DevSecOps en DACH: hallazgos clave de los programas piloto de codificación segura
Las mejores prácticas de ciberseguridad han sido un tema candente durante más de una década, discutido con frecuencia a nivel gubernamental en la mayoría de las regiones del mundo. Los ciberataques son esencialmente una realidad cotidiana, y cualquier entidad que almacene datos privados valiosos en línea es un objetivo potencial. Solo en Alemania, el Ministerio Federal de Educación e Investigación estima que El 96 por ciento de todas las pequeñas y medianas empresas ya han sufrido un incidente de seguridad de TI. El mismo informe destaca la necesidad urgente de investigar, legislar y concienciar sobre la ciberseguridad, y hace un llamamiento definitivo a favor de la inclusión de una formación de seguridad más sólida en los campos relacionados con la informática y las TI.
Con la llegada de GDPR, así como una estrategia revisada tras un ataque en varias etapas que expuso los datos confidenciales de muchas figuras públicas, así como de servidores del gobierno federal alemán, está claro que la conciencia y la acción en materia de ciberseguridad son una prioridad para los líderes de la región de DACH. El hackeo de finales de 2018 lo llevó a cabo un estudiante de 20 años con un nivel de cualificación relativamente bajo. Su principal punto de acceso a información altamente confidencial era simplemente adivinar contraseñas. Si bien se trataba de un ataque de autenticación sumamente preocupante, puso de manifiesto la necesidad de aumentar considerablemente la concienciación en materia de seguridad a nivel gubernamental, empresarial y social. Un informe de 2019 destacó que Alemania se estaba quedando atrás en términos de iniciativas de defensa de la ciberseguridad, basándose en la legislación como táctica principal. Sin embargo, con la llegada de DevSecOps como metodología de desarrollo ideal, muchas empresas han reconocido la necesidad de impartir formación práctica, crear software de forma segura desde el diseño y contar con programas de concienciación en materia de seguridad para toda la empresa.
El latido del corazón de la seguridad del software en DACH
Organizaciones como AVISPA y MITRA publicar clasificaciones verificadas por datos de las vulnerabilidades que ocurren con más frecuencia. En todos los lenguajes, la inyección de SQL ocupa el primer lugar y, a pesar de que tiene décadas de antigüedad, es un defecto común y, a menudo, se explota con consecuencias desastrosas.
El software bancario suizo BPC, SmartVista, fue alertado de una vulnerabilidad de SQLi de SwissCert, sin embargo, permaneció sin parches durante meses a pesar de su potencial para exponer datos confidenciales de los clientes, incluidos los números de tarjetas de crédito. La inyección de SQL puede provocar, y de hecho lo hace, infracciones peligrosas, al igual que la Infracción de varios departamentos gubernamentales y universidades en 2017 en EE. UU. y el Reino Unido. Muchos de estos incidentes se deben a procesos laxos de validación de entradas, que permiten a un atacante insertar código malintencionado desde la interfaz de una aplicación. Otra fuente de vulnerabilidad común es el uso de códigos de proveedores inseguros que no se comprueban para detectar errores de seguridad, lo que introduce fallos en un entorno de producción previamente escaneado y eliminado. Ninguno de estos puntos de acceso es específico de la región del DACH, sino que son ejemplos mundiales de prácticas de seguridad deficientes que no pueden continuar a medida que el mundo produce más código.
Es imprescindible corregir los problemas tan pronto como se descubran, y la decisión de SmartVista de demorarse podría haber sido un desastre. Si bien DACH ha tenido su cuota de infracciones, unas directrices y un apoyo más centradas en la concienciación y la formación en materia de seguridad podrían evitar que los posibles problemas a nivel organizativo se nos fueran de las manos, y esto requerirá una legislación mucho más específica a la hora de impulsar la formación evaluada de los desarrolladores.
No todos los cursos de código seguro se crean de la misma manera.
Muchas directivas de ciberseguridad de todo el mundo son cada vez más completas, sin embargo, siguen siendo bastante inespecíficas cuando se trata de esbozar una formación de seguridad eficaz. El Directiva NIS en la UE sí incluye el requisito de «sensibilización, formación y educación» a nivel nacional, pero apresurarse a buscar una solución de formación puede no tener el resultado deseado de una reducción tangible del riesgo si faltan elementos clave que impulsen la mejora de las habilidades de los desarrolladores y el cambio organizacional.
Las soluciones educativas varían, y la formación debe ser específica para el trabajo diario del desarrollador (incluida la capacidad de aprender en su idioma y marco preferidos), además de ser atractiva y medible a lo largo del tiempo.
Las soluciones de formación estáticas, como la formación en vídeo por ordenador, suelen ser demasiado genéricas y rara vez se revisan o evalúan en función de su éxito a la hora de generar conciencia y habilidades para detener las vulnerabilidades que ingresan al código mientras se escribe. Entrenamiento dinámico, sin embargo, es vital para mejorar las habilidades de los desarrolladores con ejemplos contextuales, además de proporcionar métricas que influyen en los procesos de mitigación empresarial. Se actualiza con frecuencia, promueve un alto nivel de retención de conocimientos y forma parte de la creación de desarrolladores conscientes de la seguridad que contribuyen a una cultura de seguridad positiva en su lugar de trabajo.
Proteja los puntos de datos de Code Warrior de los pilotos de DACH:
Ema Rimeike, directora de ventas (máster en ciberseguridad) de Secure Code Warrior, ha estado trabajando en estrecha colaboración con organizaciones de la región DACH, ejecutando programas piloto para que los desarrolladores evalúen la competencia interna de codificación segura de los desarrolladores, su compromiso con las mejores prácticas de seguridad y la cultura de seguridad general de la empresa. Al utilizar una formación dinámica y gamificada sobre código seguro, sus principales hallazgos revelan un futuro brillante cuando los desarrolladores reciban los conocimientos y las herramientas que fomenten una reducción exitosa de las vulnerabilidades desde el inicio del SDLC.
Durante sus programas piloto, recopiló estadísticas basadas en un promedio de 90 minutos por usuario en la plataforma Secure Code Warrior (SCW), en la que jugaron 15 desafíos de codificación segura (clases pequeñas, gamificadas y a tu propio ritmo):
Los usuarios dedicaron una media de 5,5 minutos a completar un desafío, frente a los 3 minutos de media de otros pilotos de SCW de todo el mundo.
- Precisión frente a confianza: los pilotos del DACH registraron un porcentaje promedio de entre el 88 y el 92% de confianza en sus respuestas a los desafíos, pero la precisión de estas respuestas se situó entre el 53 y el 66%
- Más del 75% de los participantes encuestados prefieren los métodos de entrenamiento gamificados (o dinámicos), en contraste con los enfoques estáticos como el entrenamiento basado en computadora (CBT).
- Entre las vulnerabilidades más frecuentes, encontramos Defectos de inyección, Configuración incorrecta de seguridad, Secuencias de comandos entre sitios (SS), Uso incorrecto de la plataforma, Control de acceso, autenticación, Corrupción de memoria, Falsificación de solicitudes entre sitios, Protección insuficiente de la capa de transporte y Redireccionamientos y reenvíos no validados
No es ningún secreto que, en general, muchos en la región DACH valoran una sólida ética de trabajo y un enfoque en la precisión, y los desarrolladores que prueban el programa piloto no son la excepción. Estos datos hablan de que no están familiarizados con este tipo de entrenamiento, pero también de su deseo de seguir jugando, mejorar su puntuación y evitar utilizar la función de «pistas» disponible. Su deseo de aprender y mejorar es evidente, pero también demuestra que hay que trabajar más para implementar una formación y una sensibilización eficaces dentro de la propia organización.
