Golpea primero, ataca con fuerza: por qué los cursos de codificación segura seleccionados no tienen piedad con las ciberamenazas
Existe una verdad algo incómoda, que los gobiernos, las grandes corporaciones e incluso algunos líderes de la industria tienden a pasar por alto: como sociedad, estamos en una batalla constante contra las ciberamenazas y actualmente estamos en el bando perdedor. ¿Cómo sabemos esto? Estas estadísticas cuentan una historia aleccionadora:
- Se estima que la ciberdelincuencia tiene un costo global de 6 billones de dólares de aquí a 2021
- Se produce un ciberataque cada 39 segundos
- El 24% de las filtraciones de datos son causados por un error humano
- Un alarmante 77% de las organizaciones no tener un plan de respuesta a incidentes de ciberseguridad que se amplía en toda la empresa y se aplica de manera uniforme entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una escasez crítica de personal; es poco probable que se llene la brecha de habilidades y no hay ningún ejército secreto de AppSec que venga a rescatarnos. Lo sabemos desde hace años y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una buena defensa, y podemos atacar primero si tenemos un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos hacen creer. Tenemos un as bajo la manga y el clima de ciberseguridad nos presenta una oportunidad de oro. No necesita buscar más allá de sus equipos de desarrollo internos para encontrar al personal que vendrá a rescatar a la organización, pero su programa de seguridad debe respaldar su trayectoria para convertirse en ingenieros conscientes de la seguridad que estén preparados para compartir la responsabilidad de programar de forma segura.
Cualquier entrenamiento antiguo no servirá - ya lo hemos dicho lo suficiente, pero incluso la formación adecuada que involucre, desarrolle conocimientos contextuales y ayude a los desarrolladores a disfrutar de la seguridad podría ser mucho más eficaz si tan solo estuviera más adaptada a las necesidades de la empresa, las amenazas a las que se enfrenta y los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos seguros.
Y ahí es donde nuestras funciones más recientes, Cursos, entra en juego. Por cierto, si tienes la referencia en el título, oficialmente eres viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: desarrolle la defensa, refuerce las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones en vídeo genéricos y secos, y esperar que florezca la pasión por la programación segura). Sin embargo, incluso con un aprendizaje competitivo diseñado para adaptarse a la mentalidad de los desarrolladores, es posible que el contenido sea un poco más amplio de lo que se necesita para cumplir con los requisitos particulares de una organización.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario. Personalice los programas para que se adapten a los equipos de frontend, a los ingenieros de nube, etc., con la capacidad de analizar en profundidad las vulnerabilidades más importantes, en los lenguajes y marcos que sean relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de una conciencia precisa sobre los problemas que representan un mayor riesgo.
Personalice un curso para garantizar el cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una base excelente sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad despierta un sentimiento de orgullo y responsabilidad en los desarrolladores, en lugar de quejarse y ponerse la palma de la cara.
Como punto de partida, es una muy buena idea poner a todos al día con el Top 10 de OWASP, pero para alcanzar realmente nuevos niveles de cumplimiento relevantes para la industria, puedes diseñar un curso personalizado en torno a los requisitos de las normativas específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con la Pautas de PCI-DSS que rigen las aplicaciones de procesamiento de pagos y tarjetas. Hay mucho en juego cuando te encargas de procesar y almacenar información confidencial, como los números de tarjetas de crédito, y conseguir la máxima especificidad con el aprendizaje de los desarrolladores evita el ruido, proporciona la formación adecuada en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza los cursos en sus equipos:
«Los cursos son una gran solución para nuestros ingenieros. Con la nueva función, que agrupa la ruta de aprendizaje, los vídeos y los puntos de control en un módulo personalizable, podemos diseñar el contenido en función de lo que necesitamos en cada momento. Las capacidades de cumplimiento y la flexibilidad brindan una oportunidad aún mejor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca».
