PCI-DSS 4.0 estará aquí antes de lo que cree y es una oportunidad para aumentar la ciberresiliencia de su organización
Una versión de este artículo apareció en Bulevar de seguridad. Se ha actualizado y distribuido aquí.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del ámbito de la BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores desafíos para prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y de los recursos disponibles, los nuevos estándares PCI DSS abarcan muchos aspectos. Sin embargo, revelan un marcado cambio hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante, esto es importante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de lograr el mismo objetivo de mejores prácticas de seguridad irrefutables. Esto es cierto, pero parece más adecuado para las organizaciones con una madurez de seguridad avanzada y deja mucho margen de error, especialmente para aquellas que no han evaluado de forma realista su verdadera madurez en materia de seguridad interna. En última instancia, las empresas deben estar preparadas para abordar la seguridad como un proceso continuo y en evolución, no como un ejercicio puntual de «configurar y olvidar». Es imprescindible contar con una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y quienes utilizan herramientas a nivel de código (la cohorte de desarrollo) deben poder ofrecer software seguro y compatible en cualquier entorno empresarial que gestione activos y transacciones digitales.
¿Están sus desarrolladores preparados para ofrecer software compatible?
Los desarrolladores son una parte integral para alcanzar un estado de excelencia en seguridad de software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de PCI DSS. Es crucial que los desarrolladores comprendan el panorama general de la PCI DSS 4.0 en términos de lo que pueden controlar y que lo integren como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo y se pueden desglosar de la siguiente manera:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI; sin embargo, la versión 4.0 lo eleva aún más de una manera que requerirá una implementación cuidadosa tanto interna como externamente. La autenticación multifactor (MFA) pasará a ser estándar, al igual que las reglas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad de autenticación y control de acceso son ahora los más comunes a los que se enfrenta un desarrollador promedio, es imperativo que se implemente una capacitación precisa para ayudarlos a identificar y solucionar estos problemas en el código real. - Cifrado y administración de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más confidencial a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de alto valor en riesgo, el cifrado y las prácticas de criptografía sólidas son imprescindibles. Los desarrolladores deben asegurarse de disponer de información actualizada sobre dónde se transmite la información, cómo pueden acceder los usuarios a ella e, incluso en caso de que acabe en malas manos, asegurarse de que los atacantes no puedan leerla.
- Software malintencionado: En las directrices anteriores, los controles de seguridad relacionados con la protección del software contra códigos malintencionados se denominaban «software antivirus», pero esto simplifica en exceso lo que debería ser un enfoque de varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de los componentes vulnerables, especialmente dado que la mayoría de las bases de código dependen, al menos en parte, de código de terceros.
¿Qué constituye una formación «suficiente» para los desarrolladores?
Al igual que las recomendaciones anteriores, la PCI DSS 4.0 propone que los desarrolladores reciban formación «al menos» una vez al año. Sin embargo, si se quiere decir que una vez al año es un punto de contacto suficiente para la creación segura de software, no es ni de lejos suficiente y es poco probable que dé como resultado un software más seguro y compatible.
La formación de los desarrolladores debe comenzar con una formación básica sobre el Top 10 de OWASP, así como con cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el objetivo de seguir desarrollando esas habilidades e incorporar la seguridad no solo en el desarrollo de software desde el principio, sino también en su mentalidad y enfoque de su función. Además, las funciones y responsabilidades deben quedar muy claras para el grupo de desarrolladores y sus directivos. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y garantizar que se cumplan adecuadamente.
Con el tiempo disponible para prepararse para cumplir con las normas PCI DSS 4.0, es posible lograr avances significativos en la mejora de la cultura de seguridad en toda la organización, lo que constituye un terreno fértil para crear la cohorte de desarrollo más consciente de la seguridad que haya tenido nunca.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Bulevar de seguridad. Se ha actualizado y distribuido aquí.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del ámbito de la BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores desafíos para prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y de los recursos disponibles, los nuevos estándares PCI DSS abarcan muchos aspectos. Sin embargo, revelan un marcado cambio hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante, esto es importante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de lograr el mismo objetivo de mejores prácticas de seguridad irrefutables. Esto es cierto, pero parece más adecuado para las organizaciones con una madurez de seguridad avanzada y deja mucho margen de error, especialmente para aquellas que no han evaluado de forma realista su verdadera madurez en materia de seguridad interna. En última instancia, las empresas deben estar preparadas para abordar la seguridad como un proceso continuo y en evolución, no como un ejercicio puntual de «configurar y olvidar». Es imprescindible contar con una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y quienes utilizan herramientas a nivel de código (la cohorte de desarrollo) deben poder ofrecer software seguro y compatible en cualquier entorno empresarial que gestione activos y transacciones digitales.
¿Están sus desarrolladores preparados para ofrecer software compatible?
