Golpea primero, ataca con fuerza: por qué los cursos de codificación segura seleccionados no tienen piedad con las ciberamenazas
Existe una verdad algo incómoda, que los gobiernos, las grandes corporaciones e incluso algunos líderes de la industria tienden a pasar por alto: como sociedad, estamos en una batalla constante contra las ciberamenazas y actualmente estamos en el bando perdedor. ¿Cómo sabemos esto? Estas estadísticas cuentan una historia aleccionadora:
- Se estima que la ciberdelincuencia tiene un costo global de 6 billones de dólares de aquí a 2021
- Se produce un ciberataque cada 39 segundos
- El 24% de las filtraciones de datos son causados por un error humano
- Un alarmante 77% de las organizaciones no tener un plan de respuesta a incidentes de ciberseguridad que se amplía en toda la empresa y se aplica de manera uniforme entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una escasez crítica de personal; es poco probable que se llene la brecha de habilidades y no hay ningún ejército secreto de AppSec que venga a rescatarnos. Lo sabemos desde hace años y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una buena defensa, y podemos atacar primero si tenemos un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos hacen creer. Tenemos un as bajo la manga y el clima de ciberseguridad nos presenta una oportunidad de oro. No necesita buscar más allá de sus equipos de desarrollo internos para encontrar al personal que vendrá a rescatar a la organización, pero su programa de seguridad debe respaldar su trayectoria para convertirse en ingenieros conscientes de la seguridad que estén preparados para compartir la responsabilidad de programar de forma segura.
Cualquier entrenamiento antiguo no servirá - ya lo hemos dicho lo suficiente, pero incluso la formación adecuada que involucre, desarrolle conocimientos contextuales y ayude a los desarrolladores a disfrutar de la seguridad podría ser mucho más eficaz si tan solo estuviera más adaptada a las necesidades de la empresa, las amenazas a las que se enfrenta y los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos seguros.
Y ahí es donde nuestras funciones más recientes, Cursos, entra en juego. Por cierto, si tienes la referencia en el título, oficialmente eres viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: desarrolle la defensa, refuerce las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones en vídeo genéricos y secos, y esperar que florezca la pasión por la programación segura). Sin embargo, incluso con un aprendizaje competitivo diseñado para adaptarse a la mentalidad de los desarrolladores, es posible que el contenido sea un poco más amplio de lo que se necesita para cumplir con los requisitos particulares de una organización.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario. Personalice los programas para que se adapten a los equipos de frontend, a los ingenieros de nube, etc., con la capacidad de analizar en profundidad las vulnerabilidades más importantes, en los lenguajes y marcos que sean relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de una conciencia precisa sobre los problemas que representan un mayor riesgo.
Personalice un curso para garantizar el cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una base excelente sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad despierta un sentimiento de orgullo y responsabilidad en los desarrolladores, en lugar de quejarse y ponerse la palma de la cara.
Como punto de partida, es una muy buena idea poner a todos al día con el Top 10 de OWASP, pero para alcanzar realmente nuevos niveles de cumplimiento relevantes para la industria, puedes diseñar un curso personalizado en torno a los requisitos de las normativas específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con la Pautas de PCI-DSS que rigen las aplicaciones de procesamiento de pagos y tarjetas. Hay mucho en juego cuando te encargas de procesar y almacenar información confidencial, como los números de tarjetas de crédito, y conseguir la máxima especificidad con el aprendizaje de los desarrolladores evita el ruido, proporciona la formación adecuada en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza los cursos en sus equipos:
«Los cursos son una gran solución para nuestros ingenieros. Con la nueva función, que agrupa la ruta de aprendizaje, los vídeos y los puntos de control en un módulo personalizable, podemos diseñar el contenido en función de lo que necesitamos en cada momento. Las capacidades de cumplimiento y la flexibilidad brindan una oportunidad aún mejor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca».
