Directeur général, président et cofondateur
Pieter Danhieux
Pieter Danhieux est directeur général, président et cofondateur de Secure Code Warrior.
En 2020, Pieter a été reconnu comme finaliste dans la catégorie Diversity Champion pour les SC Awards Europe 2020, et a reçu le Editor's Choice pour le Chief Executive Officer de l'année par Cyber Defense Magazine (CDM), le magazine électronique de sécurité de l'information le plus important de l'industrie. En 2016, il a été classé 80e sur la liste des "Coolest Tech people in Australia" (Business Insider), a reçu le titre de "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) et est membre du Forbes Technology Council.
Pieter est également instructeur principal pour le SANS Institute, où il enseigne aux organisations militaires, gouvernementales et privées des techniques offensives sur la manière de cibler et d'évaluer les organisations, les systèmes et les individus pour détecter les faiblesses en matière de sécurité. Il est également membre du conseil consultatif de NVISO, une société de conseil en cybersécurité en Europe. Avant de créer sa propre entreprise, Pieter a travaillé chez Ernst & Young et BAE Systems. Il est également l'un des cofondateurs de BruCON, l'une des conférences sur le piratage informatique les plus impressionnantes de la planète.
Il a commencé sa carrière dans la sécurité de l'information très tôt et a obtenu la certification Certified Information Systems Security Professional (CISSP) en tant que l'une des personnes les plus jeunes jamais rencontrées en Belgique. En cours de route, il a obtenu toute une série de certificats de cybersécurité (CISA, GCFA, GCIH, GPEN, GWAP) et est actuellement l'une des rares personnes au monde à détenir la certification la plus élevée, celle d'expert en sécurité GIAC (GSE).
Directeur général, président et cofondateur
Del esfuerzo del Gobierno australiano por tomarse en serio la ciberseguridad se desprende claramente que se la ha identificado como un área de riesgo clave a nivel nacional, pero ¿su estrategia va lo suficientemente lejos?
Gran parte de la iniciativa en torno a «cambiar a la izquierda», es decir, introducir la seguridad mucho antes en el proceso de desarrollo, simplemente no avanza lo suficiente.
La última orden ejecutiva del Gobierno Federal de los EE. UU. aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan conocimientos y habilidades de seguridad comprobados.
El Instituto Nacional de Estándares y Tecnología (NIST) publicó un libro blanco actualizado en el que se detallan varios planes de acción para reducir las vulnerabilidades del software y el riesgo cibernético.
Podría haber empezado este artículo con todos los datos y cifras que indican una empresa emergente próspera e hipercreciente; son innegablemente impresionantes y la trayectoria actual de nuestra empresa es sólida. Sin embargo, para mí, estas cifras no reflejan lo que más me enorgullece en 2019.
Los hitos de nuestro cumpleaños son un maravilloso recordatorio para reflexionar sobre los frutos de nuestro trabajo, celebrar al equipo y afrontar el año que viene con confianza. Y ahora, siete años después de nuestra creación, me pregunto: ¿lo hemos conseguido? ¿Ya es una empresa real? Por supuesto, hemos alcanzado la madurez, pero espero que nunca perdamos el sentido de curiosidad, pasión y friki que hemos tenido desde el principio.
Esta semana celebramos oficialmente los ocho años de Secure Code Warrior. Por un lado, eso es 350 veces la duración de la misión del Apolo 11, lo que equivale a 45 000 partidos de fútbol o a jugar a Super Mario Odyssey 5696 veces hasta el final. Por otro lado, es solo una trigésima parte de la esperanza de vida de una tortuga gigante (250 años, si te lo estás preguntando). En el mundo de una empresa emergente de alto crecimiento, representa un viaje de muchos giros, lecciones y logros, muchos de los cuales eran inimaginables cuando estábamos elaborando nuestro plan de negocios por primera vez.
Dejar la seguridad de las API al azar es una forma segura de introducir problemas más adelante, con consecuencias potencialmente devastadoras en el peor de los casos y, en el mejor de los casos, con una reelaboración frustrante y un bajo rendimiento.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso.