Una buena formación que reduce el riesgo y frustra las vulnerabilidades no es un ejercicio aislado, sino que va más allá del cumplimiento. Los gerentes y el personal de AppSec deben esforzarse por implementar un programa de concientización sobre la seguridad con una estrategia y un apoyo que reflejen los objetivos de seguridad fundamentales y busquen mantenerlos a largo plazo. De hecho, esta es la columna vertebral de un proceso exitoso de DevSecOps en el que los desarrolladores se preocupan por la seguridad.
¿Qué revela un programa piloto a una organización?
Los programas piloto de Secure Code Warrior son una herramienta increíblemente valiosa para ofrecer a las empresas una visión general de su estado de seguridad actual (normalmente entre el 65 y el 75%), así como de las áreas de mejora inmediata. Revelan:
- Claridad sobre qué vulnerabilidades deben abordarse de manera prioritaria, así como sobre si esta dirección debe aplicarse a un equipo, unidad de negocios o lenguaje de programación en particular
- Un alcance de inteligencia más amplio y preciso sobre los factores de riesgo de ciberseguridad dentro de su SDLC, que abarque el factor humano del desarrollo de software.
- Al aprovechar la plataforma SCW, las organizaciones pueden predecir el posible resultado de las pruebas con bolígrafo y tener la oportunidad de mitigar esos riesgos por adelantado, preparando a los equipos incluso antes de que se les asigne a un proyecto específico.
En las organizaciones que han comenzado a implementar programas de seguridad integrales y efectivos, normalmente se aprueban entre 1 y 1,5 horas por semana de desarrollo profesional a nivel gerencial, para ayudar a sus desarrolladores a mejorar sus conocimientos de codificación segura. Sin embargo, nos estamos dando cuenta de que las organizaciones están dejando de centrarse en el «tiempo dedicado a la plataforma» para centrarse en «qué equipos de desarrollo de software representan el mayor y el menor riesgo para la empresa». Esto está estrechamente relacionado con la formalización de las certificaciones, el descubrimiento de los expertos en seguridad y los programas de mentoría para obtener los mejores resultados. La asignación de tiempo, junto con una evaluación constructiva y positiva, es absolutamente clave para crear desarrolladores conscientes de la seguridad a los que no solo les guste la seguridad, sino que también reduzcan considerablemente el riesgo para la empresa.
¿Cómo utilizan ya las organizaciones Secure Code Warrior?
Varias empresas ya utilizan Secure Code Warrior para crear conciencia, desarrollar las habilidades de los desarrolladores y ampliar una cultura de seguridad positiva.
Por ejemplo, en un caso de uso, un equipo que estaba entrenando en la plataforma utilizó SCW para revelar sus puntos fuertes y débiles en materia de seguridad:
Acción del desarrollador: Los desarrolladores pudieron ver sus propios resultados, mostrándoles las áreas en las que deberían centrarse y capacitarse para autodirigirse, y acelerar la capacitación para mitigar las vulnerabilidades específicas o las brechas de conocimiento que les ayudarán en futuras compilaciones de software.
Acción de gestión: Analizaron las fortalezas y debilidades generales a nivel de equipo y pudieron prescribir un enfoque gamificado que aborde las áreas específicas de preocupación. Esto creó una vía educativa bidireccional que genera conocimientos relevantes rápidamente.
Resultado: Una vez que se realizan las pruebas preliminares a nivel de equipo, cualquier vulnerabilidad es visible y, al comparar los resultados anteriores, es fácil validar si la capacitación ha sido eficaz para reducir los errores de seguridad más comunes.
Esto nos lleva a las etapas iniciales del desarrollo del software, en las que los objetivos del equipo de mejora continua e introducción de las mejores prácticas de seguridad desde el principio pueden resultar eficaces, fáciles de implementar y ahorrar tiempo en todo el ámbito del desarrollo.
Equipos del proyecto DevSecOps
En un entorno ideal de DevSecOps, varias unidades de negocio están representadas en un equipo de proyecto para decidir y ofrecer los resultados principales, uno de los cuales son las mejores prácticas de seguridad.
En términos de investigación y planificación previas al proyecto, la plataforma SCW puede evaluar las habilidades de seguridad del equipo de desarrollo propuesto antes de que comience a trabajar, prediciendo los posibles resultados de las pruebas previas y los retrasos relacionados con la seguridad en el SDLC con tiempo más que suficiente para prepararse adecuadamente para ellos. Se puede crear una formación específica para el código y la estructura del proyecto para que el equipo la lleve a cabo, incluido un proceso de evaluación/certificación que verifique las habilidades generales de sensibilización en materia de seguridad, lo que requiere una calificación de aprobación preestablecida antes de que se publiquen en los productos del proyecto.
Esto ofrece un enfoque de inmenso valor empresarial para reducir el costo de corregir las vulnerabilidades, mitigar los riesgos de seguridad, ahorrar tiempo en las pruebas anteriores, reducir el costo de los costosos programas de recompensas y mejorar las habilidades de la cohorte de desarrollo de una manera centralizada, sostenible, escalable y unificada.
Conclusión:
Existe una mayor presión sobre las empresas para que prioricen la seguridad, mantengan nuestros datos seguros y cumplan con las regulaciones cada vez más estrictas a nivel mundial, pero especialmente para las organizaciones que operan en la UE bajo las estrictas directrices del GDPR.
Para las empresas de la región DACH, está claro que están creando vías de seguridad viables al conectar el esfuerzo y los resultados de la capacitación con las actividades del mundo real relacionadas con la prevención de riesgos, incluida la reducción de las vulnerabilidades comunes en el código que producen.
Para crear un argumento empresarial verdaderamente cuantificable que permita aumentar los presupuestos de seguridad, la concienciación y el cumplimiento general, la formación debe ser atractiva para los desarrolladores, coherente, adaptable y medible. Hacer un seguimiento de las etapas actuales de la capacidad para adaptar la formación adecuada, descubrir a los campeones de la seguridad y medir el rendimiento de los equipos a lo largo del tiempo son iniciativas fundamentales, y muchas empresas con visión de futuro de DACH se están dando cuenta de los beneficios tras un exhaustivo proyecto piloto de SCW.
Muchas empresas tienen problemas con métricas de rendimiento de seguridad que son demasiado genéricas. Con un uso constante y a largo plazo de la plataforma SCW, las empresas podrían utilizar evaluaciones de precisión, cursos y métricas de gestión para descubrir:
- Reducción de las vulnerabilidades a lo largo del tiempo
- Reducción del costo para corregir las vulnerabilidades a lo largo del tiempo
- Desarrollo de habilidades individuales y de equipo a lo largo del tiempo
- Reducción de costos y tiempo en la etapa previa a la prueba
¿Qué métricas monitorea actualmente su organización, con qué frecuencia se vuelven a medir y han mostrado una mejora notable con el tiempo? ¿Qué grado de integración tienen sus iniciativas de formación en relación con el flujo de trabajo actual de los desarrolladores?
El enfoque dinámico, gamificado e integral de SCW se considera una parte crucial del flujo de trabajo del ciclo de vida del desarrollo seguro de software. Las empresas están equipando a sus desarrolladores con las herramientas y la formación adecuadas, además de incorporar SCW como parte de su flujo de trabajo de SSDLC.
