La rentabilidad de la seguridad impulsada por los desarrolladores
La rentabilidad de la seguridad impulsada por los desarrolladores
El coste de un código deficiente
Los avances tecnológicos están facilitando más que nunca que los desarrolladores envíen código más rápido que nunca. Esto puede ser emocionante para la innovación, pero desalentador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costes de las herramientas adicionales, los programas de formación y la inversión en mejorar las cualificaciones de los desarrolladores puede parecer un "bien para tener" frente a una función empresarial crítica si se mantiene la velocidad del código que se envía.
Enviar código más rápido puede haber sido más fácil, pero desafortunadamente enviar código seguro no lo ha sido, dejando a las organizaciones vulnerables a más amenazas que nunca. El coste de la ciberdelincuencia es asombroso en todo el mundo y aumenta rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. De media, el coste de una filtración de datos es de 4,35 millones de dólares, que se reparten entre la pérdida de negocio de clientes actuales y potenciales, así como los recursos invertidos en la gestión de la detección, la escalada y la repetición del trabajo.
A pesar de estos costes astronómicos, más de la mitad de las organizaciones no exigen a los desarrolladores que realicen anualmente una formación formal sobre código seguro.
Todos los profesionales de la seguridad saben que, cuando se trata de encontrar y corregir vulnerabilidades, puede parecer que se está jugando a la ruleta. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay una oportunidad de mejora. La mayoría de las organizaciones descubren que cuando su capacidad de recuperación ante desastres o de copia de seguridad se pone a prueba, su enfoque de la seguridad no es tan sólido como pensaban. Si reforzar la resistencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva que se deja a sus desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. Un equipo de desarrolladores cualificado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir vulnerabilidades con rapidez es el medio más rentable de mitigar los riesgos.
Un concepto erróneo cuando se trata de la formación de los desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguros. Según Klaus Klaus Klinger, DevSec Awareness Evangelist de Allianz, "todo tiene que empezar en la cabeza de los directivos. Invertir en la formación de los desarrolladores no es una inversión perdida, sino una inversión en calidad, productividad y reputación de la empresa".
A menudo puede ser difícil cuantificar el retorno de la inversión en este ámbito, pero en última instancia lo que las organizaciones deberían plantearse es cómo su postura de seguridad les ayuda a reducir riesgos, racionalizar su enfoque y ahorrar tiempo y productividad a sus equipos de desarrolladores.
¿Cómo se puede cuantificar el retorno de la inversión en costes de ciberseguridad?
Cuando se trata de la rentabilidad de la inversión, es importante pensar en ella en dos marcos diferentes: el ahorro de costes que supone mitigar el riesgo frente al impacto de su formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o infracción hace que un sitio de comercio electrónico se vea obligado a estar fuera de línea durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de no solucionar el problema puede cuantificarse en la pérdida de ingresos durante la interrupción, el impacto de las credenciales robadas, la pérdida de confianza de los clientes (que se traduce en una reducción de las ventas a largo plazo) y la pérdida general de productividad mientras se soluciona el problema.
Esto se reduce realmente a un análisis de costes y beneficios. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que necesitan ser mantenidas o mejoradas.
La gente suele centrarse en los parámetros equivocados para determinar el éxito y el valor. Quizá deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en su lugar, medir el impacto del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, hay que crear objetivos mensurables. Esto comienza con la evaluación de los conocimientos de codificación seguros de sus desarrolladores y la comprensión de dónde necesitan aumentar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarle a tomar decisiones estratégicas sobre cómo crear programas de formación más ricos. Lo más importante es medir el impacto. Comience por observar el número de puntos débiles que se detectan en el ciclo de vida de desarrollo de software mediante análisis de código, recompensas por errores o pruebas de vulnerabilidad clásicas antes de iniciar el programa en cada equipo. Una de las formas más sencillas de saber que su programa de formación está teniendo el resultado deseado es midiendo la disminución de vulnerabilidades que se introducen en su base de código en general.
Principales preguntas para evaluar el retorno de la inversión:
1. ¿Estamos racionalizando nuestro enfoque?