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Hacia finales del año pasado, la increíble comunidad de MITRE publicó su lista de los 25 errores de software más peligrosos de CWE que afectaron al mundo en 2019. Y la mayor parte no fue ninguna sorpresa.
Nuestra visión es capacitar a los desarrolladores para que sean la primera línea de defensa de su organización haciendo que la seguridad sea altamente visible y proporcionándoles las habilidades y herramientas para escribir código seguro desde el principio.
Le jeune chercheur en sécurité informatique Bill Demirkapi, en exposant les principales vulnérabilités du logiciel utilisé par son école, a sans doute ravivé certains souvenirs. Je me souviens que lorsque j'étais un enfant curieux, je levais le capot du logiciel pour jeter un œil et voir comment tout fonctionnait... et si je pouvais le déchiffrer.
Capacitar a los desarrolladores para que escriban código seguro desde el principio es una oportunidad para que los CISO obtengan un control proactivo de la difícil situación de seguridad, y cuando existe la posibilidad de introducir mejoras rápidas, fáciles y cuantificables tanto para los equipos de seguridad como para los de desarrollo.
La atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, en el que los delincuentes ataquen las mismas máquinas que diagnostican problemas médicos, brindan tratamientos y mantienen la vida.
En ciberseguridad, a menudo somos como cazadores. Nuestros ojos están fijos en el horizonte, buscando la próxima vulnerabilidad emergente. Sin embargo, este enfoque orientado hacia el futuro puede tener el sorprendente efecto de reducir nuestra conciencia general sobre la seguridad.
Estos eventos centrados en los desarrolladores se encuentran entre mis favoritos del calendario; son un recordatorio alentador de la comunidad que trabaja incansablemente para educar y capacitar a los ingenieros y especialistas de software para que defiendan la seguridad en su trabajo.
La verdadera batalla a la que nos enfrentamos no es contra los niños que escriben guiones ni contra los peligrosos sindicatos organizados del cibercrimen, sino que consiste en lograr que más personas se preocupen por las violaciones de datos que se están produciendo.
La seguridad del software siempre es una prioridad para mí, al igual que el peligro muy real que representa nuestro estilo de vida cada vez más digital y de intercambio de información personal. Después de todo, nos encontramos en un territorio en gran medida desregulado, sin supervisión y felizmente ignorado. Estamos en el Lejano Oeste.
Es posible que el énfasis en un enfoque preventivo, en lugar de reactivo, no sea ampliamente entendido fuera del equipo de seguridad, especialmente si no se ha producido un incidente de seguridad grave y grave.
Este año, el Consejo de Normas de Seguridad de la PCI publicó un conjunto completamente nuevo de directrices de seguridad del software como parte de su marco de seguridad del software PCI. Esta actualización tiene como objetivo alinear las mejores prácticas de seguridad del software con el desarrollo de software moderno.
La llegada del favorito digital del momento, el metaverso, añade una nueva y vasta superficie de ataque tanto para las vulnerabilidades a nivel de código como para la ingeniería social. Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre de humo y espejos.
A medida que los CIO desarrollen agresivamente sus capacidades ágiles empresariales, las habilidades de codificación segura serán un arma de innovación y no tenerlas será un instrumento de destrucción.
Un informe reciente del Centro de Evaluación de Ciberseguridad de Huawei del Reino Unido identificó los principales problemas de seguridad en los procesos de ingeniería de software de Huawei. Sin embargo, es un problema que se puede solucionar.
Si bien es cierto que las iniciativas regulatorias mejorarán y crecerán con el tiempo, si las organizaciones ya están presionando el botón de pánico y comenzando a capacitarse ahora, es posible que se encuentren mal preparadas para el futuro.
El reciente ataque a los repositorios de GitHub pone de relieve un problema muy conocido en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos podrían estar en riesgo en cualquier momento.
Hay muchas soluciones que encuentran vulnerabilidades en el código, pero la seguridad debe poner más énfasis en enseñar a los desarrolladores a seguir las pautas de seguridad que evitarán que cometan estos errores en primer lugar.
