Golpea primero, ataca con fuerza: por qué los cursos de codificación segura seleccionados no tienen piedad con las ciberamenazas
Existe una verdad algo incómoda, que los gobiernos, las grandes corporaciones e incluso algunos líderes de la industria tienden a pasar por alto: como sociedad, estamos en una batalla constante contra las ciberamenazas y actualmente estamos en el bando perdedor. ¿Cómo sabemos esto? Estas estadísticas cuentan una historia aleccionadora:
- Se estima que la ciberdelincuencia tiene un costo global de 6 billones de dólares de aquí a 2021
- Se produce un ciberataque cada 39 segundos
- El 24% de las filtraciones de datos son causados por un error humano
- Un alarmante 77% de las organizaciones no tener un plan de respuesta a incidentes de ciberseguridad que se amplía en toda la empresa y se aplica de manera uniforme entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una escasez crítica de personal; es poco probable que se llene la brecha de habilidades y no hay ningún ejército secreto de AppSec que venga a rescatarnos. Lo sabemos desde hace años y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una buena defensa, y podemos atacar primero si tenemos un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos hacen creer. Tenemos un as bajo la manga y el clima de ciberseguridad nos presenta una oportunidad de oro. No necesita buscar más allá de sus equipos de desarrollo internos para encontrar al personal que vendrá a rescatar a la organización, pero su programa de seguridad debe respaldar su trayectoria para convertirse en ingenieros conscientes de la seguridad que estén preparados para compartir la responsabilidad de programar de forma segura.
Cualquier entrenamiento antiguo no servirá - ya lo hemos dicho lo suficiente, pero incluso la formación adecuada que involucre, desarrolle conocimientos contextuales y ayude a los desarrolladores a disfrutar de la seguridad podría ser mucho más eficaz si tan solo estuviera más adaptada a las necesidades de la empresa, las amenazas a las que se enfrenta y los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos seguros.
Y ahí es donde nuestras funciones más recientes, Cursos, entra en juego. Por cierto, si tienes la referencia en el título, oficialmente eres viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: desarrolle la defensa, refuerce las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones en vídeo genéricos y secos, y esperar que florezca la pasión por la programación segura). Sin embargo, incluso con un aprendizaje competitivo diseñado para adaptarse a la mentalidad de los desarrolladores, es posible que el contenido sea un poco más amplio de lo que se necesita para cumplir con los requisitos particulares de una organización.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario. Personalice los programas para que se adapten a los equipos de frontend, a los ingenieros de nube, etc., con la capacidad de analizar en profundidad las vulnerabilidades más importantes, en los lenguajes y marcos que sean relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de una conciencia precisa sobre los problemas que representan un mayor riesgo.
Personalice un curso para garantizar el cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una base excelente sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad despierta un sentimiento de orgullo y responsabilidad en los desarrolladores, en lugar de quejarse y ponerse la palma de la cara.
Como punto de partida, es una muy buena idea poner a todos al día con el Top 10 de OWASP, pero para alcanzar realmente nuevos niveles de cumplimiento relevantes para la industria, puedes diseñar un curso personalizado en torno a los requisitos de las normativas específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con la Pautas de PCI-DSS que rigen las aplicaciones de procesamiento de pagos y tarjetas. Hay mucho en juego cuando te encargas de procesar y almacenar información confidencial, como los números de tarjetas de crédito, y conseguir la máxima especificidad con el aprendizaje de los desarrolladores evita el ruido, proporciona la formación adecuada en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza los cursos en sus equipos:
«Los cursos son una gran solución para nuestros ingenieros. Con la nueva función, que agrupa la ruta de aprendizaje, los vídeos y los puntos de control en un módulo personalizable, podemos diseñar el contenido en función de lo que necesitamos en cada momento. Las capacidades de cumplimiento y la flexibilidad brindan una oportunidad aún mejor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca».
Y recuerde, puede que se trate de una formación sobre cumplimiento curada, pero aun así se ofrece como una experiencia de aprendizaje pequeña, contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La educación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps, hay muchos platos que hacer girar. El tiempo reservado para la formación debe utilizarse con prudencia, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al seleccionar un curso personalizado que sea muy relevante, respetas el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, trabajas para lograr una reducción mensurable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas e ingenieros de AppSec suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con los cursos puede permitir a ambas partes ponerse de acuerdo con las prácticas recomendadas de seguridad. No cabe duda de que los desarrolladores apreciarán que el equipo de AppSec les dé la posibilidad de centrarse en las soluciones, ya que minimiza la carga que tienen que soportar y les ayuda a crear un estándar de código más elevado.
