Realinear su organización en torno a la codificación segura: obstáculos, preocupaciones y soluciones activas
En nuestro mundo hiperconectado, casi todas las organizaciones comparten un talón de Aquiles común. Una sola vulnerabilidad, un solo resquicio explotable en su código, puede desencadenar el robo de datos de clientes, daños a la reputación y pérdidas financieras significativas. La alineación organizativa en torno a la codificación segura nunca ha sido más imperativa, pero conseguirla es más fácil de decir que de hacer. Por ello, en 2020, Secure Code Warrior se comprometió con Evans Data Corp. a llevar a cabo una investigación primaria* sobre las actitudes de los desarrolladores y los directivos hacia la codificación segura, las prácticas de código seguro y las operaciones de seguridad.
En este entorno en el que la ciberseguridad es primordial, los KPI tradicionales para el éxito de los proyectos se están redefiniendo, pero no con la suficiente rapidez.
Cuando preguntamos a los desarrolladores y gestores sobre las prioridades más críticas en el proceso de desarrollo de software:
- 76% de rendimiento de las aplicaciones nominadas
- El 62% eligió características y funcionalidades
- Y un poco más del 50% seleccionó código seguro
Hoy en día, como podemos ver, la seguridad no es una prioridad crítica.
Pero de cara al futuro, el panorama cambia radicalmente. Cuando se les pregunta por las prioridades futuras más importantes para medir el éxito de los proyectos, el 79% de los desarrolladores coinciden en que la codificación segura será cada vez más crítica. De hecho, los desarrolladores consideran que la seguridad es el KPI cuya importancia aumentará más.
Pero aunque la concienciación sobre la codificación segura es cada vez mayor, hay preocupaciones en torno a su adopción. Tanto para los desarrolladores como para los directivos, enfrentarse a las vulnerabilidades y tener que rendir cuentas por el código es suficiente para no dormir. Nuestra investigación* mostró que ambos grupos comparten el mismo conjunto básico de preocupaciones, que apuntan a la necesidad de una mejor formación en prácticas de codificación segura.
Preocupaciones y barreras en torno a las prácticas de codificación segura
La preocupación número uno de los desarrolladores es "incluir código que replique vulnerabilidades anteriores". Dado que los desarrolladores son juzgados por la calidad de su código, esto no es sorprendente. Ningún desarrollador quiere ser el origen de un código inseguro, o de un código que requiera ser reelaborado y ralentice a su equipo.
La segunda preocupación más importante para los desarrolladores es hacer frente a los errores introducidos por los compañeros de trabajo. El cumplimiento de los plazos y la responsabilidad por el código también ocupan un lugar destacado en la lista, al igual que el hecho de que el aprendizaje del código seguro sea un reto, lo que se hace eco de la insatisfacción de los desarrolladores con los enfoques de formación actuales.
Los gestores, en cambio, tienen una visión más descendente. Su principal preocupación es ser responsables del código malo o del código que replica vulnerabilidades anteriores. Después de todo, si su equipo produce un código deficiente, la responsabilidad recae en el director.
El hecho de que el proceso de aprendizaje sea un reto ocupa el tercer lugar: no es la única barrera para las prácticas de codificación seguras.
El 45% identificó la falta de comunicación entre las partes interesadas y la dirección como un obstáculo importante. El 42% lamenta la falta de conocimientos de codificación segura entre los nuevos contratados. Al mismo tiempo, el 40% señala que el tiempo y los recursos de formación son inadecuados.
Los enfoques actuales de formación en materia de código seguro no están dando resultados, y los directivos se dan cuenta de que es necesario un nuevo enfoque.
¿Quién es el responsable de las prácticas de código seguro?
Por su propia naturaleza, la práctica de la codificación segura significa considerar la seguridad mucho antes en el SDLC. Significa construir activamente la seguridad en el software a medida que se escribe, desde el principio, en lugar de dejarlo para más adelante. En otras palabras, "desplazarse a la izquierda". Este "giro a la izquierda" es la esencia de la práctica de la codificación segura. Y significa que, en última instancia, todos los miembros de una organización deberían ser responsables del código seguro. Pero ahora mismo, sólo el 15% de los desarrolladores están de acuerdo.
