Las organizaciones y recursos de ciberseguridad, DevOps y DevSecOps que necesitas conocer

Comparte este artículo

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
devops-recursos-organizaciones

No importa cuánto lleves en el mundo de la ciberseguridad, siempre hay espacio para seguir aprendiendo. Especialmente en esta industria, es importante entender cómo las aplicaciones se convierten en un punto crítico de los ataques a las organizaciones. En un campo tan dinámico, no hay duda de que el aprendizaje nunca terminará.

Afortunadamente para los estudiantes de ciberseguridad, hay muchas organizaciones que hacen el trabajo arduo para ayudarnos a comprender mejor porqué trabajamos, qué buscamos proteger y cuál es la mejor manera de hacerlo en nuestras propias organizaciones. Estas organizaciones están ayudando a luchar contra las “batallas cibernéticas” y nos ayudan a hacer lo mismo. Desde organizaciones sin fines de lucro hasta centros universitarios y centros de investigación financiados por el gobierno, la industria de la seguridad tiene sus bases cubiertas. Existe una montaña interminable de investigaciones y guías de alta calidad a las que puede acceder cualquier persona interesada, si conoce los lugares adecuados para buscar.

Ya hemos escrito de los mejores blogs de ciberseguridad para mantenerse al día. Pero si estás buscando guías más detalladas, investigaciones y mejores prácticas para profundizar, tu búsqueda ha terminado. A continuación, se incluye una lista de organizaciones de ciberseguridad que prestan servicios a la industria y algunos de los mejores recursos que ofrecen.

Organizaciones de InfoSec y sus mejores recursos gratuitos

OWASP

Si estás en seguridad de la información, probablemente estés bastante familiarizado con OWASP, pero los desarrolladores aún lo están conociendo. OWASP, que significa Open Web Application Security Project, o Proyecto de xxxxxx es una organización sin fines de lucro dirigida por voluntarios con experiencia en seguridad de todo el mundo. Independientemente del proveedor y administrado como una organización abierta y gratuita, OWASP es un recurso increíble para todo lo relacionado con AppSec y está disponible para todos. Y si puedes participar activamente, siempre hay nuevos proyectos y actualizaciones que requieren expertos en todos los campos del desarrollo de software.

Principales Recursos y Proyectos de OWASP:

Es EL estándar de la industria y, aunque solo cubre 10 vulnerabilidades, la lista, la cual se actualiza cada tres años desde 2004, tiene el poder de miles de expertos en seguridad y cientos de miles de horas de investigación que la respaldan.

OWASP_Web_Top_10_for_2013

OWASP Top 10 list Courtesy: OWASP

Lo que hace fantástico al OWASP Top 10 es que haya tantos materiales y guías para crear en torno al Top 10 de OWASP, y eso es lo que lo hace accesible también para los expertos que no son de seguridad, especialmente porque muchos voluntarios multilingües han traducido la lista a 12 lenguajes y contando. La SQL Injection (inyección de SQL) y Cross-Site Scripting finalmente llegaron al mundo del desarrollo convencional, y una gran parte de eso se debe al OWASP Top 10.

ESAPI es un gran ejemplo del tipo de alcance que tiene OWASP, porque este proyecto, una API de seguridad empresarial, es utilizada por organizaciones de peso pesado como American Express, Booz Allen Hamilton, MITRE, The Hartford Insurance y muchas más. Diseñada para ayudar a los desarrolladores a actualizar la seguridad en aplicaciones ya existentes y escribir nuevas aplicaciones de menor riesgo desde el principio, la biblioteca de control de ESAPI tiene versiones actualizadas para Java y JavaScript en la página en GitHub de OWASP.

Hace unos años se lanzó una nueva versión de ESAPI, 2.1.0.1, por lo que es un buen momento para ver si el marco es el adecuado para tu organización. Obtén todos los detalles del lanzamiento aquí.

Un ejemplo de cómo OWASP está llegando a los desarrolladores es la Guía de Referencia Rápida de Prácticas de Codificación Segura, que “con solo 17 páginas, es fácil de leer y digerir”. Escrito en formato de lista de verificación y no menciona herramientas específicas, es perfecto para imprimir para los desarrolladores y trabajar en la integración de los principios en su SDLC, si aún no lo ha hecho.

