Blog

Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores

Doctor Matias Madou
Publicado el 22 de octubre de 2024

Con unas amenazas cibernéticas cada vez más frecuentes y sofisticadas, la atención de la ciberseguridad se centra en la importancia del código seguro. La Estrategia Nacional de Ciberseguridad de la Casa Blanca y la iniciativa Secure-by-Design de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), junto con las iniciativas y la legislación de otros países, ponen la responsabilidad de la seguridad directamente sobre el hombro de los productores de software. Cambiar a la izquierda -o más exactamente, empezar por la izquierda- para garantizar la seguridad en una fase temprana del ciclo de vida de desarrollo de software (SDLC), que antes se consideraba algo agradable de tener, es ahora esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas tras una infracción.

La clave para garantizar unas prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna formación en ciberseguridad. Su trabajo, especialmente en el entorno acelerado de DevOps de hoy en día, ha consistido en crear nuevas aplicaciones, actualizaciones y servicios lo más rápidamente posible -cada vez más con la ayuda de modelos generativos de IA de rápido funcionamiento- y dejar que los equipos de seguridad se ocupen de los problemas de ciberseguridad en algún momento posterior del SDLC. Esta es una forma ineficaz de abordar la plétora de fallos que surgen con la creación de tanto código, lo que a menudo da lugar a que se liberen vulnerabilidades de software en el ecosistema.

Los desarrolladores deben recibir formación para escribir código seguro desde el principio y ser capaces de detectar el código inseguro generado por la IA o cuando está presente en el software de código abierto y de terceros que utilizan. Para muchos equipos de desarrollo y organizaciones, este es un territorio desconocido. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y se aplica esa formación con regularidad?

Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto de competencias de referencia que los desarrolladores deben adquirir y medir su progreso en función de unos puntos de referencia claramente definidos. Para ayudar en este esfuerzo, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en la formación en seguridad. El SCW Trust Score permite a las organizaciones medir hasta qué punto se está aplicando la formación en el trabajo y facilita la colaboración entre los equipos de seguridad, desarrollo e ingeniería.

Es una forma de comprobar que la formación en código seguro está arraigando, al tiempo que se identifican las áreas susceptibles de mejora.

Razones para un diseño seguro

Los productores de software tienen motivos de sobra para introducir la seguridad en el SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo ha demostrado ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también da lugar inevitablemente a que se libere software con errores. Cuanto más código se genera, más fallos hay, y un estudio reciente ha descubierto que casi tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos un fallo de seguridad, y casi el 20% de ellos se consideran críticos. 

Ponerse al día con las vulnerabilidades más tarde en el SDLC se está convirtiendo en algo prohibitivamente lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha descubierto que corregir los defectos durante las pruebas lleva 15 veces más tiempo que asegurar el software al principio del SDLC, y corregirlos durante la fase de despliegue/mantenimiento puede llevar de 30 a 100 veces más. 

Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, lo que ha demostrado ser no sólo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores -trabajando con equipos de seguridad en lugar de tenerlos funcionando como entidades separadas- están en la mejor posición para introducir la seguridad al principio del SDLC. Y los desarrolladores formados en las mejores prácticas de seguridad han sido eficaces a la hora de reducir las vulnerabilidades. El problema es que muy pocos de ellos han recibido formación.

La belleza de los puntos de referencia 

El camino básico para las empresas consiste en establecer una base de competencias en materia de seguridad, impartir formación y verificar, tanto ante las organizaciones como ante los organismos reguladores, que los desarrolladores han adquirido las competencias necesarias. Esto ha resultado difícil para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.

Uno de los retos a los que se enfrentan los responsables de seguridad es la dificultad de ampliar un programa de formación a toda la empresa. Pero la investigación de SCW muestra que las organizaciones, especialmente las que cuentan con grandes cuadros de desarrolladores, pueden aplicar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar una gran variación en la aplicación de los principios de diseño seguro. Aún así, también pueden beneficiarse de un enfoque que incluya Trust Scores, y probablemente mostrarán mejoras más rápidamente.

Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntuaciones para evaluar el rendimiento del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No sólo realiza un seguimiento de la formación, sino que muestra hasta qué punto los desarrolladores aplican sus nuevas habilidades en el día a día. También pone de relieve las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de formación. 

En todos los sectores de infraestructuras críticas de CISA para los que se disponía de datos, la mayoría de las organizaciones se encuentran más o menos al mismo nivel en la aplicación de principios de diseño seguro. Las puntuaciones de confianza de sectores que van desde los servicios financieros y la base industrial de defensa hasta la sanidad, las TI y la fabricación crítica se situaron en el mismo rango, un poco por encima de 300 en una escala de 1.000 puntos. Ningún sector supera a los demás, a pesar de la creencia generalizada de que los servicios financieros, al ser el más regulado, estarían muy por delante.

Los sectores de infraestructuras críticas no incluidos en la clasificación Trust Score -como las operaciones químicas, energéticas y nucleares- no suelen crear su propio software, sino que confían en otros sectores, especialmente en el de TI. Sin embargo, la importancia de mantener sistemas seguros dentro de estos sectores (nadie quiere ver comprometida una central nuclear) sólo demuestra lo esencial que es asegurar el software que utilizan en primer lugar.

Conclusión:

El aumento de la presión normativa y la realidad del panorama de las ciberamenazas han hecho imperativo un enfoque de seguridad desde el diseño para las organizaciones que desean proteger sus datos, sistemas, operaciones empresariales y reputación. En gran parte, la creación de software seguro está en manos de los desarrolladores, pero necesitan ayuda en forma de un programa de formación y actualización exhaustivo que les proporcione la educación que necesitan y les muestre cómo se aplica. 

Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan necesitan para garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro, al tiempo que cumplen los nuevos requisitos de Secure-by-Design.

Ver recurso
Ver recurso

La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.

¿Quiere saber más?

Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Reservar una demostración
Compartir en:
Autor
Doctor Matias Madou
Publicado el 22 de octubre de 2024

Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.

Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.

Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.

Compartir en:

Con unas amenazas cibernéticas cada vez más frecuentes y sofisticadas, la atención de la ciberseguridad se centra en la importancia del código seguro. La Estrategia Nacional de Ciberseguridad de la Casa Blanca y la iniciativa Secure-by-Design de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), junto con las iniciativas y la legislación de otros países, ponen la responsabilidad de la seguridad directamente sobre el hombro de los productores de software. Cambiar a la izquierda -o más exactamente, empezar por la izquierda- para garantizar la seguridad en una fase temprana del ciclo de vida de desarrollo de software (SDLC), que antes se consideraba algo agradable de tener, es ahora esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas tras una infracción.

La clave para garantizar unas prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna formación en ciberseguridad. Su trabajo, especialmente en el entorno acelerado de DevOps de hoy en día, ha consistido en crear nuevas aplicaciones, actualizaciones y servicios lo más rápidamente posible -cada vez más con la ayuda de modelos generativos de IA de rápido funcionamiento- y dejar que los equipos de seguridad se ocupen de los problemas de ciberseguridad en algún momento posterior del SDLC. Esta es una forma ineficaz de abordar la plétora de fallos que surgen con la creación de tanto código, lo que a menudo da lugar a que se liberen vulnerabilidades de software en el ecosistema.

Los desarrolladores deben recibir formación para escribir código seguro desde el principio y ser capaces de detectar el código inseguro generado por la IA o cuando está presente en el software de código abierto y de terceros que utilizan. Para muchos equipos de desarrollo y organizaciones, este es un territorio desconocido. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y se aplica esa formación con regularidad?

Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto de competencias de referencia que los desarrolladores deben adquirir y medir su progreso en función de unos puntos de referencia claramente definidos. Para ayudar en este esfuerzo, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en la formación en seguridad. El SCW Trust Score permite a las organizaciones medir hasta qué punto se está aplicando la formación en el trabajo y facilita la colaboración entre los equipos de seguridad, desarrollo e ingeniería.

Es una forma de comprobar que la formación en código seguro está arraigando, al tiempo que se identifican las áreas susceptibles de mejora.

