Desarrolladores conscientes de la seguridad: AppSec te necesita!
Aunque pueda parecer contradictorio para cualquiera que trabaje fuera del desarrollo de software, muchos de los profesionales empleados en la seguridad de las aplicaciones a lo largo de los años han trabajado en esas funciones críticas con poca o ninguna experiencia en programación. Estos profesionales de la seguridad de las aplicaciones forman parte del equipo responsable de garantizar que no se produzcan vulnerabilidades en las aplicaciones que se han convertido en el alma de muchas industrias y organizaciones, y sin embargo, pocos de ellos pueden evaluar o corregir directamente el código.
En lugar de proceder de una formación de codificación, muchos profesionales de la seguridad abordan sus funciones desde la perspectiva de los conocimientos clave en torno a los vectores de ataque, las amenazas, los exploits y el riesgo empresarial; tienen una visión limitada del código. Aunque no todos los gurús de la seguridad de las aplicaciones tienen el mismo conjunto de habilidades, un día típico para muchos implica trabajar con revisores de código y herramientas de escaneo para garantizar que los programas y los sistemas están protegidos de acuerdo con las normas de la organización, o los marcos pertinentes de la industria y el gobierno. A continuación, redactan informes sobre sus hallazgos y envían información sobre el vector de ataque que puede romper el código. A continuación, los desarrolladores deben realizar las correcciones necesarias, sin importar lo que pueda suponer para el trabajo actual.
La razón por la que la situación ha evolucionado de esta manera es que la lógica imperante durante años era que el trabajo de proteger las redes y las aplicaciones era tan amplio que no tenía sentido esperar que todos los que trabajaban en ciberseguridad desempeñaran todas las funciones. Los conocimientos profundos de codificación se dejaban en manos de los desarrolladores, y se daba poco valor a la capacidad de escribir o editar código más adelante en el proceso de desarrollo.
Esa mentalidad está cambiando rápidamente, y eso presenta una oportunidad única para que los desarrolladores den el lucrativo salto y el cambio de carrera hacia la AppSec. No todos los desarrolladores querrán abrazar el llamado lado oscuro, y muchos desarrolladores no son particularmente positivos en sus opiniones sobre los equipos de AppSec. Pero para los que sí quieren, nunca ha habido un mejor momento para coger ese anillo de bronce cada vez más tentador.
DevSecOps impulsa casi todas las industrias
Uno de los factores más importantes para elevar el valor de los programadores y desarrolladores conscientes de la seguridad en cualquier organización, es el movimiento casi universal para adoptar prácticas de desarrollo más ágiles como DevSecOps. Cuando se combinan el desarrollo, la seguridad y las operaciones, la ciberseguridad se convierte en una responsabilidad compartida integrada en el desarrollo de nuevo software de principio a fin. En ese entorno, la capacidad de codificación se considera cada vez más un activo valioso en todos los ámbitos, y esto es especialmente cierto para los ingenieros que también entienden la seguridad de forma inherente.
Un profesional de AppSec que no sólo entiende la ciberseguridad a alto nivel, sino también el código que hace que todo funcione, es intrínsecamente más valioso para cualquier organización que alguien cuyo conocimiento se concentra en lo teórico. Ser capaz de descubrir y evaluar rápidamente las vulnerabilidades encontradas dentro del código, y luego mitigar esos problemas, es el núcleo de por qué DevSecOps está viendo tanta popularidad.
Los desarrolladores que trabajan en AppSec también aportan otra gran ventaja a cualquier organización que los emplee. Al venir del lado del desarrollo, les resulta fácil hablar con los desarrolladores sobre seguridad y vulnerabilidades. También facilita que se conviertan en entrenadores de los equipos de desarrollo, ayudándoles a ser mejores programadores. Con el tiempo, podrían incluso ser capaces de eliminar el estigma del "lado oscuro" de la seguridad de las aplicaciones y ayudar a unificar los equipos de desarrollo de software en toda la organización.
La escasez de competencias en ciberseguridad se agrava
Shakespeare dijo que el viento malo no beneficia a nadie. Lo que quería decir es que incluso la situación más oscura probablemente beneficie a alguien. La escasez de competencias en ciberseguridad es un gran ejemplo de ello.
