Catálogo de plantillas de cursos de concienciación y diseño de seguridad

• Concienciación sobre seguridad y plantillas de diseño
• Introducciones de seguridad específicas del idioma
• Cursos prácticos específicos de idiomas con un mapa de estándares

 

 

 

Seguridad AI/LLM	Codificación con IA Modelado de amenazas con IA Introducción al riesgo de la IA & Seguridad OWASP Top 10 para aplicaciones de modelos de lenguaje grandes (LLM) Agentes de IA y sus protocolos (MCP, A2A y ACP)
Protocolos de autenticación y autorización	Seguridad de OAuth 2.0 Acceso seguro a las API mediante OAuth 2.0 Otorgar acceso de forma segura a una API mediante OAuth 2.0 Temas avanzados de OAuth 2.0 Seguridad esencial de las API: autenticación y autorización Seguridad SAML
Seguridad en la nube	Seguridad de DevSecOps Introducción a la seguridad en la nube OWASP Top 10 CI/CD Seguridad de los contenedores Implementación segura de infraestructura en la nube en contenedores Protección de Amazon Web Services (AWS) Protección de Microsoft Azure Protección de Google Cloud Platform (GCP) Protección de la infraestructura como código
Criptografía	Introducción a la criptografía para desarrolladores y arquitectos
Seguridad de los datos	Seguridad de la base de datos Seguridad para científicos y analistas de datos Almacenamiento seguro de contraseñas
Seguridad integrada	Introducción a la seguridad integrada Seguridad integrada avanzada
Seguridad específica de la industria	Introducción a la seguridad automotriz Desarrollo seguro para servicios financieros Desarrollo seguro para el cuidado de la salud
Internet de las cosas	Introducción a la protección del Internet de las cosas Comunicación segura para el Internet de las cosas
Seguridad móvil	Fundamentos de la seguridad móvil
Código abierto y cadena de suministro	Software de código abierto (OSS) Políticas y riesgos de código abierto Examinando su cadena de suministro digital
Industria de tarjetas de pago (PCI)	Conceptos y cumplimiento de PCI DSS v4.0
Privacidad	Introducción al RGPD GPDR para desarrolladores y arquitectos GDPR para Gerentes de Desarrollo y Proyectos Introducción a la CCPA
Diseño de software seguro	Análisis de Riesgos de Arquitectura Estrategia de pruebas de seguridad basada en riesgos Requisitos de seguridad Modelado de amenazas
Fundamentos de seguridad	Concienciación sobre seguridad 101 Fundamentos de la seguridad del software Ataque y defensa Protección de las API Información general sobre las pruebas de seguridad de aplicaciones Low-Code y No-Code (LCNC) Identidades no humanas (NHI) Introducción a la seguridad HTML5 Programación defensiva para la seguridad HTML5

 

 

 

COBOL	Fundamentos de la seguridad COBOL Programación defensiva para COBOL
Ios	Fundamentos de iOS Programación segura para iOS
Androide	Seguridad de Android Seguridad avanzada de Android
Seguridad de Kubernetes
Seguridad C/C++ moderna
Programación segura para GO

 

 

Recomendaciones del CERT
MISRA
NIS2
OWASP	Introducción a OWASP Top 10 Awareness Conocimiento en profundidad de OWASP Top 10 Defectos de inyección
Programa de Certificación OWASP	Programa de Certificación Nivel 1 - OWASP 1-5 Programa de Certificación Nivel 2 - OWASP 6-10 Programa de Certificación Nivel 3 - OWASP & Recomendaciones del SCW Programa de Certificación Nivel 4 - Misiones & Desafíos difíciles para OWASP 1-5 Programa de Certificación Nivel 5 - Misiones & Desafíos difíciles para OWASP 6-10
Recomendaciones de PCI DSS v4.0
Recomendaciones de Secure Code Warrior
Medidas de seguridad para "EO-Critical Software" EO 14028

 

Seguridad de IA/LLM

Programación con IA

Este curso ayudará a los ingenieros a comprender cómo funcionan los Modelos de Lenguaje Grandes (LLM) y cómo usarlos para programar. Aprenderán las mejores maneras de trabajar con IA en la programación, evitando riesgos de seguridad y problemas legales.

Público: Arquitectos, ingenieros de todas las disciplinas, gerentes de ingeniería

Temas tratados en esta plantilla:

• Cómo funcionan los modelos de lenguaje grandes
• Posibles peligros de usar IA al escribir código
• Seguridad y trampas legales
• Ventajas de usar IA al escribir código
• Mejores prácticas
• Uso de conjuntos de reglas
• Prácticas de control de versiones
• Revisiones de código seguro

Modelado de amenazas con IA

Este curso presenta los fundamentos del modelado de amenazas mejorado con IA y enseña a los ingenieros cómo pueden utilizar la IA para pensar como un atacante, identificar los requisitos de seguridad que faltan y aplicar marcos como STRIDE y árboles de ataque. Este tema ofrece orientación a los ingenieros sobre cómo utilizar las herramientas de IA aprobadas que ya están disponibles en sus organizaciones e IDE para incorporar el pensamiento de modelado de amenazas en sus revisiones diarias de diseño y código.

Público: Arquitectos, ingenieros de todas las disciplinas, gerentes de ingeniería

Temas tratados en esta plantilla:

• Introducción al modelado de amenazas con IA.
• Revisión del diseño.
• Demostración de la revisión del diseño.
• Revisión del código.
• Demostración de la revisión del código.
• Análisis en profundidad del modelado de amenazas con IA.

Introducción al Riesgo & Seguridad de la IA

Este curso para principiantes presenta el riesgo y la seguridad de la IA para desarrolladores y profesionales técnicos, abarcando conceptos clave, evaluación de riesgos, estrategias de mitigación y resiliencia. También hace hincapié en la gobernanza y la rendición de cuentas de la IA.

Público: Arquitectos, ingenieros, gerentes de ingeniería, control de calidad, gerentes de producto y analistas de negocios

Temas tratados en esta plantilla:

• Fundamentos del riesgo, la seguridad, la protección y la resiliencia de la IA
• Identificación de los riesgos de la IA
• Evaluación de los riesgos de la IA
• Mitigación de los riesgos de la IA
• Gobernanza y responsabilidad de la IA
• Medidas técnicas para la seguridad de la IA
• Evaluación de la confiabilidad de la IA

Top 10 de OWASP para aplicaciones de modelos de lenguaje grandes (LLM)

Este curso explora el TOP 10 de OWASP de 2025 para aplicaciones de modelos de lenguaje grandes (LLM). Ofrece una visión general conceptual de cada elemento del top 10 y misiones interactivas para ayudar a los estudiantes a comprender mejor el impacto y los riesgos de las vulnerabilidades clave que surgen en las aplicaciones LLM.

Público: Arquitectos, ingenieros, gerentes de ingeniería

Temas tratados en esta plantilla:

• Cómo funcionan los modelos de lenguaje grandes
• Inyección directa de indicaciones
• Inyección indirecta de indicaciones
• Divulgación de información confidencial
• Cadena de suministro
• Envenenamiento de datos y modelos
• Manejo inadecuado de la salida
• Agencia excesiva
• Fuga de indicaciones del sistema
• Debilidades de vectores e incrustaciones
• Desinformación
• Consumo ilimitado

Agentes de IA y sus protocolos (MCP, A2A y ACP)

Este curso conceptual explora los agentes de IA y los protocolos de comunicación emergentes, incluidos MCP, A2A y ACP, que permiten a los agentes interactuar, colaborar y realizar tareas complejas. Los desarrolladores aprenderán sobre las vulnerabilidades comunes en la comunicación entre agentes, consideraciones prácticas de seguridad y mejores prácticas para proteger los agentes de IA cuando se utilizan los protocolos MCP, A2A y ACP.

Público: Arquitectos, ingenieros, gerentes de ingeniería

Temas tratados en esta plantilla:

• Introducción a los agentes de IA.
• Protocolos de comunicación de agentes.
• Vulnerabilidades en los agentes de IA y los protocolos de comunicación.
• Mejores prácticas para agentes de IA y protocolos de comunicación.

