高度なセキュリティインテリジェンス:開発者がNISTに対応できるよう支援するガイド付きコース
Últimamente se han producido algunos movimientos muy positivos en el sector de la ciberseguridad. Parece que el sentimiento de dar prioridad a la seguridad en la construcción de software, tan pronto como sea posible, está empezando a mejorar en muchas organizaciones. Esto, unido a medidas oficiales como la Orden Ejecutiva de Biden sobre ciberseguridad, ha dejado muy claro que todo el mundo tiene que poner de su parte para garantizar la seguridad del software y de los datos. Lo que es especialmente emocionante es que la conversación en torno al papel del desarrollador en el mantenimiento de las normas de codificación segura sigue evolucionando, incluso a nivel gubernamental.
Sin embargo, hay algo que falta en la conversación. La Orden Ejecutiva sugiere que los desarrolladores necesitan habilidades de seguridad verificadas, pero actualmente no existe ninguna certificación oficial de este tipo. Muchas empresas siguen guiándose por el NIST (que proporcionó directrices actualizadas en respuesta a la OE) en su búsqueda del cumplimiento y de normas más estrictas de seguridad del software, pero si pensamos en estrategias para reducir significativamente las vulnerabilidades, al tiempo que incorporamos las herramientas adecuadas y mantenemos la velocidad de lanzamiento, la mayoría son simplemente demasiado genéricas para crear el resultado deseado. Aquí es donde muchas empresas se quedan sin rumbo, perseverando con una formación limitada de los desarrolladores, o no construyendo sobre bases generales para capacitarlos con habilidades prácticas.
Los desarrolladores concienciados con la seguridad no crecen en los árboles, pero se pueden cultivar y elevar mucho más rápido con las herramientas adecuadas. Para ello, nos complace anunciar nuestro propio curso de conformidad con el NIST, estructurado según las directrices de la Orden Ejecutiva del Gobierno de los Estados Unidos.
Apoyo significativo a nivel de código para los desarrolladores
Utilizando las directrices del NIST para el software crítico para las órdenes ejecutivas (EO-critical ), estructuramos el curso para alcanzar los cinco objetivos clave que, en última instancia, mejorarán la seguridad del software vital que se utiliza en los niveles más altos del gobierno, y que idealmente debería actuar como un punto de referencia para un desarrollo de mayor calidad desde el principio.
Para lograr un verdadero avance en una cohorte de desarrollo, cualquier actualización debe ir más allá de la teoría y aplicarse de manera que no dé lugar a un cambio constante de contexto entre el trabajo y la formación para encontrar respuestas y mantenerse ágil. Las prácticas de seguridad meticulosas (por no hablar del equipo de seguridad) se consideran un obstáculo para los sprints de desarrollo a tiempo, y obstaculizan seriamente el estilo del ingeniero medio centrado en las características.
Los microaprendizajes breves y fáciles de aprender que se adaptan a las necesidades de los desarrolladores tienen una acogida mucho menos fría y dan lugar a un desarrollo de habilidades memorable y práctico.
Echa un vistazo a cómo hemos estructurado esto para nuestro curso NIST:
Objetivo 1: Proteger el software crítico para la Tierra y las plataformas de software crítico para la Tierra de accesos y usos no autorizados.
Los atacantes se basan en la desconfiguración de la seguridad y en prácticas de autenticación inadecuadas para infiltrarse con éxito en los sistemas, hacerse con cuentas y robar datos. Son un error común que puede conducir a grandes problemas si se explota con éxito.
En la Secure Code Warrior Learning Platformlos desarrolladores pueden jugar a desafíos basados en fragmentos de código del mundo real que reflejan fielmente cómo aparecerían estos fallos en su trabajo diario, y conseguir que encuentren una solución precisa para asegurarlos. Para los ingenieros de DevOps, asegurar la infraestructura requiere meticulosas configuraciones de control de acceso, y existen retos especializados para cumplir este requisito en lenguajes de Infraestructura como Código (IaC) como Terraform, CloudFormation y Ansible, así como en el código utilizado en Docker y Kubernetes.
Objetivo 2: Proteger la confidencialidad, la integridad y la disponibilidad de los datos utilizados por el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
Para este objetivo, todos los caminos conducen al control de acceso. El control de acceso roto destronó recientemente a los fallos de inyección como la entrada principal en el OWASP Top 10 2021, y es un fallo grave que requiere las habilidades de los desarrolladores conscientes de la seguridad para encontrar y arreglar lo antes posible.
