años, hemos gritado a los cuatro vientos diciendo que este es el camino a seguir para combatir las vulnerabilidades comunes que tan a menudo nos hacen perder, y que los mandatos gubernamentales se alineen con este enfoque es el camino hacia el éxito generalizado en la ciberdefensa.
¿Cómo deben responder las organizaciones (y los departamentos federales por igual) a esta orden? Analicemos algunas de las categorías principales.
«Tick-the-Box» está descartado.
Hace tiempo que señalamos la ineficacia de la mayoría de los tipos de formación en ciberseguridad para desarrolladores. Con frecuencia es demasiado genérica, no se imparte de manera que atraiga e inspire el resultado deseado (léase: código más seguro) y se aborda con muy poca frecuencia. Y lo que es peor, muchas empresas se contentan con una formación «lista para cumplir», es decir, un enfoque que ofrece lo mínimo y listo para cumplir con un requisito operativo y obtener una marca de verificación junto al nombre del desarrollador. Estas estrategias educativas son las que mantienen a todos los CISO en el filo de la navaja, cruzando los dedos y esperando que su empresa no sea víctima de la próxima brecha de seguridad cibernética. Simplemente no sirven para reducir las vulnerabilidades y crear código de mayor calidad.
En la sección 4 del mandato de Biden, se deja en claro la necesidad de que una organización demuestre que sus desarrolladores muestran un cumplimiento de seguridad documentado y verificado:
»Las directrices deberán incluir criterios que puedan utilizarse para evaluar la seguridad del software, incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras.»
Hay un pequeño problema con eso: actualmente no existe ninguna certificación estándar de la industria específica para desarrolladores. Poder comparar el nivel de habilidades de programación segura de los desarrolladores y trabajar con cursos y evaluaciones para mejorar esas habilidades es fundamental, ya que permite a las empresas establecer objetivos y lograr el cumplimiento. Cuando los desarrolladores pueden demostrar sus competencias básicas en un entorno práctico y práctico, estas pueden evaluarse y certificarse de forma significativa y fiable. Es fundamental para nuestra oferta en Secure Code Warrior, y nos hemos esforzado por crear un sistema que pueda utilizarse para obtener una certificación fiable y que se pueda personalizar según sus requisitos técnicos y organizativos.
Estas habilidades son valiosas y no se pueden automatizar. La certificación puede transformar a los desarrolladores en una fuerza consciente de la seguridad que puede defender el código base contra las amenazas insidiosas.
Un enfoque en las herramientas para desarrolladores (y en las herramientas en general).
Además de las directrices sobre la verificación de las prácticas de codificación seguras, la EO profundiza bastante en el aspecto de la seguridad relacionado con la automatización y las herramientas.
Simplemente se está produciendo demasiado código como para que los humanos lo manejen solos desde una perspectiva de seguridad, y la automatización, como parte de un extenso paquete tecnológico, es una parte importante de todos los programas de seguridad, como debería ser. Sin embargo, no todas las herramientas se crean de la misma manera, y no existe una «herramienta que las gobierne a todas» que detecte todas las vulnerabilidades en todos los lenguajes de programación. Un buen programa de seguridad adopta un enfoque matizado, especialmente cuando se trata de herramientas y servicios dirigidos a los desarrolladores.
La sección 3 de la EO describe las expectativas de los proveedores que crean software que pueda ser utilizado por el gobierno federal, y las pautas instructivas sobre el uso de herramientas en el proceso de desarrollo:
» (iii) emplear herramientas automatizadas, o procesos comparables, para mantener cadenas de suministro de código fuente confiables, garantizando así la integridad del código;
(iv) emplear herramientas automatizadas, o procesos comparables, que comprueben las vulnerabilidades conocidas y potenciales y las corrijan, que deberán funcionar con regularidad o, como mínimo, antes del lanzamiento del producto, la versión o la actualización.»
Las herramientas de seguridad del paquete tecnológico para desarrolladores son una de las formas de mejorar las mejores prácticas de seguridad con rapidez, garantizando que las versiones tengan la mejor oportunidad de cumplir con los plazos y no se vean retrasadas por errores de seguridad y otros problemas espectaculares. Sin embargo, la cuestión es que los desarrolladores seguirán necesitando un aprendizaje contextual para aprovechar al máximo las herramientas más potentes. Es crucial que comprendan qué es lo que se ha marcado, por qué es peligroso y cómo remediarlo, y esto conllevará menos errores a la hora de identificar las herramientas.