Sin embargo, mientras que la mayoría de los desarrolladores siguen viendo la seguridad como un problema de otros, un pequeño pero creciente grupo no sólo adopta activamente la codificación segura, sino que la defiende dentro de su organización. El 29% de los desarrolladores encuestados está de acuerdo en que este tipo de personas existen en su lugar de trabajo. El problema es que estos defensores del código seguro siguen siendo demasiado escasos.
Crear más campeones de la seguridad
Los responsables de desarrollo son conscientes de la necesidad de identificar y crear nuevos campeones de seguridad y de aumentar las competencias de codificación segura de los desarrolladores en general.
Muchos directivos también dan importancia a las habilidades de codificación segura cuando contratan a nuevos desarrolladores y valoran la experiencia en codificación segura entre los desarrolladores que ya forman parte de sus equipos.
El 83% de los directivos encuestados afirma que pide a los desarrolladores que aprendan o adopten prácticas de codificación segura. Aproximadamente tres cuartas partes de los directivos encuestados afirman que ofrecen incentivos a los desarrolladores para que participen en la formación sobre código seguro. Estos incentivos van desde el reconocimiento formal, pasando por mayores responsabilidades, hasta una mayor remuneración.
Está claro que los directores de desarrollo influyen de manera decisiva en la adopción de prácticas de codificación seguras a nivel de la organización, y son fundamentales para detectar a los campeones de la seguridad.
Pero cuando se trata de crear más de estos campeones, ¿qué motiva a los desarrolladores a aprender sobre codificación segura? Nuestra investigación muestra que lo ven como un medio para aumentar su productividad y eficiencia.
Entonces, ¿por qué los desarrolladores no impulsan una formación más segura del código? ¿Qué les impide alinearse con una necesidad creciente de la organización?
Soluciones para empezar a abordar el reajuste
Los desarrolladores no quieren quedarse sentados escuchando a los conferenciantes, sino que quieren poner las manos en la masa y probarlo por sí mismos. Quieren centrarse en las aplicaciones prácticas, algo de lo que carecen los programas de formación actuales. Cuando se les pidió que identificaran cómo podría mejorar la formación proporcionada por la empresa, el 30% de los encuestados reveló que les gustaría que la formación se centrara en aplicaciones prácticas, en particular en escenarios de trabajo auténticos.
Las prácticas de formación actuales no consiguen este objetivo. Se necesita un nuevo enfoque, y como campeones del cambio, Secure Code Warrior adopta un enfoque dirigido por el ser humano para ayudar a las organizaciones a reajustarse en torno a la codificación segura. Nuestra ciberseguridad Courses ofrecen itinerarios de aprendizaje guiados que incluyen retos de codificación prácticos y "gamificados" que imitan los que los desarrolladores afrontan en el mundo real.
Esta formación es específica para la lengua:marco, a diferencia de la formación genérica, que a menudo entra por un oído y sale por el otro.
Cuando se trata de realinear la cultura, Tournaments se puede utilizar para medir las habilidades de seguridad de los codificadores, establecer una línea de base para el desarrollo de habilidades futuras y detectar a los potenciales campeones de seguridad dentro de su equipo de desarrollo.
Si quiere saber más sobre la formación en código seguro que alinea las necesidades de los directivos, los desarrolladores y la organización hacia un futuro de código seguro, reserve una demostración ahora.
Pasar de la reacción a la prevención: The changing face of application security. Secure Code Warrior y Evans Data Corp. 2020
.avif)
En nuestro mundo hiperconectado, casi todas las organizaciones comparten un talón de Aquiles común. Una sola vulnerabilidad, un solo resquicio explotable en su código, puede desencadenar el robo de datos de clientes, daños a la reputación y pérdidas financieras significativas. La alineación organizativa en torno a la codificación segura nunca ha sido más imperativa, pero conseguirla es más fácil de decir que de hacer.