La versión en PDF imprimible está disponible aquí.

sans

The SANS Institute

El SANS Institute, SANS para abreviar, se encuentra entre las organizaciones de seguridad de la información más grandes a nivel mundial y brinda capacitación y certificaciones de seguridad a miles de profesionales de la seguridad y hackers éticos anualmente. Las clases están disponibles tanto en línea como en persona, lo que hace que los cursos de SANS sean accesibles para mucha gente.

SANS también opera Internet Storm Center, una organización subsidiaria que tiene como objetivo mantener la seguridad de Internet al proporcionar un servicio gratuito de análisis y advertencia a organizaciones e individuos de todo el mundo.

Principales recursos de SANS:

El Top 25, igual que el OWASP Top 10, es un estándar de la industria en el que muchas organizaciones y herramientas ayudan a guiar sus políticas de pruebas de seguridad y codificación segura. Los 25 Errores de Software más Peligrosos son vulnerabilidades que son “fáciles de encontrar y fáciles de explotar”, lo que las convierte en los principales objetivos de las aplicaciones empresariales. La lista está diseñada para ayudar a difundir la conciencia y educar a los desarrolladores sobre errores de codificación importantes que podrían conducir a exploits de alto riesgo de los que tal vez ni siquiera sean conscientes. Un esfuerzo grupal entre MITRE, el Instituto SANS y expertos en seguridad de todo el mundo, la lista se actualizó por última vez en 2011.

La lista también está disponible en el website de CWE, donde también ofrecen una serie de consejos para que cada tipo de usuario pueda hacer un mejor uso del recurso. Además, la iniciativa Build Security In ofrecida por el Departamento de Seguridad Nacional de EE. UU. se extiende a los 25 errores de software más peligrosos para ofrecer “prácticas, herramientas, pautas, reglas, principios y otros recursos que los desarrolladores de software, arquitectos y profesionales de la seguridad” pueden utilizar para incorporar seguridad en el software en cada fase de su desarrollo “.

Esta lista de recomendaciones para las organizaciones que intentan reducir sus riesgos de seguridad proporciona técnicas prácticas y claras para detectar y detener los ataques frecuentes a las aplicaciones. Respaldados por expertos en seguridad de alto rango en el Departamento de Seguridad Nacional de los EE. UU., el Departamento de Defensa de los EE. UU., el FBI y muchas otras organizaciones críticas, los controles ayudan a las organizaciones a defender y detener los ataques que ya están en marcha.

Ahora en su sexta versión, el objetivo de la guía es “proteger los activos, la infraestructura y la información críticos mediante el fortalecimiento de la postura defensiva de su organización a través de la protección y el monitoreo continuos y automatizados de su infraestructura de tecnología de la información confidencial para reducir los compromisos y minimizar la necesidad de esfuerzos de recuperación y menores costos asociados “.

Este recurso está disponible para descargar aquí (después de completar los detalles).

  • Sala de Lectura

La Sala de Lectura SANS ofrece artículos de investigación en todas las áreas de los temas de InfoSec, “desde SCADA hasta la seguridad inalámbrica, desde los firewalls hasta la detección de intrusos”. Esta área del sitio de SANS cuenta con más de 75,000 visitantes únicos al mes, por lo que si no estás familiarizado con este fantástico recurso, ha llegado el momento.

Realmente depende de lo que estés buscando, pero si solo estás interesado en sumergirte, aquí están sus 25 artículos más populares del año pasado.

ISACA

ISACA, anteriormente llamada Asociación de Control y Auditoría de Sistemas de Información, pero que ahora cubre mucho más terreno, es otra organización global InfoSec sin fines de lucro. Con más de 140,000 miembros en todo el mundo, ISACA está dirigida en parte por la gran cantidad de voluntarios que ayudan a dirigir la organización. Ofrecen excelentes trabajos de investigación y, si bien algunos de ellos cuestan dinero o requieren membresía para descargarlos, hay muchos recursos gratuitos, algunos de los cuales se destacan a continuación.

