¿Su organización está realmente preparada para DevSec? Póngalo a prueba.
Apenas estamos a la mitad de 2020 y, sin embargo, ya estamos en camino de establecer un sombrío récord de violaciones de datos, viendo un aumento del 273% en los datos robados en comparación con el primer semestre de 2019. Hoy en día, es más preciso preguntar cuántos datos no ha ha sido robada todavía. Con acontecimientos mundiales como la pandemia de la COVID-19, estos ataques no han hecho más que aumentar en frecuencia y potencia, y los objetivos son cada vez más vulnerables.
Esto es algo que todos sabemos desde hace tiempo: la seguridad ya no es opcional y debemos centrarnos en un ataque preventivo. Para que sea efectivo, todos en el SDLC deben ser conscientes de la seguridad, especialmente los desarrolladores. Esta es la parte «DevSec» de DevSecOps, una metodología de desarrollo de software ideal para el clima, pero muchas organizaciones no están totalmente preparadas para ejecutarla de manera eficaz.
Con su organización en mente, piense en estas preguntas en el contexto de su función. ¿Cómo le iría cuando se sometiera a la prueba de DevSec?
Autoevaluación de DevSec: ¿Está su jardín de SDLC preparado para que florezcan los ingenieros preocupados por la seguridad?
- ¿La seguridad es una prioridad en el proceso de desarrollo interno?
Es posible que una serie de factores de riesgo de ciberseguridad mantengan despierto al CISO promedio por la noche, pero la preocupante realidad es que, si bien muchas empresas dan más prioridad a la seguridad, es posible que su enfoque interno no sea lo suficientemente sólido como para mitigar posibles desastres (o, al menos, los enormes quebraderos de cabeza para el equipo de AppSec y el retraso en el envío del software).
DevSecOps puede ser el estado actual del nirvana de seguridad, pero pocas empresas trabajan con esta metodología. Si aún usas Agile (o incluso Waterfall), la seguridad sigue considerándose como un dominio de especialistas que están muy alejados del proceso y se activan al final del SDLC, apareciendo para arruinarle el día a un desarrollador con correcciones para su código. En un entorno como este, va a ser difícil impulsar una cultura de DevSec: a los desarrolladores les encanta la creación de funciones y la priorizan, y simplemente no habrán tenido suficiente experiencia práctica con la seguridad como para considerarla una vía de mejora de habilidades deseable. De hecho, sus puntos de contacto con ella pueden ser los de frustración y negatividad. Esto debe solucionarse rápidamente para inculcar un enfoque prioritario a todos los involucrados en el proceso de desarrollo de software.
- ¿Su organización sigue intentando ponerse al día en lo que respecta al modelado de amenazas?
Es una estadística aleccionadora que El 60% de las pymes cierra en un plazo de seis meses tras un ciberataque exitoso, y al igual que otros desastres, el impacto es mucho mayor sin una planificación adecuada.
El modelado de amenazas es un elemento crucial de las mejores prácticas de seguridad, ya que permite a los profesionales de AppSec evaluar el alcance total de la superficie de ataque y estructurar las defensas, las contramedidas y la planificación adecuadas. En las empresas que han adoptado DevSecOps por completo, la seguridad se habilita en las primeras etapas del proceso de CI/CD, de forma que no se ralentice la producción tanto como en el pasado. La seguridad, la codificación segura y la entrega continua forman parte del proceso, y los equipos de desarrollo cuentan con los recursos y la exposición necesarios para convertirse en los principales componentes del motor que produce código hermético.
- ¿Los gerentes de desarrollo dan prioridad a las mejores prácticas de seguridad?
Les guste o no, los gerentes de desarrollo son modelos a seguir para su equipo. Y no es solo por cuestiones relacionadas con la cultura y el ambiente, como llevar chanclas en la oficina o cómo «se las arreglan para ascender». Inevitablemente, sus prioridades laborales serán absorbidas por los miembros de su equipo, y si la seguridad no forma parte de los objetivos clave ni se planifica desde el punto de vista de la formación y el soporte, los ingenieros que están detrás de ellos se quedarán perdiendo la oportunidad y la empresa correrá más riesgos de lo que debería.
- ¿Se les da a los desarrolladores una razón para preocuparse por la seguridad?
Según mi experiencia, la forma más rápida de poner a alguien fuera de juego es decirle que tiene que hacer algo que es ajeno a su enfoque actual, sin decirle por qué.
Que te digan que «cambies» implica que el enfoque anterior era incorrecto, cuando en muchos casos se trata simplemente de una mejora que, con suerte, hará las cosas más fáciles y eficientes más adelante. Para abrazar realmente el movimiento DevSec, los desarrolladores deben tener una razón para preocuparse por la seguridad en primer lugar; al fin y al cabo, en la mayoría de las organizaciones, sigue siendo en gran medida «un problema de otra persona» (es decir, los magos de AppSec encerrados en otra habitación, muy, muy lejos).
