Gracias por descargarlo.
Más recursos
Blog

El desarrollo seguro debe ser el sistema inmunitario de AppSec

Secure Code Warrior
Publicado el 24 de agosto de 2021
Seguridad de las aplicaciones
Formación para desarrolladores
Botón de reproducción de vídeo.
Botón de reproducción de vídeo.

Como profesional de la seguridad de las aplicaciones, su trabajo consiste en garantizar la ciberseguridad de las aplicaciones de su organización. Sin embargo, usted no es responsable de escribir el código sobre el que se ejecuta la aplicación. Lo son los ingenieros del equipo de desarrollo. Entonces, ¿cómo puede asegurarse de que están desarrollando esos sistemas teniendo en cuenta la seguridad? 

Lo más probable es que estés haciendo algo o incluso todo lo siguiente: 

  • Revisar todo el código en busca de fallos de seguridad e informar al equipo de desarrollo para que los corrija. 
  • Imponer un estricto proceso de revisión por pares a lo largo del ciclo de vida del desarrollo seguro. 
  • Tener una aplicación regular assessment/pruebas de penetración realizadas por equipos de seguridad internos o externos.
  • Implementar herramientas de escaneo para detectar vulnerabilidades.

Estas son buenas prácticas, pero también son caras y similares a tomar una ronda de antibióticos cada vez que se enferma. Esto no sólo tiene un coste elevado, sino que pierde eficacia y puede debilitar el sistema inmunitario con el tiempo. 

¿Cómo se garantiza que el código que envían los desarrolladores está escrito de forma segura? 

Dejando de lado la codificación segura, primero hay que pensar en cómo aprende la gente. La mayoría de nosotros aprendemos de forma visual y mediante la práctica. Sin embargo, la formación en código seguro se ofrece a menudo como una actividad para marcar la casilla y no es relevante para el trabajo diario del desarrollador. Está diseñada para demostrar que los desarrolladores han recibido formación en materia de seguridad, a menudo para cumplir con las normas del sector, y no para que los desarrolladores retengan realmente esos conocimientos, y mucho menos para que disfruten del proceso de aprendizaje. 

Otra forma en la que los humanos tendemos a aprender es a través de nuestros errores, del mismo modo que lo hace nuestro sistema inmunitario. Las células T recuerdan qué tipo de patógenos han encontrado y erradicado con éxito en el pasado, para poder protegerse de ellos en el futuro. Este es exactamente el papel que deben desempeñar los desarrolladores en su SDLC seguro .

Es poco realista esperar que no cometan errores, pero puedes prepararlos de manera que sean capaces de reconocer patrones de codificación que se traduzcan en vulnerabilidades de seguridad en el futuro. 

Así es también como un sólido proceso de revisión por pares se vuelve tan poderoso. El hecho de que un desarrollador no se dé cuenta de un fallo de seguridad no significa que otro no lo haga. Y cuanto mejor entrenado esté el equipo de desarrollo en su conjunto, más probabilidades habrá de que las vulnerabilidades se detecten en seco y nunca lleguen a la producción. 

Las vulnerabilidades del software son como los patógenos

Las vulnerabilidades del software son como los patógenos en el sentido de que hay que recordarlas para poder combatirlas. En el caso de los patógenos, nuestro sistema inmunitario suele tener que exponerse varias veces antes de recordar cómo combatirlos para evitar una enfermedad grave o algo peor. 

Un ciberataque exitoso a partir de un software vulnerable puede paralizar gravemente o acabar con una organización. Pero si los desarrolladores conocen primero las vulnerabilidades del software en un entorno controlado, pueden trabajar para crear inmunidad a las amenazas aumentando y practicando regularmente sus conocimientos y habilidades de codificación segura. 

Exponer a los desarrolladores a los fallos de seguridad en un entorno controlado

Nunca podremos protegernos totalmente de las enfermedades, pero hay cosas que podemos hacer para reforzar nuestro sistema inmunitario y mantenernos lo más sanos posible. Cosas como hacer ejercicio con regularidad, comer de forma saludable y dormir mucho son algunas de las opciones de estilo de vida que suelen asociarse a un sistema inmunitario fuerte. Pero todas esas cosas requieren un poco de esfuerzo y deben ser continuas. Salir a correr todos los días durante una semana o dejar de beber durante un mes apenas harán mella en tu salud general. Tampoco es aconsejable salir a correr una carrera de 10 kilómetros el primer día que empezamos a correr. Primero tenemos que exponer nuestro corazón y nuestros músculos al ejercicio. También sabemos que hay que experimentar un poco hasta encontrar un buen equilibrio para nuestro cuerpo y los alimentos y ejercicios saludables que nos gustan.

No es tan diferente cuando se trata del desarrollo de software seguro. El aprendizaje se produce con el tiempo y la práctica, y los desarrolladores necesitan la misma formación continua para mejorar regularmente sus habilidades de codificación segura. Por no hablar de que el desarrollo de software está siempre evolucionando y adaptándose, lo que significa que las vulnerabilidades también lo están. Por eso no basta con un simple curso de formación. Los desarrolladores necesitan actualizarse periódicamente para estar lo suficientemente familiarizados con las posibles amenazas y estar debidamente equipados para defenderse de ellas. 

