Gracias por descargarlo.
Más recursos
Blog

La rentabilidad de la seguridad impulsada por los desarrolladores

Secure Code Warrior
Publicado el 08 de diciembre de 2022
Formación para desarrolladores
Técnicas de codificación segura
Codificación segura
Botón de reproducción de vídeo.
Botón de reproducción de vídeo.

El coste de un código deficiente 

Los avances tecnológicos están facilitando más que nunca que los desarrolladores envíen código más rápido que nunca. Esto puede ser emocionante para la innovación, pero desalentador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costes de las herramientas adicionales, los programas de formación y la inversión en mejorar las cualificaciones de los desarrolladores puede parecer un "bien para tener" frente a una función empresarial crítica si se mantiene la velocidad del código que se envía.  

Enviar código más rápido puede haber sido más fácil, pero desafortunadamente enviar código seguro no lo ha sido, dejando a las organizaciones vulnerables a más amenazas que nunca. El coste de la ciberdelincuencia es asombroso en todo el mundo y aumenta rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. De media, el coste de una filtración de datos es de 4,35 millones de dólares, que se reparten entre la pérdida de negocio de clientes actuales y potenciales, así como los recursos invertidos en la gestión de la detección, la escalada y la repetición del trabajo. 

A pesar de estos costes astronómicos, más de la mitad de las organizaciones no exigen a los desarrolladores que realicen anualmente una formación formal sobre código seguro.

Todos los profesionales de la seguridad saben que, cuando se trata de encontrar y corregir vulnerabilidades, puede parecer que se está jugando a la ruleta. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay una oportunidad de mejora. La mayoría de las organizaciones descubren que cuando su capacidad de recuperación ante desastres o de copia de seguridad se pone a prueba, su enfoque de la seguridad no es tan sólido como pensaban. Si reforzar la resistencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva que se deja a sus desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. Un equipo de desarrolladores cualificado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir vulnerabilidades con rapidez es el medio más rentable de mitigar los riesgos.   

Un concepto erróneo cuando se trata de la formación de los desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguros. Según Klaus Klaus Klinger, DevSec Awareness Evangelist de Allianz, "todo tiene que empezar en la cabeza de los directivos. Invertir en la formación de los desarrolladores no es una inversión perdida, sino una inversión en calidad, productividad y reputación de la empresa".

A menudo puede ser difícil cuantificar el retorno de la inversión en este ámbito, pero en última instancia lo que las organizaciones deberían plantearse es cómo su postura de seguridad les ayuda a reducir riesgos, racionalizar su enfoque y ahorrar tiempo y productividad a sus equipos de desarrolladores. 

¿Cómo se puede cuantificar el retorno de la inversión en costes de ciberseguridad?

Cuando se trata de la rentabilidad de la inversión, es importante pensar en ella en dos marcos diferentes: el ahorro de costes que supone mitigar el riesgo frente al impacto de su formación en seguridad.

Consideremos este ejemplo demasiado común: una vulnerabilidad o infracción hace que un sitio de comercio electrónico se vea obligado a estar fuera de línea durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de no solucionar el problema puede cuantificarse en la pérdida de ingresos durante la interrupción, el impacto de las credenciales robadas, la pérdida de confianza de los clientes (que se traduce en una reducción de las ventas a largo plazo) y la pérdida general de productividad mientras se soluciona el problema. 

Esto se reduce realmente a un análisis de costes y beneficios. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que necesitan ser mantenidas o mejoradas.

La gente suele centrarse en los parámetros equivocados para determinar el éxito y el valor. Quizá deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en su lugar, medir el impacto del propio programa. 

Medida para demostrar el impacto

Para establecer el ROI, hay que crear objetivos mensurables. Esto comienza con la evaluación de los conocimientos de codificación seguros de sus desarrolladores y la comprensión de dónde necesitan aumentar sus habilidades. 

Un punto de partida sería medir el compromiso para ayudarle a tomar decisiones estratégicas sobre cómo crear programas de formación más ricos. Lo más importante es medir el impacto. Comience por observar el número de puntos débiles que se detectan en el ciclo de vida de desarrollo de software mediante análisis de código, recompensas por errores o pruebas de vulnerabilidad clásicas antes de iniciar el programa en cada equipo. Una de las formas más sencillas de saber que su programa de formación está teniendo el resultado deseado es midiendo la disminución de vulnerabilidades que se introducen en su base de código en general.