DevSecOps simplemente no funciona si la seguridad no es una responsabilidad compartida. Los desarrolladores necesitan las herramientas, el soporte y la formación adecuados para hacer su parte... y esto requiere tiempo para implementarlo y perfeccionarlo como parte de un programa de seguridad general. El peor enfoque es el que abruma y aleja, lo que puede ocurrir cuando los desarrolladores tienen demasiadas prioridades que compiten entre sí y carecen de ayuda para gestionarlas sin volverse locos. Se trata de un cambio cultural y no ocurre de la noche a la mañana.
- ¿Confías en un puñado de unicornios mágicos de seguridad para asumir la tarea de muchos?
Los profesionales de la seguridad están en suministro muy escaso, y necesitamos mucho más de lo que está disponible actualmente. Eso es un hecho, pero cada vez hay más desarrolladores que adoptan funciones más centradas en la seguridad. Por lo general, pueden aparecer bajo títulos como «ingeniero de seguridad» o «ingeniero de DevOps» (poco a poco, veremos cómo este título se transforma en Ingeniero de DevSecOps, ¡con un poco de suerte!). Un ingeniero de DevOps con armas es capaz de desarrollar funciones para prácticamente cualquier aplicación y, al mismo tiempo, implementarlas utilizando una verdadera canalización de CI/CD. Lo hacen todo de principio a fin y, por lo general, vienen con una buena dosis de conciencia sobre la seguridad. En ese sentido, son algo mágicos y, por lo tanto, raros.
Sin embargo, algunas empresas cometen el error de contratar a estos ingenieros especializados, unirlos en un equipo y esperar que se enfrenten a todos los problemas de seguridad en cada etapa del proceso de desarrollo, y esto por sí solo es la panacea. Si sobrecargas a tus magos de DevSecOps, acabarás donde empezaste: publicando código inseguro sin los controles, contrapesos y precisión de seguridad para los que fueron contratados en primer lugar. Es de suma importancia que el equipo de desarrollo, en general, esté cualificado y formado en un entorno de seguridad positivo, de forma que esté preparado para compartir la carga de forma significativa.
Busca el cambio que quieres ver en tu organización.
Si implementas una formación sólida como parte de tu programa de seguridad, descubrirás algunas joyas ocultas en tu cohorte de desarrollo. Estas son las personas que, a pesar de las experiencias negativas que puedan haber tenido en su trabajo diario, sienten cierta pasión por la codificación segura y las mejores prácticas de seguridad. Estas personas son las principales candidatas para convertirse en campeones de la seguridad dentro del equipo; son un punto de contacto entre la seguridad y la ingeniería que da un gran ejemplo a los demás, mantiene la concienciación al respecto y ayuda con las iniciativas de participación. Sus habilidades interpersonales también son muy importantes para difundir el entusiasmo por la seguridad y para defender las necesidades de los desarrolladores ante la dirección y el equipo de seguridad.
El «¿qué hay para mí?» la conversación es un paso adelante positivo.
Incluso los humanos más nobles necesitan algo parecido a una «zanahoria» para sumergirse en un territorio desconocido, o una actividad que tal vez no tenga las curvas de aprendizaje más agradables.
Dar el salto de «dev» a «DevSec» supone un gran impulso para la carrera de un desarrollador. Los desarrolladores preocupados por la seguridad han trabajado arduamente para entender la seguridad, asumir la responsabilidad en las áreas que pueden controlar y operar con el entendimiento de que el único código de calidad es el código seguro. Por lo general, los desarrolladores quieren mejorar, abordar nuevos problemas y crear funciones envidiables que les ayuden a destacar entre sus pares. Bríndeles una vía para alcanzar un nivel superior de desarrollo de software y es una situación en la que todos salen ganando.
Nunca es demasiado tarde para crear el equipo de DevSec de tus sueños.
Si dirige desarrolladores, dirige un equipo de concienciación sobre AppSec o es una de las muchas mentes que trabajan arduamente para diseñar estrategias de programas de seguridad, ahora es el momento de ir mejor que «girar» a la izquierda. Con la formación, las herramientas y el entorno adecuados, puede crear una incubadora de seguridad para desarrolladores que generará grandes beneficios para todas las partes. Si en esta lista de verificación se destacan algunas áreas que pueden mejorarse, es una gran oportunidad para preparar a su organización para contar con un departamento de ingeniería dirigido por DevSec que pueda reducir los riesgos desde el principio del SDLC.