La escasez de personal se está notando mucho en casi todas partes. En una encuesta reciente llevada a cabo por el Centro de Estudios Estratégicos e Internacionales, el 82% de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones sufrían una escasez de competencias en ciberseguridad, y el 71% dijo que la escasez había provocado un daño directo y cuantificable a sus organizaciones. Para situar esta crisis en una perspectiva aún mejor, el informe señalaba que sólo en Estados Unidos había más de 520.000 puestos de trabajo de ciberseguridad sin cubrir en 2020 para un campo en el que sólo hay unos 940.000 empleados.
La escasez de personal de ciberseguridad es una mala noticia para las organizaciones que intentan proteger sus infraestructuras, negocios y datos de un panorama de amenazas cada vez más peligroso. Pero es una buena oportunidad para los desarrolladores que buscan entrar en la seguridad de las aplicaciones. Lo más probable es que los puestos de ciberseguridad y AppSec estén disponibles en casi todas partes. Y como los puestos de ciberseguridad tardan una media de un 21% más en cubrirse estos días, los salarios están aumentando en todos los ámbitos.
Dar el salto a AppSec
Puede que nunca haya un momento mejor para que los desarrolladores den el lucrativo salto al lado de la seguridad. Los desarrolladores concienciados con la seguridad ya no son vistos solo como parte de un método de seguridad provisional, sino que están desempeñando un papel completo y respetado como defensores de la ciberseguridad. Esto es especialmente cierto para las organizaciones que han adoptado DevSecOps y otras metodologías de desarrollo más ágiles. Y la escasez de talento en ciberseguridad significa que hay puestos disponibles en casi todas las empresas, agencias gubernamentales u organizaciones. Aquellos con las habilidades adecuadas pueden elegir dónde quieren trabajar.
Pasar a AppSec puede no ser para todo el mundo, y por supuesto, la mayoría de los desarrolladores seguirán centrados en la construcción de características increíbles. Pero para aquellos que están considerando dar el salto, invertir en formación en seguridad para aumentar sus habilidades de codificación existentes puede abrir muchas puertas. Las mejores personas de AppSec salen de la ingeniería, porque entienden profundamente la tecnología y tienen empatía por la situación de sus compañeros desarrolladores. DevSecOps significa que todo el mundo es ahora responsable de la seguridad, así que ¿por qué no aprovechar la actual escasez de habilidades críticas para avanzar en su carrera hacia la seguridad de las aplicaciones? Nunca ha habido un mejor momento para dar un paso positivo para ti, tu familia y tu carrera.
Los desarrolladores están en una gran posición para dar un salto lucrativo a la AppSec.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónMatias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Aunque pueda parecer contradictorio para cualquiera que trabaje fuera del desarrollo de software, muchos de los profesionales empleados en la seguridad de las aplicaciones a lo largo de los años han trabajado en esas funciones críticas con poca o ninguna experiencia en programación. Estos profesionales de la seguridad de las aplicaciones forman parte del equipo responsable de garantizar que no se produzcan vulnerabilidades en las aplicaciones que se han convertido en el alma de muchas industrias y organizaciones, y sin embargo, pocos de ellos pueden evaluar o corregir directamente el código.
En lugar de proceder de una formación de codificación, muchos profesionales de la seguridad abordan sus funciones desde la perspectiva de los conocimientos clave en torno a los vectores de ataque, las amenazas, los exploits y el riesgo empresarial; tienen una visión limitada del código. Aunque no todos los gurús de la seguridad de las aplicaciones tienen el mismo conjunto de habilidades, un día típico para muchos implica trabajar con revisores de código y herramientas de escaneo para garantizar que los programas y los sistemas están protegidos de acuerdo con las normas de la organización, o los marcos pertinentes de la industria y el gobierno. A continuación, redactan informes sobre sus hallazgos y envían información sobre el vector de ataque que puede romper el código. A continuación, los desarrolladores deben realizar las correcciones necesarias, sin importar lo que pueda suponer para el trabajo actual.
La razón por la que la situación ha evolucionado de esta manera es que la lógica imperante durante años era que el trabajo de proteger las redes y las aplicaciones era tan amplio que no tenía sentido esperar que todos los que trabajaban en ciberseguridad desempeñaran todas las funciones. Los conocimientos profundos de codificación se dejaban en manos de los desarrolladores, y se daba poco valor a la capacidad de escribir o editar código más adelante en el proceso de desarrollo.
Esa mentalidad está cambiando rápidamente, y eso presenta una oportunidad única para que los desarrolladores den el lucrativo salto y el cambio de carrera hacia la AppSec. No todos los desarrolladores querrán abrazar el llamado lado oscuro, y muchos desarrolladores no son particularmente positivos en sus opiniones sobre los equipos de AppSec. Pero para los que sí quieren, nunca ha habido un mejor momento para coger ese anillo de bronce cada vez más tentador.
