Conciencia de seguridad certificada: una orden ejecutiva para mejorar la calidad de los desarrolladores
Si existe el tiempo divino, hay que decir que la Administración de Biden dio en el clavo con su Orden ejecutiva (EO), en el que se aborda el plan del gobierno de los EE. UU. para reforzar las redes federales y mejorar los estándares y las mejores prácticas de ciberseguridad en todo el país. Esta estrategia sigue a dos ciberataques recientes y devastadores: la continua violación de la cadena de suministro de Vientos solares, además del Oleoducto colonial ataque a la infraestructura de gas.
Si bien estos acontecimientos indudablemente causaron repercusiones en todos los niveles del gobierno, esta directiva marca un momento emocionante para la futuro de la ciberseguridad. Parece que por fin nos estamos tomando en serio la protección de nuestra existencia digital desde arriba, y no hay mejor momento que ahora para impulsar mejores estándares y un software de mayor calidad.
La EO aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan verificado habilidades y conciencia de seguridad. Durante años, hemos gritado a los cuatro vientos diciendo que este es el camino a seguir para combatir las vulnerabilidades comunes que tan a menudo nos hacen perder, y que los mandatos gubernamentales se alineen con este enfoque es el camino hacia el éxito generalizado en la ciberdefensa.
¿Cómo deben responder las organizaciones (y los departamentos federales por igual) a esta orden? Analicemos algunas de las categorías principales.
«Tick-the-Box» está descartado.
Hace tiempo que señalamos la ineficacia de la mayoría de los tipos de formación en ciberseguridad para desarrolladores. Con frecuencia es demasiado genérica, no se imparte de manera que atraiga e inspire el resultado deseado (léase: código más seguro) y se aborda con muy poca frecuencia. Y lo que es peor, muchas empresas se contentan con una formación «lista para cumplir», es decir, un enfoque que ofrece lo mínimo y listo para cumplir con un requisito operativo y obtener una marca de verificación junto al nombre del desarrollador. Estas estrategias educativas son las que mantienen a todos los CISO en el filo de la navaja, cruzando los dedos y esperando que su empresa no sea víctima de la próxima brecha de seguridad cibernética. Simplemente no sirven para reducir las vulnerabilidades y crear código de mayor calidad.
En la sección 4 del mandato de Biden, se deja en claro la necesidad de que una organización demuestre que sus desarrolladores muestran un cumplimiento de seguridad documentado y verificado:
»Las directrices deberán incluir criterios que puedan utilizarse para evaluar la seguridad del software, incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras.»
Hay un pequeño problema con eso: actualmente no existe ninguna certificación estándar de la industria específica para desarrolladores. Poder comparar el nivel de habilidades de programación segura de los desarrolladores y trabajar con cursos y evaluaciones para mejorar esas habilidades es fundamental, ya que permite a las empresas establecer objetivos y lograr el cumplimiento. Cuando los desarrolladores pueden demostrar sus competencias básicas en un entorno práctico y práctico, estas pueden evaluarse y certificarse de forma significativa y fiable. Es fundamental para nuestra oferta en Secure Code Warrior, y nos hemos esforzado por crear un sistema que pueda utilizarse para obtener una certificación fiable y que se pueda personalizar según sus requisitos técnicos y organizativos.
Estas habilidades son valiosas y no se pueden automatizar. La certificación puede transformar a los desarrolladores en una fuerza consciente de la seguridad que puede defender el código base contra las amenazas insidiosas.
Un enfoque en las herramientas para desarrolladores (y en las herramientas en general).
Además de las directrices sobre la verificación de las prácticas de codificación seguras, la EO profundiza bastante en el aspecto de la seguridad relacionado con la automatización y las herramientas.
Simplemente se está produciendo demasiado código como para que los humanos lo manejen solos desde una perspectiva de seguridad, y la automatización, como parte de un extenso paquete tecnológico, es una parte importante de todos los programas de seguridad, como debería ser. Sin embargo, no todas las herramientas se crean de la misma manera, y no existe una «herramienta que las gobierne a todas» que detecte todas las vulnerabilidades en todos los lenguajes de programación. Un buen programa de seguridad adopta un enfoque matizado, especialmente cuando se trata de herramientas y servicios dirigidos a los desarrolladores.
