Conciencia de seguridad certificada: una orden ejecutiva para mejorar la calidad de los desarrolladores
Si existe el tiempo divino, hay que decir que la Administración de Biden dio en el clavo con su Orden ejecutiva (EO), en el que se aborda el plan del gobierno de los EE. UU. para reforzar las redes federales y mejorar los estándares y las mejores prácticas de ciberseguridad en todo el país. Esta estrategia sigue a dos ciberataques recientes y devastadores: la continua violación de la cadena de suministro de Vientos solares, además del Oleoducto colonial ataque a la infraestructura de gas.
Si bien estos acontecimientos indudablemente causaron repercusiones en todos los niveles del gobierno, esta directiva marca un momento emocionante para la futuro de la ciberseguridad. Parece que por fin nos estamos tomando en serio la protección de nuestra existencia digital desde arriba, y no hay mejor momento que ahora para impulsar mejores estándares y un software de mayor calidad.
La EO aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan verificado habilidades y conciencia de seguridad. Durante años, hemos gritado a los cuatro vientos diciendo que este es el camino a seguir para combatir las vulnerabilidades comunes que tan a menudo nos hacen perder, y que los mandatos gubernamentales se alineen con este enfoque es el camino hacia el éxito generalizado en la ciberdefensa.
¿Cómo deben responder las organizaciones (y los departamentos federales por igual) a esta orden? Analicemos algunas de las categorías principales.
«Tick-the-Box» está descartado.
Hace tiempo que señalamos la ineficacia de la mayoría de los tipos de formación en ciberseguridad para desarrolladores. Con frecuencia es demasiado genérica, no se imparte de manera que atraiga e inspire el resultado deseado (léase: código más seguro) y se aborda con muy poca frecuencia. Y lo que es peor, muchas empresas se contentan con una formación «lista para cumplir», es decir, un enfoque que ofrece lo mínimo y listo para cumplir con un requisito operativo y obtener una marca de verificación junto al nombre del desarrollador. Estas estrategias educativas son las que mantienen a todos los CISO en el filo de la navaja, cruzando los dedos y esperando que su empresa no sea víctima de la próxima brecha de seguridad cibernética. Simplemente no sirven para reducir las vulnerabilidades y crear código de mayor calidad.
En la sección 4 del mandato de Biden, se deja en claro la necesidad de que una organización demuestre que sus desarrolladores muestran un cumplimiento de seguridad documentado y verificado:
»Las directrices deberán incluir criterios que puedan utilizarse para evaluar la seguridad del software, incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras.»
Hay un pequeño problema con eso: actualmente no existe ninguna certificación estándar de la industria específica para desarrolladores. Poder comparar el nivel de habilidades de programación segura de los desarrolladores y trabajar con cursos y evaluaciones para mejorar esas habilidades es fundamental, ya que permite a las empresas establecer objetivos y lograr el cumplimiento. Cuando los desarrolladores pueden demostrar sus competencias básicas en un entorno práctico y práctico, estas pueden evaluarse y certificarse de forma significativa y fiable. Es fundamental para nuestra oferta en Secure Code Warrior, y nos hemos esforzado por crear un sistema que pueda utilizarse para obtener una certificación fiable y que se pueda personalizar según sus requisitos técnicos y organizativos.
Estas habilidades son valiosas y no se pueden automatizar. La certificación puede transformar a los desarrolladores en una fuerza consciente de la seguridad que puede defender el código base contra las amenazas insidiosas.
Un enfoque en las herramientas para desarrolladores (y en las herramientas en general).
Además de las directrices sobre la verificación de las prácticas de codificación seguras, la EO profundiza bastante en el aspecto de la seguridad relacionado con la automatización y las herramientas.
Simplemente se está produciendo demasiado código como para que los humanos lo manejen solos desde una perspectiva de seguridad, y la automatización, como parte de un extenso paquete tecnológico, es una parte importante de todos los programas de seguridad, como debería ser. Sin embargo, no todas las herramientas se crean de la misma manera, y no existe una «herramienta que las gobierne a todas» que detecte todas las vulnerabilidades en todos los lenguajes de programación. Un buen programa de seguridad adopta un enfoque matizado, especialmente cuando se trata de herramientas y servicios dirigidos a los desarrolladores.
