Convertir el aburrido cumplimiento del PCI-DSS en un ejercicio significativo para todos: Parte 1 - AppSec
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
La palabra «cumplimiento» no es muy emocionante. Es formal, árida, directiva... incluso un poco restrictiva en su tono. Si tuviera un color, sería beige. Y, bueno, parece estar en desacuerdo con cualquier tipo de entorno creativo o innovación.
Como desarrollador, mi experiencia de «cumplir con las normas» solía consistir en leer (verticalmente) algunas directrices o ver una presentación, antes de volver a programar funciones y centrarme en crear software que los clientes utilizaran y adoraran. Todo el mundo conserva lo que puede en cada momento (e intenta hacer lo correcto en todo momento), pero las directrices de cumplimiento, especialmente las relacionadas con las mejores prácticas de seguridad, no suelen escribirse con los desarrolladores como público objetivo, y las acciones necesarias pueden no estar claras. En ese escenario, es demasiado fácil concentrarse en las tareas con los objetivos actuales.
La cuestión es que el desarrollo de software seguro ya no es algo «bueno» en ninguna empresa; es (o debería ser) una prioridad en todas las organizaciones... y si contiene grandes cantidades de información confidencial de los clientes, esa empresa está lista para ser la elección cuando se trata de ciberataques. Los desarrolladores son los primeros en ponerse manos a la obra con el código y, por lo tanto, deben participar tanto como el resto del equipo en cualquier medida de cumplimiento de la seguridad.
Pero, espera... escúchame. Esto no significa que todo el mundo tenga que convertirse en esclavo de unos resultados de desarrollo y software rígidos y sin creatividad. Significa que la empresa tiene la oportunidad y el poder de crear juntos un estándar de código más alto. Poco a poco, el mundo se está dando cuenta de que, hasta la fecha, los desarrolladores no han contado exactamente con las herramientas adecuadas para hacer de la seguridad una prioridad (y los especialistas en seguridad que trabajan en silos no pueden asumir la responsabilidad por sí solos). Sin embargo, a medida que la industria avanza hacia un futuro de DevSecOps en el que la seguridad sea una responsabilidad compartida, pueden ayudar a detener el flujo de vulnerabilidades recurrentes cuando están preparadas para el éxito.
Las directrices del PCI-DSS cubren el cumplimiento de la seguridad en línea para las pasarelas de pago con tarjeta, un servicio que la mayoría de nosotros utilizamos de forma regular. Estas directrices se aplican en todo el mundo y, de hecho, lo han hecho describió en detalle lo que los desarrolladores deben hacer para mantener los estándares en línea con sus mandatos, junto a varios documentos de cumplimiento en todos los aspectos del negocio del comercio electrónico.
Las filtraciones de datos son riesgos aterradores que destruyen la reputación y que las empresas no pueden permitirse, y Cyber Security Ventures apunta a que las infracciones de día cero alcancen uno por día en 2021, esto es algo que todos los que participan en el proceso de entrega del software pueden ayudar a combatir.
Analicemos las recomendaciones del PCI-DSS y cómo pueden funcionar en todo el equipo:
Hola, equipos de AppSec y Cumplimiento: no toda la formación para desarrolladores se crea de la misma manera
Los desarrolladores de organizaciones grandes (o incluso pequeñas) rara vez contribuyen mucho a la formación que reciben en el trabajo. Para retener a los empleados estrella, algunas empresas ofrecen programas integrales, pero estos siguen siendo menos comunes de lo que deberían ser. La necesidad de formación en seguridad representa una gran oportunidad no solo para impulsar el cumplimiento organizacional sin aburrir a todo el mundo hasta las lágrimas, sino también para empezar a afianzar cualquier relación tensa con el equipo de desarrollo.
En cuanto al cumplimiento de la normativa PCI, puede observar que sus directrices son específicas en cuanto a los resultados que esperarían de cualquier software que utilice pasarelas de pago; entre otros objetivos, quieren que las aplicaciones estén reforzadas (algo vital para impedir el uso malicioso). inyección de código o manipulación), controles de mínimos privilegios y conocimiento a gran escala de las vulnerabilidades comunes... como mínimo. Todo el personal que trabaja con los datos de los titulares de tarjetas debe estar adecuadamente formado y, en el caso de los desarrolladores, esa formación puede contribuir a que tengan éxito a la hora de escribir código seguro desde el principio del proceso.