¿Está lanzando más herramientas al problema o resolviéndolo en su raíz? Añadir más herramientas a su pila tecnológica crea un método de "queso suizo" para encontrar y solucionar vulnerabilidades. También aumentan los costes operativos con poco impacto en la fuente de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de su arsenal, no deberían ser su última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la reelaboración del código devuelto por AppSec puede suponer una importante pérdida de productividad. Reducir los simulacros de incendio facultando y permitiendo a los equipos de desarrolladores ser prácticos con su formación en código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y solucionar una vulnerabilidad puede ser como resolver un gran rompecabezas, que a veces puede llevar días, semanas o incluso meses en completarse con una solución sólida. Capacitar a los desarrolladores para que se encarguen de la corrección en origen permite a AppSec centrarse en la supervisión de riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
Enviar código rápidamente no siempre es bueno. Tomar atajos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deuda técnica. Pensar a corto plazo no es la solución. Uno puede mitigar el riesgo asegurando su código desde el principio, para que el problema no se agrave en el futuro.
Métricas de seguimiento recomendadas:
- Compromiso: ¿cuánto tiempo dedica a la formación y cómo participan los promotores? ¿Están completando courses, evaluaciones y participando en tournaments?
- Competencias: ¿cuáles son los puntos fuertes? ¿Qué aspectos necesita mejorar?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec le devuelve menos trabajo?
- Productividad: ¿cuánto tiempo se tarda en solucionar un problema? ¿Ha notado un aumento de la productividad o la velocidad con la reducción de la vulnerabilidad?
Crear valor desplazándose a la izquierda
Las infracciones y vulnerabilidades aumentan rápidamente cada año. Es importante empezar a construir de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: las personas, en lugar de gastar dinero en herramientas que sólo resuelven una parte del problema.
- Mejorar la eficiencia y la eficacia general limitando la repetición de tareas o las correcciones que normalmente identificaría AppSec una vez desplegado el código.
- Mitigar el riesgo y cumplir la normativa, evitando costosas multas, la pérdida de confianza de los clientes o, peor aún, el coste de una filtración de datos.
Evite el cortoplacismo y las soluciones rápidas. Sólo pueden generar deuda técnica y más costes en el futuro. Planifica a largo plazo aprovechando el poder de la mejora de las competencias y capacitando a tus desarrolladores para que sean tu mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y comprueba por ti mismo el impacto y el ahorro de costes.
¿Quiere saber más?
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Secure Code Warrior
Secure Code Warrior crea una cultura de desarrolladores orientados a la seguridad, dotándoles de las habilidades necesarias para codificar de forma segura. Nuestro buque insignia es Agile Learning Platform , que ofrece itinerarios basados en habilidades relevantes, prácticas en missions y herramientas contextuales para que los desarrolladores aprendan, desarrollen y apliquen rápidamente sus habilidades para escribir código seguro a gran velocidad.
Artículos relacionados que recomendamos
Artículos relacionados que recomendamos
Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.
Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.
Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores
Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.
La rentabilidad de la seguridad impulsada por los desarrolladores
El coste de un código deficiente
Los avances tecnológicos están facilitando más que nunca que los desarrolladores envíen código más rápido que nunca. Esto puede ser emocionante para la innovación, pero desalentador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costes de las herramientas adicionales, los programas de formación y la inversión en mejorar las cualificaciones de los desarrolladores puede parecer un "bien para tener" frente a una función empresarial crítica si se mantiene la velocidad del código que se envía.
Enviar código más rápido puede haber sido más fácil, pero desafortunadamente enviar código seguro no lo ha sido, dejando a las organizaciones vulnerables a más amenazas que nunca. El coste de la ciberdelincuencia es asombroso en todo el mundo y aumenta rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. De media, el coste de una filtración de datos es de 4,35 millones de dólares, que se reparten entre la pérdida de negocio de clientes actuales y potenciales, así como los recursos invertidos en la gestión de la detección, la escalada y la repetición del trabajo.
A pesar de estos costes astronómicos, más de la mitad de las organizaciones no exigen a los desarrolladores que realicen anualmente una formación formal sobre código seguro.
Todos los profesionales de la seguridad saben que, cuando se trata de encontrar y corregir vulnerabilidades, puede parecer que se está jugando a la ruleta. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay una oportunidad de mejora. La mayoría de las organizaciones descubren que cuando su capacidad de recuperación ante desastres o de copia de seguridad se pone a prueba, su enfoque de la seguridad no es tan sólido como pensaban. Si reforzar la resistencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva que se deja a sus desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. Un equipo de desarrolladores cualificado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir vulnerabilidades con rapidez es el medio más rentable de mitigar los riesgos.
Un concepto erróneo cuando se trata de la formación de los desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguros. Según Klaus Klaus Klinger, DevSec Awareness Evangelist de Allianz, "todo tiene que empezar en la cabeza de los directivos. Invertir en la formación de los desarrolladores no es una inversión perdida, sino una inversión en calidad, productividad y reputación de la empresa".