Y recuerde, puede que se trate de una formación sobre cumplimiento curada, pero aun así se ofrece como una experiencia de aprendizaje pequeña, contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La educación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps, hay muchos platos que hacer girar. El tiempo reservado para la formación debe utilizarse con prudencia, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al seleccionar un curso personalizado que sea muy relevante, respetas el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, trabajas para lograr una reducción mensurable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas e ingenieros de AppSec suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con los cursos puede permitir a ambas partes ponerse de acuerdo con las prácticas recomendadas de seguridad. No cabe duda de que los desarrolladores apreciarán que el equipo de AppSec les dé la posibilidad de centrarse en las soluciones, ya que minimiza la carga que tienen que soportar y les ayuda a crear un estándar de código más elevado.
Elimine las debilidades, amplíe la higiene de seguridad a nivel empresarial
Todos somos humanos y, lamentablemente, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, pero son asombrosamente comunes. Los de Symantec Informe sobre amenazas a la seguridad en Internet de 2019 confirmó que se robaron más de 70 millones de registros como resultado de la mala configuración de los cubos S3. Los errores de configuración de seguridad son una de las principales causas de las filtraciones de datos, y la causa principal son los errores humanos alrededor de una cuarta parte de ellos.
Estos problemas ocurren por varias razones, pero la falta de conciencia y capacitación en materia de seguridad es un factor importante para que los atacantes puedan aprovechar las pequeñas oportunidades. Para lograr una higiene de seguridad escalable que tenga un impacto positivo, debe contar con un curso personalizado para su empresa. No muestres piedad con tus enemigos y elimina cualquier oportunidad que tengan para causar el mayor dolor de cabeza que puedas encontrar.
Ya estamos viendo un impacto sorprendente en nuestros clientes, incluido este proveedor líder de SaaS de contabilidad basado en la nube:
«La ruta de aprendizaje personalizada de los cursos ha supuesto un punto de inflexión. La especificidad de los lenguajes de programación y las vulnerabilidades proporcionan más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro».
Prepárate para DevSec. Obtenga más información sobre la nueva función de cursos de Secure Code Warrior aquí.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Existe una verdad algo incómoda, que los gobiernos, las grandes corporaciones e incluso algunos líderes de la industria tienden a pasar por alto: como sociedad, estamos en una batalla constante contra las ciberamenazas y actualmente estamos en el bando perdedor. ¿Cómo sabemos esto? Estas estadísticas cuentan una historia aleccionadora:
- Se estima que la ciberdelincuencia tiene un costo global de 6 billones de dólares de aquí a 2021
- Se produce un ciberataque cada 39 segundos
- El 24% de las filtraciones de datos son causados por un error humano
- Un alarmante 77% de las organizaciones no tener un plan de respuesta a incidentes de ciberseguridad que se amplía en toda la empresa y se aplica de manera uniforme entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una escasez crítica de personal; es poco probable que se llene la brecha de habilidades y no hay ningún ejército secreto de AppSec que venga a rescatarnos. Lo sabemos desde hace años y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una buena defensa, y podemos atacar primero si tenemos un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos hacen creer. Tenemos un as bajo la manga y el clima de ciberseguridad nos presenta una oportunidad de oro. No necesita buscar más allá de sus equipos de desarrollo internos para encontrar al personal que vendrá a rescatar a la organización, pero su programa de seguridad debe respaldar su trayectoria para convertirse en ingenieros conscientes de la seguridad que estén preparados para compartir la responsabilidad de programar de forma segura.
Cualquier entrenamiento antiguo no servirá - ya lo hemos dicho lo suficiente, pero incluso la formación adecuada que involucre, desarrolle conocimientos contextuales y ayude a los desarrolladores a disfrutar de la seguridad podría ser mucho más eficaz si tan solo estuviera más adaptada a las necesidades de la empresa, las amenazas a las que se enfrenta y los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos seguros.