Intentar conseguir una inmunidad de rebaño dentro del equipo de desarrollo

Una sola persona no puede prevenir todos los problemas de seguridad. Es genial tener campeones de seguridad en el equipo, pero para obtener la mejor protección, cuantas más personas hayan aprendido sobre las vulnerabilidades de seguridad y cómo prevenirlas, más posibilidades tendrá su organización de prevenirlas. De nuevo, no es muy diferente de cómo el sistema inmunológico tiene diferentes tipos de células T para diferentes propósitos. Cada desarrollador forma parte de un equipo que garantiza la seguridad. Si se les capacita para que asuman la responsabilidad, lo hagan bien e incluso disfruten haciéndolo, entonces puedes crear una inmunidad de rebaño contra las ciberamenazas dentro del equipo de desarrollo como resultado.

Crear inmunidad de rebaño contra las ciberamenazas dentro del equipo de desarrollo

Mantener la seguridad en la mente con la exposición repetida

Nuestro cerebro aprende de forma similar a como funciona nuestro sistema inmunitario. El psicólogo alemán Hermann Ebbinghaus fue un pionero en el campo de la memoria y el aprendizaje. Dedujo que el aprendizaje tiene que producirse a lo largo del tiempo y con múltiples sesiones de aprendizaje. Cuando estamos en la escuela, nunca se espera que mantengamos los nuevos conocimientos después de la primera introducción. Primero se nos presenta la información, luego la practicamos con orientación y después la practicamos por nuestra cuenta. E incluso después de haberla aprendido lo suficientemente bien como para aprobar un examen, la información tiende a olvidarse poco después si no utilizamos regularmente los conocimientos a los que hemos dedicado tiempo y esfuerzo para aprender. ¿Cuántos de nosotros podemos decir que recordamos nuestro francés del instituto?

Entonces, ¿cómo podemos creer que un solo día de mirar diapositivas y escuchar a alguien hablar de seguridad llevará realmente a los desarrolladores asistentes a codificar de forma más segura?

Los patrones de vulnerabilidad recurrentes nos muestran que esto simplemente no funciona. 

¿Cómo se consigue una inmunidad de desarrollo segura?

La respuesta está en nuestra naturaleza. Nuestros cuerpos y nuestras mentes funcionan de la misma manera y proporcionan hermosas soluciones a los problemas, siempre que trabajemos con ellos y no contra ellos. 

Para garantizar que sus aplicaciones sean seguras, debe empezar por capacitar a los desarrolladores para que escriban código seguro. De lo contrario, el departamento de seguridad de las aplicaciones seguirá dedicando todo su tiempo a revisar todo el código en busca de fallos de seguridad y a informar de las mismas vulnerabilidades recurrentes al departamento de desarrollo para que las arreglen rápidamente sin aprender nada. Y luego lo vuelven a hacer para la siguiente versión.

Así que vamos a reiterar.

Sistema inmunitario de seguridad saludable

Si trabaja junto con sus directores de desarrollo para hacerlo, no sólo estará implementando un SDLC seguro y marcando la casilla de formación en seguridad para el cumplimiento, sino que tendrá un impacto en el mundo real en el proceso de desarrollo. Para poner una guinda a todo esto, AppSec ya no encontrará e informará de vulnerabilidades repetidas a los equipos de desarrollo y los desarrolladores pasarán menos tiempo arreglándolas. Esto significa que podrán dedicar más tiempo a crear y mejorar el increíble software que hace que nuestro mundo sea mejor. 

¿Está preparado para mejorar su equipo de desarrollo? Adelante, reserve una demostración con nosotros.

Ver recurso
Ver recurso

Como profesional de la seguridad de las aplicaciones, su trabajo consiste en garantizar la ciberseguridad de las aplicaciones de su organización. Sin embargo, usted no es responsable de escribir el código sobre el que se ejecuta la aplicación. Lo son los ingenieros del equipo de desarrollo. Entonces, ¿cómo puede asegurarse de que están desarrollando esos sistemas teniendo en cuenta la seguridad?

¿Quiere saber más?

Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Reservar una demostración
Compartir en:
Autor
Secure Code Warrior
Publicado el 24 de agosto de 2021

Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.

Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.

Compartir en:
Botón de reproducción de vídeo.
Botón de reproducción de vídeo.

Como profesional de la seguridad de las aplicaciones, su trabajo consiste en garantizar la ciberseguridad de las aplicaciones de su organización. Sin embargo, usted no es responsable de escribir el código sobre el que se ejecuta la aplicación. Lo son los ingenieros del equipo de desarrollo. Entonces, ¿cómo puede asegurarse de que están desarrollando esos sistemas teniendo en cuenta la seguridad? 