Con la llegada del GDPR, así como con la revisión de la estrategia tras un ataque en varias etapas que expuso los datos confidenciales de muchas figuras públicas, así como de servidores del gobierno federal alemán, está claro que la conciencia y la acción en materia de ciberseguridad son una prioridad para los líderes de la región DACH.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Las mejores prácticas de ciberseguridad han sido un tema candente durante más de una década, discutido con frecuencia a nivel gubernamental en la mayoría de las regiones del mundo. Los ciberataques son esencialmente una realidad cotidiana, y cualquier entidad que almacene datos privados valiosos en línea es un objetivo potencial. Solo en Alemania, el Ministerio Federal de Educación e Investigación estima que El 96 por ciento de todas las pequeñas y medianas empresas ya han sufrido un incidente de seguridad de TI. El mismo informe destaca la necesidad urgente de investigar, legislar y concienciar sobre la ciberseguridad, y hace un llamamiento definitivo a favor de la inclusión de una formación de seguridad más sólida en los campos relacionados con la informática y las TI.
Con la llegada de GDPR, así como una estrategia revisada tras un ataque en varias etapas que expuso los datos confidenciales de muchas figuras públicas, así como de servidores del gobierno federal alemán, está claro que la conciencia y la acción en materia de ciberseguridad son una prioridad para los líderes de la región de DACH. El hackeo de finales de 2018 lo llevó a cabo un estudiante de 20 años con un nivel de cualificación relativamente bajo. Su principal punto de acceso a información altamente confidencial era simplemente adivinar contraseñas. Si bien se trataba de un ataque de autenticación sumamente preocupante, puso de manifiesto la necesidad de aumentar considerablemente la concienciación en materia de seguridad a nivel gubernamental, empresarial y social. Un informe de 2019 destacó que Alemania se estaba quedando atrás en términos de iniciativas de defensa de la ciberseguridad, basándose en la legislación como táctica principal. Sin embargo, con la llegada de DevSecOps como metodología de desarrollo ideal, muchas empresas han reconocido la necesidad de impartir formación práctica, crear software de forma segura desde el diseño y contar con programas de concienciación en materia de seguridad para toda la empresa.
El latido del corazón de la seguridad del software en DACH
Organizaciones como AVISPA y MITRA publicar clasificaciones verificadas por datos de las vulnerabilidades que ocurren con más frecuencia. En todos los lenguajes, la inyección de SQL ocupa el primer lugar y, a pesar de que tiene décadas de antigüedad, es un defecto común y, a menudo, se explota con consecuencias desastrosas.
El software bancario suizo BPC, SmartVista, fue alertado de una vulnerabilidad de SQLi de SwissCert, sin embargo, permaneció sin parches durante meses a pesar de su potencial para exponer datos confidenciales de los clientes, incluidos los números de tarjetas de crédito. La inyección de SQL puede provocar, y de hecho lo hace, infracciones peligrosas, al igual que la Infracción de varios departamentos gubernamentales y universidades en 2017 en EE. UU. y el Reino Unido. Muchos de estos incidentes se deben a procesos laxos de validación de entradas, que permiten a un atacante insertar código malintencionado desde la interfaz de una aplicación. Otra fuente de vulnerabilidad común es el uso de códigos de proveedores inseguros que no se comprueban para detectar errores de seguridad, lo que introduce fallos en un entorno de producción previamente escaneado y eliminado. Ninguno de estos puntos de acceso es específico de la región del DACH, sino que son ejemplos mundiales de prácticas de seguridad deficientes que no pueden continuar a medida que el mundo produce más código.
Es imprescindible corregir los problemas tan pronto como se descubran, y la decisión de SmartVista de demorarse podría haber sido un desastre. Si bien DACH ha tenido su cuota de infracciones, unas directrices y un apoyo más centradas en la concienciación y la formación en materia de seguridad podrían evitar que los posibles problemas a nivel organizativo se nos fueran de las manos, y esto requerirá una legislación mucho más específica a la hora de impulsar la formación evaluada de los desarrolladores.
No todos los cursos de código seguro se crean de la misma manera.
Muchas directivas de ciberseguridad de todo el mundo son cada vez más completas, sin embargo, siguen siendo bastante inespecíficas cuando se trata de esbozar una formación de seguridad eficaz. El Directiva NIS en la UE sí incluye el requisito de «sensibilización, formación y educación» a nivel nacional, pero apresurarse a buscar una solución de formación puede no tener el resultado deseado de una reducción tangible del riesgo si faltan elementos clave que impulsen la mejora de las habilidades de los desarrolladores y el cambio organizacional.
Las soluciones educativas varían, y la formación debe ser específica para el trabajo diario del desarrollador (incluida la capacidad de aprender en su idioma y marco preferidos), además de ser atractiva y medible a lo largo del tiempo.
Las soluciones de formación estáticas, como la formación en vídeo por ordenador, suelen ser demasiado genéricas y rara vez se revisan o evalúan en función de su éxito a la hora de generar conciencia y habilidades para detener las vulnerabilidades que ingresan al código mientras se escribe. Entrenamiento dinámico, sin embargo, es vital para mejorar las habilidades de los desarrolladores con ejemplos contextuales, además de proporcionar métricas que influyen en los procesos de mitigación empresarial. Se actualiza con frecuencia, promueve un alto nivel de retención de conocimientos y forma parte de la creación de desarrolladores conscientes de la seguridad que contribuyen a una cultura de seguridad positiva en su lugar de trabajo.
Proteja los puntos de datos de Code Warrior de los pilotos de DACH:
Ema Rimeike, directora de ventas (máster en ciberseguridad) de Secure Code Warrior, ha estado trabajando en estrecha colaboración con organizaciones de la región DACH, ejecutando programas piloto para que los desarrolladores evalúen la competencia interna de codificación segura de los desarrolladores, su compromiso con las mejores prácticas de seguridad y la cultura de seguridad general de la empresa. Al utilizar una formación dinámica y gamificada sobre código seguro, sus principales hallazgos revelan un futuro brillante cuando los desarrolladores reciban los conocimientos y las herramientas que fomenten una reducción exitosa de las vulnerabilidades desde el inicio del SDLC.
Durante sus programas piloto, recopiló estadísticas basadas en un promedio de 90 minutos por usuario en la plataforma Secure Code Warrior (SCW), en la que jugaron 15 desafíos de codificación segura (clases pequeñas, gamificadas y a tu propio ritmo):
Los usuarios dedicaron una media de 5,5 minutos a completar un desafío, frente a los 3 minutos de media de otros pilotos de SCW de todo el mundo.
- Precisión frente a confianza: los pilotos del DACH registraron un porcentaje promedio de entre el 88 y el 92% de confianza en sus respuestas a los desafíos, pero la precisión de estas respuestas se situó entre el 53 y el 66%
- Más del 75% de los participantes encuestados prefieren los métodos de entrenamiento gamificados (o dinámicos), en contraste con los enfoques estáticos como el entrenamiento basado en computadora (CBT).
- Entre las vulnerabilidades más frecuentes, encontramos Defectos de inyección, Configuración incorrecta de seguridad, Secuencias de comandos entre sitios (SS), Uso incorrecto de la plataforma, Control de acceso, autenticación, Corrupción de memoria, Falsificación de solicitudes entre sitios, Protección insuficiente de la capa de transporte y Redireccionamientos y reenvíos no validados
No es ningún secreto que, en general, muchos en la región DACH valoran una sólida ética de trabajo y un enfoque en la precisión, y los desarrolladores que prueban el programa piloto no son la excepción. Estos datos hablan de que no están familiarizados con este tipo de entrenamiento, pero también de su deseo de seguir jugando, mejorar su puntuación y evitar utilizar la función de «pistas» disponible. Su deseo de aprender y mejorar es evidente, pero también demuestra que hay que trabajar más para implementar una formación y una sensibilización eficaces dentro de la propia organización.