Y ahí es donde nuestras funciones más recientes, Cursos, entra en juego. Por cierto, si tienes la referencia en el título, oficialmente eres viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: desarrolle la defensa, refuerce las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones en vídeo genéricos y secos, y esperar que florezca la pasión por la programación segura). Sin embargo, incluso con un aprendizaje competitivo diseñado para adaptarse a la mentalidad de los desarrolladores, es posible que el contenido sea un poco más amplio de lo que se necesita para cumplir con los requisitos particulares de una organización.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario. Personalice los programas para que se adapten a los equipos de frontend, a los ingenieros de nube, etc., con la capacidad de analizar en profundidad las vulnerabilidades más importantes, en los lenguajes y marcos que sean relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de una conciencia precisa sobre los problemas que representan un mayor riesgo.
Personalice un curso para garantizar el cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una base excelente sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad despierta un sentimiento de orgullo y responsabilidad en los desarrolladores, en lugar de quejarse y ponerse la palma de la cara.
Como punto de partida, es una muy buena idea poner a todos al día con el Top 10 de OWASP, pero para alcanzar realmente nuevos niveles de cumplimiento relevantes para la industria, puedes diseñar un curso personalizado en torno a los requisitos de las normativas específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con la Pautas de PCI-DSS que rigen las aplicaciones de procesamiento de pagos y tarjetas. Hay mucho en juego cuando te encargas de procesar y almacenar información confidencial, como los números de tarjetas de crédito, y conseguir la máxima especificidad con el aprendizaje de los desarrolladores evita el ruido, proporciona la formación adecuada en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza los cursos en sus equipos:
«Los cursos son una gran solución para nuestros ingenieros. Con la nueva función, que agrupa la ruta de aprendizaje, los vídeos y los puntos de control en un módulo personalizable, podemos diseñar el contenido en función de lo que necesitamos en cada momento. Las capacidades de cumplimiento y la flexibilidad brindan una oportunidad aún mejor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca».
Y recuerde, puede que se trate de una formación sobre cumplimiento curada, pero aun así se ofrece como una experiencia de aprendizaje pequeña, contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La educación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps, hay muchos platos que hacer girar. El tiempo reservado para la formación debe utilizarse con prudencia, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al seleccionar un curso personalizado que sea muy relevante, respetas el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, trabajas para lograr una reducción mensurable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas e ingenieros de AppSec suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con los cursos puede permitir a ambas partes ponerse de acuerdo con las prácticas recomendadas de seguridad. No cabe duda de que los desarrolladores apreciarán que el equipo de AppSec les dé la posibilidad de centrarse en las soluciones, ya que minimiza la carga que tienen que soportar y les ayuda a crear un estándar de código más elevado.
Elimine las debilidades, amplíe la higiene de seguridad a nivel empresarial
Todos somos humanos y, lamentablemente, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, pero son asombrosamente comunes. Los de Symantec Informe sobre amenazas a la seguridad en Internet de 2019 confirmó que se robaron más de 70 millones de registros como resultado de la mala configuración de los cubos S3. Los errores de configuración de seguridad son una de las principales causas de las filtraciones de datos, y la causa principal son los errores humanos alrededor de una cuarta parte de ellos.
Estos problemas ocurren por varias razones, pero la falta de conciencia y capacitación en materia de seguridad es un factor importante para que los atacantes puedan aprovechar las pequeñas oportunidades. Para lograr una higiene de seguridad escalable que tenga un impacto positivo, debe contar con un curso personalizado para su empresa. No muestres piedad con tus enemigos y elimina cualquier oportunidad que tengan para causar el mayor dolor de cabeza que puedas encontrar.
Ya estamos viendo un impacto sorprendente en nuestros clientes, incluido este proveedor líder de SaaS de contabilidad basado en la nube:
«La ruta de aprendizaje personalizada de los cursos ha supuesto un punto de inflexión. La especificidad de los lenguajes de programación y las vulnerabilidades proporcionan más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro».