La sección 3 de la EO describe las expectativas de los proveedores que crean software que pueda ser utilizado por el gobierno federal, y las pautas instructivas sobre el uso de herramientas en el proceso de desarrollo:
» (iii) emplear herramientas automatizadas, o procesos comparables, para mantener cadenas de suministro de código fuente confiables, garantizando así la integridad del código;
(iv) emplear herramientas automatizadas, o procesos comparables, que comprueben las vulnerabilidades conocidas y potenciales y las corrijan, que deberán funcionar con regularidad o, como mínimo, antes del lanzamiento del producto, la versión o la actualización.»
Las herramientas de seguridad del paquete tecnológico para desarrolladores son una de las formas de mejorar las mejores prácticas de seguridad con rapidez, garantizando que las versiones tengan la mejor oportunidad de cumplir con los plazos y no se vean retrasadas por errores de seguridad y otros problemas espectaculares. Sin embargo, la cuestión es que los desarrolladores seguirán necesitando un aprendizaje contextual para aprovechar al máximo las herramientas más potentes. Es crucial que comprendan qué es lo que se ha marcado, por qué es peligroso y cómo remediarlo, y esto conllevará menos errores a la hora de identificar las herramientas.
Las mejores herramientas se integrarán con el entorno de los desarrolladores, ayudándoles a producir código de mayor calidad (y más seguro) y garantizarán que la seguridad sea una prioridad.
Asegurar la cadena de suministro.
Una de mis partes favoritas de la EO son los planes integrales para asegurar la cadena de suministro de software. Esto no es sorprendente, dado el evento de SolarWinds, pero es un punto culminante importante:
»La seguridad del software utilizado por el Gobierno Federal es vital para la capacidad del Gobierno Federal de desempeñar sus funciones críticas. El desarrollo de software comercial a menudo carece de transparencia, no se centra lo suficiente en la capacidad del software para resistir los ataques y no cuenta con los controles adecuados para evitar que actores malintencionados lo manipulen. Existe una necesidad urgente de implementar mecanismos más rigurosos y predecibles para garantizar que los productos funcionen de manera segura y según lo previsto... el Gobierno Federal debe tomar medidas para mejorar rápidamente la seguridad e integridad de la cadena de suministro de software, dando prioridad a abordar el software crítico.»
Esta decisión afectará a cualquier empresa de software que quiera hacer negocios con el gobierno de los EE. UU., pero debería aplicarse como norma en todas partes. La falta de transparencia por parte de los proveedores externos (por no hablar de los desarrolladores que utilizan componentes de terceros) con respecto a sus medidas de seguridad hace que sea increíblemente difícil evaluar, validar y declarar que se están cumpliendo las mejores prácticas de ciberseguridad. Debemos analizar los proveedores que utilizamos y el software que crean. Estas acciones pueden considerarse un «esfuerzo adicional», pero deberían ser inherentes al estándar de referencia de las mejores prácticas de ciberseguridad.
Enviar código seguro con confianza ha sido un problema en nuestra industria durante mucho tiempo, pero esta es la oportunidad perfecta para evaluar los procesos actuales y liderar el camino hacia una infraestructura de nube y software reforzada, que es la envidia de quienes se quedan atrás. Hable con nosotros ahora y descubra cómo puede aprovechar Cursos, Evaluaciones, y herramientas para desarrolladores para certificar a su próximo equipo de desarrolladores preocupados por la seguridad.
.avif)
La última orden ejecutiva del Gobierno Federal de los EE. UU. aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan conocimientos y habilidades de seguridad comprobados.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Si existe el tiempo divino, hay que decir que la Administración de Biden dio en el clavo con su Orden ejecutiva (EO), en el que se aborda el plan del gobierno de los EE. UU. para reforzar las redes federales y mejorar los estándares y las mejores prácticas de ciberseguridad en todo el país. Esta estrategia sigue a dos ciberataques recientes y devastadores: la continua violación de la cadena de suministro de Vientos solares, además del Oleoducto colonial ataque a la infraestructura de gas.
Si bien estos acontecimientos indudablemente causaron repercusiones en todos los niveles del gobierno, esta directiva marca un momento emocionante para la futuro de la ciberseguridad. Parece que por fin nos estamos tomando en serio la protección de nuestra existencia digital desde arriba, y no hay mejor momento que ahora para impulsar mejores estándares y un software de mayor calidad.