El curso aborda conceptos como el de mínimo privilegio a nivel de código, y ayuda a inculcar el enfoque de limitar el acceso en las cuentas de usuario sólo a las áreas necesarias como mejor práctica.
Objetivo 3: Identificar y mantener las plataformas de software críticas para la OT y el software desplegado en esas plataformas para proteger el software crítico para la OT de la explotación.
Uno de los mayores retos en las grandes organizaciones es mantener la supervisión de la seguridad en todo el software, los sistemas y los componentes en juego. Cuando se trata de la gestión de riesgos y la aplicación de parches, estos elementos deben ser una prioridad en cualquier programa de seguridad, con los desarrolladores en alerta máxima para realizar el mantenimiento de la seguridad.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos que les ayudarán a identificar y corregir componentes vulnerables, así como la desconfiguración de la seguridad basada en permisos.
Objetivo 4: Detectar, responder y recuperarse rápidamente de las amenazas e incidentes relacionados con el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
Es lamentable (y una pérdida de tiempo y dinero) que muchas organizaciones sigan centrándose en la respuesta a los incidentes -en lugar de la prevención- a la hora de abordar los problemas de ciberseguridad. Esta es una cultura que estamos luchando por cambiar, y los desarrolladores están a la cabeza para proporcionar una potencia de fuego preventiva cuando están debidamente formados en las mejores prácticas de seguridad.
El objetivo 4 requiere que los desarrolladores, en el contexto de su función, supervisen continuamente la seguridad en sus entornos y puntos finales tanto a nivel de software como de red. El registro y la monitorización insuficientes son otro error común e insidioso, y es vital que los ingenieros sean capaces de navegar con éxito en sus tareas diarias.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos para perfeccionar estas habilidades, ya sea trabajando con lenguajes web, de API o de nube.
Conciencia de seguridad con sostenibilidad.
Objetivo 5: Reforzar la comprensión y el rendimiento de las acciones humanas que fomentan la seguridad del software crítico para la Tierra y de las plataformas de software crítico para la Tierra.
Este es bastante generalizado, pero es el más importante de conseguir... y no se puede hacer sin dominar los cuatro primeros objetivos. Esta directriz pide que se lleven a cabo actividades frecuentes de concienciación sobre la seguridad, y que todas las "acciones humanas" sobre el software crítico para la OE sean llevadas a cabo por quienes están adecuadamente formados en el contexto de sus funciones y responsabilidades.
Los desarrolladores se encuentran entre los que están más cerca del código, además de las configuraciones de seguridad y el control de acceso. Sus habilidades de seguridad deben ser alimentadas, y para lograr los altos estándares señalados por el NIST, una estructura de curso práctico podría ser la manera eficiente de abordarlo, especialmente con grandes cohortes de desarrollo.
Empiece hoy mismoa aumentar los puntos de experiencia y el coeficiente de seguridad de su equipo de desarrollo.
開発者は、セキュリティ設定やアクセス制御に加えて、コードを最も詳しく扱っています。彼らのセキュリティスキルを養う必要があり、NISTが概説しているような高い基準を達成するには、特に大規模な開発コホートでは、実践的なコース構成が効率的な方法かもしれません。
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa, Sensei Security. A lo largo de su carrera, Matías ha liderado varios proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y ha obtenido más de 10 patentes.Cuando no está frente a su escritorio, Matías imparte cursos avanzados de formación en seguridad de aplicaciones y participa regularmente como ponente en conferencias internacionales como RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías obtuvo un doctorado en Ingeniería Informática en la Universidad de Gante, donde aprendió sobre la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar su funcionamiento interno.
Últimamente se han producido algunos movimientos muy positivos en el sector de la ciberseguridad. Parece que el sentimiento de dar prioridad a la seguridad en la construcción de software, tan pronto como sea posible, está empezando a mejorar en muchas organizaciones. Esto, unido a medidas oficiales como la Orden Ejecutiva de Biden sobre ciberseguridad, ha dejado muy claro que todo el mundo tiene que poner de su parte para garantizar la seguridad del software y de los datos. Lo que es especialmente emocionante es que la conversación en torno al papel del desarrollador en el mantenimiento de las normas de codificación segura sigue evolucionando, incluso a nivel gubernamental.