Una buena formación que reduce el riesgo y frustra las vulnerabilidades no es un ejercicio aislado, sino que va más allá del cumplimiento. Los gerentes y el personal de AppSec deben esforzarse por implementar un programa de concientización sobre la seguridad con una estrategia y un apoyo que reflejen los objetivos de seguridad fundamentales y busquen mantenerlos a largo plazo. De hecho, esta es la columna vertebral de un proceso exitoso de DevSecOps en el que los desarrolladores se preocupan por la seguridad.
¿Qué revela un programa piloto a una organización?
Los programas piloto de Secure Code Warrior son una herramienta increíblemente valiosa para ofrecer a las empresas una visión general de su estado de seguridad actual (normalmente entre el 65 y el 75%), así como de las áreas de mejora inmediata. Revelan:
- Claridad sobre qué vulnerabilidades deben abordarse de manera prioritaria, así como sobre si esta dirección debe aplicarse a un equipo, unidad de negocios o lenguaje de programación en particular
- Un alcance de inteligencia más amplio y preciso sobre los factores de riesgo de ciberseguridad dentro de su SDLC, que abarque el factor humano del desarrollo de software.
- Al aprovechar la plataforma SCW, las organizaciones pueden predecir el posible resultado de las pruebas con bolígrafo y tener la oportunidad de mitigar esos riesgos por adelantado, preparando a los equipos incluso antes de que se les asigne a un proyecto específico.
En las organizaciones que han comenzado a implementar programas de seguridad integrales y efectivos, normalmente se aprueban entre 1 y 1,5 horas por semana de desarrollo profesional a nivel gerencial, para ayudar a sus desarrolladores a mejorar sus conocimientos de codificación segura. Sin embargo, nos estamos dando cuenta de que las organizaciones están dejando de centrarse en el «tiempo dedicado a la plataforma» para centrarse en «qué equipos de desarrollo de software representan el mayor y el menor riesgo para la empresa». Esto está estrechamente relacionado con la formalización de las certificaciones, el descubrimiento de los expertos en seguridad y los programas de mentoría para obtener los mejores resultados. La asignación de tiempo, junto con una evaluación constructiva y positiva, es absolutamente clave para crear desarrolladores conscientes de la seguridad a los que no solo les guste la seguridad, sino que también reduzcan considerablemente el riesgo para la empresa.
¿Cómo utilizan ya las organizaciones Secure Code Warrior?
Varias empresas ya utilizan Secure Code Warrior para crear conciencia, desarrollar las habilidades de los desarrolladores y ampliar una cultura de seguridad positiva.
Por ejemplo, en un caso de uso, un equipo que estaba entrenando en la plataforma utilizó SCW para revelar sus puntos fuertes y débiles en materia de seguridad:
Acción del desarrollador: Los desarrolladores pudieron ver sus propios resultados, mostrándoles las áreas en las que deberían centrarse y capacitarse para autodirigirse, y acelerar la capacitación para mitigar las vulnerabilidades específicas o las brechas de conocimiento que les ayudarán en futuras compilaciones de software.
Acción de gestión: Analizaron las fortalezas y debilidades generales a nivel de equipo y pudieron prescribir un enfoque gamificado que aborde las áreas específicas de preocupación. Esto creó una vía educativa bidireccional que genera conocimientos relevantes rápidamente.
Resultado: Una vez que se realizan las pruebas preliminares a nivel de equipo, cualquier vulnerabilidad es visible y, al comparar los resultados anteriores, es fácil validar si la capacitación ha sido eficaz para reducir los errores de seguridad más comunes.
Esto nos lleva a las etapas iniciales del desarrollo del software, en las que los objetivos del equipo de mejora continua e introducción de las mejores prácticas de seguridad desde el principio pueden resultar eficaces, fáciles de implementar y ahorrar tiempo en todo el ámbito del desarrollo.
Equipos del proyecto DevSecOps
En un entorno ideal de DevSecOps, varias unidades de negocio están representadas en un equipo de proyecto para decidir y ofrecer los resultados principales, uno de los cuales son las mejores prácticas de seguridad.
En términos de investigación y planificación previas al proyecto, la plataforma SCW puede evaluar las habilidades de seguridad del equipo de desarrollo propuesto antes de que comience a trabajar, prediciendo los posibles resultados de las pruebas previas y los retrasos relacionados con la seguridad en el SDLC con tiempo más que suficiente para prepararse adecuadamente para ellos. Se puede crear una formación específica para el código y la estructura del proyecto para que el equipo la lleve a cabo, incluido un proceso de evaluación/certificación que verifique las habilidades generales de sensibilización en materia de seguridad, lo que requiere una calificación de aprobación preestablecida antes de que se publiquen en los productos del proyecto.
Esto ofrece un enfoque de inmenso valor empresarial para reducir el costo de corregir las vulnerabilidades, mitigar los riesgos de seguridad, ahorrar tiempo en las pruebas anteriores, reducir el costo de los costosos programas de recompensas y mejorar las habilidades de la cohorte de desarrollo de una manera centralizada, sostenible, escalable y unificada.
Conclusión:
Existe una mayor presión sobre las empresas para que prioricen la seguridad, mantengan nuestros datos seguros y cumplan con las regulaciones cada vez más estrictas a nivel mundial, pero especialmente para las organizaciones que operan en la UE bajo las estrictas directrices del GDPR.
Para las empresas de la región DACH, está claro que están creando vías de seguridad viables al conectar el esfuerzo y los resultados de la capacitación con las actividades del mundo real relacionadas con la prevención de riesgos, incluida la reducción de las vulnerabilidades comunes en el código que producen.
Para crear un argumento empresarial verdaderamente cuantificable que permita aumentar los presupuestos de seguridad, la concienciación y el cumplimiento general, la formación debe ser atractiva para los desarrolladores, coherente, adaptable y medible. Hacer un seguimiento de las etapas actuales de la capacidad para adaptar la formación adecuada, descubrir a los campeones de la seguridad y medir el rendimiento de los equipos a lo largo del tiempo son iniciativas fundamentales, y muchas empresas con visión de futuro de DACH se están dando cuenta de los beneficios tras un exhaustivo proyecto piloto de SCW.
Muchas empresas tienen problemas con métricas de rendimiento de seguridad que son demasiado genéricas. Con un uso constante y a largo plazo de la plataforma SCW, las empresas podrían utilizar evaluaciones de precisión, cursos y métricas de gestión para descubrir:
- Reducción de las vulnerabilidades a lo largo del tiempo
- Reducción del costo para corregir las vulnerabilidades a lo largo del tiempo
- Desarrollo de habilidades individuales y de equipo a lo largo del tiempo
- Reducción de costos y tiempo en la etapa previa a la prueba
¿Qué métricas monitorea actualmente su organización, con qué frecuencia se vuelven a medir y han mostrado una mejora notable con el tiempo? ¿Qué grado de integración tienen sus iniciativas de formación en relación con el flujo de trabajo actual de los desarrolladores?