Elimine las debilidades, amplíe la higiene de seguridad a nivel empresarial
Todos somos humanos y, lamentablemente, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, pero son asombrosamente comunes. Los de Symantec Informe sobre amenazas a la seguridad en Internet de 2019 confirmó que se robaron más de 70 millones de registros como resultado de la mala configuración de los cubos S3. Los errores de configuración de seguridad son una de las principales causas de las filtraciones de datos, y la causa principal son los errores humanos alrededor de una cuarta parte de ellos.
Estos problemas ocurren por varias razones, pero la falta de conciencia y capacitación en materia de seguridad es un factor importante para que los atacantes puedan aprovechar las pequeñas oportunidades. Para lograr una higiene de seguridad escalable que tenga un impacto positivo, debe contar con un curso personalizado para su empresa. No muestres piedad con tus enemigos y elimina cualquier oportunidad que tengan para causar el mayor dolor de cabeza que puedas encontrar.
Ya estamos viendo un impacto sorprendente en nuestros clientes, incluido este proveedor líder de SaaS de contabilidad basado en la nube:
«La ruta de aprendizaje personalizada de los cursos ha supuesto un punto de inflexión. La especificidad de los lenguajes de programación y las vulnerabilidades proporcionan más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro».
Prepárate para DevSec. Obtenga más información sobre la nueva función de cursos de Secure Code Warrior aquí.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Existe una verdad algo incómoda, que los gobiernos, las grandes corporaciones e incluso algunos líderes de la industria tienden a pasar por alto: como sociedad, estamos en una batalla constante contra las ciberamenazas y actualmente estamos en el bando perdedor. ¿Cómo sabemos esto? Estas estadísticas cuentan una historia aleccionadora:
- Se estima que la ciberdelincuencia tiene un costo global de 6 billones de dólares de aquí a 2021
- Se produce un ciberataque cada 39 segundos
- El 24% de las filtraciones de datos son causados por un error humano
- Un alarmante 77% de las organizaciones no tener un plan de respuesta a incidentes de ciberseguridad que se amplía en toda la empresa y se aplica de manera uniforme entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una escasez crítica de personal; es poco probable que se llene la brecha de habilidades y no hay ningún ejército secreto de AppSec que venga a rescatarnos. Lo sabemos desde hace años y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una buena defensa, y podemos atacar primero si tenemos un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos hacen creer. Tenemos un as bajo la manga y el clima de ciberseguridad nos presenta una oportunidad de oro. No necesita buscar más allá de sus equipos de desarrollo internos para encontrar al personal que vendrá a rescatar a la organización, pero su programa de seguridad debe respaldar su trayectoria para convertirse en ingenieros conscientes de la seguridad que estén preparados para compartir la responsabilidad de programar de forma segura.
Cualquier entrenamiento antiguo no servirá - ya lo hemos dicho lo suficiente, pero incluso la formación adecuada que involucre, desarrolle conocimientos contextuales y ayude a los desarrolladores a disfrutar de la seguridad podría ser mucho más eficaz si tan solo estuviera más adaptada a las necesidades de la empresa, las amenazas a las que se enfrenta y los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos seguros.
Y ahí es donde nuestras funciones más recientes, Cursos, entra en juego. Por cierto, si tienes la referencia en el título, oficialmente eres viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: desarrolle la defensa, refuerce las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones en vídeo genéricos y secos, y esperar que florezca la pasión por la programación segura). Sin embargo, incluso con un aprendizaje competitivo diseñado para adaptarse a la mentalidad de los desarrolladores, es posible que el contenido sea un poco más amplio de lo que se necesita para cumplir con los requisitos particulares de una organización.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario. Personalice los programas para que se adapten a los equipos de frontend, a los ingenieros de nube, etc., con la capacidad de analizar en profundidad las vulnerabilidades más importantes, en los lenguajes y marcos que sean relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de una conciencia precisa sobre los problemas que representan un mayor riesgo.
Personalice un curso para garantizar el cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una base excelente sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad despierta un sentimiento de orgullo y responsabilidad en los desarrolladores, en lugar de quejarse y ponerse la palma de la cara.
