Icono de lupa

Desarrollo seguro de software

Conoce mejor nuestro proceso de desarrollo de software y descubre nuestra forma de priorizar la seguridad en todas las fases, desde el diseño inicial hasta el trabajo diario con nuestros programas. La seguridad es fundamental en nuestra metodología de diseño, desarrollo y funcionamiento de los productos.

Bases del desarrollo seguro

Nuestro enfoque de desarrollo está diseñado para priorizar la seguridad en cada paso.

Seguridad por diseño

La seguridad de nuestros clientes es parte esencial de nuestros productos. No es algo que se añada posteriormente, sino una característica integrada desde el principio.

Código limpio y seguro

Las prácticas de codificación segura de Sage se basan en las nomas y pautas del Open Web Application Security Project (OWASP). Estamos comprometidos con la escritura de código limpio y seguro.

Pruebas constantes

En Sage, nunca dejamos de hacer pruebas. Evaluamos nuestro software constantemente para asegurarnos de que cumple con los más altos niveles de seguridad y rendimiento.

Mejora de la competencias del equipo de seguridad

Facultamos a nuestros ingenieros con formación continua en materia de seguridad, mientras nuestro equipo de defensa de la seguridad, basado en el modelo BSIMM, localiza y aborda vulnerabilidades de forma activa.

Desarrollo de software seguro de principio a fin

Los equipos de ingeniería de productos respetan la norma Secure Software Development Lifecycle (SDLC), incluidas las pautas y estándares sobre codificación segura.

Antes del lanzamiento

Controles de seguridad

El estándar Sage de control de seguridad de productos define los controles que nuestros productos deben adoptar. Basada en modelos líderes del sector, como OWASP ASVS y NIST, la norma se ha elaborado para ofrecer un marco integral que reduzca los riesgos de ciberseguridad que afectan a nuestros productos y clientes. Incluye controles de seguridad a lo largo de todo el ciclo de desarrollo y durante la vida útil de los productos.

Antes del lanzamiento

Defensa de la seguridad en Sage

Nuestro equipo global de seguridad ofrece asesoría y asistencia expertas a los equipos de ingeniería de productos de Sage, y hace uso de nuestro programa de defensa de la seguridad líder en el sector. Este programa consta de buenas prácticas consolidadas en el sector del software, con un equipo de desarrolladores e ingenieros de software identificados que trabajan como una extensión del equipo de seguridad. Para ello, contribuyen al modelado de amenazas, a la clasificación y resolución de vulnerabilidades, y sirven de ayuda en la respuesta ante incidentes. Los miembros de este equipo de seguridad de Sage realizan cursos especializados sobre el tema, participan en competiciones y eventos y hacen valiosas contribuciones a nuestros objetivos de seguridad.

Antes del lanzamiento

Modelado de amenazas

Como parte de nuestro compromiso de integrar la seguridad por diseño, el modelado de amenazas se utiliza para entender cómo podrían nuestros productos y sistemas ser objeto de abuso o ataque, y nos permite diseñar características de seguridad desde el inicio. Empleamos diversas técnicas para el modelado de nuestros sistemas (entre ellas, STRIDE) y formamos e involucramos a un gran número de personas en el modelado de amenazas, como expertos en seguridad de aplicaciones y de la nube, desarrolladores y arquitectos de software.

Antes del lanzamiento

Formación en seguridad

Para nosotros es fundamental dotar a nuestro equipo de las competencias que necesitan y fomentar una cultura de responsabilidad compartida en materia de seguridad, para ir así un paso por delante de las amenazas y garantizar el desarrollo de productos seguros. Hacemos una inversión importante en la formación de desarrolladores de software, ingenieros y equipos de seguridad. Para ello, colaboramos con líderes del sector como Pluralsight, LinkedIn Learning e Immersive Labs para ofrecer una completa formación teórica y en laboratorio.

