La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Una forma segura de mejorar la postura de seguridad de su organización es a través de la capacitación de los desarrolladores en las mejores prácticas de codificación segura, proporcionadas en un marco que incluya líneas de base y puntos de referencia diseñados para dar a los desarrolladores las vías de aprendizaje específicas que necesitan. La codificación segura, sin embargo, no es una solución de una sola vez: debe convertirse en una forma de vida, codificada en el ADN de una organización. Los desarrolladores no sólo tienen que cambiar a la izquierda, o empezar por la izquierda, sino que tienen que permanecer en ella.
No basta con impartir formación. Las organizaciones necesitan confirmar que los desarrolladores han asimilado completamente su formación y siguen las mejores prácticas al principio del ciclo de vida de desarrollo de software (SDLC) como parte de sus rutinas diarias. Es necesario realizar un seguimiento del rendimiento de los desarrolladores y medir su progreso tanto con respecto a los estándares internos como a los puntos de referencia del sector, midiendo de forma eficaz el ROI de la inversión en formación.
Secure Code Warrior's Trust Score proporciona visibilidad sobre el rendimiento de los desarrolladores individuales y agrega los datos para proporcionar una assessment del rendimiento general de su organización. Muestra la eficacia de los programas de mejora de las competencias e identifica las áreas que necesitan mejoras. Y, ayuda a garantizar el cumplimiento de la gama de requisitos de cumplimiento normativo, ya provengan del Reglamento General de Protección de Datos(GDPR), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago(PCI DSS), la Ley de Privacidad del Consumidor de California(CCPA) u otros.
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
La formación mejora la seguridad, si los desarrolladores la reciben
Durante años, el uso de las mejores prácticas de seguridad al inicio del SDLC parecía ser una aspiración en la industria del software, algo a lo que se podía aspirar algún día, pero que no era una prioridad en la actualidad. Pero la velocidad cada vez mayor del desarrollo de software, junto con el ritmo acelerado de las ciberamenazas sofisticadas y destructivas -a menudo basadas en vulnerabilidades de software- han hecho que la codificación segura sea esencial. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras(CISA) pone el código seguro en primer plano con su iniciativa Secure-by-Design, que se está convirtiendo en un movimiento internacional.
Nuestra investigación ha demostrado que la correlación entre un enfoque de seguridad por diseño y una reducción de las vulnerabilidades del software es clara. Analizamos los datos de reducción de vulnerabilidades del 26% de la base de clientes de SCW y descubrimos que la formación de desarrolladores se traducía en reducciones de vulnerabilidades de software que oscilaban entre el 22% y el 84%. Ese rango era el resultado de variables como el tamaño de las empresas implicadas (las empresas más pequeñas con relativamente pocos desarrolladores producían un rango más dramático de resultados), y si un grupo de aprendizaje se centraba en un problema específico, en cuyo caso eliminaban un mayor porcentaje de fallos.
Los resultados de las grandes empresas fueron bastante coherentes. Las empresas con 7.000 desarrolladores o más pueden esperar que las vulnerabilidades se reduzcan entre un 47% y un 53% como resultado de la mejora de las competencias de los desarrolladores en materia de seguridad. Por ejemplo, una empresa estadísticamente media con más de 10.000 desarrolladores -que no es una de las de mayor rendimiento en la plataforma ni una de las de mayor referencia- obtuvo una reducción del 53% en vulnerabilidades.
Por supuesto, la formación más eficaz no adopta un enfoque amplio y único. Debe adaptarse a los entornos de trabajo de los desarrolladores y a los tipos de desarrollo que realizan.
Las empresas deben empezar por establecer los conocimientos básicos que deben tener los desarrolladores para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de perfeccionamiento deben consistir en una formación práctica y ágil en escenarios reales que se ajusten al tipo de trabajo que realizan y a los lenguajes que utilizan. Y deben ser lo suficientemente flexibles para que las sesiones de formación se adapten a sus horarios de trabajo.
Para los desarrolladores, el conjunto de habilidades implica algo más que escribir código. Tienen que ser capaces de comprobar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han hecho un uso ávido de los modelos generativos de IA y, en general, han alabado sus ventajas a la hora de ayudarles a crear más código con mayor rapidez. Sin embargo, aunque el 76% de los participantes en una encuesta de Snyk afirmaron que el código generado por IA era más seguro que el producido por humanos, el 56,4% seguía afirmando que la IA introduce errores a veces o con frecuencia. Y la misma encuesta reveló que el 80% de los desarrolladores omiten la aplicación de políticas de seguridad del código de IA, lo que sugiere que no se están abordando los problemas del código de IA.
