IMPORTANTE: Secure Code Warrior NO es un experto o consultor en cumplimiento de normas. Este artículo pretende ser una guía general y ofrece ideas basadas en la información pública disponible para cada norma y no debe interpretarse como un asesoramiento específico de auditoría.
PCI DSS
PCI DSS se desarrolló para fomentar y mejorar la seguridad de los datos de los titulares de tarjetas y facilitar la adopción generalizada de medidas coherentes de seguridad de datos a nivel mundial. PCI DSS proporciona una base de requisitos técnicos y operativos diseñados para proteger los datos de las cuentas. Se aplica a todas las entidades que participan en el procesamiento de tarjetas de pago, incluidos comerciantes, procesadores, adquirentes, emisores y proveedores de servicios. PCI DSS también se aplica a todas las demás entidades que almacenan, procesan o transmiten datos de titulares de tarjetas (CHD) y/o datos sensibles de autenticación (SAD).
PCI DSS v4.0 establece 12 requisitos agrupados en 6 objetivos de control:
- Objetivo de Control 1: Construir y Mantener una Red y Sistemas Seguros
- Objetivo de control 2: Proteger los datos de los titulares de tarjetas
- Objetivo de control 3: Mantener un programa de gestión de vulnerabilidades
- Objetivo de control 4: Aplicar medidas estrictas de control de acceso
- Objetivo de control 5: Supervisar y probar periódicamente las redes
- Objetivo de control 6: Mantener una política de seguridad de la información
Secure Code Warrior ayuda a cumplir 8 de estos requisitos, cubriendo 5 de los 6 objetivos de control, que son los más directamente relacionados con el trabajo de los desarrolladores.
Consulte nuestra plantilla de curso preconstruida para las Recomendaciones PCI DSS v4.0.
Requisitos de control de ISO 27001
En el núcleo mismo de la norma, el Objetivo A.7.2.2 establece que "La concienciación, educación y formación en seguridad de la información debe impartirse a todos los empleados según sea relevante para su función laboral". No sólo eso, sino que los contratistas también deben recibir esta formación de concienciación. Los desarrolladores y otros ingenieros necesitan dominar los fundamentos de la seguridad del software para poder evitar errores costosos. Esto suele ir más allá de los requisitos básicos y se recomienda que los desarrolladores inviertan continuamente tiempo en aprender seguridad y fiabilidad del software.
El objetivo A.14.2 exige específicamente la seguridad en los procesos de desarrollo. Comienza con el establecimiento de una política de desarrollo seguro que se aplica al ciclo de vida del desarrollo seguro (SDLC).
Objetivo A.14.2.3. exige, en particular, la comprobación y revisión de cada aplicación.
El Objetivo A.14.2.5 exige que se apliquen principios de ingeniería de sistemas seguros para cualquier sistema de información. Cuando se descubren vulnerabilidades, debe haber un proceso técnico de gestión de vulnerabilidades (A.12.6) para prevenir la explotación de estas vulnerabilidades. Sin una formación adecuada en codificación segura, los desarrolladores de la organización podrían no estar preparados para remediar estas vulnerabilidades, o la gestión de vulnerabilidades podría llegar a ser demasiado costosa para la empresa.
Además de lo anterior, en la recién revisada ISO 27001:2022, existe este requisito - Anexo A Control 8.28 ayuda a las organizaciones en la prevención de riesgos de seguridad y vulnerabilidades que puedan surgir debido a las malas prácticas de codificación de software a través del desarrollo, implementación y revisión de prácticas apropiadas de codificación segura de software.
Recomendaciones de cursos a seleccionar de la Plataforma SCW. Todos o una combinación de los cursos enumerados a continuación:
- Introducción a la Concienciación OWASP Top 10 o Concienciación OWASP Top 10 en profundidad
- Requisitos de seguridad
- Modelado de amenazas
- Almacenamiento de datos sensibles
- Almacenamiento de contraseñas en texto plano
- Almacenamiento de información sensible en texto sin formato
- Exposición de información
- Exposición de datos sensibles
SOC 2 - Tipo 2
La norma SOC 2, aunque no es prescriptiva en cuanto a los requisitos para la formación de los desarrolladores, en términos más generales, exige lo siguiente.