Con su organización en mente, piense en estas preguntas en el contexto de su función. ¿Cómo le iría cuando se sometiera a la prueba de DevSec?
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Apenas estamos a la mitad de 2020 y, sin embargo, ya estamos en camino de establecer un sombrío récord de violaciones de datos, viendo un aumento del 273% en los datos robados en comparación con el primer semestre de 2019. Hoy en día, es más preciso preguntar cuántos datos no ha ha sido robada todavía. Con acontecimientos mundiales como la pandemia de la COVID-19, estos ataques no han hecho más que aumentar en frecuencia y potencia, y los objetivos son cada vez más vulnerables.
Esto es algo que todos sabemos desde hace tiempo: la seguridad ya no es opcional y debemos centrarnos en un ataque preventivo. Para que sea efectivo, todos en el SDLC deben ser conscientes de la seguridad, especialmente los desarrolladores. Esta es la parte «DevSec» de DevSecOps, una metodología de desarrollo de software ideal para el clima, pero muchas organizaciones no están totalmente preparadas para ejecutarla de manera eficaz.
Con su organización en mente, piense en estas preguntas en el contexto de su función. ¿Cómo le iría cuando se sometiera a la prueba de DevSec?
Autoevaluación de DevSec: ¿Está su jardín de SDLC preparado para que florezcan los ingenieros preocupados por la seguridad?
- ¿La seguridad es una prioridad en el proceso de desarrollo interno?
Es posible que una serie de factores de riesgo de ciberseguridad mantengan despierto al CISO promedio por la noche, pero la preocupante realidad es que, si bien muchas empresas dan más prioridad a la seguridad, es posible que su enfoque interno no sea lo suficientemente sólido como para mitigar posibles desastres (o, al menos, los enormes quebraderos de cabeza para el equipo de AppSec y el retraso en el envío del software).
DevSecOps puede ser el estado actual del nirvana de seguridad, pero pocas empresas trabajan con esta metodología. Si aún usas Agile (o incluso Waterfall), la seguridad sigue considerándose como un dominio de especialistas que están muy alejados del proceso y se activan al final del SDLC, apareciendo para arruinarle el día a un desarrollador con correcciones para su código. En un entorno como este, va a ser difícil impulsar una cultura de DevSec: a los desarrolladores les encanta la creación de funciones y la priorizan, y simplemente no habrán tenido suficiente experiencia práctica con la seguridad como para considerarla una vía de mejora de habilidades deseable. De hecho, sus puntos de contacto con ella pueden ser los de frustración y negatividad. Esto debe solucionarse rápidamente para inculcar un enfoque prioritario a todos los involucrados en el proceso de desarrollo de software.
- ¿Su organización sigue intentando ponerse al día en lo que respecta al modelado de amenazas?
Es una estadística aleccionadora que El 60% de las pymes cierra en un plazo de seis meses tras un ciberataque exitoso, y al igual que otros desastres, el impacto es mucho mayor sin una planificación adecuada.
El modelado de amenazas es un elemento crucial de las mejores prácticas de seguridad, ya que permite a los profesionales de AppSec evaluar el alcance total de la superficie de ataque y estructurar las defensas, las contramedidas y la planificación adecuadas. En las empresas que han adoptado DevSecOps por completo, la seguridad se habilita en las primeras etapas del proceso de CI/CD, de forma que no se ralentice la producción tanto como en el pasado. La seguridad, la codificación segura y la entrega continua forman parte del proceso, y los equipos de desarrollo cuentan con los recursos y la exposición necesarios para convertirse en los principales componentes del motor que produce código hermético.
- ¿Los gerentes de desarrollo dan prioridad a las mejores prácticas de seguridad?
Les guste o no, los gerentes de desarrollo son modelos a seguir para su equipo. Y no es solo por cuestiones relacionadas con la cultura y el ambiente, como llevar chanclas en la oficina o cómo «se las arreglan para ascender». Inevitablemente, sus prioridades laborales serán absorbidas por los miembros de su equipo, y si la seguridad no forma parte de los objetivos clave ni se planifica desde el punto de vista de la formación y el soporte, los ingenieros que están detrás de ellos se quedarán perdiendo la oportunidad y la empresa correrá más riesgos de lo que debería.
- ¿Se les da a los desarrolladores una razón para preocuparse por la seguridad?
Según mi experiencia, la forma más rápida de poner a alguien fuera de juego es decirle que tiene que hacer algo que es ajeno a su enfoque actual, sin decirle por qué.
