¿Cómo logra Thales una seguridad impulsada por los desarrolladores?
Antecedentes
El Grupo Thales es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, equipos y dispositivos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri es director técnico de seguridad de software en Thales.Viswanath, también conocido como Vis, comenzó su carrera profesional como programador. Ahora es responsable sénior de seguridad en Thales, cuenta con más de 18 años de experiencia en el sector de la seguridad y posee más de 30 certificaciones, entre las que se incluyen CISSP, PMP y GSE. Ha formado a más de 3000 profesionales del software en más de 18 países.Además, Vis ha ganado más de 10 medallas SANS en competiciones internacionales de ciberseguridad, como Netwars, y es miembro activo del consejo asesor de GIAC. Hablamos con Vis para saber cómo coordina a las personas, los procesos y la tecnología para desarrollar con éxito el programa de aprendizaje de código seguro de Thales.
situación
Cuando Vis comenzó a trabajar en Thales, orientó a los distintos departamentos de negocio a investigar el origen de las vulnerabilidades detectadas mediante pruebas escritas, como posible solución para reducir la acumulación de deuda tecnológica. El equipo de seguridad de aplicaciones utilizó siete proveedores diferentes con los que colaboraban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pruebas escritas. Vis quería conocer las tendencias del mercado y gestionar las amenazas de forma escalable, desarrollando estrategias de mitigación mediante una sólida integración entre procesos y tecnología.Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia con un fuerte componente de aprendizaje. Se dio cuenta de que muchos desarrolladores no tenían experiencia ni conocimientos en materia de seguridad. Su enfoque inicial consistió en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero pronto se dio cuenta de que esta formación no podía ampliarse debido a todos los viajes que requería la enseñanza presencial y a la necesidad de llegar a miles de desarrolladores en todo el mundo. Vis señala:
«La relación entre seguridad y desarrollo siempre es desequilibrada. Incluso si mi ratio de seguridad y desarrollo fuera de 1:1, no podría mantenerlos involucrados todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significa que necesitamos promover el autoaprendizaje de los desarrolladores para que puedan avanzar a su propio ritmo. Si necesitan ayuda, puedo ayudarlos, pero soy consciente de que no puedo ser quien les enseñe cómo corregir cada vulnerabilidad que descubren».
Al principio, el director de desarrollo se dio cuenta de que había muchos desarrolladores que partían de cero, por lo que se oponía al tiempo que estos debían dedicar al aprendizaje de código seguro. Vis necesitaba controlar la idea de que comprometerse con el aprendizaje de código seguro podría interferir en el ciclo de lanzamiento del software o ralentizar el ritmo de los sprints de tareas críticas. Necesitaba encontrar una forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó un enfoque centrado en las personas para abordar las vulnerabilidades desde la raíz. «La gente suele decir que la seguridad ocupa tiempo de desarrollo. Para mí, si desarrollas algo que no es seguro, estás perdiendo el tiempo desde el principio. Siempre debes desarrollar software seguro, lo que te ahorrará tiempo en corregir vulnerabilidades que se podrían haber evitado fácilmente. Todos debemos tener un objetivo común: publicar código fiable».
Acción
Vis tiene dos objetivos principales: proteger su software y aumentar la concienciación sobre seguridad del equipo de desarrollo de Thales. Era fundamental implementar un programa que permitiera a los desarrolladores formarse de forma independiente y a su propio ritmo. La estrategia de Vis consistía en crear una comunidad de seguridad a lo largo del tiempo, esforzándose por vincular la codificación segura con las políticas de la empresa y estableciendo requisitos de aprendizaje de código seguro en la organización. Al fomentar una cultura comunitaria que conectara a desarrolladores, testers, arquitectos e ingenieros, vio cómo se multiplicaba el efecto motivador.El surgimiento de defensores de la seguridad apasionados por este tema, como parte de su trabajo diario, ayuda a difundir el conocimiento sobre las prácticas de codificación segura en toda la organización. Vis evaluó a más de una docena de proveedores de formación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, era una gran ventaja que el proveedor pudiera cubrir todos los lenguajes de programación y marcos de su entorno, en lugar de ofrecer soluciones fragmentadas.Vis se basa en Secure Code Warrior para ofrecer formación y oportunidades de aprendizaje a su propio ritmo a los desarrolladores de su programa de seguridad:
«El Top 10 de OWASP no es solo las diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades que abarca OWASP, junto con la gran cantidad de lenguajes de programación, pueden resultar abrumadoras. Los amplios retos y la cobertura de estos temas fueron factores clave para elegir SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente hacen que SCW sea diferente. Con ellos, no se trata de una formación puntual,sino que nos brinda la oportunidad de crear un programa continuo».