- Los empleados completan una formación de concienciación sobre seguridad en el momento de su contratación, y anualmente a partir de entonces, para comprender sus obligaciones y responsabilidades en el cumplimiento de las políticas de seguridad corporativas.
Las organizaciones de servicios pueden incorporar la formación para desarrolladores además de la formación general en seguridad bajo este control.
- Una política y un procedimiento para el desarrollo y las pruebas de código seguro. Esto puede incluir formación sobre código seguro para desarrolladores y probadores, así como herramientas y métodos para identificar y corregir vulnerabilidades en el código. El alcance y contenido exactos de la política pueden variar en función de la naturaleza y complejidad del código y los sistemas de la organización de servicios. Como guía general, una organización puede considerar lo siguiente con respecto a la política
- Mejores prácticas y estándares de codificación segura: Las organizaciones de servicios pueden incorporar la formación de los desarrolladores para mostrar su compromiso con las mejores prácticas de codificación segura.
- Vulnerabilidades comunes y cómo evitarlas
- Herramientas y métodos de revisión y comprobación de código seguro
- Procedimientos de respuesta a incidentes y reparación
Recomendaciones de cursos a seleccionar de la Plataforma SCW. Todos o una combinación de los cursos enumerados a continuación.
- Introducción a la concienciación OWASP Top 10 o Concienciación OWASP Top 10 en profundidad
- Requisitos de seguridad
- Modelado de amenazas
- Almacenamiento de datos confidenciales
- Almacenamiento de contraseñas en texto plano
- Almacenamiento de información sensible en texto sin formato
- Exposición de información
- Exposición de datos sensibles
GDPR
Artículo 5(f) - Los datos personales deben tratarse de forma que se garantice una seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidentales, utilizando medidas técnicas u organizativas apropiadas (integridad y confidencialidad).
Artículo 32 - Las organizaciones están obligadas a aplicar medidas técnicas y organizativas apropiadas para proteger los datos personales en función del riesgo, los avances tecnológicos y los contextos específicos de tratamiento para salvaguardar eficazmente los derechos individuales. La formación continua de los desarrolladores es necesaria para demostrar el cumplimiento de los principios de protección de datos del RGPD (artículo 5 - Responsabilidad) y garantizar que los desarrolladores puedan tener suficientemente en cuenta el "estado de la técnica" (es decir, el nivel más alto de desarrollo de las técnicas y tecnologías existentes) cuando:
- la aplicación de medidas técnicas para salvaguardar los datos personales (artículo 32), y la integración de prácticas de protección de la privacidad en las actividades de tratamiento de datos en su inicio y durante todo su ciclo de vida (artículo 25 - Protección de datos desde el diseño y por defecto).
- La formación periódica garantiza que las medidas de seguridad se apliquen de forma coherente en todos los procesos y que el nuevo personal esté igualmente informado sobre los requisitos reglamentarios y las normas técnicas.
Recomendaciones de cursos a seleccionar de la Plataforma SCW. Todos o una combinación de los cursos enumerados a continuación.
- Introducción a la concienciación OWASP Top 10 o Concienciación OWASP Top 10 en profundidad
- Fundamentos de la seguridad del software
- Requisitos de seguridad
- Almacenamiento de datos sensibles
- Almacenamiento de contraseñas en texto plano
- Almacenamiento de información sensible en texto sin formato
- Exposición de información
- Exposición de datos sensibles
HIPAA
La Regla de Seguridad (45 CFR 164) obliga a las entidades a proteger la información sanitaria que procesan y a seguir normas y recomendaciones de aplicación específicas. A continuación se describen los elementos de la Norma de Seguridad:
- Principio general (45 CFR 164.306) - Las entidades deben garantizar la confidencialidad, integridad y disponibilidad de toda la información sanitaria electrónica protegida (ePHI) y proteger contra:
-
- amenazas o peligros razonablemente previstos para la seguridad o integridad de dicha información
- usos o divulgaciones razonablemente previstos de dicha información que no estén permitidos o exigidos
-
- Salvaguardias administrativas (45 CFR § 164.308) - Las entidades deben aplicar políticas y procedimientos para prevenir, detectar, contener y corregir las violaciones de la seguridad.