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
En nuestro mundo hiperconectado, casi todas las organizaciones comparten un talón de Aquiles común. Una sola vulnerabilidad, un solo resquicio explotable en su código, puede desencadenar el robo de datos de clientes, daños a la reputación y pérdidas financieras significativas. La alineación organizativa en torno a la codificación segura nunca ha sido más imperativa, pero conseguirla es más fácil de decir que de hacer. Por ello, en 2020, Secure Code Warrior se comprometió con Evans Data Corp. a llevar a cabo una investigación primaria* sobre las actitudes de los desarrolladores y los directivos hacia la codificación segura, las prácticas de código seguro y las operaciones de seguridad.
En este entorno en el que la ciberseguridad es primordial, los KPI tradicionales para el éxito de los proyectos se están redefiniendo, pero no con la suficiente rapidez.
Cuando preguntamos a los desarrolladores y gestores sobre las prioridades más críticas en el proceso de desarrollo de software:
- 76% de rendimiento de las aplicaciones nominadas
- El 62% eligió características y funcionalidades
- Y un poco más del 50% seleccionó código seguro
Hoy en día, como podemos ver, la seguridad no es una prioridad crítica.
Pero de cara al futuro, el panorama cambia radicalmente. Cuando se les pregunta por las prioridades futuras más importantes para medir el éxito de los proyectos, el 79% de los desarrolladores coinciden en que la codificación segura será cada vez más crítica. De hecho, los desarrolladores consideran que la seguridad es el KPI cuya importancia aumentará más.
Pero aunque la concienciación sobre la codificación segura es cada vez mayor, hay preocupaciones en torno a su adopción. Tanto para los desarrolladores como para los directivos, enfrentarse a las vulnerabilidades y tener que rendir cuentas por el código es suficiente para no dormir. Nuestra investigación* mostró que ambos grupos comparten el mismo conjunto básico de preocupaciones, que apuntan a la necesidad de una mejor formación en prácticas de codificación segura.
Preocupaciones y barreras en torno a las prácticas de codificación segura
La preocupación número uno de los desarrolladores es "incluir código que replique vulnerabilidades anteriores". Dado que los desarrolladores son juzgados por la calidad de su código, esto no es sorprendente. Ningún desarrollador quiere ser el origen de un código inseguro, o de un código que requiera ser reelaborado y ralentice a su equipo.
La segunda preocupación más importante para los desarrolladores es hacer frente a los errores introducidos por los compañeros de trabajo. El cumplimiento de los plazos y la responsabilidad por el código también ocupan un lugar destacado en la lista, al igual que el hecho de que el aprendizaje del código seguro sea un reto, lo que se hace eco de la insatisfacción de los desarrolladores con los enfoques de formación actuales.
Los gestores, en cambio, tienen una visión más descendente. Su principal preocupación es ser responsables del código malo o del código que replica vulnerabilidades anteriores. Después de todo, si su equipo produce un código deficiente, la responsabilidad recae en el director.
El hecho de que el proceso de aprendizaje sea un reto ocupa el tercer lugar: no es la única barrera para las prácticas de codificación seguras.
El 45% identificó la falta de comunicación entre las partes interesadas y la dirección como un obstáculo importante. El 42% lamenta la falta de conocimientos de codificación segura entre los nuevos contratados. Al mismo tiempo, el 40% señala que el tiempo y los recursos de formación son inadecuados.
Los enfoques actuales de formación en materia de código seguro no están dando resultados, y los directivos se dan cuenta de que es necesario un nuevo enfoque.
¿Quién es el responsable de las prácticas de código seguro?
