Nuevas directrices del NIST: por qué es esencial la formación personalizada para crear software seguro
El 11 de junio de 2019, el Instituto Nacional de Estándares y Tecnología (NIST) publicó un informe actualizado con información detallada. Varios planes de acción para reducir las vulnerabilidades del software y los riesgos cibernéticos. Bajo el título «Mitigación de los riesgos de vulnerabilidad del software mediante la adopción del Marco de Desarrollo de Software Seguro (SSDF)», el NIST ofrece a las organizaciones directrices claras para evitar las costosas consecuencias de las violaciones de datos, por no hablar de los resultados desagradables.
A modo de referencia, el SSDF no asume que todas las organizaciones tengan los mismos objetivos de seguridad de software, ni prescribe los mecanismos exactos para alcanzarlos. El objetivo principal es implementar las mejores prácticas de seguridad. La autora Donna Dodson afirma lo siguiente: «Cada creador de seguridad desea que se cumplan todas las prácticas aplicables, pero es de esperar que el grado de implementación de cada práctica varíe en función de las hipótesis de seguridad del creador. Estas prácticas ofrecen flexibilidad al implementador, pero también es evidente que no deben dejar demasiado margen para la interpretación».
Por supuesto, fue especialmente interesante que se incluyeran detalles concretos sobre la formación en seguridad de software para desarrolladores. Hace tiempo que sabemos que los desarrolladores necesitan una formación adecuada para proteger a la organización desde el principio del proceso de desarrollo de software... Pero, ¿adecuada, exactamente? Hay muchas opiniones diferentes en el mundo. Sin embargo, creo que finalmente se están ampliando los límites en una dirección que traerá resultados muy positivos.
Hay formación en seguridad... y hay formación en seguridad eficaz.
El autor ha hablado extensamente sobre la necesidad de implementar la formación en seguridad de software de forma más eficaz y adaptarla a las necesidades de los desarrolladores. En la actualidad, muchas organizaciones se limitan a ofrecer, en el mejor de los casos, ejercicios «estándar».Es posible que se dediquen unas horas a la formación en vídeo o que se utilicen herramientas para el aprendizaje en el aula, lo que supone una pérdida de tiempo valioso. El hecho de que cada dos días se produzcan violaciones de datos a gran escala por parte de atacantes que aprovechan vulnerabilidades conocidas (y, por lo general, fáciles de corregir) es una prueba de que la formación en seguridad de software no es tan eficaz como debería. Y lo que es quizás más importante, apenas hay datos que permitan verificar si la formación ha sido eficaz. ¿Se han solucionado las vulnerabilidades más rápidamente? ¿Se está reduciendo la vulnerabilidad en el código? ¿La gente ha completado realmente la formación? ¿O simplemente han hecho clic en «Siguiente» para completar la formación?
Los desarrolladores son personas muy ocupadas que trabajan duro para cumplir con plazos estrictos. La seguridad suele ser un tema incómodo y, en muchos casos, la formación no proporciona los conocimientos necesarios para mitigar con éxito los riesgos cibernéticos. Por lo general, cuando los miembros del equipo de AppSec señalan fallos en el trabajo, se piensa en la palabra «seguridad», lo que da lugar a una relación algo fría y poco funcional. Es el típico escenario de «el bebé es feo, ve y arréglalo».
¿Qué nos dice esto? El hecho de que los desarrolladores no presten suficiente atención a la seguridad es una señal de alarma que lleva décadas presente. Los desarrolladores no están motivados para asumir responsabilidades y no buscan las herramientas necesarias para crear software funcional que tenga en cuenta las mejores prácticas de seguridad.
Los desarrolladores son inteligentes, creativos y les gusta resolver problemas. Es poco probable que ver vídeos interminables sobre vulnerabilidades de seguridad despierte el interés de los desarrolladores o les mantenga motivados.Como instructor de SANS, pronto me di cuenta de que la mejor forma de enseñar es ofrecer a los alumnos ejercicios prácticos que les permitan poner a prueba su capacidad intelectual y analizar y examinar casos reales basados en lo que han aprendido previamente. La gamificación y la competencia amistosa son herramientas poderosas que permiten a todo el mundo aprender nuevos conceptos, al tiempo que mantienen su utilidad y practicidad en el ámbito de la aplicación.
Las directrices del NIST establecen lo siguiente: «Proporcione formación específica para cada función a todos los empleados que desempeñen un papel responsable en el desarrollo de la seguridad. Revise periódicamente la formación específica para cada función y actualícela según sea necesario». A continuación: «Defina las funciones y responsabilidades del personal de ciberseguridad, los responsables de seguridad, la alta dirección, los desarrolladores de software, los propietarios de productos y otras personas relacionadas con el SDLC».
Esta declaración no es específica en cuanto al tipo de formación, pero sigue siendo útil para transformar la organización y tener en cuenta las mejores prácticas de seguridad. De este modo, se devuelve a la empresa la responsabilidad de encontrar soluciones de formación eficaces y más específicas, con la esperanza de que los desarrolladores dispongan de las herramientas y los conocimientos adecuados para alcanzar el éxito.
Cultura: el eslabón perdido.
Aunque se invierta tiempo y recursos en formar a los desarrolladores y otros empleados clave, haciendo hincapié en la importancia de prevenir las vulnerabilidades y reducir los riesgos de seguridad en la organización, estos esfuerzos pueden resultar en vano si la cultura de seguridad de la organización está fundamentalmente deteriorada.
Formar eficazmente a las personas, establecer objetivos y aclarar las expectativas facilita enormemente que comprendan su lugar en el entorno de seguridad y asuman las responsabilidades adecuadas. En el caso concreto de los desarrolladores, se les proporcionan desde el principio las herramientas y los conocimientos necesarios para escribir código seguro. Sin embargo, este enfoque se coordina mejor en un entorno de seguridad positivo, con menos duplicación de tareas, transferencia de responsabilidades y trabajo en proyectos aislados.
Debemos dar prioridad a la seguridad de toda la organización mediante el apoyo y la cooperación para proporcionar un software excelente y seguro. En otras palabras, podemos implementar una formación divertida y participativa que aproveche las vulnerabilidades reales del código y obtener el consenso de toda la organización para garantizar un presupuesto suficiente que permita mantener esta tendencia. En un entorno digital en constante evolución, la formación debe ser tan continua como la implementación. Si alguna vez ha oído decir que la formación en materia de cumplimiento normativo «se configura una vez y se olvida» es adecuada o eficaz, se trata de una idea errónea. «configurada una vez y olvidada», es una idea errónea.
Este nuevo marco del NIST no especifica concretamente los requisitos para crear una cultura de seguridad positiva, pero es imprescindible para cumplir con éxito las directrices. Sin embargo, cabe destacar que las organizaciones deben «definir políticas que especifiquen los requisitos de seguridad que debe cumplir el software de la organización, incluidas las prácticas de codificación segura que deben seguir los desarrolladores».
El contenido anterior es muy importante para ampliar y perfeccionar las tecnologías de seguridad dentro del equipo, y puede resultar útil tener en cuenta los siguientes aspectos a la hora de evaluar las políticas propias y el entorno actual de AppSec.
- ¿Están claramente definidas las directrices y expectativas en materia de seguridad del software?
- ¿Saben claramente todos los miembros del equipo qué papel desempeñan en la consecución de los objetivos?
- ¿La educación es frecuente y se evalúa?
- ¿Saben los desarrolladores lo importante que es eliminar los errores de seguridad comunes antes de que se produzcan?
Como mencioné anteriormente, la parte final depende principalmente de la organización y la formación que esta elija. Debe ser relevante, frecuente y contar con un alto nivel de participación. Busque soluciones que se puedan aplicar al trabajo diario y acumule conocimientos adaptados a cada situación.
¿Y ahora qué hacemos?
Examinar en detalle estas nuevas directrices puede resultar bastante complicado. Se requiere un gran esfuerzo para crear, verificar y distribuir el software de seguridad exhaustivo que necesitan la mayoría de las empresas de la forma más segura posible. Y no se limita solo a la formación. Hay directrices que deben tenerse en cuenta al utilizar software de terceros (el uso de componentes con vulnerabilidades conocidas sigue estando presente, como se indica en el Top 10 de OWASP), propuestas sobre verificación, pruebas de penetración y revisión de código, directrices para el mantenimiento de registros de seguridad, cadenas de herramientas adecuadas y todo lo demás. Se puede encontrar una visión general viable en el libro del Dr. Gary McGraw, el modelo BSIMM, al quese hace referencia en todos los documentos del NIST.
Sin embargo, si se proporciona a los desarrolladores las herramientas y los conocimientos adecuados para crear software seguro desde el principio, se puede alcanzar el éxito más rápidamente. Prevenir las vulnerabilidades comunes que surgen en la última fase del SDLC es más barato desde el punto de vista empresarial (y, en general, más rápido). Aproveche sus puntos fuertes y ofrézcales incentivos para que participen en la seguridad de la organización.Puede resultar muy interesante y ellos pueden convertirse en los héroes oportunos necesarios para detener a las personas malintencionadas y proteger los datos.
Referencias:
- Mitigación del riesgo de vulnerabilidad del software mediante la introducción de SSDF (11 de junio de 2019) Página 2.
- Mitigación del riesgo de vulnerabilidad del software mediante la introducción de SSDF (11 de junio de 2019) Página 5.
- Mitigación del riesgo de vulnerabilidad del software mediante la introducción de SSDF (11 de junio de 2019) Página 4.