Y recuerde, puede que se trate de una formación sobre cumplimiento curada, pero aun así se ofrece como una experiencia de aprendizaje pequeña, contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La educación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps, hay muchos platos que hacer girar. El tiempo reservado para la formación debe utilizarse con prudencia, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al seleccionar un curso personalizado que sea muy relevante, respetas el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, trabajas para lograr una reducción mensurable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas e ingenieros de AppSec suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con los cursos puede permitir a ambas partes ponerse de acuerdo con las prácticas recomendadas de seguridad. No cabe duda de que los desarrolladores apreciarán que el equipo de AppSec les dé la posibilidad de centrarse en las soluciones, ya que minimiza la carga que tienen que soportar y les ayuda a crear un estándar de código más elevado.
Elimine las debilidades, amplíe la higiene de seguridad a nivel empresarial
Todos somos humanos y, lamentablemente, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, pero son asombrosamente comunes. Los de Symantec Informe sobre amenazas a la seguridad en Internet de 2019 confirmó que se robaron más de 70 millones de registros como resultado de la mala configuración de los cubos S3. Los errores de configuración de seguridad son una de las principales causas de las filtraciones de datos, y la causa principal son los errores humanos alrededor de una cuarta parte de ellos.
Estos problemas ocurren por varias razones, pero la falta de conciencia y capacitación en materia de seguridad es un factor importante para que los atacantes puedan aprovechar las pequeñas oportunidades. Para lograr una higiene de seguridad escalable que tenga un impacto positivo, debe contar con un curso personalizado para su empresa. No muestres piedad con tus enemigos y elimina cualquier oportunidad que tengan para causar el mayor dolor de cabeza que puedas encontrar.
Ya estamos viendo un impacto sorprendente en nuestros clientes, incluido este proveedor líder de SaaS de contabilidad basado en la nube:
«La ruta de aprendizaje personalizada de los cursos ha supuesto un punto de inflexión. La especificidad de los lenguajes de programación y las vulnerabilidades proporcionan más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro».
Prepárate para DevSec. Obtenga más información sobre la nueva función de cursos de Secure Code Warrior aquí.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Existe una verdad algo incómoda, que los gobiernos, las grandes corporaciones e incluso algunos líderes de la industria tienden a pasar por alto: como sociedad, estamos en una batalla constante contra las ciberamenazas y actualmente estamos en el bando perdedor. ¿Cómo sabemos esto? Estas estadísticas cuentan una historia aleccionadora:
- Se estima que la ciberdelincuencia tiene un costo global de 6 billones de dólares de aquí a 2021
- Se produce un ciberataque cada 39 segundos
- El 24% de las filtraciones de datos son causados por un error humano
- Un alarmante 77% de las organizaciones no tener un plan de respuesta a incidentes de ciberseguridad que se amplía en toda la empresa y se aplica de manera uniforme entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una escasez crítica de personal; es poco probable que se llene la brecha de habilidades y no hay ningún ejército secreto de AppSec que venga a rescatarnos. Lo sabemos desde hace años y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una buena defensa, y podemos atacar primero si tenemos un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos hacen creer. Tenemos un as bajo la manga y el clima de ciberseguridad nos presenta una oportunidad de oro. No necesita buscar más allá de sus equipos de desarrollo internos para encontrar al personal que vendrá a rescatar a la organización, pero su programa de seguridad debe respaldar su trayectoria para convertirse en ingenieros conscientes de la seguridad que estén preparados para compartir la responsabilidad de programar de forma segura.
Cualquier entrenamiento antiguo no servirá - ya lo hemos dicho lo suficiente, pero incluso la formación adecuada que involucre, desarrolle conocimientos contextuales y ayude a los desarrolladores a disfrutar de la seguridad podría ser mucho más eficaz si tan solo estuviera más adaptada a las necesidades de la empresa, las amenazas a las que se enfrenta y los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos seguros.