DevSecOps impulsa casi todas las industrias
Uno de los factores más importantes para elevar el valor de los programadores y desarrolladores conscientes de la seguridad en cualquier organización, es el movimiento casi universal para adoptar prácticas de desarrollo más ágiles como DevSecOps. Cuando se combinan el desarrollo, la seguridad y las operaciones, la ciberseguridad se convierte en una responsabilidad compartida integrada en el desarrollo de nuevo software de principio a fin. En ese entorno, la capacidad de codificación se considera cada vez más un activo valioso en todos los ámbitos, y esto es especialmente cierto para los ingenieros que también entienden la seguridad de forma inherente.
Un profesional de AppSec que no sólo entiende la ciberseguridad a alto nivel, sino también el código que hace que todo funcione, es intrínsecamente más valioso para cualquier organización que alguien cuyo conocimiento se concentra en lo teórico. Ser capaz de descubrir y evaluar rápidamente las vulnerabilidades encontradas dentro del código, y luego mitigar esos problemas, es el núcleo de por qué DevSecOps está viendo tanta popularidad.
Los desarrolladores que trabajan en AppSec también aportan otra gran ventaja a cualquier organización que los emplee. Al venir del lado del desarrollo, les resulta fácil hablar con los desarrolladores sobre seguridad y vulnerabilidades. También facilita que se conviertan en entrenadores de los equipos de desarrollo, ayudándoles a ser mejores programadores. Con el tiempo, podrían incluso ser capaces de eliminar el estigma del "lado oscuro" de la seguridad de las aplicaciones y ayudar a unificar los equipos de desarrollo de software en toda la organización.
La escasez de competencias en ciberseguridad se agrava
Shakespeare dijo que el viento malo no beneficia a nadie. Lo que quería decir es que incluso la situación más oscura probablemente beneficie a alguien. La escasez de competencias en ciberseguridad es un gran ejemplo de ello.
La escasez de personal se está notando mucho en casi todas partes. En una encuesta reciente llevada a cabo por el Centro de Estudios Estratégicos e Internacionales, el 82% de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones sufrían una escasez de competencias en ciberseguridad, y el 71% dijo que la escasez había provocado un daño directo y cuantificable a sus organizaciones. Para situar esta crisis en una perspectiva aún mejor, el informe señalaba que sólo en Estados Unidos había más de 520.000 puestos de trabajo de ciberseguridad sin cubrir en 2020 para un campo en el que sólo hay unos 940.000 empleados.
La escasez de personal de ciberseguridad es una mala noticia para las organizaciones que intentan proteger sus infraestructuras, negocios y datos de un panorama de amenazas cada vez más peligroso. Pero es una buena oportunidad para los desarrolladores que buscan entrar en la seguridad de las aplicaciones. Lo más probable es que los puestos de ciberseguridad y AppSec estén disponibles en casi todas partes. Y como los puestos de ciberseguridad tardan una media de un 21% más en cubrirse estos días, los salarios están aumentando en todos los ámbitos.
Dar el salto a AppSec
Puede que nunca haya un momento mejor para que los desarrolladores den el lucrativo salto al lado de la seguridad. Los desarrolladores concienciados con la seguridad ya no son vistos solo como parte de un método de seguridad provisional, sino que están desempeñando un papel completo y respetado como defensores de la ciberseguridad. Esto es especialmente cierto para las organizaciones que han adoptado DevSecOps y otras metodologías de desarrollo más ágiles. Y la escasez de talento en ciberseguridad significa que hay puestos disponibles en casi todas las empresas, agencias gubernamentales u organizaciones. Aquellos con las habilidades adecuadas pueden elegir dónde quieren trabajar.
Pasar a AppSec puede no ser para todo el mundo, y por supuesto, la mayoría de los desarrolladores seguirán centrados en la construcción de características increíbles. Pero para aquellos que están considerando dar el salto, invertir en formación en seguridad para aumentar sus habilidades de codificación existentes puede abrir muchas puertas. Las mejores personas de AppSec salen de la ingeniería, porque entienden profundamente la tecnología y tienen empatía por la situación de sus compañeros desarrolladores. DevSecOps significa que todo el mundo es ahora responsable de la seguridad, así que ¿por qué no aprovechar la actual escasez de habilidades críticas para avanzar en su carrera hacia la seguridad de las aplicaciones? Nunca ha habido un mejor momento para dar un paso positivo para ti, tu familia y tu carrera.
