Incentivar a los desarrolladores es la clave para mejorar las prácticas de seguridad
El panorama de las ciberamenazas es cada vez más complejo. Los atacantes exploran constantemente las redes en busca de aplicaciones, programas e instancias en la nube vulnerables, y el último sabor del mes son las API, ampliamente consideradas como una victoria fácil gracias a sus controles de seguridad a menudo laxos. Son tan persistentes que a veces las nuevas aplicaciones pueden verse comprometidas y explotadas a las pocas horas de su despliegue. El informe Verizon 2021 Data Breach Investigations Report deja muy claro que las amenazas que se ciernen sobre las empresas y organizaciones son hoy más peligrosas que en cualquier otro momento de la historia.
Cada vez está más claro que la única manera de fortificar realmente el software que se crea es asegurarse de que está construido sobre un código seguro. En otras palabras, la mejor manera de detener la invasión de los actores de la amenaza es negarles un punto de apoyo en sus aplicaciones en primer lugar. Una vez que se empieza a librar esa guerra, la mayoría de las ventajas se inclinan hacia los atacantes.
Esta situación dio lugar primero al desarrollo ágil y a DevOps, y más tarde a todo el movimiento DevSecOps, en el que la seguridad es una responsabilidad compartida por todos los implicados en el proceso de creación de software, desde el desarrollo hasta el despliegue. Pero la base de esa pirámide, y posiblemente la parte más importante, son los desarrolladores. Mientras que la mayoría de los desarrolladores quieren hacer su parte y escribir código seguro, muchas de las organizaciones para las que trabajan son menos partidarias de los cambios que requiere un cambio de prioridades tan importante.
Derrota por diseño
Durante muchos años, a los desarrolladores se les dijo que su función principal en sus organizaciones era construir y desplegar rápidamente aplicaciones en un entorno de ritmo rápido, donde el negocio nunca se detiene y los clientes nunca duermen. Cuanto más rápido pudieran codificar los desarrolladores y más funciones pudieran desplegar, más valiosos se consideraban en términos de sus evaluaciones de rendimiento.
La seguridad era una idea tardía, si es que se tenía en cuenta. En su lugar, se dejaba todo en manos de los equipos de seguridad de las aplicaciones (AppSec). Los equipos de AppSec no gustaban a la mayoría de los desarrolladores porque a menudo enviaban las aplicaciones terminadas de vuelta al desarrollo para aplicar parches de seguridad o reescribir el código para remediar las vulnerabilidades. Y cada hora que un desarrollador pasaba trabajando en una aplicación que ya estaba "terminada" era una hora que no estaba creando nuevas aplicaciones y funciones, lo que disminuía su rendimiento (y su valor, a los ojos de una empresa especialmente punitiva).
Y entonces el entorno de las amenazas cambió la importancia y la prioridad de la seguridad para la mayoría de las empresas. Según el reciente informe Cost of a Data Breach Report de IBM y el Ponemon Institute, la violación media de la ciberseguridad cuesta ahora unos 3,8 millones de dólares por incidente, aunque esto no es el límite superior. Sólo una empresa incurrió en pérdidas de 1.300 millones de dólares tras una brecha en su red. Las empresas de hoy quieren la seguridad que ofrece DevSecOps, pero, lamentablemente, han tardado en recompensar a los desarrolladores que responden a esa llamada.
Decir simplemente a los equipos de desarrollo que tengan en cuenta la seguridad no funcionará, sobre todo si se les sigue incentivando basándose únicamente en la velocidad. De hecho, dentro de este sistema, los desarrolladores que se toman el tiempo para aprender sobre seguridad y asegurar su código podrían estar perdiendo las mejores evaluaciones de rendimiento y las lucrativas bonificaciones que sus colegas menos conscientes de la seguridad siguen ganando. Es casi como si las empresas estuvieran manipulando involuntariamente el sistema para sus propios fallos de seguridad, y esto se debe a su percepción del equipo de desarrollo. Si no los ven como la primera línea de seguridad, entonces es muy poco probable que un plan viable para utilizar su fuerza de trabajo llegue a buen puerto.
