Convertir el aburrido cumplimiento del PCI-DSS en un ejercicio significativo para todos: Parte 1 - AppSec
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
Tabla de contenido
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El habilitador 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
