Convertir el aburrido cumplimiento del PCI-DSS en un ejercicio significativo para todos: Parte 1 - AppSec
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