Vis y su equipo diseñaron el lanzamiento de cuatro niveles del programa de aprendizaje de código seguro, cada uno con diferentes hitos para cada puesto de ingeniería:
Es importante destacar que SCW se ha convertido en una fuente fiable para la corrección de vulnerabilidades. Vis no depende de búsquedas en Google que pueden llevarte a realizar tareas de resolución de problemas, sino que publica guías del equipo AppSec y del repositorio de contenido de SCW, de modo que los desarrolladores puedan consultar fuentes fiables y auténticas para corregir las vulnerabilidades del código. Según Vis:
«Los desarrolladores no deben decidir libremente cómo corregir las vulnerabilidades, ni deben introducir nuevas vulnerabilidades en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para garantizar que los desarrolladores aprendan a corregir las vulnerabilidades de la manera correcta. Esto también nos proporciona una forma de garantizar que los desarrolladores que entregan software seguro obtengan reconocimiento. Les exigimos que alcancen un cierto nivel de codificación segura, y podemos hacer un seguimiento de ello a través de las vulnerabilidades que resuelven y no vuelven a introducir.De esta manera, el arduo trabajo que realizan es reconocido y valorado por la empresa».
Resultado
Vis y su equipo publican cada mes un boletín informativo sobre código de seguridad en el que reconocen a los mejores alumnos de la empresa. Utilizan SCW para consultar las puntuaciones de las evaluaciones, la participación en los torneos y los retos para ampliar los logros. Esto también motiva a otros desarrolladores a aprender. Los indicadores clave de rendimiento que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en dos años. Tras la implementación de SCW, observó que la línea de tendencia descendía. Estas vulnerabilidades no se reintroducen a nivel de código fuente.Vis lo explica así:
«Los indicadores clave de rendimiento que presentamos a la dirección reflejan las decisiones acertadas que tomamos. Nos enorgullecemos de nuestra formación en códigos de seguridad, que genera confianza comercial en nuestros clientes. Somos reconocidos por nuestro completo programa de formación en códigos de seguridad y gozamos del respeto de nuestros clientes y compañeros. Cuando se cuenta con un programa así, se añade mucho valor a la empresa».
Puntos clave
Vis reconoce que el personal, los procesos y la tecnología pueden desempeñar un papel importante en cualquier plan de seguridad. Al centrarse en la seguridad del software, los conocimientos de los desarrolladores y los requisitos de cumplimiento, se puede integrar el aprendizaje ágil en los programas de código seguro, lo que reduce las vulnerabilidades del código fuente con el tiempo. Vis ofrece estas recomendaciones a los profesionales del sector con el fin de fomentar las habilidades de seguridad entre los equipos de desarrolladores.
En este estudio de caso, descubra cómo Thales desarrolló un programa de aprendizaje ágil sobre código de seguridad, así como métodos técnicos y procesos para atraer a los desarrolladores y convertirlos en defensores activos de la seguridad.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Antecedentes
El Grupo Thales es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, equipos y dispositivos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri es director técnico de seguridad de software en Thales.Viswanath, también conocido como Vis, comenzó su carrera profesional como programador. Ahora es responsable sénior de seguridad en Thales, cuenta con más de 18 años de experiencia en el sector de la seguridad y posee más de 30 certificaciones, entre las que se incluyen CISSP, PMP y GSE. Ha formado a más de 3000 profesionales del software en más de 18 países.Además, Vis ha ganado más de 10 medallas SANS en competiciones internacionales de ciberseguridad, como Netwars, y es miembro activo del consejo asesor de GIAC. Hablamos con Vis para saber cómo coordina a las personas, los procesos y la tecnología para desarrollar con éxito el programa de aprendizaje de código seguro de Thales.