Aunque pueda parecer contradictorio para cualquiera que trabaje fuera del desarrollo de software, muchos de los profesionales empleados en la seguridad de las aplicaciones a lo largo de los años han trabajado en esas funciones críticas con poca o ninguna experiencia en programación. Estos profesionales de la seguridad de las aplicaciones forman parte del equipo responsable de garantizar que no se produzcan vulnerabilidades en las aplicaciones que se han convertido en el alma de muchas industrias y organizaciones, y sin embargo, pocos de ellos pueden evaluar o corregir directamente el código.
En lugar de proceder de una formación de codificación, muchos profesionales de la seguridad abordan sus funciones desde la perspectiva de los conocimientos clave en torno a los vectores de ataque, las amenazas, los exploits y el riesgo empresarial; tienen una visión limitada del código. Aunque no todos los gurús de la seguridad de las aplicaciones tienen el mismo conjunto de habilidades, un día típico para muchos implica trabajar con revisores de código y herramientas de escaneo para garantizar que los programas y los sistemas están protegidos de acuerdo con las normas de la organización, o los marcos pertinentes de la industria y el gobierno. A continuación, redactan informes sobre sus hallazgos y envían información sobre el vector de ataque que puede romper el código. A continuación, los desarrolladores deben realizar las correcciones necesarias, sin importar lo que pueda suponer para el trabajo actual.
La razón por la que la situación ha evolucionado de esta manera es que la lógica imperante durante años era que el trabajo de proteger las redes y las aplicaciones era tan amplio que no tenía sentido esperar que todos los que trabajaban en ciberseguridad desempeñaran todas las funciones. Los conocimientos profundos de codificación se dejaban en manos de los desarrolladores, y se daba poco valor a la capacidad de escribir o editar código más adelante en el proceso de desarrollo.
Esa mentalidad está cambiando rápidamente, y eso presenta una oportunidad única para que los desarrolladores den el lucrativo salto y el cambio de carrera hacia la AppSec. No todos los desarrolladores querrán abrazar el llamado lado oscuro, y muchos desarrolladores no son particularmente positivos en sus opiniones sobre los equipos de AppSec. Pero para los que sí quieren, nunca ha habido un mejor momento para coger ese anillo de bronce cada vez más tentador.
DevSecOps impulsa casi todas las industrias
Uno de los factores más importantes para elevar el valor de los programadores y desarrolladores conscientes de la seguridad en cualquier organización, es el movimiento casi universal para adoptar prácticas de desarrollo más ágiles como DevSecOps. Cuando se combinan el desarrollo, la seguridad y las operaciones, la ciberseguridad se convierte en una responsabilidad compartida integrada en el desarrollo de nuevo software de principio a fin. En ese entorno, la capacidad de codificación se considera cada vez más un activo valioso en todos los ámbitos, y esto es especialmente cierto para los ingenieros que también entienden la seguridad de forma inherente.
Un profesional de AppSec que no sólo entiende la ciberseguridad a alto nivel, sino también el código que hace que todo funcione, es intrínsecamente más valioso para cualquier organización que alguien cuyo conocimiento se concentra en lo teórico. Ser capaz de descubrir y evaluar rápidamente las vulnerabilidades encontradas dentro del código, y luego mitigar esos problemas, es el núcleo de por qué DevSecOps está viendo tanta popularidad.
Los desarrolladores que trabajan en AppSec también aportan otra gran ventaja a cualquier organización que los emplee. Al venir del lado del desarrollo, les resulta fácil hablar con los desarrolladores sobre seguridad y vulnerabilidades. También facilita que se conviertan en entrenadores de los equipos de desarrollo, ayudándoles a ser mejores programadores. Con el tiempo, podrían incluso ser capaces de eliminar el estigma del "lado oscuro" de la seguridad de las aplicaciones y ayudar a unificar los equipos de desarrollo de software en toda la organización.
La escasez de competencias en ciberseguridad se agrava
Shakespeare dijo que el viento malo no beneficia a nadie. Lo que quería decir es que incluso la situación más oscura probablemente beneficie a alguien. La escasez de competencias en ciberseguridad es un gran ejemplo de ello.