Razones para un diseño seguro

Los productores de software tienen motivos de sobra para introducir la seguridad en el SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo ha demostrado ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también da lugar inevitablemente a que se libere software con errores. Cuanto más código se genera, más fallos hay, y un estudio reciente ha descubierto que casi tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos un fallo de seguridad, y casi el 20% de ellos se consideran críticos. 

Ponerse al día con las vulnerabilidades más tarde en el SDLC se está convirtiendo en algo prohibitivamente lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha descubierto que corregir los defectos durante las pruebas lleva 15 veces más tiempo que asegurar el software al principio del SDLC, y corregirlos durante la fase de despliegue/mantenimiento puede llevar de 30 a 100 veces más. 

Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, lo que ha demostrado ser no sólo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores -trabajando con equipos de seguridad en lugar de tenerlos funcionando como entidades separadas- están en la mejor posición para introducir la seguridad al principio del SDLC. Y los desarrolladores formados en las mejores prácticas de seguridad han sido eficaces a la hora de reducir las vulnerabilidades. El problema es que muy pocos de ellos han recibido formación.

La belleza de los puntos de referencia 

El camino básico para las empresas consiste en establecer una base de competencias en materia de seguridad, impartir formación y verificar, tanto ante las organizaciones como ante los organismos reguladores, que los desarrolladores han adquirido las competencias necesarias. Esto ha resultado difícil para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.

Uno de los retos a los que se enfrentan los responsables de seguridad es la dificultad de ampliar un programa de formación a toda la empresa. Pero la investigación de SCW muestra que las organizaciones, especialmente las que cuentan con grandes cuadros de desarrolladores, pueden aplicar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar una gran variación en la aplicación de los principios de diseño seguro. Aún así, también pueden beneficiarse de un enfoque que incluya Trust Scores, y probablemente mostrarán mejoras más rápidamente.

Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntuaciones para evaluar el rendimiento del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No sólo realiza un seguimiento de la formación, sino que muestra hasta qué punto los desarrolladores aplican sus nuevas habilidades en el día a día. También pone de relieve las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de formación. 

En todos los sectores de infraestructuras críticas de CISA para los que se disponía de datos, la mayoría de las organizaciones se encuentran más o menos al mismo nivel en la aplicación de principios de diseño seguro. Las puntuaciones de confianza de sectores que van desde los servicios financieros y la base industrial de defensa hasta la sanidad, las TI y la fabricación crítica se situaron en el mismo rango, un poco por encima de 300 en una escala de 1.000 puntos. Ningún sector supera a los demás, a pesar de la creencia generalizada de que los servicios financieros, al ser el más regulado, estarían muy por delante.

Los sectores de infraestructuras críticas no incluidos en la clasificación Trust Score -como las operaciones químicas, energéticas y nucleares- no suelen crear su propio software, sino que confían en otros sectores, especialmente en el de TI. Sin embargo, la importancia de mantener sistemas seguros dentro de estos sectores (nadie quiere ver comprometida una central nuclear) sólo demuestra lo esencial que es asegurar el software que utilizan en primer lugar.

Conclusión:

El aumento de la presión normativa y la realidad del panorama de las ciberamenazas han hecho imperativo un enfoque de seguridad desde el diseño para las organizaciones que desean proteger sus datos, sistemas, operaciones empresariales y reputación. En gran parte, la creación de software seguro está en manos de los desarrolladores, pero necesitan ayuda en forma de un programa de formación y actualización exhaustivo que les proporcione la educación que necesitan y les muestre cómo se aplica. 

Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan necesitan para garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro, al tiempo que cumplen los nuevos requisitos de Secure-by-Design.

Ver recurso
Ver recurso

Rellene el siguiente formulario para descargar el informe

Nos gustaría contar con su permiso para enviarle información sobre nuestros productos y/o temas relacionados con la codificación segura. Siempre trataremos sus datos personales con el máximo cuidado y nunca los venderemos a otras empresas con fines de marketing.

