Los beneficios de la evaluación comparativa de las habilidades de seguridad para los desarrolladores
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
Conclusión
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
El creciente enfoque en el código seguro y los principios de seguridad desde el diseño requiere que los desarrolladores estén capacitados en ciberseguridad desde el inicio del SDLC, con herramientas como la puntuación de confianza de Secure Code Warrior que ayudan a medir y mejorar su progreso.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
Conclusión
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
Conclusión
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
Conclusión
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.