Lo más probable es que estés haciendo algo o incluso todo lo siguiente: 

  • Revisar todo el código en busca de fallos de seguridad e informar al equipo de desarrollo para que los corrija. 
  • Imponer un estricto proceso de revisión por pares a lo largo del ciclo de vida del desarrollo seguro. 
  • Tener una aplicación regular assessment/pruebas de penetración realizadas por equipos de seguridad internos o externos.
  • Implementar herramientas de escaneo para detectar vulnerabilidades.

Estas son buenas prácticas, pero también son caras y similares a tomar una ronda de antibióticos cada vez que se enferma. Esto no sólo tiene un coste elevado, sino que pierde eficacia y puede debilitar el sistema inmunitario con el tiempo. 

¿Cómo se garantiza que el código que envían los desarrolladores está escrito de forma segura? 

Dejando de lado la codificación segura, primero hay que pensar en cómo aprende la gente. La mayoría de nosotros aprendemos de forma visual y mediante la práctica. Sin embargo, la formación en código seguro se ofrece a menudo como una actividad para marcar la casilla y no es relevante para el trabajo diario del desarrollador. Está diseñada para demostrar que los desarrolladores han recibido formación en materia de seguridad, a menudo para cumplir con las normas del sector, y no para que los desarrolladores retengan realmente esos conocimientos, y mucho menos para que disfruten del proceso de aprendizaje. 

Otra forma en la que los humanos tendemos a aprender es a través de nuestros errores, del mismo modo que lo hace nuestro sistema inmunitario. Las células T recuerdan qué tipo de patógenos han encontrado y erradicado con éxito en el pasado, para poder protegerse de ellos en el futuro. Este es exactamente el papel que deben desempeñar los desarrolladores en su SDLC seguro .

Es poco realista esperar que no cometan errores, pero puedes prepararlos de manera que sean capaces de reconocer patrones de codificación que se traduzcan en vulnerabilidades de seguridad en el futuro. 

Así es también como un sólido proceso de revisión por pares se vuelve tan poderoso. El hecho de que un desarrollador no se dé cuenta de un fallo de seguridad no significa que otro no lo haga. Y cuanto mejor entrenado esté el equipo de desarrollo en su conjunto, más probabilidades habrá de que las vulnerabilidades se detecten en seco y nunca lleguen a la producción. 

Las vulnerabilidades del software son como los patógenos

Las vulnerabilidades del software son como los patógenos en el sentido de que hay que recordarlas para poder combatirlas. En el caso de los patógenos, nuestro sistema inmunitario suele tener que exponerse varias veces antes de recordar cómo combatirlos para evitar una enfermedad grave o algo peor. 

Un ciberataque exitoso a partir de un software vulnerable puede paralizar gravemente o acabar con una organización. Pero si los desarrolladores conocen primero las vulnerabilidades del software en un entorno controlado, pueden trabajar para crear inmunidad a las amenazas aumentando y practicando regularmente sus conocimientos y habilidades de codificación segura. 

Exponer a los desarrolladores a los fallos de seguridad en un entorno controlado

Nunca podremos protegernos totalmente de las enfermedades, pero hay cosas que podemos hacer para reforzar nuestro sistema inmunitario y mantenernos lo más sanos posible. Cosas como hacer ejercicio con regularidad, comer de forma saludable y dormir mucho son algunas de las opciones de estilo de vida que suelen asociarse a un sistema inmunitario fuerte. Pero todas esas cosas requieren un poco de esfuerzo y deben ser continuas. Salir a correr todos los días durante una semana o dejar de beber durante un mes apenas harán mella en tu salud general. Tampoco es aconsejable salir a correr una carrera de 10 kilómetros el primer día que empezamos a correr. Primero tenemos que exponer nuestro corazón y nuestros músculos al ejercicio. También sabemos que hay que experimentar un poco hasta encontrar un buen equilibrio para nuestro cuerpo y los alimentos y ejercicios saludables que nos gustan.

No es tan diferente cuando se trata del desarrollo de software seguro. El aprendizaje se produce con el tiempo y la práctica, y los desarrolladores necesitan la misma formación continua para mejorar regularmente sus habilidades de codificación segura. Por no hablar de que el desarrollo de software está siempre evolucionando y adaptándose, lo que significa que las vulnerabilidades también lo están. Por eso no basta con un simple curso de formación. Los desarrolladores necesitan actualizarse periódicamente para estar lo suficientemente familiarizados con las posibles amenazas y estar debidamente equipados para defenderse de ellas. 

Intentar conseguir una inmunidad de rebaño dentro del equipo de desarrollo

Una sola persona no puede prevenir todos los problemas de seguridad. Es genial tener campeones de seguridad en el equipo, pero para obtener la mejor protección, cuantas más personas hayan aprendido sobre las vulnerabilidades de seguridad y cómo prevenirlas, más posibilidades tendrá su organización de prevenirlas. De nuevo, no es muy diferente de cómo el sistema inmunológico tiene diferentes tipos de células T para diferentes propósitos. Cada desarrollador forma parte de un equipo que garantiza la seguridad. Si se les capacita para que asuman la responsabilidad, lo hagan bien e incluso disfruten haciéndolo, entonces puedes crear una inmunidad de rebaño contra las ciberamenazas dentro del equipo de desarrollo como resultado.