Las mejores herramientas se integrarán con el entorno de los desarrolladores, ayudándoles a producir código de mayor calidad (y más seguro) y garantizarán que la seguridad sea una prioridad.
Asegurar la cadena de suministro.
Una de mis partes favoritas de la EO son los planes integrales para asegurar la cadena de suministro de software. Esto no es sorprendente, dado el evento de SolarWinds, pero es un punto culminante importante:
»La seguridad del software utilizado por el Gobierno Federal es vital para la capacidad del Gobierno Federal de desempeñar sus funciones críticas. El desarrollo de software comercial a menudo carece de transparencia, no se centra lo suficiente en la capacidad del software para resistir los ataques y no cuenta con los controles adecuados para evitar que actores malintencionados lo manipulen. Existe una necesidad urgente de implementar mecanismos más rigurosos y predecibles para garantizar que los productos funcionen de manera segura y según lo previsto... el Gobierno Federal debe tomar medidas para mejorar rápidamente la seguridad e integridad de la cadena de suministro de software, dando prioridad a abordar el software crítico.»
Esta decisión afectará a cualquier empresa de software que quiera hacer negocios con el gobierno de los EE. UU., pero debería aplicarse como norma en todas partes. La falta de transparencia por parte de los proveedores externos (por no hablar de los desarrolladores que utilizan componentes de terceros) con respecto a sus medidas de seguridad hace que sea increíblemente difícil evaluar, validar y declarar que se están cumpliendo las mejores prácticas de ciberseguridad. Debemos analizar los proveedores que utilizamos y el software que crean. Estas acciones pueden considerarse un «esfuerzo adicional», pero deberían ser inherentes al estándar de referencia de las mejores prácticas de ciberseguridad.
Enviar código seguro con confianza ha sido un problema en nuestra industria durante mucho tiempo, pero esta es la oportunidad perfecta para evaluar los procesos actuales y liderar el camino hacia una infraestructura de nube y software reforzada, que es la envidia de quienes se quedan atrás. Hable con nosotros ahora y descubra cómo puede aprovechar Cursos, Evaluaciones, y herramientas para desarrolladores para certificar a su próximo equipo de desarrolladores preocupados por la seguridad.
Si existe el tiempo divino, hay que decir que la Administración de Biden dio en el clavo con su Orden ejecutiva (EO), en el que se aborda el plan del gobierno de los EE. UU. para reforzar las redes federales y mejorar los estándares y las mejores prácticas de ciberseguridad en todo el país. Esta estrategia sigue a dos ciberataques recientes y devastadores: la continua violación de la cadena de suministro de Vientos solares, además del Oleoducto colonial ataque a la infraestructura de gas.
Si bien estos acontecimientos indudablemente causaron repercusiones en todos los niveles del gobierno, esta directiva marca un momento emocionante para la futuro de la ciberseguridad. Parece que por fin nos estamos tomando en serio la protección de nuestra existencia digital desde arriba, y no hay mejor momento que ahora para impulsar mejores estándares y un software de mayor calidad.
La EO aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan verificado habilidades y conciencia de seguridad. Durante años, hemos gritado a los cuatro vientos diciendo que este es el camino a seguir para combatir las vulnerabilidades comunes que tan a menudo nos hacen perder, y que los mandatos gubernamentales se alineen con este enfoque es el camino hacia el éxito generalizado en la ciberdefensa.
¿Cómo deben responder las organizaciones (y los departamentos federales por igual) a esta orden? Analicemos algunas de las categorías principales.
«Tick-the-Box» está descartado.
Hace tiempo que señalamos la ineficacia de la mayoría de los tipos de formación en ciberseguridad para desarrolladores. Con frecuencia es demasiado genérica, no se imparte de manera que atraiga e inspire el resultado deseado (léase: código más seguro) y se aborda con muy poca frecuencia. Y lo que es peor, muchas empresas se contentan con una formación «lista para cumplir», es decir, un enfoque que ofrece lo mínimo y listo para cumplir con un requisito operativo y obtener una marca de verificación junto al nombre del desarrollador. Estas estrategias educativas son las que mantienen a todos los CISO en el filo de la navaja, cruzando los dedos y esperando que su empresa no sea víctima de la próxima brecha de seguridad cibernética. Simplemente no sirven para reducir las vulnerabilidades y crear código de mayor calidad.