El enfoque dinámico, gamificado e integral de SCW se considera una parte crucial del flujo de trabajo del ciclo de vida del desarrollo seguro de software. Las empresas están equipando a sus desarrolladores con las herramientas y la formación adecuadas, además de incorporar SCW como parte de su flujo de trabajo de SSDLC.
Las mejores prácticas de ciberseguridad han sido un tema candente durante más de una década, discutido con frecuencia a nivel gubernamental en la mayoría de las regiones del mundo. Los ciberataques son esencialmente una realidad cotidiana, y cualquier entidad que almacene datos privados valiosos en línea es un objetivo potencial. Solo en Alemania, el Ministerio Federal de Educación e Investigación estima que El 96 por ciento de todas las pequeñas y medianas empresas ya han sufrido un incidente de seguridad de TI. El mismo informe destaca la necesidad urgente de investigar, legislar y concienciar sobre la ciberseguridad, y hace un llamamiento definitivo a favor de la inclusión de una formación de seguridad más sólida en los campos relacionados con la informática y las TI.
Con la llegada de GDPR, así como una estrategia revisada tras un ataque en varias etapas que expuso los datos confidenciales de muchas figuras públicas, así como de servidores del gobierno federal alemán, está claro que la conciencia y la acción en materia de ciberseguridad son una prioridad para los líderes de la región de DACH. El hackeo de finales de 2018 lo llevó a cabo un estudiante de 20 años con un nivel de cualificación relativamente bajo. Su principal punto de acceso a información altamente confidencial era simplemente adivinar contraseñas. Si bien se trataba de un ataque de autenticación sumamente preocupante, puso de manifiesto la necesidad de aumentar considerablemente la concienciación en materia de seguridad a nivel gubernamental, empresarial y social. Un informe de 2019 destacó que Alemania se estaba quedando atrás en términos de iniciativas de defensa de la ciberseguridad, basándose en la legislación como táctica principal. Sin embargo, con la llegada de DevSecOps como metodología de desarrollo ideal, muchas empresas han reconocido la necesidad de impartir formación práctica, crear software de forma segura desde el diseño y contar con programas de concienciación en materia de seguridad para toda la empresa.
El latido del corazón de la seguridad del software en DACH
Organizaciones como AVISPA y MITRA publicar clasificaciones verificadas por datos de las vulnerabilidades que ocurren con más frecuencia. En todos los lenguajes, la inyección de SQL ocupa el primer lugar y, a pesar de que tiene décadas de antigüedad, es un defecto común y, a menudo, se explota con consecuencias desastrosas.
El software bancario suizo BPC, SmartVista, fue alertado de una vulnerabilidad de SQLi de SwissCert, sin embargo, permaneció sin parches durante meses a pesar de su potencial para exponer datos confidenciales de los clientes, incluidos los números de tarjetas de crédito. La inyección de SQL puede provocar, y de hecho lo hace, infracciones peligrosas, al igual que la Infracción de varios departamentos gubernamentales y universidades en 2017 en EE. UU. y el Reino Unido. Muchos de estos incidentes se deben a procesos laxos de validación de entradas, que permiten a un atacante insertar código malintencionado desde la interfaz de una aplicación. Otra fuente de vulnerabilidad común es el uso de códigos de proveedores inseguros que no se comprueban para detectar errores de seguridad, lo que introduce fallos en un entorno de producción previamente escaneado y eliminado. Ninguno de estos puntos de acceso es específico de la región del DACH, sino que son ejemplos mundiales de prácticas de seguridad deficientes que no pueden continuar a medida que el mundo produce más código.
Es imprescindible corregir los problemas tan pronto como se descubran, y la decisión de SmartVista de demorarse podría haber sido un desastre. Si bien DACH ha tenido su cuota de infracciones, unas directrices y un apoyo más centradas en la concienciación y la formación en materia de seguridad podrían evitar que los posibles problemas a nivel organizativo se nos fueran de las manos, y esto requerirá una legislación mucho más específica a la hora de impulsar la formación evaluada de los desarrolladores.
No todos los cursos de código seguro se crean de la misma manera.
Muchas directivas de ciberseguridad de todo el mundo son cada vez más completas, sin embargo, siguen siendo bastante inespecíficas cuando se trata de esbozar una formación de seguridad eficaz. El Directiva NIS en la UE sí incluye el requisito de «sensibilización, formación y educación» a nivel nacional, pero apresurarse a buscar una solución de formación puede no tener el resultado deseado de una reducción tangible del riesgo si faltan elementos clave que impulsen la mejora de las habilidades de los desarrolladores y el cambio organizacional.
Las soluciones educativas varían, y la formación debe ser específica para el trabajo diario del desarrollador (incluida la capacidad de aprender en su idioma y marco preferidos), además de ser atractiva y medible a lo largo del tiempo.
Las soluciones de formación estáticas, como la formación en vídeo por ordenador, suelen ser demasiado genéricas y rara vez se revisan o evalúan en función de su éxito a la hora de generar conciencia y habilidades para detener las vulnerabilidades que ingresan al código mientras se escribe. Entrenamiento dinámico, sin embargo, es vital para mejorar las habilidades de los desarrolladores con ejemplos contextuales, además de proporcionar métricas que influyen en los procesos de mitigación empresarial. Se actualiza con frecuencia, promueve un alto nivel de retención de conocimientos y forma parte de la creación de desarrolladores conscientes de la seguridad que contribuyen a una cultura de seguridad positiva en su lugar de trabajo.
Proteja los puntos de datos de Code Warrior de los pilotos de DACH:
Ema Rimeike, directora de ventas (máster en ciberseguridad) de Secure Code Warrior, ha estado trabajando en estrecha colaboración con organizaciones de la región DACH, ejecutando programas piloto para que los desarrolladores evalúen la competencia interna de codificación segura de los desarrolladores, su compromiso con las mejores prácticas de seguridad y la cultura de seguridad general de la empresa. Al utilizar una formación dinámica y gamificada sobre código seguro, sus principales hallazgos revelan un futuro brillante cuando los desarrolladores reciban los conocimientos y las herramientas que fomenten una reducción exitosa de las vulnerabilidades desde el inicio del SDLC.
Durante sus programas piloto, recopiló estadísticas basadas en un promedio de 90 minutos por usuario en la plataforma Secure Code Warrior (SCW), en la que jugaron 15 desafíos de codificación segura (clases pequeñas, gamificadas y a tu propio ritmo):
Los usuarios dedicaron una media de 5,5 minutos a completar un desafío, frente a los 3 minutos de media de otros pilotos de SCW de todo el mundo.
- Precisión frente a confianza: los pilotos del DACH registraron un porcentaje promedio de entre el 88 y el 92% de confianza en sus respuestas a los desafíos, pero la precisión de estas respuestas se situó entre el 53 y el 66%
- Más del 75% de los participantes encuestados prefieren los métodos de entrenamiento gamificados (o dinámicos), en contraste con los enfoques estáticos como el entrenamiento basado en computadora (CBT).
- Entre las vulnerabilidades más frecuentes, encontramos Defectos de inyección, Configuración incorrecta de seguridad, Secuencias de comandos entre sitios (SS), Uso incorrecto de la plataforma, Control de acceso, autenticación, Corrupción de memoria, Falsificación de solicitudes entre sitios, Protección insuficiente de la capa de transporte y Redireccionamientos y reenvíos no validados
No es ningún secreto que, en general, muchos en la región DACH valoran una sólida ética de trabajo y un enfoque en la precisión, y los desarrolladores que prueban el programa piloto no son la excepción. Estos datos hablan de que no están familiarizados con este tipo de entrenamiento, pero también de su deseo de seguir jugando, mejorar su puntuación y evitar utilizar la función de «pistas» disponible. Su deseo de aprender y mejorar es evidente, pero también demuestra que hay que trabajar más para implementar una formación y una sensibilización eficaces dentro de la propia organización.