Y ahí es donde nuestras funciones más recientes, Cursos, entra en juego. Por cierto, si tienes la referencia en el título, oficialmente eres viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: desarrolle la defensa, refuerce las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones en vídeo genéricos y secos, y esperar que florezca la pasión por la programación segura). Sin embargo, incluso con un aprendizaje competitivo diseñado para adaptarse a la mentalidad de los desarrolladores, es posible que el contenido sea un poco más amplio de lo que se necesita para cumplir con los requisitos particulares de una organización.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario. Personalice los programas para que se adapten a los equipos de frontend, a los ingenieros de nube, etc., con la capacidad de analizar en profundidad las vulnerabilidades más importantes, en los lenguajes y marcos que sean relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de una conciencia precisa sobre los problemas que representan un mayor riesgo.
Personalice un curso para garantizar el cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una base excelente sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad despierta un sentimiento de orgullo y responsabilidad en los desarrolladores, en lugar de quejarse y ponerse la palma de la cara.
Como punto de partida, es una muy buena idea poner a todos al día con el Top 10 de OWASP, pero para alcanzar realmente nuevos niveles de cumplimiento relevantes para la industria, puedes diseñar un curso personalizado en torno a los requisitos de las normativas específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con la Pautas de PCI-DSS que rigen las aplicaciones de procesamiento de pagos y tarjetas. Hay mucho en juego cuando te encargas de procesar y almacenar información confidencial, como los números de tarjetas de crédito, y conseguir la máxima especificidad con el aprendizaje de los desarrolladores evita el ruido, proporciona la formación adecuada en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza los cursos en sus equipos:
«Los cursos son una gran solución para nuestros ingenieros. Con la nueva función, que agrupa la ruta de aprendizaje, los vídeos y los puntos de control en un módulo personalizable, podemos diseñar el contenido en función de lo que necesitamos en cada momento. Las capacidades de cumplimiento y la flexibilidad brindan una oportunidad aún mejor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca».
Y recuerde, puede que se trate de una formación sobre cumplimiento curada, pero aun así se ofrece como una experiencia de aprendizaje pequeña, contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La educación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps, hay muchos platos que hacer girar. El tiempo reservado para la formación debe utilizarse con prudencia, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al seleccionar un curso personalizado que sea muy relevante, respetas el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, trabajas para lograr una reducción mensurable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas e ingenieros de AppSec suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con los cursos puede permitir a ambas partes ponerse de acuerdo con las prácticas recomendadas de seguridad. No cabe duda de que los desarrolladores apreciarán que el equipo de AppSec les dé la posibilidad de centrarse en las soluciones, ya que minimiza la carga que tienen que soportar y les ayuda a crear un estándar de código más elevado.
Elimine las debilidades, amplíe la higiene de seguridad a nivel empresarial
Todos somos humanos y, lamentablemente, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, pero son asombrosamente comunes. Los de Symantec Informe sobre amenazas a la seguridad en Internet de 2019 confirmó que se robaron más de 70 millones de registros como resultado de la mala configuración de los cubos S3. Los errores de configuración de seguridad son una de las principales causas de las filtraciones de datos, y la causa principal son los errores humanos alrededor de una cuarta parte de ellos.
Estos problemas ocurren por varias razones, pero la falta de conciencia y capacitación en materia de seguridad es un factor importante para que los atacantes puedan aprovechar las pequeñas oportunidades. Para lograr una higiene de seguridad escalable que tenga un impacto positivo, debe contar con un curso personalizado para su empresa. No muestres piedad con tus enemigos y elimina cualquier oportunidad que tengan para causar el mayor dolor de cabeza que puedas encontrar.
Ya estamos viendo un impacto sorprendente en nuestros clientes, incluido este proveedor líder de SaaS de contabilidad basado en la nube:
«La ruta de aprendizaje personalizada de los cursos ha supuesto un punto de inflexión. La especificidad de los lenguajes de programación y las vulnerabilidades proporcionan más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro».
Prepárate para DevSec. Obtenga más información sobre la nueva función de cursos de Secure Code Warrior aquí.