Y esto ni siquiera tiene en cuenta la falta de formación. Algunos desarrolladores muy cualificados tienen décadas de experiencia en la codificación, pero muy poca cuando se trata de seguridad... después de todo, nunca se les exigió. A menos que una empresa ofrezca un buen programa de formación a sus programadores cualificados, difícilmente puede esperar que sus desarrolladores adquieran repentinamente nuevas habilidades y las pongan en práctica de una manera significativa que reduzca activamente las vulnerabilidades.
Premiar a los desarrolladores por sus buenas prácticas de seguridad
La buena noticia es que la inmensa mayoría de los desarrolladores hacen su trabajo porque lo encuentran desafiante y gratificante, y porque disfrutan del respeto que su posición conlleva. Michael Shpilt, programador profesional de toda la vida, escribió recientemente sobre todas las cosas que le motivan a él y a sus colegas programadores en su trabajo de desarrollo. Sí, incluye la compensación monetaria entre esos incentivos, pero está sorprendentemente lejos en la lista. En su lugar, prioriza la emoción de crear algo nuevo, el aprendizaje de nuevas habilidades y la satisfacción de saber que su trabajo va a ser utilizado directamente para ayudar a otros. También habla de querer sentirse valorado dentro de su empresa y su comunidad. En resumen, los desarrolladores son como mucha gente buena que se enorgullece de su trabajo.
Los desarrolladores como Shpilt y otros no quieren que los actores de las amenazas comprometan su código y lo utilicen para perjudicar a su empresa, o a los mismos usuarios a los que intentan ayudar. Pero, no pueden cambiar repentinamente sus prioridades a la seguridad sin apoyo. De lo contrario, es casi como si el sistema trabajara contra ellos.
Para ayudar a los equipos de desarrollo a mejorar su destreza en ciberseguridad, primero hay que enseñarles las habilidades necesarias. Utilizar el aprendizaje con andamiaje y herramientas como la formación Just-in-Time (JiT) puede hacer que este proceso sea mucho menos doloroso, y ayuda a aprovechar los conocimientos existentes en el contexto adecuado.
El principio de JiT es que los desarrolladores reciban los conocimientos adecuados en el momento justo. Por ejemplo, si una herramienta de formación de desarrolladores de JiT detecta que un programador está creando un fragmento de código inseguro, o está introduciendo accidentalmente una vulnerabilidad en su aplicación, puede activar y mostrar al desarrollador cómo podría solucionar ese problema, y cómo escribir un código más seguro para realizar esa misma función en el futuro.
Con el compromiso de mejorar las competencias, hay que eliminar los antiguos métodos de evaluación de los desarrolladores basados únicamente en la velocidad. En su lugar, los programadores deben ser recompensados en función de su capacidad para crear código seguro, y los mejores desarrolladores deben convertirse en campeones de seguridad que ayuden al resto del equipo a mejorar sus habilidades. Y esos campeones deben ser recompensados tanto con el prestigio de la empresa como con una compensación económica. También es importante recordar que los desarrolladores no suelen tener una experiencia positiva con la seguridad, por lo que animarles con un aprendizaje positivo y divertido y con incentivos que respondan a sus intereses contribuirá en gran medida a garantizar tanto la retención de conocimientos como el deseo de seguir adquiriendo habilidades.
Las empresas pueden seguir incluyendo la velocidad de codificación como una parte de la evaluación de un desarrollador, pero con la expectativa de que el desarrollo de aplicaciones seguras puede llevar un poco más de tiempo, especialmente cuando los codificadores están aprendiendo esas nuevas habilidades.
Las DevSecOps pueden ser la última defensa contra las artes oscuras de un panorama de amenazas cada vez más peligroso. Eso sí, no olvides que los campeones de este nuevo mundo, los desarrolladores que crean constantemente nuevo código, deben ser respetados y compensados por su trabajo.
¿Quiere poner a prueba sus conocimientos de seguridad frente a otros desarrolladores de todo el mundo? Consulta la página web de Secure Code Warrior’s Devlympics 2021y podrás llevarte un gran premio en nuestra página web tournaments.