La sección 3 de la EO describe las expectativas de los proveedores que crean software que pueda ser utilizado por el gobierno federal, y las pautas instructivas sobre el uso de herramientas en el proceso de desarrollo:
» (iii) emplear herramientas automatizadas, o procesos comparables, para mantener cadenas de suministro de código fuente confiables, garantizando así la integridad del código;
(iv) emplear herramientas automatizadas, o procesos comparables, que comprueben las vulnerabilidades conocidas y potenciales y las corrijan, que deberán funcionar con regularidad o, como mínimo, antes del lanzamiento del producto, la versión o la actualización.»
Las herramientas de seguridad del paquete tecnológico para desarrolladores son una de las formas de mejorar las mejores prácticas de seguridad con rapidez, garantizando que las versiones tengan la mejor oportunidad de cumplir con los plazos y no se vean retrasadas por errores de seguridad y otros problemas espectaculares. Sin embargo, la cuestión es que los desarrolladores seguirán necesitando un aprendizaje contextual para aprovechar al máximo las herramientas más potentes. Es crucial que comprendan qué es lo que se ha marcado, por qué es peligroso y cómo remediarlo, y esto conllevará menos errores a la hora de identificar las herramientas.
Las mejores herramientas se integrarán con el entorno de los desarrolladores, ayudándoles a producir código de mayor calidad (y más seguro) y garantizarán que la seguridad sea una prioridad.
Asegurar la cadena de suministro.
Una de mis partes favoritas de la EO son los planes integrales para asegurar la cadena de suministro de software. Esto no es sorprendente, dado el evento de SolarWinds, pero es un punto culminante importante:
»La seguridad del software utilizado por el Gobierno Federal es vital para la capacidad del Gobierno Federal de desempeñar sus funciones críticas. El desarrollo de software comercial a menudo carece de transparencia, no se centra lo suficiente en la capacidad del software para resistir los ataques y no cuenta con los controles adecuados para evitar que actores malintencionados lo manipulen. Existe una necesidad urgente de implementar mecanismos más rigurosos y predecibles para garantizar que los productos funcionen de manera segura y según lo previsto... el Gobierno Federal debe tomar medidas para mejorar rápidamente la seguridad e integridad de la cadena de suministro de software, dando prioridad a abordar el software crítico.»
Esta decisión afectará a cualquier empresa de software que quiera hacer negocios con el gobierno de los EE. UU., pero debería aplicarse como norma en todas partes. La falta de transparencia por parte de los proveedores externos (por no hablar de los desarrolladores que utilizan componentes de terceros) con respecto a sus medidas de seguridad hace que sea increíblemente difícil evaluar, validar y declarar que se están cumpliendo las mejores prácticas de ciberseguridad. Debemos analizar los proveedores que utilizamos y el software que crean. Estas acciones pueden considerarse un «esfuerzo adicional», pero deberían ser inherentes al estándar de referencia de las mejores prácticas de ciberseguridad.
Enviar código seguro con confianza ha sido un problema en nuestra industria durante mucho tiempo, pero esta es la oportunidad perfecta para evaluar los procesos actuales y liderar el camino hacia una infraestructura de nube y software reforzada, que es la envidia de quienes se quedan atrás. Hable con nosotros ahora y descubra cómo puede aprovechar Cursos, Evaluaciones, y herramientas para desarrolladores para certificar a su próximo equipo de desarrolladores preocupados por la seguridad.
.avif)
La última orden ejecutiva del Gobierno Federal de los EE. UU. aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan conocimientos y habilidades de seguridad comprobados.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Si existe el tiempo divino, hay que decir que la Administración de Biden dio en el clavo con su Orden ejecutiva (EO), en el que se aborda el plan del gobierno de los EE. UU. para reforzar las redes federales y mejorar los estándares y las mejores prácticas de ciberseguridad en todo el país. Esta estrategia sigue a dos ciberataques recientes y devastadores: la continua violación de la cadena de suministro de Vientos solares, además del Oleoducto colonial ataque a la infraestructura de gas.
Si bien estos acontecimientos indudablemente causaron repercusiones en todos los niveles del gobierno, esta directiva marca un momento emocionante para la futuro de la ciberseguridad. Parece que por fin nos estamos tomando en serio la protección de nuestra existencia digital desde arriba, y no hay mejor momento que ahora para impulsar mejores estándares y un software de mayor calidad.