En un enfoque de seguridad por diseño, los desarrolladores -trabajando con los equipos de seguridad, en lugar de por separado- abordarán estos problemas en una fase temprana del SDLC, identificando y corrigiendo los fallos antes de que el código pase a producción.
La puntuación de confianza mide el rendimiento individual y empresarial
También es fundamental que la formación sea continua. Las empresas deben adoptar una cultura que dé prioridad a la seguridad y que se aplique en todas partes, desde los niveles más altos de la empresa hasta los más bajos. Debe centrarse en la mejora continua y en la aplicación de las mejores prácticas de seguridad en todo el SDLC. La tecnología y los ciberdelincuentes no dejan de evolucionar; la ciberseguridad tampoco debería hacerlo. Para las organizaciones que producen software, los desarrolladores formados en seguridad son la base.
Por eso, demostrar que la formación se ha asentado de forma efectiva es tan importante como la propia formación. Trust Score no sólo ofrece visibilidad del rendimiento de los desarrolladores individualmente y de la organización en general, sino que permite a las organizaciones desglosar los datos de rendimiento para centrarse en lenguajes específicos, equipos de desarrolladores o categorías de software. Los datos de los resultados de rendimiento individuales y agregados también ayudan a identificar las áreas en las que es necesario mejorar la formación, por ejemplo, si no está teniendo el efecto deseado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las organizaciones evaluar el rendimiento de los desarrolladores y confirmar si han adquirido -y están utilizando- los conocimientos de seguridad necesarios, garantizando que se han ganado su licencia para codificar. Permite a las organizaciones conceder con confianza a los desarrolladores cualificados acceso a sus datos más confidenciales y proyectos de software críticos, mientras que deniega ese acceso a aquellos que aún no están preparados.
Prueba del cambio de la cultura de seguridad
La ciberseguridad ya no es sólo una cuestión de seguridad. Es una cuestión empresarial, que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Una violación grave afecta a las operaciones de una organización, a su reputación y, potencialmente, a su viabilidad. La importancia de la ciberseguridad no ha pasado desapercibida para los organismos reguladores, que han ido aplicando normativas cada vez más estrictas y se han mostrado dispuestos a perseguir a los CISO y, potencialmente, a otros miembros de la alta dirección, incluso hasta el punto de presentar cargos penales, como en los casos de Uber y SolarWinds.
Adoptar una cultura de seguridad en toda la empresa es esencial en el entorno actual. Y dado que gran parte del valor de una empresa reside en sus datos, aplicaciones y servicios, la codificación segura es un elemento esencial de esa cultura. La formación y el perfeccionamiento específicos como parte de una mentalidad cultural, junto con pruebas de que la formación ha ayudado a cambiar la cultura, pueden encaminar a las organizaciones hacia el fortalecimiento de sus posturas de seguridad.
Los programas de seguridad impulsados por los desarrolladores tienen valor. La prueba está en la puntuación de confianza.
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una forma segura de mejorar la postura de seguridad de su organización es a través de la capacitación de los desarrolladores en las mejores prácticas de codificación segura, proporcionadas en un marco que incluya líneas de base y puntos de referencia diseñados para dar a los desarrolladores las vías de aprendizaje específicas que necesitan. La codificación segura, sin embargo, no es una solución de una sola vez: debe convertirse en una forma de vida, codificada en el ADN de una organización. Los desarrolladores no sólo tienen que cambiar a la izquierda, o empezar por la izquierda, sino que tienen que permanecer en ella.
No basta con impartir formación. Las organizaciones necesitan confirmar que los desarrolladores han asimilado completamente su formación y siguen las mejores prácticas al principio del ciclo de vida de desarrollo de software (SDLC) como parte de sus rutinas diarias. Es necesario realizar un seguimiento del rendimiento de los desarrolladores y medir su progreso tanto con respecto a los estándares internos como a los puntos de referencia del sector, midiendo de forma eficaz el ROI de la inversión en formación.