Los desarrolladores profesionales quieren adoptar DevSecOps y escribir código seguro, pero sus organizaciones necesitan apoyar este cambio si quieren que ese esfuerzo crezca.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
El panorama de las ciberamenazas es cada vez más complejo. Los atacantes exploran constantemente las redes en busca de aplicaciones, programas e instancias en la nube vulnerables, y el último sabor del mes son las API, ampliamente consideradas como una victoria fácil gracias a sus controles de seguridad a menudo laxos. Son tan persistentes que a veces las nuevas aplicaciones pueden verse comprometidas y explotadas a las pocas horas de su despliegue. El informe Verizon 2021 Data Breach Investigations Report deja muy claro que las amenazas que se ciernen sobre las empresas y organizaciones son hoy más peligrosas que en cualquier otro momento de la historia.
Cada vez está más claro que la única manera de fortificar realmente el software que se crea es asegurarse de que está construido sobre un código seguro. En otras palabras, la mejor manera de detener la invasión de los actores de la amenaza es negarles un punto de apoyo en sus aplicaciones en primer lugar. Una vez que se empieza a librar esa guerra, la mayoría de las ventajas se inclinan hacia los atacantes.
Esta situación dio lugar primero al desarrollo ágil y a DevOps, y más tarde a todo el movimiento DevSecOps, en el que la seguridad es una responsabilidad compartida por todos los implicados en el proceso de creación de software, desde el desarrollo hasta el despliegue. Pero la base de esa pirámide, y posiblemente la parte más importante, son los desarrolladores. Mientras que la mayoría de los desarrolladores quieren hacer su parte y escribir código seguro, muchas de las organizaciones para las que trabajan son menos partidarias de los cambios que requiere un cambio de prioridades tan importante.
Derrota por diseño
Durante muchos años, a los desarrolladores se les dijo que su función principal en sus organizaciones era construir y desplegar rápidamente aplicaciones en un entorno de ritmo rápido, donde el negocio nunca se detiene y los clientes nunca duermen. Cuanto más rápido pudieran codificar los desarrolladores y más funciones pudieran desplegar, más valiosos se consideraban en términos de sus evaluaciones de rendimiento.
La seguridad era una idea tardía, si es que se tenía en cuenta. En su lugar, se dejaba todo en manos de los equipos de seguridad de las aplicaciones (AppSec). Los equipos de AppSec no gustaban a la mayoría de los desarrolladores porque a menudo enviaban las aplicaciones terminadas de vuelta al desarrollo para aplicar parches de seguridad o reescribir el código para remediar las vulnerabilidades. Y cada hora que un desarrollador pasaba trabajando en una aplicación que ya estaba "terminada" era una hora que no estaba creando nuevas aplicaciones y funciones, lo que disminuía su rendimiento (y su valor, a los ojos de una empresa especialmente punitiva).
Y entonces el entorno de las amenazas cambió la importancia y la prioridad de la seguridad para la mayoría de las empresas. Según el reciente informe Cost of a Data Breach Report de IBM y el Ponemon Institute, la violación media de la ciberseguridad cuesta ahora unos 3,8 millones de dólares por incidente, aunque esto no es el límite superior. Sólo una empresa incurrió en pérdidas de 1.300 millones de dólares tras una brecha en su red. Las empresas de hoy quieren la seguridad que ofrece DevSecOps, pero, lamentablemente, han tardado en recompensar a los desarrolladores que responden a esa llamada.
Decir simplemente a los equipos de desarrollo que tengan en cuenta la seguridad no funcionará, sobre todo si se les sigue incentivando basándose únicamente en la velocidad. De hecho, dentro de este sistema, los desarrolladores que se toman el tiempo para aprender sobre seguridad y asegurar su código podrían estar perdiendo las mejores evaluaciones de rendimiento y las lucrativas bonificaciones que sus colegas menos conscientes de la seguridad siguen ganando. Es casi como si las empresas estuvieran manipulando involuntariamente el sistema para sus propios fallos de seguridad, y esto se debe a su percepción del equipo de desarrollo. Si no los ven como la primera línea de seguridad, entonces es muy poco probable que un plan viable para utilizar su fuerza de trabajo llegue a buen puerto.