Con la llegada del GDPR, así como con la revisión de la estrategia tras un ataque en varias etapas que expuso los datos confidenciales de muchas figuras públicas, así como de servidores del gobierno federal alemán, está claro que la conciencia y la acción en materia de ciberseguridad son una prioridad para los líderes de la región DACH.
La percepción de lo que constituye el acto de codificar de forma segura es objeto de debate. Según una investigación reciente en colaboración con Evans Data, este sentimiento se reveló en blanco sobre negro. La encuesta sobre el estado de la seguridad impulsada por los desarrolladores de 2022 profundiza en las principales ideas y experiencias de 1200 desarrolladores activos, y arroja luz sobre sus actitudes y desafíos en el ámbito de la seguridad.
Notre vice-présidente chargée de la réussite client, Fatemah Beydoun, a récemment présenté son exposé intitulé « Mentorat pour l'avenir : comment pouvons-nous améliorer la promotion des talents féminins dans le domaine de la cybersécurité » devant un public très réceptif. Elle a joué un rôle essentiel dans la promotion d'un changement positif dans le secteur de la cybersécurité.
Si bien la codificación segura debe convertirse en un componente obligatorio de la ingeniería de software en el nivel terciario, algunas universidades están a la vanguardia al ofrecer una formación de primer nivel y priorizar la seguridad como parte del proceso de desarrollo desde el principio.p
Los CISO y CIO creativos e inspiradores tienen el poder de innovar y dar forma a nuestro mundo digital, pero también pueden ser fundamentales para transformar la cultura de seguridad de una organización.
Si bien VxWorks no es un nombre familiar para el consumidor promedio, este producto de software beneficia a muchas personas como usted y yo, todos los días. Y ahora, nos enfrentamos a la posibilidad de que cientos de millones de dispositivos con tecnología VxWorks estén en peligro.
Nous devons nous efforcer de changer le discours et de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et d'interagir avec eux sur les questions de sécurité, par exemple grâce à la gamification.
Es esa época especial del año (al menos para nosotros) en la que reflexiono sobre nuestra última vuelta alrededor del sol y lo que se ha hecho en los 365 días anteriores para prepararnos para un nuevo año de crecimiento, lecciones e inevitable imprevisibilidad.
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
No importa si estás capacitando a la alta dirección en ciberseguridad o ayudando a los desarrolladores en JAVA o C# a proteger sus habilidades de codificación, hay un lugar para la creatividad, la gamificación y la diversión.
El 23 de junio es una entrada especial en el calendario geek, que marca el Día Internacional de la Mujer en la Ingeniería. Esta es nuestra oportunidad de arrojar luz sobre la contribución de las mujeres al desarrollo de software.
La industria de la seguridad del software no es precisamente conocida por sus sentimientos cálidos y confusos, sus observaciones caprichosas y sus comentarios sobre la vida, pero quizás, a medida que envejezco, me encuentro reflexionando sobre el impacto que todos podemos tener en el mundo.
Con el aumento de los ciberataques, que afectan a todos los tipos de organizaciones y sectores, la amenaza de violaciones de datos costosas, embarazosas y que afectan a los resultados es muy real. El problema no se está reduciendo, sino que está creciendo como un tumor.
En nuestro sector, muchos expertos en seguridad han empezado a predecir los temas candentes del año, pero con el robo de más de cinco mil millones de registros de datos confidenciales en 2019, pensamos que sería más preciso predecir lo que no ocurrirá en materia de ciberseguridad en un futuro próximo.
Al ayudar a definir las responsabilidades de nuestras aplicaciones y software dentro de una jerarquía estricta, y al hacer cumplir esas políticas con los mínimos privilegios, podemos asegurarnos de que nuestras aplicaciones y software también sobrevivan y prosperen a pesar del panorama de amenazas que se les presenta.