Crear inmunidad de rebaño contra las ciberamenazas dentro del equipo de desarrollo

Mantener la seguridad en la mente con la exposición repetida

Nuestro cerebro aprende de forma similar a como funciona nuestro sistema inmunitario. El psicólogo alemán Hermann Ebbinghaus fue un pionero en el campo de la memoria y el aprendizaje. Dedujo que el aprendizaje tiene que producirse a lo largo del tiempo y con múltiples sesiones de aprendizaje. Cuando estamos en la escuela, nunca se espera que mantengamos los nuevos conocimientos después de la primera introducción. Primero se nos presenta la información, luego la practicamos con orientación y después la practicamos por nuestra cuenta. E incluso después de haberla aprendido lo suficientemente bien como para aprobar un examen, la información tiende a olvidarse poco después si no utilizamos regularmente los conocimientos a los que hemos dedicado tiempo y esfuerzo para aprender. ¿Cuántos de nosotros podemos decir que recordamos nuestro francés del instituto?

Entonces, ¿cómo podemos creer que un solo día de mirar diapositivas y escuchar a alguien hablar de seguridad llevará realmente a los desarrolladores asistentes a codificar de forma más segura?

Los patrones de vulnerabilidad recurrentes nos muestran que esto simplemente no funciona. 

¿Cómo se consigue una inmunidad de desarrollo segura?

La respuesta está en nuestra naturaleza. Nuestros cuerpos y nuestras mentes funcionan de la misma manera y proporcionan hermosas soluciones a los problemas, siempre que trabajemos con ellos y no contra ellos. 

Para garantizar que sus aplicaciones sean seguras, debe empezar por capacitar a los desarrolladores para que escriban código seguro. De lo contrario, el departamento de seguridad de las aplicaciones seguirá dedicando todo su tiempo a revisar todo el código en busca de fallos de seguridad y a informar de las mismas vulnerabilidades recurrentes al departamento de desarrollo para que las arreglen rápidamente sin aprender nada. Y luego lo vuelven a hacer para la siguiente versión.

Así que vamos a reiterar.

Sistema inmunitario de seguridad saludable

Si trabaja junto con sus directores de desarrollo para hacerlo, no sólo estará implementando un SDLC seguro y marcando la casilla de formación en seguridad para el cumplimiento, sino que tendrá un impacto en el mundo real en el proceso de desarrollo. Para poner una guinda a todo esto, AppSec ya no encontrará e informará de vulnerabilidades repetidas a los equipos de desarrollo y los desarrolladores pasarán menos tiempo arreglándolas. Esto significa que podrán dedicar más tiempo a crear y mejorar el increíble software que hace que nuestro mundo sea mejor. 

¿Está preparado para mejorar su equipo de desarrollo? Adelante, reserve una demostración con nosotros.

Ver recurso
Ver recurso

Rellene el siguiente formulario para descargar el informe

Nos gustaría contar con su permiso para enviarle información sobre nuestros productos y/o temas relacionados con la codificación segura. Siempre trataremos sus datos personales con el máximo cuidado y nunca los venderemos a otras empresas con fines de marketing.

Enviar
Para enviar el formulario, habilite las cookies "Analytics". Siéntase libre de desactivarlas de nuevo una vez que haya terminado.
Botón de reproducción de vídeo.
Botón de reproducción de vídeo.

Como profesional de la seguridad de las aplicaciones, su trabajo consiste en garantizar la ciberseguridad de las aplicaciones de su organización. Sin embargo, usted no es responsable de escribir el código sobre el que se ejecuta la aplicación. Lo son los ingenieros del equipo de desarrollo. Entonces, ¿cómo puede asegurarse de que están desarrollando esos sistemas teniendo en cuenta la seguridad? 

Lo más probable es que estés haciendo algo o incluso todo lo siguiente: 

  • Revisar todo el código en busca de fallos de seguridad e informar al equipo de desarrollo para que los corrija. 
  • Imponer un estricto proceso de revisión por pares a lo largo del ciclo de vida del desarrollo seguro. 
  • Tener una aplicación regular assessment/pruebas de penetración realizadas por equipos de seguridad internos o externos.
  • Implementar herramientas de escaneo para detectar vulnerabilidades.

Estas son buenas prácticas, pero también son caras y similares a tomar una ronda de antibióticos cada vez que se enferma. Esto no sólo tiene un coste elevado, sino que pierde eficacia y puede debilitar el sistema inmunitario con el tiempo. 

¿Cómo se garantiza que el código que envían los desarrolladores está escrito de forma segura? 

