Establecer un enfoque coherente de la seguridad dirigida por los desarrolladores
En respuesta a importantes violaciones de la seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18.000 usuarios del popular software de gestión Orion, entre los que se encontraban muchas de las principales empresas y organismos gubernamentales, se está produciendo un aumento de la presión para que los desarrolladores realicen esfuerzos de seguridad más eficaces. Organizaciones de todos los tamaños están empezando a cuestionar su "cadena de suministro de software", y a exigir que los desarrolladores que elaboran su software tengan conocimientos y conciencia de seguridad verificados.
Incluso el gobierno de los Estados Unidos pide que se mejoren las prácticas de seguridad dirigidas por los desarrolladores y que se refuerce la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva sobre la mejora de la ciberseguridad de la nación emitida por el Presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) a través de programas y movimientos como DevSecOps.
Las vulnerabilidades del software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que la escritura de código de calidad era una de las principales prioridades de la comunidad de desarrolladores. Sin embargo, la encuesta también identificó varias razones por las que la formación que se imparte a los desarrolladores, aunque se considera valiosa, no alcanza el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de la formación impartida, seguía sin saber cómo identificar o solucionar las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más formación.
Está claro que la comunidad de desarrolladores valora cualquier tipo de formación que se les imparta. Sin embargo, cuando se les pregunta por los obstáculos que impiden la adopción de prácticas de codificación seguras, se cita la falta de tiempo como la razón número uno, seguida por una quinta parte de los encuestados que citan como culpable la falta de un enfoque cohesivo. La formación se considera más bien un acontecimiento puntual en lugar de formar parte de un esfuerzo estratégico continuo para incorporar la seguridad a los flujos de trabajo de los desarrolladores y utilizarla a diario.
De este modo, los desarrolladores no están capacitados para crear y mantener habilidades de codificación segura como parte de un programa cohesivo y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es especialmente eficaz ni completa, dado que muchos desarrolladores afirman que todavía no pueden identificar y solucionar las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en materia de seguridad, mientras que el 92% dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Resulta interesante que los desarrolladores afirmen mayoritariamente que necesitan más formación en materia de seguridad. Y aunque valoraban la formación que recibían, podría tratarse de una situación en la que simplemente se conforman con lo que puedan conseguir.
Cuando se les pidió que comentaran las formas de mejorar su formación, empezaron a aflorar sus verdaderas ideas sobre el tema. En general, la mayor parte de la formación que recibían los desarrolladores era limitada, no interactiva, sólo se dirigía en cierta medida a sus responsabilidades laborales, y no formaba parte de un plan general o continuo para ayudar a mejorar las habilidades y la concienciación sobre la seguridad de su organización.Según los desarrolladores encuestados, si las organizaciones quieren mejorar la eficacia de la formación que se ofrece, ésta debería presentarse como una parte de un enfoque global para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían peticiones específicas para que la formación fuera más valiosa. Una de las sugerencias más populares fue la de incluir más casos de uso y ejemplos prácticos de situaciones con las que probablemente se encontrarían desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que la formación cubriera con el tiempo escenarios cada vez más complejos o difíciles, algo que probablemente también requeriría un enfoque más cohesivo y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades.Los desarrolladores también destacaron la necesidad de más interactividad e incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios se limitan a ver un vídeo o a escuchar una conferencia sin oportunidad de aprendizaje práctico y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil como la codificación segura.
Los desarrolladores también destacaron la necesidad de una mayor interactividad e incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad cohesiva?
La formación es, por supuesto, fundamental cuando se trata de mejorar la concienciación y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Pero un enfoque verdaderamente cohesivo para mejorar la concienciación en materia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores. Por ejemplo, los desarrolladores han sido evaluados tradicionalmente en función de la rapidez con la que podían codificar. Pero un enfoque cohesivo de la seguridad podría implicar el cambio de esas métricas y valores mantenidos durante mucho tiempo. En su lugar, las evaluaciones podrían dejar de recompensar la velocidad bruta y recompensar a los desarrolladores que puedan crear un código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría implicar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarse a imponer la seguridad a los desarrolladores, considere la posibilidad de crear o nombrar a campeones de seguridad de la comunidad. Se trataría de desarrolladores con talento y concienciados con la seguridad, que se distingan en la formación o como parte de las evaluaciones de métricas recién enfocadas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrollo desde dentro.
Un enfoque verdaderamente cohesionado debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores.
Para más información
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: Cómo los campeones de la seguridad pueden apoyar a su equipo a la victoria contra las vulnerabilidades de última hora
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
En respuesta a importantes violaciones de la seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18.000 usuarios del popular software de gestión Orion, entre los que se encontraban muchas de las principales empresas y organismos gubernamentales, se está produciendo un aumento de la presión para que los desarrolladores realicen esfuerzos de seguridad más eficaces. Organizaciones de todos los tamaños están empezando a cuestionar su "cadena de suministro de software", y a exigir que los desarrolladores que elaboran su software tengan conocimientos y conciencia de seguridad verificados.
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónSecure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior crea una cultura de desarrolladores orientados a la seguridad, dotándoles de las habilidades necesarias para codificar de forma segura. Nuestro buque insignia es Agile Learning Platform , que ofrece itinerarios basados en habilidades relevantes, prácticas en missions y herramientas contextuales para que los desarrolladores aprendan, desarrollen y apliquen rápidamente sus habilidades para escribir código seguro a gran velocidad.
En respuesta a importantes violaciones de la seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18.000 usuarios del popular software de gestión Orion, entre los que se encontraban muchas de las principales empresas y organismos gubernamentales, se está produciendo un aumento de la presión para que los desarrolladores realicen esfuerzos de seguridad más eficaces. Organizaciones de todos los tamaños están empezando a cuestionar su "cadena de suministro de software", y a exigir que los desarrolladores que elaboran su software tengan conocimientos y conciencia de seguridad verificados.
Incluso el gobierno de los Estados Unidos pide que se mejoren las prácticas de seguridad dirigidas por los desarrolladores y que se refuerce la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva sobre la mejora de la ciberseguridad de la nación emitida por el Presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) a través de programas y movimientos como DevSecOps.
Las vulnerabilidades del software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que la escritura de código de calidad era una de las principales prioridades de la comunidad de desarrolladores. Sin embargo, la encuesta también identificó varias razones por las que la formación que se imparte a los desarrolladores, aunque se considera valiosa, no alcanza el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de la formación impartida, seguía sin saber cómo identificar o solucionar las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más formación.
Está claro que la comunidad de desarrolladores valora cualquier tipo de formación que se les imparta. Sin embargo, cuando se les pregunta por los obstáculos que impiden la adopción de prácticas de codificación seguras, se cita la falta de tiempo como la razón número uno, seguida por una quinta parte de los encuestados que citan como culpable la falta de un enfoque cohesivo. La formación se considera más bien un acontecimiento puntual en lugar de formar parte de un esfuerzo estratégico continuo para incorporar la seguridad a los flujos de trabajo de los desarrolladores y utilizarla a diario.
De este modo, los desarrolladores no están capacitados para crear y mantener habilidades de codificación segura como parte de un programa cohesivo y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es especialmente eficaz ni completa, dado que muchos desarrolladores afirman que todavía no pueden identificar y solucionar las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en materia de seguridad, mientras que el 92% dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Resulta interesante que los desarrolladores afirmen mayoritariamente que necesitan más formación en materia de seguridad. Y aunque valoraban la formación que recibían, podría tratarse de una situación en la que simplemente se conforman con lo que puedan conseguir.
Cuando se les pidió que comentaran las formas de mejorar su formación, empezaron a aflorar sus verdaderas ideas sobre el tema. En general, la mayor parte de la formación que recibían los desarrolladores era limitada, no interactiva, sólo se dirigía en cierta medida a sus responsabilidades laborales, y no formaba parte de un plan general o continuo para ayudar a mejorar las habilidades y la concienciación sobre la seguridad de su organización.Según los desarrolladores encuestados, si las organizaciones quieren mejorar la eficacia de la formación que se ofrece, ésta debería presentarse como una parte de un enfoque global para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían peticiones específicas para que la formación fuera más valiosa. Una de las sugerencias más populares fue la de incluir más casos de uso y ejemplos prácticos de situaciones con las que probablemente se encontrarían desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que la formación cubriera con el tiempo escenarios cada vez más complejos o difíciles, algo que probablemente también requeriría un enfoque más cohesivo y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades.Los desarrolladores también destacaron la necesidad de más interactividad e incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios se limitan a ver un vídeo o a escuchar una conferencia sin oportunidad de aprendizaje práctico y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil como la codificación segura.
Los desarrolladores también destacaron la necesidad de una mayor interactividad e incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad cohesiva?
La formación es, por supuesto, fundamental cuando se trata de mejorar la concienciación y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Pero un enfoque verdaderamente cohesivo para mejorar la concienciación en materia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores. Por ejemplo, los desarrolladores han sido evaluados tradicionalmente en función de la rapidez con la que podían codificar. Pero un enfoque cohesivo de la seguridad podría implicar el cambio de esas métricas y valores mantenidos durante mucho tiempo. En su lugar, las evaluaciones podrían dejar de recompensar la velocidad bruta y recompensar a los desarrolladores que puedan crear un código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría implicar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarse a imponer la seguridad a los desarrolladores, considere la posibilidad de crear o nombrar a campeones de seguridad de la comunidad. Se trataría de desarrolladores con talento y concienciados con la seguridad, que se distingan en la formación o como parte de las evaluaciones de métricas recién enfocadas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrollo desde dentro.