Por su propia naturaleza, la práctica de la codificación segura significa considerar la seguridad mucho antes en el SDLC. Significa construir activamente la seguridad en el software a medida que se escribe, desde el principio, en lugar de dejarlo para más adelante. En otras palabras, "desplazarse a la izquierda". Este "giro a la izquierda" es la esencia de la práctica de la codificación segura. Y significa que, en última instancia, todos los miembros de una organización deberían ser responsables del código seguro. Pero ahora mismo, sólo el 15% de los desarrolladores están de acuerdo.
Sin embargo, mientras que la mayoría de los desarrolladores siguen viendo la seguridad como un problema de otros, un pequeño pero creciente grupo no sólo adopta activamente la codificación segura, sino que la defiende dentro de su organización. El 29% de los desarrolladores encuestados está de acuerdo en que este tipo de personas existen en su lugar de trabajo. El problema es que estos defensores del código seguro siguen siendo demasiado escasos.
Crear más campeones de la seguridad
Los responsables de desarrollo son conscientes de la necesidad de identificar y crear nuevos campeones de seguridad y de aumentar las competencias de codificación segura de los desarrolladores en general.
Muchos directivos también dan importancia a las habilidades de codificación segura cuando contratan a nuevos desarrolladores y valoran la experiencia en codificación segura entre los desarrolladores que ya forman parte de sus equipos.
El 83% de los directivos encuestados afirma que pide a los desarrolladores que aprendan o adopten prácticas de codificación segura. Aproximadamente tres cuartas partes de los directivos encuestados afirman que ofrecen incentivos a los desarrolladores para que participen en la formación sobre código seguro. Estos incentivos van desde el reconocimiento formal, pasando por mayores responsabilidades, hasta una mayor remuneración.
Está claro que los directores de desarrollo influyen de manera decisiva en la adopción de prácticas de codificación seguras a nivel de la organización, y son fundamentales para detectar a los campeones de la seguridad.
Pero cuando se trata de crear más de estos campeones, ¿qué motiva a los desarrolladores a aprender sobre codificación segura? Nuestra investigación muestra que lo ven como un medio para aumentar su productividad y eficiencia.
Entonces, ¿por qué los desarrolladores no impulsan una formación más segura del código? ¿Qué les impide alinearse con una necesidad creciente de la organización?
Soluciones para empezar a abordar el reajuste
Los desarrolladores no quieren quedarse sentados escuchando a los conferenciantes, sino que quieren poner las manos en la masa y probarlo por sí mismos. Quieren centrarse en las aplicaciones prácticas, algo de lo que carecen los programas de formación actuales. Cuando se les pidió que identificaran cómo podría mejorar la formación proporcionada por la empresa, el 30% de los encuestados reveló que les gustaría que la formación se centrara en aplicaciones prácticas, en particular en escenarios de trabajo auténticos.
Las prácticas de formación actuales no consiguen este objetivo. Se necesita un nuevo enfoque, y como campeones del cambio, Secure Code Warrior adopta un enfoque dirigido por el ser humano para ayudar a las organizaciones a reajustarse en torno a la codificación segura. Nuestra ciberseguridad Courses ofrecen itinerarios de aprendizaje guiados que incluyen retos de codificación prácticos y "gamificados" que imitan los que los desarrolladores afrontan en el mundo real.
Esta formación es específica para la lengua:marco, a diferencia de la formación genérica, que a menudo entra por un oído y sale por el otro.
Cuando se trata de realinear la cultura, Tournaments se puede utilizar para medir las habilidades de seguridad de los codificadores, establecer una línea de base para el desarrollo de habilidades futuras y detectar a los potenciales campeones de seguridad dentro de su equipo de desarrollo.
Si quiere saber más sobre la formación en código seguro que alinea las necesidades de los directivos, los desarrolladores y la organización hacia un futuro de código seguro, reserve una demostración ahora.