La EO aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan verificado habilidades y conciencia de seguridad. Durante años, hemos gritado a los cuatro vientos diciendo que este es el camino a seguir para combatir las vulnerabilidades comunes que tan a menudo nos hacen perder, y que los mandatos gubernamentales se alineen con este enfoque es el camino hacia el éxito generalizado en la ciberdefensa.
¿Cómo deben responder las organizaciones (y los departamentos federales por igual) a esta orden? Analicemos algunas de las categorías principales.
«Tick-the-Box» está descartado.
Hace tiempo que señalamos la ineficacia de la mayoría de los tipos de formación en ciberseguridad para desarrolladores. Con frecuencia es demasiado genérica, no se imparte de manera que atraiga e inspire el resultado deseado (léase: código más seguro) y se aborda con muy poca frecuencia. Y lo que es peor, muchas empresas se contentan con una formación «lista para cumplir», es decir, un enfoque que ofrece lo mínimo y listo para cumplir con un requisito operativo y obtener una marca de verificación junto al nombre del desarrollador. Estas estrategias educativas son las que mantienen a todos los CISO en el filo de la navaja, cruzando los dedos y esperando que su empresa no sea víctima de la próxima brecha de seguridad cibernética. Simplemente no sirven para reducir las vulnerabilidades y crear código de mayor calidad.
En la sección 4 del mandato de Biden, se deja en claro la necesidad de que una organización demuestre que sus desarrolladores muestran un cumplimiento de seguridad documentado y verificado:
»Las directrices deberán incluir criterios que puedan utilizarse para evaluar la seguridad del software, incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras.»
Hay un pequeño problema con eso: actualmente no existe ninguna certificación estándar de la industria específica para desarrolladores. Poder comparar el nivel de habilidades de programación segura de los desarrolladores y trabajar con cursos y evaluaciones para mejorar esas habilidades es fundamental, ya que permite a las empresas establecer objetivos y lograr el cumplimiento. Cuando los desarrolladores pueden demostrar sus competencias básicas en un entorno práctico y práctico, estas pueden evaluarse y certificarse de forma significativa y fiable. Es fundamental para nuestra oferta en Secure Code Warrior, y nos hemos esforzado por crear un sistema que pueda utilizarse para obtener una certificación fiable y que se pueda personalizar según sus requisitos técnicos y organizativos.
Estas habilidades son valiosas y no se pueden automatizar. La certificación puede transformar a los desarrolladores en una fuerza consciente de la seguridad que puede defender el código base contra las amenazas insidiosas.
Un enfoque en las herramientas para desarrolladores (y en las herramientas en general).
Además de las directrices sobre la verificación de las prácticas de codificación seguras, la EO profundiza bastante en el aspecto de la seguridad relacionado con la automatización y las herramientas.
Simplemente se está produciendo demasiado código como para que los humanos lo manejen solos desde una perspectiva de seguridad, y la automatización, como parte de un extenso paquete tecnológico, es una parte importante de todos los programas de seguridad, como debería ser. Sin embargo, no todas las herramientas se crean de la misma manera, y no existe una «herramienta que las gobierne a todas» que detecte todas las vulnerabilidades en todos los lenguajes de programación. Un buen programa de seguridad adopta un enfoque matizado, especialmente cuando se trata de herramientas y servicios dirigidos a los desarrolladores.
La sección 3 de la EO describe las expectativas de los proveedores que crean software que pueda ser utilizado por el gobierno federal, y las pautas instructivas sobre el uso de herramientas en el proceso de desarrollo:
» (iii) emplear herramientas automatizadas, o procesos comparables, para mantener cadenas de suministro de código fuente confiables, garantizando así la integridad del código;
(iv) emplear herramientas automatizadas, o procesos comparables, que comprueben las vulnerabilidades conocidas y potenciales y las corrijan, que deberán funcionar con regularidad o, como mínimo, antes del lanzamiento del producto, la versión o la actualización.»
Las herramientas de seguridad del paquete tecnológico para desarrolladores son una de las formas de mejorar las mejores prácticas de seguridad con rapidez, garantizando que las versiones tengan la mejor oportunidad de cumplir con los plazos y no se vean retrasadas por errores de seguridad y otros problemas espectaculares. Sin embargo, la cuestión es que los desarrolladores seguirán necesitando un aprendizaje contextual para aprovechar al máximo las herramientas más potentes. Es crucial que comprendan qué es lo que se ha marcado, por qué es peligroso y cómo remediarlo, y esto conllevará menos errores a la hora de identificar las herramientas.