Existe una verdad algo incómoda, que los gobiernos, las grandes corporaciones e incluso algunos líderes de la industria tienden a pasar por alto: como sociedad, estamos en una batalla constante contra las ciberamenazas y actualmente estamos en el bando perdedor. ¿Cómo sabemos esto? Estas estadísticas cuentan una historia aleccionadora:
- Se estima que la ciberdelincuencia tiene un costo global de 6 billones de dólares de aquí a 2021
- Se produce un ciberataque cada 39 segundos
- El 24% de las filtraciones de datos son causados por un error humano
- Un alarmante 77% de las organizaciones no tener un plan de respuesta a incidentes de ciberseguridad que se amplía en toda la empresa y se aplica de manera uniforme entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una escasez crítica de personal; es poco probable que se llene la brecha de habilidades y no hay ningún ejército secreto de AppSec que venga a rescatarnos. Lo sabemos desde hace años y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una buena defensa, y podemos atacar primero si tenemos un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos hacen creer. Tenemos un as bajo la manga y el clima de ciberseguridad nos presenta una oportunidad de oro. No necesita buscar más allá de sus equipos de desarrollo internos para encontrar al personal que vendrá a rescatar a la organización, pero su programa de seguridad debe respaldar su trayectoria para convertirse en ingenieros conscientes de la seguridad que estén preparados para compartir la responsabilidad de programar de forma segura.
Cualquier entrenamiento antiguo no servirá - ya lo hemos dicho lo suficiente, pero incluso la formación adecuada que involucre, desarrolle conocimientos contextuales y ayude a los desarrolladores a disfrutar de la seguridad podría ser mucho más eficaz si tan solo estuviera más adaptada a las necesidades de la empresa, las amenazas a las que se enfrenta y los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos seguros.
Y ahí es donde nuestras funciones más recientes, Cursos, entra en juego. Por cierto, si tienes la referencia en el título, oficialmente eres viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: desarrolle la defensa, refuerce las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones en vídeo genéricos y secos, y esperar que florezca la pasión por la programación segura). Sin embargo, incluso con un aprendizaje competitivo diseñado para adaptarse a la mentalidad de los desarrolladores, es posible que el contenido sea un poco más amplio de lo que se necesita para cumplir con los requisitos particulares de una organización.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario. Personalice los programas para que se adapten a los equipos de frontend, a los ingenieros de nube, etc., con la capacidad de analizar en profundidad las vulnerabilidades más importantes, en los lenguajes y marcos que sean relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de una conciencia precisa sobre los problemas que representan un mayor riesgo.
Personalice un curso para garantizar el cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una base excelente sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad despierta un sentimiento de orgullo y responsabilidad en los desarrolladores, en lugar de quejarse y ponerse la palma de la cara.
Como punto de partida, es una muy buena idea poner a todos al día con el Top 10 de OWASP, pero para alcanzar realmente nuevos niveles de cumplimiento relevantes para la industria, puedes diseñar un curso personalizado en torno a los requisitos de las normativas específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con la Pautas de PCI-DSS que rigen las aplicaciones de procesamiento de pagos y tarjetas. Hay mucho en juego cuando te encargas de procesar y almacenar información confidencial, como los números de tarjetas de crédito, y conseguir la máxima especificidad con el aprendizaje de los desarrolladores evita el ruido, proporciona la formación adecuada en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza los cursos en sus equipos:
«Los cursos son una gran solución para nuestros ingenieros. Con la nueva función, que agrupa la ruta de aprendizaje, los vídeos y los puntos de control en un módulo personalizable, podemos diseñar el contenido en función de lo que necesitamos en cada momento. Las capacidades de cumplimiento y la flexibilidad brindan una oportunidad aún mejor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca».
