Desplazamiento a la izquierda (y cumplimiento de la normativa) con habilidades de codificación segura repetibles
Hoy en día, casi todos los equipos de desarrollo emplean algún tipo de formación en materia de cumplimiento normativo, ya sea como parte de un proceso de certificación inicial utilizado para garantizar que una empresa se mantiene dentro de los límites de los marcos del sector o de la normativa gubernamental, o como parte de un requisito o revisión anual. Es un paso importante, porque si una organización no puede cumplir los requisitos básicos de cumplimiento, sus trabajadores no pueden desempeñar sus funciones de forma realista.
Las normas de cumplimiento existen por una razón, porque cualquier persona que trabaje en el campo que cubren esas normas debe tener al menos una comprensión fundamental de todos los procesos y procedimientos pertinentes, así como de cualquier ley aplicable.
Aunque la formación en materia de cumplimiento es importante, completar los requisitos mínimos obligatorios no garantiza la verdadera seguridad de las aplicaciones. Esto es especialmente cierto para los desarrolladores que intentan integrar las habilidades de codificación segura en su flujo de trabajo diario. Casi todos los desarrolladores reciben algún tipo de formación sobre el cumplimiento de la normativa y, sin embargo, cuando se les encuestó, el 67% admitió que a menudo dejaban vulnerabilidades en su código.
¿Por qué?
Por segundo año, Secure Code Warrior realizó la encuesta "The state of developer-driven security survey, 2022" en colaboración con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para conocer las habilidades, percepciones y comportamientos en lo que respecta a las prácticas de codificación segura, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
En cuanto a las razones por las que la formación sobre el cumplimiento de la normativa no consigue mejorar la seguridad de los programas informáticos, es una cuestión de la que llevamos hablando mucho tiempo. La reciente encuesta simplemente pone de manifiesto este problema.
Por un lado, se pide a los desarrolladores que asuman nuevas funciones incluyendo la ciberseguridad en todo el proceso de desarrollo de software, incluso cuando escriben inicialmente el código de las aplicaciones y programas. Pero escribir código seguro, o incluso simplemente aprender todo sobre los problemas de ciberseguridad y las vulnerabilidades que podrían afectarlo, no es una tarea fácil.En la encuesta, el 63% de los desarrolladores dijo que escribir código seguro era una tarea difícil.
La dificultad de escribir código seguro no debería ser una sorpresa. Hay una razón por la que tantos puestos de trabajo de ciberseguridad bien pagados no se cubren, con más de 3,5 millones de vacantes en todo el mundo según el último recuento. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades dentro del código es difícil, y el panorama de las amenazas cambia constantemente. La formación estática sobre el cumplimiento de la normativa o las clases únicas no pueden seguir el ritmo ni proporcionar el tipo de educación que necesitan los desarrolladores. Puede marcar una casilla en términos de cumplimiento, pero no puede proporcionar garantías reales de seguridad de las aplicaciones para su organización o permitir a los desarrolladores escribir código seguro, o las habilidades para encontrar y corregir las vulnerabilidades del código.
El cumplimiento y la formación en seguridad son importantes, pero diferentes
Las organizaciones deben empezar a darse cuenta y reconocer lo que la formación en materia de cumplimiento puede hacer, y lo que no. No abandone la formación en materia de cumplimiento, especialmente si es obligatoria por ley. Y sobre todo porque (incluso con los métodos de formación actuales) el 92% de los encuestados declaró que necesitaba al menos algo de formación en cuestiones relacionadas con el cumplimiento o los marcos de seguridad, y el 50% subrayó la necesidad de una formación importante en materia de cumplimiento.
Entre los marcos de cumplimiento que más les interesan para formarse están los específicos de varios sectores, aunque también figuran en la lista varios marcos generales de ciberseguridad. Entre ellos se encuentran el Marco de Seguridad CIS, PCI DSS, el OWASP Top 10, MISRA C, ISO/IEC, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y otros.
Así que sí, forme en esos marcos, pero entienda que marcar una casilla en la formación de cumplimiento no equivale a proporcionar una base para la creación continua de código seguro.