Prepárate para DevSec. Obtenga más información sobre la nueva función de cursos de Secure Code Warrior aquí.
Existe una verdad algo incómoda, que los gobiernos, las grandes corporaciones e incluso algunos líderes de la industria tienden a pasar por alto: como sociedad, estamos en una batalla constante contra las ciberamenazas y actualmente estamos en el bando perdedor. ¿Cómo sabemos esto? Estas estadísticas cuentan una historia aleccionadora:
- Se estima que la ciberdelincuencia tiene un costo global de 6 billones de dólares de aquí a 2021
- Se produce un ciberataque cada 39 segundos
- El 24% de las filtraciones de datos son causados por un error humano
- Un alarmante 77% de las organizaciones no tener un plan de respuesta a incidentes de ciberseguridad que se amplía en toda la empresa y se aplica de manera uniforme entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una escasez crítica de personal; es poco probable que se llene la brecha de habilidades y no hay ningún ejército secreto de AppSec que venga a rescatarnos. Lo sabemos desde hace años y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una buena defensa, y podemos atacar primero si tenemos un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos hacen creer. Tenemos un as bajo la manga y el clima de ciberseguridad nos presenta una oportunidad de oro. No necesita buscar más allá de sus equipos de desarrollo internos para encontrar al personal que vendrá a rescatar a la organización, pero su programa de seguridad debe respaldar su trayectoria para convertirse en ingenieros conscientes de la seguridad que estén preparados para compartir la responsabilidad de programar de forma segura.
Cualquier entrenamiento antiguo no servirá - ya lo hemos dicho lo suficiente, pero incluso la formación adecuada que involucre, desarrolle conocimientos contextuales y ayude a los desarrolladores a disfrutar de la seguridad podría ser mucho más eficaz si tan solo estuviera más adaptada a las necesidades de la empresa, las amenazas a las que se enfrenta y los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos seguros.
Y ahí es donde nuestras funciones más recientes, Cursos, entra en juego. Por cierto, si tienes la referencia en el título, oficialmente eres viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: desarrolle la defensa, refuerce las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones en vídeo genéricos y secos, y esperar que florezca la pasión por la programación segura). Sin embargo, incluso con un aprendizaje competitivo diseñado para adaptarse a la mentalidad de los desarrolladores, es posible que el contenido sea un poco más amplio de lo que se necesita para cumplir con los requisitos particulares de una organización.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario. Personalice los programas para que se adapten a los equipos de frontend, a los ingenieros de nube, etc., con la capacidad de analizar en profundidad las vulnerabilidades más importantes, en los lenguajes y marcos que sean relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de una conciencia precisa sobre los problemas que representan un mayor riesgo.
Personalice un curso para garantizar el cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una base excelente sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad despierta un sentimiento de orgullo y responsabilidad en los desarrolladores, en lugar de quejarse y ponerse la palma de la cara.
Como punto de partida, es una muy buena idea poner a todos al día con el Top 10 de OWASP, pero para alcanzar realmente nuevos niveles de cumplimiento relevantes para la industria, puedes diseñar un curso personalizado en torno a los requisitos de las normativas específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con la Pautas de PCI-DSS que rigen las aplicaciones de procesamiento de pagos y tarjetas. Hay mucho en juego cuando te encargas de procesar y almacenar información confidencial, como los números de tarjetas de crédito, y conseguir la máxima especificidad con el aprendizaje de los desarrolladores evita el ruido, proporciona la formación adecuada en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza los cursos en sus equipos:
«Los cursos son una gran solución para nuestros ingenieros. Con la nueva función, que agrupa la ruta de aprendizaje, los vídeos y los puntos de control en un módulo personalizable, podemos diseñar el contenido en función de lo que necesitamos en cada momento. Las capacidades de cumplimiento y la flexibilidad brindan una oportunidad aún mejor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca».