Dejando de lado la codificación segura, primero hay que pensar en cómo aprende la gente. La mayoría de nosotros aprendemos de forma visual y mediante la práctica. Sin embargo, la formación en código seguro se ofrece a menudo como una actividad para marcar la casilla y no es relevante para el trabajo diario del desarrollador. Está diseñada para demostrar que los desarrolladores han recibido formación en materia de seguridad, a menudo para cumplir con las normas del sector, y no para que los desarrolladores retengan realmente esos conocimientos, y mucho menos para que disfruten del proceso de aprendizaje. 

Otra forma en la que los humanos tendemos a aprender es a través de nuestros errores, del mismo modo que lo hace nuestro sistema inmunitario. Las células T recuerdan qué tipo de patógenos han encontrado y erradicado con éxito en el pasado, para poder protegerse de ellos en el futuro. Este es exactamente el papel que deben desempeñar los desarrolladores en su SDLC seguro .

Es poco realista esperar que no cometan errores, pero puedes prepararlos de manera que sean capaces de reconocer patrones de codificación que se traduzcan en vulnerabilidades de seguridad en el futuro. 

Así es también como un sólido proceso de revisión por pares se vuelve tan poderoso. El hecho de que un desarrollador no se dé cuenta de un fallo de seguridad no significa que otro no lo haga. Y cuanto mejor entrenado esté el equipo de desarrollo en su conjunto, más probabilidades habrá de que las vulnerabilidades se detecten en seco y nunca lleguen a la producción. 

Las vulnerabilidades del software son como los patógenos

Las vulnerabilidades del software son como los patógenos en el sentido de que hay que recordarlas para poder combatirlas. En el caso de los patógenos, nuestro sistema inmunitario suele tener que exponerse varias veces antes de recordar cómo combatirlos para evitar una enfermedad grave o algo peor. 

Un ciberataque exitoso a partir de un software vulnerable puede paralizar gravemente o acabar con una organización. Pero si los desarrolladores conocen primero las vulnerabilidades del software en un entorno controlado, pueden trabajar para crear inmunidad a las amenazas aumentando y practicando regularmente sus conocimientos y habilidades de codificación segura. 

Exponer a los desarrolladores a los fallos de seguridad en un entorno controlado

Nunca podremos protegernos totalmente de las enfermedades, pero hay cosas que podemos hacer para reforzar nuestro sistema inmunitario y mantenernos lo más sanos posible. Cosas como hacer ejercicio con regularidad, comer de forma saludable y dormir mucho son algunas de las opciones de estilo de vida que suelen asociarse a un sistema inmunitario fuerte. Pero todas esas cosas requieren un poco de esfuerzo y deben ser continuas. Salir a correr todos los días durante una semana o dejar de beber durante un mes apenas harán mella en tu salud general. Tampoco es aconsejable salir a correr una carrera de 10 kilómetros el primer día que empezamos a correr. Primero tenemos que exponer nuestro corazón y nuestros músculos al ejercicio. También sabemos que hay que experimentar un poco hasta encontrar un buen equilibrio para nuestro cuerpo y los alimentos y ejercicios saludables que nos gustan.

No es tan diferente cuando se trata del desarrollo de software seguro. El aprendizaje se produce con el tiempo y la práctica, y los desarrolladores necesitan la misma formación continua para mejorar regularmente sus habilidades de codificación segura. Por no hablar de que el desarrollo de software está siempre evolucionando y adaptándose, lo que significa que las vulnerabilidades también lo están. Por eso no basta con un simple curso de formación. Los desarrolladores necesitan actualizarse periódicamente para estar lo suficientemente familiarizados con las posibles amenazas y estar debidamente equipados para defenderse de ellas. 

Intentar conseguir una inmunidad de rebaño dentro del equipo de desarrollo

Una sola persona no puede prevenir todos los problemas de seguridad. Es genial tener campeones de seguridad en el equipo, pero para obtener la mejor protección, cuantas más personas hayan aprendido sobre las vulnerabilidades de seguridad y cómo prevenirlas, más posibilidades tendrá su organización de prevenirlas. De nuevo, no es muy diferente de cómo el sistema inmunológico tiene diferentes tipos de células T para diferentes propósitos. Cada desarrollador forma parte de un equipo que garantiza la seguridad. Si se les capacita para que asuman la responsabilidad, lo hagan bien e incluso disfruten haciéndolo, entonces puedes crear una inmunidad de rebaño contra las ciberamenazas dentro del equipo de desarrollo como resultado.

Crear inmunidad de rebaño contra las ciberamenazas dentro del equipo de desarrollo

Mantener la seguridad en la mente con la exposición repetida

Nuestro cerebro aprende de forma similar a como funciona nuestro sistema inmunitario. El psicólogo alemán Hermann Ebbinghaus fue un pionero en el campo de la memoria y el aprendizaje. Dedujo que el aprendizaje tiene que producirse a lo largo del tiempo y con múltiples sesiones de aprendizaje. Cuando estamos en la escuela, nunca se espera que mantengamos los nuevos conocimientos después de la primera introducción. Primero se nos presenta la información, luego la practicamos con orientación y después la practicamos por nuestra cuenta. E incluso después de haberla aprendido lo suficientemente bien como para aprobar un examen, la información tiende a olvidarse poco después si no utilizamos regularmente los conocimientos a los que hemos dedicado tiempo y esfuerzo para aprender. ¿Cuántos de nosotros podemos decir que recordamos nuestro francés del instituto?