En su lugar, considere la formación en materia de cumplimiento como parte de una oportunidad continua para ampliar las habilidades de codificación segura de sus desarrolladores, que pueden repetirse fuera del ciclo de cumplimiento, de modo que puedan crear y publicar software seguro todos los días. Cambie la prioridad de lograr el cumplimiento a permitir que los equipos de desarrollo codifiquen de forma segura con un aprendizaje continuo. Si invierte tiempo y recursos en la capacitación de los desarrolladores, los ejercicios o exámenes anuales de cumplimiento se convertirán en un juego de niños para que su personal los apruebe y los complete, mientras se beneficia de una mayor productividad en general.
¿Cómo se puede dar el paso a la seguridad impulsada por los desarrolladores?
Los desarrolladores afirmaron mayoritariamente que la formación era valiosa, pero se mostraron disconformes con el tipo de formación que han recibido en materia de codificación segura a lo largo de los años. Los desarrolladores dijeron que querían que se hiciera más hincapié en la formación práctica con ejemplos del mundo real que fueran relevantes para sus trabajos (30%). El 26% de los encuestados también considera que es fundamental una mayor interactividad, especialmente si pueden practicar la escritura de código seguro como parte de esos ejercicios.
El 23% de los desarrolladores encuestados consideró importante recibir una formación más guiada, centrada en las vulnerabilidades específicas con las que era más probable que se encontraran en su industria o sector, mientras que el 22% quería ver más ejemplos de vulnerabilidades del mundo real en su formación courses.
Está claro que limitarse a impartir una formación estática y no interactiva (que suele ser la experiencia de la formación en materia de cumplimiento) tiene poco valor en términos de habilidades de seguridad repetibles para los desarrolladores. En su lugar, las organizaciones deberían centrarse en cosas como la formación "justo a tiempo", en la que se enseña a los desarrolladores sobre seguridad a medida que trabajan. Incluso se podría considerar la posibilidad de implementar un programa de aprendizaje por niveles.
Con un enfoque escalonado, los temas más amplios suelen dividirse en experiencias de aprendizaje o conceptos discretos. A medida que los desarrolladores progresan, los conceptos más avanzados se superponen a los que ya dominan, al igual que se construye un andamiaje físico a medida que un edificio crece. Se trata de un método probado para enseñar un tema difícil y en constante evolución como la ciberseguridad, dividiéndolo primero en trozos más pequeños y menos complejos y luego construyendo más complejidad sobre esa base.
Sea cual sea el enfoque que le dé a su programa de habilidades de seguridad para desarrolladores, será clave mantenerlo separado de los ejercicios de cumplimiento. Tanto el cumplimiento como la formación en seguridad son importantes, y ambos requieren enfoques diferentes para lograr el éxito.
Para más información
Libro blanco: Los retos (y oportunidades) para mejorar la seguridad del software.
Libro blanco: El enfoque preventivo de los desarrolladores sobre la seguridad del software.
Informe: El estado de la seguridad impulsada por los desarrolladores.
Hoy en día, casi todos los equipos de desarrollo emplean algún tipo de formación en materia de cumplimiento normativo, ya sea como parte de un proceso de certificación inicial utilizado para garantizar que una empresa se mantiene dentro de los límites de los marcos del sector o de la normativa gubernamental, o como parte de un requisito o revisión anual. Es un paso importante, porque si una organización no puede cumplir con los requisitos básicos de cumplimiento, entonces sus trabajadores no pueden desempeñar sus funciones de manera realista.
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
Hoy en día, casi todos los equipos de desarrollo emplean algún tipo de formación en materia de cumplimiento normativo, ya sea como parte de un proceso de certificación inicial utilizado para garantizar que una empresa se mantiene dentro de los límites de los marcos del sector o de la normativa gubernamental, o como parte de un requisito o revisión anual. Es un paso importante, porque si una organización no puede cumplir los requisitos básicos de cumplimiento, sus trabajadores no pueden desempeñar sus funciones de forma realista.
Las normas de cumplimiento existen por una razón, porque cualquier persona que trabaje en el campo que cubren esas normas debe tener al menos una comprensión fundamental de todos los procesos y procedimientos pertinentes, así como de cualquier ley aplicable.