situación
Cuando Vis comenzó a trabajar en Thales, orientó a los distintos departamentos de negocio a investigar el origen de las vulnerabilidades detectadas mediante pruebas escritas, como posible solución para reducir la acumulación de deuda tecnológica. El equipo de seguridad de aplicaciones utilizó siete proveedores diferentes con los que colaboraban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pruebas escritas. Vis quería conocer las tendencias del mercado y gestionar las amenazas de forma escalable, desarrollando estrategias de mitigación mediante una sólida integración entre procesos y tecnología.Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia con un fuerte componente de aprendizaje. Se dio cuenta de que muchos desarrolladores no tenían experiencia ni conocimientos en materia de seguridad. Su enfoque inicial consistió en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero pronto se dio cuenta de que esta formación no podía ampliarse debido a todos los viajes que requería la enseñanza presencial y a la necesidad de llegar a miles de desarrolladores en todo el mundo. Vis señala:
«La relación entre seguridad y desarrollo siempre es desequilibrada. Incluso si mi ratio de seguridad y desarrollo fuera de 1:1, no podría mantenerlos involucrados todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significa que necesitamos promover el autoaprendizaje de los desarrolladores para que puedan avanzar a su propio ritmo. Si necesitan ayuda, puedo ayudarlos, pero soy consciente de que no puedo ser quien les enseñe cómo corregir cada vulnerabilidad que descubren».
Al principio, el director de desarrollo se dio cuenta de que había muchos desarrolladores que partían de cero, por lo que se oponía al tiempo que estos debían dedicar al aprendizaje de código seguro. Vis necesitaba controlar la idea de que comprometerse con el aprendizaje de código seguro podría interferir en el ciclo de lanzamiento del software o ralentizar el ritmo de los sprints de tareas críticas. Necesitaba encontrar una forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó un enfoque centrado en las personas para abordar las vulnerabilidades desde la raíz. «La gente suele decir que la seguridad ocupa tiempo de desarrollo. Para mí, si desarrollas algo que no es seguro, estás perdiendo el tiempo desde el principio. Siempre debes desarrollar software seguro, lo que te ahorrará tiempo en corregir vulnerabilidades que se podrían haber evitado fácilmente. Todos debemos tener un objetivo común: publicar código fiable».
Acción
Vis tiene dos objetivos principales: proteger su software y aumentar la concienciación sobre seguridad del equipo de desarrollo de Thales. Era fundamental implementar un programa que permitiera a los desarrolladores formarse de forma independiente y a su propio ritmo. La estrategia de Vis consistía en crear una comunidad de seguridad a lo largo del tiempo, esforzándose por vincular la codificación segura con las políticas de la empresa y estableciendo requisitos de aprendizaje de código seguro en la organización. Al fomentar una cultura comunitaria que conectara a desarrolladores, testers, arquitectos e ingenieros, vio cómo se multiplicaba el efecto motivador.El surgimiento de defensores de la seguridad apasionados por este tema, como parte de su trabajo diario, ayuda a difundir el conocimiento sobre las prácticas de codificación segura en toda la organización. Vis evaluó a más de una docena de proveedores de formación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, era una gran ventaja que el proveedor pudiera cubrir todos los lenguajes de programación y marcos de su entorno, en lugar de ofrecer soluciones fragmentadas.Vis se basa en Secure Code Warrior para ofrecer formación y oportunidades de aprendizaje a su propio ritmo a los desarrolladores de su programa de seguridad:
«El Top 10 de OWASP no es solo las diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades que abarca OWASP, junto con la gran cantidad de lenguajes de programación, pueden resultar abrumadoras. Los amplios retos y la cobertura de estos temas fueron factores clave para elegir SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente hacen que SCW sea diferente. Con ellos, no se trata de una formación puntual,sino que nos brinda la oportunidad de crear un programa continuo».