Y recuerde, puede que se trate de una formación sobre cumplimiento curada, pero aun así se ofrece como una experiencia de aprendizaje pequeña, contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La educación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps, hay muchos platos que hacer girar. El tiempo reservado para la formación debe utilizarse con prudencia, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al seleccionar un curso personalizado que sea muy relevante, respetas el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, trabajas para lograr una reducción mensurable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas e ingenieros de AppSec suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con los cursos puede permitir a ambas partes ponerse de acuerdo con las prácticas recomendadas de seguridad. No cabe duda de que los desarrolladores apreciarán que el equipo de AppSec les dé la posibilidad de centrarse en las soluciones, ya que minimiza la carga que tienen que soportar y les ayuda a crear un estándar de código más elevado.
Elimine las debilidades, amplíe la higiene de seguridad a nivel empresarial
Todos somos humanos y, lamentablemente, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, pero son asombrosamente comunes. Los de Symantec Informe sobre amenazas a la seguridad en Internet de 2019 confirmó que se robaron más de 70 millones de registros como resultado de la mala configuración de los cubos S3. Los errores de configuración de seguridad son una de las principales causas de las filtraciones de datos, y la causa principal son los errores humanos alrededor de una cuarta parte de ellos.
Estos problemas ocurren por varias razones, pero la falta de conciencia y capacitación en materia de seguridad es un factor importante para que los atacantes puedan aprovechar las pequeñas oportunidades. Para lograr una higiene de seguridad escalable que tenga un impacto positivo, debe contar con un curso personalizado para su empresa. No muestres piedad con tus enemigos y elimina cualquier oportunidad que tengan para causar el mayor dolor de cabeza que puedas encontrar.
Ya estamos viendo un impacto sorprendente en nuestros clientes, incluido este proveedor líder de SaaS de contabilidad basado en la nube:
«La ruta de aprendizaje personalizada de los cursos ha supuesto un punto de inflexión. La especificidad de los lenguajes de programación y las vulnerabilidades proporcionan más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro».
Prepárate para DevSec. Obtenga más información sobre la nueva función de cursos de Secure Code Warrior aquí.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Existe una verdad algo incómoda, que los gobiernos, las grandes corporaciones e incluso algunos líderes de la industria tienden a pasar por alto: como sociedad, estamos en una batalla constante contra las ciberamenazas y actualmente estamos en el bando perdedor. ¿Cómo sabemos esto? Estas estadísticas cuentan una historia aleccionadora:
- Se estima que la ciberdelincuencia tiene un costo global de 6 billones de dólares de aquí a 2021
- Se produce un ciberataque cada 39 segundos
- El 24% de las filtraciones de datos son causados por un error humano
- Un alarmante 77% de las organizaciones no tener un plan de respuesta a incidentes de ciberseguridad que se amplía en toda la empresa y se aplica de manera uniforme entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una escasez crítica de personal; es poco probable que se llene la brecha de habilidades y no hay ningún ejército secreto de AppSec que venga a rescatarnos. Lo sabemos desde hace años y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una buena defensa, y podemos atacar primero si tenemos un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos hacen creer. Tenemos un as bajo la manga y el clima de ciberseguridad nos presenta una oportunidad de oro. No necesita buscar más allá de sus equipos de desarrollo internos para encontrar al personal que vendrá a rescatar a la organización, pero su programa de seguridad debe respaldar su trayectoria para convertirse en ingenieros conscientes de la seguridad que estén preparados para compartir la responsabilidad de programar de forma segura.
Cualquier entrenamiento antiguo no servirá - ya lo hemos dicho lo suficiente, pero incluso la formación adecuada que involucre, desarrolle conocimientos contextuales y ayude a los desarrolladores a disfrutar de la seguridad podría ser mucho más eficaz si tan solo estuviera más adaptada a las necesidades de la empresa, las amenazas a las que se enfrenta y los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos seguros.
