Cómo implementó Thales la seguridad impulsada por los desarrolladores
Antecedentes
Thales Group es una empresa multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri es el director técnico de seguridad del software en Thales. Viswanath, o Vis, comenzó su carrera en el campo de la seguridad inicialmente como programador. Ahora es un líder sénior de seguridad en Thales, cuenta con más de 18 años de experiencia en el sector de la seguridad y cuenta con más de 30 certificaciones, entre las que se incluyen CISSP, PMP y GSE. Ha formado a más de 3000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío de SANS en torneos internacionales de ciberseguridad (como Netwars) y es miembro activo del Consejo Asesor del GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un exitoso programa de aprendizaje de códigos seguro en Thales.
Situación
Cuando Vis comenzó en Thales, entrenó a las unidades de negocio para que analizaran el origen de las vulnerabilidades descubiertas mediante pruebas de bolígrafo como una posible solución para reducir la acumulación de deudas tecnológicas. El equipo de seguridad de las aplicaciones recurrió a siete proveedores diferentes con los que trabajaban para reforzar su postura en materia de seguridad, desde herramientas IAST/DAST hasta herramientas para realizar pruebas con lápiz. Vis quería entender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación mediante una sólida integración entre los procesos y la tecnología. Esto implicó pasar de un enfoque basado exclusivamente en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían experiencia en seguridad ni conocimientos de seguridad. Su enfoque inicial consistía en ofrecer formación presencial a los desarrolladores sobre temas como los 10 mejores puestos de OWASP, pero pronto se dio cuenta de que esta formación no iba a crecer con todos los viajes necesarios para impartir clases presenciales y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
«Siempre habrá un desequilibrio en la relación entre seguridad y desarrollo. Aunque tuviera una relación de seguridad de 1:1, respecto a los desarrolladores, no podría mantenerlos ocupados todo el tiempo. Para mantener a nuestros desarrolladores informados sobre los nuevos vectores de ataque, las mejores prácticas, los nuevos lenguajes y las vulnerabilidades descubiertas recientemente, necesitábamos promover el autoaprendizaje entre los desarrolladores y hacer que fueran capaces de hacerlo a su propio ritmo. Si necesitan ayuda, puedo ayudarlos, pero me di cuenta de que no podía ser la persona que les enseñara cómo solucionar todas las vulnerabilidades que encuentran».
Al principio, los directores de desarrollo se mostraron reacios a invertir tiempo en el aprendizaje seguro de código, ya que reconocieron que muchos desarrolladores comenzaban desde cero. Vis necesitaba gestionar la percepción de que el compromiso con el aprendizaje seguro del código podía interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Necesitaba encontrar una manera de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud en la que las personas eran lo primero para abordar las vulnerabilidades en su origen, «La gente suele decir que la seguridad le quita tiempo al desarrollo. Para mí, si uno desarrolla algo y es inseguro, para empezar fue una pérdida de tiempo. Siempre debes desarrollar software para que sea seguro y ahorrarte el tiempo de tener que corregir las vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de enviar un código fiable».
Acción
Vis tenía dos objetivos principales en mente: proteger su software y aumentar la conciencia de seguridad en los equipos de desarrolladores de Thales. Era fundamental implementar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistía en crear una comunidad de seguridad con el tiempo, trabajar para vincular la codificación segura con las políticas corporativas y desarrollar un mandato para que la organización aprendiera código de forma segura. Al fomentar una cultura de comunidad que conectara a desarrolladores, evaluadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron defensores de la seguridad que sentían pasión por la seguridad y, como parte de su trabajo diario, ayudaron a dar a conocer las prácticas de codificación seguras en toda la organización. Vis evaluó a más de una docena de proveedores de formación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue una gran ventaja contar con un proveedor que cubriera todos los lenguajes y marcos de programación de su entorno, en lugar de una solución fragmentaria. Vis aprovechó el enorme volumen de contenido de Secure Code Warrior para crear cursos de formación y aprendizaje a su propio ritmo para que los desarrolladores del programa de seguridad pudieran acceder a:
«El top 10 de OWASP no consiste simplemente en diez cosas que debes saber. La profundidad y la diversidad de las vulnerabilidades que cubre OWASP, combinadas con la enorme cantidad de lenguajes de programación, pueden resultar abrumadoras. La amplia gama de desafíos y la cobertura que tenemos sobre estos temas fueron un factor clave a la hora de elegir SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de crear un programa continuo».