Que te digan que «cambies» implica que el enfoque anterior era incorrecto, cuando en muchos casos se trata simplemente de una mejora que, con suerte, hará las cosas más fáciles y eficientes más adelante. Para abrazar realmente el movimiento DevSec, los desarrolladores deben tener una razón para preocuparse por la seguridad en primer lugar; al fin y al cabo, en la mayoría de las organizaciones, sigue siendo en gran medida «un problema de otra persona» (es decir, los magos de AppSec encerrados en otra habitación, muy, muy lejos).
DevSecOps simplemente no funciona si la seguridad no es una responsabilidad compartida. Los desarrolladores necesitan las herramientas, el soporte y la formación adecuados para hacer su parte... y esto requiere tiempo para implementarlo y perfeccionarlo como parte de un programa de seguridad general. El peor enfoque es el que abruma y aleja, lo que puede ocurrir cuando los desarrolladores tienen demasiadas prioridades que compiten entre sí y carecen de ayuda para gestionarlas sin volverse locos. Se trata de un cambio cultural y no ocurre de la noche a la mañana.
- ¿Confías en un puñado de unicornios mágicos de seguridad para asumir la tarea de muchos?
Los profesionales de la seguridad están en suministro muy escaso, y necesitamos mucho más de lo que está disponible actualmente. Eso es un hecho, pero cada vez hay más desarrolladores que adoptan funciones más centradas en la seguridad. Por lo general, pueden aparecer bajo títulos como «ingeniero de seguridad» o «ingeniero de DevOps» (poco a poco, veremos cómo este título se transforma en Ingeniero de DevSecOps, ¡con un poco de suerte!). Un ingeniero de DevOps con armas es capaz de desarrollar funciones para prácticamente cualquier aplicación y, al mismo tiempo, implementarlas utilizando una verdadera canalización de CI/CD. Lo hacen todo de principio a fin y, por lo general, vienen con una buena dosis de conciencia sobre la seguridad. En ese sentido, son algo mágicos y, por lo tanto, raros.
Sin embargo, algunas empresas cometen el error de contratar a estos ingenieros especializados, unirlos en un equipo y esperar que se enfrenten a todos los problemas de seguridad en cada etapa del proceso de desarrollo, y esto por sí solo es la panacea. Si sobrecargas a tus magos de DevSecOps, acabarás donde empezaste: publicando código inseguro sin los controles, contrapesos y precisión de seguridad para los que fueron contratados en primer lugar. Es de suma importancia que el equipo de desarrollo, en general, esté cualificado y formado en un entorno de seguridad positivo, de forma que esté preparado para compartir la carga de forma significativa.
Busca el cambio que quieres ver en tu organización.
Si implementas una formación sólida como parte de tu programa de seguridad, descubrirás algunas joyas ocultas en tu cohorte de desarrollo. Estas son las personas que, a pesar de las experiencias negativas que puedan haber tenido en su trabajo diario, sienten cierta pasión por la codificación segura y las mejores prácticas de seguridad. Estas personas son las principales candidatas para convertirse en campeones de la seguridad dentro del equipo; son un punto de contacto entre la seguridad y la ingeniería que da un gran ejemplo a los demás, mantiene la concienciación al respecto y ayuda con las iniciativas de participación. Sus habilidades interpersonales también son muy importantes para difundir el entusiasmo por la seguridad y para defender las necesidades de los desarrolladores ante la dirección y el equipo de seguridad.
El «¿qué hay para mí?» la conversación es un paso adelante positivo.
Incluso los humanos más nobles necesitan algo parecido a una «zanahoria» para sumergirse en un territorio desconocido, o una actividad que tal vez no tenga las curvas de aprendizaje más agradables.
Dar el salto de «dev» a «DevSec» supone un gran impulso para la carrera de un desarrollador. Los desarrolladores preocupados por la seguridad han trabajado arduamente para entender la seguridad, asumir la responsabilidad en las áreas que pueden controlar y operar con el entendimiento de que el único código de calidad es el código seguro. Por lo general, los desarrolladores quieren mejorar, abordar nuevos problemas y crear funciones envidiables que les ayuden a destacar entre sus pares. Bríndeles una vía para alcanzar un nivel superior de desarrollo de software y es una situación en la que todos salen ganando.
Nunca es demasiado tarde para crear el equipo de DevSec de tus sueños.
Si dirige desarrolladores, dirige un equipo de concienciación sobre AppSec o es una de las muchas mentes que trabajan arduamente para diseñar estrategias de programas de seguridad, ahora es el momento de ir mejor que «girar» a la izquierda. Con la formación, las herramientas y el entorno adecuados, puede crear una incubadora de seguridad para desarrolladores que generará grandes beneficios para todas las partes. Si en esta lista de verificación se destacan algunas áreas que pueden mejorarse, es una gran oportunidad para preparar a su organización para contar con un departamento de ingeniería dirigido por DevSec que pueda reducir los riesgos desde el principio del SDLC.