El Instituto Nacional de Estándares y Tecnología (NIST) ha publicado un informe actualizado en el que se detallan varios planes de acción para reducir las vulnerabilidades del software y los riesgos cibernéticos.
Director General, Presidente y Cofundador
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
El 11 de junio de 2019, el Instituto Nacional de Estándares y Tecnología (NIST) publicó un informe actualizado con información detallada. Varios planes de acción para reducir las vulnerabilidades del software y los riesgos cibernéticos. Bajo el título «Mitigación de los riesgos de vulnerabilidad del software mediante la adopción del Marco de Desarrollo de Software Seguro (SSDF)», el NIST ofrece a las organizaciones directrices claras para evitar las costosas consecuencias de las violaciones de datos, por no hablar de los resultados desagradables.
A modo de referencia, el SSDF no asume que todas las organizaciones tengan los mismos objetivos de seguridad de software, ni prescribe los mecanismos exactos para alcanzarlos. El objetivo principal es implementar las mejores prácticas de seguridad. La autora Donna Dodson afirma lo siguiente: «Cada creador de seguridad desea que se cumplan todas las prácticas aplicables, pero es de esperar que el grado de implementación de cada práctica varíe en función de las hipótesis de seguridad del creador. Estas prácticas ofrecen flexibilidad al implementador, pero también es evidente que no deben dejar demasiado margen para la interpretación».
Por supuesto, fue especialmente interesante que se incluyeran detalles concretos sobre la formación en seguridad de software para desarrolladores. Hace tiempo que sabemos que los desarrolladores necesitan una formación adecuada para proteger a la organización desde el principio del proceso de desarrollo de software... Pero, ¿adecuada, exactamente? Hay muchas opiniones diferentes en el mundo. Sin embargo, creo que finalmente se están ampliando los límites en una dirección que traerá resultados muy positivos.
Hay formación en seguridad... y hay formación en seguridad eficaz.
El autor ha hablado extensamente sobre la necesidad de implementar la formación en seguridad de software de forma más eficaz y adaptarla a las necesidades de los desarrolladores. En la actualidad, muchas organizaciones se limitan a ofrecer, en el mejor de los casos, ejercicios «estándar».Es posible que se dediquen unas horas a la formación en vídeo o que se utilicen herramientas para el aprendizaje en el aula, lo que supone una pérdida de tiempo valioso. El hecho de que cada dos días se produzcan violaciones de datos a gran escala por parte de atacantes que aprovechan vulnerabilidades conocidas (y, por lo general, fáciles de corregir) es una prueba de que la formación en seguridad de software no es tan eficaz como debería. Y lo que es quizás más importante, apenas hay datos que permitan verificar si la formación ha sido eficaz. ¿Se han solucionado las vulnerabilidades más rápidamente? ¿Se está reduciendo la vulnerabilidad en el código? ¿La gente ha completado realmente la formación? ¿O simplemente han hecho clic en «Siguiente» para completar la formación?
Los desarrolladores son personas muy ocupadas que trabajan duro para cumplir con plazos estrictos. La seguridad suele ser un tema incómodo y, en muchos casos, la formación no proporciona los conocimientos necesarios para mitigar con éxito los riesgos cibernéticos. Por lo general, cuando los miembros del equipo de AppSec señalan fallos en el trabajo, se piensa en la palabra «seguridad», lo que da lugar a una relación algo fría y poco funcional. Es el típico escenario de «el bebé es feo, ve y arréglalo».
¿Qué nos dice esto? El hecho de que los desarrolladores no presten suficiente atención a la seguridad es una señal de alarma que lleva décadas presente. Los desarrolladores no están motivados para asumir responsabilidades y no buscan las herramientas necesarias para crear software funcional que tenga en cuenta las mejores prácticas de seguridad.
Los desarrolladores son inteligentes, creativos y les gusta resolver problemas. Es poco probable que ver vídeos interminables sobre vulnerabilidades de seguridad despierte el interés de los desarrolladores o les mantenga motivados.Como instructor de SANS, pronto me di cuenta de que la mejor forma de enseñar es ofrecer a los alumnos ejercicios prácticos que les permitan poner a prueba su capacidad intelectual y analizar y examinar casos reales basados en lo que han aprendido previamente. La gamificación y la competencia amistosa son herramientas poderosas que permiten a todo el mundo aprender nuevos conceptos, al tiempo que mantienen su utilidad y practicidad en el ámbito de la aplicación.
Las directrices del NIST establecen lo siguiente: «Proporcione formación específica para cada función a todos los empleados que desempeñen un papel responsable en el desarrollo de la seguridad. Revise periódicamente la formación específica para cada función y actualícela según sea necesario». A continuación: «Defina las funciones y responsabilidades del personal de ciberseguridad, los responsables de seguridad, la alta dirección, los desarrolladores de software, los propietarios de productos y otras personas relacionadas con el SDLC».