Vis y su equipo estructuraron cuatro niveles de implementación del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de verdad para las correcciones de vulnerabilidades.. En lugar de confiar en las búsquedas de Google que podrían ayudarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenido de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para corregir las vulnerabilidades del código. Según Vis:
«Los desarrolladores no deberían tener la libertad de decidir cómo corregir una vulnerabilidad y, potencialmente, introducir una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS mediante la integración con SCORM de SCW para asegurarnos de que los desarrolladores aprendieran a corregir la vulnerabilidad de la manera correcta. Esto también nos permitió garantizar que se reconociera a los desarrolladores que ofrecían software seguro. Les pedimos que alcancen un cierto nivel de codificación segura y podemos hacer un seguimiento de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, la empresa reconoce y valora el arduo trabajo que han realizado».
Resultados
Vis y su equipo publican un boletín mensual sobre código seguro en el que pueden reconocer a los mejores estudiantes de la empresa. Utilizan el SCW para analizar los puntajes de las evaluaciones, la participación en los torneos y los desafíos jugados a fin de amplificar ese logro. Esto también motiva a otros desarrolladores a aprender. Los KPI que estableció inicialmente se centraron en reducir el número total de vulnerabilidades en 2 años. Tras implementar el SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir a nivel del código fuente. Vis lo expresa de esta manera:
«Los KPI que presentamos a nuestra gerencia reflejan la selección bien informada que hicimos. Nos enorgullece contar con una formación en código seguro que brinda confianza empresarial a nuestros clientes. Se nos reconoce por nuestro completo programa de formación sobre código seguro y nuestros clientes y colegas nos respetan. Tener un programa como este añade mucho valor a su empresa».
Conclusiones clave
Vis reconoció que las personas, los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Al centrarse en la seguridad del software, en los conocimientos de los desarrolladores y en cumplir con las normas, es posible crear un programa de código seguro con un aprendizaje ágil que reduzca las vulnerabilidades del código fuente con el paso del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que buscan desarrollar habilidades de seguridad en los equipos de desarrolladores.
En este estudio de caso, descubra cómo Thales ha desarrollado enfoques de personas, procesos y tecnología para un programa de aprendizaje de código seguro y ágil con el fin de involucrar a los desarrolladores para que se conviertan en campeones activos de la seguridad.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Antecedentes
Thales Group es una empresa multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri es el director técnico de seguridad del software en Thales. Viswanath, o Vis, comenzó su carrera en el campo de la seguridad inicialmente como programador. Ahora es un líder sénior de seguridad en Thales, cuenta con más de 18 años de experiencia en el sector de la seguridad y cuenta con más de 30 certificaciones, entre las que se incluyen CISSP, PMP y GSE. Ha formado a más de 3000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío de SANS en torneos internacionales de ciberseguridad (como Netwars) y es miembro activo del Consejo Asesor del GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un exitoso programa de aprendizaje de códigos seguro en Thales.