Entonces, ¿cómo podemos creer que un solo día de mirar diapositivas y escuchar a alguien hablar de seguridad llevará realmente a los desarrolladores asistentes a codificar de forma más segura?

Los patrones de vulnerabilidad recurrentes nos muestran que esto simplemente no funciona. 

¿Cómo se consigue una inmunidad de desarrollo segura?

La respuesta está en nuestra naturaleza. Nuestros cuerpos y nuestras mentes funcionan de la misma manera y proporcionan hermosas soluciones a los problemas, siempre que trabajemos con ellos y no contra ellos. 

Para garantizar que sus aplicaciones sean seguras, debe empezar por capacitar a los desarrolladores para que escriban código seguro. De lo contrario, el departamento de seguridad de las aplicaciones seguirá dedicando todo su tiempo a revisar todo el código en busca de fallos de seguridad y a informar de las mismas vulnerabilidades recurrentes al departamento de desarrollo para que las arreglen rápidamente sin aprender nada. Y luego lo vuelven a hacer para la siguiente versión.

Así que vamos a reiterar.

Sistema inmunitario de seguridad saludable

Si trabaja junto con sus directores de desarrollo para hacerlo, no sólo estará implementando un SDLC seguro y marcando la casilla de formación en seguridad para el cumplimiento, sino que tendrá un impacto en el mundo real en el proceso de desarrollo. Para poner una guinda a todo esto, AppSec ya no encontrará e informará de vulnerabilidades repetidas a los equipos de desarrollo y los desarrolladores pasarán menos tiempo arreglándolas. Esto significa que podrán dedicar más tiempo a crear y mejorar el increíble software que hace que nuestro mundo sea mejor. 

¿Está preparado para mejorar su equipo de desarrollo? Adelante, reserve una demostración con nosotros.

Empezar a trabajar

Haga clic en el siguiente enlace y descargue el PDF de este recurso.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Ver el informeReservar una demostración
Descargar PDF
Ver recurso
Compartir en:
¿Quiere saber más?

Compartir en:
Autor
Secure Code Warrior
Publicado el 24 de agosto de 2021

Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.

Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.

Compartir en:

Como profesional de la seguridad de las aplicaciones, su trabajo consiste en garantizar la ciberseguridad de las aplicaciones de su organización. Sin embargo, usted no es responsable de escribir el código sobre el que se ejecuta la aplicación. Lo son los ingenieros del equipo de desarrollo. Entonces, ¿cómo puede asegurarse de que están desarrollando esos sistemas teniendo en cuenta la seguridad? 

Lo más probable es que estés haciendo algo o incluso todo lo siguiente: 

  • Revisar todo el código en busca de fallos de seguridad e informar al equipo de desarrollo para que los corrija. 
  • Imponer un estricto proceso de revisión por pares a lo largo del ciclo de vida del desarrollo seguro. 
  • Tener una aplicación regular assessment/pruebas de penetración realizadas por equipos de seguridad internos o externos.
  • Implementar herramientas de escaneo para detectar vulnerabilidades.

Estas son buenas prácticas, pero también son caras y similares a tomar una ronda de antibióticos cada vez que se enferma. Esto no sólo tiene un coste elevado, sino que pierde eficacia y puede debilitar el sistema inmunitario con el tiempo. 

¿Cómo se garantiza que el código que envían los desarrolladores está escrito de forma segura? 

Dejando de lado la codificación segura, primero hay que pensar en cómo aprende la gente. La mayoría de nosotros aprendemos de forma visual y mediante la práctica. Sin embargo, la formación en código seguro se ofrece a menudo como una actividad para marcar la casilla y no es relevante para el trabajo diario del desarrollador. Está diseñada para demostrar que los desarrolladores han recibido formación en materia de seguridad, a menudo para cumplir con las normas del sector, y no para que los desarrolladores retengan realmente esos conocimientos, y mucho menos para que disfruten del proceso de aprendizaje. 

Otra forma en la que los humanos tendemos a aprender es a través de nuestros errores, del mismo modo que lo hace nuestro sistema inmunitario. Las células T recuerdan qué tipo de patógenos han encontrado y erradicado con éxito en el pasado, para poder protegerse de ellos en el futuro. Este es exactamente el papel que deben desempeñar los desarrolladores en su SDLC seguro .

Es poco realista esperar que no cometan errores, pero puedes prepararlos de manera que sean capaces de reconocer patrones de codificación que se traduzcan en vulnerabilidades de seguridad en el futuro. 