Una buena formación que reduce el riesgo y frustra las vulnerabilidades no es un ejercicio aislado, sino que va más allá del cumplimiento. Los gerentes y el personal de AppSec deben esforzarse por implementar un programa de concientización sobre la seguridad con una estrategia y un apoyo que reflejen los objetivos de seguridad fundamentales y busquen mantenerlos a largo plazo. De hecho, esta es la columna vertebral de un proceso exitoso de DevSecOps en el que los desarrolladores se preocupan por la seguridad.
¿Qué revela un programa piloto a una organización?
Los programas piloto de Secure Code Warrior son una herramienta increíblemente valiosa para ofrecer a las empresas una visión general de su estado de seguridad actual (normalmente entre el 65 y el 75%), así como de las áreas de mejora inmediata. Revelan:
- Claridad sobre qué vulnerabilidades deben abordarse de manera prioritaria, así como sobre si esta dirección debe aplicarse a un equipo, unidad de negocios o lenguaje de programación en particular
- Un alcance de inteligencia más amplio y preciso sobre los factores de riesgo de ciberseguridad dentro de su SDLC, que abarque el factor humano del desarrollo de software.
- Al aprovechar la plataforma SCW, las organizaciones pueden predecir el posible resultado de las pruebas con bolígrafo y tener la oportunidad de mitigar esos riesgos por adelantado, preparando a los equipos incluso antes de que se les asigne a un proyecto específico.
En las organizaciones que han comenzado a implementar programas de seguridad integrales y efectivos, normalmente se aprueban entre 1 y 1,5 horas por semana de desarrollo profesional a nivel gerencial, para ayudar a sus desarrolladores a mejorar sus conocimientos de codificación segura. Sin embargo, nos estamos dando cuenta de que las organizaciones están dejando de centrarse en el «tiempo dedicado a la plataforma» para centrarse en «qué equipos de desarrollo de software representan el mayor y el menor riesgo para la empresa». Esto está estrechamente relacionado con la formalización de las certificaciones, el descubrimiento de los expertos en seguridad y los programas de mentoría para obtener los mejores resultados. La asignación de tiempo, junto con una evaluación constructiva y positiva, es absolutamente clave para crear desarrolladores conscientes de la seguridad a los que no solo les guste la seguridad, sino que también reduzcan considerablemente el riesgo para la empresa.
¿Cómo utilizan ya las organizaciones Secure Code Warrior?
Varias empresas ya utilizan Secure Code Warrior para crear conciencia, desarrollar las habilidades de los desarrolladores y ampliar una cultura de seguridad positiva.
Por ejemplo, en un caso de uso, un equipo que estaba entrenando en la plataforma utilizó SCW para revelar sus puntos fuertes y débiles en materia de seguridad:
Acción del desarrollador: Los desarrolladores pudieron ver sus propios resultados, mostrándoles las áreas en las que deberían centrarse y capacitarse para autodirigirse, y acelerar la capacitación para mitigar las vulnerabilidades específicas o las brechas de conocimiento que les ayudarán en futuras compilaciones de software.
Acción de gestión: Analizaron las fortalezas y debilidades generales a nivel de equipo y pudieron prescribir un enfoque gamificado que aborde las áreas específicas de preocupación. Esto creó una vía educativa bidireccional que genera conocimientos relevantes rápidamente.
Resultado: Una vez que se realizan las pruebas preliminares a nivel de equipo, cualquier vulnerabilidad es visible y, al comparar los resultados anteriores, es fácil validar si la capacitación ha sido eficaz para reducir los errores de seguridad más comunes.
Esto nos lleva a las etapas iniciales del desarrollo del software, en las que los objetivos del equipo de mejora continua e introducción de las mejores prácticas de seguridad desde el principio pueden resultar eficaces, fáciles de implementar y ahorrar tiempo en todo el ámbito del desarrollo.
Equipos del proyecto DevSecOps
En un entorno ideal de DevSecOps, varias unidades de negocio están representadas en un equipo de proyecto para decidir y ofrecer los resultados principales, uno de los cuales son las mejores prácticas de seguridad.
En términos de investigación y planificación previas al proyecto, la plataforma SCW puede evaluar las habilidades de seguridad del equipo de desarrollo propuesto antes de que comience a trabajar, prediciendo los posibles resultados de las pruebas previas y los retrasos relacionados con la seguridad en el SDLC con tiempo más que suficiente para prepararse adecuadamente para ellos. Se puede crear una formación específica para el código y la estructura del proyecto para que el equipo la lleve a cabo, incluido un proceso de evaluación/certificación que verifique las habilidades generales de sensibilización en materia de seguridad, lo que requiere una calificación de aprobación preestablecida antes de que se publiquen en los productos del proyecto.
Esto ofrece un enfoque de inmenso valor empresarial para reducir el costo de corregir las vulnerabilidades, mitigar los riesgos de seguridad, ahorrar tiempo en las pruebas anteriores, reducir el costo de los costosos programas de recompensas y mejorar las habilidades de la cohorte de desarrollo de una manera centralizada, sostenible, escalable y unificada.
Conclusión:
Existe una mayor presión sobre las empresas para que prioricen la seguridad, mantengan nuestros datos seguros y cumplan con las regulaciones cada vez más estrictas a nivel mundial, pero especialmente para las organizaciones que operan en la UE bajo las estrictas directrices del GDPR.
Para las empresas de la región DACH, está claro que están creando vías de seguridad viables al conectar el esfuerzo y los resultados de la capacitación con las actividades del mundo real relacionadas con la prevención de riesgos, incluida la reducción de las vulnerabilidades comunes en el código que producen.
Para crear un argumento empresarial verdaderamente cuantificable que permita aumentar los presupuestos de seguridad, la concienciación y el cumplimiento general, la formación debe ser atractiva para los desarrolladores, coherente, adaptable y medible. Hacer un seguimiento de las etapas actuales de la capacidad para adaptar la formación adecuada, descubrir a los campeones de la seguridad y medir el rendimiento de los equipos a lo largo del tiempo son iniciativas fundamentales, y muchas empresas con visión de futuro de DACH se están dando cuenta de los beneficios tras un exhaustivo proyecto piloto de SCW.
Muchas empresas tienen problemas con métricas de rendimiento de seguridad que son demasiado genéricas. Con un uso constante y a largo plazo de la plataforma SCW, las empresas podrían utilizar evaluaciones de precisión, cursos y métricas de gestión para descubrir:
- Reducción de las vulnerabilidades a lo largo del tiempo
- Reducción del costo para corregir las vulnerabilidades a lo largo del tiempo
- Desarrollo de habilidades individuales y de equipo a lo largo del tiempo
- Reducción de costos y tiempo en la etapa previa a la prueba
¿Qué métricas monitorea actualmente su organización, con qué frecuencia se vuelven a medir y han mostrado una mejora notable con el tiempo? ¿Qué grado de integración tienen sus iniciativas de formación en relación con el flujo de trabajo actual de los desarrolladores?