Principales preguntas para evaluar el retorno de la inversión:

1. ¿Estamos racionalizando nuestro enfoque?

¿Está lanzando más herramientas al problema o resolviéndolo en su raíz? Añadir más herramientas a su pila tecnológica crea un método de "queso suizo" para encontrar y solucionar vulnerabilidades. También aumentan los costes operativos con poco impacto en la fuente de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de su arsenal, no deberían ser su última línea de defensa.

2. ¿Estamos mejorando la eficiencia y la productividad?

El tiempo dedicado a revisiones exhaustivas del código y a la reelaboración del código devuelto por AppSec puede suponer una importante pérdida de productividad. Reducir los simulacros de incendio facultando y permitiendo a los equipos de desarrolladores ser prácticos con su formación en código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.

3. ¿Estamos reduciendo los riesgos?

Encontrar y solucionar una vulnerabilidad puede ser como resolver un gran rompecabezas, que a veces puede llevar días, semanas o incluso meses en completarse con una solución sólida. Capacitar a los desarrolladores para que se encarguen de la corrección en origen permite a AppSec centrarse en la supervisión de riesgos y en reforzar la postura de seguridad de la organización.

4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?

Enviar código rápidamente no siempre es bueno. Tomar atajos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deuda técnica. Pensar a corto plazo no es la solución. Uno puede mitigar el riesgo asegurando su código desde el principio, para que el problema no se agrave en el futuro.

Métricas de seguimiento recomendadas:  

  • Compromiso: ¿cuánto tiempo dedica a la formación y cómo participan los promotores? ¿Están completando courses, evaluaciones y participando en tournaments? 
  • Competencias: ¿cuáles son los puntos fuertes? ¿Qué aspectos necesita mejorar? 
  • Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec le devuelve menos trabajo? 
  • Productividad: ¿cuánto tiempo se tarda en solucionar un problema? ¿Ha notado un aumento de la productividad o la velocidad con la reducción de la vulnerabilidad? 


Crear valor desplazándose a la izquierda

Las infracciones y vulnerabilidades aumentan rápidamente cada año. Es importante empezar a construir de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a: 

  • Reduzca la complejidad invirtiendo en sus recursos más valiosos: las personas, en lugar de gastar dinero en herramientas que sólo resuelven una parte del problema. 
  • Mejorar la eficiencia y la eficacia general limitando la repetición de tareas o las correcciones que normalmente identificaría AppSec una vez desplegado el código. 
  • Mitigar el riesgo y cumplir la normativa, evitando costosas multas, la pérdida de confianza de los clientes o, peor aún, el coste de una filtración de datos. 

Evite el cortoplacismo y las soluciones rápidas. Sólo pueden generar deuda técnica y más costes en el futuro. Planifica a largo plazo aprovechando el poder de la mejora de las competencias y capacitando a tus desarrolladores para que sean tu mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y comprueba por ti mismo el impacto y el ahorro de costes.

pequeña planta que crece de una tierra de monedas
Aprenda cómo la inversión en seguridad impulsada por los desarrolladores no sólo le ahorrará el gasto de costosas infracciones, la pérdida de productividad y la deuda tecnológica acumulada, sino que creará una estrategia proactiva y rentable para adelantarse al panorama actual de amenazas.
pequeña planta que crece de una tierra de monedas
Ver recurso
Ver recurso

Todo el mundo quiere obtener un buen rendimiento de su inversión cuando se trata de invertir en su pila tecnológica o en programas de formación adicionales, pero cuando se trata de seguridad, hay que jugar un juego a largo plazo que va más allá del simple cálculo del rendimiento de la inversión. Aprenda cómo la inversión en seguridad impulsada por los desarrolladores no sólo le ahorrará el gasto de costosas infracciones, la pérdida de productividad y la deuda tecnológica acumulada, sino que creará una estrategia proactiva y rentable para adelantarse al panorama actual de amenazas.

¿Quiere saber más?

Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Reservar una demostración
Compartir en:
Autor
Secure Code Warrior
Publicado el 08 de diciembre de 2022

Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.

Secure Code Warrior crea una cultura de desarrolladores orientados a la seguridad, dotándoles de las habilidades necesarias para codificar de forma segura. Nuestro buque insignia es Agile Learning Platform , que ofrece itinerarios basados en habilidades relevantes, prácticas en missions y herramientas contextuales para que los desarrolladores aprendan, desarrollen y apliquen rápidamente sus habilidades para escribir código seguro a gran velocidad.