Situación
Cuando Vis comenzó en Thales, entrenó a las unidades de negocio para que analizaran el origen de las vulnerabilidades descubiertas mediante pruebas de bolígrafo como una posible solución para reducir la acumulación de deudas tecnológicas. El equipo de seguridad de las aplicaciones recurrió a siete proveedores diferentes con los que trabajaban para reforzar su postura en materia de seguridad, desde herramientas IAST/DAST hasta herramientas para realizar pruebas con lápiz. Vis quería entender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación mediante una sólida integración entre los procesos y la tecnología. Esto implicó pasar de un enfoque basado exclusivamente en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían experiencia en seguridad ni conocimientos de seguridad. Su enfoque inicial consistía en ofrecer formación presencial a los desarrolladores sobre temas como los 10 mejores puestos de OWASP, pero pronto se dio cuenta de que esta formación no iba a crecer con todos los viajes necesarios para impartir clases presenciales y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
«Siempre habrá un desequilibrio en la relación entre seguridad y desarrollo. Aunque tuviera una relación de seguridad de 1:1, respecto a los desarrolladores, no podría mantenerlos ocupados todo el tiempo. Para mantener a nuestros desarrolladores informados sobre los nuevos vectores de ataque, las mejores prácticas, los nuevos lenguajes y las vulnerabilidades descubiertas recientemente, necesitábamos promover el autoaprendizaje entre los desarrolladores y hacer que fueran capaces de hacerlo a su propio ritmo. Si necesitan ayuda, puedo ayudarlos, pero me di cuenta de que no podía ser la persona que les enseñara cómo solucionar todas las vulnerabilidades que encuentran».
Al principio, los directores de desarrollo se mostraron reacios a invertir tiempo en el aprendizaje seguro de código, ya que reconocieron que muchos desarrolladores comenzaban desde cero. Vis necesitaba gestionar la percepción de que el compromiso con el aprendizaje seguro del código podía interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Necesitaba encontrar una manera de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud en la que las personas eran lo primero para abordar las vulnerabilidades en su origen, «La gente suele decir que la seguridad le quita tiempo al desarrollo. Para mí, si uno desarrolla algo y es inseguro, para empezar fue una pérdida de tiempo. Siempre debes desarrollar software para que sea seguro y ahorrarte el tiempo de tener que corregir las vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de enviar un código fiable».
Acción
Vis tenía dos objetivos principales en mente: proteger su software y aumentar la conciencia de seguridad en los equipos de desarrolladores de Thales. Era fundamental implementar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistía en crear una comunidad de seguridad con el tiempo, trabajar para vincular la codificación segura con las políticas corporativas y desarrollar un mandato para que la organización aprendiera código de forma segura. Al fomentar una cultura de comunidad que conectara a desarrolladores, evaluadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron defensores de la seguridad que sentían pasión por la seguridad y, como parte de su trabajo diario, ayudaron a dar a conocer las prácticas de codificación seguras en toda la organización. Vis evaluó a más de una docena de proveedores de formación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue una gran ventaja contar con un proveedor que cubriera todos los lenguajes y marcos de programación de su entorno, en lugar de una solución fragmentaria. Vis aprovechó el enorme volumen de contenido de Secure Code Warrior para crear cursos de formación y aprendizaje a su propio ritmo para que los desarrolladores del programa de seguridad pudieran acceder a:
«El top 10 de OWASP no consiste simplemente en diez cosas que debes saber. La profundidad y la diversidad de las vulnerabilidades que cubre OWASP, combinadas con la enorme cantidad de lenguajes de programación, pueden resultar abrumadoras. La amplia gama de desafíos y la cobertura que tenemos sobre estos temas fueron un factor clave a la hora de elegir SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de crear un programa continuo».
Vis y su equipo estructuraron cuatro niveles de implementación del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de verdad para las correcciones de vulnerabilidades.. En lugar de confiar en las búsquedas de Google que podrían ayudarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenido de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para corregir las vulnerabilidades del código. Según Vis:
«Los desarrolladores no deberían tener la libertad de decidir cómo corregir una vulnerabilidad y, potencialmente, introducir una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS mediante la integración con SCORM de SCW para asegurarnos de que los desarrolladores aprendieran a corregir la vulnerabilidad de la manera correcta. Esto también nos permitió garantizar que se reconociera a los desarrolladores que ofrecían software seguro. Les pedimos que alcancen un cierto nivel de codificación segura y podemos hacer un seguimiento de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, la empresa reconoce y valora el arduo trabajo que han realizado».