Esto incluye garantizar que el personal esté debidamente formado y supervisado y que exista un proceso de gestión de la seguridad para identificar y mitigar los riesgos para la ePHI.
- Salvaguardias técnicas (45 CFR § 164.312) - Las entidades deben aplicar políticas y procedimientos técnicos que sólo permitan el acceso a la ePHI a las personas autorizadas. Esto incluye medidas de control de acceso, controles de auditoría, controles de integridad para garantizar que la ePHI no se altere o destruya indebidamente, y seguridad de transmisión para evitar el acceso no autorizado a la ePHI que se transmite a través de una red electrónica.
Aunque se menciona directamente como parte de las salvaguardias administrativas, la formación también está implícita en la referencia general de la HIPPA a las "amenazas/usos razonablemente previstos". Sería razonable que un desarrollador tuviera un conocimiento actualizado de las vulnerabilidades conocidas y de las medidas necesarias para salvaguardar adecuadamente la ePHI.
Recomendaciones de cursos a seleccionar de la Plataforma SCW. Todos o una combinación de los cursos enumerados a continuación.
- Introducción a la concienciación OWASP Top 10 o Concienciación OWASP Top 10 en profundidad
- Fundamentos de la seguridad del software
- Requisitos de seguridad
- Almacenamiento de datos sensibles
- Almacenamiento de contraseñas en texto plano
- Almacenamiento de información sensible en texto plano
- Exposición de información
- Exposición de datos sensibles
NIS2
-
Autoridad competente de supervisión
El artículo 8 de la Directiva NIS2 obliga a cada Estado miembro de la UE a designar una autoridad competente responsable de supervisar la aplicación de la Directiva en su territorio. Estas autoridades son las encargadas de garantizar que las entidades sujetas a NIS2 cumplen sus requisitos, incluidos los relacionados con la formación en código seguro.
-
Medidas de seguridad para operadores de servicios esenciales (OES):
En relación con el artículo 14, la NIS2 exige que los OES, como los operadores de sectores como la energía, el transporte, la sanidad y las finanzas, apliquen medidas de seguridad adecuadas para gestionar los riesgos que plantea para la seguridad de las redes y los sistemas de información. La formación en código seguro del personal pertinente puede considerarse una de estas medidas de seguridad.
-
Gestión de riesgos:
NIS2 hace hincapié en la importancia de la gestión de riesgos para mejorar la ciberseguridad. La formación en código seguro puede considerarse una medida proactiva para mitigar el riesgo de vulnerabilidades y violaciones del software derivadas de prácticas de código inseguro.-
- Gestión de riesgos (artículo 21): Las organizaciones deben identificar y gestionar los riesgos de ciberseguridad. Las prácticas de codificación segura reducen significativamente las vulnerabilidades del software, mitigando un importante factor de riesgo.
- Prácticas de ciberhigiene (Artículo 21): La directiva fomenta las prácticas básicas de ciberhigiene, que a menudo abarcan principios de codificación segura como la validación adecuada de las entradas y el manejo seguro de los datos.
-
-
Seguridad desde el diseño y por defecto:
En varios artículos -14, 16 y 18-, la NIS2 promueve los principios de seguridad desde el diseño y por defecto, exigiendo que las consideraciones de seguridad se integren en el desarrollo de productos y servicios desde el principio. El considerando 54 de la propuesta de NIS 2 menciona explícitamente el "principio" de seguridad desde el diseño, vinculándolo a los requisitos del artículo 18. Aunque los considerandos no son jurídicamente vinculantes, ofrecen un contexto valioso para interpretar la intención de la Directiva. La formación en código seguro desempeña un papel crucial en el fomento de una cultura de desarrollo consciente de la seguridad en la que los desarrolladores den prioridad a la seguridad a lo largo de todo el ciclo de vida de desarrollo del software. En esencia, aunque en la NIS2 no hay un capítulo único sobre seguridad por diseño, varios artículos promueven este concepto abogando por medidas de seguridad preventivas y un enfoque basado en el riesgo.