Esta declaración no es específica en cuanto al tipo de formación, pero sigue siendo útil para transformar la organización y tener en cuenta las mejores prácticas de seguridad. De este modo, se devuelve a la empresa la responsabilidad de encontrar soluciones de formación eficaces y más específicas, con la esperanza de que los desarrolladores dispongan de las herramientas y los conocimientos adecuados para alcanzar el éxito.
Cultura: el eslabón perdido.
Aunque se invierta tiempo y recursos en formar a los desarrolladores y otros empleados clave, haciendo hincapié en la importancia de prevenir las vulnerabilidades y reducir los riesgos de seguridad en la organización, estos esfuerzos pueden resultar en vano si la cultura de seguridad de la organización está fundamentalmente deteriorada.
Formar eficazmente a las personas, establecer objetivos y aclarar las expectativas facilita enormemente que comprendan su lugar en el entorno de seguridad y asuman las responsabilidades adecuadas. En el caso concreto de los desarrolladores, se les proporcionan desde el principio las herramientas y los conocimientos necesarios para escribir código seguro. Sin embargo, este enfoque se coordina mejor en un entorno de seguridad positivo, con menos duplicación de tareas, transferencia de responsabilidades y trabajo en proyectos aislados.
Debemos dar prioridad a la seguridad de toda la organización mediante el apoyo y la cooperación para proporcionar un software excelente y seguro. En otras palabras, podemos implementar una formación divertida y participativa que aproveche las vulnerabilidades reales del código y obtener el consenso de toda la organización para garantizar un presupuesto suficiente que permita mantener esta tendencia. En un entorno digital en constante evolución, la formación debe ser tan continua como la implementación. Si alguna vez ha oído decir que la formación en materia de cumplimiento normativo «se configura una vez y se olvida» es adecuada o eficaz, se trata de una idea errónea. «configurada una vez y olvidada», es una idea errónea.
Este nuevo marco del NIST no especifica concretamente los requisitos para crear una cultura de seguridad positiva, pero es imprescindible para cumplir con éxito las directrices. Sin embargo, cabe destacar que las organizaciones deben «definir políticas que especifiquen los requisitos de seguridad que debe cumplir el software de la organización, incluidas las prácticas de codificación segura que deben seguir los desarrolladores».
El contenido anterior es muy importante para ampliar y perfeccionar las tecnologías de seguridad dentro del equipo, y puede resultar útil tener en cuenta los siguientes aspectos a la hora de evaluar las políticas propias y el entorno actual de AppSec.
- ¿Están claramente definidas las directrices y expectativas en materia de seguridad del software?
- ¿Saben claramente todos los miembros del equipo qué papel desempeñan en la consecución de los objetivos?
- ¿La educación es frecuente y se evalúa?
- ¿Saben los desarrolladores lo importante que es eliminar los errores de seguridad comunes antes de que se produzcan?
Como mencioné anteriormente, la parte final depende principalmente de la organización y la formación que esta elija. Debe ser relevante, frecuente y contar con un alto nivel de participación. Busque soluciones que se puedan aplicar al trabajo diario y acumule conocimientos adaptados a cada situación.
¿Y ahora qué hacemos?
Examinar en detalle estas nuevas directrices puede resultar bastante complicado. Se requiere un gran esfuerzo para crear, verificar y distribuir el software de seguridad exhaustivo que necesitan la mayoría de las empresas de la forma más segura posible. Y no se limita solo a la formación. Hay directrices que deben tenerse en cuenta al utilizar software de terceros (el uso de componentes con vulnerabilidades conocidas sigue estando presente, como se indica en el Top 10 de OWASP), propuestas sobre verificación, pruebas de penetración y revisión de código, directrices para el mantenimiento de registros de seguridad, cadenas de herramientas adecuadas y todo lo demás. Se puede encontrar una visión general viable en el libro del Dr. Gary McGraw, el modelo BSIMM, al quese hace referencia en todos los documentos del NIST.
Sin embargo, si se proporciona a los desarrolladores las herramientas y los conocimientos adecuados para crear software seguro desde el principio, se puede alcanzar el éxito más rápidamente. Prevenir las vulnerabilidades comunes que surgen en la última fase del SDLC es más barato desde el punto de vista empresarial (y, en general, más rápido). Aproveche sus puntos fuertes y ofrézcales incentivos para que participen en la seguridad de la organización.Puede resultar muy interesante y ellos pueden convertirse en los héroes oportunos necesarios para detener a las personas malintencionadas y proteger los datos.
Referencias:
- Mitigación del riesgo de vulnerabilidad del software mediante la introducción de SSDF (11 de junio de 2019) Página 2.
- Mitigación del riesgo de vulnerabilidad del software mediante la introducción de SSDF (11 de junio de 2019) Página 5.