Apenas estamos a la mitad de 2020 y, sin embargo, ya estamos en camino de establecer un sombrío récord de violaciones de datos, viendo un aumento del 273% en los datos robados en comparación con el primer semestre de 2019. Hoy en día, es más preciso preguntar cuántos datos no ha ha sido robada todavía. Con acontecimientos mundiales como la pandemia de la COVID-19, estos ataques no han hecho más que aumentar en frecuencia y potencia, y los objetivos son cada vez más vulnerables.
Esto es algo que todos sabemos desde hace tiempo: la seguridad ya no es opcional y debemos centrarnos en un ataque preventivo. Para que sea efectivo, todos en el SDLC deben ser conscientes de la seguridad, especialmente los desarrolladores. Esta es la parte «DevSec» de DevSecOps, una metodología de desarrollo de software ideal para el clima, pero muchas organizaciones no están totalmente preparadas para ejecutarla de manera eficaz.
Con su organización en mente, piense en estas preguntas en el contexto de su función. ¿Cómo le iría cuando se sometiera a la prueba de DevSec?
Autoevaluación de DevSec: ¿Está su jardín de SDLC preparado para que florezcan los ingenieros preocupados por la seguridad?
- ¿La seguridad es una prioridad en el proceso de desarrollo interno?
Es posible que una serie de factores de riesgo de ciberseguridad mantengan despierto al CISO promedio por la noche, pero la preocupante realidad es que, si bien muchas empresas dan más prioridad a la seguridad, es posible que su enfoque interno no sea lo suficientemente sólido como para mitigar posibles desastres (o, al menos, los enormes quebraderos de cabeza para el equipo de AppSec y el retraso en el envío del software).
DevSecOps puede ser el estado actual del nirvana de seguridad, pero pocas empresas trabajan con esta metodología. Si aún usas Agile (o incluso Waterfall), la seguridad sigue considerándose como un dominio de especialistas que están muy alejados del proceso y se activan al final del SDLC, apareciendo para arruinarle el día a un desarrollador con correcciones para su código. En un entorno como este, va a ser difícil impulsar una cultura de DevSec: a los desarrolladores les encanta la creación de funciones y la priorizan, y simplemente no habrán tenido suficiente experiencia práctica con la seguridad como para considerarla una vía de mejora de habilidades deseable. De hecho, sus puntos de contacto con ella pueden ser los de frustración y negatividad. Esto debe solucionarse rápidamente para inculcar un enfoque prioritario a todos los involucrados en el proceso de desarrollo de software.
- ¿Su organización sigue intentando ponerse al día en lo que respecta al modelado de amenazas?
Es una estadística aleccionadora que El 60% de las pymes cierra en un plazo de seis meses tras un ciberataque exitoso, y al igual que otros desastres, el impacto es mucho mayor sin una planificación adecuada.
El modelado de amenazas es un elemento crucial de las mejores prácticas de seguridad, ya que permite a los profesionales de AppSec evaluar el alcance total de la superficie de ataque y estructurar las defensas, las contramedidas y la planificación adecuadas. En las empresas que han adoptado DevSecOps por completo, la seguridad se habilita en las primeras etapas del proceso de CI/CD, de forma que no se ralentice la producción tanto como en el pasado. La seguridad, la codificación segura y la entrega continua forman parte del proceso, y los equipos de desarrollo cuentan con los recursos y la exposición necesarios para convertirse en los principales componentes del motor que produce código hermético.
- ¿Los gerentes de desarrollo dan prioridad a las mejores prácticas de seguridad?
Les guste o no, los gerentes de desarrollo son modelos a seguir para su equipo. Y no es solo por cuestiones relacionadas con la cultura y el ambiente, como llevar chanclas en la oficina o cómo «se las arreglan para ascender». Inevitablemente, sus prioridades laborales serán absorbidas por los miembros de su equipo, y si la seguridad no forma parte de los objetivos clave ni se planifica desde el punto de vista de la formación y el soporte, los ingenieros que están detrás de ellos se quedarán perdiendo la oportunidad y la empresa correrá más riesgos de lo que debería.
- ¿Se les da a los desarrolladores una razón para preocuparse por la seguridad?
Según mi experiencia, la forma más rápida de poner a alguien fuera de juego es decirle que tiene que hacer algo que es ajeno a su enfoque actual, sin decirle por qué.
