SEC11-BP01 Formar en seguridad de las aplicaciones
Ofrezca formación a los creadores de su organización sobre las prácticas habituales para el desarrollo y el funcionamiento seguros de las aplicaciones. La adopción de prácticas de desarrollo centradas en la seguridad contribuye a reducir la probabilidad de que surjan problemas que solo se detectan en la fase de revisión de la seguridad.
Resultado deseado: El software debe diseñarse y crearse teniendo en cuenta la seguridad. Cuando los creadores de una organización reciben formación sobre prácticas de desarrollo seguras que parten de un modelo de amenazas, mejora la calidad y la seguridad general del software producido. Este planteamiento puede acortar el tiempo hasta la entrega del software o de las características, ya que se reduce la necesidad de tener que volver a repetir los procesos tras la fase de revisión de la seguridad.
A efectos de esta práctica recomendada, el desarrollo seguro se refiere al software que se está escribiendo y a las herramientas o sistemas que prestan soporte al ciclo de vida de desarrollo del software (SDLC).
Patrones comunes de uso no recomendados:
-
Esperar a una revisión de seguridad para estudiar las propiedades de seguridad de un sistema.
-
Dejar todas las decisiones de seguridad en manos del equipo de seguridad.
-
No comunicar claramente cómo se relacionan las decisiones tomadas en el SDLC con las expectativas o políticas generales de seguridad de la organización.
-
Intervenir demasiado tarde en el proceso de revisión de la seguridad.
Beneficios de establecer esta práctica recomendada:
-
Entender mejor los requisitos de la organización en materia de seguridad en una fase temprana del ciclo de desarrollo.
-
Poder identificar y corregir más rápidamente los posibles problemas de seguridad, lo que se traduce en una entrega más rápida de las características.
-
Mejora de la calidad del software y los sistemas.
Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio
Guía para la implementación
Proporcione formación a los creadores de su organización. Una buena base para iniciar la formación sobre seguridad es empezar con un curso sobre modelado de amenazas
Pasos para la aplicación
-
Empiece por ofrecer a los creadores un curso sobre modelado de amenazas
para sentar una buena base y ayudarles a formarse en cómo pensar en la seguridad. -
Ofrezca acceso a formación para socios de AWS, sector o Formación de AWS y Certification
. -
Ofrezca formación sobre el proceso de revisión de la seguridad de su organización, que aclare el reparto de responsabilidades entre el equipo de seguridad, los equipos de carga de trabajo y otras partes interesadas.
-
Publique guías de autoservicio sobre cómo cumplir sus requisitos de seguridad, incluidos ejemplos de código y plantillas, si están disponibles.
-
Obtenga comentarios periódicamente de los equipos de creadores sobre su experiencia con el proceso de formación y revisión de la seguridad, y utilícelos para mejorar.
-
Utilice días de juegos o campañas de detección de errores para reducir el número de problemas y mejorar las competencias de los creadores.
Recursos
Prácticas recomendadas relacionadas:
Documentos relacionados:
-
How to think about cloud security governance
(Cómo concebir la gobernanza de la seguridad en la nube) -
How to approach threat modeling
(Cómo abordar el modelado de amenazas) -
Accelerating training – The AWS Skills Guild (Acelere la formación: AWS Skills Guild)
Vídeos relacionados:
-
Proactive security: Considerations and approaches
(Seguridad proactiva: consideraciones y estrategias)
Ejemplos relacionados:
-
Workshop on threat modeling
(Taller de modelado de amenazas) -
Industry awareness for developers
(Concienciación del sector para desarrolladores)
Servicios relacionados:
