Vitae fórmanos en xuño nas metodoloxías de desenvolvemento seguro ante ciberataques

A Rede ten moitas luces pero tamén ten sombras. Cómpre empregar as ferramentas informáticas con confianza pero empregando tamén, como usamos na vida offline, recursos de prevención de riscos e metodoloxías que garantan a protección desexada. Para axudarnos neste punto, a consultora galega Vitae convocou a terceira edición do Curso Desenvolvemento Seguro ante Ciberataques, de seis horas de duración e impartido polo experto Daniel García. Levarase a cabo en formato de aula virtual, con clases en directo recuperables, os días 25 e 26 de xuño.
O curso convídanos a facer as cousas con calma e aplicar o principio básico de todo desenvolvemento tecnolóxico: testear.
“Cando un desenvolvedor escribe código con présas, e sen seguridade en mente, poden acontecer cousas coma a que lle ocorreu ao enxeñeiro de software que lanzou un venres un pequeno axuste no código dunha API bancaria, e o luns, cando chegou á oficina, a empresa levaba perdidos 400.000 euros”, sinalan dende Vitae, lembrándonos que “fallos de seguridade coma o devandito poden evitarse se os desenvolvedores invisten 10 minutos máis en revisar o código... Só dez minutos abondarían”. Trátase, sinalan, dun tipo de erros que non é raro, e “ocorren acotío”, sobre todo cando os desenvolvedores, que adoitan facer moi ben o seu traballo específico, non se centran como deberan en aplicar un mínimo de seguridade.
Este curso achega unha formación específica sobre seguridade en desenvolvemento enfocada directamente a evitar eses erros que converten un pequeno fallo de código “nun auténtico pesadelo financeiro, legal ou reputacional”, sinalan dende Vitae.
A formación están dirixida a “desenvolvedores que non queren protagonizar a próxima gran data de seguridade”, ou “responsables de equipo que desexen durmir profundamente sabendo que o seu código é seguro”. Tamén, recorda Vitae, “é un curso acaído para profesionais técnicos aos que lles importe máis a súa reputación que cruzar os dedos e esperar que todo saia ben”.

Algúns contidos

Inxeccións
Mostrarase por que deixar que un usuario introduza texto sen comprobar é como convidalo a entrar ao noso servidor.
Aprenderase a bloquear isto en menos de 5 minutos.
Autenticación e xestión de contrasinais
Mostrarase como gardar contrasinais sen protección real pode ser o fin da nosa empresa.
Control de acceso básico
Aprenderase a como evitar que un usuario vexa ou modifique datos que non debería ver.
Ficheiros e información sensible
Explicarase por que gardar datos en arquivos sen protexer é como deixalos enriba dunha mesa pública, e como protexelos con métodos sinxelos que podemos aplicar hoxe mesmo.
Configuracións inseguras por defecto
Descubrirase como os axustes por defecto poden ser trampas para novatos. Porase o foco no que é preciso cambiar e porqué facelo antes de despregar a nosa aplicación.
Usar compoñentes externos sen comprobar
Mostrarase o risco de usar librerías antigas ou sen revisar.
Validación de entradas
Como protexer a nosa aplicación de datos malintencionados con métodos simples que nunca máis deixaremos pasar por alto.
Erros e fugas de información en logs
Amosaranse os riscos de dar demasiados detalles nas mensaxes de erro.
Que é CSRF e porqué importa
Aprenderase como evitar que un atacante faga peticións en nome dos usuarios sen que eles o saiban.
Como xestionar sesións sen que nolas rouben
Neste curso explicaranse os riscos aos que nos expón unha sesión mal xestionada (como
deixar as chaves na porta).
Como cifrar e protexer datos sensibles
Veranse formas sinxelas e efectivas para que ninguén poida ler información crítica aínda que entre ao noso servidor.
Protección contra ataques de forza bruta
Descubriranse técnicas doadas para impedir que alguén entre na nosa aplicación probando contrasinais sen parar ata acertar.

O formador

A persoa encargada de impartir estes e outros contidos será Daniel García, que leva máis de 20 anos “dándolle guerra” ao código inseguro, ás APIs vulnerables e “a calquera cousa que cheire a problemas en ciberseguridade”. É arquitecto de Seguridade especializado en APIs REST, investigador independente e ten fundado varias iniciativas e ferramentas de seguridade que é posible que usemos acotío e non saibamos. Colaborou con multinacionais, startups, bancos, consultorías e ata en hackathons como xurado. Asesorou a empresas que manexan miles de millóns de euros en activos e, tamén, estivo detrás do código de plataformas que usan millóns de usuarios en tempo real. Usa un método é sinxelo libre de discursos teóricos, cre que a seguridade non ten por que ser nin aburrida nin complicada, senón tremendamente efectiva.