Y esto ni siquiera tiene en cuenta la falta de formación. Algunos desarrolladores muy cualificados tienen décadas de experiencia en la codificación, pero muy poca cuando se trata de seguridad... después de todo, nunca se les exigió. A menos que una empresa ofrezca un buen programa de formación a sus programadores cualificados, difícilmente puede esperar que sus desarrolladores adquieran repentinamente nuevas habilidades y las pongan en práctica de una manera significativa que reduzca activamente las vulnerabilidades.
Premiar a los desarrolladores por sus buenas prácticas de seguridad
La buena noticia es que la inmensa mayoría de los desarrolladores hacen su trabajo porque lo encuentran desafiante y gratificante, y porque disfrutan del respeto que su posición conlleva. Michael Shpilt, programador profesional de toda la vida, escribió recientemente sobre todas las cosas que le motivan a él y a sus colegas programadores en su trabajo de desarrollo. Sí, incluye la compensación monetaria entre esos incentivos, pero está sorprendentemente lejos en la lista. En su lugar, prioriza la emoción de crear algo nuevo, el aprendizaje de nuevas habilidades y la satisfacción de saber que su trabajo va a ser utilizado directamente para ayudar a otros. También habla de querer sentirse valorado dentro de su empresa y su comunidad. En resumen, los desarrolladores son como mucha gente buena que se enorgullece de su trabajo.
Los desarrolladores como Shpilt y otros no quieren que los actores de las amenazas comprometan su código y lo utilicen para perjudicar a su empresa, o a los mismos usuarios a los que intentan ayudar. Pero, no pueden cambiar repentinamente sus prioridades a la seguridad sin apoyo. De lo contrario, es casi como si el sistema trabajara contra ellos.
Para ayudar a los equipos de desarrollo a mejorar su destreza en ciberseguridad, primero hay que enseñarles las habilidades necesarias. Utilizar el aprendizaje con andamiaje y herramientas como la formación Just-in-Time (JiT) puede hacer que este proceso sea mucho menos doloroso, y ayuda a aprovechar los conocimientos existentes en el contexto adecuado.
El principio de JiT es que los desarrolladores reciban los conocimientos adecuados en el momento justo. Por ejemplo, si una herramienta de formación de desarrolladores de JiT detecta que un programador está creando un fragmento de código inseguro, o está introduciendo accidentalmente una vulnerabilidad en su aplicación, puede activar y mostrar al desarrollador cómo podría solucionar ese problema, y cómo escribir un código más seguro para realizar esa misma función en el futuro.
Con el compromiso de mejorar las competencias, hay que eliminar los antiguos métodos de evaluación de los desarrolladores basados únicamente en la velocidad. En su lugar, los programadores deben ser recompensados en función de su capacidad para crear código seguro, y los mejores desarrolladores deben convertirse en campeones de seguridad que ayuden al resto del equipo a mejorar sus habilidades. Y esos campeones deben ser recompensados tanto con el prestigio de la empresa como con una compensación económica. También es importante recordar que los desarrolladores no suelen tener una experiencia positiva con la seguridad, por lo que animarles con un aprendizaje positivo y divertido y con incentivos que respondan a sus intereses contribuirá en gran medida a garantizar tanto la retención de conocimientos como el deseo de seguir adquiriendo habilidades.
Las empresas pueden seguir incluyendo la velocidad de codificación como una parte de la evaluación de un desarrollador, pero con la expectativa de que el desarrollo de aplicaciones seguras puede llevar un poco más de tiempo, especialmente cuando los codificadores están aprendiendo esas nuevas habilidades.
Las DevSecOps pueden ser la última defensa contra las artes oscuras de un panorama de amenazas cada vez más peligroso. Eso sí, no olvides que los campeones de este nuevo mundo, los desarrolladores que crean constantemente nuevo código, deben ser respetados y compensados por su trabajo.
¿Quiere poner a prueba sus conocimientos de seguridad frente a otros desarrolladores de todo el mundo? Consulta la página web de Secure Code Warrior’s Devlympics 2021y podrás llevarte un gran premio en nuestra página web tournaments.
El panorama de las ciberamenazas es cada vez más complejo. Los atacantes exploran constantemente las redes en busca de aplicaciones, programas e instancias en la nube vulnerables, y el último sabor del mes son las API, ampliamente consideradas como una victoria fácil gracias a sus controles de seguridad a menudo laxos. Son tan persistentes que a veces las nuevas aplicaciones pueden verse comprometidas y explotadas a las pocas horas de su despliegue. El informe Verizon 2021 Data Breach Investigations Report deja muy claro que las amenazas que se ciernen sobre las empresas y organizaciones son hoy más peligrosas que en cualquier otro momento de la historia.
Cada vez está más claro que la única manera de fortificar realmente el software que se crea es asegurarse de que está construido sobre un código seguro. En otras palabras, la mejor manera de detener la invasión de los actores de la amenaza es negarles un punto de apoyo en sus aplicaciones en primer lugar. Una vez que se empieza a librar esa guerra, la mayoría de las ventajas se inclinan hacia los atacantes.
Esta situación dio lugar primero al desarrollo ágil y a DevOps, y más tarde a todo el movimiento DevSecOps, en el que la seguridad es una responsabilidad compartida por todos los implicados en el proceso de creación de software, desde el desarrollo hasta el despliegue. Pero la base de esa pirámide, y posiblemente la parte más importante, son los desarrolladores. Mientras que la mayoría de los desarrolladores quieren hacer su parte y escribir código seguro, muchas de las organizaciones para las que trabajan son menos partidarias de los cambios que requiere un cambio de prioridades tan importante.
Derrota por diseño
Durante muchos años, a los desarrolladores se les dijo que su función principal en sus organizaciones era construir y desplegar rápidamente aplicaciones en un entorno de ritmo rápido, donde el negocio nunca se detiene y los clientes nunca duermen. Cuanto más rápido pudieran codificar los desarrolladores y más funciones pudieran desplegar, más valiosos se consideraban en términos de sus evaluaciones de rendimiento.
La seguridad era una idea tardía, si es que se tenía en cuenta. En su lugar, se dejaba todo en manos de los equipos de seguridad de las aplicaciones (AppSec). Los equipos de AppSec no gustaban a la mayoría de los desarrolladores porque a menudo enviaban las aplicaciones terminadas de vuelta al desarrollo para aplicar parches de seguridad o reescribir el código para remediar las vulnerabilidades. Y cada hora que un desarrollador pasaba trabajando en una aplicación que ya estaba "terminada" era una hora que no estaba creando nuevas aplicaciones y funciones, lo que disminuía su rendimiento (y su valor, a los ojos de una empresa especialmente punitiva).
Y entonces el entorno de las amenazas cambió la importancia y la prioridad de la seguridad para la mayoría de las empresas. Según el reciente informe Cost of a Data Breach Report de IBM y el Ponemon Institute, la violación media de la ciberseguridad cuesta ahora unos 3,8 millones de dólares por incidente, aunque esto no es el límite superior. Sólo una empresa incurrió en pérdidas de 1.300 millones de dólares tras una brecha en su red. Las empresas de hoy quieren la seguridad que ofrece DevSecOps, pero, lamentablemente, han tardado en recompensar a los desarrolladores que responden a esa llamada.
Decir simplemente a los equipos de desarrollo que tengan en cuenta la seguridad no funcionará, sobre todo si se les sigue incentivando basándose únicamente en la velocidad. De hecho, dentro de este sistema, los desarrolladores que se toman el tiempo para aprender sobre seguridad y asegurar su código podrían estar perdiendo las mejores evaluaciones de rendimiento y las lucrativas bonificaciones que sus colegas menos conscientes de la seguridad siguen ganando. Es casi como si las empresas estuvieran manipulando involuntariamente el sistema para sus propios fallos de seguridad, y esto se debe a su percepción del equipo de desarrollo. Si no los ven como la primera línea de seguridad, entonces es muy poco probable que un plan viable para utilizar su fuerza de trabajo llegue a buen puerto.