Como punto de partida, es una muy buena idea poner a todos al día con el Top 10 de OWASP, pero para alcanzar realmente nuevos niveles de cumplimiento relevantes para la industria, puedes diseñar un curso personalizado en torno a los requisitos de las normativas específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con la Pautas de PCI-DSS que rigen las aplicaciones de procesamiento de pagos y tarjetas. Hay mucho en juego cuando te encargas de procesar y almacenar información confidencial, como los números de tarjetas de crédito, y conseguir la máxima especificidad con el aprendizaje de los desarrolladores evita el ruido, proporciona la formación adecuada en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza los cursos en sus equipos:
«Los cursos son una gran solución para nuestros ingenieros. Con la nueva función, que agrupa la ruta de aprendizaje, los vídeos y los puntos de control en un módulo personalizable, podemos diseñar el contenido en función de lo que necesitamos en cada momento. Las capacidades de cumplimiento y la flexibilidad brindan una oportunidad aún mejor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca».
Y recuerde, puede que se trate de una formación sobre cumplimiento curada, pero aun así se ofrece como una experiencia de aprendizaje pequeña, contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La educación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps, hay muchos platos que hacer girar. El tiempo reservado para la formación debe utilizarse con prudencia, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al seleccionar un curso personalizado que sea muy relevante, respetas el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, trabajas para lograr una reducción mensurable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas e ingenieros de AppSec suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con los cursos puede permitir a ambas partes ponerse de acuerdo con las prácticas recomendadas de seguridad. No cabe duda de que los desarrolladores apreciarán que el equipo de AppSec les dé la posibilidad de centrarse en las soluciones, ya que minimiza la carga que tienen que soportar y les ayuda a crear un estándar de código más elevado.
Elimine las debilidades, amplíe la higiene de seguridad a nivel empresarial
Todos somos humanos y, lamentablemente, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, pero son asombrosamente comunes. Los de Symantec Informe sobre amenazas a la seguridad en Internet de 2019 confirmó que se robaron más de 70 millones de registros como resultado de la mala configuración de los cubos S3. Los errores de configuración de seguridad son una de las principales causas de las filtraciones de datos, y la causa principal son los errores humanos alrededor de una cuarta parte de ellos.
Estos problemas ocurren por varias razones, pero la falta de conciencia y capacitación en materia de seguridad es un factor importante para que los atacantes puedan aprovechar las pequeñas oportunidades. Para lograr una higiene de seguridad escalable que tenga un impacto positivo, debe contar con un curso personalizado para su empresa. No muestres piedad con tus enemigos y elimina cualquier oportunidad que tengan para causar el mayor dolor de cabeza que puedas encontrar.
Ya estamos viendo un impacto sorprendente en nuestros clientes, incluido este proveedor líder de SaaS de contabilidad basado en la nube:
«La ruta de aprendizaje personalizada de los cursos ha supuesto un punto de inflexión. La especificidad de los lenguajes de programación y las vulnerabilidades proporcionan más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro».
Prepárate para DevSec. Obtenga más información sobre la nueva función de cursos de Secure Code Warrior aquí.
Existe una verdad algo incómoda, que los gobiernos, las grandes corporaciones e incluso algunos líderes de la industria tienden a pasar por alto: como sociedad, estamos en una batalla constante contra las ciberamenazas y actualmente estamos en el bando perdedor. ¿Cómo sabemos esto? Estas estadísticas cuentan una historia aleccionadora:
- Se estima que la ciberdelincuencia tiene un costo global de 6 billones de dólares de aquí a 2021
- Se produce un ciberataque cada 39 segundos
- El 24% de las filtraciones de datos son causados por un error humano
- Un alarmante 77% de las organizaciones no tener un plan de respuesta a incidentes de ciberseguridad que se amplía en toda la empresa y se aplica de manera uniforme entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una escasez crítica de personal; es poco probable que se llene la brecha de habilidades y no hay ningún ejército secreto de AppSec que venga a rescatarnos. Lo sabemos desde hace años y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una buena defensa, y podemos atacar primero si tenemos un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos hacen creer. Tenemos un as bajo la manga y el clima de ciberseguridad nos presenta una oportunidad de oro. No necesita buscar más allá de sus equipos de desarrollo internos para encontrar al personal que vendrá a rescatar a la organización, pero su programa de seguridad debe respaldar su trayectoria para convertirse en ingenieros conscientes de la seguridad que estén preparados para compartir la responsabilidad de programar de forma segura.