Protocolos de autenticación y autorización

Seguridad de OAuth 2.0

OAuth 2.0 es un marco ampliamente utilizado para proteger el acceso a las API. En este curso, presentamos los conceptos básicos de OAuth 2.0 e investigamos los flujos recomendados. También analizamos brevemente los flujos obsoletos y analizamos los problemas y conceptos erróneos de seguridad más comunes.

Público: Arquitectos, ingenieros, gerentes de ingeniería

Temas que se tratan en esta plantilla:

• La necesidad de OAuth 2.0
• Acceso delegado con OAuth 2.0
• Descripción general de los tipos de concesión de OAuth 2.0
• Acceso delegado desde un cliente confidencial
• Acceso delegado desde un cliente público
• Acceso delegado a largo plazo
• Errores y conceptos erróneos comunes
• Resumen de OAuth 2.0

Acceso seguro a las API mediante OAuth 2.0

En este curso, nos centramos en cómo utilizar OAuth 2.0 para acceder a API remotas. Analizamos el registro de clientes, los diferentes flujos y consideraciones de seguridad adicionales.

Audiencia: Arquitectos, ingenieros y gerentes de ingeniería

Temas tratados en esta plantilla:

• Introducción
• Registro de una aplicación cliente
• Alcance y permisos
• El flujo de concesión de código de autorización
• El flujo de concesión de credenciales de cliente
• El flujo de token de actualización
• Recomendaciones de seguridad de tokens

Otorgar acceso de forma segura a una API mediante OAuth 2.0

En este curso, analizamos la arquitectura de una aplicación backend que utiliza OAuth 2.0. Investigamos las propiedades de seguridad de diferentes tipos de tokens de acceso. También analizamos la importancia de la introspección de tokens y cómo usar esos datos para tomar decisiones de control de acceso.

Audiencia: Arquitectos, ingenieros y gerentes de ingeniería

Temas tratados en esta plantilla:

• Introducción
• Autenticación, autorización y OAuth 2.0
• Diferentes tipos de tokens de acceso
• Control de tokens de acceso entrantes
• Restringir el acceso mediante ámbitos bien definidos
• Implementación del control de acceso mediante OAuth 2.0
• Trampas y mejores prácticas de manejo de tokens

Temas avanzados de OAuth 2.0

OAuth 2.0 todavía está en desarrollo activo y se admite una amplia variedad de escenarios de implementación complejos. En este curso, investigamos varios apéndices a OAuth 2.0 que elevan la seguridad de casi todos los aspectos de OAuth 2.0.

Audiencia: Arquitectos, ingenieros y gerentes de ingeniería

Temas tratados en esta plantilla:

• Introducción
• Mecanismos sólidos de autenticación de clientes
• Revocación de tokens basada en cliente
• Uso de indicadores de recursos
• Fortalecimiento de los tokens al portador
• Delegación en arquitecturas OAuth 2.0
• Fortalecimiento de la inicialización de un flujo
• Ámbitos avanzados y consentimiento
• Terminando OAuth 2.0

Seguridad esencial de las API: autenticación y autorización

Este curso cubre los aspectos esenciales de la seguridad de las API, incluyendo la autenticación, la autorización, OAuth 2.0, OpenID Connect, los tokens web JSON (JWT), los modelos de control de acceso (RBAC y ABAC) y los errores comunes en materia de seguridad.

Audiencia: Arquitectos, ingenieros API, directores de ingeniería

Temas tratados en esta plantilla:

• Introducción a la seguridad de las API.
• Fundamentos de la autenticación.
• Análisis en profundidad de OAuth 2.0 y OpenID Connect.
• JWT y autenticación basada en tokens.
• Implementación de controles de autorización y errores comunes.
• Mecanismos de autenticación avanzados.
• Estándares y protocolos de seguridad de las API.

Seguridad SAML

Este curso presenta el lenguaje de marcado de aserción de seguridad (SAML), cubriendo sus componentes principales, los flujos de inicio de sesión único, las responsabilidades de seguridad de las partes interesadas y su relación con tecnologías modernas como OAuth 2.0 y OpenID Connect.

Audiencia: Arquitectos, ingenieros, ingenieros de back-end, ingenieros de API, directores de ingeniería.s

Temas tratados en esta plantilla:

• Introducción a SAML.

• La idea conceptual detrás de SAML.

• Las ventajas y desventajas de SAML.

• Descripción general de los componentes básicos de SAML.

• Aserciones SAML.

• Protocolos, enlaces y perfiles SAML.

• SAML para proveedores de servicios.

• SAML para proveedores de identidad.

• Consideraciones de seguridad de SAML.

• Conclusión sobre la seguridad de SAML.

 

Seguridad en la nube

Seguridad de DevSecOps

Este curso cubre los aspectos básicos de DevSecOps, incluidos los roles de equipo, los cambios en los procesos, el modelado de amenazas, las herramientas de pruebas de seguridad, la corrección de problemas y las métricas para medir la efectividad.

Audiencia: Arquitectos, Ingenieros de CI/CD, Ingenieros en la nube, Ingenieros, Gerentes de ingeniería

Temas tratados en esta plantilla:

• Introducción a DevSecOps
• Creación de un programa DevSecOps
• Procesos de DevSecOps
• Implementación de DevSecOps
• Supervisión de DevSecOps

Introducción a la seguridad en la nube

Este curso explora las infraestructuras seguras en la nube, centrándose en la protección de datos, la gestión de identidades, el cumplimiento y la protección de entornos en contenedores y sin servidor. A través de la teoría y ejemplos prácticos en AWS, Azure y GCP, los participantes adquirirán habilidades para diseñar y mantener soluciones seguras en la nube para desafíos en evolución.

Audiencia: Arquitectos, ingenieros en la nube, ingenieros de control de calidad y gerentes de ingeniería

Temas tratados en esta plantilla:

• Introducción a la computación en la nube y la seguridad
• Principios básicos de la seguridad en la nube
• Gestión de los riesgos de seguridad en la nube
• Estrategias de gestión de identidades y accesos
• Protección de datos en la nube
• Seguridad y segmentación de la red
• Monitoreo, cumplimiento y respuesta a incidentes
• Prácticas avanzadas de seguridad en la nube

OWASP Top 10 CI/CD

Este curso cubre los 10 principales riesgos de seguridad de OWASP CI/CD, incluidos problemas como la gestión de acceso inadecuada, el abuso de dependencias, las tuberías envenenadas y la mala higiene de las credenciales. También aborda las configuraciones inseguras del sistema, los riesgos de servicios de terceros y el registro insuficiente.

Variantes: Acciones de GitHub, declarativo de Jenkins, scripts de Jenkins

Audiencia: Arquitectos, Ingenieros de CI/CD, Ingenieros de la nube, Gerentes de ingeniería

Temas tratados en esta plantilla:

• Mecanismos de control de flujo insuficientes
• Gestión inadecuada de identidades y accesos
• Abuso de la cadena de dependencias
• Ejecución de tuberías envenenadas (PPE)
• PBAC (controles de acceso basados en tuberías) insuficientes
• Higiene insuficiente de las credenciales
• Configuración insegura del sistema
• Uso no regulado de servicios de terceros
• Validación incorrecta de la integridad del artefacto
• Registro y visibilidad insuficientes

Seguridad de los contenedores

Este curso presenta la seguridad de los contenedores y abarca las arquitecturas de contenedores, los principales riesgos, la seguridad a lo largo del ciclo de vida de los contenedores y las características de seguridad de las tecnologías de contenedores más comunes.

Audiencia: Arquitectos, ingenieros de CI/CD, ingenieros, directores de ingeniería, ingenieros de control de calidad.

Temas tratados en esta plantilla: 

• Introducción a los contenedores
• Riesgos de los contenedores
• Protección de los contenedores
• Tecnologías de contenedores

 

 

Implementación segura de infraestructura en la nube en contenedores

Este curso se centrará en los entresijos de la creación de una infraestructura moderna en la nube capaz de llevar los contenedores desde el portátil de un desarrollador hasta la producción, de forma segura.