Resultados
Vis y su equipo publican un boletín mensual sobre código seguro en el que pueden reconocer a los mejores estudiantes de la empresa. Utilizan el SCW para analizar los puntajes de las evaluaciones, la participación en los torneos y los desafíos jugados a fin de amplificar ese logro. Esto también motiva a otros desarrolladores a aprender. Los KPI que estableció inicialmente se centraron en reducir el número total de vulnerabilidades en 2 años. Tras implementar el SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir a nivel del código fuente. Vis lo expresa de esta manera:
«Los KPI que presentamos a nuestra gerencia reflejan la selección bien informada que hicimos. Nos enorgullece contar con una formación en código seguro que brinda confianza empresarial a nuestros clientes. Se nos reconoce por nuestro completo programa de formación sobre código seguro y nuestros clientes y colegas nos respetan. Tener un programa como este añade mucho valor a su empresa».
Conclusiones clave
Vis reconoció que las personas, los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Al centrarse en la seguridad del software, en los conocimientos de los desarrolladores y en cumplir con las normas, es posible crear un programa de código seguro con un aprendizaje ágil que reduzca las vulnerabilidades del código fuente con el paso del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que buscan desarrollar habilidades de seguridad en los equipos de desarrolladores.
Antecedentes
Thales Group es una empresa multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri es el director técnico de seguridad del software en Thales. Viswanath, o Vis, comenzó su carrera en el campo de la seguridad inicialmente como programador. Ahora es un líder sénior de seguridad en Thales, cuenta con más de 18 años de experiencia en el sector de la seguridad y cuenta con más de 30 certificaciones, entre las que se incluyen CISSP, PMP y GSE. Ha formado a más de 3000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío de SANS en torneos internacionales de ciberseguridad (como Netwars) y es miembro activo del Consejo Asesor del GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un exitoso programa de aprendizaje de códigos seguro en Thales.
Situación
Cuando Vis comenzó en Thales, entrenó a las unidades de negocio para que analizaran el origen de las vulnerabilidades descubiertas mediante pruebas de bolígrafo como una posible solución para reducir la acumulación de deudas tecnológicas. El equipo de seguridad de las aplicaciones recurrió a siete proveedores diferentes con los que trabajaban para reforzar su postura en materia de seguridad, desde herramientas IAST/DAST hasta herramientas para realizar pruebas con lápiz. Vis quería entender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación mediante una sólida integración entre los procesos y la tecnología. Esto implicó pasar de un enfoque basado exclusivamente en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían experiencia en seguridad ni conocimientos de seguridad. Su enfoque inicial consistía en ofrecer formación presencial a los desarrolladores sobre temas como los 10 mejores puestos de OWASP, pero pronto se dio cuenta de que esta formación no iba a crecer con todos los viajes necesarios para impartir clases presenciales y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
«Siempre habrá un desequilibrio en la relación entre seguridad y desarrollo. Aunque tuviera una relación de seguridad de 1:1, respecto a los desarrolladores, no podría mantenerlos ocupados todo el tiempo. Para mantener a nuestros desarrolladores informados sobre los nuevos vectores de ataque, las mejores prácticas, los nuevos lenguajes y las vulnerabilidades descubiertas recientemente, necesitábamos promover el autoaprendizaje entre los desarrolladores y hacer que fueran capaces de hacerlo a su propio ritmo. Si necesitan ayuda, puedo ayudarlos, pero me di cuenta de que no podía ser la persona que les enseñara cómo solucionar todas las vulnerabilidades que encuentran».
Al principio, los directores de desarrollo se mostraron reacios a invertir tiempo en el aprendizaje seguro de código, ya que reconocieron que muchos desarrolladores comenzaban desde cero. Vis necesitaba gestionar la percepción de que el compromiso con el aprendizaje seguro del código podía interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Necesitaba encontrar una manera de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud en la que las personas eran lo primero para abordar las vulnerabilidades en su origen, «La gente suele decir que la seguridad le quita tiempo al desarrollo. Para mí, si uno desarrolla algo y es inseguro, para empezar fue una pérdida de tiempo. Siempre debes desarrollar software para que sea seguro y ahorrarte el tiempo de tener que corregir las vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de enviar un código fiable».
Acción
Vis tenía dos objetivos principales en mente: proteger su software y aumentar la conciencia de seguridad en los equipos de desarrolladores de Thales. Era fundamental implementar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistía en crear una comunidad de seguridad con el tiempo, trabajar para vincular la codificación segura con las políticas corporativas y desarrollar un mandato para que la organización aprendiera código de forma segura. Al fomentar una cultura de comunidad que conectara a desarrolladores, evaluadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron defensores de la seguridad que sentían pasión por la seguridad y, como parte de su trabajo diario, ayudaron a dar a conocer las prácticas de codificación seguras en toda la organización. Vis evaluó a más de una docena de proveedores de formación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue una gran ventaja contar con un proveedor que cubriera todos los lenguajes y marcos de programación de su entorno, en lugar de una solución fragmentaria. Vis aprovechó el enorme volumen de contenido de Secure Code Warrior para crear cursos de formación y aprendizaje a su propio ritmo para que los desarrolladores del programa de seguridad pudieran acceder a:
«El top 10 de OWASP no consiste simplemente en diez cosas que debes saber. La profundidad y la diversidad de las vulnerabilidades que cubre OWASP, combinadas con la enorme cantidad de lenguajes de programación, pueden resultar abrumadoras. La amplia gama de desafíos y la cobertura que tenemos sobre estos temas fueron un factor clave a la hora de elegir SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de crear un programa continuo».
Vis y su equipo estructuraron cuatro niveles de implementación del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de verdad para las correcciones de vulnerabilidades.. En lugar de confiar en las búsquedas de Google que podrían ayudarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenido de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para corregir las vulnerabilidades del código. Según Vis:
«Los desarrolladores no deberían tener la libertad de decidir cómo corregir una vulnerabilidad y, potencialmente, introducir una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS mediante la integración con SCORM de SCW para asegurarnos de que los desarrolladores aprendieran a corregir la vulnerabilidad de la manera correcta. Esto también nos permitió garantizar que se reconociera a los desarrolladores que ofrecían software seguro. Les pedimos que alcancen un cierto nivel de codificación segura y podemos hacer un seguimiento de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, la empresa reconoce y valora el arduo trabajo que han realizado».
Resultados
Vis y su equipo publican un boletín mensual sobre código seguro en el que pueden reconocer a los mejores estudiantes de la empresa. Utilizan el SCW para analizar los puntajes de las evaluaciones, la participación en los torneos y los desafíos jugados a fin de amplificar ese logro. Esto también motiva a otros desarrolladores a aprender. Los KPI que estableció inicialmente se centraron en reducir el número total de vulnerabilidades en 2 años. Tras implementar el SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir a nivel del código fuente. Vis lo expresa de esta manera:
«Los KPI que presentamos a nuestra gerencia reflejan la selección bien informada que hicimos. Nos enorgullece contar con una formación en código seguro que brinda confianza empresarial a nuestros clientes. Se nos reconoce por nuestro completo programa de formación sobre código seguro y nuestros clientes y colegas nos respetan. Tener un programa como este añade mucho valor a su empresa».
Conclusiones clave
Vis reconoció que las personas, los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Al centrarse en la seguridad del software, en los conocimientos de los desarrolladores y en cumplir con las normas, es posible crear un programa de código seguro con un aprendizaje ágil que reduzca las vulnerabilidades del código fuente con el paso del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que buscan desarrollar habilidades de seguridad en los equipos de desarrolladores.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Antecedentes
Thales Group es una empresa multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, así como dispositivos y equipos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri es el director técnico de seguridad del software en Thales. Viswanath, o Vis, comenzó su carrera en el campo de la seguridad inicialmente como programador. Ahora es un líder sénior de seguridad en Thales, cuenta con más de 18 años de experiencia en el sector de la seguridad y cuenta con más de 30 certificaciones, entre las que se incluyen CISSP, PMP y GSE. Ha formado a más de 3000 profesionales del software en más de 18 países. Además, Vis ganó más de 10 monedas de desafío de SANS en torneos internacionales de ciberseguridad (como Netwars) y es miembro activo del Consejo Asesor del GIAC. Hablamos con Vis para saber cómo alineó a las personas, los procesos y la tecnología para desarrollar un exitoso programa de aprendizaje de códigos seguro en Thales.