La EO aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan verificado habilidades y conciencia de seguridad. Durante años, hemos gritado a los cuatro vientos diciendo que este es el camino a seguir para combatir las vulnerabilidades comunes que tan a menudo nos hacen perder, y que los mandatos gubernamentales se alineen con este enfoque es el camino hacia el éxito generalizado en la ciberdefensa.
¿Cómo deben responder las organizaciones (y los departamentos federales por igual) a esta orden? Analicemos algunas de las categorías principales.
«Tick-the-Box» está descartado.
Hace tiempo que señalamos la ineficacia de la mayoría de los tipos de formación en ciberseguridad para desarrolladores. Con frecuencia es demasiado genérica, no se imparte de manera que atraiga e inspire el resultado deseado (léase: código más seguro) y se aborda con muy poca frecuencia. Y lo que es peor, muchas empresas se contentan con una formación «lista para cumplir», es decir, un enfoque que ofrece lo mínimo y listo para cumplir con un requisito operativo y obtener una marca de verificación junto al nombre del desarrollador. Estas estrategias educativas son las que mantienen a todos los CISO en el filo de la navaja, cruzando los dedos y esperando que su empresa no sea víctima de la próxima brecha de seguridad cibernética. Simplemente no sirven para reducir las vulnerabilidades y crear código de mayor calidad.
En la sección 4 del mandato de Biden, se deja en claro la necesidad de que una organización demuestre que sus desarrolladores muestran un cumplimiento de seguridad documentado y verificado:
»Las directrices deberán incluir criterios que puedan utilizarse para evaluar la seguridad del software, incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras.»
Hay un pequeño problema con eso: actualmente no existe ninguna certificación estándar de la industria específica para desarrolladores. Poder comparar el nivel de habilidades de programación segura de los desarrolladores y trabajar con cursos y evaluaciones para mejorar esas habilidades es fundamental, ya que permite a las empresas establecer objetivos y lograr el cumplimiento. Cuando los desarrolladores pueden demostrar sus competencias básicas en un entorno práctico y práctico, estas pueden evaluarse y certificarse de forma significativa y fiable. Es fundamental para nuestra oferta en Secure Code Warrior, y nos hemos esforzado por crear un sistema que pueda utilizarse para obtener una certificación fiable y que se pueda personalizar según sus requisitos técnicos y organizativos.
Estas habilidades son valiosas y no se pueden automatizar. La certificación puede transformar a los desarrolladores en una fuerza consciente de la seguridad que puede defender el código base contra las amenazas insidiosas.
Un enfoque en las herramientas para desarrolladores (y en las herramientas en general).
Además de las directrices sobre la verificación de las prácticas de codificación seguras, la EO profundiza bastante en el aspecto de la seguridad relacionado con la automatización y las herramientas.
Simplemente se está produciendo demasiado código como para que los humanos lo manejen solos desde una perspectiva de seguridad, y la automatización, como parte de un extenso paquete tecnológico, es una parte importante de todos los programas de seguridad, como debería ser. Sin embargo, no todas las herramientas se crean de la misma manera, y no existe una «herramienta que las gobierne a todas» que detecte todas las vulnerabilidades en todos los lenguajes de programación. Un buen programa de seguridad adopta un enfoque matizado, especialmente cuando se trata de herramientas y servicios dirigidos a los desarrolladores.
La sección 3 de la EO describe las expectativas de los proveedores que crean software que pueda ser utilizado por el gobierno federal, y las pautas instructivas sobre el uso de herramientas en el proceso de desarrollo:
» (iii) emplear herramientas automatizadas, o procesos comparables, para mantener cadenas de suministro de código fuente confiables, garantizando así la integridad del código;
(iv) emplear herramientas automatizadas, o procesos comparables, que comprueben las vulnerabilidades conocidas y potenciales y las corrijan, que deberán funcionar con regularidad o, como mínimo, antes del lanzamiento del producto, la versión o la actualización.»
Las herramientas de seguridad del paquete tecnológico para desarrolladores son una de las formas de mejorar las mejores prácticas de seguridad con rapidez, garantizando que las versiones tengan la mejor oportunidad de cumplir con los plazos y no se vean retrasadas por errores de seguridad y otros problemas espectaculares. Sin embargo, la cuestión es que los desarrolladores seguirán necesitando un aprendizaje contextual para aprovechar al máximo las herramientas más potentes. Es crucial que comprendan qué es lo que se ha marcado, por qué es peligroso y cómo remediarlo, y esto conllevará menos errores a la hora de identificar las herramientas.