Así es también como un sólido proceso de revisión por pares se vuelve tan poderoso. El hecho de que un desarrollador no se dé cuenta de un fallo de seguridad no significa que otro no lo haga. Y cuanto mejor entrenado esté el equipo de desarrollo en su conjunto, más probabilidades habrá de que las vulnerabilidades se detecten en seco y nunca lleguen a la producción. 

Las vulnerabilidades del software son como los patógenos

Las vulnerabilidades del software son como los patógenos en el sentido de que hay que recordarlas para poder combatirlas. En el caso de los patógenos, nuestro sistema inmunitario suele tener que exponerse varias veces antes de recordar cómo combatirlos para evitar una enfermedad grave o algo peor. 

Un ciberataque exitoso a partir de un software vulnerable puede paralizar gravemente o acabar con una organización. Pero si los desarrolladores conocen primero las vulnerabilidades del software en un entorno controlado, pueden trabajar para crear inmunidad a las amenazas aumentando y practicando regularmente sus conocimientos y habilidades de codificación segura. 

Exponer a los desarrolladores a los fallos de seguridad en un entorno controlado

Nunca podremos protegernos totalmente de las enfermedades, pero hay cosas que podemos hacer para reforzar nuestro sistema inmunitario y mantenernos lo más sanos posible. Cosas como hacer ejercicio con regularidad, comer de forma saludable y dormir mucho son algunas de las opciones de estilo de vida que suelen asociarse a un sistema inmunitario fuerte. Pero todas esas cosas requieren un poco de esfuerzo y deben ser continuas. Salir a correr todos los días durante una semana o dejar de beber durante un mes apenas harán mella en tu salud general. Tampoco es aconsejable salir a correr una carrera de 10 kilómetros el primer día que empezamos a correr. Primero tenemos que exponer nuestro corazón y nuestros músculos al ejercicio. También sabemos que hay que experimentar un poco hasta encontrar un buen equilibrio para nuestro cuerpo y los alimentos y ejercicios saludables que nos gustan.

No es tan diferente cuando se trata del desarrollo de software seguro. El aprendizaje se produce con el tiempo y la práctica, y los desarrolladores necesitan la misma formación continua para mejorar regularmente sus habilidades de codificación segura. Por no hablar de que el desarrollo de software está siempre evolucionando y adaptándose, lo que significa que las vulnerabilidades también lo están. Por eso no basta con un simple curso de formación. Los desarrolladores necesitan actualizarse periódicamente para estar lo suficientemente familiarizados con las posibles amenazas y estar debidamente equipados para defenderse de ellas. 

Intentar conseguir una inmunidad de rebaño dentro del equipo de desarrollo

Una sola persona no puede prevenir todos los problemas de seguridad. Es genial tener campeones de seguridad en el equipo, pero para obtener la mejor protección, cuantas más personas hayan aprendido sobre las vulnerabilidades de seguridad y cómo prevenirlas, más posibilidades tendrá su organización de prevenirlas. De nuevo, no es muy diferente de cómo el sistema inmunológico tiene diferentes tipos de células T para diferentes propósitos. Cada desarrollador forma parte de un equipo que garantiza la seguridad. Si se les capacita para que asuman la responsabilidad, lo hagan bien e incluso disfruten haciéndolo, entonces puedes crear una inmunidad de rebaño contra las ciberamenazas dentro del equipo de desarrollo como resultado.

Crear inmunidad de rebaño contra las ciberamenazas dentro del equipo de desarrollo

Mantener la seguridad en la mente con la exposición repetida

Nuestro cerebro aprende de forma similar a como funciona nuestro sistema inmunitario. El psicólogo alemán Hermann Ebbinghaus fue un pionero en el campo de la memoria y el aprendizaje. Dedujo que el aprendizaje tiene que producirse a lo largo del tiempo y con múltiples sesiones de aprendizaje. Cuando estamos en la escuela, nunca se espera que mantengamos los nuevos conocimientos después de la primera introducción. Primero se nos presenta la información, luego la practicamos con orientación y después la practicamos por nuestra cuenta. E incluso después de haberla aprendido lo suficientemente bien como para aprobar un examen, la información tiende a olvidarse poco después si no utilizamos regularmente los conocimientos a los que hemos dedicado tiempo y esfuerzo para aprender. ¿Cuántos de nosotros podemos decir que recordamos nuestro francés del instituto?

Entonces, ¿cómo podemos creer que un solo día de mirar diapositivas y escuchar a alguien hablar de seguridad llevará realmente a los desarrolladores asistentes a codificar de forma más segura?

Los patrones de vulnerabilidad recurrentes nos muestran que esto simplemente no funciona. 

¿Cómo se consigue una inmunidad de desarrollo segura?

La respuesta está en nuestra naturaleza. Nuestros cuerpos y nuestras mentes funcionan de la misma manera y proporcionan hermosas soluciones a los problemas, siempre que trabajemos con ellos y no contra ellos. 