Docker, Kubernetes 

Audiencia: Arquitectos, Ingenieros de CI/CD, Ingenieros de la nube, Gerentes de ingeniería

Temas tratados en esta plantilla: 

• Variante de Docker
  • Implementación y orquestación de contenedores
  • Seguridad de contenedores
  • Técnicas de implementación de contenedores
  • Canalizaciones de DevSecOps
• Variante de Kubernetes
  • Implementación y orquestación de contenedores
  • Técnicas de implementación de contenedores
  • Introducción a Kubernetes
  • Trabajar con clústeres y redes de Kubernetes
  • Consideraciones de seguridad de Kubernetes
  • Kubernetes gestionado en la nube
  • Canalizaciones de DevSecOps

Protección de Amazon Web Services

Este curso ofrece una descripción general completa de la seguridad de AWS, que abarca la seguridad en la nube, la conformidad, la seguridad de la infraestructura y las aplicaciones, la administración de identidades y datos, y la respuesta a incidentes.

Audiencia: Arquitectos, ingenieros de la nube, ingenieros de control de calidad y gerentes de ingeniería

Temas tratados en esta plantilla:

• Introducción a la seguridad de AWS
• Cumplimiento y gobernanza
• Aspectos esenciales de la seguridad de la infraestructura
• Seguridad web y de aplicaciones
• Conceptos básicos de la administración de identidades y accesos
• Aspectos esenciales de la seguridad de los datos
• Aspectos básicos de la supervisión y las alertas
• Respuesta a incidentes y detección de amenazas

Protección de Microsoft Azure

Este curso explora los entresijos de la protección del software creado e implementado en la plataforma en la nube de Microsoft Azure. Aprenda a usar las características específicas de Azure para asegurarse de que los datos de producción de la aplicación están protegidos y supervisados adecuadamente.

Audiencia: Arquitectos, ingenieros de la nube, ingenieros de control de calidad y gerentes de ingeniería

Temas tratados en esta plantilla:

• Introducción a Microsoft Azure
• Seguridad de red en Azure
• Gestión de identidades y accesos
• Seguridad y encriptación de datos
• Características de seguridad de la plataforma Azure
• Supervisión y registro de Azure

Protección de Google Cloud Platform

Este curso te guía en la creación y el funcionamiento de un entorno seguro en Google Cloud Platform, y cubre las funciones y los servicios de seguridad para proteger tu infraestructura y tus datos. Al final, podrás configurar una infraestructura de GCP segura para implementar aplicaciones y servicios nativos de la nube.

Audiencia: Arquitectos, ingenieros de la nube, ingenieros de control de calidad y gerentes de ingeniería

Temas tratados en esta plantilla:

• Introducción a Google Cloud Platform (GCP)
• Infraestructura de GCP y seguridad de red
• Administración de identidades y accesos en GCP
• Seguridad y encriptación de datos
• Gestión de la seguridad
• Registro y monitoreo

Protección de la infraestructura como código (IaC)

Este curso cubre una amplia gama de temas, desde la arquitectura y las características de seguridad del sistema operativo iOS hasta las complejidades del desarrollo y la implementación de aplicaciones.

Audiencia: Ingenieros de plataformas, arquitectos y otros ingenieros y gerentes de ingeniería que trabajan con herramientas de IaC

Temas tratados en esta plantilla:

• Introducción a la IaC y la seguridad
• Conceptos básicos en IaC
• Descripción general de las herramientas de IaC
• Profundización en la seguridad en IaC
• Gestión de secretos en IaC
• Mejores prácticas de IaC con un enfoque de seguridad
• IaC en CI/CD: Preocupaciones de seguridad

 

Criptografía

Introducción a la criptografía para desarrolladores y arquitectos

Este curso enseñará a los alumnos los conceptos básicos de criptografía que les ayudarán a diseñar y desarrollar aplicaciones y sistemas seguros.

Audiencia: Arquitectos, Ingenieros, Gerentes de Ingeniería

Temas tratados en esta plantilla:

• Fundamentos de la criptografía
• Encriptación
• Cifrado simétrico
• Cifrado asimétrico
• Funciones hash criptográficas
• Códigos de autenticación de mensajes
• Firmas digitales
• Criptografía práctica

 

Seguridad de los datos

Seguridad de la base de datos

Este curso cubre los pasos esenciales para proteger las bases de datos, desde la comprensión de las amenazas y el cumplimiento hasta la implementación de la autenticación, el cifrado y la supervisión y auditoría eficaces.

Audiencia: Arquitectos, Científicos de Datos, Ingenieros de Datos, Gerentes de Ingeniería

Temas tratados en esta plantilla:

• Introducción a la seguridad de bases de datos
• Gobernanza y cumplimiento
• Autenticación y control de acceso
• Encriptación
• Operación y Monitoreo
• Resumen

Seguridad para científicos de datos & Analistas

Este curso cubre temas clave como la ciberseguridad, la seguridad de los datos, los principios de seguridad avanzados, la seguridad de las tuberías de datos, la detección de anomalías, el SIEM, la inteligencia de amenazas y las prácticas de codificación segura.

Audiencia: Científicos de datos, ingenieros de datos, analistas de datos, arquitectos

Temas tratados en esta plantilla:

• Introducción a la Ciberseguridad
• Fundamentos de la seguridad de los datos
• Más allá de la tríada de la CIA con principios de seguridad modernos
• Seguridad para canalizaciones de datos
• Aprendizaje automático para la detección de anomalías
• Gestión de eventos e información de seguridad (SIEM)
• Aspectos básicos de la inteligencia de amenazas
• Codificación segura para la ciencia de datos

Almacenamiento seguro de contraseñas

Este curso proporciona conocimientos profundos sobre el campo en evolución de la seguridad de las contraseñas, guiando a los estudiantes a través de conceptos fundamentales hasta estrategias avanzadas para salvaguardar las credenciales de los usuarios.

Público: Arquitectos, ingenieros, gerentes de ingeniería

Temas que se tratan en esta plantilla:

• El panorama moderno de las contraseñas
• Comprensión de los matices del almacenamiento de contraseñas
• Más allá de las funciones hash básicas
• La ciencia y el arte de usar sal en las contraseñas
• Funciones unidireccionales: la nueva frontera
• Servicios de bóveda segura y módulos de seguridad de hardware (HSM)
• Transición a mecanismos modernos de almacenamiento de contraseñas
• Elaboración del plan óptimo de seguridad de contraseñas

 

Seguridad integrada

Introducción a la seguridad integrada

Este curso proporciona una descripción general completa de la seguridad integrada, que abarca temas fundamentales como los conceptos básicos de los sistemas integrados, la importancia de la seguridad, las preocupaciones de seguridad comunes, las fallas de diseño, las vulnerabilidades del hardware, la seguridad de la red, la seguridad física y la piratería ética.

Público: Arquitectos, ingenieros, gerentes de ingeniería y control de calidad que trabajan en sistemas integrados

Temas tratados en esta plantilla:

• Fundamentos de los sistemas integrados
• Conceptos básicos de seguridad integrada
• Preocupaciones comunes de seguridad integrada
• Vulnerabilidades de hardware
• Introducción a la seguridad de red integrada
• Fundamentos de seguridad física y de hardware
• Hacking ético y auditorías de seguridad para sistemas integrados

Seguridad integrada avanzada

Este curso proporciona una cobertura integral de las prácticas de seguridad avanzadas para sistemas integrados. Comienza con los fundamentos criptográficos adaptados a las limitaciones de hardware y avanza hacia el diseño arquitectónico seguro, incorporando entornos de ejecución confiables y mecanismos de arranque seguro.

Audiencia: Arquitectos, ingenieros, gerentes de ingeniería y control de calidad que trabajan en sistemas integrados

Temas tratados en esta plantilla:

• Criptografía para sistemas integrados.
• Diseño de arquitectura integrada segura.
• Análisis en profundidad de sistemas operativos integrados. Seguridad de red avanzada para dispositivos integrados.
• Técnicas de seguridad física y de hardware.
• Defensa contra ataques avanzados de firmware. Pruebas de penetración de dispositivos integrados y piratería ética.
• Cumplimiento, certificación y auditorías de seguridad. para sistemas integrados

 

Seguridad específica de la industria

Introducción a la seguridad automotriz

Este curso ofrece una descripción general de la seguridad automotriz, que abarca amenazas, fundamentos, modelos de amenazas y estándares con una inmersión profunda en la norma ISO 26262. También aborda prácticas de codificación, pruebas y mantenimiento para ayudar a mitigar los riesgos de seguridad del vehículo.