Y recuerde, puede que se trate de una formación sobre cumplimiento curada, pero aun así se ofrece como una experiencia de aprendizaje pequeña, contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La educación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps, hay muchos platos que hacer girar. El tiempo reservado para la formación debe utilizarse con prudencia, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al seleccionar un curso personalizado que sea muy relevante, respetas el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, trabajas para lograr una reducción mensurable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas e ingenieros de AppSec suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con los cursos puede permitir a ambas partes ponerse de acuerdo con las prácticas recomendadas de seguridad. No cabe duda de que los desarrolladores apreciarán que el equipo de AppSec les dé la posibilidad de centrarse en las soluciones, ya que minimiza la carga que tienen que soportar y les ayuda a crear un estándar de código más elevado.
Elimine las debilidades, amplíe la higiene de seguridad a nivel empresarial
Todos somos humanos y, lamentablemente, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, pero son asombrosamente comunes. Los de Symantec Informe sobre amenazas a la seguridad en Internet de 2019 confirmó que se robaron más de 70 millones de registros como resultado de la mala configuración de los cubos S3. Los errores de configuración de seguridad son una de las principales causas de las filtraciones de datos, y la causa principal son los errores humanos alrededor de una cuarta parte de ellos.
Estos problemas ocurren por varias razones, pero la falta de conciencia y capacitación en materia de seguridad es un factor importante para que los atacantes puedan aprovechar las pequeñas oportunidades. Para lograr una higiene de seguridad escalable que tenga un impacto positivo, debe contar con un curso personalizado para su empresa. No muestres piedad con tus enemigos y elimina cualquier oportunidad que tengan para causar el mayor dolor de cabeza que puedas encontrar.
Ya estamos viendo un impacto sorprendente en nuestros clientes, incluido este proveedor líder de SaaS de contabilidad basado en la nube:
«La ruta de aprendizaje personalizada de los cursos ha supuesto un punto de inflexión. La especificidad de los lenguajes de programación y las vulnerabilidades proporcionan más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro».
Prepárate para DevSec. Obtenga más información sobre la nueva función de cursos de Secure Code Warrior aquí.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Existe una verdad algo incómoda, que los gobiernos, las grandes corporaciones e incluso algunos líderes de la industria tienden a pasar por alto: como sociedad, estamos en una batalla constante contra las ciberamenazas y actualmente estamos en el bando perdedor. ¿Cómo sabemos esto? Estas estadísticas cuentan una historia aleccionadora:
- Se estima que la ciberdelincuencia tiene un costo global de 6 billones de dólares de aquí a 2021
- Se produce un ciberataque cada 39 segundos
- El 24% de las filtraciones de datos son causados por un error humano
- Un alarmante 77% de las organizaciones no tener un plan de respuesta a incidentes de ciberseguridad que se amplía en toda la empresa y se aplica de manera uniforme entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una escasez crítica de personal; es poco probable que se llene la brecha de habilidades y no hay ningún ejército secreto de AppSec que venga a rescatarnos. Lo sabemos desde hace años y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una buena defensa, y podemos atacar primero si tenemos un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos hacen creer. Tenemos un as bajo la manga y el clima de ciberseguridad nos presenta una oportunidad de oro. No necesita buscar más allá de sus equipos de desarrollo internos para encontrar al personal que vendrá a rescatar a la organización, pero su programa de seguridad debe respaldar su trayectoria para convertirse en ingenieros conscientes de la seguridad que estén preparados para compartir la responsabilidad de programar de forma segura.
Cualquier entrenamiento antiguo no servirá - ya lo hemos dicho lo suficiente, pero incluso la formación adecuada que involucre, desarrolle conocimientos contextuales y ayude a los desarrolladores a disfrutar de la seguridad podría ser mucho más eficaz si tan solo estuviera más adaptada a las necesidades de la empresa, las amenazas a las que se enfrenta y los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos seguros.