El enfoque dinámico, gamificado e integral de SCW se considera una parte crucial del flujo de trabajo del ciclo de vida del desarrollo seguro de software. Las empresas están equipando a sus desarrolladores con las herramientas y la formación adecuadas, además de incorporar SCW como parte de su flujo de trabajo de SSDLC.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Las mejores prácticas de ciberseguridad han sido un tema candente durante más de una década, discutido con frecuencia a nivel gubernamental en la mayoría de las regiones del mundo. Los ciberataques son esencialmente una realidad cotidiana, y cualquier entidad que almacene datos privados valiosos en línea es un objetivo potencial. Solo en Alemania, el Ministerio Federal de Educación e Investigación estima que El 96 por ciento de todas las pequeñas y medianas empresas ya han sufrido un incidente de seguridad de TI. El mismo informe destaca la necesidad urgente de investigar, legislar y concienciar sobre la ciberseguridad, y hace un llamamiento definitivo a favor de la inclusión de una formación de seguridad más sólida en los campos relacionados con la informática y las TI.
Con la llegada de GDPR, así como una estrategia revisada tras un ataque en varias etapas que expuso los datos confidenciales de muchas figuras públicas, así como de servidores del gobierno federal alemán, está claro que la conciencia y la acción en materia de ciberseguridad son una prioridad para los líderes de la región de DACH. El hackeo de finales de 2018 lo llevó a cabo un estudiante de 20 años con un nivel de cualificación relativamente bajo. Su principal punto de acceso a información altamente confidencial era simplemente adivinar contraseñas. Si bien se trataba de un ataque de autenticación sumamente preocupante, puso de manifiesto la necesidad de aumentar considerablemente la concienciación en materia de seguridad a nivel gubernamental, empresarial y social. Un informe de 2019 destacó que Alemania se estaba quedando atrás en términos de iniciativas de defensa de la ciberseguridad, basándose en la legislación como táctica principal. Sin embargo, con la llegada de DevSecOps como metodología de desarrollo ideal, muchas empresas han reconocido la necesidad de impartir formación práctica, crear software de forma segura desde el diseño y contar con programas de concienciación en materia de seguridad para toda la empresa.
El latido del corazón de la seguridad del software en DACH
Organizaciones como AVISPA y MITRA publicar clasificaciones verificadas por datos de las vulnerabilidades que ocurren con más frecuencia. En todos los lenguajes, la inyección de SQL ocupa el primer lugar y, a pesar de que tiene décadas de antigüedad, es un defecto común y, a menudo, se explota con consecuencias desastrosas.
El software bancario suizo BPC, SmartVista, fue alertado de una vulnerabilidad de SQLi de SwissCert, sin embargo, permaneció sin parches durante meses a pesar de su potencial para exponer datos confidenciales de los clientes, incluidos los números de tarjetas de crédito. La inyección de SQL puede provocar, y de hecho lo hace, infracciones peligrosas, al igual que la Infracción de varios departamentos gubernamentales y universidades en 2017 en EE. UU. y el Reino Unido. Muchos de estos incidentes se deben a procesos laxos de validación de entradas, que permiten a un atacante insertar código malintencionado desde la interfaz de una aplicación. Otra fuente de vulnerabilidad común es el uso de códigos de proveedores inseguros que no se comprueban para detectar errores de seguridad, lo que introduce fallos en un entorno de producción previamente escaneado y eliminado. Ninguno de estos puntos de acceso es específico de la región del DACH, sino que son ejemplos mundiales de prácticas de seguridad deficientes que no pueden continuar a medida que el mundo produce más código.
Es imprescindible corregir los problemas tan pronto como se descubran, y la decisión de SmartVista de demorarse podría haber sido un desastre. Si bien DACH ha tenido su cuota de infracciones, unas directrices y un apoyo más centradas en la concienciación y la formación en materia de seguridad podrían evitar que los posibles problemas a nivel organizativo se nos fueran de las manos, y esto requerirá una legislación mucho más específica a la hora de impulsar la formación evaluada de los desarrolladores.
No todos los cursos de código seguro se crean de la misma manera.
Muchas directivas de ciberseguridad de todo el mundo son cada vez más completas, sin embargo, siguen siendo bastante inespecíficas cuando se trata de esbozar una formación de seguridad eficaz. El Directiva NIS en la UE sí incluye el requisito de «sensibilización, formación y educación» a nivel nacional, pero apresurarse a buscar una solución de formación puede no tener el resultado deseado de una reducción tangible del riesgo si faltan elementos clave que impulsen la mejora de las habilidades de los desarrolladores y el cambio organizacional.
Las soluciones educativas varían, y la formación debe ser específica para el trabajo diario del desarrollador (incluida la capacidad de aprender en su idioma y marco preferidos), además de ser atractiva y medible a lo largo del tiempo.
Las soluciones de formación estáticas, como la formación en vídeo por ordenador, suelen ser demasiado genéricas y rara vez se revisan o evalúan en función de su éxito a la hora de generar conciencia y habilidades para detener las vulnerabilidades que ingresan al código mientras se escribe. Entrenamiento dinámico, sin embargo, es vital para mejorar las habilidades de los desarrolladores con ejemplos contextuales, además de proporcionar métricas que influyen en los procesos de mitigación empresarial. Se actualiza con frecuencia, promueve un alto nivel de retención de conocimientos y forma parte de la creación de desarrolladores conscientes de la seguridad que contribuyen a una cultura de seguridad positiva en su lugar de trabajo.
Proteja los puntos de datos de Code Warrior de los pilotos de DACH:
Ema Rimeike, directora de ventas (máster en ciberseguridad) de Secure Code Warrior, ha estado trabajando en estrecha colaboración con organizaciones de la región DACH, ejecutando programas piloto para que los desarrolladores evalúen la competencia interna de codificación segura de los desarrolladores, su compromiso con las mejores prácticas de seguridad y la cultura de seguridad general de la empresa. Al utilizar una formación dinámica y gamificada sobre código seguro, sus principales hallazgos revelan un futuro brillante cuando los desarrolladores reciban los conocimientos y las herramientas que fomenten una reducción exitosa de las vulnerabilidades desde el inicio del SDLC.
Durante sus programas piloto, recopiló estadísticas basadas en un promedio de 90 minutos por usuario en la plataforma Secure Code Warrior (SCW), en la que jugaron 15 desafíos de codificación segura (clases pequeñas, gamificadas y a tu propio ritmo):
Los usuarios dedicaron una media de 5,5 minutos a completar un desafío, frente a los 3 minutos de media de otros pilotos de SCW de todo el mundo.
- Precisión frente a confianza: los pilotos del DACH registraron un porcentaje promedio de entre el 88 y el 92% de confianza en sus respuestas a los desafíos, pero la precisión de estas respuestas se situó entre el 53 y el 66%
- Más del 75% de los participantes encuestados prefieren los métodos de entrenamiento gamificados (o dinámicos), en contraste con los enfoques estáticos como el entrenamiento basado en computadora (CBT).
- Entre las vulnerabilidades más frecuentes, encontramos Defectos de inyección, Configuración incorrecta de seguridad, Secuencias de comandos entre sitios (SS), Uso incorrecto de la plataforma, Control de acceso, autenticación, Corrupción de memoria, Falsificación de solicitudes entre sitios, Protección insuficiente de la capa de transporte y Redireccionamientos y reenvíos no validados
No es ningún secreto que, en general, muchos en la región DACH valoran una sólida ética de trabajo y un enfoque en la precisión, y los desarrolladores que prueban el programa piloto no son la excepción. Estos datos hablan de que no están familiarizados con este tipo de entrenamiento, pero también de su deseo de seguir jugando, mejorar su puntuación y evitar utilizar la función de «pistas» disponible. Su deseo de aprender y mejorar es evidente, pero también demuestra que hay que trabajar más para implementar una formación y una sensibilización eficaces dentro de la propia organización.