Y esto ni siquiera tiene en cuenta la falta de formación. Algunos desarrolladores muy cualificados tienen décadas de experiencia en la codificación, pero muy poca cuando se trata de seguridad... después de todo, nunca se les exigió. A menos que una empresa ofrezca un buen programa de formación a sus programadores cualificados, difícilmente puede esperar que sus desarrolladores adquieran repentinamente nuevas habilidades y las pongan en práctica de una manera significativa que reduzca activamente las vulnerabilidades.
Premiar a los desarrolladores por sus buenas prácticas de seguridad
La buena noticia es que la inmensa mayoría de los desarrolladores hacen su trabajo porque lo encuentran desafiante y gratificante, y porque disfrutan del respeto que su posición conlleva. Michael Shpilt, programador profesional de toda la vida, escribió recientemente sobre todas las cosas que le motivan a él y a sus colegas programadores en su trabajo de desarrollo. Sí, incluye la compensación monetaria entre esos incentivos, pero está sorprendentemente lejos en la lista. En su lugar, prioriza la emoción de crear algo nuevo, el aprendizaje de nuevas habilidades y la satisfacción de saber que su trabajo va a ser utilizado directamente para ayudar a otros. También habla de querer sentirse valorado dentro de su empresa y su comunidad. En resumen, los desarrolladores son como mucha gente buena que se enorgullece de su trabajo.
Los desarrolladores como Shpilt y otros no quieren que los actores de las amenazas comprometan su código y lo utilicen para perjudicar a su empresa, o a los mismos usuarios a los que intentan ayudar. Pero, no pueden cambiar repentinamente sus prioridades a la seguridad sin apoyo. De lo contrario, es casi como si el sistema trabajara contra ellos.
Para ayudar a los equipos de desarrollo a mejorar su destreza en ciberseguridad, primero hay que enseñarles las habilidades necesarias. Utilizar el aprendizaje con andamiaje y herramientas como la formación Just-in-Time (JiT) puede hacer que este proceso sea mucho menos doloroso, y ayuda a aprovechar los conocimientos existentes en el contexto adecuado.
El principio de JiT es que los desarrolladores reciban los conocimientos adecuados en el momento justo. Por ejemplo, si una herramienta de formación de desarrolladores de JiT detecta que un programador está creando un fragmento de código inseguro, o está introduciendo accidentalmente una vulnerabilidad en su aplicación, puede activar y mostrar al desarrollador cómo podría solucionar ese problema, y cómo escribir un código más seguro para realizar esa misma función en el futuro.
Con el compromiso de mejorar las competencias, hay que eliminar los antiguos métodos de evaluación de los desarrolladores basados únicamente en la velocidad. En su lugar, los programadores deben ser recompensados en función de su capacidad para crear código seguro, y los mejores desarrolladores deben convertirse en campeones de seguridad que ayuden al resto del equipo a mejorar sus habilidades. Y esos campeones deben ser recompensados tanto con el prestigio de la empresa como con una compensación económica. También es importante recordar que los desarrolladores no suelen tener una experiencia positiva con la seguridad, por lo que animarles con un aprendizaje positivo y divertido y con incentivos que respondan a sus intereses contribuirá en gran medida a garantizar tanto la retención de conocimientos como el deseo de seguir adquiriendo habilidades.
Las empresas pueden seguir incluyendo la velocidad de codificación como una parte de la evaluación de un desarrollador, pero con la expectativa de que el desarrollo de aplicaciones seguras puede llevar un poco más de tiempo, especialmente cuando los codificadores están aprendiendo esas nuevas habilidades.
Las DevSecOps pueden ser la última defensa contra las artes oscuras de un panorama de amenazas cada vez más peligroso. Eso sí, no olvides que los campeones de este nuevo mundo, los desarrolladores que crean constantemente nuevo código, deben ser respetados y compensados por su trabajo.
