El cumplimiento es el resultado de una buena seguridad, y no al revés. Si los desarrolladores aprenden activamente y aplican los conceptos a su trabajo diario, la seguridad crecerá de forma holística dentro de la cultura de la empresa.

Descubra cómo Netskope aprovechó la flexibilidad del contenido de Secure Code Warriory su enfoque interactivo y práctico del aprendizaje para crear un enfoque programático de la seguridad impulsada por los desarrolladores, al tiempo que cumplía los requisitos de conformidad de su sector.

Para inaugurar el mes de concienciación sobre la ciberseguridad, este seminario web tratará sobre:

• Los principales impulsores de negocio de Netskope y cómo construyeron un caso de negocio para SCW y el aprendizaje ágil de código seguro.
• ¿Qué medidas se tomaron para poner en marcha el programa y cuáles eran sus objetivos?
• Cómo asociarse con los desarrolladores y medir su compromiso como factor de éxito
• Cómo el programa Warrior de Netskope duplicó la participación en la formación de SCW en dos años

El concepto de "desplazamiento a la izquierda" ha formado parte del discurso del sector de la ciberseguridad desde principios de la década de 2000. La amenaza inminente de ciberataques a gran escala, que empezó a cobrar importancia como parte de la evolución de las metodologías de desarrollo Agile, seguidas de DevOps, hizo necesaria una estrategia de defensa a medida que crecía la huella digital del mundo.

Aun así, casi veinte años después de que el movimiento "shift left" prometiera revolucionar la entrega segura de software, seguimos enfrentándonos a una avalancha de código inseguro, bajos niveles de concienciación sobre la seguridad en las organizaciones y la consiguiente ciberdelincuencia, que aumenta en volumen y potencia año tras año. Se calcula que en 2025 los ciberataques costarán al mundo 10,5 billones de dólares anuales.

Un abismo cada vez mayor en las habilidades de ciberseguridad ha asegurado que hayamos estado escasos de personal de seguridad experimentado durante bastante tiempo, y a pesar de ser un punto crítico de dolor para la mayoría de los líderes de seguridad y CISOs, simplemente no podemos permitirnos el lujo de esperar pacientemente a un cambio milagroso en las circunstancias. El enfoque actual es erróneo, y necesitamos revitalizar y utilizar los recursos que tenemos justo delante de nosotros, y realmente, el alivio es posible en forma de desarrolladores cualificados en seguridad.

En este libro blanco, el experto en seguridad y cofundador y director de tecnología de Secure Code Warrior , Matias Madou, Ph.D., hablará sobre el tema:

• Los seis pilares que necesita para desplegar una formación y capacitación eficaces en materia de seguridad para su cohorte de desarrollo.
• Lecciones aprendidas de diez ejecutivos que implantan programas de seguridad a nivel empresarial.
• Errores comunes que hay que evitar en el camino hacia el éxito.

‍

En esta era de DevSecOps, entrega continua y más datos que nunca, las organizaciones astutas están ayudando a desarrolladores como tú a convertirse en superestrellas conscientes de la seguridad que ayudan a eliminar vulnerabilidades comunes antes de que lleguen a la producción. Cuando se produce código de alta calidad sin esos molestos y llamativos errores, no sólo es más seguro para el usuario final, sino que también resulta en menos trabajo y trastornos para usted. Los siguientes capítulos se centrarán en algunos de los peores errores de seguridad relacionados con las interfaces de programación de aplicaciones (API). Son tan frecuentes que han aparecido en la nueva lista 2023 del Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP) de las principales vulnerabilidades de las API. Dada la importancia de las API en las infraestructuras informáticas modernas, se trata de problemas críticos que debe evitar a toda costa en sus aplicaciones y programas.

Explore este nuevo libro electrónico para obtener más información:

• Cómo funciona cada una de las 10 principales vulnerabilidades de las API y cómo puede aprovecharlas un atacante.
• Qué aspecto tienen y cómo solucionarlos con buenos patrones de codificación (¡con enlaces a desafíos reales y prácticos!)
• Cómo navegar por la seguridad al ritmo de la innovación en su trabajo diario.

‍

Las organizaciones suelen abordar la seguridad con el objetivo de reducir su perfil de riesgo de forma orgánica, normalmente identificando a desarrolladores que puedan convertirse en campeones de la seguridad. Sin embargo, el reto de identificar y fomentar a los campeones de la seguridad consiste en crear un programa que pueda ampliarse con el tiempo y capacitar a los desarrolladores para que ayuden a mejorar la postura general de seguridad de una organización.