Compartir en:
Aprenda cómo la inversión en seguridad impulsada por los desarrolladores no sólo le ahorrará el gasto de costosas infracciones, la pérdida de productividad y la deuda tecnológica acumulada, sino que creará una estrategia proactiva y rentable para adelantarse al panorama actual de amenazas.
pequeña planta que crece de una tierra de monedas
Aprenda cómo la inversión en seguridad impulsada por los desarrolladores no sólo le ahorrará el gasto de costosas infracciones, la pérdida de productividad y la deuda tecnológica acumulada, sino que creará una estrategia proactiva y rentable para adelantarse al panorama actual de amenazas.
pequeña planta que crece de una tierra de monedas
Botón de reproducción de vídeo.
Botón de reproducción de vídeo.

El coste de un código deficiente 

Los avances tecnológicos están facilitando más que nunca que los desarrolladores envíen código más rápido que nunca. Esto puede ser emocionante para la innovación, pero desalentador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costes de las herramientas adicionales, los programas de formación y la inversión en mejorar las cualificaciones de los desarrolladores puede parecer un "bien para tener" frente a una función empresarial crítica si se mantiene la velocidad del código que se envía.  

Enviar código más rápido puede haber sido más fácil, pero desafortunadamente enviar código seguro no lo ha sido, dejando a las organizaciones vulnerables a más amenazas que nunca. El coste de la ciberdelincuencia es asombroso en todo el mundo y aumenta rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. De media, el coste de una filtración de datos es de 4,35 millones de dólares, que se reparten entre la pérdida de negocio de clientes actuales y potenciales, así como los recursos invertidos en la gestión de la detección, la escalada y la repetición del trabajo. 

A pesar de estos costes astronómicos, más de la mitad de las organizaciones no exigen a los desarrolladores que realicen anualmente una formación formal sobre código seguro.

Todos los profesionales de la seguridad saben que, cuando se trata de encontrar y corregir vulnerabilidades, puede parecer que se está jugando a la ruleta. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay una oportunidad de mejora. La mayoría de las organizaciones descubren que cuando su capacidad de recuperación ante desastres o de copia de seguridad se pone a prueba, su enfoque de la seguridad no es tan sólido como pensaban. Si reforzar la resistencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva que se deja a sus desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. Un equipo de desarrolladores cualificado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir vulnerabilidades con rapidez es el medio más rentable de mitigar los riesgos.   

Un concepto erróneo cuando se trata de la formación de los desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguros. Según Klaus Klaus Klinger, DevSec Awareness Evangelist de Allianz, "todo tiene que empezar en la cabeza de los directivos. Invertir en la formación de los desarrolladores no es una inversión perdida, sino una inversión en calidad, productividad y reputación de la empresa".

A menudo puede ser difícil cuantificar el retorno de la inversión en este ámbito, pero en última instancia lo que las organizaciones deberían plantearse es cómo su postura de seguridad les ayuda a reducir riesgos, racionalizar su enfoque y ahorrar tiempo y productividad a sus equipos de desarrolladores. 

¿Cómo se puede cuantificar el retorno de la inversión en costes de ciberseguridad?

Cuando se trata de la rentabilidad de la inversión, es importante pensar en ella en dos marcos diferentes: el ahorro de costes que supone mitigar el riesgo frente al impacto de su formación en seguridad.

Consideremos este ejemplo demasiado común: una vulnerabilidad o infracción hace que un sitio de comercio electrónico se vea obligado a estar fuera de línea durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de no solucionar el problema puede cuantificarse en la pérdida de ingresos durante la interrupción, el impacto de las credenciales robadas, la pérdida de confianza de los clientes (que se traduce en una reducción de las ventas a largo plazo) y la pérdida general de productividad mientras se soluciona el problema. 

Esto se reduce realmente a un análisis de costes y beneficios. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que necesitan ser mantenidas o mejoradas.

La gente suele centrarse en los parámetros equivocados para determinar el éxito y el valor. Quizá deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en su lugar, medir el impacto del propio programa. 

Medida para demostrar el impacto

Para establecer el ROI, hay que crear objetivos mensurables. Esto comienza con la evaluación de los conocimientos de codificación seguros de sus desarrolladores y la comprensión de dónde necesitan aumentar sus habilidades. 