- Mitigación del riesgo de vulnerabilidad del software mediante la introducción de SSDF (11 de junio de 2019) Página 4.
El 11 de junio de 2019, el Instituto Nacional de Estándares y Tecnología (NIST) publicó un informe actualizado con información detallada. Varios planes de acción para reducir las vulnerabilidades del software y los riesgos cibernéticos. Bajo el título «Mitigación de los riesgos de vulnerabilidad del software mediante la adopción del Marco de Desarrollo de Software Seguro (SSDF)», el NIST ofrece a las organizaciones directrices claras para evitar las costosas consecuencias de las violaciones de datos, por no hablar de los resultados desagradables.
A modo de referencia, el SSDF no asume que todas las organizaciones tengan los mismos objetivos de seguridad de software, ni prescribe los mecanismos exactos para alcanzarlos. El objetivo principal es implementar las mejores prácticas de seguridad. La autora Donna Dodson afirma lo siguiente: «Cada creador de seguridad desea que se cumplan todas las prácticas aplicables, pero es de esperar que el grado de implementación de cada práctica varíe en función de las hipótesis de seguridad del creador. Estas prácticas ofrecen flexibilidad al implementador, pero también es evidente que no deben dejar demasiado margen para la interpretación».
Por supuesto, fue especialmente interesante que se incluyeran detalles concretos sobre la formación en seguridad de software para desarrolladores. Hace tiempo que sabemos que los desarrolladores necesitan una formación adecuada para proteger a la organización desde el principio del proceso de desarrollo de software... Pero, ¿adecuada, exactamente? Hay muchas opiniones diferentes en el mundo. Sin embargo, creo que finalmente se están ampliando los límites en una dirección que traerá resultados muy positivos.
Hay formación en seguridad... y hay formación en seguridad eficaz.
El autor ha hablado extensamente sobre la necesidad de implementar la formación en seguridad de software de forma más eficaz y adaptarla a las necesidades de los desarrolladores. En la actualidad, muchas organizaciones se limitan a ofrecer, en el mejor de los casos, ejercicios «estándar».Es posible que se dediquen unas horas a la formación en vídeo o que se utilicen herramientas para el aprendizaje en el aula, lo que supone una pérdida de tiempo valioso. El hecho de que cada dos días se produzcan violaciones de datos a gran escala por parte de atacantes que aprovechan vulnerabilidades conocidas (y, por lo general, fáciles de corregir) es una prueba de que la formación en seguridad de software no es tan eficaz como debería. Y lo que es quizás más importante, apenas hay datos que permitan verificar si la formación ha sido eficaz. ¿Se han solucionado las vulnerabilidades más rápidamente? ¿Se está reduciendo la vulnerabilidad en el código? ¿La gente ha completado realmente la formación? ¿O simplemente han hecho clic en «Siguiente» para completar la formación?
Los desarrolladores son personas muy ocupadas que trabajan duro para cumplir con plazos estrictos. La seguridad suele ser un tema incómodo y, en muchos casos, la formación no proporciona los conocimientos necesarios para mitigar con éxito los riesgos cibernéticos. Por lo general, cuando los miembros del equipo de AppSec señalan fallos en el trabajo, se piensa en la palabra «seguridad», lo que da lugar a una relación algo fría y poco funcional. Es el típico escenario de «el bebé es feo, ve y arréglalo».
¿Qué nos dice esto? El hecho de que los desarrolladores no presten suficiente atención a la seguridad es una señal de alarma que lleva décadas presente. Los desarrolladores no están motivados para asumir responsabilidades y no buscan las herramientas necesarias para crear software funcional que tenga en cuenta las mejores prácticas de seguridad.
Los desarrolladores son inteligentes, creativos y les gusta resolver problemas. Es poco probable que ver vídeos interminables sobre vulnerabilidades de seguridad despierte el interés de los desarrolladores o les mantenga motivados.Como instructor de SANS, pronto me di cuenta de que la mejor forma de enseñar es ofrecer a los alumnos ejercicios prácticos que les permitan poner a prueba su capacidad intelectual y analizar y examinar casos reales basados en lo que han aprendido previamente. La gamificación y la competencia amistosa son herramientas poderosas que permiten a todo el mundo aprender nuevos conceptos, al tiempo que mantienen su utilidad y practicidad en el ámbito de la aplicación.
Las directrices del NIST establecen lo siguiente: «Proporcione formación específica para cada función a todos los empleados que desempeñen un papel responsable en el desarrollo de la seguridad. Revise periódicamente la formación específica para cada función y actualícela según sea necesario». A continuación: «Defina las funciones y responsabilidades del personal de ciberseguridad, los responsables de seguridad, la alta dirección, los desarrolladores de software, los propietarios de productos y otras personas relacionadas con el SDLC».