Público: Arquitectos, ingenieros, ingenieros de control de calidad, gerentes de ingeniería

Temas tratados en esta plantilla:

• Introducción a la seguridad automotriz
• Fundamentos de la tecnología automotriz
• Modelado de amenazas a la seguridad de vehículos automotrices
• Principios de diseño seguro
• Requisitos regulatorios, estándares y pautas
• Desarrollo seguro de software y hardware
• Pruebas y mantenimiento seguros

Desarrollo seguro para servicios financieros

Este curso presentará el panorama de cumplimiento actual para la creación de aplicaciones para el sector de servicios financieros.

Público: Arquitectos, ingenieros, gerentes de ingeniería, control de calidad, gerentes de producto, analistas de negocios

Temas tratados en esta plantilla:

• Desafíos del entorno regulatorio moderno
• Análisis del panorama regulatorio para servicios financieros
• Autenticación, autorización y control de acceso
• Privacidad de datos
• Cifrado e integridad de datos
• Seguridad operativa y monitoreo

Desarrollo seguro para el cuidado de la salud

Este curso explora el panorama de cumplimiento para aplicaciones de atención médica y software de dispositivos médicos, centrándose en los requisitos legales y las mejores prácticas para proteger información médica confidencial.

Público: Arquitectos, ingenieros, gerentes de ingeniería, control de calidad, gerentes de producto, analistas de negocios

Temas tratados en esta plantilla:

• Desarrollo de aplicaciones seguras para el cuidado de la salud
• Cumplimiento legal y regulatorio en la industria de la salud
• Protección de la información de salud
• Desarrollo de aplicaciones seguras para el cuidado de la salud
• Seguridad de dispositivos médicos
• Pruebas y respuesta a incidentes

 

Internet de las cosas

Introducción a la seguridad del Internet de las cosas

Este curso explora las complejidades y los desafíos de seguridad del IoT, centrándose en la privacidad y las vulnerabilidades. Proporciona los conocimientos necesarios para tomar decisiones informadas como proveedor, empresa o consumidor de IoT.

Público: Arquitectos, ingenieros, gerentes de ingeniería, control de calidad, gerentes de producto y analistas de negocios

Temas tratados en esta plantilla:

• Introducción al Internet de las cosas
• Arquitectura de IoT
• Protocolos de comunicación de IoT
• Modelado de amenazas de IoT
• Preocupaciones de seguridad de IoT
• Preocupaciones regulatorias de IoT

Comunicación segura para el Internet de las cosas

Este curso explora los principales desafíos de seguridad en el Internet de las cosas (IoT) y las técnicas que utilizan los atacantes reales para explotarlos. Al finalizar, se adquirirá una sólida comprensión del desarrollo seguro de productos de IoT y la evaluación de la seguridad desde la perspectiva del proveedor y del consumidor.

Público: Arquitectos, ingenieros, gerentes de ingeniería, control de calidad, gerentes de producto y analistas de negocios

Temas tratados en esta plantilla:

• Revisión de IoT
• Seguridad de las comunicaciones de IoT
• Seguridad del firmware de IoT
• Autenticación de IoT
• Seguridad de aplicaciones web y móviles de IoT

 

Seguridad móvil

Fundamentos de la seguridad móvil

Este curso proporciona una visión general de los riesgos que un desarrollador debe tener en cuenta al desarrollar para dispositivos móviles. Los temas incluyen plataformas y aplicaciones móviles, riesgos de protección de datos, amenazas a la comunicación de red, configuración segura y endurecimiento binario, y pruebas de seguridad de aplicaciones.

Audiencia: Arquitectos, Ingenieros móviles, Gerentes de ingeniería, QA, Gerentes de producto, Analistas de negocios

Temas tratados en esta plantilla:

• Plataformas móviles
• Aplicaciones Móviles
• Riesgos móviles
• Riesgos de comunicación de red
• Configuración segura y endurecimiento binario
• Pruebas de seguridad de aplicaciones móviles

 

Código abierto y cadena de suministro

Software de código abierto (OSS)

Este curso explora el software de código abierto, sus ventajas y desventajas, y las estrategias para gestionar eficazmente los riesgos asociados. Los participantes examinarán estudios de casos del mundo real de vulnerabilidades destacadas de OSS para comprender las lecciones clave y las mejores prácticas para mitigar los riesgos de seguridad.

Audiencia: Arquitectos, Ingenieros, Gerentes de Ingeniería

Temas tratados en esta plantilla:

• Introducción al software de código abierto
• Licencias de código abierto
• Uso correcto de licencias de código abierto
• Resumen de los 10 principales riesgos de OWASP para el software de código abierto
• Casos de estudio
• Gestión del riesgo del software de código abierto
• Creación de una política de código abierto

Políticas y riesgos de código abierto

Este curso cubre las licencias clave de código abierto, sus obligaciones, los riesgos de seguridad asociados y los pasos para crear una política corporativa para uso en toda la organización.

Audiencia: Arquitectos, Ingenieros, Gerentes de Ingeniería, Gerentes de Producto, Analistas de Negocios

Temas tratados en esta plantilla:

• Introducción a las políticas de código abierto y sus riesgos
• Licencias de código abierto
• Uso correcto de licencias de código abierto
• Riesgos de seguridad del software de código abierto
• Creación de una política de código abierto
• Resumen de las políticas de código abierto y sus riesgos

Examinando su cadena de suministro digital

Este curso explora el panorama cambiante de la seguridad de la cadena de suministro digital, cubriendo riesgos de terceros, SBOM y HBOM, y relaciones seguras con los proveedores. También aborda la codificación segura, la gobernanza y el creciente papel de la IA en las cadenas de suministro modernas.

Audiencia: Arquitectos, Ingenieros, Gerentes de Ingeniería, Gerentes de Producto, Analistas de Negocios

Temas tratados en esta plantilla:

• Navegando por la cadena de suministro digital: de los componentes a los riesgos
• Dirigir cadenas de suministro seguras: liderazgo y estrategia
• Optimización de los procesos organizativos: un plan para gestionar los riesgos de terceros
• Practicar el desarrollo seguro al tiempo que se abordan los riesgos de seguridad de la información de terceros
• Cumplimiento y control de riesgos en la cadena de suministro digital
• Gestión de su cadena de suministro digital relacionada con la IA
• Servicios relacionados con la IA para empresas con baja madurez en IA
• Servicios relacionados con la IA para empresas con mayor madurez en IA

 

Industria de tarjetas de pago (PCI)

Conceptos y cumplimiento de PCI DSS v4.0

Este curso conceptual está pensado como una formación en seguridad para cualquier desarrollador que trabaje en aplicaciones relevantes para PCI DSS. El curso explicará los requisitos anuales de capacitación de PCI DSS para desarrolladores y luego procederá a proporcionar la capacitación necesaria.

Audiencia: Arquitectos, Ingenieros, Gerentes de Ingeniería, QA, Gerentes de Producto, Analistas de Negocios

Temas tratados en esta plantilla:

• Introducción a la formación para desarrolladores de PCI DSS
• Requisitos 1-4 de PCI DSS v4.0
• Requisitos 5-12 de PCI DSS v4.0
• Ejemplos del mundo real
• Preparación para una evaluación PCI DSS

 

Privacidad

Introducción al RGPD

Este curso cubre los principios, funciones y regulaciones del uso de datos personales, centrándose en los derechos de los interesados y el impacto del GDPR en el ciclo de vida del desarrollo de software.

Audiencia: Arquitectos, Ingenieros, Gerentes de Ingeniería, QA, Gerentes de Producto, Analistas de Negocios

Temas tratados en esta plantilla:

• ¿Qué es el RGPD y por qué es importante?
• Cronología y multas notables
• Roles clave en el GDPR
• Datos personales
• Principios del RGPD para el tratamiento y la protección de datos personales
• Conceptos de protección de datos y violación de datos
• Derechos clave del interesado

GDPR para desarrolladores y arquitectos

Este curso intermedio cubre los principios y requisitos de GDPR para desarrolladores y arquitectos de software. Los temas incluyen la obtención del consentimiento, la gestión del acceso y el intercambio de datos personales, las solicitudes de acceso de los interesados y las transferencias internacionales de datos.