Un punto de partida sería medir el compromiso para ayudarle a tomar decisiones estratégicas sobre cómo crear programas de formación más ricos. Lo más importante es medir el impacto. Comience por observar el número de puntos débiles que se detectan en el ciclo de vida de desarrollo de software mediante análisis de código, recompensas por errores o pruebas de vulnerabilidad clásicas antes de iniciar el programa en cada equipo. Una de las formas más sencillas de saber que su programa de formación está teniendo el resultado deseado es midiendo la disminución de vulnerabilidades que se introducen en su base de código en general.

Principales preguntas para evaluar el retorno de la inversión:

1. ¿Estamos racionalizando nuestro enfoque?

¿Está lanzando más herramientas al problema o resolviéndolo en su raíz? Añadir más herramientas a su pila tecnológica crea un método de "queso suizo" para encontrar y solucionar vulnerabilidades. También aumentan los costes operativos con poco impacto en la fuente de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de su arsenal, no deberían ser su última línea de defensa.

2. ¿Estamos mejorando la eficiencia y la productividad?

El tiempo dedicado a revisiones exhaustivas del código y a la reelaboración del código devuelto por AppSec puede suponer una importante pérdida de productividad. Reducir los simulacros de incendio facultando y permitiendo a los equipos de desarrolladores ser prácticos con su formación en código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.

3. ¿Estamos reduciendo los riesgos?

Encontrar y solucionar una vulnerabilidad puede ser como resolver un gran rompecabezas, que a veces puede llevar días, semanas o incluso meses en completarse con una solución sólida. Capacitar a los desarrolladores para que se encarguen de la corrección en origen permite a AppSec centrarse en la supervisión de riesgos y en reforzar la postura de seguridad de la organización.

4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?

Enviar código rápidamente no siempre es bueno. Tomar atajos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deuda técnica. Pensar a corto plazo no es la solución. Uno puede mitigar el riesgo asegurando su código desde el principio, para que el problema no se agrave en el futuro.

Métricas de seguimiento recomendadas:  

  • Compromiso: ¿cuánto tiempo dedica a la formación y cómo participan los promotores? ¿Están completando courses, evaluaciones y participando en tournaments? 
  • Competencias: ¿cuáles son los puntos fuertes? ¿Qué aspectos necesita mejorar? 
  • Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec le devuelve menos trabajo? 
  • Productividad: ¿cuánto tiempo se tarda en solucionar un problema? ¿Ha notado un aumento de la productividad o la velocidad con la reducción de la vulnerabilidad? 


Crear valor desplazándose a la izquierda

Las infracciones y vulnerabilidades aumentan rápidamente cada año. Es importante empezar a construir de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a: 

  • Reduzca la complejidad invirtiendo en sus recursos más valiosos: las personas, en lugar de gastar dinero en herramientas que sólo resuelven una parte del problema. 
  • Mejorar la eficiencia y la eficacia general limitando la repetición de tareas o las correcciones que normalmente identificaría AppSec una vez desplegado el código. 
  • Mitigar el riesgo y cumplir la normativa, evitando costosas multas, la pérdida de confianza de los clientes o, peor aún, el coste de una filtración de datos. 

Evite el cortoplacismo y las soluciones rápidas. Sólo pueden generar deuda técnica y más costes en el futuro. Planifica a largo plazo aprovechando el poder de la mejora de las competencias y capacitando a tus desarrolladores para que sean tu mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y comprueba por ti mismo el impacto y el ahorro de costes.

Ver recurso
Ver recurso

Rellene el siguiente formulario para descargar el informe

Nos gustaría contar con su permiso para enviarle información sobre nuestros productos y/o temas relacionados con la codificación segura. Siempre trataremos sus datos personales con el máximo cuidado y nunca los venderemos a otras empresas con fines de marketing.

Enviar
Para enviar el formulario, habilite las cookies "Analytics". Siéntase libre de desactivarlas de nuevo una vez que haya terminado.
pequeña planta que crece de una tierra de monedas
Aprenda cómo la inversión en seguridad impulsada por los desarrolladores no sólo le ahorrará el gasto de costosas infracciones, la pérdida de productividad y la deuda tecnológica acumulada, sino que creará una estrategia proactiva y rentable para adelantarse al panorama actual de amenazas.
Botón de reproducción de vídeo.
Botón de reproducción de vídeo.