Las mejores herramientas se integrarán con el entorno de los desarrolladores, ayudándoles a producir código de mayor calidad (y más seguro) y garantizarán que la seguridad sea una prioridad.
Asegurar la cadena de suministro.
Una de mis partes favoritas de la EO son los planes integrales para asegurar la cadena de suministro de software. Esto no es sorprendente, dado el evento de SolarWinds, pero es un punto culminante importante:
»La seguridad del software utilizado por el Gobierno Federal es vital para la capacidad del Gobierno Federal de desempeñar sus funciones críticas. El desarrollo de software comercial a menudo carece de transparencia, no se centra lo suficiente en la capacidad del software para resistir los ataques y no cuenta con los controles adecuados para evitar que actores malintencionados lo manipulen. Existe una necesidad urgente de implementar mecanismos más rigurosos y predecibles para garantizar que los productos funcionen de manera segura y según lo previsto... el Gobierno Federal debe tomar medidas para mejorar rápidamente la seguridad e integridad de la cadena de suministro de software, dando prioridad a abordar el software crítico.»
Esta decisión afectará a cualquier empresa de software que quiera hacer negocios con el gobierno de los EE. UU., pero debería aplicarse como norma en todas partes. La falta de transparencia por parte de los proveedores externos (por no hablar de los desarrolladores que utilizan componentes de terceros) con respecto a sus medidas de seguridad hace que sea increíblemente difícil evaluar, validar y declarar que se están cumpliendo las mejores prácticas de ciberseguridad. Debemos analizar los proveedores que utilizamos y el software que crean. Estas acciones pueden considerarse un «esfuerzo adicional», pero deberían ser inherentes al estándar de referencia de las mejores prácticas de ciberseguridad.
Enviar código seguro con confianza ha sido un problema en nuestra industria durante mucho tiempo, pero esta es la oportunidad perfecta para evaluar los procesos actuales y liderar el camino hacia una infraestructura de nube y software reforzada, que es la envidia de quienes se quedan atrás. Hable con nosotros ahora y descubra cómo puede aprovechar Cursos, Evaluaciones, y herramientas para desarrolladores para certificar a su próximo equipo de desarrolladores preocupados por la seguridad.
Si existe el tiempo divino, hay que decir que la Administración de Biden dio en el clavo con su Orden ejecutiva (EO), en el que se aborda el plan del gobierno de los EE. UU. para reforzar las redes federales y mejorar los estándares y las mejores prácticas de ciberseguridad en todo el país. Esta estrategia sigue a dos ciberataques recientes y devastadores: la continua violación de la cadena de suministro de Vientos solares, además del Oleoducto colonial ataque a la infraestructura de gas.
Si bien estos acontecimientos indudablemente causaron repercusiones en todos los niveles del gobierno, esta directiva marca un momento emocionante para la futuro de la ciberseguridad. Parece que por fin nos estamos tomando en serio la protección de nuestra existencia digital desde arriba, y no hay mejor momento que ahora para impulsar mejores estándares y un software de mayor calidad.
La EO aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan verificado habilidades y conciencia de seguridad. Durante años, hemos gritado a los cuatro vientos diciendo que este es el camino a seguir para combatir las vulnerabilidades comunes que tan a menudo nos hacen perder, y que los mandatos gubernamentales se alineen con este enfoque es el camino hacia el éxito generalizado en la ciberdefensa.
¿Cómo deben responder las organizaciones (y los departamentos federales por igual) a esta orden? Analicemos algunas de las categorías principales.
«Tick-the-Box» está descartado.
Hace tiempo que señalamos la ineficacia de la mayoría de los tipos de formación en ciberseguridad para desarrolladores. Con frecuencia es demasiado genérica, no se imparte de manera que atraiga e inspire el resultado deseado (léase: código más seguro) y se aborda con muy poca frecuencia. Y lo que es peor, muchas empresas se contentan con una formación «lista para cumplir», es decir, un enfoque que ofrece lo mínimo y listo para cumplir con un requisito operativo y obtener una marca de verificación junto al nombre del desarrollador. Estas estrategias educativas son las que mantienen a todos los CISO en el filo de la navaja, cruzando los dedos y esperando que su empresa no sea víctima de la próxima brecha de seguridad cibernética. Simplemente no sirven para reducir las vulnerabilidades y crear código de mayor calidad.
En la sección 4 del mandato de Biden, se deja en claro la necesidad de que una organización demuestre que sus desarrolladores muestran un cumplimiento de seguridad documentado y verificado:
»Las directrices deberán incluir criterios que puedan utilizarse para evaluar la seguridad del software, incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras.»
Hay un pequeño problema con eso: actualmente no existe ninguna certificación estándar de la industria específica para desarrolladores. Poder comparar el nivel de habilidades de programación segura de los desarrolladores y trabajar con cursos y evaluaciones para mejorar esas habilidades es fundamental, ya que permite a las empresas establecer objetivos y lograr el cumplimiento. Cuando los desarrolladores pueden demostrar sus competencias básicas en un entorno práctico y práctico, estas pueden evaluarse y certificarse de forma significativa y fiable. Es fundamental para nuestra oferta en Secure Code Warrior, y nos hemos esforzado por crear un sistema que pueda utilizarse para obtener una certificación fiable y que se pueda personalizar según sus requisitos técnicos y organizativos.
Estas habilidades son valiosas y no se pueden automatizar. La certificación puede transformar a los desarrolladores en una fuerza consciente de la seguridad que puede defender el código base contra las amenazas insidiosas.
Un enfoque en las herramientas para desarrolladores (y en las herramientas en general).
Además de las directrices sobre la verificación de las prácticas de codificación seguras, la EO profundiza bastante en el aspecto de la seguridad relacionado con la automatización y las herramientas.
Simplemente se está produciendo demasiado código como para que los humanos lo manejen solos desde una perspectiva de seguridad, y la automatización, como parte de un extenso paquete tecnológico, es una parte importante de todos los programas de seguridad, como debería ser. Sin embargo, no todas las herramientas se crean de la misma manera, y no existe una «herramienta que las gobierne a todas» que detecte todas las vulnerabilidades en todos los lenguajes de programación. Un buen programa de seguridad adopta un enfoque matizado, especialmente cuando se trata de herramientas y servicios dirigidos a los desarrolladores.
La sección 3 de la EO describe las expectativas de los proveedores que crean software que pueda ser utilizado por el gobierno federal, y las pautas instructivas sobre el uso de herramientas en el proceso de desarrollo:
» (iii) emplear herramientas automatizadas, o procesos comparables, para mantener cadenas de suministro de código fuente confiables, garantizando así la integridad del código;
(iv) emplear herramientas automatizadas, o procesos comparables, que comprueben las vulnerabilidades conocidas y potenciales y las corrijan, que deberán funcionar con regularidad o, como mínimo, antes del lanzamiento del producto, la versión o la actualización.»
Las herramientas de seguridad del paquete tecnológico para desarrolladores son una de las formas de mejorar las mejores prácticas de seguridad con rapidez, garantizando que las versiones tengan la mejor oportunidad de cumplir con los plazos y no se vean retrasadas por errores de seguridad y otros problemas espectaculares. Sin embargo, la cuestión es que los desarrolladores seguirán necesitando un aprendizaje contextual para aprovechar al máximo las herramientas más potentes. Es crucial que comprendan qué es lo que se ha marcado, por qué es peligroso y cómo remediarlo, y esto conllevará menos errores a la hora de identificar las herramientas.
Las mejores herramientas se integrarán con el entorno de los desarrolladores, ayudándoles a producir código de mayor calidad (y más seguro) y garantizarán que la seguridad sea una prioridad.
Asegurar la cadena de suministro.
Una de mis partes favoritas de la EO son los planes integrales para asegurar la cadena de suministro de software. Esto no es sorprendente, dado el evento de SolarWinds, pero es un punto culminante importante:
»La seguridad del software utilizado por el Gobierno Federal es vital para la capacidad del Gobierno Federal de desempeñar sus funciones críticas. El desarrollo de software comercial a menudo carece de transparencia, no se centra lo suficiente en la capacidad del software para resistir los ataques y no cuenta con los controles adecuados para evitar que actores malintencionados lo manipulen. Existe una necesidad urgente de implementar mecanismos más rigurosos y predecibles para garantizar que los productos funcionen de manera segura y según lo previsto... el Gobierno Federal debe tomar medidas para mejorar rápidamente la seguridad e integridad de la cadena de suministro de software, dando prioridad a abordar el software crítico.»