Esta declaración no es específica en cuanto al tipo de formación, pero sigue siendo útil para transformar la organización y tener en cuenta las mejores prácticas de seguridad. De este modo, se devuelve a la empresa la responsabilidad de encontrar soluciones de formación eficaces y más específicas, con la esperanza de que los desarrolladores dispongan de las herramientas y los conocimientos adecuados para alcanzar el éxito.
Cultura: el eslabón perdido.
Aunque se invierta tiempo y recursos en formar a los desarrolladores y otros empleados clave, haciendo hincapié en la importancia de prevenir las vulnerabilidades y reducir los riesgos de seguridad en la organización, estos esfuerzos pueden resultar en vano si la cultura de seguridad de la organización está fundamentalmente deteriorada.
Formar eficazmente a las personas, establecer objetivos y aclarar las expectativas facilita enormemente que comprendan su lugar en el entorno de seguridad y asuman las responsabilidades adecuadas. En el caso concreto de los desarrolladores, se les proporcionan desde el principio las herramientas y los conocimientos necesarios para escribir código seguro. Sin embargo, este enfoque se coordina mejor en un entorno de seguridad positivo, con menos duplicación de tareas, transferencia de responsabilidades y trabajo en proyectos aislados.
Debemos dar prioridad a la seguridad de toda la organización mediante el apoyo y la cooperación para proporcionar un software excelente y seguro. En otras palabras, podemos implementar una formación divertida y participativa que aproveche las vulnerabilidades reales del código y obtener el consenso de toda la organización para garantizar un presupuesto suficiente que permita mantener esta tendencia. En un entorno digital en constante evolución, la formación debe ser tan continua como la implementación. Si alguna vez ha oído decir que la formación en materia de cumplimiento normativo «se configura una vez y se olvida» es adecuada o eficaz, se trata de una idea errónea. «configurada una vez y olvidada», es una idea errónea.
Este nuevo marco del NIST no especifica concretamente los requisitos para crear una cultura de seguridad positiva, pero es imprescindible para cumplir con éxito las directrices. Sin embargo, cabe destacar que las organizaciones deben «definir políticas que especifiquen los requisitos de seguridad que debe cumplir el software de la organización, incluidas las prácticas de codificación segura que deben seguir los desarrolladores».
El contenido anterior es muy importante para ampliar y perfeccionar las tecnologías de seguridad dentro del equipo, y puede resultar útil tener en cuenta los siguientes aspectos a la hora de evaluar las políticas propias y el entorno actual de AppSec.
- ¿Están claramente definidas las directrices y expectativas en materia de seguridad del software?
- ¿Saben claramente todos los miembros del equipo qué papel desempeñan en la consecución de los objetivos?
- ¿La educación es frecuente y se evalúa?
- ¿Saben los desarrolladores lo importante que es eliminar los errores de seguridad comunes antes de que se produzcan?
Como mencioné anteriormente, la parte final depende principalmente de la organización y la formación que esta elija. Debe ser relevante, frecuente y contar con un alto nivel de participación. Busque soluciones que se puedan aplicar al trabajo diario y acumule conocimientos adaptados a cada situación.
¿Y ahora qué hacemos?
Examinar en detalle estas nuevas directrices puede resultar bastante complicado. Se requiere un gran esfuerzo para crear, verificar y distribuir el software de seguridad exhaustivo que necesitan la mayoría de las empresas de la forma más segura posible. Y no se limita solo a la formación. Hay directrices que deben tenerse en cuenta al utilizar software de terceros (el uso de componentes con vulnerabilidades conocidas sigue estando presente, como se indica en el Top 10 de OWASP), propuestas sobre verificación, pruebas de penetración y revisión de código, directrices para el mantenimiento de registros de seguridad, cadenas de herramientas adecuadas y todo lo demás. Se puede encontrar una visión general viable en el libro del Dr. Gary McGraw, el modelo BSIMM, al quese hace referencia en todos los documentos del NIST.
Sin embargo, si se proporciona a los desarrolladores las herramientas y los conocimientos adecuados para crear software seguro desde el principio, se puede alcanzar el éxito más rápidamente. Prevenir las vulnerabilidades comunes que surgen en la última fase del SDLC es más barato desde el punto de vista empresarial (y, en general, más rápido). Aproveche sus puntos fuertes y ofrézcales incentivos para que participen en la seguridad de la organización.Puede resultar muy interesante y ellos pueden convertirse en los héroes oportunos necesarios para detener a las personas malintencionadas y proteger los datos.
Referencias:
- Mitigación del riesgo de vulnerabilidad del software mediante la introducción de SSDF (11 de junio de 2019) Página 2.
- Mitigación del riesgo de vulnerabilidad del software mediante la introducción de SSDF (11 de junio de 2019) Página 5.