El coste de un código deficiente 

Los avances tecnológicos están facilitando más que nunca que los desarrolladores envíen código más rápido que nunca. Esto puede ser emocionante para la innovación, pero desalentador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costes de las herramientas adicionales, los programas de formación y la inversión en mejorar las cualificaciones de los desarrolladores puede parecer un "bien para tener" frente a una función empresarial crítica si se mantiene la velocidad del código que se envía.  

Enviar código más rápido puede haber sido más fácil, pero desafortunadamente enviar código seguro no lo ha sido, dejando a las organizaciones vulnerables a más amenazas que nunca. El coste de la ciberdelincuencia es asombroso en todo el mundo y aumenta rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. De media, el coste de una filtración de datos es de 4,35 millones de dólares, que se reparten entre la pérdida de negocio de clientes actuales y potenciales, así como los recursos invertidos en la gestión de la detección, la escalada y la repetición del trabajo. 

A pesar de estos costes astronómicos, más de la mitad de las organizaciones no exigen a los desarrolladores que realicen anualmente una formación formal sobre código seguro.

Todos los profesionales de la seguridad saben que, cuando se trata de encontrar y corregir vulnerabilidades, puede parecer que se está jugando a la ruleta. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay una oportunidad de mejora. La mayoría de las organizaciones descubren que cuando su capacidad de recuperación ante desastres o de copia de seguridad se pone a prueba, su enfoque de la seguridad no es tan sólido como pensaban. Si reforzar la resistencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva que se deja a sus desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. Un equipo de desarrolladores cualificado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir vulnerabilidades con rapidez es el medio más rentable de mitigar los riesgos.   

Un concepto erróneo cuando se trata de la formación de los desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguros. Según Klaus Klaus Klinger, DevSec Awareness Evangelist de Allianz, "todo tiene que empezar en la cabeza de los directivos. Invertir en la formación de los desarrolladores no es una inversión perdida, sino una inversión en calidad, productividad y reputación de la empresa".

A menudo puede ser difícil cuantificar el retorno de la inversión en este ámbito, pero en última instancia lo que las organizaciones deberían plantearse es cómo su postura de seguridad les ayuda a reducir riesgos, racionalizar su enfoque y ahorrar tiempo y productividad a sus equipos de desarrolladores. 

¿Cómo se puede cuantificar el retorno de la inversión en costes de ciberseguridad?

Cuando se trata de la rentabilidad de la inversión, es importante pensar en ella en dos marcos diferentes: el ahorro de costes que supone mitigar el riesgo frente al impacto de su formación en seguridad.

Consideremos este ejemplo demasiado común: una vulnerabilidad o infracción hace que un sitio de comercio electrónico se vea obligado a estar fuera de línea durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de no solucionar el problema puede cuantificarse en la pérdida de ingresos durante la interrupción, el impacto de las credenciales robadas, la pérdida de confianza de los clientes (que se traduce en una reducción de las ventas a largo plazo) y la pérdida general de productividad mientras se soluciona el problema. 

Esto se reduce realmente a un análisis de costes y beneficios. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que necesitan ser mantenidas o mejoradas.

La gente suele centrarse en los parámetros equivocados para determinar el éxito y el valor. Quizá deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en su lugar, medir el impacto del propio programa. 

Medida para demostrar el impacto

Para establecer el ROI, hay que crear objetivos mensurables. Esto comienza con la evaluación de los conocimientos de codificación seguros de sus desarrolladores y la comprensión de dónde necesitan aumentar sus habilidades. 

Un punto de partida sería medir el compromiso para ayudarle a tomar decisiones estratégicas sobre cómo crear programas de formación más ricos. Lo más importante es medir el impacto. Comience por observar el número de puntos débiles que se detectan en el ciclo de vida de desarrollo de software mediante análisis de código, recompensas por errores o pruebas de vulnerabilidad clásicas antes de iniciar el programa en cada equipo. Una de las formas más sencillas de saber que su programa de formación está teniendo el resultado deseado es midiendo la disminución de vulnerabilidades que se introducen en su base de código en general.

Principales preguntas para evaluar el retorno de la inversión:

1. ¿Estamos racionalizando nuestro enfoque?