Esta decisión afectará a cualquier empresa de software que quiera hacer negocios con el gobierno de los EE. UU., pero debería aplicarse como norma en todas partes. La falta de transparencia por parte de los proveedores externos (por no hablar de los desarrolladores que utilizan componentes de terceros) con respecto a sus medidas de seguridad hace que sea increíblemente difícil evaluar, validar y declarar que se están cumpliendo las mejores prácticas de ciberseguridad. Debemos analizar los proveedores que utilizamos y el software que crean. Estas acciones pueden considerarse un «esfuerzo adicional», pero deberían ser inherentes al estándar de referencia de las mejores prácticas de ciberseguridad.
Enviar código seguro con confianza ha sido un problema en nuestra industria durante mucho tiempo, pero esta es la oportunidad perfecta para evaluar los procesos actuales y liderar el camino hacia una infraestructura de nube y software reforzada, que es la envidia de quienes se quedan atrás. Hable con nosotros ahora y descubra cómo puede aprovechar Cursos, Evaluaciones, y herramientas para desarrolladores para certificar a su próximo equipo de desarrolladores preocupados por la seguridad.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Si existe el tiempo divino, hay que decir que la Administración de Biden dio en el clavo con su Orden ejecutiva (EO), en el que se aborda el plan del gobierno de los EE. UU. para reforzar las redes federales y mejorar los estándares y las mejores prácticas de ciberseguridad en todo el país. Esta estrategia sigue a dos ciberataques recientes y devastadores: la continua violación de la cadena de suministro de Vientos solares, además del Oleoducto colonial ataque a la infraestructura de gas.
Si bien estos acontecimientos indudablemente causaron repercusiones en todos los niveles del gobierno, esta directiva marca un momento emocionante para la futuro de la ciberseguridad. Parece que por fin nos estamos tomando en serio la protección de nuestra existencia digital desde arriba, y no hay mejor momento que ahora para impulsar mejores estándares y un software de mayor calidad.
La EO aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan verificado habilidades y conciencia de seguridad. Durante años, hemos gritado a los cuatro vientos diciendo que este es el camino a seguir para combatir las vulnerabilidades comunes que tan a menudo nos hacen perder, y que los mandatos gubernamentales se alineen con este enfoque es el camino hacia el éxito generalizado en la ciberdefensa.
¿Cómo deben responder las organizaciones (y los departamentos federales por igual) a esta orden? Analicemos algunas de las categorías principales.
«Tick-the-Box» está descartado.
Hace tiempo que señalamos la ineficacia de la mayoría de los tipos de formación en ciberseguridad para desarrolladores. Con frecuencia es demasiado genérica, no se imparte de manera que atraiga e inspire el resultado deseado (léase: código más seguro) y se aborda con muy poca frecuencia. Y lo que es peor, muchas empresas se contentan con una formación «lista para cumplir», es decir, un enfoque que ofrece lo mínimo y listo para cumplir con un requisito operativo y obtener una marca de verificación junto al nombre del desarrollador. Estas estrategias educativas son las que mantienen a todos los CISO en el filo de la navaja, cruzando los dedos y esperando que su empresa no sea víctima de la próxima brecha de seguridad cibernética. Simplemente no sirven para reducir las vulnerabilidades y crear código de mayor calidad.
En la sección 4 del mandato de Biden, se deja en claro la necesidad de que una organización demuestre que sus desarrolladores muestran un cumplimiento de seguridad documentado y verificado:
»Las directrices deberán incluir criterios que puedan utilizarse para evaluar la seguridad del software, incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras.»
Hay un pequeño problema con eso: actualmente no existe ninguna certificación estándar de la industria específica para desarrolladores. Poder comparar el nivel de habilidades de programación segura de los desarrolladores y trabajar con cursos y evaluaciones para mejorar esas habilidades es fundamental, ya que permite a las empresas establecer objetivos y lograr el cumplimiento. Cuando los desarrolladores pueden demostrar sus competencias básicas en un entorno práctico y práctico, estas pueden evaluarse y certificarse de forma significativa y fiable. Es fundamental para nuestra oferta en Secure Code Warrior, y nos hemos esforzado por crear un sistema que pueda utilizarse para obtener una certificación fiable y que se pueda personalizar según sus requisitos técnicos y organizativos.
