PCI-DSS 4.0 estará aquí antes de lo que cree y es una oportunidad para aumentar la ciberresiliencia de su organización
Una versión de este artículo apareció en Bulevar de seguridad. Se ha actualizado y distribuido aquí.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del ámbito de la BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores desafíos para prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y de los recursos disponibles, los nuevos estándares PCI DSS abarcan muchos aspectos. Sin embargo, revelan un marcado cambio hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante, esto es importante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de lograr el mismo objetivo de mejores prácticas de seguridad irrefutables. Esto es cierto, pero parece más adecuado para las organizaciones con una madurez de seguridad avanzada y deja mucho margen de error, especialmente para aquellas que no han evaluado de forma realista su verdadera madurez en materia de seguridad interna. En última instancia, las empresas deben estar preparadas para abordar la seguridad como un proceso continuo y en evolución, no como un ejercicio puntual de «configurar y olvidar». Es imprescindible contar con una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y quienes utilizan herramientas a nivel de código (la cohorte de desarrollo) deben poder ofrecer software seguro y compatible en cualquier entorno empresarial que gestione activos y transacciones digitales.
¿Están sus desarrolladores preparados para ofrecer software compatible?
Los desarrolladores son una parte integral para alcanzar un estado de excelencia en seguridad de software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de PCI DSS. Es crucial que los desarrolladores comprendan el panorama general de la PCI DSS 4.0 en términos de lo que pueden controlar y que lo integren como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo y se pueden desglosar de la siguiente manera:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI; sin embargo, la versión 4.0 lo eleva aún más de una manera que requerirá una implementación cuidadosa tanto interna como externamente. La autenticación multifactor (MFA) pasará a ser estándar, al igual que las reglas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad de autenticación y control de acceso son ahora los más comunes a los que se enfrenta un desarrollador promedio, es imperativo que se implemente una capacitación precisa para ayudarlos a identificar y solucionar estos problemas en el código real. - Cifrado y administración de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más confidencial a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de alto valor en riesgo, el cifrado y las prácticas de criptografía sólidas son imprescindibles. Los desarrolladores deben asegurarse de disponer de información actualizada sobre dónde se transmite la información, cómo pueden acceder los usuarios a ella e, incluso en caso de que acabe en malas manos, asegurarse de que los atacantes no puedan leerla.
- Software malintencionado: En las directrices anteriores, los controles de seguridad relacionados con la protección del software contra códigos malintencionados se denominaban «software antivirus», pero esto simplifica en exceso lo que debería ser un enfoque de varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de los componentes vulnerables, especialmente dado que la mayoría de las bases de código dependen, al menos en parte, de código de terceros.
¿Qué constituye una formación «suficiente» para los desarrolladores?
Al igual que las recomendaciones anteriores, la PCI DSS 4.0 propone que los desarrolladores reciban formación «al menos» una vez al año. Sin embargo, si se quiere decir que una vez al año es un punto de contacto suficiente para la creación segura de software, no es ni de lejos suficiente y es poco probable que dé como resultado un software más seguro y compatible.
La formación de los desarrolladores debe comenzar con una formación básica sobre el Top 10 de OWASP, así como con cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el objetivo de seguir desarrollando esas habilidades e incorporar la seguridad no solo en el desarrollo de software desde el principio, sino también en su mentalidad y enfoque de su función. Además, las funciones y responsabilidades deben quedar muy claras para el grupo de desarrolladores y sus directivos. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y garantizar que se cumplan adecuadamente.
Con el tiempo disponible para prepararse para cumplir con las normas PCI DSS 4.0, es posible lograr avances significativos en la mejora de la cultura de seguridad en toda la organización, lo que constituye un terreno fértil para crear la cohorte de desarrollo más consciente de la seguridad que haya tenido nunca.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Una versión de este artículo apareció en Bulevar de seguridad. Se ha actualizado y distribuido aquí.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del ámbito de la BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores desafíos para prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y de los recursos disponibles, los nuevos estándares PCI DSS abarcan muchos aspectos. Sin embargo, revelan un marcado cambio hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante, esto es importante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de lograr el mismo objetivo de mejores prácticas de seguridad irrefutables. Esto es cierto, pero parece más adecuado para las organizaciones con una madurez de seguridad avanzada y deja mucho margen de error, especialmente para aquellas que no han evaluado de forma realista su verdadera madurez en materia de seguridad interna. En última instancia, las empresas deben estar preparadas para abordar la seguridad como un proceso continuo y en evolución, no como un ejercicio puntual de «configurar y olvidar». Es imprescindible contar con una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y quienes utilizan herramientas a nivel de código (la cohorte de desarrollo) deben poder ofrecer software seguro y compatible en cualquier entorno empresarial que gestione activos y transacciones digitales.
¿Están sus desarrolladores preparados para ofrecer software compatible?