Cualquier entrenamiento antiguo no servirá - ya lo hemos dicho lo suficiente, pero incluso la formación adecuada que involucre, desarrolle conocimientos contextuales y ayude a los desarrolladores a disfrutar de la seguridad podría ser mucho más eficaz si tan solo estuviera más adaptada a las necesidades de la empresa, las amenazas a las que se enfrenta y los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos seguros.
Y ahí es donde nuestras funciones más recientes, Cursos, entra en juego. Por cierto, si tienes la referencia en el título, oficialmente eres viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: desarrolle la defensa, refuerce las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones en vídeo genéricos y secos, y esperar que florezca la pasión por la programación segura). Sin embargo, incluso con un aprendizaje competitivo diseñado para adaptarse a la mentalidad de los desarrolladores, es posible que el contenido sea un poco más amplio de lo que se necesita para cumplir con los requisitos particulares de una organización.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario. Personalice los programas para que se adapten a los equipos de frontend, a los ingenieros de nube, etc., con la capacidad de analizar en profundidad las vulnerabilidades más importantes, en los lenguajes y marcos que sean relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de una conciencia precisa sobre los problemas que representan un mayor riesgo.
Personalice un curso para garantizar el cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una base excelente sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad despierta un sentimiento de orgullo y responsabilidad en los desarrolladores, en lugar de quejarse y ponerse la palma de la cara.
Como punto de partida, es una muy buena idea poner a todos al día con el Top 10 de OWASP, pero para alcanzar realmente nuevos niveles de cumplimiento relevantes para la industria, puedes diseñar un curso personalizado en torno a los requisitos de las normativas específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con la Pautas de PCI-DSS que rigen las aplicaciones de procesamiento de pagos y tarjetas. Hay mucho en juego cuando te encargas de procesar y almacenar información confidencial, como los números de tarjetas de crédito, y conseguir la máxima especificidad con el aprendizaje de los desarrolladores evita el ruido, proporciona la formación adecuada en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza los cursos en sus equipos:
«Los cursos son una gran solución para nuestros ingenieros. Con la nueva función, que agrupa la ruta de aprendizaje, los vídeos y los puntos de control en un módulo personalizable, podemos diseñar el contenido en función de lo que necesitamos en cada momento. Las capacidades de cumplimiento y la flexibilidad brindan una oportunidad aún mejor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca».
Y recuerde, puede que se trate de una formación sobre cumplimiento curada, pero aun así se ofrece como una experiencia de aprendizaje pequeña, contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La educación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps, hay muchos platos que hacer girar. El tiempo reservado para la formación debe utilizarse con prudencia, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al seleccionar un curso personalizado que sea muy relevante, respetas el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, trabajas para lograr una reducción mensurable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas e ingenieros de AppSec suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con los cursos puede permitir a ambas partes ponerse de acuerdo con las prácticas recomendadas de seguridad. No cabe duda de que los desarrolladores apreciarán que el equipo de AppSec les dé la posibilidad de centrarse en las soluciones, ya que minimiza la carga que tienen que soportar y les ayuda a crear un estándar de código más elevado.
Elimine las debilidades, amplíe la higiene de seguridad a nivel empresarial
Todos somos humanos y, lamentablemente, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, pero son asombrosamente comunes. Los de Symantec Informe sobre amenazas a la seguridad en Internet de 2019 confirmó que se robaron más de 70 millones de registros como resultado de la mala configuración de los cubos S3. Los errores de configuración de seguridad son una de las principales causas de las filtraciones de datos, y la causa principal son los errores humanos alrededor de una cuarta parte de ellos.
Estos problemas ocurren por varias razones, pero la falta de conciencia y capacitación en materia de seguridad es un factor importante para que los atacantes puedan aprovechar las pequeñas oportunidades. Para lograr una higiene de seguridad escalable que tenga un impacto positivo, debe contar con un curso personalizado para su empresa. No muestres piedad con tus enemigos y elimina cualquier oportunidad que tengan para causar el mayor dolor de cabeza que puedas encontrar.