¿Está lanzando más herramientas al problema o resolviéndolo en su raíz? Añadir más herramientas a su pila tecnológica crea un método de "queso suizo" para encontrar y solucionar vulnerabilidades. También aumentan los costes operativos con poco impacto en la fuente de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de su arsenal, no deberían ser su última línea de defensa.

2. ¿Estamos mejorando la eficiencia y la productividad?

El tiempo dedicado a revisiones exhaustivas del código y a la reelaboración del código devuelto por AppSec puede suponer una importante pérdida de productividad. Reducir los simulacros de incendio facultando y permitiendo a los equipos de desarrolladores ser prácticos con su formación en código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.

3. ¿Estamos reduciendo los riesgos?

Encontrar y solucionar una vulnerabilidad puede ser como resolver un gran rompecabezas, que a veces puede llevar días, semanas o incluso meses en completarse con una solución sólida. Capacitar a los desarrolladores para que se encarguen de la corrección en origen permite a AppSec centrarse en la supervisión de riesgos y en reforzar la postura de seguridad de la organización.

4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?

Enviar código rápidamente no siempre es bueno. Tomar atajos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deuda técnica. Pensar a corto plazo no es la solución. Uno puede mitigar el riesgo asegurando su código desde el principio, para que el problema no se agrave en el futuro.

Métricas de seguimiento recomendadas:  

  • Compromiso: ¿cuánto tiempo dedica a la formación y cómo participan los promotores? ¿Están completando courses, evaluaciones y participando en tournaments? 
  • Competencias: ¿cuáles son los puntos fuertes? ¿Qué aspectos necesita mejorar? 
  • Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec le devuelve menos trabajo? 
  • Productividad: ¿cuánto tiempo se tarda en solucionar un problema? ¿Ha notado un aumento de la productividad o la velocidad con la reducción de la vulnerabilidad? 


Crear valor desplazándose a la izquierda

Las infracciones y vulnerabilidades aumentan rápidamente cada año. Es importante empezar a construir de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a: 

  • Reduzca la complejidad invirtiendo en sus recursos más valiosos: las personas, en lugar de gastar dinero en herramientas que sólo resuelven una parte del problema. 
  • Mejorar la eficiencia y la eficacia general limitando la repetición de tareas o las correcciones que normalmente identificaría AppSec una vez desplegado el código. 
  • Mitigar el riesgo y cumplir la normativa, evitando costosas multas, la pérdida de confianza de los clientes o, peor aún, el coste de una filtración de datos. 

Evite el cortoplacismo y las soluciones rápidas. Sólo pueden generar deuda técnica y más costes en el futuro. Planifica a largo plazo aprovechando el poder de la mejora de las competencias y capacitando a tus desarrolladores para que sean tu mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y comprueba por ti mismo el impacto y el ahorro de costes.

Acceso a recursos

Haga clic en el siguiente enlace y descargue el PDF de este recurso.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Ver el informeReservar una demostración
Descargar PDF
Ver recurso
Compartir en:
¿Quiere saber más?

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Reservar una demostración
Compartir en:
Autor
Secure Code Warrior
Publicado el 08 de diciembre de 2022

Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.

Secure Code Warrior crea una cultura de desarrolladores orientados a la seguridad, dotándoles de las habilidades necesarias para codificar de forma segura. Nuestro buque insignia es Agile Learning Platform , que ofrece itinerarios basados en habilidades relevantes, prácticas en missions y herramientas contextuales para que los desarrolladores aprendan, desarrollen y apliquen rápidamente sus habilidades para escribir código seguro a gran velocidad.

Compartir en:
Aprenda cómo la inversión en seguridad impulsada por los desarrolladores no sólo le ahorrará el gasto de costosas infracciones, la pérdida de productividad y la deuda tecnológica acumulada, sino que creará una estrategia proactiva y rentable para adelantarse al panorama actual de amenazas.

El coste de un código deficiente 

Los avances tecnológicos están facilitando más que nunca que los desarrolladores envíen código más rápido que nunca. Esto puede ser emocionante para la innovación, pero desalentador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costes de las herramientas adicionales, los programas de formación y la inversión en mejorar las cualificaciones de los desarrolladores puede parecer un "bien para tener" frente a una función empresarial crítica si se mantiene la velocidad del código que se envía.  