Pasar de la reacción a la prevención: The changing face of application security. Secure Code Warrior y Evans Data Corp. 2020
En nuestro mundo hiperconectado, casi todas las organizaciones comparten un talón de Aquiles común. Una sola vulnerabilidad, un solo resquicio explotable en su código, puede desencadenar el robo de datos de clientes, daños a la reputación y pérdidas financieras significativas. La alineación organizativa en torno a la codificación segura nunca ha sido más imperativa, pero conseguirla es más fácil de decir que de hacer. Por ello, en 2020, Secure Code Warrior se comprometió con Evans Data Corp. a llevar a cabo una investigación primaria* sobre las actitudes de los desarrolladores y los directivos hacia la codificación segura, las prácticas de código seguro y las operaciones de seguridad.
En este entorno en el que la ciberseguridad es primordial, los KPI tradicionales para el éxito de los proyectos se están redefiniendo, pero no con la suficiente rapidez.
Cuando preguntamos a los desarrolladores y gestores sobre las prioridades más críticas en el proceso de desarrollo de software:
- 76% de rendimiento de las aplicaciones nominadas
- El 62% eligió características y funcionalidades
- Y un poco más del 50% seleccionó código seguro
Hoy en día, como podemos ver, la seguridad no es una prioridad crítica.
Pero de cara al futuro, el panorama cambia radicalmente. Cuando se les pregunta por las prioridades futuras más importantes para medir el éxito de los proyectos, el 79% de los desarrolladores coinciden en que la codificación segura será cada vez más crítica. De hecho, los desarrolladores consideran que la seguridad es el KPI cuya importancia aumentará más.
Pero aunque la concienciación sobre la codificación segura es cada vez mayor, hay preocupaciones en torno a su adopción. Tanto para los desarrolladores como para los directivos, enfrentarse a las vulnerabilidades y tener que rendir cuentas por el código es suficiente para no dormir. Nuestra investigación* mostró que ambos grupos comparten el mismo conjunto básico de preocupaciones, que apuntan a la necesidad de una mejor formación en prácticas de codificación segura.
Preocupaciones y barreras en torno a las prácticas de codificación segura
La preocupación número uno de los desarrolladores es "incluir código que replique vulnerabilidades anteriores". Dado que los desarrolladores son juzgados por la calidad de su código, esto no es sorprendente. Ningún desarrollador quiere ser el origen de un código inseguro, o de un código que requiera ser reelaborado y ralentice a su equipo.
La segunda preocupación más importante para los desarrolladores es hacer frente a los errores introducidos por los compañeros de trabajo. El cumplimiento de los plazos y la responsabilidad por el código también ocupan un lugar destacado en la lista, al igual que el hecho de que el aprendizaje del código seguro sea un reto, lo que se hace eco de la insatisfacción de los desarrolladores con los enfoques de formación actuales.
Los gestores, en cambio, tienen una visión más descendente. Su principal preocupación es ser responsables del código malo o del código que replica vulnerabilidades anteriores. Después de todo, si su equipo produce un código deficiente, la responsabilidad recae en el director.
El hecho de que el proceso de aprendizaje sea un reto ocupa el tercer lugar: no es la única barrera para las prácticas de codificación seguras.
El 45% identificó la falta de comunicación entre las partes interesadas y la dirección como un obstáculo importante. El 42% lamenta la falta de conocimientos de codificación segura entre los nuevos contratados. Al mismo tiempo, el 40% señala que el tiempo y los recursos de formación son inadecuados.
Los enfoques actuales de formación en materia de código seguro no están dando resultados, y los directivos se dan cuenta de que es necesario un nuevo enfoque.
¿Quién es el responsable de las prácticas de código seguro?
Por su propia naturaleza, la práctica de la codificación segura significa considerar la seguridad mucho antes en el SDLC. Significa construir activamente la seguridad en el software a medida que se escribe, desde el principio, en lugar de dejarlo para más adelante. En otras palabras, "desplazarse a la izquierda". Este "giro a la izquierda" es la esencia de la práctica de la codificación segura. Y significa que, en última instancia, todos los miembros de una organización deberían ser responsables del código seguro. Pero ahora mismo, sólo el 15% de los desarrolladores están de acuerdo.