Audiencia: Arquitectos, Ingenieros, Ingenieros de Datos, Científicos de Datos, Gerentes de Ingeniería

Temas tratados en esta plantilla:

• Principio de protección de datos desde el diseño y por defecto
• Requisitos de privacidad
• Datos personales
• Obtención del consentimiento
• Recopilación y procesamiento de datos personales
• Recopilación de datos personales de niños
• Acceso a los datos personales
• Compartir datos personales con las fuerzas del orden
• Portabilidad y eliminación de datos
• Anonimización y encriptación
• Solicitudes de acceso de los interesados (DSAR)
• Transferencias internacionales de datos (IDT)
• Control de acceso y registro

GDPR para Gerentes de Desarrollo y Proyectos

Este curso intermedio cubre los principios del GDPR para desarrolladores y gerentes de proyectos. Los temas incluyen la protección de datos desde el diseño, los derechos de los interesados, los requisitos de diseño y producción, las evaluaciones de impacto en la privacidad, el intercambio de datos y las transferencias internacionales.

Audiencia: Arquitectos, Ingenieros, Gerentes de Ingeniería, Gerentes de Producto, Analistas de Negocios, Gerentes de Proyecto

Temas tratados en esta plantilla:

• Principio de protección de datos desde el diseño y por defecto
• Realización de asignaciones de datos personales
• Derechos de los interesados
• Requisitos de diseño
• Evaluación de impacto sobre la privacidad de los datos (EIPD)
• Requisitos para el desarrollo, las pruebas y la producción
• Compartir datos personales con las fuerzas del orden
• Transferencias internacionales de datos (IDT)

Introducción a la CCPA

Este curso proporcionará todas las pautas necesarias para garantizar que sus aplicaciones cumplan con la CCPA (Ley de Privacidad del Consumidor de California). En él se detallan los avisos requeridos que deben proporcionarse a los consumidores y se describen los procesos para implementarlos de manera efectiva.

Audiencia: Arquitectos, Ingenieros, Gerentes de Ingeniería, QA, Gerentes de Producto, Analistas de Negocios

Temas tratados en esta plantilla:

• ¿Qué es la CCPA?
• Derechos del consumidor
• Requisitos para las empresas
• Hoja de ruta para el cumplimiento de la CCPA

 

Diseño de software seguro

Análisis de Riesgos de Arquitectura

Este curso conceptual cubre el Análisis de Riesgos de Arquitectura (ARA), un conjunto de técnicas que tienen como objetivo descubrir fallas de diseño y los riesgos que representan dentro de un sistema. Este curso enseña las habilidades necesarias para identificar defectos a nivel de diseño.

Audiencia: Arquitectos, Ingenieros, Ingenieros de Control de Calidad, Gerentes de Ingeniería

Temas tratados en esta plantilla:

• Descripción general de ARA
• Defectos de diseño y las técnicas que los encuentran
• ARA en pocas palabras
• El papel de los diagramas y la diagramación en ARA
• Contexto empresarial
• Análisis de dependencias
• Aplicación de los principios de diseño para ARA
• Análisis de ataques conocidos
• Instalación de ARA en un SDL

Estrategia de pruebas de seguridad basada en riesgos

Este curso proporciona a los alumnos una comprensión integral de las metodologías, herramientas y mejores prácticas para evaluar y mejorar de manera efectiva la postura de seguridad de los sistemas de software. Los alumnos explorarán los conceptos básicos de la evaluación de riesgos, la planificación de exámenes, el diseño, la ejecución y la presentación de informes.

Audiencia: Ingenieros, Ingenieros de control de calidad, Gerentes de ingeniería

Temas tratados en esta plantilla:

• Introducción a las pruebas de seguridad basadas en riesgos
• Identificación de riesgos en los sistemas de software dentro de la empresa
• Técnicas de Evaluación y Priorización de Riesgos
• Planificación, diseño e implementación de pruebas basadas en riesgos
• Ejecución, evaluación e informes de pruebas
• Herramientas y técnicas para pruebas de seguridad basadas en riesgos
• Mejora Continua y Adaptación

Requisitos de seguridad

Este curso conceptual cubre las metodologías para recopilar, definir y verificar los requisitos de seguridad. Los participantes aprenderán qué son y cómo redactar requisitos de seguridad procesables que se alineen con los objetivos de la organización.

Audiencia: Arquitectos, Gerentes de Ingeniería, Gerentes de Producto, Analistas de Negocios

Temas tratados en esta plantilla:

• Introducción a los requisitos de seguridad del software
• Recopilación de requisitos y metodologías
• Cómo escribir requisitos de seguridad
• Verificación de los requisitos de seguridad

Modelado de amenazas

En este curso, los participantes aprenderán metodologías sistemáticas para identificar y mitigar posibles amenazas a los sistemas de software. Los temas incluyen la comprensión de la arquitectura del sistema, los flujos de datos y los panoramas de amenazas, y la aplicación de herramientas de modelado de amenazas.

Audiencia: Arquitectos, Ingenieros, Gerentes de Ingeniería

Temas tratados en esta plantilla:

• Descripción general del modelado de amenazas
• Introducción al modelado de amenazas
• Comprensión del sistema y el entorno
• Metodologías de modelado de amenazas
• S.T.R.I.D.E.
• Herramientas de modelado de amenazas
• Implementación de prácticas de modelado de amenazas
• Estudio de caso de modelado de amenazas

 

Fundamentos de seguridad

Concienciación sobre seguridad 101

Este curso conceptual precargado contiene videos, pautas y misiones diseñadas para introducir al alumno en la seguridad del software y las vulnerabilidades más frecuentes. Funciona como una excelente descripción general completa de una amplia gama de conceptos y temas de seguridad que son muy relevantes para el SDLC.

Audiencia: Arquitectos, Ingenieros, Gerentes de Ingeniería, QA, Gerentes de Producto, Analistas de Negocios

Temas tratados en esta plantilla:

• Conceptos de seguridad de aplicaciones
  • Defensa en profundidad
  • Diseño abierto
  • Registro
  • Comprobación de errores robusta
  • Reutilización de controles de seguridad existentes en un marco o lenguaje
  • Protección de datos
  • Privilegios mínimos
  • Seguro por defecto
  • No confíes en ninguna aportación
  • Falla de forma segura
• Seguridad de aplicaciones web
  • Más información sobre las cookies y las sesiones
  • Almacenamiento local
  • Problemas con las medidas de seguridad del lado del cliente
  • CSP, SOP, CORS
  • Escape de datos insuficientes
  • Encabezados HTTP incorrectos o faltantes
  • Falta control de acceso a nivel de función
  • Inyección SQL
  • Autenticación incorrecta
  • Almacenamiento de contraseñas en texto plano
• Modelado de amenazas
  • Información general sobre el modelado de amenazas
  • Introducción
  • Comprensión del sistema y el entorno
  • Metodologías
  • S.T.R.I.D.E.
  • Herramientas de modelado de amenazas
  • Implementación de prácticas de modelado de amenazas
  • Flujo de trabajo de modelado de amenazas
• Fundamentos de la seguridad del software
  • Introducción y descripción general de los conceptos de seguridad de software
  • Iniciativas de seguridad de software (SSI)
  • Ciclo de vida de desarrollo de software (SDLC) y SSDLC
  • Revisiones de código seguro
  • Pruebas de seguridad de aplicaciones
  • Introducción a SAST
  • Introducción a DAST
  • Introducción a las pruebas de penetración
  • Introducción a las normas de seguridad
  • Introducción a OWASP
  • Introducción a OWASP ASVS
  • Introducción a los estándares de codificación SEI CERT
• Requisitos de seguridad
  • Introducción a los requisitos de seguridad del software
  • Recopilación de requisitos y metodologías
  • Cómo escribir requisitos de seguridad
  • Verificación de los requisitos de seguridad
• Software de código abierto
  • Introducción
  • Resumen de los 10 principales riesgos de OWASP
  • Casos de estudio
  • Gestión del riesgo del software de código abierto
• Concienciación sobre LLM
  • Ventajas de usar IA al escribir código
  • Peligros potenciales del uso de la IA al escribir código

Fundamentos de la seguridad del software

Este curso conceptual independiente del lenguaje presenta conceptos fundamentales de seguridad de software a lo largo del ciclo de vida del desarrollo de software (SDLC). Los participantes aprenderán a establecer Iniciativas de Seguridad de Software (SSI), realizar revisiones de código seguro e implementar pruebas de seguridad de aplicaciones.

