¿Quiere que los desarrolladores codifiquen con conciencia de seguridad? Lleve la formación hasta ellos.
El ciclo de vida del desarrollo de software (SDLC) parece bastante inocuo; es un proceso, y todos los que trabajamos en el ámbito del software nos unimos para hacer realidad la magia y enviar todos esos productos digitales sin los que la sociedad no puede vivir.
Excepto que... si alguna vez has formado parte de un proyecto de desarrollo de software, sabrás que suele ser un guante, con muchas misiones que conquistar y dragones que matar. Es divertido durante un tiempo, pero el agotamiento es real, y la demanda de software nos hace trabajar a la velocidad de la luz en el mejor de los casos, especialmente al equipo de desarrollo.
Ahora imagina que se les lanza otra tarea imprescindible... la responsabilidad de la seguridad en los elementos del proyecto que tocan. Esto, en el peor de los casos, puede hacer que el castillo de naipes se derrumbe para algunos individuos, pero el escenario más realista es que simplemente no se haga una prioridad, y los asuntos considerados más urgentes para superar la línea tengan prioridad. Y cuando la mayoría de los desarrolladores no están capacitados para codificar de forma segura (especialmente si sus gerentes tampoco dan prioridad a la seguridad), no es de extrañar que veamos frecuentes violaciones de datos, lanzamientos de aplicaciones defectuosas, y una seria rotación entre los profesionales de la seguridad que llegan al punto de ruptura bajo una avalancha de código con errores.
Los desarrolladores necesitan un defensor de la seguridad de las aplicaciones.
Si se tiene en cuenta el escenario anterior, se puede entender por qué la seguridad se pone en la cesta de "demasiado difícil" durante el proceso de codificación, y se deja al equipo de seguridad para que lo solucione. Hay demasiados plazos que compiten entre sí, no hay suficiente formación y no hay ninguna razón real para preocuparse por la seguridad con todo lo demás. Sin embargo, hay demasiada demanda de código para que este statu quo continúe. Y ahí es donde los desarrolladores de superélite pueden destacar entre sus compañeros, aprender nuevas habilidades y, lo que es más importante, construir un código más seguro.
Sin embargo, es importante recordar que la gestión de la seguridad del software no recae exclusivamente en los desarrolladores, sino que sigue siendo competencia del equipo de seguridad de las aplicaciones (que, al trabajar con desarrolladores concienciados en materia de seguridad, tendrán más espacio para respirar en lugar de tener que arreglar los errores comunes una y otra vez). Un proceso DevSecOps que funcione requiere que todos los miembros del equipo tengan el apoyo y las herramientas que necesitan para compartir la responsabilidad de la seguridad, y el tipo correcto de formación es primordial. Equilibrar el conjunto adecuado de herramientas y formación requiere la perspicacia de los profesionales de AppSec dispuestos a trabajar estrechamente con los desarrolladores para inspirarlos e impulsar un cambio positivo.
La formación disruptiva es más molesta que efectiva, y cualquier cosa que repela a los desarrolladores no va a funcionar. Una solución integrada en el IDE o en el gestor de incidencias, centrada en el conocimiento en forma de bocado, es una alternativa que pone a su disposición la información adecuada en el momento en que la necesitan.
Así es como funciona en acción:
Justo a tiempo, no "por si acaso".
Elaprendizaje contextual y práctico es, con mucho, la forma más eficaz de formar, con trozos del tamaño de un bocado entregados justo cuando tienen más sentido. Esto se denomina a veces formación "Just in Time" (JiT), y es muy potente para los desarrolladores que aprenden a codificar de forma segura.
Con orígenes en los principios de fabricación ajustada de Toyota, la formación JiT está diseñada para activarse en función de las necesidades, en contexto, cuando más importa. ¿Un desarrollador acaba de escribir algo que parece tener permisos inadecuados? ¿Y si se ha abierto una pequeña puerta trasera que permite a un atacante ejecutar código de forma remota? Será mucho más memorable si los desarrolladores pueden acceder a los conocimientos cuando los necesiten, en lugar de tener que buscar en la documentación de Confluence o buscar en Google algo que se haya tratado en la formación.
El aprendizaje "justo a tiempo" es la antítesis del aprendizaje "por si acaso"; aunque este último es la forma más común de impartir conocimientos, simplemente no es eficiente. Debemos facilitar que los desarrolladores se comprometan con las mejores prácticas de codificación segura, y que vean el beneficio de actualizarse para su carrera mientras mantienen el enfoque en los objetivos clave en los que están trabajando en este momento.
Deja de hacer que los desarrolladores persigan la formación.
Ya sabemos que hay demasiadas cosas que hacer en un día de trabajo, así que ¿qué incentivo tienen los desarrolladores para desplazarse a un aula, o cambiar de contexto para pasar por cinco pasos para acceder a una formación estática basada en la teoría?
El consenso general es que todo lo que la mayoría de las organizaciones están haciendo no es terriblemente eficaz si la cantidad de vulnerabilidades que causan las violaciones de datos es algo a tener en cuenta. El informe sobre investigaciones de fugas de datos de 2020 de Verizon especificaba que el 43% de las fugas de datos podían atribuirse a vulnerabilidades de la web. Los desarrolladores no están recibiendo una formación eficaz, ni en la educación superior, ni como parte de las medidas de actualización en el lugar de trabajo. Si lo hicieran, las vulnerabilidades más comunes, como la inyección de SQL y el path traversal de la vieja escuela, no se explotarían para obtener datos importantes, y la escasez de habilidades de ciberseguridad no estaría fuera de control.
Entonces, sabiendo que este es el clima actual en el que los desarrolladores reciben formación y se familiarizan con la seguridad, ¿por qué nos sorprende el mal resultado? Podría tener un efecto, positivo, tanto para el desarrollador como para la organización, asegurar una experiencia de formación más fluida, más integrada y menos discordante, donde sea accesible en los espacios en los que realmente trabajan, como Jira, GitHub y en el IDE. La industria simplemente necesita avanzar y hacer que la concienciación sobre la seguridad sea mucho más fácil, en un entorno en el que ya no es un lujo.
¿Listo para asegurar el flujo de trabajo de desarrollo?
Los desarrolladores concienciados con la seguridad son venerados por sus habilidades y por la protección que pueden ofrecer a las organizaciones desde la fase de creación del código. La seguridad ya no es opcional, especialmente con las multas del GDPR, las normativas de cumplimiento de PCI-DSS, la gobernanza del NIST... y la posibilidad de ser demandado en una gran demanda colectiva multimillonaria, a la Equifax.
Un enfoque integrado podría ser el catalizador para empezar a ganarse a los desarrolladores con un aprendizaje menos disruptivo, y crear algunas vías para profundizar en courses, formar a los campeones de la seguridad y, en general, inspirar esa responsabilidad compartida que necesitamos para mantener los datos del mundo seguros y sanos.
Descargue ahora las herramientas de integración para Jira y GitHub, y díganos lo que piensa.
Ya sabemos que hay demasiadas cosas que hacer en un día de trabajo, así que ¿qué incentivo tienen los desarrolladores para desplazarse a un aula, o cambiar de contexto para pasar por cinco pasos para acceder a una formación estática basada en la teoría?
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
El ciclo de vida del desarrollo de software (SDLC) parece bastante inocuo; es un proceso, y todos los que trabajamos en el ámbito del software nos unimos para hacer realidad la magia y enviar todos esos productos digitales sin los que la sociedad no puede vivir.
Excepto que... si alguna vez has formado parte de un proyecto de desarrollo de software, sabrás que suele ser un guante, con muchas misiones que conquistar y dragones que matar. Es divertido durante un tiempo, pero el agotamiento es real, y la demanda de software nos hace trabajar a la velocidad de la luz en el mejor de los casos, especialmente al equipo de desarrollo.
Ahora imagina que se les lanza otra tarea imprescindible... la responsabilidad de la seguridad en los elementos del proyecto que tocan. Esto, en el peor de los casos, puede hacer que el castillo de naipes se derrumbe para algunos individuos, pero el escenario más realista es que simplemente no se haga una prioridad, y los asuntos considerados más urgentes para superar la línea tengan prioridad. Y cuando la mayoría de los desarrolladores no están capacitados para codificar de forma segura (especialmente si sus gerentes tampoco dan prioridad a la seguridad), no es de extrañar que veamos frecuentes violaciones de datos, lanzamientos de aplicaciones defectuosas, y una seria rotación entre los profesionales de la seguridad que llegan al punto de ruptura bajo una avalancha de código con errores.
Los desarrolladores necesitan un defensor de la seguridad de las aplicaciones.
Si se tiene en cuenta el escenario anterior, se puede entender por qué la seguridad se pone en la cesta de "demasiado difícil" durante el proceso de codificación, y se deja al equipo de seguridad para que lo solucione. Hay demasiados plazos que compiten entre sí, no hay suficiente formación y no hay ninguna razón real para preocuparse por la seguridad con todo lo demás. Sin embargo, hay demasiada demanda de código para que este statu quo continúe. Y ahí es donde los desarrolladores de superélite pueden destacar entre sus compañeros, aprender nuevas habilidades y, lo que es más importante, construir un código más seguro.
Sin embargo, es importante recordar que la gestión de la seguridad del software no recae exclusivamente en los desarrolladores, sino que sigue siendo competencia del equipo de seguridad de las aplicaciones (que, al trabajar con desarrolladores concienciados en materia de seguridad, tendrán más espacio para respirar en lugar de tener que arreglar los errores comunes una y otra vez). Un proceso DevSecOps que funcione requiere que todos los miembros del equipo tengan el apoyo y las herramientas que necesitan para compartir la responsabilidad de la seguridad, y el tipo correcto de formación es primordial. Equilibrar el conjunto adecuado de herramientas y formación requiere la perspicacia de los profesionales de AppSec dispuestos a trabajar estrechamente con los desarrolladores para inspirarlos e impulsar un cambio positivo.
La formación disruptiva es más molesta que efectiva, y cualquier cosa que repela a los desarrolladores no va a funcionar. Una solución integrada en el IDE o en el gestor de incidencias, centrada en el conocimiento en forma de bocado, es una alternativa que pone a su disposición la información adecuada en el momento en que la necesitan.
Así es como funciona en acción:
Justo a tiempo, no "por si acaso".
Elaprendizaje contextual y práctico es, con mucho, la forma más eficaz de formar, con trozos del tamaño de un bocado entregados justo cuando tienen más sentido. Esto se denomina a veces formación "Just in Time" (JiT), y es muy potente para los desarrolladores que aprenden a codificar de forma segura.
Con orígenes en los principios de fabricación ajustada de Toyota, la formación JiT está diseñada para activarse en función de las necesidades, en contexto, cuando más importa. ¿Un desarrollador acaba de escribir algo que parece tener permisos inadecuados? ¿Y si se ha abierto una pequeña puerta trasera que permite a un atacante ejecutar código de forma remota? Será mucho más memorable si los desarrolladores pueden acceder a los conocimientos cuando los necesiten, en lugar de tener que buscar en la documentación de Confluence o buscar en Google algo que se haya tratado en la formación.
El aprendizaje "justo a tiempo" es la antítesis del aprendizaje "por si acaso"; aunque este último es la forma más común de impartir conocimientos, simplemente no es eficiente. Debemos facilitar que los desarrolladores se comprometan con las mejores prácticas de codificación segura, y que vean el beneficio de actualizarse para su carrera mientras mantienen el enfoque en los objetivos clave en los que están trabajando en este momento.
Deja de hacer que los desarrolladores persigan la formación.
Ya sabemos que hay demasiadas cosas que hacer en un día de trabajo, así que ¿qué incentivo tienen los desarrolladores para desplazarse a un aula, o cambiar de contexto para pasar por cinco pasos para acceder a una formación estática basada en la teoría?
El consenso general es que todo lo que la mayoría de las organizaciones están haciendo no es terriblemente eficaz si la cantidad de vulnerabilidades que causan las violaciones de datos es algo a tener en cuenta. El informe sobre investigaciones de fugas de datos de 2020 de Verizon especificaba que el 43% de las fugas de datos podían atribuirse a vulnerabilidades de la web. Los desarrolladores no están recibiendo una formación eficaz, ni en la educación superior, ni como parte de las medidas de actualización en el lugar de trabajo. Si lo hicieran, las vulnerabilidades más comunes, como la inyección de SQL y el path traversal de la vieja escuela, no se explotarían para obtener datos importantes, y la escasez de habilidades de ciberseguridad no estaría fuera de control.
Entonces, sabiendo que este es el clima actual en el que los desarrolladores reciben formación y se familiarizan con la seguridad, ¿por qué nos sorprende el mal resultado? Podría tener un efecto, positivo, tanto para el desarrollador como para la organización, asegurar una experiencia de formación más fluida, más integrada y menos discordante, donde sea accesible en los espacios en los que realmente trabajan, como Jira, GitHub y en el IDE. La industria simplemente necesita avanzar y hacer que la concienciación sobre la seguridad sea mucho más fácil, en un entorno en el que ya no es un lujo.
¿Listo para asegurar el flujo de trabajo de desarrollo?
Los desarrolladores concienciados con la seguridad son venerados por sus habilidades y por la protección que pueden ofrecer a las organizaciones desde la fase de creación del código. La seguridad ya no es opcional, especialmente con las multas del GDPR, las normativas de cumplimiento de PCI-DSS, la gobernanza del NIST... y la posibilidad de ser demandado en una gran demanda colectiva multimillonaria, a la Equifax.
Un enfoque integrado podría ser el catalizador para empezar a ganarse a los desarrolladores con un aprendizaje menos disruptivo, y crear algunas vías para profundizar en courses, formar a los campeones de la seguridad y, en general, inspirar esa responsabilidad compartida que necesitamos para mantener los datos del mundo seguros y sanos.
Descargue ahora las herramientas de integración para Jira y GitHub, y díganos lo que piensa.
El ciclo de vida del desarrollo de software (SDLC) parece bastante inocuo; es un proceso, y todos los que trabajamos en el ámbito del software nos unimos para hacer realidad la magia y enviar todos esos productos digitales sin los que la sociedad no puede vivir.
Excepto que... si alguna vez has formado parte de un proyecto de desarrollo de software, sabrás que suele ser un guante, con muchas misiones que conquistar y dragones que matar. Es divertido durante un tiempo, pero el agotamiento es real, y la demanda de software nos hace trabajar a la velocidad de la luz en el mejor de los casos, especialmente al equipo de desarrollo.
Ahora imagina que se les lanza otra tarea imprescindible... la responsabilidad de la seguridad en los elementos del proyecto que tocan. Esto, en el peor de los casos, puede hacer que el castillo de naipes se derrumbe para algunos individuos, pero el escenario más realista es que simplemente no se haga una prioridad, y los asuntos considerados más urgentes para superar la línea tengan prioridad. Y cuando la mayoría de los desarrolladores no están capacitados para codificar de forma segura (especialmente si sus gerentes tampoco dan prioridad a la seguridad), no es de extrañar que veamos frecuentes violaciones de datos, lanzamientos de aplicaciones defectuosas, y una seria rotación entre los profesionales de la seguridad que llegan al punto de ruptura bajo una avalancha de código con errores.
Los desarrolladores necesitan un defensor de la seguridad de las aplicaciones.
Si se tiene en cuenta el escenario anterior, se puede entender por qué la seguridad se pone en la cesta de "demasiado difícil" durante el proceso de codificación, y se deja al equipo de seguridad para que lo solucione. Hay demasiados plazos que compiten entre sí, no hay suficiente formación y no hay ninguna razón real para preocuparse por la seguridad con todo lo demás. Sin embargo, hay demasiada demanda de código para que este statu quo continúe. Y ahí es donde los desarrolladores de superélite pueden destacar entre sus compañeros, aprender nuevas habilidades y, lo que es más importante, construir un código más seguro.
Sin embargo, es importante recordar que la gestión de la seguridad del software no recae exclusivamente en los desarrolladores, sino que sigue siendo competencia del equipo de seguridad de las aplicaciones (que, al trabajar con desarrolladores concienciados en materia de seguridad, tendrán más espacio para respirar en lugar de tener que arreglar los errores comunes una y otra vez). Un proceso DevSecOps que funcione requiere que todos los miembros del equipo tengan el apoyo y las herramientas que necesitan para compartir la responsabilidad de la seguridad, y el tipo correcto de formación es primordial. Equilibrar el conjunto adecuado de herramientas y formación requiere la perspicacia de los profesionales de AppSec dispuestos a trabajar estrechamente con los desarrolladores para inspirarlos e impulsar un cambio positivo.
La formación disruptiva es más molesta que efectiva, y cualquier cosa que repela a los desarrolladores no va a funcionar. Una solución integrada en el IDE o en el gestor de incidencias, centrada en el conocimiento en forma de bocado, es una alternativa que pone a su disposición la información adecuada en el momento en que la necesitan.
Así es como funciona en acción:
Justo a tiempo, no "por si acaso".
Elaprendizaje contextual y práctico es, con mucho, la forma más eficaz de formar, con trozos del tamaño de un bocado entregados justo cuando tienen más sentido. Esto se denomina a veces formación "Just in Time" (JiT), y es muy potente para los desarrolladores que aprenden a codificar de forma segura.
Con orígenes en los principios de fabricación ajustada de Toyota, la formación JiT está diseñada para activarse en función de las necesidades, en contexto, cuando más importa. ¿Un desarrollador acaba de escribir algo que parece tener permisos inadecuados? ¿Y si se ha abierto una pequeña puerta trasera que permite a un atacante ejecutar código de forma remota? Será mucho más memorable si los desarrolladores pueden acceder a los conocimientos cuando los necesiten, en lugar de tener que buscar en la documentación de Confluence o buscar en Google algo que se haya tratado en la formación.
El aprendizaje "justo a tiempo" es la antítesis del aprendizaje "por si acaso"; aunque este último es la forma más común de impartir conocimientos, simplemente no es eficiente. Debemos facilitar que los desarrolladores se comprometan con las mejores prácticas de codificación segura, y que vean el beneficio de actualizarse para su carrera mientras mantienen el enfoque en los objetivos clave en los que están trabajando en este momento.
Deja de hacer que los desarrolladores persigan la formación.
Ya sabemos que hay demasiadas cosas que hacer en un día de trabajo, así que ¿qué incentivo tienen los desarrolladores para desplazarse a un aula, o cambiar de contexto para pasar por cinco pasos para acceder a una formación estática basada en la teoría?
El consenso general es que todo lo que la mayoría de las organizaciones están haciendo no es terriblemente eficaz si la cantidad de vulnerabilidades que causan las violaciones de datos es algo a tener en cuenta. El informe sobre investigaciones de fugas de datos de 2020 de Verizon especificaba que el 43% de las fugas de datos podían atribuirse a vulnerabilidades de la web. Los desarrolladores no están recibiendo una formación eficaz, ni en la educación superior, ni como parte de las medidas de actualización en el lugar de trabajo. Si lo hicieran, las vulnerabilidades más comunes, como la inyección de SQL y el path traversal de la vieja escuela, no se explotarían para obtener datos importantes, y la escasez de habilidades de ciberseguridad no estaría fuera de control.
Entonces, sabiendo que este es el clima actual en el que los desarrolladores reciben formación y se familiarizan con la seguridad, ¿por qué nos sorprende el mal resultado? Podría tener un efecto, positivo, tanto para el desarrollador como para la organización, asegurar una experiencia de formación más fluida, más integrada y menos discordante, donde sea accesible en los espacios en los que realmente trabajan, como Jira, GitHub y en el IDE. La industria simplemente necesita avanzar y hacer que la concienciación sobre la seguridad sea mucho más fácil, en un entorno en el que ya no es un lujo.
¿Listo para asegurar el flujo de trabajo de desarrollo?
Los desarrolladores concienciados con la seguridad son venerados por sus habilidades y por la protección que pueden ofrecer a las organizaciones desde la fase de creación del código. La seguridad ya no es opcional, especialmente con las multas del GDPR, las normativas de cumplimiento de PCI-DSS, la gobernanza del NIST... y la posibilidad de ser demandado en una gran demanda colectiva multimillonaria, a la Equifax.
Un enfoque integrado podría ser el catalizador para empezar a ganarse a los desarrolladores con un aprendizaje menos disruptivo, y crear algunas vías para profundizar en courses, formar a los campeones de la seguridad y, en general, inspirar esa responsabilidad compartida que necesitamos para mantener los datos del mundo seguros y sanos.
Descargue ahora las herramientas de integración para Jira y GitHub, y díganos lo que piensa.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
El ciclo de vida del desarrollo de software (SDLC) parece bastante inocuo; es un proceso, y todos los que trabajamos en el ámbito del software nos unimos para hacer realidad la magia y enviar todos esos productos digitales sin los que la sociedad no puede vivir.
Excepto que... si alguna vez has formado parte de un proyecto de desarrollo de software, sabrás que suele ser un guante, con muchas misiones que conquistar y dragones que matar. Es divertido durante un tiempo, pero el agotamiento es real, y la demanda de software nos hace trabajar a la velocidad de la luz en el mejor de los casos, especialmente al equipo de desarrollo.
Ahora imagina que se les lanza otra tarea imprescindible... la responsabilidad de la seguridad en los elementos del proyecto que tocan. Esto, en el peor de los casos, puede hacer que el castillo de naipes se derrumbe para algunos individuos, pero el escenario más realista es que simplemente no se haga una prioridad, y los asuntos considerados más urgentes para superar la línea tengan prioridad. Y cuando la mayoría de los desarrolladores no están capacitados para codificar de forma segura (especialmente si sus gerentes tampoco dan prioridad a la seguridad), no es de extrañar que veamos frecuentes violaciones de datos, lanzamientos de aplicaciones defectuosas, y una seria rotación entre los profesionales de la seguridad que llegan al punto de ruptura bajo una avalancha de código con errores.
Los desarrolladores necesitan un defensor de la seguridad de las aplicaciones.
Si se tiene en cuenta el escenario anterior, se puede entender por qué la seguridad se pone en la cesta de "demasiado difícil" durante el proceso de codificación, y se deja al equipo de seguridad para que lo solucione. Hay demasiados plazos que compiten entre sí, no hay suficiente formación y no hay ninguna razón real para preocuparse por la seguridad con todo lo demás. Sin embargo, hay demasiada demanda de código para que este statu quo continúe. Y ahí es donde los desarrolladores de superélite pueden destacar entre sus compañeros, aprender nuevas habilidades y, lo que es más importante, construir un código más seguro.
Sin embargo, es importante recordar que la gestión de la seguridad del software no recae exclusivamente en los desarrolladores, sino que sigue siendo competencia del equipo de seguridad de las aplicaciones (que, al trabajar con desarrolladores concienciados en materia de seguridad, tendrán más espacio para respirar en lugar de tener que arreglar los errores comunes una y otra vez). Un proceso DevSecOps que funcione requiere que todos los miembros del equipo tengan el apoyo y las herramientas que necesitan para compartir la responsabilidad de la seguridad, y el tipo correcto de formación es primordial. Equilibrar el conjunto adecuado de herramientas y formación requiere la perspicacia de los profesionales de AppSec dispuestos a trabajar estrechamente con los desarrolladores para inspirarlos e impulsar un cambio positivo.
La formación disruptiva es más molesta que efectiva, y cualquier cosa que repela a los desarrolladores no va a funcionar. Una solución integrada en el IDE o en el gestor de incidencias, centrada en el conocimiento en forma de bocado, es una alternativa que pone a su disposición la información adecuada en el momento en que la necesitan.
Así es como funciona en acción:
Justo a tiempo, no "por si acaso".
Elaprendizaje contextual y práctico es, con mucho, la forma más eficaz de formar, con trozos del tamaño de un bocado entregados justo cuando tienen más sentido. Esto se denomina a veces formación "Just in Time" (JiT), y es muy potente para los desarrolladores que aprenden a codificar de forma segura.
Con orígenes en los principios de fabricación ajustada de Toyota, la formación JiT está diseñada para activarse en función de las necesidades, en contexto, cuando más importa. ¿Un desarrollador acaba de escribir algo que parece tener permisos inadecuados? ¿Y si se ha abierto una pequeña puerta trasera que permite a un atacante ejecutar código de forma remota? Será mucho más memorable si los desarrolladores pueden acceder a los conocimientos cuando los necesiten, en lugar de tener que buscar en la documentación de Confluence o buscar en Google algo que se haya tratado en la formación.
El aprendizaje "justo a tiempo" es la antítesis del aprendizaje "por si acaso"; aunque este último es la forma más común de impartir conocimientos, simplemente no es eficiente. Debemos facilitar que los desarrolladores se comprometan con las mejores prácticas de codificación segura, y que vean el beneficio de actualizarse para su carrera mientras mantienen el enfoque en los objetivos clave en los que están trabajando en este momento.
Deja de hacer que los desarrolladores persigan la formación.
Ya sabemos que hay demasiadas cosas que hacer en un día de trabajo, así que ¿qué incentivo tienen los desarrolladores para desplazarse a un aula, o cambiar de contexto para pasar por cinco pasos para acceder a una formación estática basada en la teoría?
El consenso general es que todo lo que la mayoría de las organizaciones están haciendo no es terriblemente eficaz si la cantidad de vulnerabilidades que causan las violaciones de datos es algo a tener en cuenta. El informe sobre investigaciones de fugas de datos de 2020 de Verizon especificaba que el 43% de las fugas de datos podían atribuirse a vulnerabilidades de la web. Los desarrolladores no están recibiendo una formación eficaz, ni en la educación superior, ni como parte de las medidas de actualización en el lugar de trabajo. Si lo hicieran, las vulnerabilidades más comunes, como la inyección de SQL y el path traversal de la vieja escuela, no se explotarían para obtener datos importantes, y la escasez de habilidades de ciberseguridad no estaría fuera de control.
Entonces, sabiendo que este es el clima actual en el que los desarrolladores reciben formación y se familiarizan con la seguridad, ¿por qué nos sorprende el mal resultado? Podría tener un efecto, positivo, tanto para el desarrollador como para la organización, asegurar una experiencia de formación más fluida, más integrada y menos discordante, donde sea accesible en los espacios en los que realmente trabajan, como Jira, GitHub y en el IDE. La industria simplemente necesita avanzar y hacer que la concienciación sobre la seguridad sea mucho más fácil, en un entorno en el que ya no es un lujo.
¿Listo para asegurar el flujo de trabajo de desarrollo?
Los desarrolladores concienciados con la seguridad son venerados por sus habilidades y por la protección que pueden ofrecer a las organizaciones desde la fase de creación del código. La seguridad ya no es opcional, especialmente con las multas del GDPR, las normativas de cumplimiento de PCI-DSS, la gobernanza del NIST... y la posibilidad de ser demandado en una gran demanda colectiva multimillonaria, a la Equifax.
Un enfoque integrado podría ser el catalizador para empezar a ganarse a los desarrolladores con un aprendizaje menos disruptivo, y crear algunas vías para profundizar en courses, formar a los campeones de la seguridad y, en general, inspirar esa responsabilidad compartida que necesitamos para mantener los datos del mundo seguros y sanos.
Descargue ahora las herramientas de integración para Jira y GitHub, y díganos lo que piensa.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
.png)
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