En este informe, obtendrá una visión general de los resultados de las Devlympics 2022, así como una inmersión profunda en las fortalezas y oportunidades destacadas por cientos a través de los desafíos jugados. Además, aprenda a comparar el conjunto de habilidades de su organización y encuentre formas de inspirar un cambio hacia la seguridad impulsada por los desarrolladores.

Fondo

Thales Group es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri, es el Director Técnico de Seguridad del Software en Thales. Viswanath, o Vis, comenzó su carrera en el ámbito de la seguridad inicialmente como programador. Ahora es un alto dirigente de seguridad en Thales, con más de 18 años de experiencia en el sector de la seguridad, y posee más de 30 certificaciones, entre ellas CISSP, PMP y GSE. Ha formado a más de 3.000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío SANS en ciberseguridad internacional tournaments (como Netwars) y es miembro activo de la Junta Consultiva GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un programa de aprendizaje de código seguro de éxito en Thales.

Situación

Cuando Vis empezó a trabajar en Thales, enseñó a las unidades de negocio a buscar el origen de las vulnerabilidades descubiertas mediante pruebas de penetración como posible solución para reducir la deuda tecnológica acumulada. El equipo de seguridad de aplicaciones utilizaba 7 proveedores diferentes con los que trabajaban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pen-testing. Vis quería comprender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación a través de una fuerte integración entre proceso y tecnología. Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían formación ni conocimientos de seguridad. Su planteamiento inicial consistía en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero enseguida se dio cuenta de que no iba a ser posible con todos los viajes necesarios para impartir la formación en persona y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:

"Siempre va a haber un desequilibrio en la proporción entre seguridad y desarrollo. Incluso si tuviera una proporción de 1:1 entre seguridad y desarrolladores, no podría mantenerlos comprometidos todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significaba que teníamos que ser capaces de promover el autoaprendizaje de los desarrolladores y hacer que pudieran ir a su propio ritmo. Si necesitaban ayuda, yo podía ayudarles, pero me di cuenta de que no podía ser el tipo que les enseñaba a solucionar cada vulnerabilidad que encontraban".

Al principio, los directores de desarrollo se opusieron a la inversión de tiempo que los desarrolladores tendrían que dedicar al aprendizaje de código seguro, ya que muchos de ellos empezaban desde cero. Vis tenía que gestionar la percepción de que un compromiso con el aprendizaje seguro del código podría interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Tenía que encontrar la forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud de "las personas primero" para abordar las vulnerabilidades en su origen, "La gente suele decir que la seguridad resta tiempo al desarrollo. Para mí, si desarrollas algo y es inseguro, para empezar ha sido una pérdida de tiempo. Siempre hay que desarrollar software para que sea seguro y ahorrarse el tiempo de tener que arreglar vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de distribuir código fiable".

Acción

Vis tenía dos objetivos principales en mente: proteger su software y concienciar a los equipos de desarrolladores de Thales en materia de seguridad. Era fundamental implantar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistió en crear una comunidad de seguridad a lo largo del tiempo, trabajando para vincular la codificación segura con las políticas corporativas y desarrollando un mandato para el aprendizaje de código seguro en la organización. Al fomentar una cultura de comunidad que conectaba a desarrolladores, probadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron campeones de seguridad apasionados por la seguridad como parte de su trabajo diario que ayudaron a difundir las prácticas de código seguro por toda la organización. Vis evaluó a más de una docena de proveedores de capacitación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue un gran beneficio tener un proveedor que cubriera todos los lenguajes de programación y marcos en su entorno en lugar de una solución poco sistemática. Vis se apoyó en el enorme volumen de contenido de Secure Code Warriorpara crear formación y aprendizaje a su propio ritmo al que pudieran acceder los desarrolladores del programa de seguridad:

"El top 10 de OWASP no son simplemente diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades cubiertas por OWASP combinadas con el gran número de lenguajes de programación puede ser abrumador - la amplia gama de retos y la cobertura que tenemos en estas cosas fue un factor clave en la elección de SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de construir un programa continuo."