Audiencia: Arquitectos, Ingenieros, Gerentes de Ingeniería, QA, Gerentes de Producto, Analistas de Negocios

Temas tratados en esta plantilla:

• Introducción y descripción general de los conceptos de seguridad de software
• Iniciativas de seguridad de software (SSI)
• Ciclo de vida de desarrollo de software (SDLC) y SSDLC
• Revisiones de código seguro
• Pruebas de seguridad de aplicaciones
• Introducción a SAST
• Introducción a DAST
• Introducción a las pruebas de penetración
• Introducción a las normas de seguridad
• Introducción a OWASP
• Introducción a OWASP ASVS
• Introducción a los estándares de codificación SEI CERT

Ataque y defensa

Este curso conceptual proporciona a los alumnos una visión general de cómo los atacantes descubren y explotan vulnerabilidades en el mundo real, y proporciona las mejores prácticas sobre cómo construir una línea de defensa sólida.

Audiencia: Arquitectos, Ingenieros, Gerentes de Ingeniería

Temas tratados en esta plantilla:

• El modelo del Adversario del Diamante
• Cuadrantes de atacantes, grupos de amenazas persistentes avanzadas (APT) y ejemplos reales de tácticas, técnicas y procedimientos (TTP)
• Vulnerabilidades de la cadena de suministro y pruebas de bibliotecas de código abierto
• Seguridad en la nube y protección de la infraestructura
• Diseño de arquitectura segura, configuración segura, administración, supervisión y alertas
• Ejemplos de buenas y malas defensas de seguridad de aplicaciones
• Otras estrategias de defensa y mejores prácticas

Protección de las API

Este curso explora cómo los atacantes utilizan técnicas ofensivas para atacar las API y cómo implementar medidas de seguridad defensivas para contrarrestar estas amenazas. Al final del curso, se desarrollará un conjunto de mejores prácticas para mejorar la seguridad de la API.

Audiencia: Arquitectos, Ingenieros de API, Ingenieros de Back End, Gerentes de Ingeniería

Temas tratados en esta plantilla:

• Introducción a las APIs
• El papel del cliente en la seguridad
• Uso de la limitación de velocidad y la protección contra abusos
• Mitigación de la falsificación de solicitudes del lado del servidor (SSRF)
• Implementación de CORS para API
• Configuración de encabezados de seguridad para API
• Conclusión: Endurecimiento de las API

Información general sobre las pruebas de seguridad de aplicaciones

Este curso ofrece una descripción general de alto nivel de las pruebas de seguridad de aplicaciones, que cubren SAST, DAST y pruebas de penetración. Aprenda las herramientas clave, las técnicas y cómo interpretar los resultados para identificar y mitigar las vulnerabilidades de las aplicaciones.

Audiencia: Ingenieros de todo tipo, Gerentes de Ingeniería y Gerentes de Producto

Temas tratados en esta plantilla:

• Pruebas de seguridad de aplicaciones
• Introducción a SAST
• Introducción a DAST
• Introducción a las pruebas de penetración

Low-Code y No-Code (LCNC)

Este curso presenta los fundamentos de las plataformas no-code y low-code, destacando sus beneficios y limitaciones. Cubre los 10 principales códigos bajos y sin código de OWASP para ayudar a identificar y mitigar los riesgos de seguridad clave en el desarrollo de código bajo y sin código.

Audiencia: Arquitectos, Ingenieros, Gerentes de Ingeniería, Gerentes de Producto

Temas tratados en esta plantilla:

• Introducción al low-code
• Introducción al No-Code
• Resumen del Top 10 de OWASP Low-Code/No-Code

Identidades no humanas (NHI)

Este curso sobre el OWASP Top 10 para identidades no humanas (NHI) describe los riesgos de seguridad más críticos asociados con la integración de NHI, como identidades de aplicaciones y credenciales de máquinas, en sistemas de software.

Audiencia: Arquitectos, ingenieros de DevOps, ingenieros de plataformas, ingenieros de nube, ingenieros de backend y API, ingenieros de control de calidad, gerentes de producto

Temas tratados en esta plantilla:

• Offboarding inadecuado
• Fuga secreta
• NHI de terceros vulnerables
• Autenticación insegura
• NHI sobreprivilegiado
• Configuraciones de implementación en la nube inseguras
• Secretos longevos
• Aislamiento del entorno
• Reutilización de NHI
• Uso humano de la NHI

Introducción a la seguridad HTML5

Este curso presenta el modelo de seguridad web centrándose en HTML5, y abarca las técnicas de ataque más comunes en los navegadores, sus debilidades inherentes y los mecanismos de seguridad que pueden aprovecharse para defenderse.

Audiencia: Arquitectos, ingenieros, ingenieros de back-end, ingenieros de front-end, ingenieros móviles, directores de ingeniería.

Temas tratados en esta plantilla: 

• El modelo de seguridad subyacente.
• Aislamiento sólido con iframes.
• Comunicación entre contextos.
• Tabnabbing, clickjacking y UI redressing.
• Seguridad de formularios HTML5.
• Ataques de inyección avanzados.
• Mecanismos de almacenamiento del lado del cliente.

Programación defensiva para la seguridad HTML5

Este curso aborda los riesgos de seguridad en el desarrollo front-end, centrándose en la manipulación del DOM, las características de JavaScript y HTML5, los mecanismos de seguridad de los navegadores, las técnicas de programación defensiva y las fuentes y sumideros comunes de JavaScript.

Audiencia: Ingenieros front-end, ingenieros móviles, directores de ingeniería

Temas tratados en esta plantilla:

• El panorama de riesgos
• El modelo de seguridad de la web
• Almacenamiento de datos del lado del cliente
• Mensajería web
• Sandboxing de iframes
• Política de seguridad de contenidos (CSP)
• Comprender el intercambio de recursos entre orígenes
• Proteger aplicaciones web con CORS
• Características adicionales de HTML5
• Conclusión:

 

 

COBOL

Fundamentos de la seguridad COBOL

Este curso explora los riesgos del sistema COBOL, desacredita los mitos de seguridad y examina las vulnerabilidades. Cubre las mejores prácticas y estrategias para mitigar los problemas de seguridad.

Idiomas admitidos: COBOL Mainframe

Audiencia: Arquitectos, ingenieros de mainframe, gerentes de ingeniería

Temas tratados en esta plantilla:

• Introducción a COBOL
• Comprender los principios de seguridad
• Mitos de seguridad de COBOL
• Activos típicos del sistema COBOL e implicaciones de seguridad
• Validación de entrada segura y representación de datos
• Acceso seguro a la base de datos
• Prácticas de registro seguro
• Manejo seguro de errores

Programación defensiva para COBOL

Este curso explora técnicas especializadas de programación defensiva y las mejores prácticas para desarrollar aplicaciones COBOL seguras. Los temas incluyen métodos específicos de COBOL para la validación de entradas, interacciones seguras con bases de datos, manejo sólido de errores y sincronización adecuada de recursos.

Idiomas admitidos: COBOL Mainframe

Audiencia: Arquitectos, ingenieros de mainframe, gerentes de ingeniería

Temas tratados en esta plantilla:

• Introducción
• Manejo de Información Confidencial
• Autenticación y autorización
• Manejo seguro de memoria
• Criptografía y COBOL
• Vulnerabilidades comunes
• Problemas de tiempo y estado
• Integraciones modernas y seguras

IOS

Fundamentos de iOS

Este curso cubre una amplia gama de temas, desde la arquitectura y las características de seguridad del sistema operativo iOS hasta las complejidades del desarrollo y la implementación de aplicaciones.