Sin embargo, hay algo que falta en la conversación. La Orden Ejecutiva sugiere que los desarrolladores necesitan habilidades de seguridad verificadas, pero actualmente no existe ninguna certificación oficial de este tipo. Muchas empresas siguen guiándose por el NIST (que proporcionó directrices actualizadas en respuesta a la OE) en su búsqueda del cumplimiento y de normas más estrictas de seguridad del software, pero si pensamos en estrategias para reducir significativamente las vulnerabilidades, al tiempo que incorporamos las herramientas adecuadas y mantenemos la velocidad de lanzamiento, la mayoría son simplemente demasiado genéricas para crear el resultado deseado. Aquí es donde muchas empresas se quedan sin rumbo, perseverando con una formación limitada de los desarrolladores, o no construyendo sobre bases generales para capacitarlos con habilidades prácticas.
Los desarrolladores concienciados con la seguridad no crecen en los árboles, pero se pueden cultivar y elevar mucho más rápido con las herramientas adecuadas. Para ello, nos complace anunciar nuestro propio curso de conformidad con el NIST, estructurado según las directrices de la Orden Ejecutiva del Gobierno de los Estados Unidos.
Apoyo significativo a nivel de código para los desarrolladores
Utilizando las directrices del NIST para el software crítico para las órdenes ejecutivas (EO-critical ), estructuramos el curso para alcanzar los cinco objetivos clave que, en última instancia, mejorarán la seguridad del software vital que se utiliza en los niveles más altos del gobierno, y que idealmente debería actuar como un punto de referencia para un desarrollo de mayor calidad desde el principio.
Para lograr un verdadero avance en una cohorte de desarrollo, cualquier actualización debe ir más allá de la teoría y aplicarse de manera que no dé lugar a un cambio constante de contexto entre el trabajo y la formación para encontrar respuestas y mantenerse ágil. Las prácticas de seguridad meticulosas (por no hablar del equipo de seguridad) se consideran un obstáculo para los sprints de desarrollo a tiempo, y obstaculizan seriamente el estilo del ingeniero medio centrado en las características.
Los microaprendizajes breves y fáciles de aprender que se adaptan a las necesidades de los desarrolladores tienen una acogida mucho menos fría y dan lugar a un desarrollo de habilidades memorable y práctico.
Echa un vistazo a cómo hemos estructurado esto para nuestro curso NIST:
Objetivo 1: Proteger el software crítico para la Tierra y las plataformas de software crítico para la Tierra de accesos y usos no autorizados.
Los atacantes se basan en la desconfiguración de la seguridad y en prácticas de autenticación inadecuadas para infiltrarse con éxito en los sistemas, hacerse con cuentas y robar datos. Son un error común que puede conducir a grandes problemas si se explota con éxito.
En la Secure Code Warrior Learning Platformlos desarrolladores pueden jugar a desafíos basados en fragmentos de código del mundo real que reflejan fielmente cómo aparecerían estos fallos en su trabajo diario, y conseguir que encuentren una solución precisa para asegurarlos. Para los ingenieros de DevOps, asegurar la infraestructura requiere meticulosas configuraciones de control de acceso, y existen retos especializados para cumplir este requisito en lenguajes de Infraestructura como Código (IaC) como Terraform, CloudFormation y Ansible, así como en el código utilizado en Docker y Kubernetes.
Objetivo 2: Proteger la confidencialidad, la integridad y la disponibilidad de los datos utilizados por el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
Para este objetivo, todos los caminos conducen al control de acceso. El control de acceso roto destronó recientemente a los fallos de inyección como la entrada principal en el OWASP Top 10 2021, y es un fallo grave que requiere las habilidades de los desarrolladores conscientes de la seguridad para encontrar y arreglar lo antes posible.
El curso aborda conceptos como el de mínimo privilegio a nivel de código, y ayuda a inculcar el enfoque de limitar el acceso en las cuentas de usuario sólo a las áreas necesarias como mejor práctica.
Objetivo 3: Identificar y mantener las plataformas de software críticas para la OT y el software desplegado en esas plataformas para proteger el software crítico para la OT de la explotación.