La escasez de personal se está notando mucho en casi todas partes. En una encuesta reciente llevada a cabo por el Centro de Estudios Estratégicos e Internacionales, el 82% de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones sufrían una escasez de competencias en ciberseguridad, y el 71% dijo que la escasez había provocado un daño directo y cuantificable a sus organizaciones. Para situar esta crisis en una perspectiva aún mejor, el informe señalaba que sólo en Estados Unidos había más de 520.000 puestos de trabajo de ciberseguridad sin cubrir en 2020 para un campo en el que sólo hay unos 940.000 empleados.
La escasez de personal de ciberseguridad es una mala noticia para las organizaciones que intentan proteger sus infraestructuras, negocios y datos de un panorama de amenazas cada vez más peligroso. Pero es una buena oportunidad para los desarrolladores que buscan entrar en la seguridad de las aplicaciones. Lo más probable es que los puestos de ciberseguridad y AppSec estén disponibles en casi todas partes. Y como los puestos de ciberseguridad tardan una media de un 21% más en cubrirse estos días, los salarios están aumentando en todos los ámbitos.
Dar el salto a AppSec
Puede que nunca haya un momento mejor para que los desarrolladores den el lucrativo salto al lado de la seguridad. Los desarrolladores concienciados con la seguridad ya no son vistos solo como parte de un método de seguridad provisional, sino que están desempeñando un papel completo y respetado como defensores de la ciberseguridad. Esto es especialmente cierto para las organizaciones que han adoptado DevSecOps y otras metodologías de desarrollo más ágiles. Y la escasez de talento en ciberseguridad significa que hay puestos disponibles en casi todas las empresas, agencias gubernamentales u organizaciones. Aquellos con las habilidades adecuadas pueden elegir dónde quieren trabajar.
Pasar a AppSec puede no ser para todo el mundo, y por supuesto, la mayoría de los desarrolladores seguirán centrados en la construcción de características increíbles. Pero para aquellos que están considerando dar el salto, invertir en formación en seguridad para aumentar sus habilidades de codificación existentes puede abrir muchas puertas. Las mejores personas de AppSec salen de la ingeniería, porque entienden profundamente la tecnología y tienen empatía por la situación de sus compañeros desarrolladores. DevSecOps significa que todo el mundo es ahora responsable de la seguridad, así que ¿por qué no aprovechar la actual escasez de habilidades críticas para avanzar en su carrera hacia la seguridad de las aplicaciones? Nunca ha habido un mejor momento para dar un paso positivo para ti, tu familia y tu carrera.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostraciónMatias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Aunque pueda parecer contradictorio para cualquiera que trabaje fuera del desarrollo de software, muchos de los profesionales empleados en la seguridad de las aplicaciones a lo largo de los años han trabajado en esas funciones críticas con poca o ninguna experiencia en programación. Estos profesionales de la seguridad de las aplicaciones forman parte del equipo responsable de garantizar que no se produzcan vulnerabilidades en las aplicaciones que se han convertido en el alma de muchas industrias y organizaciones, y sin embargo, pocos de ellos pueden evaluar o corregir directamente el código.
En lugar de proceder de una formación de codificación, muchos profesionales de la seguridad abordan sus funciones desde la perspectiva de los conocimientos clave en torno a los vectores de ataque, las amenazas, los exploits y el riesgo empresarial; tienen una visión limitada del código. Aunque no todos los gurús de la seguridad de las aplicaciones tienen el mismo conjunto de habilidades, un día típico para muchos implica trabajar con revisores de código y herramientas de escaneo para garantizar que los programas y los sistemas están protegidos de acuerdo con las normas de la organización, o los marcos pertinentes de la industria y el gobierno. A continuación, redactan informes sobre sus hallazgos y envían información sobre el vector de ataque que puede romper el código. A continuación, los desarrolladores deben realizar las correcciones necesarias, sin importar lo que pueda suponer para el trabajo actual.
La razón por la que la situación ha evolucionado de esta manera es que la lógica imperante durante años era que el trabajo de proteger las redes y las aplicaciones era tan amplio que no tenía sentido esperar que todos los que trabajaban en ciberseguridad desempeñaran todas las funciones. Los conocimientos profundos de codificación se dejaban en manos de los desarrolladores, y se daba poco valor a la capacidad de escribir o editar código más adelante en el proceso de desarrollo.
Esa mentalidad está cambiando rápidamente, y eso presenta una oportunidad única para que los desarrolladores den el lucrativo salto y el cambio de carrera hacia la AppSec. No todos los desarrolladores querrán abrazar el llamado lado oscuro, y muchos desarrolladores no son particularmente positivos en sus opiniones sobre los equipos de AppSec. Pero para los que sí quieren, nunca ha habido un mejor momento para coger ese anillo de bronce cada vez más tentador.