- Mitigación del riesgo de vulnerabilidad del software mediante la introducción de SSDF (11 de junio de 2019) Página 4.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
El 11 de junio de 2019, el Instituto Nacional de Estándares y Tecnología (NIST) publicó un informe actualizado con información detallada. Varios planes de acción para reducir las vulnerabilidades del software y los riesgos cibernéticos. Bajo el título «Mitigación de los riesgos de vulnerabilidad del software mediante la adopción del Marco de Desarrollo de Software Seguro (SSDF)», el NIST ofrece a las organizaciones directrices claras para evitar las costosas consecuencias de las violaciones de datos, por no hablar de los resultados desagradables.
A modo de referencia, el SSDF no asume que todas las organizaciones tengan los mismos objetivos de seguridad de software, ni prescribe los mecanismos exactos para alcanzarlos. El objetivo principal es implementar las mejores prácticas de seguridad. La autora Donna Dodson afirma lo siguiente: «Cada creador de seguridad desea que se cumplan todas las prácticas aplicables, pero es de esperar que el grado de implementación de cada práctica varíe en función de las hipótesis de seguridad del creador. Estas prácticas ofrecen flexibilidad al implementador, pero también es evidente que no deben dejar demasiado margen para la interpretación».
Por supuesto, fue especialmente interesante que se incluyeran detalles concretos sobre la formación en seguridad de software para desarrolladores. Hace tiempo que sabemos que los desarrolladores necesitan una formación adecuada para proteger a la organización desde el principio del proceso de desarrollo de software... Pero, ¿adecuada, exactamente? Hay muchas opiniones diferentes en el mundo. Sin embargo, creo que finalmente se están ampliando los límites en una dirección que traerá resultados muy positivos.
Hay formación en seguridad... y hay formación en seguridad eficaz.
El autor ha hablado extensamente sobre la necesidad de implementar la formación en seguridad de software de forma más eficaz y adaptarla a las necesidades de los desarrolladores. En la actualidad, muchas organizaciones se limitan a ofrecer, en el mejor de los casos, ejercicios «estándar».Es posible que se dediquen unas horas a la formación en vídeo o que se utilicen herramientas para el aprendizaje en el aula, lo que supone una pérdida de tiempo valioso. El hecho de que cada dos días se produzcan violaciones de datos a gran escala por parte de atacantes que aprovechan vulnerabilidades conocidas (y, por lo general, fáciles de corregir) es una prueba de que la formación en seguridad de software no es tan eficaz como debería. Y lo que es quizás más importante, apenas hay datos que permitan verificar si la formación ha sido eficaz. ¿Se han solucionado las vulnerabilidades más rápidamente? ¿Se está reduciendo la vulnerabilidad en el código? ¿La gente ha completado realmente la formación? ¿O simplemente han hecho clic en «Siguiente» para completar la formación?
Los desarrolladores son personas muy ocupadas que trabajan duro para cumplir con plazos estrictos. La seguridad suele ser un tema incómodo y, en muchos casos, la formación no proporciona los conocimientos necesarios para mitigar con éxito los riesgos cibernéticos. Por lo general, cuando los miembros del equipo de AppSec señalan fallos en el trabajo, se piensa en la palabra «seguridad», lo que da lugar a una relación algo fría y poco funcional. Es el típico escenario de «el bebé es feo, ve y arréglalo».
¿Qué nos dice esto? El hecho de que los desarrolladores no presten suficiente atención a la seguridad es una señal de alarma que lleva décadas presente. Los desarrolladores no están motivados para asumir responsabilidades y no buscan las herramientas necesarias para crear software funcional que tenga en cuenta las mejores prácticas de seguridad.
Los desarrolladores son inteligentes, creativos y les gusta resolver problemas. Es poco probable que ver vídeos interminables sobre vulnerabilidades de seguridad despierte el interés de los desarrolladores o les mantenga motivados.Como instructor de SANS, pronto me di cuenta de que la mejor forma de enseñar es ofrecer a los alumnos ejercicios prácticos que les permitan poner a prueba su capacidad intelectual y analizar y examinar casos reales basados en lo que han aprendido previamente. La gamificación y la competencia amistosa son herramientas poderosas que permiten a todo el mundo aprender nuevos conceptos, al tiempo que mantienen su utilidad y practicidad en el ámbito de la aplicación.
Las directrices del NIST establecen lo siguiente: «Proporcione formación específica para cada función a todos los empleados que desempeñen un papel responsable en el desarrollo de la seguridad. Revise periódicamente la formación específica para cada función y actualícela según sea necesario». A continuación: «Defina las funciones y responsabilidades del personal de ciberseguridad, los responsables de seguridad, la alta dirección, los desarrolladores de software, los propietarios de productos y otras personas relacionadas con el SDLC».