Un enfoque verdaderamente cohesionado debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores.
Para más información
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: Cómo los campeones de la seguridad pueden apoyar a su equipo a la victoria contra las vulnerabilidades de última hora
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
En respuesta a importantes violaciones de la seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18.000 usuarios del popular software de gestión Orion, entre los que se encontraban muchas de las principales empresas y organismos gubernamentales, se está produciendo un aumento de la presión para que los desarrolladores realicen esfuerzos de seguridad más eficaces. Organizaciones de todos los tamaños están empezando a cuestionar su "cadena de suministro de software", y a exigir que los desarrolladores que elaboran su software tengan conocimientos y conciencia de seguridad verificados.
Incluso el gobierno de los Estados Unidos pide que se mejoren las prácticas de seguridad dirigidas por los desarrolladores y que se refuerce la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva sobre la mejora de la ciberseguridad de la nación emitida por el Presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) a través de programas y movimientos como DevSecOps.
Las vulnerabilidades del software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que la escritura de código de calidad era una de las principales prioridades de la comunidad de desarrolladores. Sin embargo, la encuesta también identificó varias razones por las que la formación que se imparte a los desarrolladores, aunque se considera valiosa, no alcanza el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de la formación impartida, seguía sin saber cómo identificar o solucionar las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más formación.
Está claro que la comunidad de desarrolladores valora cualquier tipo de formación que se les imparta. Sin embargo, cuando se les pregunta por los obstáculos que impiden la adopción de prácticas de codificación seguras, se cita la falta de tiempo como la razón número uno, seguida por una quinta parte de los encuestados que citan como culpable la falta de un enfoque cohesivo. La formación se considera más bien un acontecimiento puntual en lugar de formar parte de un esfuerzo estratégico continuo para incorporar la seguridad a los flujos de trabajo de los desarrolladores y utilizarla a diario.
De este modo, los desarrolladores no están capacitados para crear y mantener habilidades de codificación segura como parte de un programa cohesivo y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es especialmente eficaz ni completa, dado que muchos desarrolladores afirman que todavía no pueden identificar y solucionar las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en materia de seguridad, mientras que el 92% dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Resulta interesante que los desarrolladores afirmen mayoritariamente que necesitan más formación en materia de seguridad. Y aunque valoraban la formación que recibían, podría tratarse de una situación en la que simplemente se conforman con lo que puedan conseguir.
Cuando se les pidió que comentaran las formas de mejorar su formación, empezaron a aflorar sus verdaderas ideas sobre el tema. En general, la mayor parte de la formación que recibían los desarrolladores era limitada, no interactiva, sólo se dirigía en cierta medida a sus responsabilidades laborales, y no formaba parte de un plan general o continuo para ayudar a mejorar las habilidades y la concienciación sobre la seguridad de su organización.Según los desarrolladores encuestados, si las organizaciones quieren mejorar la eficacia de la formación que se ofrece, ésta debería presentarse como una parte de un enfoque global para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían peticiones específicas para que la formación fuera más valiosa. Una de las sugerencias más populares fue la de incluir más casos de uso y ejemplos prácticos de situaciones con las que probablemente se encontrarían desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que la formación cubriera con el tiempo escenarios cada vez más complejos o difíciles, algo que probablemente también requeriría un enfoque más cohesivo y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades.Los desarrolladores también destacaron la necesidad de más interactividad e incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios se limitan a ver un vídeo o a escuchar una conferencia sin oportunidad de aprendizaje práctico y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil como la codificación segura.
Los desarrolladores también destacaron la necesidad de una mayor interactividad e incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad cohesiva?
La formación es, por supuesto, fundamental cuando se trata de mejorar la concienciación y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Pero un enfoque verdaderamente cohesivo para mejorar la concienciación en materia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores. Por ejemplo, los desarrolladores han sido evaluados tradicionalmente en función de la rapidez con la que podían codificar. Pero un enfoque cohesivo de la seguridad podría implicar el cambio de esas métricas y valores mantenidos durante mucho tiempo. En su lugar, las evaluaciones podrían dejar de recompensar la velocidad bruta y recompensar a los desarrolladores que puedan crear un código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría implicar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarse a imponer la seguridad a los desarrolladores, considere la posibilidad de crear o nombrar a campeones de seguridad de la comunidad. Se trataría de desarrolladores con talento y concienciados con la seguridad, que se distingan en la formación o como parte de las evaluaciones de métricas recién enfocadas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrollo desde dentro.
Un enfoque verdaderamente cohesionado debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores.