Vis y su equipo diseñaron el lanzamiento de cuatro niveles del programa de aprendizaje de código seguro, cada uno con diferentes hitos para cada puesto de ingeniería:
Es importante destacar que SCW se ha convertido en una fuente fiable para la corrección de vulnerabilidades. Vis no depende de búsquedas en Google que pueden llevarte a realizar tareas de resolución de problemas, sino que publica guías del equipo AppSec y del repositorio de contenido de SCW, de modo que los desarrolladores puedan consultar fuentes fiables y auténticas para corregir las vulnerabilidades del código. Según Vis:
«Los desarrolladores no deben decidir libremente cómo corregir las vulnerabilidades, ni deben introducir nuevas vulnerabilidades en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para garantizar que los desarrolladores aprendan a corregir las vulnerabilidades de la manera correcta. Esto también nos proporciona una forma de garantizar que los desarrolladores que entregan software seguro obtengan reconocimiento. Les exigimos que alcancen un cierto nivel de codificación segura, y podemos hacer un seguimiento de ello a través de las vulnerabilidades que resuelven y no vuelven a introducir.De esta manera, el arduo trabajo que realizan es reconocido y valorado por la empresa».
Resultado
Vis y su equipo publican cada mes un boletín informativo sobre código de seguridad en el que reconocen a los mejores alumnos de la empresa. Utilizan SCW para consultar las puntuaciones de las evaluaciones, la participación en los torneos y los retos para ampliar los logros. Esto también motiva a otros desarrolladores a aprender. Los indicadores clave de rendimiento que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en dos años. Tras la implementación de SCW, observó que la línea de tendencia descendía. Estas vulnerabilidades no se reintroducen a nivel de código fuente.Vis lo explica así:
«Los indicadores clave de rendimiento que presentamos a la dirección reflejan las decisiones acertadas que tomamos. Nos enorgullecemos de nuestra formación en códigos de seguridad, que genera confianza comercial en nuestros clientes. Somos reconocidos por nuestro completo programa de formación en códigos de seguridad y gozamos del respeto de nuestros clientes y compañeros. Cuando se cuenta con un programa así, se añade mucho valor a la empresa».
Puntos clave
Vis reconoce que el personal, los procesos y la tecnología pueden desempeñar un papel importante en cualquier plan de seguridad. Al centrarse en la seguridad del software, los conocimientos de los desarrolladores y los requisitos de cumplimiento, se puede integrar el aprendizaje ágil en los programas de código seguro, lo que reduce las vulnerabilidades del código fuente con el tiempo. Vis ofrece estas recomendaciones a los profesionales del sector con el fin de fomentar las habilidades de seguridad entre los equipos de desarrolladores.
Antecedentes
El Grupo Thales es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, equipos y dispositivos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri es director técnico de seguridad de software en Thales.Viswanath, también conocido como Vis, comenzó su carrera profesional como programador. Ahora es responsable sénior de seguridad en Thales, cuenta con más de 18 años de experiencia en el sector de la seguridad y posee más de 30 certificaciones, entre las que se incluyen CISSP, PMP y GSE. Ha formado a más de 3000 profesionales del software en más de 18 países.Además, Vis ha ganado más de 10 medallas SANS en competiciones internacionales de ciberseguridad, como Netwars, y es miembro activo del consejo asesor de GIAC. Hablamos con Vis para saber cómo coordina a las personas, los procesos y la tecnología para desarrollar con éxito el programa de aprendizaje de código seguro de Thales.
situación
Cuando Vis comenzó a trabajar en Thales, orientó a los distintos departamentos de negocio a investigar el origen de las vulnerabilidades detectadas mediante pruebas escritas, como posible solución para reducir la acumulación de deuda tecnológica. El equipo de seguridad de aplicaciones utilizó siete proveedores diferentes con los que colaboraban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pruebas escritas. Vis quería conocer las tendencias del mercado y gestionar las amenazas de forma escalable, desarrollando estrategias de mitigación mediante una sólida integración entre procesos y tecnología.Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia con un fuerte componente de aprendizaje. Se dio cuenta de que muchos desarrolladores no tenían experiencia ni conocimientos en materia de seguridad. Su enfoque inicial consistió en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero pronto se dio cuenta de que esta formación no podía ampliarse debido a todos los viajes que requería la enseñanza presencial y a la necesidad de llegar a miles de desarrolladores en todo el mundo. Vis señala:
«La relación entre seguridad y desarrollo siempre es desequilibrada. Incluso si mi ratio de seguridad y desarrollo fuera de 1:1, no podría mantenerlos involucrados todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significa que necesitamos promover el autoaprendizaje de los desarrolladores para que puedan avanzar a su propio ritmo. Si necesitan ayuda, puedo ayudarlos, pero soy consciente de que no puedo ser quien les enseñe cómo corregir cada vulnerabilidad que descubren».