Estas habilidades son valiosas y no se pueden automatizar. La certificación puede transformar a los desarrolladores en una fuerza consciente de la seguridad que puede defender el código base contra las amenazas insidiosas.
Un enfoque en las herramientas para desarrolladores (y en las herramientas en general).
Además de las directrices sobre la verificación de las prácticas de codificación seguras, la EO profundiza bastante en el aspecto de la seguridad relacionado con la automatización y las herramientas.
Simplemente se está produciendo demasiado código como para que los humanos lo manejen solos desde una perspectiva de seguridad, y la automatización, como parte de un extenso paquete tecnológico, es una parte importante de todos los programas de seguridad, como debería ser. Sin embargo, no todas las herramientas se crean de la misma manera, y no existe una «herramienta que las gobierne a todas» que detecte todas las vulnerabilidades en todos los lenguajes de programación. Un buen programa de seguridad adopta un enfoque matizado, especialmente cuando se trata de herramientas y servicios dirigidos a los desarrolladores.
La sección 3 de la EO describe las expectativas de los proveedores que crean software que pueda ser utilizado por el gobierno federal, y las pautas instructivas sobre el uso de herramientas en el proceso de desarrollo:
» (iii) emplear herramientas automatizadas, o procesos comparables, para mantener cadenas de suministro de código fuente confiables, garantizando así la integridad del código;
(iv) emplear herramientas automatizadas, o procesos comparables, que comprueben las vulnerabilidades conocidas y potenciales y las corrijan, que deberán funcionar con regularidad o, como mínimo, antes del lanzamiento del producto, la versión o la actualización.»
Las herramientas de seguridad del paquete tecnológico para desarrolladores son una de las formas de mejorar las mejores prácticas de seguridad con rapidez, garantizando que las versiones tengan la mejor oportunidad de cumplir con los plazos y no se vean retrasadas por errores de seguridad y otros problemas espectaculares. Sin embargo, la cuestión es que los desarrolladores seguirán necesitando un aprendizaje contextual para aprovechar al máximo las herramientas más potentes. Es crucial que comprendan qué es lo que se ha marcado, por qué es peligroso y cómo remediarlo, y esto conllevará menos errores a la hora de identificar las herramientas.
Las mejores herramientas se integrarán con el entorno de los desarrolladores, ayudándoles a producir código de mayor calidad (y más seguro) y garantizarán que la seguridad sea una prioridad.
Asegurar la cadena de suministro.
Una de mis partes favoritas de la EO son los planes integrales para asegurar la cadena de suministro de software. Esto no es sorprendente, dado el evento de SolarWinds, pero es un punto culminante importante:
»La seguridad del software utilizado por el Gobierno Federal es vital para la capacidad del Gobierno Federal de desempeñar sus funciones críticas. El desarrollo de software comercial a menudo carece de transparencia, no se centra lo suficiente en la capacidad del software para resistir los ataques y no cuenta con los controles adecuados para evitar que actores malintencionados lo manipulen. Existe una necesidad urgente de implementar mecanismos más rigurosos y predecibles para garantizar que los productos funcionen de manera segura y según lo previsto... el Gobierno Federal debe tomar medidas para mejorar rápidamente la seguridad e integridad de la cadena de suministro de software, dando prioridad a abordar el software crítico.»
Esta decisión afectará a cualquier empresa de software que quiera hacer negocios con el gobierno de los EE. UU., pero debería aplicarse como norma en todas partes. La falta de transparencia por parte de los proveedores externos (por no hablar de los desarrolladores que utilizan componentes de terceros) con respecto a sus medidas de seguridad hace que sea increíblemente difícil evaluar, validar y declarar que se están cumpliendo las mejores prácticas de ciberseguridad. Debemos analizar los proveedores que utilizamos y el software que crean. Estas acciones pueden considerarse un «esfuerzo adicional», pero deberían ser inherentes al estándar de referencia de las mejores prácticas de ciberseguridad.
Enviar código seguro con confianza ha sido un problema en nuestra industria durante mucho tiempo, pero esta es la oportunidad perfecta para evaluar los procesos actuales y liderar el camino hacia una infraestructura de nube y software reforzada, que es la envidia de quienes se quedan atrás. Hable con nosotros ahora y descubra cómo puede aprovechar Cursos, Evaluaciones, y herramientas para desarrolladores para certificar a su próximo equipo de desarrolladores preocupados por la seguridad.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.