Ya estamos viendo un impacto sorprendente en nuestros clientes, incluido este proveedor líder de SaaS de contabilidad basado en la nube:
«La ruta de aprendizaje personalizada de los cursos ha supuesto un punto de inflexión. La especificidad de los lenguajes de programación y las vulnerabilidades proporcionan más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro».
Prepárate para DevSec. Obtenga más información sobre la nueva función de cursos de Secure Code Warrior aquí.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Existe una verdad algo incómoda, que los gobiernos, las grandes corporaciones e incluso algunos líderes de la industria tienden a pasar por alto: como sociedad, estamos en una batalla constante contra las ciberamenazas y actualmente estamos en el bando perdedor. ¿Cómo sabemos esto? Estas estadísticas cuentan una historia aleccionadora:
- Se estima que la ciberdelincuencia tiene un costo global de 6 billones de dólares de aquí a 2021
- Se produce un ciberataque cada 39 segundos
- El 24% de las filtraciones de datos son causados por un error humano
- Un alarmante 77% de las organizaciones no tener un plan de respuesta a incidentes de ciberseguridad que se amplía en toda la empresa y se aplica de manera uniforme entre los departamentos.
En lo que respecta a los especialistas en ciberseguridad, tenemos una escasez crítica de personal; es poco probable que se llene la brecha de habilidades y no hay ningún ejército secreto de AppSec que venga a rescatarnos. Lo sabemos desde hace años y tenemos que cambiar nuestro enfoque. En nuestro caso, el mejor ataque es una buena defensa, y podemos atacar primero si tenemos un buen plan.
Todo esto suena un poco deprimente, pero no es tan malo como algunos nos hacen creer. Tenemos un as bajo la manga y el clima de ciberseguridad nos presenta una oportunidad de oro. No necesita buscar más allá de sus equipos de desarrollo internos para encontrar al personal que vendrá a rescatar a la organización, pero su programa de seguridad debe respaldar su trayectoria para convertirse en ingenieros conscientes de la seguridad que estén preparados para compartir la responsabilidad de programar de forma segura.
Cualquier entrenamiento antiguo no servirá - ya lo hemos dicho lo suficiente, pero incluso la formación adecuada que involucre, desarrolle conocimientos contextuales y ayude a los desarrolladores a disfrutar de la seguridad podría ser mucho más eficaz si tan solo estuviera más adaptada a las necesidades de la empresa, las amenazas a las que se enfrenta y los requisitos de cumplimiento que ayudan a las empresas a mantener todos nuestros datos seguros.
Y ahí es donde nuestras funciones más recientes, Cursos, entra en juego. Por cierto, si tienes la referencia en el título, oficialmente eres viejo (o simplemente aprecias un clásico).
Aprendizaje específico de la organización: desarrolle la defensa, refuerce las habilidades de los desarrolladores
Tenemos todo tipo de opiniones sobre por qué algunos tipos de formación para desarrolladores son mejores que otros (es decir, no hay que aburrirlos hasta la muerte con horas de sermones en vídeo genéricos y secos, y esperar que florezca la pasión por la programación segura). Sin embargo, incluso con un aprendizaje competitivo diseñado para adaptarse a la mentalidad de los desarrolladores, es posible que el contenido sea un poco más amplio de lo que se necesita para cumplir con los requisitos particulares de una organización.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario. Personalice los programas para que se adapten a los equipos de frontend, a los ingenieros de nube, etc., con la capacidad de analizar en profundidad las vulnerabilidades más importantes, en los lenguajes y marcos que sean relevantes para ellos. Los desarrolladores aumentarán sus habilidades con un contexto, puntos de contacto y experiencia continuos, mientras que la empresa se beneficiará de una conciencia precisa sobre los problemas que representan un mayor riesgo.
Personalice un curso para garantizar el cumplimiento
En todo el mundo se están imponiendo normas más estrictas relacionadas con la ciberseguridad, y el cumplimiento de la seguridad del software es una base excelente sobre la que construir una cultura de seguridad positiva y eficaz. No debería ser aburrido, y un buen programa de seguridad despierta un sentimiento de orgullo y responsabilidad en los desarrolladores, en lugar de quejarse y ponerse la palma de la cara.