Las mejores herramientas se integrarán con el entorno de los desarrolladores, ayudándoles a producir código de mayor calidad (y más seguro) y garantizarán que la seguridad sea una prioridad.
Asegurar la cadena de suministro.
Una de mis partes favoritas de la EO son los planes integrales para asegurar la cadena de suministro de software. Esto no es sorprendente, dado el evento de SolarWinds, pero es un punto culminante importante:
»La seguridad del software utilizado por el Gobierno Federal es vital para la capacidad del Gobierno Federal de desempeñar sus funciones críticas. El desarrollo de software comercial a menudo carece de transparencia, no se centra lo suficiente en la capacidad del software para resistir los ataques y no cuenta con los controles adecuados para evitar que actores malintencionados lo manipulen. Existe una necesidad urgente de implementar mecanismos más rigurosos y predecibles para garantizar que los productos funcionen de manera segura y según lo previsto... el Gobierno Federal debe tomar medidas para mejorar rápidamente la seguridad e integridad de la cadena de suministro de software, dando prioridad a abordar el software crítico.»
Esta decisión afectará a cualquier empresa de software que quiera hacer negocios con el gobierno de los EE. UU., pero debería aplicarse como norma en todas partes. La falta de transparencia por parte de los proveedores externos (por no hablar de los desarrolladores que utilizan componentes de terceros) con respecto a sus medidas de seguridad hace que sea increíblemente difícil evaluar, validar y declarar que se están cumpliendo las mejores prácticas de ciberseguridad. Debemos analizar los proveedores que utilizamos y el software que crean. Estas acciones pueden considerarse un «esfuerzo adicional», pero deberían ser inherentes al estándar de referencia de las mejores prácticas de ciberseguridad.
Enviar código seguro con confianza ha sido un problema en nuestra industria durante mucho tiempo, pero esta es la oportunidad perfecta para evaluar los procesos actuales y liderar el camino hacia una infraestructura de nube y software reforzada, que es la envidia de quienes se quedan atrás. Hable con nosotros ahora y descubra cómo puede aprovechar Cursos, Evaluaciones, y herramientas para desarrolladores para certificar a su próximo equipo de desarrolladores preocupados por la seguridad.
Si existe el tiempo divino, hay que decir que la Administración de Biden dio en el clavo con su Orden ejecutiva (EO), en el que se aborda el plan del gobierno de los EE. UU. para reforzar las redes federales y mejorar los estándares y las mejores prácticas de ciberseguridad en todo el país. Esta estrategia sigue a dos ciberataques recientes y devastadores: la continua violación de la cadena de suministro de Vientos solares, además del Oleoducto colonial ataque a la infraestructura de gas.
Si bien estos acontecimientos indudablemente causaron repercusiones en todos los niveles del gobierno, esta directiva marca un momento emocionante para la futuro de la ciberseguridad. Parece que por fin nos estamos tomando en serio la protección de nuestra existencia digital desde arriba, y no hay mejor momento que ahora para impulsar mejores estándares y un software de mayor calidad.
La EO aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan verificado habilidades y conciencia de seguridad. Durante años, hemos gritado a los cuatro vientos diciendo que este es el camino a seguir para combatir las vulnerabilidades comunes que tan a menudo nos hacen perder, y que los mandatos gubernamentales se alineen con este enfoque es el camino hacia el éxito generalizado en la ciberdefensa.
¿Cómo deben responder las organizaciones (y los departamentos federales por igual) a esta orden? Analicemos algunas de las categorías principales.
«Tick-the-Box» está descartado.
Hace tiempo que señalamos la ineficacia de la mayoría de los tipos de formación en ciberseguridad para desarrolladores. Con frecuencia es demasiado genérica, no se imparte de manera que atraiga e inspire el resultado deseado (léase: código más seguro) y se aborda con muy poca frecuencia. Y lo que es peor, muchas empresas se contentan con una formación «lista para cumplir», es decir, un enfoque que ofrece lo mínimo y listo para cumplir con un requisito operativo y obtener una marca de verificación junto al nombre del desarrollador. Estas estrategias educativas son las que mantienen a todos los CISO en el filo de la navaja, cruzando los dedos y esperando que su empresa no sea víctima de la próxima brecha de seguridad cibernética. Simplemente no sirven para reducir las vulnerabilidades y crear código de mayor calidad.