Y ahí es donde nuestras funciones más recientes, Cursos, entra en juego. Por cierto, si tienes la referencia en el título, oficialmente eres viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: desarrolle la defensa, refuerce las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones en vídeo genéricos y secos, y esperar que florezca la pasión por la programación segura). Sin embargo, incluso con un aprendizaje competitivo diseñado para adaptarse a la mentalidad de los desarrolladores, es posible que el contenido sea un poco más amplio de lo que se necesita para cumplir con los requisitos particulares de una organización.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario. Personalice los programas para que se adapten a los equipos de frontend, a los ingenieros de nube, etc., con la capacidad de analizar en profundidad las vulnerabilidades más importantes, en los lenguajes y marcos que sean relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de una conciencia precisa sobre los problemas que representan un mayor riesgo.
Personalice un curso para garantizar el cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una base excelente sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad despierta un sentimiento de orgullo y responsabilidad en los desarrolladores, en lugar de quejarse y ponerse la palma de la cara.
Como punto de partida, es una muy buena idea poner a todos al día con el Top 10 de OWASP, pero para alcanzar realmente nuevos niveles de cumplimiento relevantes para la industria, puedes diseñar un curso personalizado en torno a los requisitos de las normativas específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con la Pautas de PCI-DSS que rigen las aplicaciones de procesamiento de pagos y tarjetas. Hay mucho en juego cuando te encargas de procesar y almacenar información confidencial, como los números de tarjetas de crédito, y conseguir la máxima especificidad con el aprendizaje de los desarrolladores evita el ruido, proporciona la formación adecuada en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza los cursos en sus equipos:
«Los cursos son una gran solución para nuestros ingenieros. Con la nueva función, que agrupa la ruta de aprendizaje, los vídeos y los puntos de control en un módulo personalizable, podemos diseñar el contenido en función de lo que necesitamos en cada momento. Las capacidades de cumplimiento y la flexibilidad brindan una oportunidad aún mejor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca».
Y recuerde, puede que se trate de una formación sobre cumplimiento curada, pero aun así se ofrece como una experiencia de aprendizaje pequeña, contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La educación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps, hay muchos platos que hacer girar. El tiempo reservado para la formación debe utilizarse con prudencia, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al seleccionar un curso personalizado que sea muy relevante, respetas el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, trabajas para lograr una reducción mensurable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas e ingenieros de AppSec suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con los cursos puede permitir a ambas partes ponerse de acuerdo con las prácticas recomendadas de seguridad. No cabe duda de que los desarrolladores apreciarán que el equipo de AppSec les dé la posibilidad de centrarse en las soluciones, ya que minimiza la carga que tienen que soportar y les ayuda a crear un estándar de código más elevado.
Elimine las debilidades, amplíe la higiene de seguridad a nivel empresarial
Todos somos humanos y, lamentablemente, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, pero son asombrosamente comunes. Los de Symantec Informe sobre amenazas a la seguridad en Internet de 2019 confirmó que se robaron más de 70 millones de registros como resultado de la mala configuración de los cubos S3. Los errores de configuración de seguridad son una de las principales causas de las filtraciones de datos, y la causa principal son los errores humanos alrededor de una cuarta parte de ellos.
Estos problemas ocurren por varias razones, pero la falta de conciencia y capacitación en materia de seguridad es un factor importante para que los atacantes puedan aprovechar las pequeñas oportunidades. Para lograr una higiene de seguridad escalable que tenga un impacto positivo, debe contar con un curso personalizado para su empresa. No muestres piedad con tus enemigos y elimina cualquier oportunidad que tengan para causar el mayor dolor de cabeza que puedas encontrar.
Ya estamos viendo un impacto sorprendente en nuestros clientes, incluido este proveedor líder de SaaS de contabilidad basado en la nube:
«La ruta de aprendizaje personalizada de los cursos ha supuesto un punto de inflexión. La especificidad de los lenguajes de programación y las vulnerabilidades proporcionan más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro».
Prepárate para DevSec. Obtenga más información sobre la nueva función de cursos de Secure Code Warrior aquí.
Tabla de contenido
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El habilitador 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