Al principio, el director de desarrollo se dio cuenta de que había muchos desarrolladores que partían de cero, por lo que se oponía al tiempo que estos debían dedicar al aprendizaje de código seguro. Vis necesitaba controlar la idea de que comprometerse con el aprendizaje de código seguro podría interferir en el ciclo de lanzamiento del software o ralentizar el ritmo de los sprints de tareas críticas. Necesitaba encontrar una forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó un enfoque centrado en las personas para abordar las vulnerabilidades desde la raíz. «La gente suele decir que la seguridad ocupa tiempo de desarrollo. Para mí, si desarrollas algo que no es seguro, estás perdiendo el tiempo desde el principio. Siempre debes desarrollar software seguro, lo que te ahorrará tiempo en corregir vulnerabilidades que se podrían haber evitado fácilmente. Todos debemos tener un objetivo común: publicar código fiable».
Acción
Vis tiene dos objetivos principales: proteger su software y aumentar la concienciación sobre seguridad del equipo de desarrollo de Thales. Era fundamental implementar un programa que permitiera a los desarrolladores formarse de forma independiente y a su propio ritmo. La estrategia de Vis consistía en crear una comunidad de seguridad a lo largo del tiempo, esforzándose por vincular la codificación segura con las políticas de la empresa y estableciendo requisitos de aprendizaje de código seguro en la organización. Al fomentar una cultura comunitaria que conectara a desarrolladores, testers, arquitectos e ingenieros, vio cómo se multiplicaba el efecto motivador.El surgimiento de defensores de la seguridad apasionados por este tema, como parte de su trabajo diario, ayuda a difundir el conocimiento sobre las prácticas de codificación segura en toda la organización. Vis evaluó a más de una docena de proveedores de formación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, era una gran ventaja que el proveedor pudiera cubrir todos los lenguajes de programación y marcos de su entorno, en lugar de ofrecer soluciones fragmentadas.Vis se basa en Secure Code Warrior para ofrecer formación y oportunidades de aprendizaje a su propio ritmo a los desarrolladores de su programa de seguridad:
«El Top 10 de OWASP no es solo las diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades que abarca OWASP, junto con la gran cantidad de lenguajes de programación, pueden resultar abrumadoras. Los amplios retos y la cobertura de estos temas fueron factores clave para elegir SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente hacen que SCW sea diferente. Con ellos, no se trata de una formación puntual,sino que nos brinda la oportunidad de crear un programa continuo».
Vis y su equipo diseñaron el lanzamiento de cuatro niveles del programa de aprendizaje de código seguro, cada uno con diferentes hitos para cada puesto de ingeniería:
Es importante destacar que SCW se ha convertido en una fuente fiable para la corrección de vulnerabilidades. Vis no depende de búsquedas en Google que pueden llevarte a realizar tareas de resolución de problemas, sino que publica guías del equipo AppSec y del repositorio de contenido de SCW, de modo que los desarrolladores puedan consultar fuentes fiables y auténticas para corregir las vulnerabilidades del código. Según Vis:
«Los desarrolladores no deben decidir libremente cómo corregir las vulnerabilidades, ni deben introducir nuevas vulnerabilidades en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para garantizar que los desarrolladores aprendan a corregir las vulnerabilidades de la manera correcta. Esto también nos proporciona una forma de garantizar que los desarrolladores que entregan software seguro obtengan reconocimiento. Les exigimos que alcancen un cierto nivel de codificación segura, y podemos hacer un seguimiento de ello a través de las vulnerabilidades que resuelven y no vuelven a introducir.De esta manera, el arduo trabajo que realizan es reconocido y valorado por la empresa».
Resultado
Vis y su equipo publican cada mes un boletín informativo sobre código de seguridad en el que reconocen a los mejores alumnos de la empresa. Utilizan SCW para consultar las puntuaciones de las evaluaciones, la participación en los torneos y los retos para ampliar los logros. Esto también motiva a otros desarrolladores a aprender. Los indicadores clave de rendimiento que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en dos años. Tras la implementación de SCW, observó que la línea de tendencia descendía. Estas vulnerabilidades no se reintroducen a nivel de código fuente.Vis lo explica así:
«Los indicadores clave de rendimiento que presentamos a la dirección reflejan las decisiones acertadas que tomamos. Nos enorgullecemos de nuestra formación en códigos de seguridad, que genera confianza comercial en nuestros clientes. Somos reconocidos por nuestro completo programa de formación en códigos de seguridad y gozamos del respeto de nuestros clientes y compañeros. Cuando se cuenta con un programa así, se añade mucho valor a la empresa».
Puntos clave
Vis reconoce que el personal, los procesos y la tecnología pueden desempeñar un papel importante en cualquier plan de seguridad. Al centrarse en la seguridad del software, los conocimientos de los desarrolladores y los requisitos de cumplimiento, se puede integrar el aprendizaje ágil en los programas de código seguro, lo que reduce las vulnerabilidades del código fuente con el tiempo. Vis ofrece estas recomendaciones a los profesionales del sector con el fin de fomentar las habilidades de seguridad entre los equipos de desarrolladores.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Antecedentes
El Grupo Thales es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, equipos y dispositivos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri es director técnico de seguridad de software en Thales.Viswanath, también conocido como Vis, comenzó su carrera profesional como programador. Ahora es responsable sénior de seguridad en Thales, cuenta con más de 18 años de experiencia en el sector de la seguridad y posee más de 30 certificaciones, entre las que se incluyen CISSP, PMP y GSE. Ha formado a más de 3000 profesionales del software en más de 18 países.Además, Vis ha ganado más de 10 medallas SANS en competiciones internacionales de ciberseguridad, como Netwars, y es miembro activo del consejo asesor de GIAC. Hablamos con Vis para saber cómo coordina a las personas, los procesos y la tecnología para desarrollar con éxito el programa de aprendizaje de código seguro de Thales.
situación
Cuando Vis comenzó a trabajar en Thales, orientó a los distintos departamentos de negocio a investigar el origen de las vulnerabilidades detectadas mediante pruebas escritas, como posible solución para reducir la acumulación de deuda tecnológica. El equipo de seguridad de aplicaciones utilizó siete proveedores diferentes con los que colaboraban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pruebas escritas. Vis quería conocer las tendencias del mercado y gestionar las amenazas de forma escalable, desarrollando estrategias de mitigación mediante una sólida integración entre procesos y tecnología.Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia con un fuerte componente de aprendizaje. Se dio cuenta de que muchos desarrolladores no tenían experiencia ni conocimientos en materia de seguridad. Su enfoque inicial consistió en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero pronto se dio cuenta de que esta formación no podía ampliarse debido a todos los viajes que requería la enseñanza presencial y a la necesidad de llegar a miles de desarrolladores en todo el mundo. Vis señala:
«La relación entre seguridad y desarrollo siempre es desequilibrada. Incluso si mi ratio de seguridad y desarrollo fuera de 1:1, no podría mantenerlos involucrados todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significa que necesitamos promover el autoaprendizaje de los desarrolladores para que puedan avanzar a su propio ritmo. Si necesitan ayuda, puedo ayudarlos, pero soy consciente de que no puedo ser quien les enseñe cómo corregir cada vulnerabilidad que descubren».
Al principio, el director de desarrollo se dio cuenta de que había muchos desarrolladores que partían de cero, por lo que se oponía al tiempo que estos debían dedicar al aprendizaje de código seguro. Vis necesitaba controlar la idea de que comprometerse con el aprendizaje de código seguro podría interferir en el ciclo de lanzamiento del software o ralentizar el ritmo de los sprints de tareas críticas. Necesitaba encontrar una forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó un enfoque centrado en las personas para abordar las vulnerabilidades desde la raíz. «La gente suele decir que la seguridad ocupa tiempo de desarrollo. Para mí, si desarrollas algo que no es seguro, estás perdiendo el tiempo desde el principio. Siempre debes desarrollar software seguro, lo que te ahorrará tiempo en corregir vulnerabilidades que se podrían haber evitado fácilmente. Todos debemos tener un objetivo común: publicar código fiable».
