Conoce mejor nuestro proceso de desarrollo de software y descubre nuestra forma de priorizar la seguridad en todas las fases, desde el diseño inicial hasta el trabajo diario con nuestros programas. La seguridad es fundamental en nuestra metodología de diseño, desarrollo y funcionamiento de los productos.
Los equipos de ingeniería de productos respetan la norma Secure Software Development Lifecycle (SDLC), incluidas las pautas y estándares sobre codificación segura.
Antes del lanzamiento
El estándar Sage de control de seguridad de productos define los controles que nuestros productos deben adoptar. Basada en modelos líderes del sector, como OWASP ASVS y NIST, la norma se ha elaborado para ofrecer un marco integral que reduzca los riesgos de ciberseguridad que afectan a nuestros productos y clientes. Incluye controles de seguridad a lo largo de todo el ciclo de desarrollo y durante la vida útil de los productos.
Antes del lanzamiento
Nuestro equipo global de seguridad ofrece asesoría y asistencia expertas a los equipos de ingeniería de productos de Sage, y hace uso de nuestro programa de defensa de la seguridad líder en el sector. Este programa consta de buenas prácticas consolidadas en el sector del software, con un equipo de desarrolladores e ingenieros de software identificados que trabajan como una extensión del equipo de seguridad. Para ello, contribuyen al modelado de amenazas, a la clasificación y resolución de vulnerabilidades, y sirven de ayuda en la respuesta ante incidentes. Los miembros de este equipo de seguridad de Sage realizan cursos especializados sobre el tema, participan en competiciones y eventos y hacen valiosas contribuciones a nuestros objetivos de seguridad.
Antes del lanzamiento
Como parte de nuestro compromiso de integrar la seguridad por diseño, el modelado de amenazas se utiliza para entender cómo podrían nuestros productos y sistemas ser objeto de abuso o ataque, y nos permite diseñar características de seguridad desde el inicio. Empleamos diversas técnicas para el modelado de nuestros sistemas (entre ellas, STRIDE) y formamos e involucramos a un gran número de personas en el modelado de amenazas, como expertos en seguridad de aplicaciones y de la nube, desarrolladores y arquitectos de software.
Antes del lanzamiento
Para nosotros es fundamental dotar a nuestro equipo de las competencias que necesitan y fomentar una cultura de responsabilidad compartida en materia de seguridad, para ir así un paso por delante de las amenazas y garantizar el desarrollo de productos seguros. Hacemos una inversión importante en la formación de desarrolladores de software, ingenieros y equipos de seguridad. Para ello, colaboramos con líderes del sector como Pluralsight, LinkedIn Learning e Immersive Labs para ofrecer una completa formación teórica y en laboratorio.
Antes del lanzamiento
Apoyamos a nuestros desarrolladores en la escritura de código seguro y de alta calidad, con la elaboración de normas de codificación segura que definen nuestras expectativas para evitar los puntos débiles habituales en seguridad. Seguimos las pautas de OWASP y Cloud Security Alliance, entre otras, y las adaptamos al contexto y los productos de Sage.
Antes del lanzamiento
Utilizamos herramientas de análisis de código y de pruebas de seguridad a través de nuestro SDLC para detectar vulnerabilidades y errores de código lo antes posible, a fin de abordarlos antes de entrar en producción. Nuestra colaboración con Microsoft es esencial de cara a nuestra posición de seguridad y muchos de nuestros productos se sirven de la seguridad avanzada de GitHub. Entre las herramientas integradas en el desarrollo de software y los procesos de entrega están las pruebas de seguridad de aplicaciones dinámicas y estáticas y el análisis de secretos y de dependencias, que nos permiten tener la visibilidad necesaria y abordar así los riesgos de seguridad lo antes posible.
Antes del lanzamiento
Sage ha invertido en la formación de un equipo interno de seguridad ofensiva, responsable de simular ataques (tanto pruebas de penetración como ejercicios de red team) contra nuestros productos. El objetivo es identificar puntos débiles que los ciberdelincuentes podrían explotar y resolverlos de forma controlada y puntual. También colaboramos con empresas externas de pruebas de penetración para tener un punto de vista independiente y plantearnos retos interesantes.
Antes del lanzamiento
Cuando trabajamos con productos nuevos y cambios en productos existentes que podrían afectar a la seguridad, llevamos a cabo revisiones estructuradas del lanzamiento para garantizar que se cumplen nuestras expectativas en este aspecto. La seguridad y la confianza son siempre prioritarias, por lo que no vamos a lanzar ningún software que no cumpla nuestros altos estándares de seguridad.
Release
Después del lanzamiento
Nuestra atención en la seguridad no se desvía una vez desarrollado y entregado un producto. Llevamos un seguimiento constante para detectar comportamientos sospechosos e investigar y reaccionar rápidamente ante cualquier incidente. Un equipo especializado en operaciones de defensa informática controla nuestros sistemas las 24 horas del día, todos los días de la semana, y un equipo de respuesta a incidentes globales puede coordinar rápidamente las respuestas en todos los niveles de la empresa.
Después del lanzamiento
Sage gestiona un programa privado de bug bounty (recompensas por errores) a través de HackerOne. Mediante simulaciones de ataques reales, hackers éticos e investigadores de seguridad autorizados prueban los productos de Sage en busca de vulnerabilidades. Recompensamos los resultados válidos y colaboramos de forma transparente para poder resolver los problemas con rapidez.
Después del lanzamiento
Los datos procedentes de nuestras herramientas de seguridad, experiencias con incidentes, pruebas de penetración y red teams son la base de las mejoras en la protección de los productos. Revisamos estos datos de forma periódica para mejorar la formación y la normativa, y para contribuir a eventos de concienciación sobre ciberseguridad como, por ejemplo, la Cyber Security Week y nuestro evento anual de defensa de seguridad.
Más información sobre nuestro firme compromiso con la seguridad informática. Descubre más detalles en nuestras páginas específicas sobre operaciones de seguimiento y cumplimiento normativo.
Explora en profundidad nuestra estrategia de operaciones y seguimiento ininterrumpido, dedicado a garantizar una seguridad y fiabilidad máximas de tus datos y sistemas.
Revisa los detalles sobre nuestro compromiso con la normativa y el cumplimiento, y descubre cómo Sage garantiza operaciones que exceden las mejores prácticas mundiales.