Secure Code Warrior's Trust Score proporciona visibilidad sobre el rendimiento de los desarrolladores individuales y agrega los datos para proporcionar una assessment del rendimiento general de su organización. Muestra la eficacia de los programas de mejora de las competencias e identifica las áreas que necesitan mejoras. Y, ayuda a garantizar el cumplimiento de la gama de requisitos de cumplimiento normativo, ya provengan del Reglamento General de Protección de Datos(GDPR), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago(PCI DSS), la Ley de Privacidad del Consumidor de California(CCPA) u otros.
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
La formación mejora la seguridad, si los desarrolladores la reciben
Durante años, el uso de las mejores prácticas de seguridad al inicio del SDLC parecía ser una aspiración en la industria del software, algo a lo que se podía aspirar algún día, pero que no era una prioridad en la actualidad. Pero la velocidad cada vez mayor del desarrollo de software, junto con el ritmo acelerado de las ciberamenazas sofisticadas y destructivas -a menudo basadas en vulnerabilidades de software- han hecho que la codificación segura sea esencial. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras(CISA) pone el código seguro en primer plano con su iniciativa Secure-by-Design, que se está convirtiendo en un movimiento internacional.
Nuestra investigación ha demostrado que la correlación entre un enfoque de seguridad por diseño y una reducción de las vulnerabilidades del software es clara. Analizamos los datos de reducción de vulnerabilidades del 26% de la base de clientes de SCW y descubrimos que la formación de desarrolladores se traducía en reducciones de vulnerabilidades de software que oscilaban entre el 22% y el 84%. Ese rango era el resultado de variables como el tamaño de las empresas implicadas (las empresas más pequeñas con relativamente pocos desarrolladores producían un rango más dramático de resultados), y si un grupo de aprendizaje se centraba en un problema específico, en cuyo caso eliminaban un mayor porcentaje de fallos.
Los resultados de las grandes empresas fueron bastante coherentes. Las empresas con 7.000 desarrolladores o más pueden esperar que las vulnerabilidades se reduzcan entre un 47% y un 53% como resultado de la mejora de las competencias de los desarrolladores en materia de seguridad. Por ejemplo, una empresa estadísticamente media con más de 10.000 desarrolladores -que no es una de las de mayor rendimiento en la plataforma ni una de las de mayor referencia- obtuvo una reducción del 53% en vulnerabilidades.
Por supuesto, la formación más eficaz no adopta un enfoque amplio y único. Debe adaptarse a los entornos de trabajo de los desarrolladores y a los tipos de desarrollo que realizan.
Las empresas deben empezar por establecer los conocimientos básicos que deben tener los desarrolladores para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de perfeccionamiento deben consistir en una formación práctica y ágil en escenarios reales que se ajusten al tipo de trabajo que realizan y a los lenguajes que utilizan. Y deben ser lo suficientemente flexibles para que las sesiones de formación se adapten a sus horarios de trabajo.
Para los desarrolladores, el conjunto de habilidades implica algo más que escribir código. Tienen que ser capaces de comprobar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han hecho un uso ávido de los modelos generativos de IA y, en general, han alabado sus ventajas a la hora de ayudarles a crear más código con mayor rapidez. Sin embargo, aunque el 76% de los participantes en una encuesta de Snyk afirmaron que el código generado por IA era más seguro que el producido por humanos, el 56,4% seguía afirmando que la IA introduce errores a veces o con frecuencia. Y la misma encuesta reveló que el 80% de los desarrolladores omiten la aplicación de políticas de seguridad del código de IA, lo que sugiere que no se están abordando los problemas del código de IA.
En un enfoque de seguridad por diseño, los desarrolladores -trabajando con los equipos de seguridad, en lugar de por separado- abordarán estos problemas en una fase temprana del SDLC, identificando y corrigiendo los fallos antes de que el código pase a producción.
La puntuación de confianza mide el rendimiento individual y empresarial
También es fundamental que la formación sea continua. Las empresas deben adoptar una cultura que dé prioridad a la seguridad y que se aplique en todas partes, desde los niveles más altos de la empresa hasta los más bajos. Debe centrarse en la mejora continua y en la aplicación de las mejores prácticas de seguridad en todo el SDLC. La tecnología y los ciberdelincuentes no dejan de evolucionar; la ciberseguridad tampoco debería hacerlo. Para las organizaciones que producen software, los desarrolladores formados en seguridad son la base.