Acción
Vis tiene dos objetivos principales: proteger su software y aumentar la concienciación sobre seguridad del equipo de desarrollo de Thales. Era fundamental implementar un programa que permitiera a los desarrolladores formarse de forma independiente y a su propio ritmo. La estrategia de Vis consistía en crear una comunidad de seguridad a lo largo del tiempo, esforzándose por vincular la codificación segura con las políticas de la empresa y estableciendo requisitos de aprendizaje de código seguro en la organización. Al fomentar una cultura comunitaria que conectara a desarrolladores, testers, arquitectos e ingenieros, vio cómo se multiplicaba el efecto motivador.El surgimiento de defensores de la seguridad apasionados por este tema, como parte de su trabajo diario, ayuda a difundir el conocimiento sobre las prácticas de codificación segura en toda la organización. Vis evaluó a más de una docena de proveedores de formación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, era una gran ventaja que el proveedor pudiera cubrir todos los lenguajes de programación y marcos de su entorno, en lugar de ofrecer soluciones fragmentadas.Vis se basa en Secure Code Warrior para ofrecer formación y oportunidades de aprendizaje a su propio ritmo a los desarrolladores de su programa de seguridad:
«El Top 10 de OWASP no es solo las diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades que abarca OWASP, junto con la gran cantidad de lenguajes de programación, pueden resultar abrumadoras. Los amplios retos y la cobertura de estos temas fueron factores clave para elegir SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente hacen que SCW sea diferente. Con ellos, no se trata de una formación puntual,sino que nos brinda la oportunidad de crear un programa continuo».
Vis y su equipo diseñaron el lanzamiento de cuatro niveles del programa de aprendizaje de código seguro, cada uno con diferentes hitos para cada puesto de ingeniería:
Es importante destacar que SCW se ha convertido en una fuente fiable para la corrección de vulnerabilidades. Vis no depende de búsquedas en Google que pueden llevarte a realizar tareas de resolución de problemas, sino que publica guías del equipo AppSec y del repositorio de contenido de SCW, de modo que los desarrolladores puedan consultar fuentes fiables y auténticas para corregir las vulnerabilidades del código. Según Vis:
«Los desarrolladores no deben decidir libremente cómo corregir las vulnerabilidades, ni deben introducir nuevas vulnerabilidades en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para garantizar que los desarrolladores aprendan a corregir las vulnerabilidades de la manera correcta. Esto también nos proporciona una forma de garantizar que los desarrolladores que entregan software seguro obtengan reconocimiento. Les exigimos que alcancen un cierto nivel de codificación segura, y podemos hacer un seguimiento de ello a través de las vulnerabilidades que resuelven y no vuelven a introducir.De esta manera, el arduo trabajo que realizan es reconocido y valorado por la empresa».
Resultado
Vis y su equipo publican cada mes un boletín informativo sobre código de seguridad en el que reconocen a los mejores alumnos de la empresa. Utilizan SCW para consultar las puntuaciones de las evaluaciones, la participación en los torneos y los retos para ampliar los logros. Esto también motiva a otros desarrolladores a aprender. Los indicadores clave de rendimiento que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en dos años. Tras la implementación de SCW, observó que la línea de tendencia descendía. Estas vulnerabilidades no se reintroducen a nivel de código fuente.Vis lo explica así:
«Los indicadores clave de rendimiento que presentamos a la dirección reflejan las decisiones acertadas que tomamos. Nos enorgullecemos de nuestra formación en códigos de seguridad, que genera confianza comercial en nuestros clientes. Somos reconocidos por nuestro completo programa de formación en códigos de seguridad y gozamos del respeto de nuestros clientes y compañeros. Cuando se cuenta con un programa así, se añade mucho valor a la empresa».
Puntos clave
Vis reconoce que el personal, los procesos y la tecnología pueden desempeñar un papel importante en cualquier plan de seguridad. Al centrarse en la seguridad del software, los conocimientos de los desarrolladores y los requisitos de cumplimiento, se puede integrar el aprendizaje ágil en los programas de código seguro, lo que reduce las vulnerabilidades del código fuente con el tiempo. Vis ofrece estas recomendaciones a los profesionales del sector con el fin de fomentar las habilidades de seguridad entre los equipos de desarrolladores.
Índice
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