Enviar
Para enviar el formulario, habilite las cookies "Analytics". Siéntase libre de desactivarlas de nuevo una vez que haya terminado.

Con unas amenazas cibernéticas cada vez más frecuentes y sofisticadas, la atención de la ciberseguridad se centra en la importancia del código seguro. La Estrategia Nacional de Ciberseguridad de la Casa Blanca y la iniciativa Secure-by-Design de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), junto con las iniciativas y la legislación de otros países, ponen la responsabilidad de la seguridad directamente sobre el hombro de los productores de software. Cambiar a la izquierda -o más exactamente, empezar por la izquierda- para garantizar la seguridad en una fase temprana del ciclo de vida de desarrollo de software (SDLC), que antes se consideraba algo agradable de tener, es ahora esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas tras una infracción.

La clave para garantizar unas prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna formación en ciberseguridad. Su trabajo, especialmente en el entorno acelerado de DevOps de hoy en día, ha consistido en crear nuevas aplicaciones, actualizaciones y servicios lo más rápidamente posible -cada vez más con la ayuda de modelos generativos de IA de rápido funcionamiento- y dejar que los equipos de seguridad se ocupen de los problemas de ciberseguridad en algún momento posterior del SDLC. Esta es una forma ineficaz de abordar la plétora de fallos que surgen con la creación de tanto código, lo que a menudo da lugar a que se liberen vulnerabilidades de software en el ecosistema.

Los desarrolladores deben recibir formación para escribir código seguro desde el principio y ser capaces de detectar el código inseguro generado por la IA o cuando está presente en el software de código abierto y de terceros que utilizan. Para muchos equipos de desarrollo y organizaciones, este es un territorio desconocido. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y se aplica esa formación con regularidad?

Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto de competencias de referencia que los desarrolladores deben adquirir y medir su progreso en función de unos puntos de referencia claramente definidos. Para ayudar en este esfuerzo, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en la formación en seguridad. El SCW Trust Score permite a las organizaciones medir hasta qué punto se está aplicando la formación en el trabajo y facilita la colaboración entre los equipos de seguridad, desarrollo e ingeniería.

Es una forma de comprobar que la formación en código seguro está arraigando, al tiempo que se identifican las áreas susceptibles de mejora.

Razones para un diseño seguro

Los productores de software tienen motivos de sobra para introducir la seguridad en el SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo ha demostrado ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también da lugar inevitablemente a que se libere software con errores. Cuanto más código se genera, más fallos hay, y un estudio reciente ha descubierto que casi tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos un fallo de seguridad, y casi el 20% de ellos se consideran críticos. 

Ponerse al día con las vulnerabilidades más tarde en el SDLC se está convirtiendo en algo prohibitivamente lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha descubierto que corregir los defectos durante las pruebas lleva 15 veces más tiempo que asegurar el software al principio del SDLC, y corregirlos durante la fase de despliegue/mantenimiento puede llevar de 30 a 100 veces más. 

Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, lo que ha demostrado ser no sólo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores -trabajando con equipos de seguridad en lugar de tenerlos funcionando como entidades separadas- están en la mejor posición para introducir la seguridad al principio del SDLC. Y los desarrolladores formados en las mejores prácticas de seguridad han sido eficaces a la hora de reducir las vulnerabilidades. El problema es que muy pocos de ellos han recibido formación.

La belleza de los puntos de referencia 

El camino básico para las empresas consiste en establecer una base de competencias en materia de seguridad, impartir formación y verificar, tanto ante las organizaciones como ante los organismos reguladores, que los desarrolladores han adquirido las competencias necesarias. Esto ha resultado difícil para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.

Uno de los retos a los que se enfrentan los responsables de seguridad es la dificultad de ampliar un programa de formación a toda la empresa. Pero la investigación de SCW muestra que las organizaciones, especialmente las que cuentan con grandes cuadros de desarrolladores, pueden aplicar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar una gran variación en la aplicación de los principios de diseño seguro. Aún así, también pueden beneficiarse de un enfoque que incluya Trust Scores, y probablemente mostrarán mejoras más rápidamente.

Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntuaciones para evaluar el rendimiento del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No sólo realiza un seguimiento de la formación, sino que muestra hasta qué punto los desarrolladores aplican sus nuevas habilidades en el día a día. También pone de relieve las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de formación. 

En todos los sectores de infraestructuras críticas de CISA para los que se disponía de datos, la mayoría de las organizaciones se encuentran más o menos al mismo nivel en la aplicación de principios de diseño seguro. Las puntuaciones de confianza de sectores que van desde los servicios financieros y la base industrial de defensa hasta la sanidad, las TI y la fabricación crítica se situaron en el mismo rango, un poco por encima de 300 en una escala de 1.000 puntos. Ningún sector supera a los demás, a pesar de la creencia generalizada de que los servicios financieros, al ser el más regulado, estarían muy por delante.

Los sectores de infraestructuras críticas no incluidos en la clasificación Trust Score -como las operaciones químicas, energéticas y nucleares- no suelen crear su propio software, sino que confían en otros sectores, especialmente en el de TI. Sin embargo, la importancia de mantener sistemas seguros dentro de estos sectores (nadie quiere ver comprometida una central nuclear) sólo demuestra lo esencial que es asegurar el software que utilizan en primer lugar.

Conclusión:

El aumento de la presión normativa y la realidad del panorama de las ciberamenazas han hecho imperativo un enfoque de seguridad desde el diseño para las organizaciones que desean proteger sus datos, sistemas, operaciones empresariales y reputación. En gran parte, la creación de software seguro está en manos de los desarrolladores, pero necesitan ayuda en forma de un programa de formación y actualización exhaustivo que les proporcione la educación que necesitan y les muestre cómo se aplica. 

Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan necesitan para garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro, al tiempo que cumplen los nuevos requisitos de Secure-by-Design.

Acceso a recursos

Haga clic en el siguiente enlace y descargue el PDF de este recurso.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Ver el informeReservar una demostración
Descargar PDF
Ver recurso
Compartir en:
¿Quiere saber más?

Compartir en:
Autor
Doctor Matias Madou
Publicado el 22 de octubre de 2024

Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.

Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.

Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.

Compartir en:

Con unas amenazas cibernéticas cada vez más frecuentes y sofisticadas, la atención de la ciberseguridad se centra en la importancia del código seguro. La Estrategia Nacional de Ciberseguridad de la Casa Blanca y la iniciativa Secure-by-Design de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), junto con las iniciativas y la legislación de otros países, ponen la responsabilidad de la seguridad directamente sobre el hombro de los productores de software. Cambiar a la izquierda -o más exactamente, empezar por la izquierda- para garantizar la seguridad en una fase temprana del ciclo de vida de desarrollo de software (SDLC), que antes se consideraba algo agradable de tener, es ahora esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas tras una infracción.

La clave para garantizar unas prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna formación en ciberseguridad. Su trabajo, especialmente en el entorno acelerado de DevOps de hoy en día, ha consistido en crear nuevas aplicaciones, actualizaciones y servicios lo más rápidamente posible -cada vez más con la ayuda de modelos generativos de IA de rápido funcionamiento- y dejar que los equipos de seguridad se ocupen de los problemas de ciberseguridad en algún momento posterior del SDLC. Esta es una forma ineficaz de abordar la plétora de fallos que surgen con la creación de tanto código, lo que a menudo da lugar a que se liberen vulnerabilidades de software en el ecosistema.

Los desarrolladores deben recibir formación para escribir código seguro desde el principio y ser capaces de detectar el código inseguro generado por la IA o cuando está presente en el software de código abierto y de terceros que utilizan. Para muchos equipos de desarrollo y organizaciones, este es un territorio desconocido. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y se aplica esa formación con regularidad?

Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto de competencias de referencia que los desarrolladores deben adquirir y medir su progreso en función de unos puntos de referencia claramente definidos. Para ayudar en este esfuerzo, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en la formación en seguridad. El SCW Trust Score permite a las organizaciones medir hasta qué punto se está aplicando la formación en el trabajo y facilita la colaboración entre los equipos de seguridad, desarrollo e ingeniería.