Recomendaciones de cursos a seleccionar de la Plataforma SCW. Todos o una combinación de los cursos enumerados a continuación.
- Introducción a la concienciación OWASP Top 10 o Concienciación OWASP Top 10 en profundidad
- Recomendaciones de Secure Code Warrior
- Requisitos de Seguridad
- Almacenamiento de datos sensibles
- Almacenamiento de contraseñas en texto sin formato
- Almacenamiento de información sensible en texto plano
- Exposición de información
- Exposición de datos sensibles
- Modelización de amenazas
NIST
El Instituto Nacional de Normas y Tecnología (NIST) proporciona directrices y recomendaciones para diversos aspectos de la ciberseguridad, incluida la formación en código seguro. Aunque el NIST no tiene requisitos específicos como un organismo regulador, ofrece orientación y mejores prácticas que las organizaciones pueden adoptar para mejorar su postura de ciberseguridad. He aquí algunos puntos clave de las directrices del NIST sobre formación en código seguro:
-
NIST Special Publication 800-53:
Esta publicación ofrece un catálogo de controles de seguridad y privacidad para sistemas de información y organizaciones federales. Aunque no aborda específicamente la formación en código seguro, hace hincapié en la importancia de los programas de formación y concienciación como parte del programa general de seguridad de una organización.
-
NIST Special Publication 800-64:
Esta publicación se centra en proporcionar orientación para gestionar los riesgos de seguridad de la información. Destaca la importancia de la formación en seguridad para los desarrolladores y demás personal implicado en el ciclo de vida del desarrollo de software. Aunque no proporciona requisitos específicos de formación, hace hincapié en la necesidad de que las organizaciones adapten sus programas de formación en función de sus necesidades y riesgos específicos.
-
- NIST Special Publication 800-64 Revision 2: Esta revisión actualiza la orientación proporcionada en SP 800-64, haciendo hincapié en la importancia de integrar la seguridad en el ciclo de vida de desarrollo de software. Recomienda formar a los desarrolladores en prácticas y técnicas de codificación seguras para identificar y mitigar vulnerabilidades comunes.
- NIST Special Publication 800-64 Revision 2: Esta revisión actualiza la orientación proporcionada en SP 800-64, haciendo hincapié en la importancia de integrar la seguridad en el ciclo de vida de desarrollo de software. Recomienda formar a los desarrolladores en prácticas y técnicas de codificación seguras para identificar y mitigar vulnerabilidades comunes.
-
-
NIST Cybersecurity Framework (CSF):
El NIST CSF proporciona un marco para que las organizaciones gestionen y mejoren su postura de ciberseguridad. Aunque no prescribe requisitos específicos de formación, hace hincapié en la importancia de la concienciación y la formación en ciberseguridad como parte de los esfuerzos de una organización para identificar, proteger, detectar, responder y recuperarse de los riesgos de ciberseguridad.
-
NIST Secure Software Development Framework (SSDF):
Aunque no es un conjunto de requisitos, el SSDF esboza prácticas para el desarrollo de software seguro. Una de estas prácticas, PW.5: Crear código fuente adhiriéndose a prácticas de codificación seguras, destaca la importancia de formar a los desarrolladores en técnicas de codificación seguras. Esta práctica proporciona detalles sobre cómo implementar prácticas de codificación segura, incluyendo el uso de entornos de desarrollo que proporcionan formación in situ.
Recomendaciones de cursos para seleccionar de la Plataforma SCW. Todos o una combinación de los cursos enumerados a continuación.
