Hemos llegado a ese momento del año. El momento de reflexionar sobre todo lo que ha pasado, lo que pensábamos que pasaría y no pasó, las lecciones aprendidas y lo que esperamos que dé forma a las decisiones, acciones y resultados de los próximos 12 meses. 

Una dinámica económica desafiante, amenazas emergentes a la ciberseguridad y la introducción más accesible de la sociedad a la IA hasta la fecha, dieron forma a lo que fue un interesante 2023 para DevSecOps. Y lo que es aún más curioso, ninguno de estos elementos está en el retrovisor al pasar página y adentrarnos en 2024. Están en primer plano para las organizaciones, sus equipos de desarrolladores y de ciberseguridad, y los reguladores gubernamentales. 

Mientras las prioridades cambian a un ritmo vertiginoso, he aquí las principales predicciones que Secure Code Warrior prevé para los próximos 12 meses: 

Las organizaciones darán prioridad a la retención de los desarrolladores 

Los desarrolladores aportan un valor inmenso a las organizaciones y a sus clientes. Ahora corresponde a las organizaciones demostrar su valor y apreciar lo que el desarrollador puede hacer por su cuenta de resultados. Se invertirá más en estrategias de retención, programas y otros esfuerzos para garantizar que los desarrolladores estén más capacitados para hacer de su empleador actual su destino profesional a largo plazo. La formación y el desarrollo serán un gran factor diferenciador para estas empresas. 

Más peticiones a los desarrolladores pondrán el contenido y las integraciones en el centro del escenario. 

Las presiones a las que se ven sometidos los desarrolladores no cesarán en breve, sabiendo que las organizaciones quieren más software y que la transformación digital continua llegue antes a manos de sus clientes. Para que los desarrolladores se mantengan alerta, se anticipen a los obstáculos que surjan en los ciclos de vida de desarrollo de software (SDLC) y tengan acceso a más recursos para acelerar la innovación, será de vital importancia contar con más contenidos de aprendizaje e integraciones de terceros. 

Las herramientas de IA son el nuevo Stack Overflow 

Del mismo modo que los desarrolladores acuden a Stack Overflow o a foros de código abierto en busca de ayuda, los desarrolladores empezarán a recurrir a herramientas de IA. Sin embargo, esto crea una falsa sensación de seguridad. Los desarrolladores utilizarán la IA como "canal de ayuda", pero las organizaciones se darán cuenta de que este enfoque no es suficiente. 

La remediación de la IA ha llegado para quedarse 

La IA no sustituirá al desarrollador el día de mañana, pero la tecnología está cada vez más integrada en el ciclo de vida de desarrollo del software (SDLC), creando un proceso más infalible para evitar la introducción de vulnerabilidades, o para identificar una solución compatible. Seguramente veremos más experimentos a lo largo del año que inevitablemente provocarán un cambio en el comportamiento de los desarrolladores, la inversión de las organizaciones, la reasignación de personal y nuevos enfoques para la gestión de riesgos de ciberseguridad. 

Dependencia de la IA + crecimiento explosivo de las API = medidas reguladoras

El número de empresas que impulsan sus negocios mediante la creación acelerada y la habilitación de API ha ampliado significativamente el vector de amenazas de las API. Con la propensión del uso de la IA a aumentar exponencialmente la velocidad a la que se crean y lanzan las API, será necesario centrarse en una mayor gobernanza de la seguridad de las API, y es seguro que se introducirán nuevas medidas reguladoras. 

Más consecuencias para los proveedores de software que no distribuyan código seguro 

La directora de la CISA, Jen Easterly, ha dejado muy claro que no se debe permitir que los proveedores de software "pasen la pelota" cuando se trata de la seguridad de sus productos. Aunque los poderes de la CISA sólo llegan hasta cierto punto -ayudar a hacer cumplir las prácticas de seguridad por diseño a los proveedores que venden a agencias federales-, el incidente de MOVEit a principios de este año reafirmó que los grandes proveedores de software necesitan alcanzar y superar un nuevo punto de referencia. Tiene que haber más responsabilidad y más consecuencias para los infractores reincidentes que distribuyen código inseguro.

El Top 10 de OWASP de 2024 mostrará un renovado interés por los fallos de diseño 

Hablando de seguridad por diseño, en 2021, OWASP introdujo la categoría "Diseño inseguro", centrada en el cambio hacia problemas y fallos de seguridad arquitectónica. A medida que nos anticipamos a su próxima lista de los 10 principales (muy probablemente en 2024), habrá una mayor conversación a nivel ejecutivo sobre la diferencia entre diseño inseguro e implementación insegura, con énfasis en los equipos que desarrollan un ciclo de vida de desarrollo de software seguro (SSDLC), incluyendo un procedimiento completo de modelado de amenazas que soporta la autenticación crítica y la configuración de control de acceso. 

Los proveedores de DevSecOps tendrán que demostrar un ROI específico para dirigirse a diferentes compradores ejecutivos 

Para vender a varios grupos en un ciclo de ventas competitivo, los proveedores tendrán que adaptar las conversaciones a las distintas áreas de la empresa. Tradicionalmente, los proveedores de seguridad se dirigen principalmente a los CISO o a los responsables de seguridad. En 2024, habrá una mayor necesidad de la capacidad de demostrar la reducción de riesgos en contextos cada vez más específicos para los ejecutivos a través de L&D y DevOps/AppSec - además de Seguridad/CISOs.

El "gatekeeping" será la puerta de entrada a la madurez de la seguridad en el desarrollo de software 

Los CISO siguen estando sometidos al escrutinio de demostrar el valor empresarial de los esfuerzos de ciberseguridad, así como la eficacia de su programa a lo largo del tiempo. Los desarrolladores tendrán que demostrar cada vez más que son conscientes de la seguridad antes de que se les asignen proyectos con repositorios sensibles. Los CISO que adopten una norma de "control de acceso" y den prioridad a la codificación segura desde el principio del proceso de creación de software posicionarán mejor a sus equipos para la excelencia en seguridad. 

La seguridad reactiva se considerará anticuada 

A medida que el objetivo de aumentar la resiliencia cibernética sigue dominando las estrategias cibernéticas en múltiples sectores verticales, aquellos que confían en la reacción y la respuesta a incidentes como los únicos principios básicos de su plan se encontrarán en un lugar de exposición y riesgo inaceptables. El "giro a la izquierda" debe ser algo más que una palabra de moda que envejece rápidamente; la seguridad a nivel de código debe ser prioritaria, junto con la mejora de las cualificaciones y la verificación de la competencia de los desarrolladores que trabajan en el software y la infraestructura digital crítica que damos por sentada. Ahora más que nunca, tanto los gobiernos como las empresas deben comprometerse con un programa de seguridad preventivo y altamente concienciado en el que cada miembro del personal pueda compartir la responsabilidad.

Como líderes en formación e implantación de codificación segura, estamos entusiasmados con el año que se avecina y con la colaboración con nuestros más de 600 clientes para adelantarnos a esta dinámica cambiante. Qué aspecto tiene su 2024 y cómo puede ayudarle Secure Code Warrior ?

¿Quiere saber más? Síganos en X y LinkedIn para estar al día de todos los anuncios.