Que te digan que «cambies» implica que el enfoque anterior era incorrecto, cuando en muchos casos se trata simplemente de una mejora que, con suerte, hará las cosas más fáciles y eficientes más adelante. Para abrazar realmente el movimiento DevSec, los desarrolladores deben tener una razón para preocuparse por la seguridad en primer lugar; al fin y al cabo, en la mayoría de las organizaciones, sigue siendo en gran medida «un problema de otra persona» (es decir, los magos de AppSec encerrados en otra habitación, muy, muy lejos).
DevSecOps simplemente no funciona si la seguridad no es una responsabilidad compartida. Los desarrolladores necesitan las herramientas, el soporte y la formación adecuados para hacer su parte... y esto requiere tiempo para implementarlo y perfeccionarlo como parte de un programa de seguridad general. El peor enfoque es el que abruma y aleja, lo que puede ocurrir cuando los desarrolladores tienen demasiadas prioridades que compiten entre sí y carecen de ayuda para gestionarlas sin volverse locos. Se trata de un cambio cultural y no ocurre de la noche a la mañana.
- ¿Confías en un puñado de unicornios mágicos de seguridad para asumir la tarea de muchos?
Los profesionales de la seguridad están en suministro muy escaso, y necesitamos mucho más de lo que está disponible actualmente. Eso es un hecho, pero cada vez hay más desarrolladores que adoptan funciones más centradas en la seguridad. Por lo general, pueden aparecer bajo títulos como «ingeniero de seguridad» o «ingeniero de DevOps» (poco a poco, veremos cómo este título se transforma en Ingeniero de DevSecOps, ¡con un poco de suerte!). Un ingeniero de DevOps con armas es capaz de desarrollar funciones para prácticamente cualquier aplicación y, al mismo tiempo, implementarlas utilizando una verdadera canalización de CI/CD. Lo hacen todo de principio a fin y, por lo general, vienen con una buena dosis de conciencia sobre la seguridad. En ese sentido, son algo mágicos y, por lo tanto, raros.
Sin embargo, algunas empresas cometen el error de contratar a estos ingenieros especializados, unirlos en un equipo y esperar que se enfrenten a todos los problemas de seguridad en cada etapa del proceso de desarrollo, y esto por sí solo es la panacea. Si sobrecargas a tus magos de DevSecOps, acabarás donde empezaste: publicando código inseguro sin los controles, contrapesos y precisión de seguridad para los que fueron contratados en primer lugar. Es de suma importancia que el equipo de desarrollo, en general, esté cualificado y formado en un entorno de seguridad positivo, de forma que esté preparado para compartir la carga de forma significativa.
Busca el cambio que quieres ver en tu organización.
Si implementas una formación sólida como parte de tu programa de seguridad, descubrirás algunas joyas ocultas en tu cohorte de desarrollo. Estas son las personas que, a pesar de las experiencias negativas que puedan haber tenido en su trabajo diario, sienten cierta pasión por la codificación segura y las mejores prácticas de seguridad. Estas personas son las principales candidatas para convertirse en campeones de la seguridad dentro del equipo; son un punto de contacto entre la seguridad y la ingeniería que da un gran ejemplo a los demás, mantiene la concienciación al respecto y ayuda con las iniciativas de participación. Sus habilidades interpersonales también son muy importantes para difundir el entusiasmo por la seguridad y para defender las necesidades de los desarrolladores ante la dirección y el equipo de seguridad.
El «¿qué hay para mí?» la conversación es un paso adelante positivo.
Incluso los humanos más nobles necesitan algo parecido a una «zanahoria» para sumergirse en un territorio desconocido, o una actividad que tal vez no tenga las curvas de aprendizaje más agradables.
Dar el salto de «dev» a «DevSec» supone un gran impulso para la carrera de un desarrollador. Los desarrolladores preocupados por la seguridad han trabajado arduamente para entender la seguridad, asumir la responsabilidad en las áreas que pueden controlar y operar con el entendimiento de que el único código de calidad es el código seguro. Por lo general, los desarrolladores quieren mejorar, abordar nuevos problemas y crear funciones envidiables que les ayuden a destacar entre sus pares. Bríndeles una vía para alcanzar un nivel superior de desarrollo de software y es una situación en la que todos salen ganando.
Nunca es demasiado tarde para crear el equipo de DevSec de tus sueños.
Si dirige desarrolladores, dirige un equipo de concienciación sobre AppSec o es una de las muchas mentes que trabajan arduamente para diseñar estrategias de programas de seguridad, ahora es el momento de ir mejor que «girar» a la izquierda. Con la formación, las herramientas y el entorno adecuados, puede crear una incubadora de seguridad para desarrolladores que generará grandes beneficios para todas las partes. Si en esta lista de verificación se destacan algunas áreas que pueden mejorarse, es una gran oportunidad para preparar a su organización para contar con un departamento de ingeniería dirigido por DevSec que pueda reducir los riesgos desde el principio del SDLC.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Apenas estamos a la mitad de 2020 y, sin embargo, ya estamos en camino de establecer un sombrío récord de violaciones de datos, viendo un aumento del 273% en los datos robados en comparación con el primer semestre de 2019. Hoy en día, es más preciso preguntar cuántos datos no ha ha sido robada todavía. Con acontecimientos mundiales como la pandemia de la COVID-19, estos ataques no han hecho más que aumentar en frecuencia y potencia, y los objetivos son cada vez más vulnerables.