Antes del lanzamiento

Normas de codificación segura

Apoyamos a nuestros desarrolladores en la escritura de código seguro y de alta calidad, con la elaboración de normas de codificación segura que definen nuestras expectativas para evitar los puntos débiles habituales en seguridad. Seguimos las pautas de OWASP y Cloud Security Alliance, entre otras, y las adaptamos al contexto y los productos de Sage.

Antes del lanzamiento

Análisis de seguridad y revisión de código

Utilizamos herramientas de análisis de código y de pruebas de seguridad a través de nuestro SDLC para detectar vulnerabilidades y errores de código lo antes posible, a fin de abordarlos antes de entrar en producción. Nuestra colaboración con Microsoft es esencial de cara a nuestra posición de seguridad y muchos de nuestros productos se sirven de la seguridad avanzada de GitHub. Entre las herramientas integradas en el desarrollo de software y los procesos de entrega están las pruebas de seguridad de aplicaciones dinámicas y estáticas y el análisis de secretos y de dependencias, que nos permiten tener la visibilidad necesaria y abordar así los riesgos de seguridad lo antes posible.

Antes del lanzamiento

Pruebas de penetración

Sage ha invertido en la formación de un equipo interno de seguridad ofensiva, responsable de simular ataques (tanto pruebas de penetración como ejercicios de red team) contra nuestros productos. El objetivo es identificar puntos débiles que los ciberdelincuentes podrían explotar y resolverlos de forma controlada y puntual. También colaboramos con empresas externas de pruebas de penetración para tener un punto de vista independiente y plantearnos retos interesantes.

Antes del lanzamiento

Aprobación de lanzamientos

Cuando trabajamos con productos nuevos y cambios en productos existentes que podrían afectar a la seguridad, llevamos a cabo revisiones estructuradas del lanzamiento para garantizar que se cumplen nuestras expectativas en este aspecto. La seguridad y la confianza son siempre prioritarias, por lo que no vamos a lanzar ningún software que no cumpla nuestros altos estándares de seguridad.

Release

Después del lanzamiento

Seguimiento de seguridad y respuesta en caso de incidentes

Nuestra atención en la seguridad no se desvía una vez desarrollado y entregado un producto. Llevamos un seguimiento constante para detectar comportamientos sospechosos e investigar y reaccionar rápidamente ante cualquier incidente. Un equipo especializado en operaciones de defensa informática controla nuestros sistemas las 24 horas del día, todos los días de la semana, y un equipo de respuesta a incidentes globales puede coordinar rápidamente las respuestas en todos los niveles de la empresa.

Después del lanzamiento

Programa de bug bounty

Sage gestiona un programa privado de bug bounty (recompensas por errores) a través de HackerOne. Mediante simulaciones de ataques reales, hackers éticos e investigadores de seguridad autorizados prueban los productos de Sage en busca de vulnerabilidades. Recompensamos los resultados válidos y colaboramos de forma transparente para poder resolver los problemas con rapidez.

Después del lanzamiento

Mejora continua

Los datos procedentes de nuestras herramientas de seguridad, experiencias con incidentes, pruebas de penetración y red teams son la base de las mejoras en la protección de los productos. Revisamos estos datos de forma periódica para mejorar la formación y la normativa, y para contribuir a eventos de concienciación sobre ciberseguridad como, por ejemplo, la Cyber Security Week y nuestro evento anual de defensa de seguridad.

Continúa tu recorrido

Más información sobre nuestro firme compromiso con la seguridad informática. Descubre más detalles en nuestras páginas específicas sobre operaciones de seguimiento y cumplimiento normativo.

Seguimiento y operaciones

Explora en profundidad nuestra estrategia de operaciones y seguimiento ininterrumpido, dedicado a garantizar una seguridad y fiabilidad máximas de tus datos y sistemas.

Normativa y cumplimiento

Revisa los detalles sobre nuestro compromiso con la normativa y el cumplimiento, y descubre cómo Sage garantiza operaciones que exceden las mejores prácticas mundiales.

Comentarios