Los desarrolladores son una parte integral para alcanzar un estado de excelencia en seguridad de software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de PCI DSS. Es crucial que los desarrolladores comprendan el panorama general de la PCI DSS 4.0 en términos de lo que pueden controlar y que lo integren como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo y se pueden desglosar de la siguiente manera:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI; sin embargo, la versión 4.0 lo eleva aún más de una manera que requerirá una implementación cuidadosa tanto interna como externamente. La autenticación multifactor (MFA) pasará a ser estándar, al igual que las reglas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad de autenticación y control de acceso son ahora los más comunes a los que se enfrenta un desarrollador promedio, es imperativo que se implemente una capacitación precisa para ayudarlos a identificar y solucionar estos problemas en el código real. - Cifrado y administración de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más confidencial a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de alto valor en riesgo, el cifrado y las prácticas de criptografía sólidas son imprescindibles. Los desarrolladores deben asegurarse de disponer de información actualizada sobre dónde se transmite la información, cómo pueden acceder los usuarios a ella e, incluso en caso de que acabe en malas manos, asegurarse de que los atacantes no puedan leerla.
- Software malintencionado: En las directrices anteriores, los controles de seguridad relacionados con la protección del software contra códigos malintencionados se denominaban «software antivirus», pero esto simplifica en exceso lo que debería ser un enfoque de varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de los componentes vulnerables, especialmente dado que la mayoría de las bases de código dependen, al menos en parte, de código de terceros.
¿Qué constituye una formación «suficiente» para los desarrolladores?
Al igual que las recomendaciones anteriores, la PCI DSS 4.0 propone que los desarrolladores reciban formación «al menos» una vez al año. Sin embargo, si se quiere decir que una vez al año es un punto de contacto suficiente para la creación segura de software, no es ni de lejos suficiente y es poco probable que dé como resultado un software más seguro y compatible.
La formación de los desarrolladores debe comenzar con una formación básica sobre el Top 10 de OWASP, así como con cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el objetivo de seguir desarrollando esas habilidades e incorporar la seguridad no solo en el desarrollo de software desde el principio, sino también en su mentalidad y enfoque de su función. Además, las funciones y responsabilidades deben quedar muy claras para el grupo de desarrolladores y sus directivos. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y garantizar que se cumplan adecuadamente.
Con el tiempo disponible para prepararse para cumplir con las normas PCI DSS 4.0, es posible lograr avances significativos en la mejora de la cultura de seguridad en toda la organización, lo que constituye un terreno fértil para crear la cohorte de desarrollo más consciente de la seguridad que haya tenido nunca.
Una versión de este artículo apareció en Bulevar de seguridad. Se ha actualizado y distribuido aquí.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del ámbito de la BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores desafíos para prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y de los recursos disponibles, los nuevos estándares PCI DSS abarcan muchos aspectos. Sin embargo, revelan un marcado cambio hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante, esto es importante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de lograr el mismo objetivo de mejores prácticas de seguridad irrefutables. Esto es cierto, pero parece más adecuado para las organizaciones con una madurez de seguridad avanzada y deja mucho margen de error, especialmente para aquellas que no han evaluado de forma realista su verdadera madurez en materia de seguridad interna. En última instancia, las empresas deben estar preparadas para abordar la seguridad como un proceso continuo y en evolución, no como un ejercicio puntual de «configurar y olvidar». Es imprescindible contar con una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y quienes utilizan herramientas a nivel de código (la cohorte de desarrollo) deben poder ofrecer software seguro y compatible en cualquier entorno empresarial que gestione activos y transacciones digitales.
¿Están sus desarrolladores preparados para ofrecer software compatible?
Los desarrolladores son una parte integral para alcanzar un estado de excelencia en seguridad de software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de PCI DSS. Es crucial que los desarrolladores comprendan el panorama general de la PCI DSS 4.0 en términos de lo que pueden controlar y que lo integren como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo y se pueden desglosar de la siguiente manera:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI; sin embargo, la versión 4.0 lo eleva aún más de una manera que requerirá una implementación cuidadosa tanto interna como externamente. La autenticación multifactor (MFA) pasará a ser estándar, al igual que las reglas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad de autenticación y control de acceso son ahora los más comunes a los que se enfrenta un desarrollador promedio, es imperativo que se implemente una capacitación precisa para ayudarlos a identificar y solucionar estos problemas en el código real. - Cifrado y administración de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más confidencial a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de alto valor en riesgo, el cifrado y las prácticas de criptografía sólidas son imprescindibles. Los desarrolladores deben asegurarse de disponer de información actualizada sobre dónde se transmite la información, cómo pueden acceder los usuarios a ella e, incluso en caso de que acabe en malas manos, asegurarse de que los atacantes no puedan leerla.
- Software malintencionado: En las directrices anteriores, los controles de seguridad relacionados con la protección del software contra códigos malintencionados se denominaban «software antivirus», pero esto simplifica en exceso lo que debería ser un enfoque de varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de los componentes vulnerables, especialmente dado que la mayoría de las bases de código dependen, al menos en parte, de código de terceros.