Sin embargo, mientras que la mayoría de los desarrolladores siguen viendo la seguridad como un problema de otros, un pequeño pero creciente grupo no sólo adopta activamente la codificación segura, sino que la defiende dentro de su organización. El 29% de los desarrolladores encuestados está de acuerdo en que este tipo de personas existen en su lugar de trabajo. El problema es que estos defensores del código seguro siguen siendo demasiado escasos.
Crear más campeones de la seguridad
Los responsables de desarrollo son conscientes de la necesidad de identificar y crear nuevos campeones de seguridad y de aumentar las competencias de codificación segura de los desarrolladores en general.
Muchos directivos también dan importancia a las habilidades de codificación segura cuando contratan a nuevos desarrolladores y valoran la experiencia en codificación segura entre los desarrolladores que ya forman parte de sus equipos.
El 83% de los directivos encuestados afirma que pide a los desarrolladores que aprendan o adopten prácticas de codificación segura. Aproximadamente tres cuartas partes de los directivos encuestados afirman que ofrecen incentivos a los desarrolladores para que participen en la formación sobre código seguro. Estos incentivos van desde el reconocimiento formal, pasando por mayores responsabilidades, hasta una mayor remuneración.
Está claro que los directores de desarrollo influyen de manera decisiva en la adopción de prácticas de codificación seguras a nivel de la organización, y son fundamentales para detectar a los campeones de la seguridad.
Pero cuando se trata de crear más de estos campeones, ¿qué motiva a los desarrolladores a aprender sobre codificación segura? Nuestra investigación muestra que lo ven como un medio para aumentar su productividad y eficiencia.
Entonces, ¿por qué los desarrolladores no impulsan una formación más segura del código? ¿Qué les impide alinearse con una necesidad creciente de la organización?
Soluciones para empezar a abordar el reajuste
Los desarrolladores no quieren quedarse sentados escuchando a los conferenciantes, sino que quieren poner las manos en la masa y probarlo por sí mismos. Quieren centrarse en las aplicaciones prácticas, algo de lo que carecen los programas de formación actuales. Cuando se les pidió que identificaran cómo podría mejorar la formación proporcionada por la empresa, el 30% de los encuestados reveló que les gustaría que la formación se centrara en aplicaciones prácticas, en particular en escenarios de trabajo auténticos.
Las prácticas de formación actuales no consiguen este objetivo. Se necesita un nuevo enfoque, y como campeones del cambio, Secure Code Warrior adopta un enfoque dirigido por el ser humano para ayudar a las organizaciones a reajustarse en torno a la codificación segura. Nuestra ciberseguridad Courses ofrecen itinerarios de aprendizaje guiados que incluyen retos de codificación prácticos y "gamificados" que imitan los que los desarrolladores afrontan en el mundo real.
Esta formación es específica para la lengua:marco, a diferencia de la formación genérica, que a menudo entra por un oído y sale por el otro.
Cuando se trata de realinear la cultura, Tournaments se puede utilizar para medir las habilidades de seguridad de los codificadores, establecer una línea de base para el desarrollo de habilidades futuras y detectar a los potenciales campeones de seguridad dentro de su equipo de desarrollo.
Si quiere saber más sobre la formación en código seguro que alinea las necesidades de los directivos, los desarrolladores y la organización hacia un futuro de código seguro, reserve una demostración ahora.
Pasar de la reacción a la prevención: The changing face of application security. Secure Code Warrior y Evans Data Corp. 2020
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
En nuestro mundo hiperconectado, casi todas las organizaciones comparten un talón de Aquiles común. Una sola vulnerabilidad, un solo resquicio explotable en su código, puede desencadenar el robo de datos de clientes, daños a la reputación y pérdidas financieras significativas. La alineación organizativa en torno a la codificación segura nunca ha sido más imperativa, pero conseguirla es más fácil de decir que de hacer. Por ello, en 2020, Secure Code Warrior se comprometió con Evans Data Corp. a llevar a cabo una investigación primaria* sobre las actitudes de los desarrolladores y los directivos hacia la codificación segura, las prácticas de código seguro y las operaciones de seguridad.