Los desarrolladores son una parte integral para alcanzar un estado de excelencia en seguridad de software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de PCI DSS. Es crucial que los desarrolladores comprendan el panorama general de la PCI DSS 4.0 en términos de lo que pueden controlar y que lo integren como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo y se pueden desglosar de la siguiente manera:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI; sin embargo, la versión 4.0 lo eleva aún más de una manera que requerirá una implementación cuidadosa tanto interna como externamente. La autenticación multifactor (MFA) pasará a ser estándar, al igual que las reglas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad de autenticación y control de acceso son ahora los más comunes a los que se enfrenta un desarrollador promedio, es imperativo que se implemente una capacitación precisa para ayudarlos a identificar y solucionar estos problemas en el código real. - Cifrado y administración de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más confidencial a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de alto valor en riesgo, el cifrado y las prácticas de criptografía sólidas son imprescindibles. Los desarrolladores deben asegurarse de disponer de información actualizada sobre dónde se transmite la información, cómo pueden acceder los usuarios a ella e, incluso en caso de que acabe en malas manos, asegurarse de que los atacantes no puedan leerla.
- Software malintencionado: En las directrices anteriores, los controles de seguridad relacionados con la protección del software contra códigos malintencionados se denominaban «software antivirus», pero esto simplifica en exceso lo que debería ser un enfoque de varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de los componentes vulnerables, especialmente dado que la mayoría de las bases de código dependen, al menos en parte, de código de terceros.
¿Qué constituye una formación «suficiente» para los desarrolladores?
Al igual que las recomendaciones anteriores, la PCI DSS 4.0 propone que los desarrolladores reciban formación «al menos» una vez al año. Sin embargo, si se quiere decir que una vez al año es un punto de contacto suficiente para la creación segura de software, no es ni de lejos suficiente y es poco probable que dé como resultado un software más seguro y compatible.
La formación de los desarrolladores debe comenzar con una formación básica sobre el Top 10 de OWASP, así como con cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el objetivo de seguir desarrollando esas habilidades e incorporar la seguridad no solo en el desarrollo de software desde el principio, sino también en su mentalidad y enfoque de su función. Además, las funciones y responsabilidades deben quedar muy claras para el grupo de desarrolladores y sus directivos. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y garantizar que se cumplan adecuadamente.
Con el tiempo disponible para prepararse para cumplir con las normas PCI DSS 4.0, es posible lograr avances significativos en la mejora de la cultura de seguridad en toda la organización, lo que constituye un terreno fértil para crear la cohorte de desarrollo más consciente de la seguridad que haya tenido nunca.
Una versión de este artículo apareció en Bulevar de seguridad. Se ha actualizado y distribuido aquí.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del ámbito de la BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores desafíos para prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y de los recursos disponibles, los nuevos estándares PCI DSS abarcan muchos aspectos. Sin embargo, revelan un marcado cambio hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante, esto es importante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de lograr el mismo objetivo de mejores prácticas de seguridad irrefutables. Esto es cierto, pero parece más adecuado para las organizaciones con una madurez de seguridad avanzada y deja mucho margen de error, especialmente para aquellas que no han evaluado de forma realista su verdadera madurez en materia de seguridad interna. En última instancia, las empresas deben estar preparadas para abordar la seguridad como un proceso continuo y en evolución, no como un ejercicio puntual de «configurar y olvidar». Es imprescindible contar con una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y quienes utilizan herramientas a nivel de código (la cohorte de desarrollo) deben poder ofrecer software seguro y compatible en cualquier entorno empresarial que gestione activos y transacciones digitales.
¿Están sus desarrolladores preparados para ofrecer software compatible?
Los desarrolladores son una parte integral para alcanzar un estado de excelencia en seguridad de software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de PCI DSS. Es crucial que los desarrolladores comprendan el panorama general de la PCI DSS 4.0 en términos de lo que pueden controlar y que lo integren como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo y se pueden desglosar de la siguiente manera:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI; sin embargo, la versión 4.0 lo eleva aún más de una manera que requerirá una implementación cuidadosa tanto interna como externamente. La autenticación multifactor (MFA) pasará a ser estándar, al igual que las reglas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad de autenticación y control de acceso son ahora los más comunes a los que se enfrenta un desarrollador promedio, es imperativo que se implemente una capacitación precisa para ayudarlos a identificar y solucionar estos problemas en el código real. - Cifrado y administración de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más confidencial a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de alto valor en riesgo, el cifrado y las prácticas de criptografía sólidas son imprescindibles. Los desarrolladores deben asegurarse de disponer de información actualizada sobre dónde se transmite la información, cómo pueden acceder los usuarios a ella e, incluso en caso de que acabe en malas manos, asegurarse de que los atacantes no puedan leerla.
- Software malintencionado: En las directrices anteriores, los controles de seguridad relacionados con la protección del software contra códigos malintencionados se denominaban «software antivirus», pero esto simplifica en exceso lo que debería ser un enfoque de varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de los componentes vulnerables, especialmente dado que la mayoría de las bases de código dependen, al menos en parte, de código de terceros.