En la sección 4 del mandato de Biden, se deja en claro la necesidad de que una organización demuestre que sus desarrolladores muestran un cumplimiento de seguridad documentado y verificado:
»Las directrices deberán incluir criterios que puedan utilizarse para evaluar la seguridad del software, incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras.»
Hay un pequeño problema con eso: actualmente no existe ninguna certificación estándar de la industria específica para desarrolladores. Poder comparar el nivel de habilidades de programación segura de los desarrolladores y trabajar con cursos y evaluaciones para mejorar esas habilidades es fundamental, ya que permite a las empresas establecer objetivos y lograr el cumplimiento. Cuando los desarrolladores pueden demostrar sus competencias básicas en un entorno práctico y práctico, estas pueden evaluarse y certificarse de forma significativa y fiable. Es fundamental para nuestra oferta en Secure Code Warrior, y nos hemos esforzado por crear un sistema que pueda utilizarse para obtener una certificación fiable y que se pueda personalizar según sus requisitos técnicos y organizativos.
Estas habilidades son valiosas y no se pueden automatizar. La certificación puede transformar a los desarrolladores en una fuerza consciente de la seguridad que puede defender el código base contra las amenazas insidiosas.
Un enfoque en las herramientas para desarrolladores (y en las herramientas en general).
Además de las directrices sobre la verificación de las prácticas de codificación seguras, la EO profundiza bastante en el aspecto de la seguridad relacionado con la automatización y las herramientas.
Simplemente se está produciendo demasiado código como para que los humanos lo manejen solos desde una perspectiva de seguridad, y la automatización, como parte de un extenso paquete tecnológico, es una parte importante de todos los programas de seguridad, como debería ser. Sin embargo, no todas las herramientas se crean de la misma manera, y no existe una «herramienta que las gobierne a todas» que detecte todas las vulnerabilidades en todos los lenguajes de programación. Un buen programa de seguridad adopta un enfoque matizado, especialmente cuando se trata de herramientas y servicios dirigidos a los desarrolladores.
La sección 3 de la EO describe las expectativas de los proveedores que crean software que pueda ser utilizado por el gobierno federal, y las pautas instructivas sobre el uso de herramientas en el proceso de desarrollo:
» (iii) emplear herramientas automatizadas, o procesos comparables, para mantener cadenas de suministro de código fuente confiables, garantizando así la integridad del código;
(iv) emplear herramientas automatizadas, o procesos comparables, que comprueben las vulnerabilidades conocidas y potenciales y las corrijan, que deberán funcionar con regularidad o, como mínimo, antes del lanzamiento del producto, la versión o la actualización.»
Las herramientas de seguridad del paquete tecnológico para desarrolladores son una de las formas de mejorar las mejores prácticas de seguridad con rapidez, garantizando que las versiones tengan la mejor oportunidad de cumplir con los plazos y no se vean retrasadas por errores de seguridad y otros problemas espectaculares. Sin embargo, la cuestión es que los desarrolladores seguirán necesitando un aprendizaje contextual para aprovechar al máximo las herramientas más potentes. Es crucial que comprendan qué es lo que se ha marcado, por qué es peligroso y cómo remediarlo, y esto conllevará menos errores a la hora de identificar las herramientas.
Las mejores herramientas se integrarán con el entorno de los desarrolladores, ayudándoles a producir código de mayor calidad (y más seguro) y garantizarán que la seguridad sea una prioridad.
Asegurar la cadena de suministro.
Una de mis partes favoritas de la EO son los planes integrales para asegurar la cadena de suministro de software. Esto no es sorprendente, dado el evento de SolarWinds, pero es un punto culminante importante:
»La seguridad del software utilizado por el Gobierno Federal es vital para la capacidad del Gobierno Federal de desempeñar sus funciones críticas. El desarrollo de software comercial a menudo carece de transparencia, no se centra lo suficiente en la capacidad del software para resistir los ataques y no cuenta con los controles adecuados para evitar que actores malintencionados lo manipulen. Existe una necesidad urgente de implementar mecanismos más rigurosos y predecibles para garantizar que los productos funcionen de manera segura y según lo previsto... el Gobierno Federal debe tomar medidas para mejorar rápidamente la seguridad e integridad de la cadena de suministro de software, dando prioridad a abordar el software crítico.»