Situación
Cuando Vis comenzó en Thales, entrenó a las unidades de negocio para que analizaran el origen de las vulnerabilidades descubiertas mediante pruebas de bolígrafo como una posible solución para reducir la acumulación de deudas tecnológicas. El equipo de seguridad de las aplicaciones recurrió a siete proveedores diferentes con los que trabajaban para reforzar su postura en materia de seguridad, desde herramientas IAST/DAST hasta herramientas para realizar pruebas con lápiz. Vis quería entender las tendencias del mercado y gestionar las amenazas de forma escalable para desarrollar estrategias de mitigación mediante una sólida integración entre los procesos y la tecnología. Esto implicó pasar de un enfoque basado exclusivamente en herramientas a una estrategia que tuviera un fuerte componente de aprendizaje. Se dio cuenta de que muchos de los desarrolladores no tenían experiencia en seguridad ni conocimientos de seguridad. Su enfoque inicial consistía en ofrecer formación presencial a los desarrolladores sobre temas como los 10 mejores puestos de OWASP, pero pronto se dio cuenta de que esta formación no iba a crecer con todos los viajes necesarios para impartir clases presenciales y la necesidad de llegar a miles de desarrolladores de todo el mundo. Vis señaló que:
«Siempre habrá un desequilibrio en la relación entre seguridad y desarrollo. Aunque tuviera una relación de seguridad de 1:1, respecto a los desarrolladores, no podría mantenerlos ocupados todo el tiempo. Para mantener a nuestros desarrolladores informados sobre los nuevos vectores de ataque, las mejores prácticas, los nuevos lenguajes y las vulnerabilidades descubiertas recientemente, necesitábamos promover el autoaprendizaje entre los desarrolladores y hacer que fueran capaces de hacerlo a su propio ritmo. Si necesitan ayuda, puedo ayudarlos, pero me di cuenta de que no podía ser la persona que les enseñara cómo solucionar todas las vulnerabilidades que encuentran».
Al principio, los directores de desarrollo se mostraron reacios a invertir tiempo en el aprendizaje seguro de código, ya que reconocieron que muchos desarrolladores comenzaban desde cero. Vis necesitaba gestionar la percepción de que el compromiso con el aprendizaje seguro del código podía interrumpir los ciclos de lanzamiento del software o ralentizar los sprints de misión crítica. Necesitaba encontrar una manera de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó una actitud en la que las personas eran lo primero para abordar las vulnerabilidades en su origen, «La gente suele decir que la seguridad le quita tiempo al desarrollo. Para mí, si uno desarrolla algo y es inseguro, para empezar fue una pérdida de tiempo. Siempre debes desarrollar software para que sea seguro y ahorrarte el tiempo de tener que corregir las vulnerabilidades que podrían haberse evitado fácilmente. Todos deberíamos tener el objetivo común de enviar un código fiable».