Esto es algo que todos sabemos desde hace tiempo: la seguridad ya no es opcional y debemos centrarnos en un ataque preventivo. Para que sea efectivo, todos en el SDLC deben ser conscientes de la seguridad, especialmente los desarrolladores. Esta es la parte «DevSec» de DevSecOps, una metodología de desarrollo de software ideal para el clima, pero muchas organizaciones no están totalmente preparadas para ejecutarla de manera eficaz.
Con su organización en mente, piense en estas preguntas en el contexto de su función. ¿Cómo le iría cuando se sometiera a la prueba de DevSec?
Autoevaluación de DevSec: ¿Está su jardín de SDLC preparado para que florezcan los ingenieros preocupados por la seguridad?
- ¿La seguridad es una prioridad en el proceso de desarrollo interno?
Es posible que una serie de factores de riesgo de ciberseguridad mantengan despierto al CISO promedio por la noche, pero la preocupante realidad es que, si bien muchas empresas dan más prioridad a la seguridad, es posible que su enfoque interno no sea lo suficientemente sólido como para mitigar posibles desastres (o, al menos, los enormes quebraderos de cabeza para el equipo de AppSec y el retraso en el envío del software).
DevSecOps puede ser el estado actual del nirvana de seguridad, pero pocas empresas trabajan con esta metodología. Si aún usas Agile (o incluso Waterfall), la seguridad sigue considerándose como un dominio de especialistas que están muy alejados del proceso y se activan al final del SDLC, apareciendo para arruinarle el día a un desarrollador con correcciones para su código. En un entorno como este, va a ser difícil impulsar una cultura de DevSec: a los desarrolladores les encanta la creación de funciones y la priorizan, y simplemente no habrán tenido suficiente experiencia práctica con la seguridad como para considerarla una vía de mejora de habilidades deseable. De hecho, sus puntos de contacto con ella pueden ser los de frustración y negatividad. Esto debe solucionarse rápidamente para inculcar un enfoque prioritario a todos los involucrados en el proceso de desarrollo de software.
- ¿Su organización sigue intentando ponerse al día en lo que respecta al modelado de amenazas?
Es una estadística aleccionadora que El 60% de las pymes cierra en un plazo de seis meses tras un ciberataque exitoso, y al igual que otros desastres, el impacto es mucho mayor sin una planificación adecuada.
El modelado de amenazas es un elemento crucial de las mejores prácticas de seguridad, ya que permite a los profesionales de AppSec evaluar el alcance total de la superficie de ataque y estructurar las defensas, las contramedidas y la planificación adecuadas. En las empresas que han adoptado DevSecOps por completo, la seguridad se habilita en las primeras etapas del proceso de CI/CD, de forma que no se ralentice la producción tanto como en el pasado. La seguridad, la codificación segura y la entrega continua forman parte del proceso, y los equipos de desarrollo cuentan con los recursos y la exposición necesarios para convertirse en los principales componentes del motor que produce código hermético.
- ¿Los gerentes de desarrollo dan prioridad a las mejores prácticas de seguridad?
Les guste o no, los gerentes de desarrollo son modelos a seguir para su equipo. Y no es solo por cuestiones relacionadas con la cultura y el ambiente, como llevar chanclas en la oficina o cómo «se las arreglan para ascender». Inevitablemente, sus prioridades laborales serán absorbidas por los miembros de su equipo, y si la seguridad no forma parte de los objetivos clave ni se planifica desde el punto de vista de la formación y el soporte, los ingenieros que están detrás de ellos se quedarán perdiendo la oportunidad y la empresa correrá más riesgos de lo que debería.
- ¿Se les da a los desarrolladores una razón para preocuparse por la seguridad?
Según mi experiencia, la forma más rápida de poner a alguien fuera de juego es decirle que tiene que hacer algo que es ajeno a su enfoque actual, sin decirle por qué.
Que te digan que «cambies» implica que el enfoque anterior era incorrecto, cuando en muchos casos se trata simplemente de una mejora que, con suerte, hará las cosas más fáciles y eficientes más adelante. Para abrazar realmente el movimiento DevSec, los desarrolladores deben tener una razón para preocuparse por la seguridad en primer lugar; al fin y al cabo, en la mayoría de las organizaciones, sigue siendo en gran medida «un problema de otra persona» (es decir, los magos de AppSec encerrados en otra habitación, muy, muy lejos).