Aunque la formación en materia de cumplimiento es importante, completar los requisitos mínimos obligatorios no garantiza la verdadera seguridad de las aplicaciones. Esto es especialmente cierto para los desarrolladores que intentan integrar las habilidades de codificación segura en su flujo de trabajo diario. Casi todos los desarrolladores reciben algún tipo de formación sobre el cumplimiento de la normativa y, sin embargo, cuando se les encuestó, el 67% admitió que a menudo dejaban vulnerabilidades en su código.
¿Por qué?
Por segundo año, Secure Code Warrior realizó la encuesta "The state of developer-driven security survey, 2022" en colaboración con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para conocer las habilidades, percepciones y comportamientos en lo que respecta a las prácticas de codificación segura, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
En cuanto a las razones por las que la formación sobre el cumplimiento de la normativa no consigue mejorar la seguridad de los programas informáticos, es una cuestión de la que llevamos hablando mucho tiempo. La reciente encuesta simplemente pone de manifiesto este problema.
Por un lado, se pide a los desarrolladores que asuman nuevas funciones incluyendo la ciberseguridad en todo el proceso de desarrollo de software, incluso cuando escriben inicialmente el código de las aplicaciones y programas. Pero escribir código seguro, o incluso simplemente aprender todo sobre los problemas de ciberseguridad y las vulnerabilidades que podrían afectarlo, no es una tarea fácil.En la encuesta, el 63% de los desarrolladores dijo que escribir código seguro era una tarea difícil.
La dificultad de escribir código seguro no debería ser una sorpresa. Hay una razón por la que tantos puestos de trabajo de ciberseguridad bien pagados no se cubren, con más de 3,5 millones de vacantes en todo el mundo según el último recuento. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades dentro del código es difícil, y el panorama de las amenazas cambia constantemente. La formación estática sobre el cumplimiento de la normativa o las clases únicas no pueden seguir el ritmo ni proporcionar el tipo de educación que necesitan los desarrolladores. Puede marcar una casilla en términos de cumplimiento, pero no puede proporcionar garantías reales de seguridad de las aplicaciones para su organización o permitir a los desarrolladores escribir código seguro, o las habilidades para encontrar y corregir las vulnerabilidades del código.
El cumplimiento y la formación en seguridad son importantes, pero diferentes
Las organizaciones deben empezar a darse cuenta y reconocer lo que la formación en materia de cumplimiento puede hacer, y lo que no. No abandone la formación en materia de cumplimiento, especialmente si es obligatoria por ley. Y sobre todo porque (incluso con los métodos de formación actuales) el 92% de los encuestados declaró que necesitaba al menos algo de formación en cuestiones relacionadas con el cumplimiento o los marcos de seguridad, y el 50% subrayó la necesidad de una formación importante en materia de cumplimiento.
Entre los marcos de cumplimiento que más les interesan para formarse están los específicos de varios sectores, aunque también figuran en la lista varios marcos generales de ciberseguridad. Entre ellos se encuentran el Marco de Seguridad CIS, PCI DSS, el OWASP Top 10, MISRA C, ISO/IEC, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y otros.
Así que sí, forme en esos marcos, pero entienda que marcar una casilla en la formación de cumplimiento no equivale a proporcionar una base para la creación continua de código seguro.
En su lugar, considere la formación en materia de cumplimiento como parte de una oportunidad continua para ampliar las habilidades de codificación segura de sus desarrolladores, que pueden repetirse fuera del ciclo de cumplimiento, de modo que puedan crear y publicar software seguro todos los días. Cambie la prioridad de lograr el cumplimiento a permitir que los equipos de desarrollo codifiquen de forma segura con un aprendizaje continuo. Si invierte tiempo y recursos en la capacitación de los desarrolladores, los ejercicios o exámenes anuales de cumplimiento se convertirán en un juego de niños para que su personal los apruebe y los complete, mientras se beneficia de una mayor productividad en general.
¿Cómo se puede dar el paso a la seguridad impulsada por los desarrolladores?
Los desarrolladores afirmaron mayoritariamente que la formación era valiosa, pero se mostraron disconformes con el tipo de formación que han recibido en materia de codificación segura a lo largo de los años. Los desarrolladores dijeron que querían que se hiciera más hincapié en la formación práctica con ejemplos del mundo real que fueran relevantes para sus trabajos (30%). El 26% de los encuestados también considera que es fundamental una mayor interactividad, especialmente si pueden practicar la escritura de código seguro como parte de esos ejercicios.
El 23% de los desarrolladores encuestados consideró importante recibir una formación más guiada, centrada en las vulnerabilidades específicas con las que era más probable que se encontraran en su industria o sector, mientras que el 22% quería ver más ejemplos de vulnerabilidades del mundo real en su formación courses.
Está claro que limitarse a impartir una formación estática y no interactiva (que suele ser la experiencia de la formación en materia de cumplimiento) tiene poco valor en términos de habilidades de seguridad repetibles para los desarrolladores. En su lugar, las organizaciones deberían centrarse en cosas como la formación "justo a tiempo", en la que se enseña a los desarrolladores sobre seguridad a medida que trabajan. Incluso se podría considerar la posibilidad de implementar un programa de aprendizaje por niveles.
Con un enfoque escalonado, los temas más amplios suelen dividirse en experiencias de aprendizaje o conceptos discretos. A medida que los desarrolladores progresan, los conceptos más avanzados se superponen a los que ya dominan, al igual que se construye un andamiaje físico a medida que un edificio crece. Se trata de un método probado para enseñar un tema difícil y en constante evolución como la ciberseguridad, dividiéndolo primero en trozos más pequeños y menos complejos y luego construyendo más complejidad sobre esa base.
Sea cual sea el enfoque que le dé a su programa de habilidades de seguridad para desarrolladores, será clave mantenerlo separado de los ejercicios de cumplimiento. Tanto el cumplimiento como la formación en seguridad son importantes, y ambos requieren enfoques diferentes para lograr el éxito.
Para más información
Libro blanco: Los retos (y oportunidades) para mejorar la seguridad del software.
Libro blanco: El enfoque preventivo de los desarrolladores sobre la seguridad del software.
Informe: El estado de la seguridad impulsada por los desarrolladores.
Hoy en día, casi todos los equipos de desarrollo emplean algún tipo de formación en materia de cumplimiento normativo, ya sea como parte de un proceso de certificación inicial utilizado para garantizar que una empresa se mantiene dentro de los límites de los marcos del sector o de la normativa gubernamental, o como parte de un requisito o revisión anual. Es un paso importante, porque si una organización no puede cumplir los requisitos básicos de cumplimiento, sus trabajadores no pueden desempeñar sus funciones de forma realista.
Las normas de cumplimiento existen por una razón, porque cualquier persona que trabaje en el campo que cubren esas normas debe tener al menos una comprensión fundamental de todos los procesos y procedimientos pertinentes, así como de cualquier ley aplicable.
Aunque la formación en materia de cumplimiento es importante, completar los requisitos mínimos obligatorios no garantiza la verdadera seguridad de las aplicaciones. Esto es especialmente cierto para los desarrolladores que intentan integrar las habilidades de codificación segura en su flujo de trabajo diario. Casi todos los desarrolladores reciben algún tipo de formación sobre el cumplimiento de la normativa y, sin embargo, cuando se les encuestó, el 67% admitió que a menudo dejaban vulnerabilidades en su código.
¿Por qué?
Por segundo año, Secure Code Warrior realizó la encuesta "The state of developer-driven security survey, 2022" en colaboración con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para conocer las habilidades, percepciones y comportamientos en lo que respecta a las prácticas de codificación segura, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
En cuanto a las razones por las que la formación sobre el cumplimiento de la normativa no consigue mejorar la seguridad de los programas informáticos, es una cuestión de la que llevamos hablando mucho tiempo. La reciente encuesta simplemente pone de manifiesto este problema.
Por un lado, se pide a los desarrolladores que asuman nuevas funciones incluyendo la ciberseguridad en todo el proceso de desarrollo de software, incluso cuando escriben inicialmente el código de las aplicaciones y programas. Pero escribir código seguro, o incluso simplemente aprender todo sobre los problemas de ciberseguridad y las vulnerabilidades que podrían afectarlo, no es una tarea fácil.En la encuesta, el 63% de los desarrolladores dijo que escribir código seguro era una tarea difícil.
La dificultad de escribir código seguro no debería ser una sorpresa. Hay una razón por la que tantos puestos de trabajo de ciberseguridad bien pagados no se cubren, con más de 3,5 millones de vacantes en todo el mundo según el último recuento. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades dentro del código es difícil, y el panorama de las amenazas cambia constantemente. La formación estática sobre el cumplimiento de la normativa o las clases únicas no pueden seguir el ritmo ni proporcionar el tipo de educación que necesitan los desarrolladores. Puede marcar una casilla en términos de cumplimiento, pero no puede proporcionar garantías reales de seguridad de las aplicaciones para su organización o permitir a los desarrolladores escribir código seguro, o las habilidades para encontrar y corregir las vulnerabilidades del código.
El cumplimiento y la formación en seguridad son importantes, pero diferentes
Las organizaciones deben empezar a darse cuenta y reconocer lo que la formación en materia de cumplimiento puede hacer, y lo que no. No abandone la formación en materia de cumplimiento, especialmente si es obligatoria por ley. Y sobre todo porque (incluso con los métodos de formación actuales) el 92% de los encuestados declaró que necesitaba al menos algo de formación en cuestiones relacionadas con el cumplimiento o los marcos de seguridad, y el 50% subrayó la necesidad de una formación importante en materia de cumplimiento.
Entre los marcos de cumplimiento que más les interesan para formarse están los específicos de varios sectores, aunque también figuran en la lista varios marcos generales de ciberseguridad. Entre ellos se encuentran el Marco de Seguridad CIS, PCI DSS, el OWASP Top 10, MISRA C, ISO/IEC, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y otros.
Así que sí, forme en esos marcos, pero entienda que marcar una casilla en la formación de cumplimiento no equivale a proporcionar una base para la creación continua de código seguro.
En su lugar, considere la formación en materia de cumplimiento como parte de una oportunidad continua para ampliar las habilidades de codificación segura de sus desarrolladores, que pueden repetirse fuera del ciclo de cumplimiento, de modo que puedan crear y publicar software seguro todos los días. Cambie la prioridad de lograr el cumplimiento a permitir que los equipos de desarrollo codifiquen de forma segura con un aprendizaje continuo. Si invierte tiempo y recursos en la capacitación de los desarrolladores, los ejercicios o exámenes anuales de cumplimiento se convertirán en un juego de niños para que su personal los apruebe y los complete, mientras se beneficia de una mayor productividad en general.
¿Cómo se puede dar el paso a la seguridad impulsada por los desarrolladores?
Los desarrolladores afirmaron mayoritariamente que la formación era valiosa, pero se mostraron disconformes con el tipo de formación que han recibido en materia de codificación segura a lo largo de los años. Los desarrolladores dijeron que querían que se hiciera más hincapié en la formación práctica con ejemplos del mundo real que fueran relevantes para sus trabajos (30%). El 26% de los encuestados también considera que es fundamental una mayor interactividad, especialmente si pueden practicar la escritura de código seguro como parte de esos ejercicios.
El 23% de los desarrolladores encuestados consideró importante recibir una formación más guiada, centrada en las vulnerabilidades específicas con las que era más probable que se encontraran en su industria o sector, mientras que el 22% quería ver más ejemplos de vulnerabilidades del mundo real en su formación courses.
Está claro que limitarse a impartir una formación estática y no interactiva (que suele ser la experiencia de la formación en materia de cumplimiento) tiene poco valor en términos de habilidades de seguridad repetibles para los desarrolladores. En su lugar, las organizaciones deberían centrarse en cosas como la formación "justo a tiempo", en la que se enseña a los desarrolladores sobre seguridad a medida que trabajan. Incluso se podría considerar la posibilidad de implementar un programa de aprendizaje por niveles.
Con un enfoque escalonado, los temas más amplios suelen dividirse en experiencias de aprendizaje o conceptos discretos. A medida que los desarrolladores progresan, los conceptos más avanzados se superponen a los que ya dominan, al igual que se construye un andamiaje físico a medida que un edificio crece. Se trata de un método probado para enseñar un tema difícil y en constante evolución como la ciberseguridad, dividiéndolo primero en trozos más pequeños y menos complejos y luego construyendo más complejidad sobre esa base.
Sea cual sea el enfoque que le dé a su programa de habilidades de seguridad para desarrolladores, será clave mantenerlo separado de los ejercicios de cumplimiento. Tanto el cumplimiento como la formación en seguridad son importantes, y ambos requieren enfoques diferentes para lograr el éxito.
Para más información
Libro blanco: Los retos (y oportunidades) para mejorar la seguridad del software.
Libro blanco: El enfoque preventivo de los desarrolladores sobre la seguridad del software.
Informe: El estado de la seguridad impulsada por los desarrolladores.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
Hoy en día, casi todos los equipos de desarrollo emplean algún tipo de formación en materia de cumplimiento normativo, ya sea como parte de un proceso de certificación inicial utilizado para garantizar que una empresa se mantiene dentro de los límites de los marcos del sector o de la normativa gubernamental, o como parte de un requisito o revisión anual. Es un paso importante, porque si una organización no puede cumplir los requisitos básicos de cumplimiento, sus trabajadores no pueden desempeñar sus funciones de forma realista.
Las normas de cumplimiento existen por una razón, porque cualquier persona que trabaje en el campo que cubren esas normas debe tener al menos una comprensión fundamental de todos los procesos y procedimientos pertinentes, así como de cualquier ley aplicable.
Aunque la formación en materia de cumplimiento es importante, completar los requisitos mínimos obligatorios no garantiza la verdadera seguridad de las aplicaciones. Esto es especialmente cierto para los desarrolladores que intentan integrar las habilidades de codificación segura en su flujo de trabajo diario. Casi todos los desarrolladores reciben algún tipo de formación sobre el cumplimiento de la normativa y, sin embargo, cuando se les encuestó, el 67% admitió que a menudo dejaban vulnerabilidades en su código.
¿Por qué?
Por segundo año, Secure Code Warrior realizó la encuesta "The state of developer-driven security survey, 2022" en colaboración con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para conocer las habilidades, percepciones y comportamientos en lo que respecta a las prácticas de codificación segura, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
En cuanto a las razones por las que la formación sobre el cumplimiento de la normativa no consigue mejorar la seguridad de los programas informáticos, es una cuestión de la que llevamos hablando mucho tiempo. La reciente encuesta simplemente pone de manifiesto este problema.
Por un lado, se pide a los desarrolladores que asuman nuevas funciones incluyendo la ciberseguridad en todo el proceso de desarrollo de software, incluso cuando escriben inicialmente el código de las aplicaciones y programas. Pero escribir código seguro, o incluso simplemente aprender todo sobre los problemas de ciberseguridad y las vulnerabilidades que podrían afectarlo, no es una tarea fácil.En la encuesta, el 63% de los desarrolladores dijo que escribir código seguro era una tarea difícil.
La dificultad de escribir código seguro no debería ser una sorpresa. Hay una razón por la que tantos puestos de trabajo de ciberseguridad bien pagados no se cubren, con más de 3,5 millones de vacantes en todo el mundo según el último recuento. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades dentro del código es difícil, y el panorama de las amenazas cambia constantemente. La formación estática sobre el cumplimiento de la normativa o las clases únicas no pueden seguir el ritmo ni proporcionar el tipo de educación que necesitan los desarrolladores. Puede marcar una casilla en términos de cumplimiento, pero no puede proporcionar garantías reales de seguridad de las aplicaciones para su organización o permitir a los desarrolladores escribir código seguro, o las habilidades para encontrar y corregir las vulnerabilidades del código.
El cumplimiento y la formación en seguridad son importantes, pero diferentes
Las organizaciones deben empezar a darse cuenta y reconocer lo que la formación en materia de cumplimiento puede hacer, y lo que no. No abandone la formación en materia de cumplimiento, especialmente si es obligatoria por ley. Y sobre todo porque (incluso con los métodos de formación actuales) el 92% de los encuestados declaró que necesitaba al menos algo de formación en cuestiones relacionadas con el cumplimiento o los marcos de seguridad, y el 50% subrayó la necesidad de una formación importante en materia de cumplimiento.
Entre los marcos de cumplimiento que más les interesan para formarse están los específicos de varios sectores, aunque también figuran en la lista varios marcos generales de ciberseguridad. Entre ellos se encuentran el Marco de Seguridad CIS, PCI DSS, el OWASP Top 10, MISRA C, ISO/IEC, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y otros.
Así que sí, forme en esos marcos, pero entienda que marcar una casilla en la formación de cumplimiento no equivale a proporcionar una base para la creación continua de código seguro.
En su lugar, considere la formación en materia de cumplimiento como parte de una oportunidad continua para ampliar las habilidades de codificación segura de sus desarrolladores, que pueden repetirse fuera del ciclo de cumplimiento, de modo que puedan crear y publicar software seguro todos los días. Cambie la prioridad de lograr el cumplimiento a permitir que los equipos de desarrollo codifiquen de forma segura con un aprendizaje continuo. Si invierte tiempo y recursos en la capacitación de los desarrolladores, los ejercicios o exámenes anuales de cumplimiento se convertirán en un juego de niños para que su personal los apruebe y los complete, mientras se beneficia de una mayor productividad en general.
¿Cómo se puede dar el paso a la seguridad impulsada por los desarrolladores?
Los desarrolladores afirmaron mayoritariamente que la formación era valiosa, pero se mostraron disconformes con el tipo de formación que han recibido en materia de codificación segura a lo largo de los años. Los desarrolladores dijeron que querían que se hiciera más hincapié en la formación práctica con ejemplos del mundo real que fueran relevantes para sus trabajos (30%). El 26% de los encuestados también considera que es fundamental una mayor interactividad, especialmente si pueden practicar la escritura de código seguro como parte de esos ejercicios.
El 23% de los desarrolladores encuestados consideró importante recibir una formación más guiada, centrada en las vulnerabilidades específicas con las que era más probable que se encontraran en su industria o sector, mientras que el 22% quería ver más ejemplos de vulnerabilidades del mundo real en su formación courses.
Está claro que limitarse a impartir una formación estática y no interactiva (que suele ser la experiencia de la formación en materia de cumplimiento) tiene poco valor en términos de habilidades de seguridad repetibles para los desarrolladores. En su lugar, las organizaciones deberían centrarse en cosas como la formación "justo a tiempo", en la que se enseña a los desarrolladores sobre seguridad a medida que trabajan. Incluso se podría considerar la posibilidad de implementar un programa de aprendizaje por niveles.
Con un enfoque escalonado, los temas más amplios suelen dividirse en experiencias de aprendizaje o conceptos discretos. A medida que los desarrolladores progresan, los conceptos más avanzados se superponen a los que ya dominan, al igual que se construye un andamiaje físico a medida que un edificio crece. Se trata de un método probado para enseñar un tema difícil y en constante evolución como la ciberseguridad, dividiéndolo primero en trozos más pequeños y menos complejos y luego construyendo más complejidad sobre esa base.
Sea cual sea el enfoque que le dé a su programa de habilidades de seguridad para desarrolladores, será clave mantenerlo separado de los ejercicios de cumplimiento. Tanto el cumplimiento como la formación en seguridad son importantes, y ambos requieren enfoques diferentes para lograr el éxito.
Para más información
Libro blanco: Los retos (y oportunidades) para mejorar la seguridad del software.
Libro blanco: El enfoque preventivo de los desarrolladores sobre la seguridad del software.
Informe: El estado de la seguridad impulsada por los desarrolladores.
Índice
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Temas y contenidos de la formación sobre código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Temas que cubren todo, desde IA a XQuery Injection, ofrecidos para una variedad de roles desde Arquitectos e Ingenieros a Product Managers y QA. Eche un vistazo a lo que ofrece nuestro catálogo de contenidos por tema y función.
Búsqueda: Aprendizaje líder en la industria para mantener a los desarrolladores por delante mitigando el riesgo.
Quests es una learning platform que ayuda a los desarrolladores a mitigar los riesgos de seguridad del software mediante la mejora de sus habilidades de codificación segura. Con rutas de aprendizaje curadas, desafíos prácticos y actividades interactivas, capacita a los desarrolladores para identificar y prevenir vulnerabilidades.
Recursos para empezar
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
La Década de los Defensores: Secure Code Warrior Cumple Diez Años
Secure Code Warriorha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
