ISC2® lanza una certificación de seguridad para reducir las vulnerabilidades de las aplicaciones

La certificación como Profesional Certificado en Ciclos de Vida de Software Seguro (Certified Secure Software Lifecycle Professional, CSSLP) valida el conocimiento de la seguridad. Algunas organizaciones mundiales que la apoyan incluyen a Microsoft, Symantec y Cisco.

PALM HARBOR, Florida--()--(ISC)²® (ISC al cuadrado), empresa sin fines de lucro y líder mundial en la educación y certificación de profesionales de la seguridad de la información a lo largo de sus carreras, anunció hoy los preparativos de una nueva certificación diseñada para validar las prácticas de desarrollo de software seguro y el conocimiento para enfrentarse a un número creciente de vulnerabilidades de las aplicaciones.

La certificación como Profesional Certificado en Ciclos de Vida de Software Seguro (Certified Secure Software Lifecycle Professional, CSSLPcm) pretende frenar la proliferación de vulnerabilidades de seguridad derivadas de procesos de desarrollo insuficientes estableciendo mejores prácticas y validando la competencia de un individuo en relación con la solución de problemas de seguridad a lo largo del ciclo de vida del software. Utiliza una aproximación holística a la seguridad del software. De una manera neutral ante el lenguaje de programación, será aplicable a cualquier persona que participe en el ciclo de vida de software, incluyendo analistas, desarrolladores, ingenieros de software, arquitectos de software, gerentes de proyecto, controladores de calidad del software y programadores.

Más del 70% de las vulnerabilidades de seguridad existen en la capa de aplicaciones1, lo cual representa una amenaza significativa e inmediata para los usuarios en todo el mundo, afirmó Howard A. Schmidt, CISSP, miembro de la junta directiva de (ISC)² y presidente recién designado del Foro para la Seguridad de la Información (Information Security Forum, ISF). Con demasiada frecuencia, la seguridad se establece al final del ciclo de vida de software como respuesta a una amenaza o a un riesgo.

El momento de actuar es ahora, porque las nuevas aplicaciones que carecen de controles básicos de seguridad están siendo desarrolladas cada día, y se están ignorando miles de vulnerabilidades existentes, manifestó Schmidt.

El software inseguro no solamente es un peligro para la empresa, sino que puede ocasionar altos costos de producción y retrasos para el desarrollador del software, y también requiere que el usuario final disponga de personal adicional, afirmó W. Hord Tipton, CISSP-ISSEP, CAP, CISA, CNSS, director ejecutivo de (ISC)². El CSSLP será un componente clave para una mejor protección de la infraestructura crítica, reduciendo demandas por malas prácticas de software y permitiendo una estricta adhesión a las regulaciones de la industria y del gobierno.

Una amplia gama de organizaciones respetadas ha expresado su apoyo al CSSLP, incluyendo: Microsoft, Symantec, Cisco, SANS, DSCI (NASSCOM), SRA International, Software Assurance Forum for Excellence in Code (SAFECode), Xerox, ISSA, BASDA (Business Application Software Developers Association) y Frost & Sullivan. Varias de estas organizaciones están enviado personal calificado de software a los procesos de educación y exámenes. Algunas de las declaraciones de las organizaciones que apoyan la iniciativa se señalan a continuación:

Para proteger mejor a nuestros clientes de las amenazas evolutivas, la comunidad de software debe unirse e incorporar la seguridad en etapas anteriores del ciclo de vida de desarrollo del software. Microsoft apoya firmemente los esfuerzos de la industria para entrenar y certificar a los desarrolladores en temas de seguridad, en especial aquellos que trabajan en organizaciones con recursos limitados. Junto con el compromiso ejecutivo, el uso de las herramientas y los procesos de vanguardia, la certificación y el entrenamiento son partes críticas del desarrollo seguro.

Steven B. Lipner, director sénior de estrategia en la ingeniería de seguridad en Microsoft

 

Las amenazas emergentes en la actualidad incluyen varios riesgos de seguridad que se aprovechan de las fallas y limitaciones del código en muchos productos y servicios de tecnología que se han vuelto indispensables para individuos y negocios en la vida cotidiana. Elogiamos el esfuerzo de (ISC)² por desarrollar una nueva credencial profesional enfocada en la seguridad del software. Obtener la certificación CSSLP es el primer paso para garantizar que el personal esté calificado para ayudar y encargarse de la necesidad creciente por software seguro.

Wes Higaki, director de aseguramiento de calidad del software, dirección de tecnología en Symantec

 

Debido al crecimiento en la dependencia de las tecnologías de información y comunicación por parte de los usuarios, estos han incrementado su preocupación por la seguridad del software, especialmente los sectores gubernamentales, de infraestructura crítica y empresariales. Al ofrecer a los profesionales del software un medio para incrementar y validar su conocimiento en las mejores prácticas para asegurar las aplicaciones a lo largo de todo el ciclo de vida del desarrollo, el CSSLP de (ISC)² está ayudando a la industria a realizar un avance importante abordando el componente humano que se debe considerar como parte de la solución.