En este entorno en el que la ciberseguridad es primordial, los KPI tradicionales para el éxito de los proyectos se están redefiniendo, pero no con la suficiente rapidez.
Cuando preguntamos a los desarrolladores y gestores sobre las prioridades más críticas en el proceso de desarrollo de software:
- 76% de rendimiento de las aplicaciones nominadas
- El 62% eligió características y funcionalidades
- Y un poco más del 50% seleccionó código seguro
Hoy en día, como podemos ver, la seguridad no es una prioridad crítica.
Pero de cara al futuro, el panorama cambia radicalmente. Cuando se les pregunta por las prioridades futuras más importantes para medir el éxito de los proyectos, el 79% de los desarrolladores coinciden en que la codificación segura será cada vez más crítica. De hecho, los desarrolladores consideran que la seguridad es el KPI cuya importancia aumentará más.
Pero aunque la concienciación sobre la codificación segura es cada vez mayor, hay preocupaciones en torno a su adopción. Tanto para los desarrolladores como para los directivos, enfrentarse a las vulnerabilidades y tener que rendir cuentas por el código es suficiente para no dormir. Nuestra investigación* mostró que ambos grupos comparten el mismo conjunto básico de preocupaciones, que apuntan a la necesidad de una mejor formación en prácticas de codificación segura.
Preocupaciones y barreras en torno a las prácticas de codificación segura
La preocupación número uno de los desarrolladores es "incluir código que replique vulnerabilidades anteriores". Dado que los desarrolladores son juzgados por la calidad de su código, esto no es sorprendente. Ningún desarrollador quiere ser el origen de un código inseguro, o de un código que requiera ser reelaborado y ralentice a su equipo.
La segunda preocupación más importante para los desarrolladores es hacer frente a los errores introducidos por los compañeros de trabajo. El cumplimiento de los plazos y la responsabilidad por el código también ocupan un lugar destacado en la lista, al igual que el hecho de que el aprendizaje del código seguro sea un reto, lo que se hace eco de la insatisfacción de los desarrolladores con los enfoques de formación actuales.
Los gestores, en cambio, tienen una visión más descendente. Su principal preocupación es ser responsables del código malo o del código que replica vulnerabilidades anteriores. Después de todo, si su equipo produce un código deficiente, la responsabilidad recae en el director.
El hecho de que el proceso de aprendizaje sea un reto ocupa el tercer lugar: no es la única barrera para las prácticas de codificación seguras.
El 45% identificó la falta de comunicación entre las partes interesadas y la dirección como un obstáculo importante. El 42% lamenta la falta de conocimientos de codificación segura entre los nuevos contratados. Al mismo tiempo, el 40% señala que el tiempo y los recursos de formación son inadecuados.
Los enfoques actuales de formación en materia de código seguro no están dando resultados, y los directivos se dan cuenta de que es necesario un nuevo enfoque.
¿Quién es el responsable de las prácticas de código seguro?
Por su propia naturaleza, la práctica de la codificación segura significa considerar la seguridad mucho antes en el SDLC. Significa construir activamente la seguridad en el software a medida que se escribe, desde el principio, en lugar de dejarlo para más adelante. En otras palabras, "desplazarse a la izquierda". Este "giro a la izquierda" es la esencia de la práctica de la codificación segura. Y significa que, en última instancia, todos los miembros de una organización deberían ser responsables del código seguro. Pero ahora mismo, sólo el 15% de los desarrolladores están de acuerdo.
Sin embargo, mientras que la mayoría de los desarrolladores siguen viendo la seguridad como un problema de otros, un pequeño pero creciente grupo no sólo adopta activamente la codificación segura, sino que la defiende dentro de su organización. El 29% de los desarrolladores encuestados está de acuerdo en que este tipo de personas existen en su lugar de trabajo. El problema es que estos defensores del código seguro siguen siendo demasiado escasos.