Para más información
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: Cómo los campeones de la seguridad pueden apoyar a su equipo a la victoria contra las vulnerabilidades de última hora
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostraciónSecure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior crea una cultura de desarrolladores orientados a la seguridad, dotándoles de las habilidades necesarias para codificar de forma segura. Nuestro buque insignia es Agile Learning Platform , que ofrece itinerarios basados en habilidades relevantes, prácticas en missions y herramientas contextuales para que los desarrolladores aprendan, desarrollen y apliquen rápidamente sus habilidades para escribir código seguro a gran velocidad.
En respuesta a importantes violaciones de la seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18.000 usuarios del popular software de gestión Orion, entre los que se encontraban muchas de las principales empresas y organismos gubernamentales, se está produciendo un aumento de la presión para que los desarrolladores realicen esfuerzos de seguridad más eficaces. Organizaciones de todos los tamaños están empezando a cuestionar su "cadena de suministro de software", y a exigir que los desarrolladores que elaboran su software tengan conocimientos y conciencia de seguridad verificados.
Incluso el gobierno de los Estados Unidos pide que se mejoren las prácticas de seguridad dirigidas por los desarrolladores y que se refuerce la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva sobre la mejora de la ciberseguridad de la nación emitida por el Presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) a través de programas y movimientos como DevSecOps.
Las vulnerabilidades del software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que la escritura de código de calidad era una de las principales prioridades de la comunidad de desarrolladores. Sin embargo, la encuesta también identificó varias razones por las que la formación que se imparte a los desarrolladores, aunque se considera valiosa, no alcanza el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de la formación impartida, seguía sin saber cómo identificar o solucionar las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más formación.
Está claro que la comunidad de desarrolladores valora cualquier tipo de formación que se les imparta. Sin embargo, cuando se les pregunta por los obstáculos que impiden la adopción de prácticas de codificación seguras, se cita la falta de tiempo como la razón número uno, seguida por una quinta parte de los encuestados que citan como culpable la falta de un enfoque cohesivo. La formación se considera más bien un acontecimiento puntual en lugar de formar parte de un esfuerzo estratégico continuo para incorporar la seguridad a los flujos de trabajo de los desarrolladores y utilizarla a diario.
De este modo, los desarrolladores no están capacitados para crear y mantener habilidades de codificación segura como parte de un programa cohesivo y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es especialmente eficaz ni completa, dado que muchos desarrolladores afirman que todavía no pueden identificar y solucionar las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en materia de seguridad, mientras que el 92% dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Resulta interesante que los desarrolladores afirmen mayoritariamente que necesitan más formación en materia de seguridad. Y aunque valoraban la formación que recibían, podría tratarse de una situación en la que simplemente se conforman con lo que puedan conseguir.
Cuando se les pidió que comentaran las formas de mejorar su formación, empezaron a aflorar sus verdaderas ideas sobre el tema. En general, la mayor parte de la formación que recibían los desarrolladores era limitada, no interactiva, sólo se dirigía en cierta medida a sus responsabilidades laborales, y no formaba parte de un plan general o continuo para ayudar a mejorar las habilidades y la concienciación sobre la seguridad de su organización.Según los desarrolladores encuestados, si las organizaciones quieren mejorar la eficacia de la formación que se ofrece, ésta debería presentarse como una parte de un enfoque global para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían peticiones específicas para que la formación fuera más valiosa. Una de las sugerencias más populares fue la de incluir más casos de uso y ejemplos prácticos de situaciones con las que probablemente se encontrarían desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que la formación cubriera con el tiempo escenarios cada vez más complejos o difíciles, algo que probablemente también requeriría un enfoque más cohesivo y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades.Los desarrolladores también destacaron la necesidad de más interactividad e incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios se limitan a ver un vídeo o a escuchar una conferencia sin oportunidad de aprendizaje práctico y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil como la codificación segura.
Los desarrolladores también destacaron la necesidad de una mayor interactividad e incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad cohesiva?
La formación es, por supuesto, fundamental cuando se trata de mejorar la concienciación y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Pero un enfoque verdaderamente cohesivo para mejorar la concienciación en materia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores. Por ejemplo, los desarrolladores han sido evaluados tradicionalmente en función de la rapidez con la que podían codificar. Pero un enfoque cohesivo de la seguridad podría implicar el cambio de esas métricas y valores mantenidos durante mucho tiempo. En su lugar, las evaluaciones podrían dejar de recompensar la velocidad bruta y recompensar a los desarrolladores que puedan crear un código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría implicar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarse a imponer la seguridad a los desarrolladores, considere la posibilidad de crear o nombrar a campeones de seguridad de la comunidad. Se trataría de desarrolladores con talento y concienciados con la seguridad, que se distingan en la formación o como parte de las evaluaciones de métricas recién enfocadas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrollo desde dentro.
Un enfoque verdaderamente cohesionado debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores.
Para más información
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: Cómo los campeones de la seguridad pueden apoyar a su equipo a la victoria contra las vulnerabilidades de última hora
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
Índice
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.