Esta decisión afectará a cualquier empresa de software que quiera hacer negocios con el gobierno de los EE. UU., pero debería aplicarse como norma en todas partes. La falta de transparencia por parte de los proveedores externos (por no hablar de los desarrolladores que utilizan componentes de terceros) con respecto a sus medidas de seguridad hace que sea increíblemente difícil evaluar, validar y declarar que se están cumpliendo las mejores prácticas de ciberseguridad. Debemos analizar los proveedores que utilizamos y el software que crean. Estas acciones pueden considerarse un «esfuerzo adicional», pero deberían ser inherentes al estándar de referencia de las mejores prácticas de ciberseguridad.
Enviar código seguro con confianza ha sido un problema en nuestra industria durante mucho tiempo, pero esta es la oportunidad perfecta para evaluar los procesos actuales y liderar el camino hacia una infraestructura de nube y software reforzada, que es la envidia de quienes se quedan atrás. Hable con nosotros ahora y descubra cómo puede aprovechar Cursos, Evaluaciones, y herramientas para desarrolladores para certificar a su próximo equipo de desarrolladores preocupados por la seguridad.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Si existe el tiempo divino, hay que decir que la Administración de Biden dio en el clavo con su Orden ejecutiva (EO), en el que se aborda el plan del gobierno de los EE. UU. para reforzar las redes federales y mejorar los estándares y las mejores prácticas de ciberseguridad en todo el país. Esta estrategia sigue a dos ciberataques recientes y devastadores: la continua violación de la cadena de suministro de Vientos solares, además del Oleoducto colonial ataque a la infraestructura de gas.
Si bien estos acontecimientos indudablemente causaron repercusiones en todos los niveles del gobierno, esta directiva marca un momento emocionante para la futuro de la ciberseguridad. Parece que por fin nos estamos tomando en serio la protección de nuestra existencia digital desde arriba, y no hay mejor momento que ahora para impulsar mejores estándares y un software de mayor calidad.
La EO aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan verificado habilidades y conciencia de seguridad. Durante años, hemos gritado a los cuatro vientos diciendo que este es el camino a seguir para combatir las vulnerabilidades comunes que tan a menudo nos hacen perder, y que los mandatos gubernamentales se alineen con este enfoque es el camino hacia el éxito generalizado en la ciberdefensa.
¿Cómo deben responder las organizaciones (y los departamentos federales por igual) a esta orden? Analicemos algunas de las categorías principales.
«Tick-the-Box» está descartado.
Hace tiempo que señalamos la ineficacia de la mayoría de los tipos de formación en ciberseguridad para desarrolladores. Con frecuencia es demasiado genérica, no se imparte de manera que atraiga e inspire el resultado deseado (léase: código más seguro) y se aborda con muy poca frecuencia. Y lo que es peor, muchas empresas se contentan con una formación «lista para cumplir», es decir, un enfoque que ofrece lo mínimo y listo para cumplir con un requisito operativo y obtener una marca de verificación junto al nombre del desarrollador. Estas estrategias educativas son las que mantienen a todos los CISO en el filo de la navaja, cruzando los dedos y esperando que su empresa no sea víctima de la próxima brecha de seguridad cibernética. Simplemente no sirven para reducir las vulnerabilidades y crear código de mayor calidad.
En la sección 4 del mandato de Biden, se deja en claro la necesidad de que una organización demuestre que sus desarrolladores muestran un cumplimiento de seguridad documentado y verificado:
»Las directrices deberán incluir criterios que puedan utilizarse para evaluar la seguridad del software, incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras.»
Hay un pequeño problema con eso: actualmente no existe ninguna certificación estándar de la industria específica para desarrolladores. Poder comparar el nivel de habilidades de programación segura de los desarrolladores y trabajar con cursos y evaluaciones para mejorar esas habilidades es fundamental, ya que permite a las empresas establecer objetivos y lograr el cumplimiento. Cuando los desarrolladores pueden demostrar sus competencias básicas en un entorno práctico y práctico, estas pueden evaluarse y certificarse de forma significativa y fiable. Es fundamental para nuestra oferta en Secure Code Warrior, y nos hemos esforzado por crear un sistema que pueda utilizarse para obtener una certificación fiable y que se pueda personalizar según sus requisitos técnicos y organizativos.
Estas habilidades son valiosas y no se pueden automatizar. La certificación puede transformar a los desarrolladores en una fuerza consciente de la seguridad que puede defender el código base contra las amenazas insidiosas.