Por eso, demostrar que la formación se ha asentado de forma efectiva es tan importante como la propia formación. Trust Score no sólo ofrece visibilidad del rendimiento de los desarrolladores individualmente y de la organización en general, sino que permite a las organizaciones desglosar los datos de rendimiento para centrarse en lenguajes específicos, equipos de desarrolladores o categorías de software. Los datos de los resultados de rendimiento individuales y agregados también ayudan a identificar las áreas en las que es necesario mejorar la formación, por ejemplo, si no está teniendo el efecto deseado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las organizaciones evaluar el rendimiento de los desarrolladores y confirmar si han adquirido -y están utilizando- los conocimientos de seguridad necesarios, garantizando que se han ganado su licencia para codificar. Permite a las organizaciones conceder con confianza a los desarrolladores cualificados acceso a sus datos más confidenciales y proyectos de software críticos, mientras que deniega ese acceso a aquellos que aún no están preparados.
Prueba del cambio de la cultura de seguridad
La ciberseguridad ya no es sólo una cuestión de seguridad. Es una cuestión empresarial, que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Una violación grave afecta a las operaciones de una organización, a su reputación y, potencialmente, a su viabilidad. La importancia de la ciberseguridad no ha pasado desapercibida para los organismos reguladores, que han ido aplicando normativas cada vez más estrictas y se han mostrado dispuestos a perseguir a los CISO y, potencialmente, a otros miembros de la alta dirección, incluso hasta el punto de presentar cargos penales, como en los casos de Uber y SolarWinds.
Adoptar una cultura de seguridad en toda la empresa es esencial en el entorno actual. Y dado que gran parte del valor de una empresa reside en sus datos, aplicaciones y servicios, la codificación segura es un elemento esencial de esa cultura. La formación y el perfeccionamiento específicos como parte de una mentalidad cultural, junto con pruebas de que la formación ha ayudado a cambiar la cultura, pueden encaminar a las organizaciones hacia el fortalecimiento de sus posturas de seguridad.
Los programas de seguridad impulsados por los desarrolladores tienen valor. La prueba está en la puntuación de confianza.
Una forma segura de mejorar la postura de seguridad de su organización es a través de la capacitación de los desarrolladores en las mejores prácticas de codificación segura, proporcionadas en un marco que incluya líneas de base y puntos de referencia diseñados para dar a los desarrolladores las vías de aprendizaje específicas que necesitan. La codificación segura, sin embargo, no es una solución de una sola vez: debe convertirse en una forma de vida, codificada en el ADN de una organización. Los desarrolladores no sólo tienen que cambiar a la izquierda, o empezar por la izquierda, sino que tienen que permanecer en ella.
No basta con impartir formación. Las organizaciones necesitan confirmar que los desarrolladores han asimilado completamente su formación y siguen las mejores prácticas al principio del ciclo de vida de desarrollo de software (SDLC) como parte de sus rutinas diarias. Es necesario realizar un seguimiento del rendimiento de los desarrolladores y medir su progreso tanto con respecto a los estándares internos como a los puntos de referencia del sector, midiendo de forma eficaz el ROI de la inversión en formación.
Secure Code Warrior's Trust Score proporciona visibilidad sobre el rendimiento de los desarrolladores individuales y agrega los datos para proporcionar una assessment del rendimiento general de su organización. Muestra la eficacia de los programas de mejora de las competencias e identifica las áreas que necesitan mejoras. Y, ayuda a garantizar el cumplimiento de la gama de requisitos de cumplimiento normativo, ya provengan del Reglamento General de Protección de Datos(GDPR), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago(PCI DSS), la Ley de Privacidad del Consumidor de California(CCPA) u otros.
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
La formación mejora la seguridad, si los desarrolladores la reciben
Durante años, el uso de las mejores prácticas de seguridad al inicio del SDLC parecía ser una aspiración en la industria del software, algo a lo que se podía aspirar algún día, pero que no era una prioridad en la actualidad. Pero la velocidad cada vez mayor del desarrollo de software, junto con el ritmo acelerado de las ciberamenazas sofisticadas y destructivas -a menudo basadas en vulnerabilidades de software- han hecho que la codificación segura sea esencial. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras(CISA) pone el código seguro en primer plano con su iniciativa Secure-by-Design, que se está convirtiendo en un movimiento internacional.
Nuestra investigación ha demostrado que la correlación entre un enfoque de seguridad por diseño y una reducción de las vulnerabilidades del software es clara. Analizamos los datos de reducción de vulnerabilidades del 26% de la base de clientes de SCW y descubrimos que la formación de desarrolladores se traducía en reducciones de vulnerabilidades de software que oscilaban entre el 22% y el 84%. Ese rango era el resultado de variables como el tamaño de las empresas implicadas (las empresas más pequeñas con relativamente pocos desarrolladores producían un rango más dramático de resultados), y si un grupo de aprendizaje se centraba en un problema específico, en cuyo caso eliminaban un mayor porcentaje de fallos.
Los resultados de las grandes empresas fueron bastante coherentes. Las empresas con 7.000 desarrolladores o más pueden esperar que las vulnerabilidades se reduzcan entre un 47% y un 53% como resultado de la mejora de las competencias de los desarrolladores en materia de seguridad. Por ejemplo, una empresa estadísticamente media con más de 10.000 desarrolladores -que no es una de las de mayor rendimiento en la plataforma ni una de las de mayor referencia- obtuvo una reducción del 53% en vulnerabilidades.
Por supuesto, la formación más eficaz no adopta un enfoque amplio y único. Debe adaptarse a los entornos de trabajo de los desarrolladores y a los tipos de desarrollo que realizan.
Las empresas deben empezar por establecer los conocimientos básicos que deben tener los desarrolladores para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de perfeccionamiento deben consistir en una formación práctica y ágil en escenarios reales que se ajusten al tipo de trabajo que realizan y a los lenguajes que utilizan. Y deben ser lo suficientemente flexibles para que las sesiones de formación se adapten a sus horarios de trabajo.
Para los desarrolladores, el conjunto de habilidades implica algo más que escribir código. Tienen que ser capaces de comprobar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han hecho un uso ávido de los modelos generativos de IA y, en general, han alabado sus ventajas a la hora de ayudarles a crear más código con mayor rapidez. Sin embargo, aunque el 76% de los participantes en una encuesta de Snyk afirmaron que el código generado por IA era más seguro que el producido por humanos, el 56,4% seguía afirmando que la IA introduce errores a veces o con frecuencia. Y la misma encuesta reveló que el 80% de los desarrolladores omiten la aplicación de políticas de seguridad del código de IA, lo que sugiere que no se están abordando los problemas del código de IA.
En un enfoque de seguridad por diseño, los desarrolladores -trabajando con los equipos de seguridad, en lugar de por separado- abordarán estos problemas en una fase temprana del SDLC, identificando y corrigiendo los fallos antes de que el código pase a producción.
La puntuación de confianza mide el rendimiento individual y empresarial
También es fundamental que la formación sea continua. Las empresas deben adoptar una cultura que dé prioridad a la seguridad y que se aplique en todas partes, desde los niveles más altos de la empresa hasta los más bajos. Debe centrarse en la mejora continua y en la aplicación de las mejores prácticas de seguridad en todo el SDLC. La tecnología y los ciberdelincuentes no dejan de evolucionar; la ciberseguridad tampoco debería hacerlo. Para las organizaciones que producen software, los desarrolladores formados en seguridad son la base.
Por eso, demostrar que la formación se ha asentado de forma efectiva es tan importante como la propia formación. Trust Score no sólo ofrece visibilidad del rendimiento de los desarrolladores individualmente y de la organización en general, sino que permite a las organizaciones desglosar los datos de rendimiento para centrarse en lenguajes específicos, equipos de desarrolladores o categorías de software. Los datos de los resultados de rendimiento individuales y agregados también ayudan a identificar las áreas en las que es necesario mejorar la formación, por ejemplo, si no está teniendo el efecto deseado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las organizaciones evaluar el rendimiento de los desarrolladores y confirmar si han adquirido -y están utilizando- los conocimientos de seguridad necesarios, garantizando que se han ganado su licencia para codificar. Permite a las organizaciones conceder con confianza a los desarrolladores cualificados acceso a sus datos más confidenciales y proyectos de software críticos, mientras que deniega ese acceso a aquellos que aún no están preparados.
Prueba del cambio de la cultura de seguridad
La ciberseguridad ya no es sólo una cuestión de seguridad. Es una cuestión empresarial, que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Una violación grave afecta a las operaciones de una organización, a su reputación y, potencialmente, a su viabilidad. La importancia de la ciberseguridad no ha pasado desapercibida para los organismos reguladores, que han ido aplicando normativas cada vez más estrictas y se han mostrado dispuestos a perseguir a los CISO y, potencialmente, a otros miembros de la alta dirección, incluso hasta el punto de presentar cargos penales, como en los casos de Uber y SolarWinds.