A menudo puede ser difícil cuantificar el retorno de la inversión en este ámbito, pero en última instancia lo que las organizaciones deberían plantearse es cómo su postura de seguridad les ayuda a reducir riesgos, racionalizar su enfoque y ahorrar tiempo y productividad a sus equipos de desarrolladores.
¿Cómo se puede cuantificar el retorno de la inversión en costes de ciberseguridad?
Cuando se trata de la rentabilidad de la inversión, es importante pensar en ella en dos marcos diferentes: el ahorro de costes que supone mitigar el riesgo frente al impacto de su formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o infracción hace que un sitio de comercio electrónico se vea obligado a estar fuera de línea durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de no solucionar el problema puede cuantificarse en la pérdida de ingresos durante la interrupción, el impacto de las credenciales robadas, la pérdida de confianza de los clientes (que se traduce en una reducción de las ventas a largo plazo) y la pérdida general de productividad mientras se soluciona el problema.
Esto se reduce realmente a un análisis de costes y beneficios. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que necesitan ser mantenidas o mejoradas.
La gente suele centrarse en los parámetros equivocados para determinar el éxito y el valor. Quizá deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en su lugar, medir el impacto del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, hay que crear objetivos mensurables. Esto comienza con la evaluación de los conocimientos de codificación seguros de sus desarrolladores y la comprensión de dónde necesitan aumentar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarle a tomar decisiones estratégicas sobre cómo crear programas de formación más ricos. Lo más importante es medir el impacto. Comience por observar el número de puntos débiles que se detectan en el ciclo de vida de desarrollo de software mediante análisis de código, recompensas por errores o pruebas de vulnerabilidad clásicas antes de iniciar el programa en cada equipo. Una de las formas más sencillas de saber que su programa de formación está teniendo el resultado deseado es midiendo la disminución de vulnerabilidades que se introducen en su base de código en general.
Principales preguntas para evaluar el retorno de la inversión:
1. ¿Estamos racionalizando nuestro enfoque?
¿Está lanzando más herramientas al problema o resolviéndolo en su raíz? Añadir más herramientas a su pila tecnológica crea un método de "queso suizo" para encontrar y solucionar vulnerabilidades. También aumentan los costes operativos con poco impacto en la fuente de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de su arsenal, no deberían ser su última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la reelaboración del código devuelto por AppSec puede suponer una importante pérdida de productividad. Reducir los simulacros de incendio facultando y permitiendo a los equipos de desarrolladores ser prácticos con su formación en código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y solucionar una vulnerabilidad puede ser como resolver un gran rompecabezas, que a veces puede llevar días, semanas o incluso meses en completarse con una solución sólida. Capacitar a los desarrolladores para que se encarguen de la corrección en origen permite a AppSec centrarse en la supervisión de riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
Enviar código rápidamente no siempre es bueno. Tomar atajos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deuda técnica. Pensar a corto plazo no es la solución. Uno puede mitigar el riesgo asegurando su código desde el principio, para que el problema no se agrave en el futuro.
Métricas de seguimiento recomendadas:
- Compromiso: ¿cuánto tiempo dedica a la formación y cómo participan los promotores? ¿Están completando courses, evaluaciones y participando en tournaments?
- Competencias: ¿cuáles son los puntos fuertes? ¿Qué aspectos necesita mejorar?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec le devuelve menos trabajo?
- Productividad: ¿cuánto tiempo se tarda en solucionar un problema? ¿Ha notado un aumento de la productividad o la velocidad con la reducción de la vulnerabilidad?
Crear valor desplazándose a la izquierda
Las infracciones y vulnerabilidades aumentan rápidamente cada año. Es importante empezar a construir de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: las personas, en lugar de gastar dinero en herramientas que sólo resuelven una parte del problema.
- Mejorar la eficiencia y la eficacia general limitando la repetición de tareas o las correcciones que normalmente identificaría AppSec una vez desplegado el código.
- Mitigar el riesgo y cumplir la normativa, evitando costosas multas, la pérdida de confianza de los clientes o, peor aún, el coste de una filtración de datos.
Evite el cortoplacismo y las soluciones rápidas. Sólo pueden generar deuda técnica y más costes en el futuro. Planifica a largo plazo aprovechando el poder de la mejora de las competencias y capacitando a tus desarrolladores para que sean tu mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y comprueba por ti mismo el impacto y el ahorro de costes.