Un enfoque en las herramientas para desarrolladores (y en las herramientas en general).
Además de las directrices sobre la verificación de las prácticas de codificación seguras, la EO profundiza bastante en el aspecto de la seguridad relacionado con la automatización y las herramientas.
Simplemente se está produciendo demasiado código como para que los humanos lo manejen solos desde una perspectiva de seguridad, y la automatización, como parte de un extenso paquete tecnológico, es una parte importante de todos los programas de seguridad, como debería ser. Sin embargo, no todas las herramientas se crean de la misma manera, y no existe una «herramienta que las gobierne a todas» que detecte todas las vulnerabilidades en todos los lenguajes de programación. Un buen programa de seguridad adopta un enfoque matizado, especialmente cuando se trata de herramientas y servicios dirigidos a los desarrolladores.
La sección 3 de la EO describe las expectativas de los proveedores que crean software que pueda ser utilizado por el gobierno federal, y las pautas instructivas sobre el uso de herramientas en el proceso de desarrollo:
» (iii) emplear herramientas automatizadas, o procesos comparables, para mantener cadenas de suministro de código fuente confiables, garantizando así la integridad del código;
(iv) emplear herramientas automatizadas, o procesos comparables, que comprueben las vulnerabilidades conocidas y potenciales y las corrijan, que deberán funcionar con regularidad o, como mínimo, antes del lanzamiento del producto, la versión o la actualización.»
Las herramientas de seguridad del paquete tecnológico para desarrolladores son una de las formas de mejorar las mejores prácticas de seguridad con rapidez, garantizando que las versiones tengan la mejor oportunidad de cumplir con los plazos y no se vean retrasadas por errores de seguridad y otros problemas espectaculares. Sin embargo, la cuestión es que los desarrolladores seguirán necesitando un aprendizaje contextual para aprovechar al máximo las herramientas más potentes. Es crucial que comprendan qué es lo que se ha marcado, por qué es peligroso y cómo remediarlo, y esto conllevará menos errores a la hora de identificar las herramientas.
Las mejores herramientas se integrarán con el entorno de los desarrolladores, ayudándoles a producir código de mayor calidad (y más seguro) y garantizarán que la seguridad sea una prioridad.
Asegurar la cadena de suministro.
Una de mis partes favoritas de la EO son los planes integrales para asegurar la cadena de suministro de software. Esto no es sorprendente, dado el evento de SolarWinds, pero es un punto culminante importante:
»La seguridad del software utilizado por el Gobierno Federal es vital para la capacidad del Gobierno Federal de desempeñar sus funciones críticas. El desarrollo de software comercial a menudo carece de transparencia, no se centra lo suficiente en la capacidad del software para resistir los ataques y no cuenta con los controles adecuados para evitar que actores malintencionados lo manipulen. Existe una necesidad urgente de implementar mecanismos más rigurosos y predecibles para garantizar que los productos funcionen de manera segura y según lo previsto... el Gobierno Federal debe tomar medidas para mejorar rápidamente la seguridad e integridad de la cadena de suministro de software, dando prioridad a abordar el software crítico.»
Esta decisión afectará a cualquier empresa de software que quiera hacer negocios con el gobierno de los EE. UU., pero debería aplicarse como norma en todas partes. La falta de transparencia por parte de los proveedores externos (por no hablar de los desarrolladores que utilizan componentes de terceros) con respecto a sus medidas de seguridad hace que sea increíblemente difícil evaluar, validar y declarar que se están cumpliendo las mejores prácticas de ciberseguridad. Debemos analizar los proveedores que utilizamos y el software que crean. Estas acciones pueden considerarse un «esfuerzo adicional», pero deberían ser inherentes al estándar de referencia de las mejores prácticas de ciberseguridad.
Enviar código seguro con confianza ha sido un problema en nuestra industria durante mucho tiempo, pero esta es la oportunidad perfecta para evaluar los procesos actuales y liderar el camino hacia una infraestructura de nube y software reforzada, que es la envidia de quienes se quedan atrás. Hable con nosotros ahora y descubra cómo puede aprovechar Cursos, Evaluaciones, y herramientas para desarrolladores para certificar a su próximo equipo de desarrolladores preocupados por la seguridad.
Tabla de contenido
Director General, Presidente y Cofundador
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El habilitador 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