Acción
Vis tenía dos objetivos principales en mente: proteger su software y aumentar la conciencia de seguridad en los equipos de desarrolladores de Thales. Era fundamental implementar un programa que permitiera a los desarrolladores ser independientes y formarse a su propio ritmo. La estrategia de Vis consistía en crear una comunidad de seguridad con el tiempo, trabajar para vincular la codificación segura con las políticas corporativas y desarrollar un mandato para que la organización aprendiera código de forma segura. Al fomentar una cultura de comunidad que conectara a desarrolladores, evaluadores, arquitectos e ingenieros, vio un efecto multiplicador de la motivación. Surgieron defensores de la seguridad que sentían pasión por la seguridad y, como parte de su trabajo diario, ayudaron a dar a conocer las prácticas de codificación seguras en toda la organización. Vis evaluó a más de una docena de proveedores de formación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, fue una gran ventaja contar con un proveedor que cubriera todos los lenguajes y marcos de programación de su entorno, en lugar de una solución fragmentaria. Vis aprovechó el enorme volumen de contenido de Secure Code Warrior para crear cursos de formación y aprendizaje a su propio ritmo para que los desarrolladores del programa de seguridad pudieran acceder a:
«El top 10 de OWASP no consiste simplemente en diez cosas que debes saber. La profundidad y la diversidad de las vulnerabilidades que cubre OWASP, combinadas con la enorme cantidad de lenguajes de programación, pueden resultar abrumadoras. La amplia gama de desafíos y la cobertura que tenemos sobre estos temas fueron un factor clave a la hora de elegir SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente distinguen a SCW. Con ellos, no se trata de una formación de un solo uso, sino que hemos tenido la oportunidad de crear un programa continuo».
Vis y su equipo estructuraron cuatro niveles de implementación del programa de aprendizaje de código seguro, con diferentes hitos para cada función de ingeniería:
Es importante destacar que SCW se convirtió en la fuente de verdad para las correcciones de vulnerabilidades.. En lugar de confiar en las búsquedas de Google que podrían ayudarte a solucionar problemas, Vis publicó tanto las directrices del equipo de AppSec como las de la biblioteca de contenido de SCW para que los desarrolladores pudieran consultar una fuente fiable y auténtica para corregir las vulnerabilidades del código. Según Vis:
«Los desarrolladores no deberían tener la libertad de decidir cómo corregir una vulnerabilidad y, potencialmente, introducir una nueva vulnerabilidad en el proceso. Integramos los vídeos de SCW en nuestro LMS mediante la integración con SCORM de SCW para asegurarnos de que los desarrolladores aprendieran a corregir la vulnerabilidad de la manera correcta. Esto también nos permitió garantizar que se reconociera a los desarrolladores que ofrecían software seguro. Les pedimos que alcancen un cierto nivel de codificación segura y podemos hacer un seguimiento de las vulnerabilidades que resuelven y que no vuelven a introducir. De este modo, la empresa reconoce y valora el arduo trabajo que han realizado».
Resultados
Vis y su equipo publican un boletín mensual sobre código seguro en el que pueden reconocer a los mejores estudiantes de la empresa. Utilizan el SCW para analizar los puntajes de las evaluaciones, la participación en los torneos y los desafíos jugados a fin de amplificar ese logro. Esto también motiva a otros desarrolladores a aprender. Los KPI que estableció inicialmente se centraron en reducir el número total de vulnerabilidades en 2 años. Tras implementar el SCW, observó una línea de tendencia decreciente. Estas vulnerabilidades no se vuelven a introducir a nivel del código fuente. Vis lo expresa de esta manera:
«Los KPI que presentamos a nuestra gerencia reflejan la selección bien informada que hicimos. Nos enorgullece contar con una formación en código seguro que brinda confianza empresarial a nuestros clientes. Se nos reconoce por nuestro completo programa de formación sobre código seguro y nuestros clientes y colegas nos respetan. Tener un programa como este añade mucho valor a su empresa».
Conclusiones clave
Vis reconoció que las personas, los procesos y la tecnología tienen un papel que desempeñar en cualquier iniciativa de seguridad. Al centrarse en la seguridad del software, en los conocimientos de los desarrolladores y en cumplir con las normas, es posible crear un programa de código seguro con un aprendizaje ágil que reduzca las vulnerabilidades del código fuente con el paso del tiempo. Vis ofrece estas recomendaciones a los profesionales de su campo que buscan desarrollar habilidades de seguridad en los equipos de desarrolladores.
Table des matières
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