En la sección 4 del mandato de Biden, se deja en claro la necesidad de que una organización demuestre que sus desarrolladores muestran un cumplimiento de seguridad documentado y verificado:
»Las directrices deberán incluir criterios que puedan utilizarse para evaluar la seguridad del software, incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras.»
Hay un pequeño problema con eso: actualmente no existe ninguna certificación estándar de la industria específica para desarrolladores. Poder comparar el nivel de habilidades de programación segura de los desarrolladores y trabajar con cursos y evaluaciones para mejorar esas habilidades es fundamental, ya que permite a las empresas establecer objetivos y lograr el cumplimiento. Cuando los desarrolladores pueden demostrar sus competencias básicas en un entorno práctico y práctico, estas pueden evaluarse y certificarse de forma significativa y fiable. Es fundamental para nuestra oferta en Secure Code Warrior, y nos hemos esforzado por crear un sistema que pueda utilizarse para obtener una certificación fiable y que se pueda personalizar según sus requisitos técnicos y organizativos.
Estas habilidades son valiosas y no se pueden automatizar. La certificación puede transformar a los desarrolladores en una fuerza consciente de la seguridad que puede defender el código base contra las amenazas insidiosas.
Un enfoque en las herramientas para desarrolladores (y en las herramientas en general).
Además de las directrices sobre la verificación de las prácticas de codificación seguras, la EO profundiza bastante en el aspecto de la seguridad relacionado con la automatización y las herramientas.
Simplemente se está produciendo demasiado código como para que los humanos lo manejen solos desde una perspectiva de seguridad, y la automatización, como parte de un extenso paquete tecnológico, es una parte importante de todos los programas de seguridad, como debería ser. Sin embargo, no todas las herramientas se crean de la misma manera, y no existe una «herramienta que las gobierne a todas» que detecte todas las vulnerabilidades en todos los lenguajes de programación. Un buen programa de seguridad adopta un enfoque matizado, especialmente cuando se trata de herramientas y servicios dirigidos a los desarrolladores.
La sección 3 de la EO describe las expectativas de los proveedores que crean software que pueda ser utilizado por el gobierno federal, y las pautas instructivas sobre el uso de herramientas en el proceso de desarrollo:
» (iii) emplear herramientas automatizadas, o procesos comparables, para mantener cadenas de suministro de código fuente confiables, garantizando así la integridad del código;
(iv) emplear herramientas automatizadas, o procesos comparables, que comprueben las vulnerabilidades conocidas y potenciales y las corrijan, que deberán funcionar con regularidad o, como mínimo, antes del lanzamiento del producto, la versión o la actualización.»
Las herramientas de seguridad del paquete tecnológico para desarrolladores son una de las formas de mejorar las mejores prácticas de seguridad con rapidez, garantizando que las versiones tengan la mejor oportunidad de cumplir con los plazos y no se vean retrasadas por errores de seguridad y otros problemas espectaculares. Sin embargo, la cuestión es que los desarrolladores seguirán necesitando un aprendizaje contextual para aprovechar al máximo las herramientas más potentes. Es crucial que comprendan qué es lo que se ha marcado, por qué es peligroso y cómo remediarlo, y esto conllevará menos errores a la hora de identificar las herramientas.
Las mejores herramientas se integrarán con el entorno de los desarrolladores, ayudándoles a producir código de mayor calidad (y más seguro) y garantizarán que la seguridad sea una prioridad.
Asegurar la cadena de suministro.
Una de mis partes favoritas de la EO son los planes integrales para asegurar la cadena de suministro de software. Esto no es sorprendente, dado el evento de SolarWinds, pero es un punto culminante importante:
»La seguridad del software utilizado por el Gobierno Federal es vital para la capacidad del Gobierno Federal de desempeñar sus funciones críticas. El desarrollo de software comercial a menudo carece de transparencia, no se centra lo suficiente en la capacidad del software para resistir los ataques y no cuenta con los controles adecuados para evitar que actores malintencionados lo manipulen. Existe una necesidad urgente de implementar mecanismos más rigurosos y predecibles para garantizar que los productos funcionen de manera segura y según lo previsto... el Gobierno Federal debe tomar medidas para mejorar rápidamente la seguridad e integridad de la cadena de suministro de software, dando prioridad a abordar el software crítico.»