Una buena formación que reduce el riesgo y frustra las vulnerabilidades no es un ejercicio aislado, sino que va más allá del cumplimiento. Los gerentes y el personal de AppSec deben esforzarse por implementar un programa de concientización sobre la seguridad con una estrategia y un apoyo que reflejen los objetivos de seguridad fundamentales y busquen mantenerlos a largo plazo. De hecho, esta es la columna vertebral de un proceso exitoso de DevSecOps en el que los desarrolladores se preocupan por la seguridad.
¿Qué revela un programa piloto a una organización?
Los programas piloto de Secure Code Warrior son una herramienta increíblemente valiosa para ofrecer a las empresas una visión general de su estado de seguridad actual (normalmente entre el 65 y el 75%), así como de las áreas de mejora inmediata. Revelan:
- Claridad sobre qué vulnerabilidades deben abordarse de manera prioritaria, así como sobre si esta dirección debe aplicarse a un equipo, unidad de negocios o lenguaje de programación en particular
- Un alcance de inteligencia más amplio y preciso sobre los factores de riesgo de ciberseguridad dentro de su SDLC, que abarque el factor humano del desarrollo de software.
- Al aprovechar la plataforma SCW, las organizaciones pueden predecir el posible resultado de las pruebas con bolígrafo y tener la oportunidad de mitigar esos riesgos por adelantado, preparando a los equipos incluso antes de que se les asigne a un proyecto específico.
En las organizaciones que han comenzado a implementar programas de seguridad integrales y efectivos, normalmente se aprueban entre 1 y 1,5 horas por semana de desarrollo profesional a nivel gerencial, para ayudar a sus desarrolladores a mejorar sus conocimientos de codificación segura. Sin embargo, nos estamos dando cuenta de que las organizaciones están dejando de centrarse en el «tiempo dedicado a la plataforma» para centrarse en «qué equipos de desarrollo de software representan el mayor y el menor riesgo para la empresa». Esto está estrechamente relacionado con la formalización de las certificaciones, el descubrimiento de los expertos en seguridad y los programas de mentoría para obtener los mejores resultados. La asignación de tiempo, junto con una evaluación constructiva y positiva, es absolutamente clave para crear desarrolladores conscientes de la seguridad a los que no solo les guste la seguridad, sino que también reduzcan considerablemente el riesgo para la empresa.
¿Cómo utilizan ya las organizaciones Secure Code Warrior?
Varias empresas ya utilizan Secure Code Warrior para crear conciencia, desarrollar las habilidades de los desarrolladores y ampliar una cultura de seguridad positiva.
Por ejemplo, en un caso de uso, un equipo que estaba entrenando en la plataforma utilizó SCW para revelar sus puntos fuertes y débiles en materia de seguridad:
Acción del desarrollador: Los desarrolladores pudieron ver sus propios resultados, mostrándoles las áreas en las que deberían centrarse y capacitarse para autodirigirse, y acelerar la capacitación para mitigar las vulnerabilidades específicas o las brechas de conocimiento que les ayudarán en futuras compilaciones de software.
Acción de gestión: Analizaron las fortalezas y debilidades generales a nivel de equipo y pudieron prescribir un enfoque gamificado que aborde las áreas específicas de preocupación. Esto creó una vía educativa bidireccional que genera conocimientos relevantes rápidamente.
Resultado: Una vez que se realizan las pruebas preliminares a nivel de equipo, cualquier vulnerabilidad es visible y, al comparar los resultados anteriores, es fácil validar si la capacitación ha sido eficaz para reducir los errores de seguridad más comunes.
Esto nos lleva a las etapas iniciales del desarrollo del software, en las que los objetivos del equipo de mejora continua e introducción de las mejores prácticas de seguridad desde el principio pueden resultar eficaces, fáciles de implementar y ahorrar tiempo en todo el ámbito del desarrollo.
Equipos del proyecto DevSecOps
En un entorno ideal de DevSecOps, varias unidades de negocio están representadas en un equipo de proyecto para decidir y ofrecer los resultados principales, uno de los cuales son las mejores prácticas de seguridad.
En términos de investigación y planificación previas al proyecto, la plataforma SCW puede evaluar las habilidades de seguridad del equipo de desarrollo propuesto antes de que comience a trabajar, prediciendo los posibles resultados de las pruebas previas y los retrasos relacionados con la seguridad en el SDLC con tiempo más que suficiente para prepararse adecuadamente para ellos. Se puede crear una formación específica para el código y la estructura del proyecto para que el equipo la lleve a cabo, incluido un proceso de evaluación/certificación que verifique las habilidades generales de sensibilización en materia de seguridad, lo que requiere una calificación de aprobación preestablecida antes de que se publiquen en los productos del proyecto.
Esto ofrece un enfoque de inmenso valor empresarial para reducir el costo de corregir las vulnerabilidades, mitigar los riesgos de seguridad, ahorrar tiempo en las pruebas anteriores, reducir el costo de los costosos programas de recompensas y mejorar las habilidades de la cohorte de desarrollo de una manera centralizada, sostenible, escalable y unificada.
Conclusión:
Existe una mayor presión sobre las empresas para que prioricen la seguridad, mantengan nuestros datos seguros y cumplan con las regulaciones cada vez más estrictas a nivel mundial, pero especialmente para las organizaciones que operan en la UE bajo las estrictas directrices del GDPR.
Para las empresas de la región DACH, está claro que están creando vías de seguridad viables al conectar el esfuerzo y los resultados de la capacitación con las actividades del mundo real relacionadas con la prevención de riesgos, incluida la reducción de las vulnerabilidades comunes en el código que producen.
Para crear un argumento empresarial verdaderamente cuantificable que permita aumentar los presupuestos de seguridad, la concienciación y el cumplimiento general, la formación debe ser atractiva para los desarrolladores, coherente, adaptable y medible. Hacer un seguimiento de las etapas actuales de la capacidad para adaptar la formación adecuada, descubrir a los campeones de la seguridad y medir el rendimiento de los equipos a lo largo del tiempo son iniciativas fundamentales, y muchas empresas con visión de futuro de DACH se están dando cuenta de los beneficios tras un exhaustivo proyecto piloto de SCW.
Muchas empresas tienen problemas con métricas de rendimiento de seguridad que son demasiado genéricas. Con un uso constante y a largo plazo de la plataforma SCW, las empresas podrían utilizar evaluaciones de precisión, cursos y métricas de gestión para descubrir:
- Reducción de las vulnerabilidades a lo largo del tiempo
- Reducción del costo para corregir las vulnerabilidades a lo largo del tiempo
- Desarrollo de habilidades individuales y de equipo a lo largo del tiempo
- Reducción de costos y tiempo en la etapa previa a la prueba
¿Qué métricas monitorea actualmente su organización, con qué frecuencia se vuelven a medir y han mostrado una mejora notable con el tiempo? ¿Qué grado de integración tienen sus iniciativas de formación en relación con el flujo de trabajo actual de los desarrolladores?
El enfoque dinámico, gamificado e integral de SCW se considera una parte crucial del flujo de trabajo del ciclo de vida del desarrollo seguro de software. Las empresas están equipando a sus desarrolladores con las herramientas y la formación adecuadas, además de incorporar SCW como parte de su flujo de trabajo de SSDLC.
%20(1).avif)
.avif)