¿Qué constituye una formación «suficiente» para los desarrolladores?
Al igual que las recomendaciones anteriores, la PCI DSS 4.0 propone que los desarrolladores reciban formación «al menos» una vez al año. Sin embargo, si se quiere decir que una vez al año es un punto de contacto suficiente para la creación segura de software, no es ni de lejos suficiente y es poco probable que dé como resultado un software más seguro y compatible.
La formación de los desarrolladores debe comenzar con una formación básica sobre el Top 10 de OWASP, así como con cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el objetivo de seguir desarrollando esas habilidades e incorporar la seguridad no solo en el desarrollo de software desde el principio, sino también en su mentalidad y enfoque de su función. Además, las funciones y responsabilidades deben quedar muy claras para el grupo de desarrolladores y sus directivos. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y garantizar que se cumplan adecuadamente.
Con el tiempo disponible para prepararse para cumplir con las normas PCI DSS 4.0, es posible lograr avances significativos en la mejora de la cultura de seguridad en toda la organización, lo que constituye un terreno fértil para crear la cohorte de desarrollo más consciente de la seguridad que haya tenido nunca.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Una versión de este artículo apareció en Bulevar de seguridad. Se ha actualizado y distribuido aquí.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del ámbito de la BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores desafíos para prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y de los recursos disponibles, los nuevos estándares PCI DSS abarcan muchos aspectos. Sin embargo, revelan un marcado cambio hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante, esto es importante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de lograr el mismo objetivo de mejores prácticas de seguridad irrefutables. Esto es cierto, pero parece más adecuado para las organizaciones con una madurez de seguridad avanzada y deja mucho margen de error, especialmente para aquellas que no han evaluado de forma realista su verdadera madurez en materia de seguridad interna. En última instancia, las empresas deben estar preparadas para abordar la seguridad como un proceso continuo y en evolución, no como un ejercicio puntual de «configurar y olvidar». Es imprescindible contar con una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y quienes utilizan herramientas a nivel de código (la cohorte de desarrollo) deben poder ofrecer software seguro y compatible en cualquier entorno empresarial que gestione activos y transacciones digitales.
¿Están sus desarrolladores preparados para ofrecer software compatible?
Los desarrolladores son una parte integral para alcanzar un estado de excelencia en seguridad de software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de PCI DSS. Es crucial que los desarrolladores comprendan el panorama general de la PCI DSS 4.0 en términos de lo que pueden controlar y que lo integren como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo y se pueden desglosar de la siguiente manera:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI; sin embargo, la versión 4.0 lo eleva aún más de una manera que requerirá una implementación cuidadosa tanto interna como externamente. La autenticación multifactor (MFA) pasará a ser estándar, al igual que las reglas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad de autenticación y control de acceso son ahora los más comunes a los que se enfrenta un desarrollador promedio, es imperativo que se implemente una capacitación precisa para ayudarlos a identificar y solucionar estos problemas en el código real. - Cifrado y administración de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más confidencial a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de alto valor en riesgo, el cifrado y las prácticas de criptografía sólidas son imprescindibles. Los desarrolladores deben asegurarse de disponer de información actualizada sobre dónde se transmite la información, cómo pueden acceder los usuarios a ella e, incluso en caso de que acabe en malas manos, asegurarse de que los atacantes no puedan leerla.
- Software malintencionado: En las directrices anteriores, los controles de seguridad relacionados con la protección del software contra códigos malintencionados se denominaban «software antivirus», pero esto simplifica en exceso lo que debería ser un enfoque de varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de los componentes vulnerables, especialmente dado que la mayoría de las bases de código dependen, al menos en parte, de código de terceros.
¿Qué constituye una formación «suficiente» para los desarrolladores?
Al igual que las recomendaciones anteriores, la PCI DSS 4.0 propone que los desarrolladores reciban formación «al menos» una vez al año. Sin embargo, si se quiere decir que una vez al año es un punto de contacto suficiente para la creación segura de software, no es ni de lejos suficiente y es poco probable que dé como resultado un software más seguro y compatible.
La formación de los desarrolladores debe comenzar con una formación básica sobre el Top 10 de OWASP, así como con cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el objetivo de seguir desarrollando esas habilidades e incorporar la seguridad no solo en el desarrollo de software desde el principio, sino también en su mentalidad y enfoque de su función. Además, las funciones y responsabilidades deben quedar muy claras para el grupo de desarrolladores y sus directivos. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y garantizar que se cumplan adecuadamente.
Con el tiempo disponible para prepararse para cumplir con las normas PCI DSS 4.0, es posible lograr avances significativos en la mejora de la cultura de seguridad en toda la organización, lo que constituye un terreno fértil para crear la cohorte de desarrollo más consciente de la seguridad que haya tenido nunca.
%20(1).avif)
.avif)