Para garantizar que sus aplicaciones sean seguras, debe empezar por capacitar a los desarrolladores para que escriban código seguro. De lo contrario, el departamento de seguridad de las aplicaciones seguirá dedicando todo su tiempo a revisar todo el código en busca de fallos de seguridad y a informar de las mismas vulnerabilidades recurrentes al departamento de desarrollo para que las arreglen rápidamente sin aprender nada. Y luego lo vuelven a hacer para la siguiente versión.

Así que vamos a reiterar.

Sistema inmunitario de seguridad saludable

Si trabaja junto con sus directores de desarrollo para hacerlo, no sólo estará implementando un SDLC seguro y marcando la casilla de formación en seguridad para el cumplimiento, sino que tendrá un impacto en el mundo real en el proceso de desarrollo. Para poner una guinda a todo esto, AppSec ya no encontrará e informará de vulnerabilidades repetidas a los equipos de desarrollo y los desarrolladores pasarán menos tiempo arreglándolas. Esto significa que podrán dedicar más tiempo a crear y mejorar el increíble software que hace que nuestro mundo sea mejor. 

¿Está preparado para mejorar su equipo de desarrollo? Adelante, reserve una demostración con nosotros.

Índice

Descargar PDF
Ver recurso
¿Quiere saber más?

Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Reservar una demostraciónDescargar
Compartir en:
Centro de recursos

Recursos para empezar

Más entradas

Servicios profesionales - Acelerar con experiencia

El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.

Más información
2 de abril de 2025
Folleto
Folleto

Temas y contenidos de la formación sobre código seguro

Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Temas que cubren todo, desde IA a XQuery Injection, ofrecidos para una variedad de roles desde Arquitectos e Ingenieros a Product Managers y QA. Eche un vistazo a lo que ofrece nuestro catálogo de contenidos por tema y función.

24 de marzo de 2025
Un localizador

Búsqueda: Aprendizaje líder en la industria para mantener a los desarrolladores por delante mitigando el riesgo.

Quests es una learning platform que ayuda a los desarrolladores a mitigar los riesgos de seguridad del software mediante la mejora de sus habilidades de codificación segura. Con rutas de aprendizaje curadas, desafíos prácticos y actividades interactivas, capacita a los desarrolladores para identificar y prevenir vulnerabilidades.

19 de marzo de 2025
Un localizador

Conozca a sus desarrolladores

¿Sabe quiénes son sus desarrolladores y cómo les hará llegar Secure Code Warrior ? En esta página encontrará algunas ideas que puede tener en cuenta.

23 de enero de 2025
Centro de recursos

Recursos para empezar

Más entradas

Inyección indirecta y riesgos de seguridad de las herramientas de codificación agéntica

Cómo se engañó a un agente de codificación para que escribiera código propenso a inyecciones SQL, instalara herramientas de shell y tal vez incluso acechara a su usuario.

Más información
31 de marzo de 2025
Blog
Blog

Presentamos las misiones: La última incorporación a su viaje por el Código Seguro

Las misiones permiten a los desarrolladores dominar la codificación segura a través del aprendizaje interactivo, reduciendo el riesgo y optimizando el desarrollo.

18 de marzo de 2025
Blog

La Década de los Defensores: Secure Code Warrior Cumple Diez Años

Secure Code Warriorha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.

27 de enero de 2025
Blog

10 predicciones clave: Secure Code Warrior sobre la influencia de la IA y el diseño seguro en 2025

Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de seguridad por diseño, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año.

20 de diciembre de 2024

Codificación orientada al desarrollador.

Con seguridad.

Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.

Reservar una demostración
Conectar
Facebook
X
LinkedIn
Producto
Learning platformLenguas y vulnerabilidades
Aprenda
MisionesLaboratorios de codificaciónCoursesMissionsDesafíosVídeosRecorridosDirectrices
Medida
TournamentsEvaluacionesPuntuación de confianza de SCW
Integre
Agente fiduciario de SCWIntegraciones
Soluciones
¿Por qué elegir SCW?
Por sector
Venta al por menorFinanzas y bancaSegurosTecnologíaAutomóvilesSanidad
Para equipos diferentes
C-SuiteEquipos de seguridadEquipos de ingeniería
Por caso de uso
Lograr el ROILograr la conformidadSeguridad por diseñoAumentar las competencias y la productividadMitigar el riesgo
Recursos
BlogCentro de recursosVídeosFolletoLibros blancosCasos prácticosInformesInfografíaLibros electrónicosSeminarios webGuíasEntrenador de código seguro
Empresa
Sobre nosotrosSociosCarrerasCentro de confianzaContacto con nosotrosEventosDossier de prensaDirectricesTienda Swag
Ayuda y soporte técnico
Centro de ayudaCentro de confianzaDeclaración de accesibilidadPREGUNTAS FRECUENTESServicios profesionalesÉxito de los clientes
Sydney
Boston
Portland
Londres
Brujas
Reikiavik
Copyright © 2015-2023 Secure Code Warrior Limited.
Política de privacidadPolítica de cookies | Accesibilidad | Aviso legal |