Enviar código más rápido puede haber sido más fácil, pero desafortunadamente enviar código seguro no lo ha sido, dejando a las organizaciones vulnerables a más amenazas que nunca. El coste de la ciberdelincuencia es asombroso en todo el mundo y aumenta rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. De media, el coste de una filtración de datos es de 4,35 millones de dólares, que se reparten entre la pérdida de negocio de clientes actuales y potenciales, así como los recursos invertidos en la gestión de la detección, la escalada y la repetición del trabajo. 

A pesar de estos costes astronómicos, más de la mitad de las organizaciones no exigen a los desarrolladores que realicen anualmente una formación formal sobre código seguro.

Todos los profesionales de la seguridad saben que, cuando se trata de encontrar y corregir vulnerabilidades, puede parecer que se está jugando a la ruleta. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay una oportunidad de mejora. La mayoría de las organizaciones descubren que cuando su capacidad de recuperación ante desastres o de copia de seguridad se pone a prueba, su enfoque de la seguridad no es tan sólido como pensaban. Si reforzar la resistencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva que se deja a sus desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. Un equipo de desarrolladores cualificado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir vulnerabilidades con rapidez es el medio más rentable de mitigar los riesgos.   

Un concepto erróneo cuando se trata de la formación de los desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguros. Según Klaus Klaus Klinger, DevSec Awareness Evangelist de Allianz, "todo tiene que empezar en la cabeza de los directivos. Invertir en la formación de los desarrolladores no es una inversión perdida, sino una inversión en calidad, productividad y reputación de la empresa".

A menudo puede ser difícil cuantificar el retorno de la inversión en este ámbito, pero en última instancia lo que las organizaciones deberían plantearse es cómo su postura de seguridad les ayuda a reducir riesgos, racionalizar su enfoque y ahorrar tiempo y productividad a sus equipos de desarrolladores. 

¿Cómo se puede cuantificar el retorno de la inversión en costes de ciberseguridad?

Cuando se trata de la rentabilidad de la inversión, es importante pensar en ella en dos marcos diferentes: el ahorro de costes que supone mitigar el riesgo frente al impacto de su formación en seguridad.

Consideremos este ejemplo demasiado común: una vulnerabilidad o infracción hace que un sitio de comercio electrónico se vea obligado a estar fuera de línea durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de no solucionar el problema puede cuantificarse en la pérdida de ingresos durante la interrupción, el impacto de las credenciales robadas, la pérdida de confianza de los clientes (que se traduce en una reducción de las ventas a largo plazo) y la pérdida general de productividad mientras se soluciona el problema. 

Esto se reduce realmente a un análisis de costes y beneficios. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que necesitan ser mantenidas o mejoradas.

La gente suele centrarse en los parámetros equivocados para determinar el éxito y el valor. Quizá deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en su lugar, medir el impacto del propio programa. 

Medida para demostrar el impacto

Para establecer el ROI, hay que crear objetivos mensurables. Esto comienza con la evaluación de los conocimientos de codificación seguros de sus desarrolladores y la comprensión de dónde necesitan aumentar sus habilidades. 

Un punto de partida sería medir el compromiso para ayudarle a tomar decisiones estratégicas sobre cómo crear programas de formación más ricos. Lo más importante es medir el impacto. Comience por observar el número de puntos débiles que se detectan en el ciclo de vida de desarrollo de software mediante análisis de código, recompensas por errores o pruebas de vulnerabilidad clásicas antes de iniciar el programa en cada equipo. Una de las formas más sencillas de saber que su programa de formación está teniendo el resultado deseado es midiendo la disminución de vulnerabilidades que se introducen en su base de código en general.

Principales preguntas para evaluar el retorno de la inversión:

1. ¿Estamos racionalizando nuestro enfoque?

¿Está lanzando más herramientas al problema o resolviéndolo en su raíz? Añadir más herramientas a su pila tecnológica crea un método de "queso suizo" para encontrar y solucionar vulnerabilidades. También aumentan los costes operativos con poco impacto en la fuente de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de su arsenal, no deberían ser su última línea de defensa.

2. ¿Estamos mejorando la eficiencia y la productividad?

El tiempo dedicado a revisiones exhaustivas del código y a la reelaboración del código devuelto por AppSec puede suponer una importante pérdida de productividad. Reducir los simulacros de incendio facultando y permitiendo a los equipos de desarrolladores ser prácticos con su formación en código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.

3. ¿Estamos reduciendo los riesgos?