DevSecOps simplemente no funciona si la seguridad no es una responsabilidad compartida. Los desarrolladores necesitan las herramientas, el soporte y la formación adecuados para hacer su parte... y esto requiere tiempo para implementarlo y perfeccionarlo como parte de un programa de seguridad general. El peor enfoque es el que abruma y aleja, lo que puede ocurrir cuando los desarrolladores tienen demasiadas prioridades que compiten entre sí y carecen de ayuda para gestionarlas sin volverse locos. Se trata de un cambio cultural y no ocurre de la noche a la mañana.
- ¿Confías en un puñado de unicornios mágicos de seguridad para asumir la tarea de muchos?
Los profesionales de la seguridad están en suministro muy escaso, y necesitamos mucho más de lo que está disponible actualmente. Eso es un hecho, pero cada vez hay más desarrolladores que adoptan funciones más centradas en la seguridad. Por lo general, pueden aparecer bajo títulos como «ingeniero de seguridad» o «ingeniero de DevOps» (poco a poco, veremos cómo este título se transforma en Ingeniero de DevSecOps, ¡con un poco de suerte!). Un ingeniero de DevOps con armas es capaz de desarrollar funciones para prácticamente cualquier aplicación y, al mismo tiempo, implementarlas utilizando una verdadera canalización de CI/CD. Lo hacen todo de principio a fin y, por lo general, vienen con una buena dosis de conciencia sobre la seguridad. En ese sentido, son algo mágicos y, por lo tanto, raros.
Sin embargo, algunas empresas cometen el error de contratar a estos ingenieros especializados, unirlos en un equipo y esperar que se enfrenten a todos los problemas de seguridad en cada etapa del proceso de desarrollo, y esto por sí solo es la panacea. Si sobrecargas a tus magos de DevSecOps, acabarás donde empezaste: publicando código inseguro sin los controles, contrapesos y precisión de seguridad para los que fueron contratados en primer lugar. Es de suma importancia que el equipo de desarrollo, en general, esté cualificado y formado en un entorno de seguridad positivo, de forma que esté preparado para compartir la carga de forma significativa.
Busca el cambio que quieres ver en tu organización.
Si implementas una formación sólida como parte de tu programa de seguridad, descubrirás algunas joyas ocultas en tu cohorte de desarrollo. Estas son las personas que, a pesar de las experiencias negativas que puedan haber tenido en su trabajo diario, sienten cierta pasión por la codificación segura y las mejores prácticas de seguridad. Estas personas son las principales candidatas para convertirse en campeones de la seguridad dentro del equipo; son un punto de contacto entre la seguridad y la ingeniería que da un gran ejemplo a los demás, mantiene la concienciación al respecto y ayuda con las iniciativas de participación. Sus habilidades interpersonales también son muy importantes para difundir el entusiasmo por la seguridad y para defender las necesidades de los desarrolladores ante la dirección y el equipo de seguridad.
El «¿qué hay para mí?» la conversación es un paso adelante positivo.
Incluso los humanos más nobles necesitan algo parecido a una «zanahoria» para sumergirse en un territorio desconocido, o una actividad que tal vez no tenga las curvas de aprendizaje más agradables.
Dar el salto de «dev» a «DevSec» supone un gran impulso para la carrera de un desarrollador. Los desarrolladores preocupados por la seguridad han trabajado arduamente para entender la seguridad, asumir la responsabilidad en las áreas que pueden controlar y operar con el entendimiento de que el único código de calidad es el código seguro. Por lo general, los desarrolladores quieren mejorar, abordar nuevos problemas y crear funciones envidiables que les ayuden a destacar entre sus pares. Bríndeles una vía para alcanzar un nivel superior de desarrollo de software y es una situación en la que todos salen ganando.
Nunca es demasiado tarde para crear el equipo de DevSec de tus sueños.
Si dirige desarrolladores, dirige un equipo de concienciación sobre AppSec o es una de las muchas mentes que trabajan arduamente para diseñar estrategias de programas de seguridad, ahora es el momento de ir mejor que «girar» a la izquierda. Con la formación, las herramientas y el entorno adecuados, puede crear una incubadora de seguridad para desarrolladores que generará grandes beneficios para todas las partes. Si en esta lista de verificación se destacan algunas áreas que pueden mejorarse, es una gran oportunidad para preparar a su organización para contar con un departamento de ingeniería dirigido por DevSec que pueda reducir los riesgos desde el principio del SDLC.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