Uno de los mayores retos en las grandes organizaciones es mantener la supervisión de la seguridad en todo el software, los sistemas y los componentes en juego. Cuando se trata de la gestión de riesgos y la aplicación de parches, estos elementos deben ser una prioridad en cualquier programa de seguridad, con los desarrolladores en alerta máxima para realizar el mantenimiento de la seguridad.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos que les ayudarán a identificar y corregir componentes vulnerables, así como la desconfiguración de la seguridad basada en permisos.
Objetivo 4: Detectar, responder y recuperarse rápidamente de las amenazas e incidentes relacionados con el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
Es lamentable (y una pérdida de tiempo y dinero) que muchas organizaciones sigan centrándose en la respuesta a los incidentes -en lugar de la prevención- a la hora de abordar los problemas de ciberseguridad. Esta es una cultura que estamos luchando por cambiar, y los desarrolladores están a la cabeza para proporcionar una potencia de fuego preventiva cuando están debidamente formados en las mejores prácticas de seguridad.
El objetivo 4 requiere que los desarrolladores, en el contexto de su función, supervisen continuamente la seguridad en sus entornos y puntos finales tanto a nivel de software como de red. El registro y la monitorización insuficientes son otro error común e insidioso, y es vital que los ingenieros sean capaces de navegar con éxito en sus tareas diarias.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos para perfeccionar estas habilidades, ya sea trabajando con lenguajes web, de API o de nube.
Conciencia de seguridad con sostenibilidad.
Objetivo 5: Reforzar la comprensión y el rendimiento de las acciones humanas que fomentan la seguridad del software crítico para la Tierra y de las plataformas de software crítico para la Tierra.
Este es bastante generalizado, pero es el más importante de conseguir... y no se puede hacer sin dominar los cuatro primeros objetivos. Esta directriz pide que se lleven a cabo actividades frecuentes de concienciación sobre la seguridad, y que todas las "acciones humanas" sobre el software crítico para la OE sean llevadas a cabo por quienes están adecuadamente formados en el contexto de sus funciones y responsabilidades.
Los desarrolladores se encuentran entre los que están más cerca del código, además de las configuraciones de seguridad y el control de acceso. Sus habilidades de seguridad deben ser alimentadas, y para lograr los altos estándares señalados por el NIST, una estructura de curso práctico podría ser la manera eficiente de abordarlo, especialmente con grandes cohortes de desarrollo.
Empiece hoy mismoa aumentar los puntos de experiencia y el coeficiente de seguridad de su equipo de desarrollo.
Últimamente se han producido algunos movimientos muy positivos en el sector de la ciberseguridad. Parece que el sentimiento de dar prioridad a la seguridad en la construcción de software, tan pronto como sea posible, está empezando a mejorar en muchas organizaciones. Esto, unido a medidas oficiales como la Orden Ejecutiva de Biden sobre ciberseguridad, ha dejado muy claro que todo el mundo tiene que poner de su parte para garantizar la seguridad del software y de los datos. Lo que es especialmente emocionante es que la conversación en torno al papel del desarrollador en el mantenimiento de las normas de codificación segura sigue evolucionando, incluso a nivel gubernamental.
Sin embargo, hay algo que falta en la conversación. La Orden Ejecutiva sugiere que los desarrolladores necesitan habilidades de seguridad verificadas, pero actualmente no existe ninguna certificación oficial de este tipo. Muchas empresas siguen guiándose por el NIST (que proporcionó directrices actualizadas en respuesta a la OE) en su búsqueda del cumplimiento y de normas más estrictas de seguridad del software, pero si pensamos en estrategias para reducir significativamente las vulnerabilidades, al tiempo que incorporamos las herramientas adecuadas y mantenemos la velocidad de lanzamiento, la mayoría son simplemente demasiado genéricas para crear el resultado deseado. Aquí es donde muchas empresas se quedan sin rumbo, perseverando con una formación limitada de los desarrolladores, o no construyendo sobre bases generales para capacitarlos con habilidades prácticas.
Los desarrolladores concienciados con la seguridad no crecen en los árboles, pero se pueden cultivar y elevar mucho más rápido con las herramientas adecuadas. Para ello, nos complace anunciar nuestro propio curso de conformidad con el NIST, estructurado según las directrices de la Orden Ejecutiva del Gobierno de los Estados Unidos.
Apoyo significativo a nivel de código para los desarrolladores
Utilizando las directrices del NIST para el software crítico para las órdenes ejecutivas (EO-critical ), estructuramos el curso para alcanzar los cinco objetivos clave que, en última instancia, mejorarán la seguridad del software vital que se utiliza en los niveles más altos del gobierno, y que idealmente debería actuar como un punto de referencia para un desarrollo de mayor calidad desde el principio.
