Más infracciones, más problemas: el coste de la confianza en las aplicaciones de terceros
No es ningún secreto que nuestra misión principal es hacer que el software y su desarrollo sean seguros; diseñados teniendo en cuenta la seguridad desde el principio de la producción. Nuestra visión establece un nuevo punto de referencia para la creación de software, en el que los desarrolladores cuentan con las habilidades y los conocimientos necesarios para detectar código vulnerable durante el proceso de escritura y corríjalo incluso antes de que se convierta en un problema.
Por lo tanto, teniendo esto en cuenta, puede pensar que estamos encantados de enterarnos de las nuevas violaciones de datos, ciberataques y códigos explotados que afectan a empresas de todo el mundo; esos incidentes sin duda destacan la necesidad de nuestro servicio en varios mercados verticales. La verdad es que es bastante frustrante. Está claro que, como industria, cometemos los mismos errores una y otra vez, porque la mayor parte de la educación sobre seguridad simplemente no es lo suficientemente sólida como para minimizar el riesgo y detener estas infracciones.
La última víctima de violación de datos es Ticketmaster. Si estuvieras entre los miles de clientes afectados, habrías recibido un correo electrónico notificándote el incidente y cambiándote la contraseña. Nadie espera que se violen sus datos personales simplemente por comprar entradas para un concierto o un evento deportivo, pero aquí estamos.
Es una situación terrible para todos, perjudicial para la reputación de Ticketmaster y para una pésima experiencia de cliente. Sin embargo, hay un problema: no fue del todo culpa de ellos.
Verá, la empresa utilizó los servicios de una aplicación de atención al cliente de terceros de Inbenta Technologies. Ticketmaster UK descubrió que el producto contenía código malicioso, lo que ponía en peligro el cinco por ciento de los datos de sus clientes de todo el mundo.
¿Y cómo se las arreglaron los piratas informáticos para explotar este sistema? ¿Ellos manipuló una sola línea de código JavaScript, personalizado por Inbenta Technologies para los requisitos de Ticketmaster. Según Inbenta, el código se usó en una página para la que no estaba diseñada y, de haberlo sabido, lo habrían identificado como una vulnerabilidad de seguridad.
La vulnerabilidad en sí misma es esencialmente un problema de seguridad de la biblioteca de carga/almacenamiento de archivos, en el que una sola violación puede afectar a todos los sitios en los que se carga el mismo código. Para empezar, el código se puede modificar para recopilar y redirigir datos personales a los atacantes. Se trata de un ataque sencillo con un potencial de daño de gran alcance, y es algo contra lo que estamos trabajando para defendernos con un variedad de ejercicios de entrenamiento en la plataforma para desarrolladores.
Por supuesto, es prácticamente imposible administrar una empresa sin depender de algunas aplicaciones de terceros. Sin embargo, no puedes controlar la forma en que crean su software y, básicamente, no tienes ninguna visibilidad sobre el nivel de seguridad de su código. Se convierte en un ejercicio de confianza. Si su socio externo es laxo en sus prácticas de codificación segura, es posible que esté abriendo la puerta a una violación vuestroempresa.
Entonces, ¿cuál es la solución? En pocas palabras: todos debemos hacerlo mejor. Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.
Es más fácil de lo que piensa dotar a su equipo de desarrollo de las herramientas y los conocimientos adecuados para adoptar la seguridad y detener el código incorrecto. Nos complace ver que muchas de las empresas financieras, de telecomunicaciones, minoristas y tecnológicas más grandes y conocidas del mundo han adoptado este nuevo enfoque, pero las empresas de la lista Fortune 100 no deberían dedicarse exclusivamente a la educación en materia de seguridad. Todas las empresas que cuentan con desarrolladores entre su personal necesitan impartir formación para ayudar a los equipos a programar de forma segura.
El documento técnico publicado recientemente que escribí junto con nuestro director de tecnología, Matias Madou, muestra los beneficios de crear una cultura de seguridad en su organización. Detallamos por qué es la clave para impulsar la innovación, mantener la agilidad y reducir el impacto financiero del código inseguro.
Encontrará consejos que incluyen:
* Cómo hacer que la formación en seguridad sea relevante y atractiva para los desarrolladores
* Cómo enseñar a los desarrolladores a identificar y solucionar sus propios problemas
* Cómo ayudar a los desarrolladores a crear su propio código de forma segura.
Te invito a descarga este recurso y úsala para defender la seguridad en tu organización, desarrollar las habilidades de tu equipo y estar a la vanguardia del establecimiento de un estándar de código más alto.
Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.
Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
No es ningún secreto que nuestra misión principal es hacer que el software y su desarrollo sean seguros; diseñados teniendo en cuenta la seguridad desde el principio de la producción. Nuestra visión establece un nuevo punto de referencia para la creación de software, en el que los desarrolladores cuentan con las habilidades y los conocimientos necesarios para detectar código vulnerable durante el proceso de escritura y corríjalo incluso antes de que se convierta en un problema.
Por lo tanto, teniendo esto en cuenta, puede pensar que estamos encantados de enterarnos de las nuevas violaciones de datos, ciberataques y códigos explotados que afectan a empresas de todo el mundo; esos incidentes sin duda destacan la necesidad de nuestro servicio en varios mercados verticales. La verdad es que es bastante frustrante. Está claro que, como industria, cometemos los mismos errores una y otra vez, porque la mayor parte de la educación sobre seguridad simplemente no es lo suficientemente sólida como para minimizar el riesgo y detener estas infracciones.
La última víctima de violación de datos es Ticketmaster. Si estuvieras entre los miles de clientes afectados, habrías recibido un correo electrónico notificándote el incidente y cambiándote la contraseña. Nadie espera que se violen sus datos personales simplemente por comprar entradas para un concierto o un evento deportivo, pero aquí estamos.
Es una situación terrible para todos, perjudicial para la reputación de Ticketmaster y para una pésima experiencia de cliente. Sin embargo, hay un problema: no fue del todo culpa de ellos.
Verá, la empresa utilizó los servicios de una aplicación de atención al cliente de terceros de Inbenta Technologies. Ticketmaster UK descubrió que el producto contenía código malicioso, lo que ponía en peligro el cinco por ciento de los datos de sus clientes de todo el mundo.
¿Y cómo se las arreglaron los piratas informáticos para explotar este sistema? ¿Ellos manipuló una sola línea de código JavaScript, personalizado por Inbenta Technologies para los requisitos de Ticketmaster. Según Inbenta, el código se usó en una página para la que no estaba diseñada y, de haberlo sabido, lo habrían identificado como una vulnerabilidad de seguridad.
La vulnerabilidad en sí misma es esencialmente un problema de seguridad de la biblioteca de carga/almacenamiento de archivos, en el que una sola violación puede afectar a todos los sitios en los que se carga el mismo código. Para empezar, el código se puede modificar para recopilar y redirigir datos personales a los atacantes. Se trata de un ataque sencillo con un potencial de daño de gran alcance, y es algo contra lo que estamos trabajando para defendernos con un variedad de ejercicios de entrenamiento en la plataforma para desarrolladores.
Por supuesto, es prácticamente imposible administrar una empresa sin depender de algunas aplicaciones de terceros. Sin embargo, no puedes controlar la forma en que crean su software y, básicamente, no tienes ninguna visibilidad sobre el nivel de seguridad de su código. Se convierte en un ejercicio de confianza. Si su socio externo es laxo en sus prácticas de codificación segura, es posible que esté abriendo la puerta a una violación vuestroempresa.
Entonces, ¿cuál es la solución? En pocas palabras: todos debemos hacerlo mejor. Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.
Es más fácil de lo que piensa dotar a su equipo de desarrollo de las herramientas y los conocimientos adecuados para adoptar la seguridad y detener el código incorrecto. Nos complace ver que muchas de las empresas financieras, de telecomunicaciones, minoristas y tecnológicas más grandes y conocidas del mundo han adoptado este nuevo enfoque, pero las empresas de la lista Fortune 100 no deberían dedicarse exclusivamente a la educación en materia de seguridad. Todas las empresas que cuentan con desarrolladores entre su personal necesitan impartir formación para ayudar a los equipos a programar de forma segura.
El documento técnico publicado recientemente que escribí junto con nuestro director de tecnología, Matias Madou, muestra los beneficios de crear una cultura de seguridad en su organización. Detallamos por qué es la clave para impulsar la innovación, mantener la agilidad y reducir el impacto financiero del código inseguro.
Encontrará consejos que incluyen:
* Cómo hacer que la formación en seguridad sea relevante y atractiva para los desarrolladores
* Cómo enseñar a los desarrolladores a identificar y solucionar sus propios problemas
* Cómo ayudar a los desarrolladores a crear su propio código de forma segura.
Te invito a descarga este recurso y úsala para defender la seguridad en tu organización, desarrollar las habilidades de tu equipo y estar a la vanguardia del establecimiento de un estándar de código más alto.
Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.
No es ningún secreto que nuestra misión principal es hacer que el software y su desarrollo sean seguros; diseñados teniendo en cuenta la seguridad desde el principio de la producción. Nuestra visión establece un nuevo punto de referencia para la creación de software, en el que los desarrolladores cuentan con las habilidades y los conocimientos necesarios para detectar código vulnerable durante el proceso de escritura y corríjalo incluso antes de que se convierta en un problema.
Por lo tanto, teniendo esto en cuenta, puede pensar que estamos encantados de enterarnos de las nuevas violaciones de datos, ciberataques y códigos explotados que afectan a empresas de todo el mundo; esos incidentes sin duda destacan la necesidad de nuestro servicio en varios mercados verticales. La verdad es que es bastante frustrante. Está claro que, como industria, cometemos los mismos errores una y otra vez, porque la mayor parte de la educación sobre seguridad simplemente no es lo suficientemente sólida como para minimizar el riesgo y detener estas infracciones.
La última víctima de violación de datos es Ticketmaster. Si estuvieras entre los miles de clientes afectados, habrías recibido un correo electrónico notificándote el incidente y cambiándote la contraseña. Nadie espera que se violen sus datos personales simplemente por comprar entradas para un concierto o un evento deportivo, pero aquí estamos.
Es una situación terrible para todos, perjudicial para la reputación de Ticketmaster y para una pésima experiencia de cliente. Sin embargo, hay un problema: no fue del todo culpa de ellos.
Verá, la empresa utilizó los servicios de una aplicación de atención al cliente de terceros de Inbenta Technologies. Ticketmaster UK descubrió que el producto contenía código malicioso, lo que ponía en peligro el cinco por ciento de los datos de sus clientes de todo el mundo.
¿Y cómo se las arreglaron los piratas informáticos para explotar este sistema? ¿Ellos manipuló una sola línea de código JavaScript, personalizado por Inbenta Technologies para los requisitos de Ticketmaster. Según Inbenta, el código se usó en una página para la que no estaba diseñada y, de haberlo sabido, lo habrían identificado como una vulnerabilidad de seguridad.
La vulnerabilidad en sí misma es esencialmente un problema de seguridad de la biblioteca de carga/almacenamiento de archivos, en el que una sola violación puede afectar a todos los sitios en los que se carga el mismo código. Para empezar, el código se puede modificar para recopilar y redirigir datos personales a los atacantes. Se trata de un ataque sencillo con un potencial de daño de gran alcance, y es algo contra lo que estamos trabajando para defendernos con un variedad de ejercicios de entrenamiento en la plataforma para desarrolladores.
Por supuesto, es prácticamente imposible administrar una empresa sin depender de algunas aplicaciones de terceros. Sin embargo, no puedes controlar la forma en que crean su software y, básicamente, no tienes ninguna visibilidad sobre el nivel de seguridad de su código. Se convierte en un ejercicio de confianza. Si su socio externo es laxo en sus prácticas de codificación segura, es posible que esté abriendo la puerta a una violación vuestroempresa.
Entonces, ¿cuál es la solución? En pocas palabras: todos debemos hacerlo mejor. Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.
Es más fácil de lo que piensa dotar a su equipo de desarrollo de las herramientas y los conocimientos adecuados para adoptar la seguridad y detener el código incorrecto. Nos complace ver que muchas de las empresas financieras, de telecomunicaciones, minoristas y tecnológicas más grandes y conocidas del mundo han adoptado este nuevo enfoque, pero las empresas de la lista Fortune 100 no deberían dedicarse exclusivamente a la educación en materia de seguridad. Todas las empresas que cuentan con desarrolladores entre su personal necesitan impartir formación para ayudar a los equipos a programar de forma segura.
El documento técnico publicado recientemente que escribí junto con nuestro director de tecnología, Matias Madou, muestra los beneficios de crear una cultura de seguridad en su organización. Detallamos por qué es la clave para impulsar la innovación, mantener la agilidad y reducir el impacto financiero del código inseguro.
Encontrará consejos que incluyen:
* Cómo hacer que la formación en seguridad sea relevante y atractiva para los desarrolladores
* Cómo enseñar a los desarrolladores a identificar y solucionar sus propios problemas
* Cómo ayudar a los desarrolladores a crear su propio código de forma segura.
Te invito a descarga este recurso y úsala para defender la seguridad en tu organización, desarrollar las habilidades de tu equipo y estar a la vanguardia del establecimiento de un estándar de código más alto.
Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
No es ningún secreto que nuestra misión principal es hacer que el software y su desarrollo sean seguros; diseñados teniendo en cuenta la seguridad desde el principio de la producción. Nuestra visión establece un nuevo punto de referencia para la creación de software, en el que los desarrolladores cuentan con las habilidades y los conocimientos necesarios para detectar código vulnerable durante el proceso de escritura y corríjalo incluso antes de que se convierta en un problema.
Por lo tanto, teniendo esto en cuenta, puede pensar que estamos encantados de enterarnos de las nuevas violaciones de datos, ciberataques y códigos explotados que afectan a empresas de todo el mundo; esos incidentes sin duda destacan la necesidad de nuestro servicio en varios mercados verticales. La verdad es que es bastante frustrante. Está claro que, como industria, cometemos los mismos errores una y otra vez, porque la mayor parte de la educación sobre seguridad simplemente no es lo suficientemente sólida como para minimizar el riesgo y detener estas infracciones.
La última víctima de violación de datos es Ticketmaster. Si estuvieras entre los miles de clientes afectados, habrías recibido un correo electrónico notificándote el incidente y cambiándote la contraseña. Nadie espera que se violen sus datos personales simplemente por comprar entradas para un concierto o un evento deportivo, pero aquí estamos.
Es una situación terrible para todos, perjudicial para la reputación de Ticketmaster y para una pésima experiencia de cliente. Sin embargo, hay un problema: no fue del todo culpa de ellos.
Verá, la empresa utilizó los servicios de una aplicación de atención al cliente de terceros de Inbenta Technologies. Ticketmaster UK descubrió que el producto contenía código malicioso, lo que ponía en peligro el cinco por ciento de los datos de sus clientes de todo el mundo.
¿Y cómo se las arreglaron los piratas informáticos para explotar este sistema? ¿Ellos manipuló una sola línea de código JavaScript, personalizado por Inbenta Technologies para los requisitos de Ticketmaster. Según Inbenta, el código se usó en una página para la que no estaba diseñada y, de haberlo sabido, lo habrían identificado como una vulnerabilidad de seguridad.
La vulnerabilidad en sí misma es esencialmente un problema de seguridad de la biblioteca de carga/almacenamiento de archivos, en el que una sola violación puede afectar a todos los sitios en los que se carga el mismo código. Para empezar, el código se puede modificar para recopilar y redirigir datos personales a los atacantes. Se trata de un ataque sencillo con un potencial de daño de gran alcance, y es algo contra lo que estamos trabajando para defendernos con un variedad de ejercicios de entrenamiento en la plataforma para desarrolladores.
Por supuesto, es prácticamente imposible administrar una empresa sin depender de algunas aplicaciones de terceros. Sin embargo, no puedes controlar la forma en que crean su software y, básicamente, no tienes ninguna visibilidad sobre el nivel de seguridad de su código. Se convierte en un ejercicio de confianza. Si su socio externo es laxo en sus prácticas de codificación segura, es posible que esté abriendo la puerta a una violación vuestroempresa.
Entonces, ¿cuál es la solución? En pocas palabras: todos debemos hacerlo mejor. Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.
Es más fácil de lo que piensa dotar a su equipo de desarrollo de las herramientas y los conocimientos adecuados para adoptar la seguridad y detener el código incorrecto. Nos complace ver que muchas de las empresas financieras, de telecomunicaciones, minoristas y tecnológicas más grandes y conocidas del mundo han adoptado este nuevo enfoque, pero las empresas de la lista Fortune 100 no deberían dedicarse exclusivamente a la educación en materia de seguridad. Todas las empresas que cuentan con desarrolladores entre su personal necesitan impartir formación para ayudar a los equipos a programar de forma segura.
El documento técnico publicado recientemente que escribí junto con nuestro director de tecnología, Matias Madou, muestra los beneficios de crear una cultura de seguridad en su organización. Detallamos por qué es la clave para impulsar la innovación, mantener la agilidad y reducir el impacto financiero del código inseguro.
Encontrará consejos que incluyen:
* Cómo hacer que la formación en seguridad sea relevante y atractiva para los desarrolladores
* Cómo enseñar a los desarrolladores a identificar y solucionar sus propios problemas
* Cómo ayudar a los desarrolladores a crear su propio código de forma segura.
Te invito a descarga este recurso y úsala para defender la seguridad en tu organización, desarrollar las habilidades de tu equipo y estar a la vanguardia del establecimiento de un estándar de código más alto.
Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