El plan de movilización de seguridad del software de código abierto representa un paso positivo para la seguridad impulsada por los desarrolladores. Sin embargo, todos debemos hacer un balance y evaluar honestamente si tenemos la madurez suficiente en nuestra organización (y si nuestros equipos de desarrollo tienen el nivel adecuado de conocimientos y habilidades en materia de seguridad) para implementar las mejores y más recientes estrategias defensivas.
Al abordar temas candentes, como cómo aprovechar al máximo el presupuesto de AppSec de una organización, así como varias preguntas difíciles de la audiencia, el panel de líderes en AppSec ofreció una verdadera magia matutina que ayudará a los especialistas en seguridad a crear programas viables dentro de sus organizaciones.
No estamos recibiendo consejos realistas ni las soluciones más rápidas para combatir el ataque continuo que representa la ciberseguridad moderna. Por supuesto, cada violación es diferente a su manera, y existen numerosos vectores de ataque que pueden explotarse en el software vulnerable. Los consejos genéricos factibles serán limitados, pero el enfoque basado en las mejores prácticas parece tener más defectos cada hora.
A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.
La Estrategia Nacional de Ciberseguridad de CISA representa la mejor oportunidad que tenemos para elevar los estándares de software en todos los ámbitos y, finalmente, marcar el comienzo de una nueva era de desarrolladores expertos en seguridad.
Si bien parece inevitable que la tecnología de inteligencia artificial tipo LLM cambie la forma en que abordamos muchos aspectos del trabajo, no solo el desarrollo de software, debemos dar un paso atrás y considerar los riesgos más allá de los titulares. Y como complemento de programación, sus defectos son quizás su atributo más «humano».
Nous sommes heureux d'annoncer la clôture de notre tour de financement de série C, après avoir levé 50 millions de dollars pour la prochaine étape de notre mission : aider davantage d'organisations pionnières à exploiter la puissance de leur groupe de développement afin de contrer les vulnérabilités courantes.
Tras el anuncio de financiación de la Serie C, me complace anunciar un paso más en el camino de nuestra empresa. Synopsys, líder del sector de la seguridad, ha dado la bienvenida a una nueva e interesante incorporación a su gama de productos: la formación en seguridad para desarrolladores de Synopsys, impulsada por Secure Code Warrior.
El Plan Estratégico de Ciberseguridad impulsa cambios importantes en la forma en que la mayoría de las organizaciones abordan la ciberseguridad, y los desarrolladores se encuentran en una posición única para ayudar a lograr esos nuevos objetivos.
Aujourd'hui marque notre neuvième anniversaire, et je suis extrêmement fier et reconnaissant de nos réalisations et de notre place durable dans le monde de la cybersécurité, alors que le paysage continue d'évoluer rapidement.
Une vulnérabilité critique, CVE-2024-3094, a été découverte dans la bibliothèque de compression de données XZ Utils utilisée par les principales distributions Linux. Elle a été introduite par une porte dérobée par un acteur malveillant. Ce problème très grave permet l'exécution potentielle de code à distance, ce qui représente un risque important pour les processus de création de logiciels. La faille affecte les premières versions (5.6.0 et 5.6.1) de XZ Utils dans Fedora Rawhide, et il est urgent que les organisations déploient des correctifs. Cet incident souligne le rôle essentiel des bénévoles de la communauté dans la maintenance des logiciels open source et met en évidence la nécessité d'améliorer les pratiques de sécurité et le contrôle d'accès tout au long du cycle de vie du développement logiciel.
El equipo fundador de Secure Code Warrior ha permanecido unido, guiando el barco a través de cada lección, triunfo y revés durante toda una década. Estamos creciendo y estamos preparados para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en la gestión de riesgos para desarrolladores.
La programación de Vibe es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todas las festividades, el barril. Es muy divertido dar rienda suelta, dar rienda suelta a la creatividad y ver adónde puede llevarte la imaginación, pero después de unos cuantos barriles de piedra, beber (o usar la IA) con moderación es, sin duda, la solución más segura a largo plazo.
Le monde de la cybersécurité va-t-il trop vite en matière d'IA agentique ? L'avenir de la sécurité de l'IA est là, et il est temps pour les experts de passer de la réflexion à la réalité.