Vis y su equipo estructuraron cuatro niveles de despliegue del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:

Es importante destacar que SCW se convirtió en la fuente de la verdad para las correcciones de vulnerabilidades. En lugar de confiar en las búsquedas de Google que podrían llevarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenidos de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para las correcciones de vulnerabilidades en el código. Según Vis:

"Los desarrolladores no deberían tener libertad para decidir cómo solucionar una vulnerabilidad e introducir potencialmente una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para asegurarnos de que los desarrolladores aprendían a solucionar la vulnerabilidad de la forma correcta. Esto también nos dio una manera de asegurar que los desarrolladores que entregan software seguro estaban siendo reconocidos. Les pedimos que alcancen un determinado nivel de codificación segura y podemos hacer un seguimiento a través de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, el duro trabajo que han realizado es reconocido y valorado en la empresa".

Resultados

Vis y su equipo publican mensualmente un boletín de código seguro en el que reconocen a los mejores aprendices de la empresa. Utilizan SCW para consultar las puntuaciones de assessment , la participación en tournament y los retos jugados para amplificar ese logro. Esto motiva a otros desarrolladores a aprender también. Los KPI que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en 2 años. Tras implantar SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir en el código fuente. Vis lo expresa de esta manera:

"Los KPI que presentamos a nuestros directivos reflejan esa selección bien informada que hicimos. Estamos orgullosos de contar con una formación en código seguro que ofrece confianza empresarial a nuestros clientes. Somos reconocidos por nuestro completo programa de formación en código seguro y somos respetados por nuestros clientes y compañeros. Tener un programa como éste añade mucho valor a la empresa".

Principales conclusiones

Vis reconoció que tanto las personas como los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Centrándose en la seguridad del software, los conocimientos de los desarrolladores y el cumplimiento de la normativa, es posible elaborar un aprendizaje ágil para un programa de código seguro que reduzca las vulnerabilidades del código fuente a lo largo del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que busquen crear habilidades de seguridad en los equipos de desarrolladores.

Definir un plan de aprendizaje ágil de codificación segura no es tarea fácil, sobre todo cuando hay que cumplir requisitos de conformidad y plazos de publicación. Pero es un esfuerzo que merece la pena y que reportará beneficios como la mejora de la productividad y la reducción del riesgo. 

La madurez de la seguridad en los equipos de desarrollo se evalúa en función de su capacidad colectiva para desplazarse hacia la izquierda e integrar la seguridad en todas las fases del ciclo de vida del desarrollo de software, lo que permite a los desarrolladores con conocimientos de seguridad ser la primera línea de defensa en la identificación y corrección de vulnerabilidades. 

En esta guía, exploramos las lecciones aprendidas de tres clientes reales de Secure Code Warrior . Si aprendes de su experiencia, podrás empezar a crear un plan de aprendizaje ágil y seguro del código para tu organización.

Descúbrelo:

• ¿A qué retos se enfrentaban las organizaciones en las distintas fases de madurez de la seguridad de los desarrolladores?
• ¿Cuáles han sido las principales lecciones aprendidas?
• ¿Qué resultados puede esperar en cada fase del proceso de madurez de la seguridad?

Los profesionales de DevOps y de la seguridad tienen que adaptarse a la evolución del panorama de la ciberseguridad, y el enfoque del sector para mejorar las competencias de los desarrolladores debe evolucionar con él. 

Ahora sabemos que los desarrolladores envían código más rápido que nunca. Esto introduce nuevos riesgos, ya que a menudo se resta prioridad a la seguridad para cumplir plazos ajustados y satisfacer la demanda del mercado. 

Las organizaciones modernas emplean la seguridad impulsada por los desarrolladores utilizando principios de aprendizaje ágil. Este enfoque rápido y flexible permite a los desarrolladores interiorizar rápidamente técnicas de codificación segura que pueden aplicar de inmediato.

Secure Code Warrior enseña a los desarrolladores a identificar, evitar y corregir vulnerabilidades mientras codifican. Nuestro ágil learning platform para la codificación segura ofrece a los desarrolladores la libertad de aprender a su manera preferida, con el contenido sobre vulnerabilidades más completo y fiable del sector en la actualidad.

Al integrar el aprendizaje ágil de código seguro con la entrega moderna de software, los desarrolladores pueden aprender, aplicar y retener eficazmente los principios de seguridad del software a lo largo de todo el ciclo de vida de desarrollo del software. 

En este libro electrónico, aprenderá a:

• Alinear los principios de aprendizaje ágil con el método de entrega DevSecOps y trasladar la seguridad al inicio del ciclo de vida de desarrollo de software. 
• Comprenda las etapas de madurez de la seguridad para establecer una línea de base para su enfoque ágil de aprendizaje de código seguro.
• Aproveche las recomendaciones y acciones clave de los expertos en seguridad de SCW y de los clientes de SCW.