¿Quiere poner a prueba sus conocimientos de seguridad frente a otros desarrolladores de todo el mundo? Consulta la página web de Secure Code Warrior’s Devlympics 2021y podrás llevarte un gran premio en nuestra página web tournaments.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
El panorama de las ciberamenazas es cada vez más complejo. Los atacantes exploran constantemente las redes en busca de aplicaciones, programas e instancias en la nube vulnerables, y el último sabor del mes son las API, ampliamente consideradas como una victoria fácil gracias a sus controles de seguridad a menudo laxos. Son tan persistentes que a veces las nuevas aplicaciones pueden verse comprometidas y explotadas a las pocas horas de su despliegue. El informe Verizon 2021 Data Breach Investigations Report deja muy claro que las amenazas que se ciernen sobre las empresas y organizaciones son hoy más peligrosas que en cualquier otro momento de la historia.
Cada vez está más claro que la única manera de fortificar realmente el software que se crea es asegurarse de que está construido sobre un código seguro. En otras palabras, la mejor manera de detener la invasión de los actores de la amenaza es negarles un punto de apoyo en sus aplicaciones en primer lugar. Una vez que se empieza a librar esa guerra, la mayoría de las ventajas se inclinan hacia los atacantes.
Esta situación dio lugar primero al desarrollo ágil y a DevOps, y más tarde a todo el movimiento DevSecOps, en el que la seguridad es una responsabilidad compartida por todos los implicados en el proceso de creación de software, desde el desarrollo hasta el despliegue. Pero la base de esa pirámide, y posiblemente la parte más importante, son los desarrolladores. Mientras que la mayoría de los desarrolladores quieren hacer su parte y escribir código seguro, muchas de las organizaciones para las que trabajan son menos partidarias de los cambios que requiere un cambio de prioridades tan importante.
Derrota por diseño
Durante muchos años, a los desarrolladores se les dijo que su función principal en sus organizaciones era construir y desplegar rápidamente aplicaciones en un entorno de ritmo rápido, donde el negocio nunca se detiene y los clientes nunca duermen. Cuanto más rápido pudieran codificar los desarrolladores y más funciones pudieran desplegar, más valiosos se consideraban en términos de sus evaluaciones de rendimiento.
La seguridad era una idea tardía, si es que se tenía en cuenta. En su lugar, se dejaba todo en manos de los equipos de seguridad de las aplicaciones (AppSec). Los equipos de AppSec no gustaban a la mayoría de los desarrolladores porque a menudo enviaban las aplicaciones terminadas de vuelta al desarrollo para aplicar parches de seguridad o reescribir el código para remediar las vulnerabilidades. Y cada hora que un desarrollador pasaba trabajando en una aplicación que ya estaba "terminada" era una hora que no estaba creando nuevas aplicaciones y funciones, lo que disminuía su rendimiento (y su valor, a los ojos de una empresa especialmente punitiva).
Y entonces el entorno de las amenazas cambió la importancia y la prioridad de la seguridad para la mayoría de las empresas. Según el reciente informe Cost of a Data Breach Report de IBM y el Ponemon Institute, la violación media de la ciberseguridad cuesta ahora unos 3,8 millones de dólares por incidente, aunque esto no es el límite superior. Sólo una empresa incurrió en pérdidas de 1.300 millones de dólares tras una brecha en su red. Las empresas de hoy quieren la seguridad que ofrece DevSecOps, pero, lamentablemente, han tardado en recompensar a los desarrolladores que responden a esa llamada.
Decir simplemente a los equipos de desarrollo que tengan en cuenta la seguridad no funcionará, sobre todo si se les sigue incentivando basándose únicamente en la velocidad. De hecho, dentro de este sistema, los desarrolladores que se toman el tiempo para aprender sobre seguridad y asegurar su código podrían estar perdiendo las mejores evaluaciones de rendimiento y las lucrativas bonificaciones que sus colegas menos conscientes de la seguridad siguen ganando. Es casi como si las empresas estuvieran manipulando involuntariamente el sistema para sus propios fallos de seguridad, y esto se debe a su percepción del equipo de desarrollo. Si no los ven como la primera línea de seguridad, entonces es muy poco probable que un plan viable para utilizar su fuerza de trabajo llegue a buen puerto.
Y esto ni siquiera tiene en cuenta la falta de formación. Algunos desarrolladores muy cualificados tienen décadas de experiencia en la codificación, pero muy poca cuando se trata de seguridad... después de todo, nunca se les exigió. A menos que una empresa ofrezca un buen programa de formación a sus programadores cualificados, difícilmente puede esperar que sus desarrolladores adquieran repentinamente nuevas habilidades y las pongan en práctica de una manera significativa que reduzca activamente las vulnerabilidades.