Idiomas admitidos: SDK de Objective-C para iOS, SDK de Swift para iOS

Audiencia: Arquitectos, ingenieros móviles, gerentes de ingeniería e ingenieros de control de calidad

Temas tratados en esta plantilla:

• Introducción a iOS
• Arquitectura iOS
• Principios de seguridad de desarrollo y estructura de la aplicación
• Funciones avanzadas de iOS
• Seguridad en iOS
• Jailbreaks, exploits de un solo clic y sin clic
• Implementación y mantenimiento seguros de aplicaciones iOS

Programación segura para iOS

Aprenda técnicas de programación defensiva para mitigar los riesgos de las aplicaciones de iOS, centrándose en el uso eficaz de los controles de seguridad clave de la plataforma.

Idiomas admitidos:SDK de Objective-C para iOS, SDK de Swift para iOS

Audiencia:Arquitectos, ingenieros móviles y gerentes de ingeniería

Temas tratados en esta plantilla:

• Introducción al desarrollo seguro
• Comunicaciones seguras
• Inyección del lado del cliente
• Autenticación
• Almacenamiento seguro
• Protecciones binarias
• Comunicaciones entre procesos

Androide

Seguridad de Android

Este curso cubre las funciones de seguridad integradas del sistema operativo Android y dónde pueden quedarse cortas para proteger a los usuarios. También se centra en las técnicas de programación defensiva que los desarrolladores de Android deben utilizar para proteger sus aplicaciones y los datos de los usuarios de los ataques comunes.

Idiomas admitidos: SDK de Java para Android, SDK de Kotlin para Android

Audiencia: Arquitectos, Ingenieros móviles, Gerentes de ingeniería

Temas tratados en esta plantilla:

• Introducción: Los riesgos para las aplicaciones de Android
• Estructura del APK de Android
• Modelo de seguridad de Android
• Problemas de permisos
• Problemas de intención
• Uso de controles del lado cliente
• Comunicaciones seguras

Seguridad avanzada de Android

El curso cubre temas como la comunicación de red segura, el manejo de secretos, el manejo de la autenticación y el manejo de permisos. Todos los desarrolladores de Android deben seguir este curso para conocer las mejores prácticas de seguridad para las aplicaciones modernas de Android.

Idiomas admitidos: Kotlin Android SDK

Audiencia: Arquitectos, Ingenieros móviles, Gerentes de ingeniería

Temas tratados en esta plantilla:

• Desarrollo seguro de aplicaciones para Android
• Manejo de excepciones mejorado en Kotlin
• Comunicación de red segura
• Manejo de secretos y datos confidenciales
• Autenticación de usuario local
• Autenticación de usuario basada en API
• Acceso seguro a la API
• Manejo de contenido web
• Protección de intenciones
• Uso eficaz de los permisos
• Conclusión

 

Seguridad de Kubernetes

Este curso presenta los componentes clave de la arquitectura de Kubernetes, su superficie de ataque y los riesgos asociados. Se centra en minimizar la superficie expuesta a ataques cubriendo la seguridad de los nodos, las imágenes de contenedores reforzadas, los estándares de seguridad de los pods, las políticas de red y los registros de auditoría.

Idiomas admitidos: Kubernetes

Audiencia: Ingenieros de plataforma, ingenieros de CI/CD, ingenieros de nube, gerentes de ingeniería

Temas tratados en esta plantilla:

• Introducción a Kubernetes
• Seguridad de la infraestructura
• Seguridad de la imagen
• Seguridad en tiempo de ejecución
• Registro y auditoría

Seguridad C/C++ moderna

Este curso explora las complejidades de C desde una perspectiva de seguridad, cubriendo las principales vulnerabilidades como el manejo de cadenas, la administración de memoria, el desbordamiento de enteros y los ataques de cadenas de formato, junto con estrategias para mitigarlos.

Idiomas admitidos: C, C++

Audiencia: Ingenieros, Gerentes de Ingeniería

Temas tratados en esta plantilla:

• Introducción a la seguridad moderna
• Tipos de datos
• Instrumentos de cuerda
• Interfaces, condiciones previas, condiciones posteriores
• Seguridad de la memoria (solo variante C)
• Concurrencia
• Comportamiento indefinido
• La Biblioteca C de GNU (solo variante C)
• Compiladores
• Defensas automáticas
• Revisiones de código

Programación segura para GO

Este curso cubre la programación segura en Go, centrándose en la seguridad de la interfaz web, la concurrencia, la gestión de sesiones, la criptografía y el manejo de errores, con estrategias para prevenir vulnerabilidades comunes.

Idiomas admitidos: GO Básico, GO API

Audiencia: Ingenieros, Gerentes de Ingeniería

Temas tratados en esta plantilla:

• Introducción
• Web Interfaces
• Concurrencia
• Gestión de sesiones y control de acceso
• Criptografía
• Manejo de errores

 

Recomendaciones del CERT

Este curso está precargado con pautas y desafíos basados en el estándar de codificación SEI CERT.

Idiomas admitidos: C, C++

Audiencia: Ingenieros

Temas tratados en esta plantilla:

• Declaraciones e inicialización (DCL)
• Expresiones (EXP)
• Enteros (INT)
• Contenedores (CTR)
• Caracteres y cadenas (STR)
• Gestión de memoria (MEM)
• Entrada y salida (FIO)
• Excepciones y control de errores (ERR)
• Programación Orientada a Objetos (POO)
• Simultaneidad (CON)
• Miscelánea (MSC)

MISRA

Este curso cubre el cumplimiento de MISRA, centrándose en la decidibilidad, la seguridad de tipos y los comportamientos indefinidos. Conozca las prácticas recomendadas para la seguridad de la memoria y las estrategias para evitar errores comunes en la programación segura.

Idiomas admitidos: C Incrustado

Audiencia: Ingenieros

Temas tratados en esta plantilla:

• Introducción a MISRA
• Decidibilidad
• Tipo de seguridad
• Comportamientos
• Desbordamiento de búfer
• Desbordamiento de pila
• Desreferencia nula
• Doble Gratis
• Variable no inicializada
• Condiciones de la carrera

NIS2

Este curso de formación NIS2 cubre temas prácticos como la seguridad de la cadena de suministro, la criptografía, el cifrado y la autenticación multifactor. También aborda requisitos esenciales como la seguridad de la red, la gestión de riesgos, la gestión de incidentes y la gestión de vulnerabilidades.

Audiencia: Ingenieros

Temas tratados en esta plantilla:

• Seguridad de la cadena de suministro (tema conceptual)
  • Introducción al software de código abierto
  • Licencias de código abierto
  • Uso correcto de las licencias de código abierto
    Resumen de los 10 principales riesgos de OWASP para el software de código abierto
  • Casos de estudio
  • Gestión del riesgo del software de código abierto
• Evaluación y Gestión de Riesgos (tema conceptual)
  • Medidas de gestión de riesgos de ciberseguridad
  • Gestión de vulnerabilidades
• Seguridad de Redes, Criptografía y Autenticación Multifactor (tema práctico)
  • Seguridad de la red
  • Almacenamiento de contraseñas en texto plano
  • Uso débil del algoritmo
  • Uso de la autenticación de un solo factor
• Continuidad del negocio y respuesta a incidentes (tema conceptual)
  • Gestión de crisis
  • Respuesta a incidentes
• Evaluación y Gestión de Riesgos: Análisis de Riesgos de la Arquitectura (tema conceptual)
  • Descripción general de ARA
  • Defectos de diseño y las técnicas que los encuentran
  • ARA en pocas palabras
  • El papel de los diagramas, la diagramación en ARA
  • Contexto empresarial
  • Análisis de dependencias
  • Aplicación de los principios de diseño para ARA
  • Análisis de ataques conocidos
  • Instalación de ARA en un SDL
• Evaluación y gestión de riesgos: Modelado de amenazas (tema conceptual)
  • Información general sobre el modelado de amenazas & Introducción
  • Comprensión del sistema y el entorno
  • S.T.R.I.D.E.
  • Herramientas de modelado de amenazas
  • Implementación de prácticas de modelado de amenazas
  • Flujo de trabajo de modelado de amenazas

OWASP 

Introducción a OWASP Top 10 Awareness

Este curso corto está precargado con desafíos basados en el Top 10 de OWASP para idiomas web (2021), OWASP Top 10 para idiomas móviles (2016) y OWASP Top 10 para lenguajes API (2023)

Audiencia:Ingenieros

Temas tratados en esta plantilla:

• Selección de vulnerabilidades OWASP 1-5
• Selección de vulnerabilidades OWASP 6-10

Conocimiento en profundidad de OWASP Top 10

Este curso está precargado con desafíos basados en el OWASP Top 10 para lenguajes web (2021), OWASP Top 10 para idiomas móviles (2016) y OWASP Top 10 para lenguajes API (2023). Otros idiomas que no encajan en estas tres listas de OWASP siguen las recomendaciones de SCW para esos idiomas.