Encontrar y solucionar una vulnerabilidad puede ser como resolver un gran rompecabezas, que a veces puede llevar días, semanas o incluso meses en completarse con una solución sólida. Capacitar a los desarrolladores para que se encarguen de la corrección en origen permite a AppSec centrarse en la supervisión de riesgos y en reforzar la postura de seguridad de la organización.

4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?

Enviar código rápidamente no siempre es bueno. Tomar atajos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deuda técnica. Pensar a corto plazo no es la solución. Uno puede mitigar el riesgo asegurando su código desde el principio, para que el problema no se agrave en el futuro.

Métricas de seguimiento recomendadas:  

  • Compromiso: ¿cuánto tiempo dedica a la formación y cómo participan los promotores? ¿Están completando courses, evaluaciones y participando en tournaments? 
  • Competencias: ¿cuáles son los puntos fuertes? ¿Qué aspectos necesita mejorar? 
  • Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec le devuelve menos trabajo? 
  • Productividad: ¿cuánto tiempo se tarda en solucionar un problema? ¿Ha notado un aumento de la productividad o la velocidad con la reducción de la vulnerabilidad? 


Crear valor desplazándose a la izquierda

Las infracciones y vulnerabilidades aumentan rápidamente cada año. Es importante empezar a construir de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a: 

  • Reduzca la complejidad invirtiendo en sus recursos más valiosos: las personas, en lugar de gastar dinero en herramientas que sólo resuelven una parte del problema. 
  • Mejorar la eficiencia y la eficacia general limitando la repetición de tareas o las correcciones que normalmente identificaría AppSec una vez desplegado el código. 
  • Mitigar el riesgo y cumplir la normativa, evitando costosas multas, la pérdida de confianza de los clientes o, peor aún, el coste de una filtración de datos. 

Evite el cortoplacismo y las soluciones rápidas. Sólo pueden generar deuda técnica y más costes en el futuro. Planifica a largo plazo aprovechando el poder de la mejora de las competencias y capacitando a tus desarrolladores para que sean tu mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y comprueba por ti mismo el impacto y el ahorro de costes.

Índice

Descargar PDF
Ver recurso
¿Quiere saber más?

Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Reservar una demostraciónDescargar
Compartir en:
Centro de recursos

Recursos para empezar

Más entradas

Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa

El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.

Más información
15 de octubre de 2024
Libros blancos
Un localizador

Puntuación de confianza de SCW: su puerta de entrada a la excelencia en seguridad por diseño

Descubra cómo SCW Trust Score puede ayudar a su organización a liderar el camino en iniciativas de seguridad por diseño.

15 de octubre de 2024
Informe

Gartner® Hype Cycle™ para la seguridad de las aplicaciones, 2024

Nos enorgullece anunciar que Secure Code Warrior ha sido nombrado #SampleVendor de Gartner en el informe Hype CycleTM for Application Security de julio de 2024.

22 de agosto de 2024
Estudios de caso

DigitalOcean reduce su deuda de seguridad con Secure Code Warrior

El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.

15 de agosto de 2024
Centro de recursos

Recursos para empezar

Más entradas

La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño

Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.

Más información
13 de noviembre de 2024
Blog
Blog

Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar

La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad. 

31 de octubre de 2024
Blog

Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores

La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.

22 de octubre de 2024
Blog

Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo

Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.

15 de octubre de 2024

Codificación orientada al desarrollador.

Con seguridad.

Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.

Reservar una demostraciónPruebe ahora
Conectar
Facebook
X
LinkedIn
Empresa
Sobre nosotrosSociosCarrerasCentro de confianzaContacto con nosotrosEventosDirectricesDossier de prensaTienda
Producto
CoursesMissionsTournamentsEvaluacionesFormaciónSCW para GitHubSCW para JiraIntegracionesRecursos de aprendizajeNotas de publicaciónPlanes
Soluciones
GobiernoVenta al por menorFinanzas y bancaSegurosTecnologíaAutomóvilesSanidadEquipos de ingenieríaEquipos de seguridadC-Suite
Recursos
Centro de recursosBlogVídeosFolletoLibros blancosCasos prácticosInformesInfografíaLibros electrónicosSeminarios webGuías
Sydney
Boston
Portland
Londres
Brujas
Reikiavik
Copyright © 2015-2023 Secure Code Warrior Limited.
Política de privacidadPolítica de cookies | Accesibilidad | Aviso legal | Mapa del sitio