Como punto de partida, es una muy buena idea poner a todos al día con el Top 10 de OWASP, pero para alcanzar realmente nuevos niveles de cumplimiento relevantes para la industria, puedes diseñar un curso personalizado en torno a los requisitos de las normativas específicas. Por ejemplo, una organización financiera podría adaptar un curso a los requisitos de cumplimiento de su software, de acuerdo con la Pautas de PCI-DSS que rigen las aplicaciones de procesamiento de pagos y tarjetas. Hay mucho en juego cuando te encargas de procesar y almacenar información confidencial, como los números de tarjetas de crédito, y conseguir la máxima especificidad con el aprendizaje de los desarrolladores evita el ruido, proporciona la formación adecuada en el momento adecuado y hace que la aptitud del equipo sea mucho más fácil de supervisar.
Así es como General Electric (GE) utiliza los cursos en sus equipos:
«Los cursos son una gran solución para nuestros ingenieros. Con la nueva función, que agrupa la ruta de aprendizaje, los vídeos y los puntos de control en un módulo personalizable, podemos diseñar el contenido en función de lo que necesitamos en cada momento. Las capacidades de cumplimiento y la flexibilidad brindan una oportunidad aún mejor para garantizar un proceso más ágil y flexible. Esta capacidad ha ayudado a General Electric a adaptar la formación pertinente a cada ingeniero de forma más rápida y sencilla que nunca».
Y recuerde, puede que se trate de una formación sobre cumplimiento curada, pero aun así se ofrece como una experiencia de aprendizaje pequeña, contextual y atractiva que es mucho más atractiva para los desarrolladores.
Una cultura de seguridad positiva basada en el respeto y la relevancia
La educación es un proceso que dura toda la vida, pero en el frenético mundo de DevSecOps, hay muchos platos que hacer girar. El tiempo reservado para la formación debe utilizarse con prudencia, con una ruta de aprendizaje viable que siga atrayendo y añadiendo valor.
Al seleccionar un curso personalizado que sea muy relevante, respetas el tiempo y el flujo de trabajo del desarrollador y, al mismo tiempo, trabajas para lograr una reducción mensurable de las vulnerabilidades y los riesgos de ciberseguridad para la empresa.
La relación entre los especialistas e ingenieros de AppSec suele estar plagada de malentendidos y tensiones, pero el aprendizaje estructurado con los cursos puede permitir a ambas partes ponerse de acuerdo con las prácticas recomendadas de seguridad. No cabe duda de que los desarrolladores apreciarán que el equipo de AppSec les dé la posibilidad de centrarse en las soluciones, ya que minimiza la carga que tienen que soportar y les ayuda a crear un estándar de código más elevado.
Elimine las debilidades, amplíe la higiene de seguridad a nivel empresarial
Todos somos humanos y, lamentablemente, cometemos errores. Esos errores pueden ser extremadamente costosos en el mundo digital, pero son asombrosamente comunes. Los de Symantec Informe sobre amenazas a la seguridad en Internet de 2019 confirmó que se robaron más de 70 millones de registros como resultado de la mala configuración de los cubos S3. Los errores de configuración de seguridad son una de las principales causas de las filtraciones de datos, y la causa principal son los errores humanos alrededor de una cuarta parte de ellos.
Estos problemas ocurren por varias razones, pero la falta de conciencia y capacitación en materia de seguridad es un factor importante para que los atacantes puedan aprovechar las pequeñas oportunidades. Para lograr una higiene de seguridad escalable que tenga un impacto positivo, debe contar con un curso personalizado para su empresa. No muestres piedad con tus enemigos y elimina cualquier oportunidad que tengan para causar el mayor dolor de cabeza que puedas encontrar.
Ya estamos viendo un impacto sorprendente en nuestros clientes, incluido este proveedor líder de SaaS de contabilidad basado en la nube:
«La ruta de aprendizaje personalizada de los cursos ha supuesto un punto de inflexión. La especificidad de los lenguajes de programación y las vulnerabilidades proporcionan más control y flexibilidad para crear la experiencia de aprendizaje adecuada para cada desarrollador en función de las necesidades individuales y de la empresa. El uso de Courses junto con la plataforma de codificación segura más amplia de Secure Code Warrior ha transformado el compromiso de nuestros desarrolladores, ya que ahora están más interesados en mejorar sus habilidades de codificación segura para escribir un código mejor y más seguro».
Prepárate para DevSec. Obtenga más información sobre la nueva función de cursos de Secure Code Warrior aquí.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