Audiencia: Ingenieros

Temas tratados en esta plantilla:

No todos los temas están disponibles o son aplicables a todos los idiomas.

• Lenguajes Web (siguiendo OWASP Web Top 10)
  • A1 - Control de acceso roto
  • A2 - Errores criptográficos
  • A3 - Inyección
  • A4 - Diseño inseguro
  • A5 - Configuración incorrecta de seguridad
  • A6 - Componentes vulnerables y obsoletos
  • A7 - Errores de identificación y autenticación
  • A8 - Errores de integridad de software y datos
  • A9 - Errores de registro y supervisión de seguridad
  • A10 - Falsificación de solicitudes del lado del servidor (SSRF)
• Lenguajes de API (siguiendo el Top 10 de la API de OWASP)
  • A1 - Autorización de nivel de objeto roto
  • A2 - Autenticación rota
  • A3 - Autorización de nivel de propiedad de objeto roto
  • A4 - Consumo de recursos sin restricciones
  • A5 - Autorización de nivel de función interrumpida
  • A6 - Acceso sin restricciones a flujos de negocio sensibles
  • A7 - Falsificación de solicitud del lado del servidor
  • A8 - Configuración incorrecta de seguridad
  • A9 - Gestión inadecuada del inventario
  • A10 - Consumo inseguro de API
• Idiomas móviles (siguiendo el top 10 móvil de OWASP)
  • M1 - Uso incorrecto de credenciales
  • M2 - Seguridad inadecuada de la cadena de suministro
  • M3 - Autenticación/Autorización insegura
  • M4 - Validación de entrada/salida insuficiente
  • M5 - Comunicación insegura
  • M6 - Controles de privacidad inadecuados
  • M7 - Protección binaria insuficiente
  • M8 - Configuración incorrecta de seguridad
  • M9 - Almacenamiento de datos inseguro
  • M10 - Criptografía insuficiente

Defectos de inyección

Este curso está precargado con desafíos centrados en los defectos de inyección

Audiencia:Ingenieros

Temas tratados en esta plantilla:

No todos los temas están disponibles o son aplicables a todos los idiomas.

• Inyección SQL
• Inyección de comandos del sistema operativo
• Inyección de correo electrónico
• Deserialización de datos que no son de confianza
• Inyección NoSQL
• Recorrido de la ruta
• Inyección de código
• Inyección XML
• Inyección LDAP
• Inyección XPath
• Inyección HTTP

Programa de Certificación OWASP

Programa de Certificación Nivel 1

Programa de certificación de nivel 1 que cubre vulnerabilidades de las categorías OWASP 1 a 5 - nivel principiante.

Audiencia: Ingenieros

Temas tratados en esta plantilla:

• A1 - Control de acceso roto
• A2 - Errores criptográficos
• A3 - Inyección
• A4 - Diseño inseguro
• A5 - Configuración incorrecta de seguridad

Programa de Certificación Nivel 2

Programa de certificación de nivel 2 con un resumen de las categorías 1 a 5 de OWASP Y cubriendo vulnerabilidades de las categorías 6 a 10 de OWASP - nivel principiante.

Audiencia: Ingenieros

Temas tratados en esta plantilla:

• Resumen de OWASP 1-5
• A6 - Componentes vulnerables y obsoletos
• A7 - Errores de identificación y autenticación
• A8 - Errores de integridad de software y datos
• A9 - Error de registro y supervisión de seguridad
• A10 - Falsificación de solicitudes del lado del servidor (SSRF)

Programa de Certificación Nivel 3

Programa de certificación de nivel 3 con un resumen de las categorías 1 a 10 de OWASP Y categorías adicionales recomendadas por SCW - nivel intermedio.

Audiencia: Ingenieros

Temas tratados en esta plantilla:

• Resumen de OWASP 1-10
• Categorías recomendadas de SCW

Programa de Certificación Nivel 4

Programa de Certificación nivel 4 con misiones y desafíos difíciles para las categorías OWASP 1 a 5 - nivel difícil.

Audiencia: Ingenieros

Temas tratados en esta plantilla:

• Control de acceso roto
• Errores criptográficos
• Defectos de inyección
• Diseño inseguro
• Configuración incorrecta de seguridad

Programa de Certificación Nivel 5

Programa de Certificación nivel 5 con misiones y desafíos difíciles para las categorías OWASP 6 a 10 - nivel difícil.

Audiencia: Ingenieros

Temas tratados en esta plantilla:

• Componentes vulnerables y obsoletos
• Errores de identificación y autenticación
• Errores de integridad de datos y software
• Error de registro y supervisión de seguridad
• Falsificación de solicitudes del lado del servidor (SSRF)

Recomendaciones de PCI DSS v4.0

Este curso está precargado con desafíos basados en los requisitos de PCI DSS v4 (controles 2 a 8 y 10 para desarrollo de software, 4.3 & 4.7 Controles para móviles).

Audiencia: Ingenieros

Temas tratados en esta plantilla:

No todos los requisitos de PCI DSS v4.0 son aplicables a los ingenieros. No todos los temas están disponibles o son aplicables a todos los idiomas.

• Requisito 2: No confíes en la configuración predeterminada
• Requisito 3: Proteger los datos almacenados de la cuenta y del titular de la tarjeta
• Requisito 4: Cifrar los datos del titular de la tarjeta en el proceso de pago
• Requisito 5: Mejorar y actualizar la protección contra malware
• Requisito 6: Mantenga sus aplicaciones actualizadas y mantenidas
• Requisito 7: Limitar quién tiene acceso a los datos del titular de la tarjeta
• Requisito 8: Identificar y autenticar a los usuarios
• Requisito 10: Registre y supervise todos los accesos al sistema

Recomendaciones de Secure Code Warrior

Este curso está precargado con desafíos basados en nuestras propias recomendaciones. Tiene en cuenta los estándares OWASP y PCI-DSS, pero completa la lista con las vulnerabilidades emergentes más recientes y también tiene en cuenta la prevalencia de la vulnerabilidad en un lenguaje o marco específico.

Audiencia: Ingenieros

Temas tratados en esta plantilla:

• Los temas son muy variados y personalizados en función de la selección lingüística basada en la experiencia y las recomendaciones de SCW para ese idioma.

Medidas de seguridad para "EO-Critical Software" EO 14028

Cursos basados en la guía del Instituto Nacional de Estándares y Tecnología (NIST) sobre medidas de seguridad para el uso de software crítico para EO según lo dispuesto por la Orden Ejecutiva (EO) 14028 sobre la mejora de la ciberseguridad de la nación, 12 de mayo de 2021.

Audiencia: Ingenieros

Temas tratados en esta plantilla:

No todos los temas de medidas de seguridad están disponibles o son aplicables para todas las especializaciones de ingeniería o todos los idiomas. El curso es muy variable según el idioma.

• SM 1.1: Utilice la autenticación multifactor que sea resistente a la suplantación del verificador para todos los usuarios y administradores
• SM 1.3: Seguir los principios de gestión de acceso privilegiado para la administración basada en red
• SM 1.4: Emplear técnicas de protección de límites según corresponda
• SM 2.2: Utilice un control de acceso detallado para datos y recursos
• SM 2.3: Protección de datos en reposo
• SM 2.4: Protección de datos en tránsito
• SM 3.2: Utilizar prácticas de gestión de parches
• SM 3.3: Uso de prácticas de gestión de la configuración
• SM 4.1: Configurar el registro para registrar la información necesaria sobre eventos de seguridad
• SM 4.2: Supervisión continua de la seguridad

 

Enlaces relacionados:

• Cómo crear un curso
• Descripción general de las pautas