Premiar a los desarrolladores por sus buenas prácticas de seguridad
La buena noticia es que la inmensa mayoría de los desarrolladores hacen su trabajo porque lo encuentran desafiante y gratificante, y porque disfrutan del respeto que su posición conlleva. Michael Shpilt, programador profesional de toda la vida, escribió recientemente sobre todas las cosas que le motivan a él y a sus colegas programadores en su trabajo de desarrollo. Sí, incluye la compensación monetaria entre esos incentivos, pero está sorprendentemente lejos en la lista. En su lugar, prioriza la emoción de crear algo nuevo, el aprendizaje de nuevas habilidades y la satisfacción de saber que su trabajo va a ser utilizado directamente para ayudar a otros. También habla de querer sentirse valorado dentro de su empresa y su comunidad. En resumen, los desarrolladores son como mucha gente buena que se enorgullece de su trabajo.
Los desarrolladores como Shpilt y otros no quieren que los actores de las amenazas comprometan su código y lo utilicen para perjudicar a su empresa, o a los mismos usuarios a los que intentan ayudar. Pero, no pueden cambiar repentinamente sus prioridades a la seguridad sin apoyo. De lo contrario, es casi como si el sistema trabajara contra ellos.
Para ayudar a los equipos de desarrollo a mejorar su destreza en ciberseguridad, primero hay que enseñarles las habilidades necesarias. Utilizar el aprendizaje con andamiaje y herramientas como la formación Just-in-Time (JiT) puede hacer que este proceso sea mucho menos doloroso, y ayuda a aprovechar los conocimientos existentes en el contexto adecuado.
El principio de JiT es que los desarrolladores reciban los conocimientos adecuados en el momento justo. Por ejemplo, si una herramienta de formación de desarrolladores de JiT detecta que un programador está creando un fragmento de código inseguro, o está introduciendo accidentalmente una vulnerabilidad en su aplicación, puede activar y mostrar al desarrollador cómo podría solucionar ese problema, y cómo escribir un código más seguro para realizar esa misma función en el futuro.
Con el compromiso de mejorar las competencias, hay que eliminar los antiguos métodos de evaluación de los desarrolladores basados únicamente en la velocidad. En su lugar, los programadores deben ser recompensados en función de su capacidad para crear código seguro, y los mejores desarrolladores deben convertirse en campeones de seguridad que ayuden al resto del equipo a mejorar sus habilidades. Y esos campeones deben ser recompensados tanto con el prestigio de la empresa como con una compensación económica. También es importante recordar que los desarrolladores no suelen tener una experiencia positiva con la seguridad, por lo que animarles con un aprendizaje positivo y divertido y con incentivos que respondan a sus intereses contribuirá en gran medida a garantizar tanto la retención de conocimientos como el deseo de seguir adquiriendo habilidades.
Las empresas pueden seguir incluyendo la velocidad de codificación como una parte de la evaluación de un desarrollador, pero con la expectativa de que el desarrollo de aplicaciones seguras puede llevar un poco más de tiempo, especialmente cuando los codificadores están aprendiendo esas nuevas habilidades.
Las DevSecOps pueden ser la última defensa contra las artes oscuras de un panorama de amenazas cada vez más peligroso. Eso sí, no olvides que los campeones de este nuevo mundo, los desarrolladores que crean constantemente nuevo código, deben ser respetados y compensados por su trabajo.
¿Quiere poner a prueba sus conocimientos de seguridad frente a otros desarrolladores de todo el mundo? Consulta la página web de Secure Code Warrior’s Devlympics 2021y podrás llevarte un gran premio en nuestra página web tournaments.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Panorama de la gestión de riesgos de los promotores
La gestión de riesgos del desarrollador es un enfoque holístico y proactivo de la seguridad de las aplicaciones, centrado en quienes contribuyen al código y no en los bits y bytes de la propia capa de la aplicación.
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Recursos para empezar
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