Esta declaración no es específica en cuanto al tipo de formación, pero sigue siendo útil para transformar la organización y tener en cuenta las mejores prácticas de seguridad. De este modo, se devuelve a la empresa la responsabilidad de encontrar soluciones de formación eficaces y más específicas, con la esperanza de que los desarrolladores dispongan de las herramientas y los conocimientos adecuados para alcanzar el éxito.
Cultura: el eslabón perdido.
Aunque se invierta tiempo y recursos en formar a los desarrolladores y otros empleados clave, haciendo hincapié en la importancia de prevenir las vulnerabilidades y reducir los riesgos de seguridad en la organización, estos esfuerzos pueden resultar en vano si la cultura de seguridad de la organización está fundamentalmente deteriorada.
Formar eficazmente a las personas, establecer objetivos y aclarar las expectativas facilita enormemente que comprendan su lugar en el entorno de seguridad y asuman las responsabilidades adecuadas. En el caso concreto de los desarrolladores, se les proporcionan desde el principio las herramientas y los conocimientos necesarios para escribir código seguro. Sin embargo, este enfoque se coordina mejor en un entorno de seguridad positivo, con menos duplicación de tareas, transferencia de responsabilidades y trabajo en proyectos aislados.
Debemos dar prioridad a la seguridad de toda la organización mediante el apoyo y la cooperación para proporcionar un software excelente y seguro. En otras palabras, podemos implementar una formación divertida y participativa que aproveche las vulnerabilidades reales del código y obtener el consenso de toda la organización para garantizar un presupuesto suficiente que permita mantener esta tendencia. En un entorno digital en constante evolución, la formación debe ser tan continua como la implementación. Si alguna vez ha oído decir que la formación en materia de cumplimiento normativo «se configura una vez y se olvida» es adecuada o eficaz, se trata de una idea errónea. «configurada una vez y olvidada», es una idea errónea.
Este nuevo marco del NIST no especifica concretamente los requisitos para crear una cultura de seguridad positiva, pero es imprescindible para cumplir con éxito las directrices. Sin embargo, cabe destacar que las organizaciones deben «definir políticas que especifiquen los requisitos de seguridad que debe cumplir el software de la organización, incluidas las prácticas de codificación segura que deben seguir los desarrolladores».
El contenido anterior es muy importante para ampliar y perfeccionar las tecnologías de seguridad dentro del equipo, y puede resultar útil tener en cuenta los siguientes aspectos a la hora de evaluar las políticas propias y el entorno actual de AppSec.
- ¿Están claramente definidas las directrices y expectativas en materia de seguridad del software?
- ¿Saben claramente todos los miembros del equipo qué papel desempeñan en la consecución de los objetivos?
- ¿La educación es frecuente y se evalúa?
- ¿Saben los desarrolladores lo importante que es eliminar los errores de seguridad comunes antes de que se produzcan?
Como mencioné anteriormente, la parte final depende principalmente de la organización y la formación que esta elija. Debe ser relevante, frecuente y contar con un alto nivel de participación. Busque soluciones que se puedan aplicar al trabajo diario y acumule conocimientos adaptados a cada situación.
¿Y ahora qué hacemos?
Examinar en detalle estas nuevas directrices puede resultar bastante complicado. Se requiere un gran esfuerzo para crear, verificar y distribuir el software de seguridad exhaustivo que necesitan la mayoría de las empresas de la forma más segura posible. Y no se limita solo a la formación. Hay directrices que deben tenerse en cuenta al utilizar software de terceros (el uso de componentes con vulnerabilidades conocidas sigue estando presente, como se indica en el Top 10 de OWASP), propuestas sobre verificación, pruebas de penetración y revisión de código, directrices para el mantenimiento de registros de seguridad, cadenas de herramientas adecuadas y todo lo demás. Se puede encontrar una visión general viable en el libro del Dr. Gary McGraw, el modelo BSIMM, al quese hace referencia en todos los documentos del NIST.
Sin embargo, si se proporciona a los desarrolladores las herramientas y los conocimientos adecuados para crear software seguro desde el principio, se puede alcanzar el éxito más rápidamente. Prevenir las vulnerabilidades comunes que surgen en la última fase del SDLC es más barato desde el punto de vista empresarial (y, en general, más rápido). Aproveche sus puntos fuertes y ofrézcales incentivos para que participen en la seguridad de la organización.Puede resultar muy interesante y ellos pueden convertirse en los héroes oportunos necesarios para detener a las personas malintencionadas y proteger los datos.
Referencias:
- Mitigación del riesgo de vulnerabilidad del software mediante la introducción de SSDF (11 de junio de 2019) Página 2.
- Mitigación del riesgo de vulnerabilidad del software mediante la introducción de SSDF (11 de junio de 2019) Página 5.
- Mitigación del riesgo de vulnerabilidad del software mediante la introducción de SSDF (11 de junio de 2019) Página 4.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