Paul Kurtz, director ejecutivo de SAFECode

 

Los grupos de crimen organizado han agudizado su enfoque y han incrementado la frecuencia de sus ataques contra las aplicaciones, haciendo de la seguridad en las aplicaciones de software una prioridad principal para proteger información susceptible. Felicitamos a (ISC)² por la brillante idea de atacar este problema crítico mediante su nueva certificación CSSLP. CSSLP complementa la certificación GIAC en programación segura de software (GSSP) del SANS Institute que prueba las habilidades de los desarrolladores para escribir códigos seguros.

Alan Paller, director de investigación de SANS

Los temas cubiertos por el examen CSSLP incluirán el ciclo de vida del software, vulnerabilidades, riesgos, fundamentos de la seguridad de la información y el cumplimiento regulatorio. Los candidatos deben demostrar cuatro años de experiencia profesional en el proceso de ciclos de vida de software o tres años de experiencia y un diploma universitario (o su equivalente regional) de una disciplina en TI.

Los siete dominios del CSSLP CBK® (un compendio de temas de software seguro) son:

  • Conceptos de Software Seguro
  • Requerimientos de Software Seguro
  • Diseño de Software Seguro
  • Implementación/Codificación de Software Seguro
  • Pruebas de Software Seguro
  • Aceptación del Software
  • Despliegue, Operaciones, Mantenimiento y Eliminación del Software

Tipton agregó: El CSSLP garantiza que nuestra primera línea de defensa en esta guerra ―las personas― cuenten con las herramientas y el conocimiento para implementar y reforzar la seguridad durante todo el ciclo de vida del software.

El primer examen CSSLP está programado para finales de junio de 2009. Actualmente, (ISC)² está buscando profesionales calificados que cumplan con la experiencia y otros requerimientos necesarios para participar en la evaluación. Ellos serán los primeros en recibir la certificación CSSLP y se les solicitará que contribuyan en el proceso de desarrollo del examen, así como en otras actividades desarrolladas dentro del programa. Las solicitudes para la evaluación de la experiencia CSSLP se recibirán desde el 25 de septiembre de 2008 hasta el 31 de marzo de 2009, y los primeros seminarios educativos están programados para el primer trimestre de 2009. Para obtener más información y registrarse para la evaluación de la experiencia, visita: www.isc2.org/CSSLP.

Acerca de (ISC)²

The International Information Systems Security Certification Consortium, Inc. [(ISC)2®] es el Patrón de Oro reconocido a nivel internacional para la certificación de profesionales de la seguridad informática. Fundado en 1989, (ISC)² ha certificado a más de 60.000 profesionales de la seguridad informática en más de 130 países. Con sede en Palm Harbor, Florida, EE. UU., y con sucursales en Washington, D.C., Londres, Hong Kong y Tokio, (ISC)² expide las credenciales de Profesional Certificado en Seguridad de Sistemas de Información (Certified Information Systems Security Professional, CISSP®) y las certificaciones combinadas relacionadas, Profesional de Certificación y Acreditación (Certification and Accreditation Professional, CAP®) y Practicante Certificado en Seguridad de Sistemas (Systems Security Certified Practitioner, SSCP®) a aquellos individuos que cumplan con los requisitos de competencia necesarios. Las certificaciones de (ISC)² están entre las primeras credenciales de la tecnología de la información y satisfacen los exigentes requisitos del Estándar ANSI/ISO/CEI 17024, un punto de referencia a nivel mundial para la evaluación y certificación del personal. (ISC)² también ofrece un programa continuo de educación profesional, un portafolio de productos y servicios educativos basados en CBK® de (ISC)², un compendio de temas relacionados con la seguridad informática y es, asimismo, responsable por el Estudio Global sobre Profesionales de Seguridad Informática de (ISC)². Para obtener más información, visite www.isc2.org.

©2008, (ISC)² Inc. (ISC)², CISSP, ISSAP, ISSMP, ISSEP, y CAP, SSCP y CBK son marcas registradas de (ISC)², Inc.

1 Fuente: Gartner Group, 2005

Resumen del comunicado:

(ISC)²® anunció hoy los preparativos de un nuevo sistema de certificación diseñado para validar las prácticas del desarrollo de software seguro y la experiencia para abordar el número creciente de vulnerabilidades de las aplicaciones.

Etiquetas de palabras claves:

software de aplicaciones, vulnerabilidades de software, csslp, vulneración de datos, software de aplicaciones empresariales, isc2, sdlc, desarrollo de software, ciclo de vida de desarrollo de software, ciclo de vida de software, seguridad de software

El texto original en el idioma fuente de este comunicado es la versión oficial autorizada. Las traducciones solo se suministran como adaptación y deben cotejarse con el texto en el idioma fuente, que es la única versión del texto que tendrá un efecto legal.

Contacts

Maples Communications, Inc.
Stephanie Olsen o Mike Kilroy, +1 949-855-3555
solsen@maples.com
mkilroy@maples.com

Contacts

Maples Communications, Inc.
Stephanie Olsen o Mike Kilroy, +1 949-855-3555
solsen@maples.com
mkilroy@maples.com