Para lograr un verdadero avance en una cohorte de desarrollo, cualquier actualización debe ir más allá de la teoría y aplicarse de manera que no dé lugar a un cambio constante de contexto entre el trabajo y la formación para encontrar respuestas y mantenerse ágil. Las prácticas de seguridad meticulosas (por no hablar del equipo de seguridad) se consideran un obstáculo para los sprints de desarrollo a tiempo, y obstaculizan seriamente el estilo del ingeniero medio centrado en las características.
Los microaprendizajes breves y fáciles de aprender que se adaptan a las necesidades de los desarrolladores tienen una acogida mucho menos fría y dan lugar a un desarrollo de habilidades memorable y práctico.
Echa un vistazo a cómo hemos estructurado esto para nuestro curso NIST:
Objetivo 1: Proteger el software crítico para la Tierra y las plataformas de software crítico para la Tierra de accesos y usos no autorizados.
Los atacantes se basan en la desconfiguración de la seguridad y en prácticas de autenticación inadecuadas para infiltrarse con éxito en los sistemas, hacerse con cuentas y robar datos. Son un error común que puede conducir a grandes problemas si se explota con éxito.
En la Secure Code Warrior Learning Platformlos desarrolladores pueden jugar a desafíos basados en fragmentos de código del mundo real que reflejan fielmente cómo aparecerían estos fallos en su trabajo diario, y conseguir que encuentren una solución precisa para asegurarlos. Para los ingenieros de DevOps, asegurar la infraestructura requiere meticulosas configuraciones de control de acceso, y existen retos especializados para cumplir este requisito en lenguajes de Infraestructura como Código (IaC) como Terraform, CloudFormation y Ansible, así como en el código utilizado en Docker y Kubernetes.
Objetivo 2: Proteger la confidencialidad, la integridad y la disponibilidad de los datos utilizados por el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
Para este objetivo, todos los caminos conducen al control de acceso. El control de acceso roto destronó recientemente a los fallos de inyección como la entrada principal en el OWASP Top 10 2021, y es un fallo grave que requiere las habilidades de los desarrolladores conscientes de la seguridad para encontrar y arreglar lo antes posible.
El curso aborda conceptos como el de mínimo privilegio a nivel de código, y ayuda a inculcar el enfoque de limitar el acceso en las cuentas de usuario sólo a las áreas necesarias como mejor práctica.
Objetivo 3: Identificar y mantener las plataformas de software críticas para la OT y el software desplegado en esas plataformas para proteger el software crítico para la OT de la explotación.
Uno de los mayores retos en las grandes organizaciones es mantener la supervisión de la seguridad en todo el software, los sistemas y los componentes en juego. Cuando se trata de la gestión de riesgos y la aplicación de parches, estos elementos deben ser una prioridad en cualquier programa de seguridad, con los desarrolladores en alerta máxima para realizar el mantenimiento de la seguridad.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos que les ayudarán a identificar y corregir componentes vulnerables, así como la desconfiguración de la seguridad basada en permisos.
Objetivo 4: Detectar, responder y recuperarse rápidamente de las amenazas e incidentes relacionados con el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
Es lamentable (y una pérdida de tiempo y dinero) que muchas organizaciones sigan centrándose en la respuesta a los incidentes -en lugar de la prevención- a la hora de abordar los problemas de ciberseguridad. Esta es una cultura que estamos luchando por cambiar, y los desarrolladores están a la cabeza para proporcionar una potencia de fuego preventiva cuando están debidamente formados en las mejores prácticas de seguridad.
El objetivo 4 requiere que los desarrolladores, en el contexto de su función, supervisen continuamente la seguridad en sus entornos y puntos finales tanto a nivel de software como de red. El registro y la monitorización insuficientes son otro error común e insidioso, y es vital que los ingenieros sean capaces de navegar con éxito en sus tareas diarias.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos para perfeccionar estas habilidades, ya sea trabajando con lenguajes web, de API o de nube.
Conciencia de seguridad con sostenibilidad.
Objetivo 5: Reforzar la comprensión y el rendimiento de las acciones humanas que fomentan la seguridad del software crítico para la Tierra y de las plataformas de software crítico para la Tierra.
Este es bastante generalizado, pero es el más importante de conseguir... y no se puede hacer sin dominar los cuatro primeros objetivos. Esta directriz pide que se lleven a cabo actividades frecuentes de concienciación sobre la seguridad, y que todas las "acciones humanas" sobre el software crítico para la OE sean llevadas a cabo por quienes están adecuadamente formados en el contexto de sus funciones y responsabilidades.
Los desarrolladores se encuentran entre los que están más cerca del código, además de las configuraciones de seguridad y el control de acceso. Sus habilidades de seguridad deben ser alimentadas, y para lograr los altos estándares señalados por el NIST, una estructura de curso práctico podría ser la manera eficiente de abordarlo, especialmente con grandes cohortes de desarrollo.
Empiece hoy mismoa aumentar los puntos de experiencia y el coeficiente de seguridad de su equipo de desarrollo.
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa, Sensei Security. A lo largo de su carrera, Matías ha liderado varios proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y ha obtenido más de 10 patentes.Cuando no está frente a su escritorio, Matías imparte cursos avanzados de formación en seguridad de aplicaciones y participa regularmente como ponente en conferencias internacionales como RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías obtuvo un doctorado en Ingeniería Informática en la Universidad de Gante, donde aprendió sobre la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar su funcionamiento interno.
Últimamente se han producido algunos movimientos muy positivos en el sector de la ciberseguridad. Parece que el sentimiento de dar prioridad a la seguridad en la construcción de software, tan pronto como sea posible, está empezando a mejorar en muchas organizaciones. Esto, unido a medidas oficiales como la Orden Ejecutiva de Biden sobre ciberseguridad, ha dejado muy claro que todo el mundo tiene que poner de su parte para garantizar la seguridad del software y de los datos. Lo que es especialmente emocionante es que la conversación en torno al papel del desarrollador en el mantenimiento de las normas de codificación segura sigue evolucionando, incluso a nivel gubernamental.
Sin embargo, hay algo que falta en la conversación. La Orden Ejecutiva sugiere que los desarrolladores necesitan habilidades de seguridad verificadas, pero actualmente no existe ninguna certificación oficial de este tipo. Muchas empresas siguen guiándose por el NIST (que proporcionó directrices actualizadas en respuesta a la OE) en su búsqueda del cumplimiento y de normas más estrictas de seguridad del software, pero si pensamos en estrategias para reducir significativamente las vulnerabilidades, al tiempo que incorporamos las herramientas adecuadas y mantenemos la velocidad de lanzamiento, la mayoría son simplemente demasiado genéricas para crear el resultado deseado. Aquí es donde muchas empresas se quedan sin rumbo, perseverando con una formación limitada de los desarrolladores, o no construyendo sobre bases generales para capacitarlos con habilidades prácticas.
Los desarrolladores concienciados con la seguridad no crecen en los árboles, pero se pueden cultivar y elevar mucho más rápido con las herramientas adecuadas. Para ello, nos complace anunciar nuestro propio curso de conformidad con el NIST, estructurado según las directrices de la Orden Ejecutiva del Gobierno de los Estados Unidos.
Apoyo significativo a nivel de código para los desarrolladores
Utilizando las directrices del NIST para el software crítico para las órdenes ejecutivas (EO-critical ), estructuramos el curso para alcanzar los cinco objetivos clave que, en última instancia, mejorarán la seguridad del software vital que se utiliza en los niveles más altos del gobierno, y que idealmente debería actuar como un punto de referencia para un desarrollo de mayor calidad desde el principio.
Para lograr un verdadero avance en una cohorte de desarrollo, cualquier actualización debe ir más allá de la teoría y aplicarse de manera que no dé lugar a un cambio constante de contexto entre el trabajo y la formación para encontrar respuestas y mantenerse ágil. Las prácticas de seguridad meticulosas (por no hablar del equipo de seguridad) se consideran un obstáculo para los sprints de desarrollo a tiempo, y obstaculizan seriamente el estilo del ingeniero medio centrado en las características.
Los microaprendizajes breves y fáciles de aprender que se adaptan a las necesidades de los desarrolladores tienen una acogida mucho menos fría y dan lugar a un desarrollo de habilidades memorable y práctico.
Echa un vistazo a cómo hemos estructurado esto para nuestro curso NIST:
Objetivo 1: Proteger el software crítico para la Tierra y las plataformas de software crítico para la Tierra de accesos y usos no autorizados.