DevSecOps impulsa casi todas las industrias
Uno de los factores más importantes para elevar el valor de los programadores y desarrolladores conscientes de la seguridad en cualquier organización, es el movimiento casi universal para adoptar prácticas de desarrollo más ágiles como DevSecOps. Cuando se combinan el desarrollo, la seguridad y las operaciones, la ciberseguridad se convierte en una responsabilidad compartida integrada en el desarrollo de nuevo software de principio a fin. En ese entorno, la capacidad de codificación se considera cada vez más un activo valioso en todos los ámbitos, y esto es especialmente cierto para los ingenieros que también entienden la seguridad de forma inherente.
Un profesional de AppSec que no sólo entiende la ciberseguridad a alto nivel, sino también el código que hace que todo funcione, es intrínsecamente más valioso para cualquier organización que alguien cuyo conocimiento se concentra en lo teórico. Ser capaz de descubrir y evaluar rápidamente las vulnerabilidades encontradas dentro del código, y luego mitigar esos problemas, es el núcleo de por qué DevSecOps está viendo tanta popularidad.
Los desarrolladores que trabajan en AppSec también aportan otra gran ventaja a cualquier organización que los emplee. Al venir del lado del desarrollo, les resulta fácil hablar con los desarrolladores sobre seguridad y vulnerabilidades. También facilita que se conviertan en entrenadores de los equipos de desarrollo, ayudándoles a ser mejores programadores. Con el tiempo, podrían incluso ser capaces de eliminar el estigma del "lado oscuro" de la seguridad de las aplicaciones y ayudar a unificar los equipos de desarrollo de software en toda la organización.
La escasez de competencias en ciberseguridad se agrava
Shakespeare dijo que el viento malo no beneficia a nadie. Lo que quería decir es que incluso la situación más oscura probablemente beneficie a alguien. La escasez de competencias en ciberseguridad es un gran ejemplo de ello.
La escasez de personal se está notando mucho en casi todas partes. En una encuesta reciente llevada a cabo por el Centro de Estudios Estratégicos e Internacionales, el 82% de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones sufrían una escasez de competencias en ciberseguridad, y el 71% dijo que la escasez había provocado un daño directo y cuantificable a sus organizaciones. Para situar esta crisis en una perspectiva aún mejor, el informe señalaba que sólo en Estados Unidos había más de 520.000 puestos de trabajo de ciberseguridad sin cubrir en 2020 para un campo en el que sólo hay unos 940.000 empleados.
La escasez de personal de ciberseguridad es una mala noticia para las organizaciones que intentan proteger sus infraestructuras, negocios y datos de un panorama de amenazas cada vez más peligroso. Pero es una buena oportunidad para los desarrolladores que buscan entrar en la seguridad de las aplicaciones. Lo más probable es que los puestos de ciberseguridad y AppSec estén disponibles en casi todas partes. Y como los puestos de ciberseguridad tardan una media de un 21% más en cubrirse estos días, los salarios están aumentando en todos los ámbitos.
Dar el salto a AppSec
Puede que nunca haya un momento mejor para que los desarrolladores den el lucrativo salto al lado de la seguridad. Los desarrolladores concienciados con la seguridad ya no son vistos solo como parte de un método de seguridad provisional, sino que están desempeñando un papel completo y respetado como defensores de la ciberseguridad. Esto es especialmente cierto para las organizaciones que han adoptado DevSecOps y otras metodologías de desarrollo más ágiles. Y la escasez de talento en ciberseguridad significa que hay puestos disponibles en casi todas las empresas, agencias gubernamentales u organizaciones. Aquellos con las habilidades adecuadas pueden elegir dónde quieren trabajar.
Pasar a AppSec puede no ser para todo el mundo, y por supuesto, la mayoría de los desarrolladores seguirán centrados en la construcción de características increíbles. Pero para aquellos que están considerando dar el salto, invertir en formación en seguridad para aumentar sus habilidades de codificación existentes puede abrir muchas puertas. Las mejores personas de AppSec salen de la ingeniería, porque entienden profundamente la tecnología y tienen empatía por la situación de sus compañeros desarrolladores. DevSecOps significa que todo el mundo es ahora responsable de la seguridad, así que ¿por qué no aprovechar la actual escasez de habilidades críticas para avanzar en su carrera hacia la seguridad de las aplicaciones? Nunca ha habido un mejor momento para dar un paso positivo para ti, tu familia y tu carrera.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.