Es una forma de comprobar que la formación en código seguro está arraigando, al tiempo que se identifican las áreas susceptibles de mejora.

Razones para un diseño seguro

Los productores de software tienen motivos de sobra para introducir la seguridad en el SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo ha demostrado ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también da lugar inevitablemente a que se libere software con errores. Cuanto más código se genera, más fallos hay, y un estudio reciente ha descubierto que casi tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos un fallo de seguridad, y casi el 20% de ellos se consideran críticos. 

Ponerse al día con las vulnerabilidades más tarde en el SDLC se está convirtiendo en algo prohibitivamente lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha descubierto que corregir los defectos durante las pruebas lleva 15 veces más tiempo que asegurar el software al principio del SDLC, y corregirlos durante la fase de despliegue/mantenimiento puede llevar de 30 a 100 veces más. 

Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, lo que ha demostrado ser no sólo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores -trabajando con equipos de seguridad en lugar de tenerlos funcionando como entidades separadas- están en la mejor posición para introducir la seguridad al principio del SDLC. Y los desarrolladores formados en las mejores prácticas de seguridad han sido eficaces a la hora de reducir las vulnerabilidades. El problema es que muy pocos de ellos han recibido formación.

La belleza de los puntos de referencia 

El camino básico para las empresas consiste en establecer una base de competencias en materia de seguridad, impartir formación y verificar, tanto ante las organizaciones como ante los organismos reguladores, que los desarrolladores han adquirido las competencias necesarias. Esto ha resultado difícil para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.

Uno de los retos a los que se enfrentan los responsables de seguridad es la dificultad de ampliar un programa de formación a toda la empresa. Pero la investigación de SCW muestra que las organizaciones, especialmente las que cuentan con grandes cuadros de desarrolladores, pueden aplicar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar una gran variación en la aplicación de los principios de diseño seguro. Aún así, también pueden beneficiarse de un enfoque que incluya Trust Scores, y probablemente mostrarán mejoras más rápidamente.

Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntuaciones para evaluar el rendimiento del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No sólo realiza un seguimiento de la formación, sino que muestra hasta qué punto los desarrolladores aplican sus nuevas habilidades en el día a día. También pone de relieve las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de formación. 

En todos los sectores de infraestructuras críticas de CISA para los que se disponía de datos, la mayoría de las organizaciones se encuentran más o menos al mismo nivel en la aplicación de principios de diseño seguro. Las puntuaciones de confianza de sectores que van desde los servicios financieros y la base industrial de defensa hasta la sanidad, las TI y la fabricación crítica se situaron en el mismo rango, un poco por encima de 300 en una escala de 1.000 puntos. Ningún sector supera a los demás, a pesar de la creencia generalizada de que los servicios financieros, al ser el más regulado, estarían muy por delante.

Los sectores de infraestructuras críticas no incluidos en la clasificación Trust Score -como las operaciones químicas, energéticas y nucleares- no suelen crear su propio software, sino que confían en otros sectores, especialmente en el de TI. Sin embargo, la importancia de mantener sistemas seguros dentro de estos sectores (nadie quiere ver comprometida una central nuclear) sólo demuestra lo esencial que es asegurar el software que utilizan en primer lugar.

Conclusión:

El aumento de la presión normativa y la realidad del panorama de las ciberamenazas han hecho imperativo un enfoque de seguridad desde el diseño para las organizaciones que desean proteger sus datos, sistemas, operaciones empresariales y reputación. En gran parte, la creación de software seguro está en manos de los desarrolladores, pero necesitan ayuda en forma de un programa de formación y actualización exhaustivo que les proporcione la educación que necesitan y les muestre cómo se aplica. 

Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan necesitan para garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro, al tiempo que cumplen los nuevos requisitos de Secure-by-Design.

Índice

Descargar PDF
Ver recurso
¿Quiere saber más?

Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Reservar una demostraciónDescargar
Compartir en:
Centro de recursos

Recursos para empezar

Más entradas
Centro de recursos

Recursos para empezar

Más entradas