¿Qué constituye una formación «suficiente» para los desarrolladores?
Al igual que las recomendaciones anteriores, la PCI DSS 4.0 propone que los desarrolladores reciban formación «al menos» una vez al año. Sin embargo, si se quiere decir que una vez al año es un punto de contacto suficiente para la creación segura de software, no es ni de lejos suficiente y es poco probable que dé como resultado un software más seguro y compatible.
La formación de los desarrolladores debe comenzar con una formación básica sobre el Top 10 de OWASP, así como con cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el objetivo de seguir desarrollando esas habilidades e incorporar la seguridad no solo en el desarrollo de software desde el principio, sino también en su mentalidad y enfoque de su función. Además, las funciones y responsabilidades deben quedar muy claras para el grupo de desarrolladores y sus directivos. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y garantizar que se cumplan adecuadamente.
Con el tiempo disponible para prepararse para cumplir con las normas PCI DSS 4.0, es posible lograr avances significativos en la mejora de la cultura de seguridad en toda la organización, lo que constituye un terreno fértil para crear la cohorte de desarrollo más consciente de la seguridad que haya tenido nunca.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Bulevar de seguridad. Se ha actualizado y distribuido aquí.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del ámbito de la BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores desafíos para prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y de los recursos disponibles, los nuevos estándares PCI DSS abarcan muchos aspectos. Sin embargo, revelan un marcado cambio hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante, esto es importante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de lograr el mismo objetivo de mejores prácticas de seguridad irrefutables. Esto es cierto, pero parece más adecuado para las organizaciones con una madurez de seguridad avanzada y deja mucho margen de error, especialmente para aquellas que no han evaluado de forma realista su verdadera madurez en materia de seguridad interna. En última instancia, las empresas deben estar preparadas para abordar la seguridad como un proceso continuo y en evolución, no como un ejercicio puntual de «configurar y olvidar». Es imprescindible contar con una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y quienes utilizan herramientas a nivel de código (la cohorte de desarrollo) deben poder ofrecer software seguro y compatible en cualquier entorno empresarial que gestione activos y transacciones digitales.
¿Están sus desarrolladores preparados para ofrecer software compatible?
Los desarrolladores son una parte integral para alcanzar un estado de excelencia en seguridad de software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de PCI DSS. Es crucial que los desarrolladores comprendan el panorama general de la PCI DSS 4.0 en términos de lo que pueden controlar y que lo integren como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo y se pueden desglosar de la siguiente manera:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI; sin embargo, la versión 4.0 lo eleva aún más de una manera que requerirá una implementación cuidadosa tanto interna como externamente. La autenticación multifactor (MFA) pasará a ser estándar, al igual que las reglas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad de autenticación y control de acceso son ahora los más comunes a los que se enfrenta un desarrollador promedio, es imperativo que se implemente una capacitación precisa para ayudarlos a identificar y solucionar estos problemas en el código real. - Cifrado y administración de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más confidencial a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de alto valor en riesgo, el cifrado y las prácticas de criptografía sólidas son imprescindibles. Los desarrolladores deben asegurarse de disponer de información actualizada sobre dónde se transmite la información, cómo pueden acceder los usuarios a ella e, incluso en caso de que acabe en malas manos, asegurarse de que los atacantes no puedan leerla.
- Software malintencionado: En las directrices anteriores, los controles de seguridad relacionados con la protección del software contra códigos malintencionados se denominaban «software antivirus», pero esto simplifica en exceso lo que debería ser un enfoque de varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de los componentes vulnerables, especialmente dado que la mayoría de las bases de código dependen, al menos en parte, de código de terceros.
¿Qué constituye una formación «suficiente» para los desarrolladores?
Al igual que las recomendaciones anteriores, la PCI DSS 4.0 propone que los desarrolladores reciban formación «al menos» una vez al año. Sin embargo, si se quiere decir que una vez al año es un punto de contacto suficiente para la creación segura de software, no es ni de lejos suficiente y es poco probable que dé como resultado un software más seguro y compatible.
La formación de los desarrolladores debe comenzar con una formación básica sobre el Top 10 de OWASP, así como con cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el objetivo de seguir desarrollando esas habilidades e incorporar la seguridad no solo en el desarrollo de software desde el principio, sino también en su mentalidad y enfoque de su función. Además, las funciones y responsabilidades deben quedar muy claras para el grupo de desarrolladores y sus directivos. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y garantizar que se cumplan adecuadamente.
Con el tiempo disponible para prepararse para cumplir con las normas PCI DSS 4.0, es posible lograr avances significativos en la mejora de la cultura de seguridad en toda la organización, lo que constituye un terreno fértil para crear la cohorte de desarrollo más consciente de la seguridad que haya tenido nunca.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.