Principales investigaciones de ISACA:

Cuando una organización está considerando mudarse a un ecosistema DevOps, hay muchos factores de seguridad y análisis de riesgos que deberemos asegurarnos de que se cubrirán durante la transición. Este documento técnico ofrece una guía que describe las consideraciones sobre los riesgos de DevOps, los controles que pueden ayudar a mitigar las áreas de riesgo clave y las acciones específicas que los profesionales de seguridad pueden tomar para ayudar a mitigar el riesgo potencial.

Si bien todos hemos escuchado las historias de terror sobre la Internet de las cosas causando estragos en una gran cantidad de dispositivos públicos o personales, no siempre está claro cómo la IoT puede poner en riesgo nuestras propias organizaciones y para qué debemos estar preparados. La revolución de IoT está en marcha, y este documento técnico ayuda a crear conciencia sobre los riesgos que los profesionales de la seguridad deben estar atentos.

cloud-security-alliance

Cloud Security Alliance

Fundada en 2008, esta organización sin fines de lucro tiene la misión de “promover el uso de las mejores prácticas para proporcionar garantía de seguridad dentro de la Computación en la Nube y brindar educación sobre los usos de la Computación en la Nube para ayudar a proteger todas las demás formas de computación”.

Respaldado por el CISO de eBay Dave Cullinane, el objetivo de la organización es ofrecer una línea de base común sobre cómo las organizaciones entienden la seguridad para sus necesidades de computación en la nube.

Principales recursos de Cloud Security Alliance (CSA):

CSA ofrece seminarios web mensuales realizados por miembros para ayudar a difundir el conocimiento sobre una variedad de temas de seguridad en la nube. Hay una colección impresionante de seminarios web con oradores de alta calidad sobre temas relevantes, por lo que si está interesado en ver seminarios web (y desea obtener más información sobre la seguridad en la nube), esta es el área del sitio para usted.

¿Tienes una idea de investigación de seguridad en la nube que te gustaría ayudar a despegar? Los grupos de trabajo de CSA ofrecen a los voluntarios una forma de conectarse con proyectos, o iniciar uno propio, en los que están interesados ​​en ayudar en 28 áreas diferentes de seguridad en la nube.

CSA también ofrece un grupo de documentos técnicos disponibles para descargar y con licencia de Creative-Commons Attribution para que los usos no comerciales estén perfectamente bien, siempre que se otorgue crédito donde se debe. Estos documentos abordan varios temas diferentes de seguridad en la nube, desde la auditoría de bases de datos distribuidas hasta la protección de los datos en la nube según las nuevas leyes europeas de protección de datos.

NIST SAMATE

El Instituto Nacional de Estándares y Tecnología, una organización de EE. UU. Dedicada a crear estándares para diferentes verticales, ha desarrollado este conjunto de documentos de evaluación para ayudar a las organizaciones a determinar las herramientas adecuadas para su entorno de desarrollo y ayudar a evaluar la efectividad de diferentes herramientas y técnicas.

SAMATE cubre herramientas de análisis de código fuente, escáneres de vulnerabilidades, escáneres de código binario y la exposición de herramientas de análisis estático, con un amplio alcance, “que van desde sistemas operativos a firewalls, SCADA a aplicaciones web, analizadores de seguridad de código fuente a corrección por construcción métodos.”

CERT

La División CERT del Instituto de Ingeniería de Software tiene una gran historia, ya que se creó en respuesta al gusano Morris que se remonta a 1988. Trabajando con el Departamento de Seguridad Nacional, junto con otros socios gubernamentales y académicos, la División CERT ofrece una variedad de recursos y publicaciones para ayudar a las organizaciones a mejorar sus perfiles de seguridad. Como una rama del Instituto de Ingeniería de Software ubicado en la Universidad Carnegie Mellon, la División CERT tiene instalaciones y conexiones de primera clase que le permiten al equipo ayudar a impulsar la industria de la seguridad.La División CERT divide su trabajo en diferentes temas, y cada tema ofrece una amplia gama de investigaciones, publicaciones y otros documentos para descargar. Sus recursos de codificación segura se encuentran entre los mejores, con varias pautas, artículos de investigación y estándares internacionales que han ayudado a desarrollar disponibles para todos.

Ebook: 5 razones por las que la Seguridad del Software es más crítica que nunca