Los atacantes se basan en la desconfiguración de la seguridad y en prácticas de autenticación inadecuadas para infiltrarse con éxito en los sistemas, hacerse con cuentas y robar datos. Son un error común que puede conducir a grandes problemas si se explota con éxito.
En la Secure Code Warrior Learning Platformlos desarrolladores pueden jugar a desafíos basados en fragmentos de código del mundo real que reflejan fielmente cómo aparecerían estos fallos en su trabajo diario, y conseguir que encuentren una solución precisa para asegurarlos. Para los ingenieros de DevOps, asegurar la infraestructura requiere meticulosas configuraciones de control de acceso, y existen retos especializados para cumplir este requisito en lenguajes de Infraestructura como Código (IaC) como Terraform, CloudFormation y Ansible, así como en el código utilizado en Docker y Kubernetes.
Objetivo 2: Proteger la confidencialidad, la integridad y la disponibilidad de los datos utilizados por el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
Para este objetivo, todos los caminos conducen al control de acceso. El control de acceso roto destronó recientemente a los fallos de inyección como la entrada principal en el OWASP Top 10 2021, y es un fallo grave que requiere las habilidades de los desarrolladores conscientes de la seguridad para encontrar y arreglar lo antes posible.
El curso aborda conceptos como el de mínimo privilegio a nivel de código, y ayuda a inculcar el enfoque de limitar el acceso en las cuentas de usuario sólo a las áreas necesarias como mejor práctica.
Objetivo 3: Identificar y mantener las plataformas de software críticas para la OT y el software desplegado en esas plataformas para proteger el software crítico para la OT de la explotación.
Uno de los mayores retos en las grandes organizaciones es mantener la supervisión de la seguridad en todo el software, los sistemas y los componentes en juego. Cuando se trata de la gestión de riesgos y la aplicación de parches, estos elementos deben ser una prioridad en cualquier programa de seguridad, con los desarrolladores en alerta máxima para realizar el mantenimiento de la seguridad.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos que les ayudarán a identificar y corregir componentes vulnerables, así como la desconfiguración de la seguridad basada en permisos.
Objetivo 4: Detectar, responder y recuperarse rápidamente de las amenazas e incidentes relacionados con el software crítico para la Tierra y las plataformas de software crítico para la Tierra.
Es lamentable (y una pérdida de tiempo y dinero) que muchas organizaciones sigan centrándose en la respuesta a los incidentes -en lugar de la prevención- a la hora de abordar los problemas de ciberseguridad. Esta es una cultura que estamos luchando por cambiar, y los desarrolladores están a la cabeza para proporcionar una potencia de fuego preventiva cuando están debidamente formados en las mejores prácticas de seguridad.
El objetivo 4 requiere que los desarrolladores, en el contexto de su función, supervisen continuamente la seguridad en sus entornos y puntos finales tanto a nivel de software como de red. El registro y la monitorización insuficientes son otro error común e insidioso, y es vital que los ingenieros sean capaces de navegar con éxito en sus tareas diarias.
En la página web Secure Code Warrior Learning Platform , los desarrolladores pueden jugar a retos para perfeccionar estas habilidades, ya sea trabajando con lenguajes web, de API o de nube.
Conciencia de seguridad con sostenibilidad.
Objetivo 5: Reforzar la comprensión y el rendimiento de las acciones humanas que fomentan la seguridad del software crítico para la Tierra y de las plataformas de software crítico para la Tierra.
Este es bastante generalizado, pero es el más importante de conseguir... y no se puede hacer sin dominar los cuatro primeros objetivos. Esta directriz pide que se lleven a cabo actividades frecuentes de concienciación sobre la seguridad, y que todas las "acciones humanas" sobre el software crítico para la OE sean llevadas a cabo por quienes están adecuadamente formados en el contexto de sus funciones y responsabilidades.
Los desarrolladores se encuentran entre los que están más cerca del código, además de las configuraciones de seguridad y el control de acceso. Sus habilidades de seguridad deben ser alimentadas, y para lograr los altos estándares señalados por el NIST, una estructura de curso práctico podría ser la manera eficiente de abordarlo, especialmente con grandes cohortes de desarrollo.
Empiece hoy mismoa aumentar los puntos de experiencia y el coeficiente de seguridad de su equipo de desarrollo.
Índice
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
