Los beneficios de la evaluación comparativa de las habilidades de seguridad para los desarrolladores
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
결론
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
El creciente enfoque en el código seguro y los principios de seguridad desde el diseño requiere que los desarrolladores estén capacitados en ciberseguridad desde el inicio del SDLC, con herramientas como la puntuación de confianza de Secure Code Warrior que ayudan a medir y mejorar su progreso.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
결론
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
결론
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
결론
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