Esta decisión afectará a cualquier empresa de software que quiera hacer negocios con el gobierno de los EE. UU., pero debería aplicarse como norma en todas partes. La falta de transparencia por parte de los proveedores externos (por no hablar de los desarrolladores que utilizan componentes de terceros) con respecto a sus medidas de seguridad hace que sea increíblemente difícil evaluar, validar y declarar que se están cumpliendo las mejores prácticas de ciberseguridad. Debemos analizar los proveedores que utilizamos y el software que crean. Estas acciones pueden considerarse un «esfuerzo adicional», pero deberían ser inherentes al estándar de referencia de las mejores prácticas de ciberseguridad.
Enviar código seguro con confianza ha sido un problema en nuestra industria durante mucho tiempo, pero esta es la oportunidad perfecta para evaluar los procesos actuales y liderar el camino hacia una infraestructura de nube y software reforzada, que es la envidia de quienes se quedan atrás. Hable con nosotros ahora y descubra cómo puede aprovechar Cursos, Evaluaciones, y herramientas para desarrolladores para certificar a su próximo equipo de desarrolladores preocupados por la seguridad.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Si existe el tiempo divino, hay que decir que la Administración de Biden dio en el clavo con su Orden ejecutiva (EO), en el que se aborda el plan del gobierno de los EE. UU. para reforzar las redes federales y mejorar los estándares y las mejores prácticas de ciberseguridad en todo el país. Esta estrategia sigue a dos ciberataques recientes y devastadores: la continua violación de la cadena de suministro de Vientos solares, además del Oleoducto colonial ataque a la infraestructura de gas.
Si bien estos acontecimientos indudablemente causaron repercusiones en todos los niveles del gobierno, esta directiva marca un momento emocionante para la futuro de la ciberseguridad. Parece que por fin nos estamos tomando en serio la protección de nuestra existencia digital desde arriba, y no hay mejor momento que ahora para impulsar mejores estándares y un software de mayor calidad.
La EO aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan verificado habilidades y conciencia de seguridad. Durante años, hemos gritado a los cuatro vientos diciendo que este es el camino a seguir para combatir las vulnerabilidades comunes que tan a menudo nos hacen perder, y que los mandatos gubernamentales se alineen con este enfoque es el camino hacia el éxito generalizado en la ciberdefensa.
¿Cómo deben responder las organizaciones (y los departamentos federales por igual) a esta orden? Analicemos algunas de las categorías principales.
«Tick-the-Box» está descartado.
Hace tiempo que señalamos la ineficacia de la mayoría de los tipos de formación en ciberseguridad para desarrolladores. Con frecuencia es demasiado genérica, no se imparte de manera que atraiga e inspire el resultado deseado (léase: código más seguro) y se aborda con muy poca frecuencia. Y lo que es peor, muchas empresas se contentan con una formación «lista para cumplir», es decir, un enfoque que ofrece lo mínimo y listo para cumplir con un requisito operativo y obtener una marca de verificación junto al nombre del desarrollador. Estas estrategias educativas son las que mantienen a todos los CISO en el filo de la navaja, cruzando los dedos y esperando que su empresa no sea víctima de la próxima brecha de seguridad cibernética. Simplemente no sirven para reducir las vulnerabilidades y crear código de mayor calidad.
En la sección 4 del mandato de Biden, se deja en claro la necesidad de que una organización demuestre que sus desarrolladores muestran un cumplimiento de seguridad documentado y verificado:
»Las directrices deberán incluir criterios que puedan utilizarse para evaluar la seguridad del software, incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras.»
Hay un pequeño problema con eso: actualmente no existe ninguna certificación estándar de la industria específica para desarrolladores. Poder comparar el nivel de habilidades de programación segura de los desarrolladores y trabajar con cursos y evaluaciones para mejorar esas habilidades es fundamental, ya que permite a las empresas establecer objetivos y lograr el cumplimiento. Cuando los desarrolladores pueden demostrar sus competencias básicas en un entorno práctico y práctico, estas pueden evaluarse y certificarse de forma significativa y fiable. Es fundamental para nuestra oferta en Secure Code Warrior, y nos hemos esforzado por crear un sistema que pueda utilizarse para obtener una certificación fiable y que se pueda personalizar según sus requisitos técnicos y organizativos.