El funcionario Mejores prácticas para mantener el cumplimiento de PCI-DSS el documento detalla algunos conceptos directos sobre la conciencia de seguridad, las necesidades de los desarrolladores y la capacitación adecuada, como:
Derechos de autor © 2006 - 2020 Consejo de normas de seguridad PCI, LLC. Todos los derechos reservados.
Esto da una idea de la formación específica y profunda que se requiere para dotar a los desarrolladores de las habilidades necesarias, pero aún así no señala que ningún tipo de solución educativa en particular sea más eficaz que otro. La guía del PCI-DSS para desarrolladores es un poco más directa, ya que identifica a los 10 mejores de OWASP como un punto de referencia para aprender a encontrar y corregir las vulnerabilidades más comunes, así como algunos programas de certificación.
Pero... aquí está el problema. Como sin duda sabrá gracias a las diversas iniciativas de capacitación y cumplimiento en el lugar de trabajo, su calidad y éxito futuro pueden variar enormemente. Y cuando se trata de desarrolladores, muchos programas de formación sobre programación segura no parecen satisfacer nuestras necesidades, formas de trabajo o incluso nuestro trabajo diario de manera significativa. En este escenario, no todas las capacitaciones se crean de la misma manera, y no todas las capacitaciones darán como resultado un software más seguro. Esto es, por supuesto, exactamente lo opuesto al resultado deseado y no hará que el estrés de su propio trabajo se reduzca de manera significativa. Si quieres reducir la carga y evitar que las vulnerabilidades más comunes provoquen posibles desastres, tendrás que construir un puente.
Reducir la brecha de habilidades de seguridad con los gerentes de ingeniería de su lado
Trabajar directamente con los gerentes de ingeniería para encontrar una solución que se adapte a su propósito, sin dejar de ser adoptada por las personas que realmente tienen que hacerlo, es una vía rápida para obtener resultados de seguridad positivos. Dispondrán de información más inmediata sobre su propio equipo y podrán ponerse en contacto con cualquier bloqueador que anteriormente haya dificultado la formación en materia de cumplimiento (aparte de que, en la mayoría de los casos, no es una gran experiencia).
La formación presencial, el vídeo a la carta y cualquier ejercicio puntual que marque la casilla hacen que mantenerse al día sea muy difícil; se trata de soluciones estáticas que no pueden seguir el ritmo del panorama en constante cambio que representa la industria de la ciberseguridad. En última instancia, el director de ingeniería querrá valorar el tiempo que dedica, y es importante trabajar con él y ofrecer opciones viables que sirvan para cumplir el objetivo común de todos: un código que sea más seguro y que cumpla con las normas.
Entonces, ¿qué aspecto tiene una buena formación? No tiene mucho sentido aprender a programar de forma segura a través de grandes cantidades de información únicas. Un proceso de aprendizaje gradual y del tamaño de un bocado hace que sea mucho más fácil de recordar y aplicar en contexto, y es absolutamente necesario que esté en los lenguajes y marcos que se utilizan todos los días. Personalmente, quiero que me desafíen y que mis esfuerzos tengan un propósito: ya estamos bastante ocupados, ¿verdad?
Para cumplir con las mejores prácticas de PCI-DSS descritas anteriormente, según la solución elegida, es posible que los gerentes tengan que unir un mosaico de cursos diferentes para cubrir todos los lenguajes y marcos utilizados en la empresa, y ahí es cuando las cosas se ponen muy complicadas, sin mencionar que es difícil para los equipos de AppSec y cumplimiento evaluar si tienen un impacto en la seguridad y la reducción de vulnerabilidades del software. Trabajen juntos para encontrar la opción correcta, en lugar de precipitarse hacia la opción equivocada persiguiendo un resultado rápido. De lo contrario, podrías terminar con una solución de entrenamiento de Frankenstein... y eso da mucho miedo.
Gracias por ver la primera parte de esta miniserie PCI-DSS. En el último capítulo, analizaremos cómo los CISO y los directores de tecnología informática pueden contribuir a esta transformación cultural, capacitar a los equipos y cómo las personas de primera línea de seguridad (su grupo de desarrolladores) pueden aprovechar el conocimiento y el cumplimiento del PCI-DSS en su beneficio.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.