SEC11-BP01 Formación en seguridad de las aplicaciones - Pilar de seguridad

SEC11-BP01 Formación en seguridad de las aplicaciones

Forme a su equipo en prácticas de desarrollo y funcionamiento seguros, lo que los ayudará a crear software seguro y de alta calidad. Esta práctica ayuda a su equipo a prevenir, detectar y solucionar los problemas de seguridad en una fase temprana del ciclo de vida del desarrollo. Puede plantearse impartir formación sobre el modelado de amenazas, las prácticas de codificación segura y el uso de servicios para una configuración y funcionamiento seguros. Proporcione a su equipo acceso a la formación mediante recursos de autoservicio y recopile periódicamente sus comentarios para mejorar continuamente.

Resultado deseado: dota a su equipo de los conocimientos y las habilidades necesarios para diseñar y crear software teniendo en cuenta la seguridad desde el principio. Gracias a la formación sobre modelos de amenazas y prácticas de desarrollo seguro, su equipo tiene un profundo conocimiento de los posibles riesgos de seguridad y de cómo mitigarlos durante el ciclo de vida del desarrollo del software (SDLC). Este enfoque proactivo de la seguridad forma parte de la cultura de su equipo, por lo que podrá identificar y solucionar los posibles problemas de seguridad desde el principio. Como resultado, su equipo ofrece software y características seguras y de alta calidad de manera más eficiente, lo que acelera el plazo general de entrega. Su organización tiene una cultura de seguridad colaborativa e inclusiva, en la que todos los creadores comparten la propiedad de la seguridad.

Patrones comunes de uso no recomendados:

  • Espera a una revisión de seguridad para estudiar las propiedades de seguridad de un sistema.

  • Deja todas las decisiones de seguridad en manos del equipo de seguridad.

  • No comunica claramente cómo se relacionan las decisiones tomadas en el SDLC con las expectativas o políticas generales de seguridad de la organización.

  • Interviene demasiado tarde en el proceso de revisión de la seguridad.

Beneficios de establecer esta práctica recomendada:

  • Entender mejor los requisitos de la organización en materia de seguridad en una fase temprana del ciclo de desarrollo.

  • Poder identificar y corregir más rápidamente los posibles problemas de seguridad, lo que se traduce en una entrega más rápida de las características.

  • Mejora de la calidad del software y los sistemas.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación

Para desarrollar software seguro y de calidad, forme a su equipo en prácticas habituales de desarrollo y funcionamiento seguros de las aplicaciones. Esta práctica puede ayudar a su equipo a prevenir, detectar y solucionar los problemas de seguridad en una fase temprana del ciclo de vida del desarrollo, lo que puede acelerar sus plazos de entrega.

Para que esta práctica dé resultado, considere la posibilidad de formar a su equipo en el modelado de amenazas mediante recursos de AWS, como el taller de modelado de amenazas. El modelado de amenazas puede ayudar a su equipo a comprender los posibles riesgos de seguridad y a diseñar sistemas teniendo en cuenta la seguridad desde el principio. Además, puede proporcionar acceso a formación de Formación de AWS and Certification, del sector o de los socios de AWS en prácticas de desarrollo seguras. Para obtener más información sobre un enfoque integral de diseño, desarrollo, protección y funcionamiento eficiente a escala, consulte la Guía de AWS DevOps.

Defina y comunique con claridad el proceso de revisión de la seguridad de su organización y describa las responsabilidades de su equipo, el equipo de seguridad y otras partes interesadas. Publique guías de autoservicio, ejemplos de código y plantillas con las que demuestre cómo cumplir sus requisitos de seguridad. Puede utilizar servicios de AWS como AWS CloudFormation, AWS Cloud Development Kit (AWS CDK) (AWS CDK) Construcciones y Service Catalog para proporcionar configuraciones seguras y aprobadas previamente y reducir la necesidad de configuraciones personalizadas.

Obtenga periódicamente comentarios de su equipo sobre su experiencia con el proceso de formación y revisión de la seguridad, y utilícelos para mejorar continuamente. Lleve a cabo días de juego o campañas de detección de errores para identificar y abordar los problemas de seguridad y, al mismo tiempo, mejorar las habilidades de su equipo.

Pasos para la implementación

  1. Identifique las necesidades de formación: evalúe el nivel actual de habilidades y las brechas de conocimiento de su equipo en relación con las prácticas de desarrollo seguras mediante encuestas, revisiones de código o conversaciones con los miembros del equipo.

  2. Planifique la formación: en función de las necesidades identificadas, cree un plan de formación que abarque temas relevantes, como el modelado de amenazas, las prácticas de codificación segura, las pruebas de seguridad y las prácticas de implementación segura. Emplee recursos como el taller de modelado de amenazas, Formación de AWS and Certification, y los programas de formación del sector o de los socios de AWS.

  3. Programe e imparta formación: programe sesiones de formación o talleres periódicos para su equipo. Pueden ser impartidos por un instructor o a su propio ritmo, según las preferencias y la disponibilidad de su equipo. Haga hincapié en los ejercicios de aplicación de lo aprendido y en los ejemplos prácticos para reforzar el aprendizaje.

  4. Defina un proceso de revisión de la seguridad: colabore con su equipo de seguridad y otras partes interesadas para definir claramente el proceso de revisión de la seguridad de las aplicaciones. Documente las responsabilidades de cada equipo o persona que participa en el proceso, incluidos el equipo de desarrollo, el equipo de seguridad y otras partes interesadas relevantes.

  5. Cree recursos de autoservicio: elabore guías de autoservicio, ejemplos de código y plantillas que demuestren cómo cumplir los requisitos de seguridad de su organización. Puede usar servicios de AWS como CloudFormation, AWS CDK Construcciones y Service Catalog para proporcionar configuraciones seguras previamente aprobadas y reducir la necesidad de configuraciones personalizadas.

  6. Comuníquese y socialice: comunique de manera eficaz a su equipo el proceso de revisión de la seguridad y los recursos de autoservicio disponibles. Lleve a cabo sesiones de formación o talleres para que se familiaricen con estos recursos y compruebe que entienden cómo usarlos.

  7. Obtenga comentarios y mejore: obtenga periódicamente comentarios de su equipo sobre su experiencia con el proceso de formación y revisión de la seguridad. Utilice estos comentarios para identificar las áreas de mejora y perfeccionar continuamente los materiales de formación, los recursos de autoservicio y el proceso de revisión de la seguridad.

  8. Realice ejercicios de seguridad: organice jornadas de juego o campañas de detección de errores para identificar y abordar los problemas de seguridad de las aplicaciones. Estos ejercicios no solo ayudan a descubrir posibles vulnerabilidades, sino que también sirven como oportunidades prácticas de aprendizaje para su equipo, ya que mejoran sus habilidades de desarrollo y funcionamiento seguros.

  9. Siga aprendiendo y mejorando: anime a su equipo a mantenerse al día con las últimas prácticas, herramientas y técnicas de desarrollo seguro. Revise y actualice periódicamente los materiales y recursos de formación para reflejar la evolución del panorama de la seguridad y las prácticas recomendadas.

Recursos

Prácticas recomendadas relacionadas:

Documentos relacionados:

Videos relacionados:

Ejemplos relacionados:

Servicios relacionados: