Da la sensación de que el "cumplimiento de la ciberseguridad" es una tendencia desde hace años, con un sinfín de artículos, iniciativas y comités que debaten sobre la mejor manera de afrontar la enorme bestia de múltiples amenazas que es la ciberdelincuencia.

El problema es que no parece que hayamos avanzado tanto. A nivel mundial, el coste de las filtraciones de datos ha aumentado constantemente, un 12% en cinco años para establecerse en aproximadamente 3,92 millones de dólares por filtración en 2019. A medida que nuestro uso de Internet se disparó en tan solo un par de décadas, muchas empresas simplemente se vieron obligadas a luchar sin armadura mientras se conectaban rápidamente, se establecían y lidiaban con las consecuencias de un software inseguro, recursos limitados de AppSec y, en algunos casos, el abuso de la confianza de los clientes.

Hoy en día, somos irrefutablemente más maduros. Comprendemos y debatimos ampliamente el alcance de la amenaza, las empresas son muy conscientes del impacto que un ciberataque puede tener en la opinión de los clientes, su reputación y sus resultados, y muchos lugares buscan activamente mejorar la seguridad del software a través de la formación en materia de cumplimiento, la contratación de personal cualificado y, cada vez más, las iniciativas de DevSecOps. A pesar de estos enormes saltos, no estamos ganando la lucha, ni siquiera cerca. Se han robado al menos cuatro mil millones de registros en violaciones de datos solo en 2019.

Un ingrediente que faltaba ha sido un goteo algo lento (a nivel gubernamental) sobre las normas de ciberseguridad, las expectativas y las consecuencias de una violación. La llegada del GDPR ha hecho que algunas cabezas empiecen a rodar, al menos en Europa, pero muchos organismos gubernamentales solo se están poniendo al día ahora, y la repentina necesidad de acatar rápidamente las iniciativas de cumplimiento recién florecidas podría tener algunos efectos no deseados en el futuro.

Los tontos se precipitan (a la formación equivocada)

Las sólidas directrices del NIST, la nueva normativa del Estado de Nueva York y la creación del Consejo de Ciberseguridad del Reino Unido han sido victorias monumentales para los que luchan por mantener nuestros datos seguros. Reconocen los problemas en el desarrollo de software actual y toman medidas para orientar a las organizaciones sobre las normas que deben cumplir ahora para ser consideradas éticas y conformes, en términos de mejores prácticas de seguridad.

Lamentablemente, en este momento, algunos de los elementos más importantes están demasiado abiertos a la interpretación. Por ejemplo, uno de los mandatos de la legislación del Consejo de Ciberseguridad del Reino Unido es:

"Crear una lista definida de certificaciones y un marco fácil de entender sobre cómo se relacionan entre sí y qué capacidades transmiten, basándose en el trabajo de itinerarios profesionales ya realizado".

Aunque sus iniciativas sin duda mejorarán y crecerán con el tiempo, si las organizaciones ya están pulsando el botón del pánico y saltando a la formación ahora, podrían encontrarse mal equipadas para el futuro.

Las exigencias de ciberseguridad de una organización cambian rápidamente, y es poco probable que las soluciones de formación estática frenen el flujo de software inseguro al ritmo necesario. El panorama cambia más rápido de lo que un curso tradicional puede actualizar, lo que puede hacer que algunos lugares caigan en la trampa del ejercicio de cumplimiento de "marcar la casilla"; los desarrolladores, contratistas y otros profesionales de la seguridad no reciben la formación adecuada, y volvemos a ser blancos fáciles.

La formación estática y las herramientas estáticas sufren los mismos problemas

Las herramientas de análisis estático son una parte integral del SDLC, haciendo su trabajo como caballos de batalla para los escasos y sobrecargados especialistas de AppSec que se encuentran en la mayoría de las grandes organizaciones. Hacen un buen trabajo, pero hay un defecto: ninguna herramienta puede escanear todas las vulnerabilidades, soportando la enorme gama de marcos de programación existentes. También es un proceso lento, y basta con que un solo fallo de seguridad se cuele entre las grietas para dejar una puerta abierta a un atacante.

En el caso de la formación estática, existe un problema similar. Si los desarrolladores reciben la formación en seguridad como un curso rígido, "de una sola vez", es muy poco probable que se haya mantenido al día con los problemas de seguridad más prevalentes en ese período de tiempo. Sirve como una instantánea del momento en que se escribió, y rara vez se revisa lo suficiente, se imparte en el lenguaje y el marco de trabajo preferidos por el estudiante, ni es contextual a las vulnerabilidades a las que probablemente se enfrenten en su trabajo diario. Imagina que intentas recordar una pieza de información relevante de un vídeo que viste hace meses, mientras intentas cumplir con los plazos de entrega y sacar el código por la puerta... es poco probable que suceda.

Los métodos tradicionales de educación están siendo reevaluados en muchas industrias, pero cuando se trata de la formación en seguridad para desarrolladores, sólo hay que ver el gran volumen de violaciones de datos que todavía experimentamos (especialmente aquellas que pueden ser atribuidas a vulnerabilidades que hemos sabido evitar en la codificación durante décadas, como la inyección SQL) para darse cuenta de que debemos intentar una manera diferente.

Necesitamos una formación que vaya más allá de los límites de un curso único y lineal, que pueda flexibilizarse y adaptarse a las necesidades siempre cambiantes de las mejores prácticas de ciberseguridad.

Entrenamiento dinámico: el estándar de oro

Al ofrecer a los desarrolladores una solución de formación dinámica, que puede adaptarse rápidamente a la empresa, al nivel de habilidad individual y a los movimientos generales de la industria, les está proporcionando la mejor base para codificar de forma segura, manteniendo la seguridad en primer plano y actuando con una mentalidad consciente de la seguridad.

Una formación única, que nunca se revisa y que no es atractiva en primer lugar, será una completa pérdida de tiempo y, por desgracia, eso significa que podría acabar comprando por impulso un programa ineficaz en aras del cumplimiento. Podría quedar obsoleto antes de que lo ponga en marcha, o apenas se puede relacionar con las necesidades de su trabajo diario.

La formación dinámica es una herramienta viva, que se actualiza constantemente, que se adapta a las necesidades cotidianas, que involucra a los usuarios con el pensamiento crítico y que realmente les permite aprender habilidades y solucionar problemas.

Entonces, ¿cómo es un programa de formación dinámico en un contexto de seguridad?

Lo será:

• En trozos: Los desarrolladores pueden aprender habilidades en trozos manejables que son mucho más fáciles de recordar (y, lo que es más importante, de aplicar) que los largos mazos de formación y los vídeos
• Es relevante: ¿De qué sirve una formación genérica en materia de seguridad en la que los ejemplos están en, por ejemplo, C#, cuando el desarrollador codifica principalmente en Java? Cualquier formación debería aplicarse directamente a su función, permitiéndoles ver lo que deben encontrar y corregir (e, idealmente, evitar en primer lugar) mientras codifican.
• Actual: Esto parece obvio, pero a menudo no lo es. El panorama de la ciberseguridad cambia constantemente, y con más código viene más responsabilidad. Para que los desarrolladores sean su primera línea de defensa, necesitan una formación que se mantenga al día con las mejores prácticas de seguridad modernas.
• Atractivo: No es ningún secreto que los desarrolladores pueden encontrar la "seguridad" como una tarea, especialmente si interfiere con su flujo creativo. La formación adecuada les mostrará el poder que tienen en la resolución de problemas de seguridad cotidianos que pueden convertirse en grandes riesgos, creando una cultura de responsabilidad y conciencia de seguridad.
• Divertido: La formación dinámica rara vez es aburrida; se supone que debe ser al menos algo emocionante por su diseño. Piensa en lo que les gusta a los desarrolladores: resolver problemas, competir con sus compañeros y, como a muchos de nosotros en el trabajo, las recompensas y el reconocimiento. Aproveche sus puntos fuertes y concéntrese en obtener los mejores resultados.

Es un momento emocionante para ser ingeniero de software; desempeñan un papel integral en la innovación digital, ayudan a crear empresas increíbles e incluso toman el mundo por sorpresa con sus propias creaciones. Sin embargo, ahora que los organismos gubernamentales y las grandes empresas son conscientes del papel que deben desempeñar en el establecimiento de normas de seguridad del software, es importante apoyarlos con soluciones de formación eficaces y dinámicas que fomenten el amor por la codificación segura, y no un ejercicio burocrático de marcar casillas.