- Introducción a la concienciación OWASP Top 10 o Concienciación OWASP Top 10 en profundidad
- Medidas de seguridad para el uso de "EO-Critical Software" bajo la Orden Ejecutiva (EO) 14028
- Recomendaciones de Secure Code Warrior
- Requisitos de seguridad
- Almacenamiento de datos sensibles
- Almacenamiento de contraseñas en texto sin formato
- Almacenamiento de información sensible en texto plano
- Exposición de información
- Exposición de datos sensibles
- Modelización de amenazas
FedRAMP
FedRAMP (Programa Federal de Gestión de Riesgos y Autorizaciones) es un marco diseñado para las agencias gubernamentales. El marco proporciona directrices estandarizadas que pueden permitir a las agencias federales evaluar las amenazas cibernéticas y los riesgos para las diferentes plataformas de infraestructura y servicios basados en la nube y soluciones de software.
El marco también se basa en la supervisión continua de la infraestructura de TI y los productos en la nube para facilitar un programa de ciberseguridad en tiempo real. Y lo que es más importante, FedRAMP se centra en pasar de una TI tediosa, atada e insegura a una TI móvil y rápida más segura. El objetivo es garantizar que las agencias federales tengan acceso a tecnologías modernas y fiables sin comprometer su seguridad.
Para alcanzar los niveles de seguridad deseados, FedRAMP colabora con expertos en nube y ciberseguridad para mantener otros marcos de seguridad. Entre ellos se encuentran NSA, DoD, NIST, GSA, OMB y otros grupos del sector privado.
Así es como FedRAMP se relaciona con la codificación segura:
- Controles de seguridad: FedRAMP exige la aplicación de un amplio conjunto de controles de seguridad. Estos controles suelen incluir requisitos relacionados con las prácticas de codificación segura, como:
- Validación de entrada
- Codificación de salida
- Controles de acceso
- Gestión de errores
- Prácticas criptográficas
- Evaluaciones de terceros: FedRAMP exige que los proveedores de servicios en la nube (CSP) se sometan a evaluaciones de seguridad independientes. Estas evaluaciones suelen incluir revisiones de las prácticas de codificación segura del CSP y la adhesión a estándares del sector como OWASP Top 10.
- Supervisión continua: FedRAMP exige una supervisión continua de los servicios en la nube para garantizar el cumplimiento permanente de los requisitos de seguridad. Esto incluye la supervisión de las vulnerabilidades que puedan surgir debido a prácticas de codificación inseguras.
- Cumplimiento de otras normas: FedRAMP a menudo hace referencia a otras normas de seguridad, como NIST 800-53, que también incluyen requisitos relacionados con la codificación segura.
Recomendaciones de cursos a seleccionar de la Plataforma SCW. Todos o una combinación de los cursos enumerados a continuación.
- Introducción a la concienciación OWASP Top 10 o Concienciación OWASP Top 10 en profundidad
- Medidas de seguridad para el uso de "EO-Critical Software" bajo la Orden Ejecutiva (EO) 14028
- Recomendaciones de Secure Code Warrior
- Requisitos de seguridad
- Almacenamiento de datos sensibles
- Almacenamiento de contraseñas en texto sin formato
- Almacenamiento de información sensible en texto plano
- Exposición de información
- Exposición de datos sensibles
- Modelización de amenazas
HITRUST
El Marco Común de Seguridad (CSF) de HITRUST incluye marcos de análisis y gestión de riesgos, junto con requisitos operativos. El marco tiene 14 categorías de control diferentes y puede aplicarse a casi cualquier organización, incluida la sanitaria.
El marco se desarrolló para atender los problemas de seguridad a los que se enfrentan las organizaciones del sector sanitario a la hora de gestionar la seguridad informática. Para ello, proporciona a dichas instituciones enfoques eficientes, completos y flexibles para gestionar los riesgos y cumplir las distintas normativas de conformidad.
En particular, el marco integra varias normativas de cumplimiento para proteger la información personal. Entre ellas, la Ley de Protección de Datos Personales de Singapur e interpreta los requisitos pertinentes del Reglamento General de Protección de Datos.