Adoptar una cultura de seguridad en toda la empresa es esencial en el entorno actual. Y dado que gran parte del valor de una empresa reside en sus datos, aplicaciones y servicios, la codificación segura es un elemento esencial de esa cultura. La formación y el perfeccionamiento específicos como parte de una mentalidad cultural, junto con pruebas de que la formación ha ayudado a cambiar la cultura, pueden encaminar a las organizaciones hacia el fortalecimiento de sus posturas de seguridad.
Los programas de seguridad impulsados por los desarrolladores tienen valor. La prueba está en la puntuación de confianza.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una forma segura de mejorar la postura de seguridad de su organización es a través de la capacitación de los desarrolladores en las mejores prácticas de codificación segura, proporcionadas en un marco que incluya líneas de base y puntos de referencia diseñados para dar a los desarrolladores las vías de aprendizaje específicas que necesitan. La codificación segura, sin embargo, no es una solución de una sola vez: debe convertirse en una forma de vida, codificada en el ADN de una organización. Los desarrolladores no sólo tienen que cambiar a la izquierda, o empezar por la izquierda, sino que tienen que permanecer en ella.
No basta con impartir formación. Las organizaciones necesitan confirmar que los desarrolladores han asimilado completamente su formación y siguen las mejores prácticas al principio del ciclo de vida de desarrollo de software (SDLC) como parte de sus rutinas diarias. Es necesario realizar un seguimiento del rendimiento de los desarrolladores y medir su progreso tanto con respecto a los estándares internos como a los puntos de referencia del sector, midiendo de forma eficaz el ROI de la inversión en formación.
Secure Code Warrior's Trust Score proporciona visibilidad sobre el rendimiento de los desarrolladores individuales y agrega los datos para proporcionar una assessment del rendimiento general de su organización. Muestra la eficacia de los programas de mejora de las competencias e identifica las áreas que necesitan mejoras. Y, ayuda a garantizar el cumplimiento de la gama de requisitos de cumplimiento normativo, ya provengan del Reglamento General de Protección de Datos(GDPR), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago(PCI DSS), la Ley de Privacidad del Consumidor de California(CCPA) u otros.
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
La formación mejora la seguridad, si los desarrolladores la reciben
Durante años, el uso de las mejores prácticas de seguridad al inicio del SDLC parecía ser una aspiración en la industria del software, algo a lo que se podía aspirar algún día, pero que no era una prioridad en la actualidad. Pero la velocidad cada vez mayor del desarrollo de software, junto con el ritmo acelerado de las ciberamenazas sofisticadas y destructivas -a menudo basadas en vulnerabilidades de software- han hecho que la codificación segura sea esencial. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras(CISA) pone el código seguro en primer plano con su iniciativa Secure-by-Design, que se está convirtiendo en un movimiento internacional.
Nuestra investigación ha demostrado que la correlación entre un enfoque de seguridad por diseño y una reducción de las vulnerabilidades del software es clara. Analizamos los datos de reducción de vulnerabilidades del 26% de la base de clientes de SCW y descubrimos que la formación de desarrolladores se traducía en reducciones de vulnerabilidades de software que oscilaban entre el 22% y el 84%. Ese rango era el resultado de variables como el tamaño de las empresas implicadas (las empresas más pequeñas con relativamente pocos desarrolladores producían un rango más dramático de resultados), y si un grupo de aprendizaje se centraba en un problema específico, en cuyo caso eliminaban un mayor porcentaje de fallos.
Los resultados de las grandes empresas fueron bastante coherentes. Las empresas con 7.000 desarrolladores o más pueden esperar que las vulnerabilidades se reduzcan entre un 47% y un 53% como resultado de la mejora de las competencias de los desarrolladores en materia de seguridad. Por ejemplo, una empresa estadísticamente media con más de 10.000 desarrolladores -que no es una de las de mayor rendimiento en la plataforma ni una de las de mayor referencia- obtuvo una reducción del 53% en vulnerabilidades.
Por supuesto, la formación más eficaz no adopta un enfoque amplio y único. Debe adaptarse a los entornos de trabajo de los desarrolladores y a los tipos de desarrollo que realizan.