Crear más campeones de la seguridad
Los responsables de desarrollo son conscientes de la necesidad de identificar y crear nuevos campeones de seguridad y de aumentar las competencias de codificación segura de los desarrolladores en general.
Muchos directivos también dan importancia a las habilidades de codificación segura cuando contratan a nuevos desarrolladores y valoran la experiencia en codificación segura entre los desarrolladores que ya forman parte de sus equipos.
El 83% de los directivos encuestados afirma que pide a los desarrolladores que aprendan o adopten prácticas de codificación segura. Aproximadamente tres cuartas partes de los directivos encuestados afirman que ofrecen incentivos a los desarrolladores para que participen en la formación sobre código seguro. Estos incentivos van desde el reconocimiento formal, pasando por mayores responsabilidades, hasta una mayor remuneración.
Está claro que los directores de desarrollo influyen de manera decisiva en la adopción de prácticas de codificación seguras a nivel de la organización, y son fundamentales para detectar a los campeones de la seguridad.
Pero cuando se trata de crear más de estos campeones, ¿qué motiva a los desarrolladores a aprender sobre codificación segura? Nuestra investigación muestra que lo ven como un medio para aumentar su productividad y eficiencia.
Entonces, ¿por qué los desarrolladores no impulsan una formación más segura del código? ¿Qué les impide alinearse con una necesidad creciente de la organización?
Soluciones para empezar a abordar el reajuste
Los desarrolladores no quieren quedarse sentados escuchando a los conferenciantes, sino que quieren poner las manos en la masa y probarlo por sí mismos. Quieren centrarse en las aplicaciones prácticas, algo de lo que carecen los programas de formación actuales. Cuando se les pidió que identificaran cómo podría mejorar la formación proporcionada por la empresa, el 30% de los encuestados reveló que les gustaría que la formación se centrara en aplicaciones prácticas, en particular en escenarios de trabajo auténticos.
Las prácticas de formación actuales no consiguen este objetivo. Se necesita un nuevo enfoque, y como campeones del cambio, Secure Code Warrior adopta un enfoque dirigido por el ser humano para ayudar a las organizaciones a reajustarse en torno a la codificación segura. Nuestra ciberseguridad Courses ofrecen itinerarios de aprendizaje guiados que incluyen retos de codificación prácticos y "gamificados" que imitan los que los desarrolladores afrontan en el mundo real.
Esta formación es específica para la lengua:marco, a diferencia de la formación genérica, que a menudo entra por un oído y sale por el otro.
Cuando se trata de realinear la cultura, Tournaments se puede utilizar para medir las habilidades de seguridad de los codificadores, establecer una línea de base para el desarrollo de habilidades futuras y detectar a los potenciales campeones de seguridad dentro de su equipo de desarrollo.
Si quiere saber más sobre la formación en código seguro que alinea las necesidades de los directivos, los desarrolladores y la organización hacia un futuro de código seguro, reserve una demostración ahora.
Pasar de la reacción a la prevención: The changing face of application security. Secure Code Warrior y Evans Data Corp. 2020
Índice
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Temas y contenidos de la formación sobre código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Temas que cubren todo, desde IA a XQuery Injection, ofrecidos para una variedad de roles desde Arquitectos e Ingenieros a Product Managers y QA. Eche un vistazo a lo que ofrece nuestro catálogo de contenidos por tema y función.
Búsqueda: Aprendizaje líder en la industria para mantener a los desarrolladores por delante mitigando el riesgo.
Quests es una learning platform que ayuda a los desarrolladores a mitigar los riesgos de seguridad del software mediante la mejora de sus habilidades de codificación segura. Con rutas de aprendizaje curadas, desafíos prácticos y actividades interactivas, capacita a los desarrolladores para identificar y prevenir vulnerabilidades.
Recursos para empezar
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
La Década de los Defensores: Secure Code Warrior Cumple Diez Años
Secure Code Warriorha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