He aquí la relación de HITRUST con la codificación segura:
- Controles de seguridad: El Marco Común de Seguridad (Common Security Framework, CSF) de HITRUST describe un conjunto de controles de seguridad que las organizaciones deben aplicar para proteger la información sanitaria confidencial. Muchos de estos controles están directamente relacionados con las prácticas de codificación segura, como:
-
- Validación de entrada
- Codificación de la salida
- Controles de acceso
- Tratamiento de errores
- Prácticas criptográficas
-
- Evaluación y certificación: HITRUST ofrece un proceso de certificación que implica una evaluación rigurosa de los controles de seguridad de una organización y del cumplimiento del CSF. Esto incluye evaluar la seguridad de las prácticas de desarrollo de software de la organización y garantizar que se adhieren a los principios de codificación segura.
- Evaluaciones de terceros: HITRUST exige que las organizaciones se sometan a evaluaciones independientes realizadas por evaluadores autorizados. Estas evaluaciones suelen incluir revisiones de las prácticas de codificación segura de la organización y la adhesión a normas del sector como OWASP Top 10.
- Supervisión continua: HITRUST exige a las organizaciones que apliquen procesos de supervisión continua para garantizar el cumplimiento permanente del CSF. Esto incluye la supervisión de las vulnerabilidades que puedan surgir debido a prácticas de codificación inseguras.
Recomendaciones de cursos a seleccionar de la Plataforma SCW
- Introducción a la concienciación OWASP Top 10 o Concienciación OWASP Top 10 en profundidad
- Recomendaciones de Secure Code Warrior
- Requisitos de seguridad
- Almacenamiento de Datos Sensibles
- Almacenamiento de contraseñas en texto sin formato
- Almacenamiento de información sensible en texto plano
- Exposición de información
- Exposición de datos sensibles
DORA
La Ley de Resiliencia Operativa Digital, o DORA, es un reglamento de la Unión Europea (UE) que crea un marco vinculante y exhaustivo de gestión de riesgos de las tecnologías de la información y la comunicación (TIC) para el sector financiero de la UE.
DORA establece normas técnicas que las entidades financieras y sus proveedores de servicios tecnológicos críticos deben aplicar en sus sistemas TIC antes del 17 de enero de 2025.
Aunque el DORA no aborda directamente las normas de codificación segura, crea un entorno normativo en el que se incentiva a las entidades financieras a adoptar las mejores prácticas de desarrollo y seguridad de software. Al garantizar que su software se desarrolla de forma segura, las instituciones financieras pueden cumplir los requisitos del DORA y mejorar su resistencia operativa.
He aquí cómo se relaciona el DORA con la codificación segura:
- Gestión de incidentes: DORA exige que las instituciones financieras dispongan de sólidos marcos de gestión de incidentes. Las prácticas de codificación segura pueden ayudar a prevenir incidentes que podrían interrumpir operaciones críticas, como filtraciones de datos o fallos del sistema.
- Gestión de riesgos de terceros: El DORA hace hincapié en la importancia de gestionar los riesgos asociados a los proveedores de servicios externos. Las prácticas de codificación segura pueden ayudar a mitigar los riesgos cuando se trata de componentes de software o servicios de terceros.
- Gestión del riesgo tecnológico: El DORA exige que las instituciones financieras dispongan de un marco integral de gestión de riesgos tecnológicos. Las prácticas de codificación segura son un aspecto fundamental para mitigar los riesgos tecnológicos, ya que las vulnerabilidades del software pueden provocar interrupciones operativas.
- Gestión de la continuidad de las actividades: La DORA obliga a planificar la continuidad de la actividad para garantizar que las operaciones críticas puedan continuar en caso de interrupción. La codificación segura puede contribuir a la continuidad de la actividad reduciendo la probabilidad de incidentes que podrían poner en marcha un plan de continuidad.
Recomendaciones de cursos a seleccionar de la Plataforma SCW
- Introducción a la concienciación OWASP Top 10 o Concienciación OWASP Top 10 en profundidad
- Recomendaciones de Secure Code Warrior
- Requisitos de seguridad
- Almacenamiento de Datos Sensibles
- Almacenamiento de contraseñas en texto sin formato
- Almacenamiento de información sensible en texto plano
- Exposición de información
- Exposición de datos sensibles
Comentarios
0 comentarios
El artículo está cerrado para comentarios.