Las empresas deben empezar por establecer los conocimientos básicos que deben tener los desarrolladores para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de perfeccionamiento deben consistir en una formación práctica y ágil en escenarios reales que se ajusten al tipo de trabajo que realizan y a los lenguajes que utilizan. Y deben ser lo suficientemente flexibles para que las sesiones de formación se adapten a sus horarios de trabajo.
Para los desarrolladores, el conjunto de habilidades implica algo más que escribir código. Tienen que ser capaces de comprobar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han hecho un uso ávido de los modelos generativos de IA y, en general, han alabado sus ventajas a la hora de ayudarles a crear más código con mayor rapidez. Sin embargo, aunque el 76% de los participantes en una encuesta de Snyk afirmaron que el código generado por IA era más seguro que el producido por humanos, el 56,4% seguía afirmando que la IA introduce errores a veces o con frecuencia. Y la misma encuesta reveló que el 80% de los desarrolladores omiten la aplicación de políticas de seguridad del código de IA, lo que sugiere que no se están abordando los problemas del código de IA.
En un enfoque de seguridad por diseño, los desarrolladores -trabajando con los equipos de seguridad, en lugar de por separado- abordarán estos problemas en una fase temprana del SDLC, identificando y corrigiendo los fallos antes de que el código pase a producción.
La puntuación de confianza mide el rendimiento individual y empresarial
También es fundamental que la formación sea continua. Las empresas deben adoptar una cultura que dé prioridad a la seguridad y que se aplique en todas partes, desde los niveles más altos de la empresa hasta los más bajos. Debe centrarse en la mejora continua y en la aplicación de las mejores prácticas de seguridad en todo el SDLC. La tecnología y los ciberdelincuentes no dejan de evolucionar; la ciberseguridad tampoco debería hacerlo. Para las organizaciones que producen software, los desarrolladores formados en seguridad son la base.
Por eso, demostrar que la formación se ha asentado de forma efectiva es tan importante como la propia formación. Trust Score no sólo ofrece visibilidad del rendimiento de los desarrolladores individualmente y de la organización en general, sino que permite a las organizaciones desglosar los datos de rendimiento para centrarse en lenguajes específicos, equipos de desarrolladores o categorías de software. Los datos de los resultados de rendimiento individuales y agregados también ayudan a identificar las áreas en las que es necesario mejorar la formación, por ejemplo, si no está teniendo el efecto deseado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las organizaciones evaluar el rendimiento de los desarrolladores y confirmar si han adquirido -y están utilizando- los conocimientos de seguridad necesarios, garantizando que se han ganado su licencia para codificar. Permite a las organizaciones conceder con confianza a los desarrolladores cualificados acceso a sus datos más confidenciales y proyectos de software críticos, mientras que deniega ese acceso a aquellos que aún no están preparados.
Prueba del cambio de la cultura de seguridad
La ciberseguridad ya no es sólo una cuestión de seguridad. Es una cuestión empresarial, que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Una violación grave afecta a las operaciones de una organización, a su reputación y, potencialmente, a su viabilidad. La importancia de la ciberseguridad no ha pasado desapercibida para los organismos reguladores, que han ido aplicando normativas cada vez más estrictas y se han mostrado dispuestos a perseguir a los CISO y, potencialmente, a otros miembros de la alta dirección, incluso hasta el punto de presentar cargos penales, como en los casos de Uber y SolarWinds.
Adoptar una cultura de seguridad en toda la empresa es esencial en el entorno actual. Y dado que gran parte del valor de una empresa reside en sus datos, aplicaciones y servicios, la codificación segura es un elemento esencial de esa cultura. La formación y el perfeccionamiento específicos como parte de una mentalidad cultural, junto con pruebas de que la formación ha ayudado a cambiar la cultura, pueden encaminar a las organizaciones hacia el fortalecimiento de sus posturas de seguridad.
Los programas de seguridad impulsados por los desarrolladores tienen valor. La prueba está en la puntuación de confianza.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
.png)
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.
Inmersión profunda: Navegando por la vulnerabilidad crítica CUPS en sistemas GNU-Linux
Descubra los últimos retos de seguridad a los que se enfrentan los usuarios de Linux mientras exploramos las recientes vulnerabilidades de alta gravedad en el Sistema de Impresión UNIX Común (CUPS). Aprenda cómo estos problemas pueden conducir a una potencial ejecución remota de código (RCE) y lo que puede hacer para proteger sus sistemas.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