Y ahí es donde nuestras funciones más recientes, Cursos, entra en juego. Por cierto, si tienes la referencia en el título, oficialmente eres viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: desarrolle la defensa, refuerce las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones en vídeo genéricos y secos, y esperar que florezca la pasión por la programación segura). Sin embargo, incluso con un aprendizaje competitivo diseñado para adaptarse a la mentalidad de los desarrolladores, es posible que el contenido sea un poco más amplio de lo que se necesita para cumplir con los requisitos particulares de una organización.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario. Personalice los programas para que se adapten a los equipos de frontend, a los ingenieros de nube, etc., con la capacidad de analizar en profundidad las vulnerabilidades más importantes, en los lenguajes y marcos que sean relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de una conciencia precisa sobre los problemas que representan un mayor riesgo.
Personalice un curso para garantizar el cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una base excelente sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad despierta un sentimiento de orgullo y responsabilidad en los desarrolladores, en lugar de quejarse y ponerse la palma de la cara.
Como punto de partida, es una muy buena idea poner a todos al día con el Top 10 de OWASP, pero para alcanzar realmente nuevos niveles de cumplimiento relevantes para la industria, puedes diseñar un curso personalizado en torno a los requisitos de las normativas específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con la Pautas de PCI-DSS que rigen las aplicaciones de procesamiento de pagos y tarjetas. Hay mucho en juego cuando te encargas de procesar y almacenar información confidencial, como los números de tarjetas de crédito, y conseguir la máxima especificidad con el aprendizaje de los desarrolladores evita el ruido, proporciona la formación adecuada en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza los cursos en sus equipos:
«Los cursos son una gran solución para nuestros ingenieros. Con la nueva función, que agrupa la ruta de aprendizaje, los vídeos y los puntos de control en un módulo personalizable, podemos diseñar el contenido en función de lo que necesitamos en cada momento. Las capacidades de cumplimiento y la flexibilidad brindan una oportunidad aún mejor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca».
Y recuerde, puede que se trate de una formación sobre cumplimiento curada, pero aun así se ofrece como una experiencia de aprendizaje pequeña, contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La educación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps, hay muchos platos que hacer girar. El tiempo reservado para la formación debe utilizarse con prudencia, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al seleccionar un curso personalizado que sea muy relevante, respetas el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, trabajas para lograr una reducción mensurable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas e ingenieros de AppSec suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con los cursos puede permitir a ambas partes ponerse de acuerdo con las prácticas recomendadas de seguridad. No cabe duda de que los desarrolladores apreciarán que el equipo de AppSec les dé la posibilidad de centrarse en las soluciones, ya que minimiza la carga que tienen que soportar y les ayuda a crear un estándar de código más elevado.
Elimine las debilidades, amplíe la higiene de seguridad a nivel empresarial
Todos somos humanos y, lamentablemente, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, pero son asombrosamente comunes. Los de Symantec Informe sobre amenazas a la seguridad en Internet de 2019 confirmó que se robaron más de 70 millones de registros como resultado de la mala configuración de los cubos S3. Los errores de configuración de seguridad son una de las principales causas de las filtraciones de datos, y la causa principal son los errores humanos alrededor de una cuarta parte de ellos.
Estos problemas ocurren por varias razones, pero la falta de conciencia y capacitación en materia de seguridad es un factor importante para que los atacantes puedan aprovechar las pequeñas oportunidades. Para lograr una higiene de seguridad escalable que tenga un impacto positivo, debe contar con un curso personalizado para su empresa. No muestres piedad con tus enemigos y elimina cualquier oportunidad que tengan para causar el mayor dolor de cabeza que puedas encontrar.
Ya estamos viendo un impacto sorprendente en nuestros clientes, incluido este proveedor líder de SaaS de contabilidad basado en la nube:
«La ruta de aprendizaje personalizada de los cursos ha supuesto un punto de inflexión. La especificidad de los lenguajes de programación y las vulnerabilidades proporcionan más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro».
Prepárate para DevSec. Obtenga más información sobre la nueva función de cursos de Secure Code Warrior aquí.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