Estas habilidades son valiosas y no se pueden automatizar. La certificación puede transformar a los desarrolladores en una fuerza consciente de la seguridad que puede defender el código base contra las amenazas insidiosas.
Un enfoque en las herramientas para desarrolladores (y en las herramientas en general).
Además de las directrices sobre la verificación de las prácticas de codificación seguras, la EO profundiza bastante en el aspecto de la seguridad relacionado con la automatización y las herramientas.
Simplemente se está produciendo demasiado código como para que los humanos lo manejen solos desde una perspectiva de seguridad, y la automatización, como parte de un extenso paquete tecnológico, es una parte importante de todos los programas de seguridad, como debería ser. Sin embargo, no todas las herramientas se crean de la misma manera, y no existe una «herramienta que las gobierne a todas» que detecte todas las vulnerabilidades en todos los lenguajes de programación. Un buen programa de seguridad adopta un enfoque matizado, especialmente cuando se trata de herramientas y servicios dirigidos a los desarrolladores.
La sección 3 de la EO describe las expectativas de los proveedores que crean software que pueda ser utilizado por el gobierno federal, y las pautas instructivas sobre el uso de herramientas en el proceso de desarrollo:
» (iii) emplear herramientas automatizadas, o procesos comparables, para mantener cadenas de suministro de código fuente confiables, garantizando así la integridad del código;
(iv) emplear herramientas automatizadas, o procesos comparables, que comprueben las vulnerabilidades conocidas y potenciales y las corrijan, que deberán funcionar con regularidad o, como mínimo, antes del lanzamiento del producto, la versión o la actualización.»
Las herramientas de seguridad del paquete tecnológico para desarrolladores son una de las formas de mejorar las mejores prácticas de seguridad con rapidez, garantizando que las versiones tengan la mejor oportunidad de cumplir con los plazos y no se vean retrasadas por errores de seguridad y otros problemas espectaculares. Sin embargo, la cuestión es que los desarrolladores seguirán necesitando un aprendizaje contextual para aprovechar al máximo las herramientas más potentes. Es crucial que comprendan qué es lo que se ha marcado, por qué es peligroso y cómo remediarlo, y esto conllevará menos errores a la hora de identificar las herramientas.
Las mejores herramientas se integrarán con el entorno de los desarrolladores, ayudándoles a producir código de mayor calidad (y más seguro) y garantizarán que la seguridad sea una prioridad.
Asegurar la cadena de suministro.
Una de mis partes favoritas de la EO son los planes integrales para asegurar la cadena de suministro de software. Esto no es sorprendente, dado el evento de SolarWinds, pero es un punto culminante importante:
»La seguridad del software utilizado por el Gobierno Federal es vital para la capacidad del Gobierno Federal de desempeñar sus funciones críticas. El desarrollo de software comercial a menudo carece de transparencia, no se centra lo suficiente en la capacidad del software para resistir los ataques y no cuenta con los controles adecuados para evitar que actores malintencionados lo manipulen. Existe una necesidad urgente de implementar mecanismos más rigurosos y predecibles para garantizar que los productos funcionen de manera segura y según lo previsto... el Gobierno Federal debe tomar medidas para mejorar rápidamente la seguridad e integridad de la cadena de suministro de software, dando prioridad a abordar el software crítico.»
Esta decisión afectará a cualquier empresa de software que quiera hacer negocios con el gobierno de los EE. UU., pero debería aplicarse como norma en todas partes. La falta de transparencia por parte de los proveedores externos (por no hablar de los desarrolladores que utilizan componentes de terceros) con respecto a sus medidas de seguridad hace que sea increíblemente difícil evaluar, validar y declarar que se están cumpliendo las mejores prácticas de ciberseguridad. Debemos analizar los proveedores que utilizamos y el software que crean. Estas acciones pueden considerarse un «esfuerzo adicional», pero deberían ser inherentes al estándar de referencia de las mejores prácticas de ciberseguridad.
Enviar código seguro con confianza ha sido un problema en nuestra industria durante mucho tiempo, pero esta es la oportunidad perfecta para evaluar los procesos actuales y liderar el camino hacia una infraestructura de nube y software reforzada, que es la envidia de quienes se quedan atrás. Hable con nosotros ahora y descubra cómo puede aprovechar Cursos, Evaluaciones, y herramientas para desarrolladores para certificar a su próximo equipo de desarrolladores preocupados por la seguridad.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
