Las mejores prácticas de ciberseguridad han sido un tema candente durante más de una década, debatido con frecuencia a nivel gubernamental en la mayoría de las regiones de todo el mundo. Los ciberataques son esencialmente una realidad diaria, y cualquier entidad que almacene datos privados valiosos en línea es un objetivo potencial. Sólo en Alemania, el Ministerio Federal de Educación e Investigación estima que el 96% de todas las pequeñas y medianas empresas han sufrido ya un incidente de seguridad informática. El mismo informe subraya la necesidad urgente de investigación, legislación y concienciación en materia de ciberseguridad, con un llamamiento definitivo a la inclusión de una formación más sólida en materia de seguridad en los campos de la informática y las tecnologías de la información.

Con la llegada del GDPR, así como una estrategia revisada tras un ataque de varias etapas que expuso los datos sensibles de muchas figuras públicas -así como los servidores del gobierno federal alemán-, está claro que la concienciación y la acción en materia de ciberseguridad son prioritarias para los líderes de la región DACH. El hackeo de finales de 2018 fue ejecutado por un estudiante de 20 años de edad con una habilidad relativamente baja, y su principal punto de acceso a información altamente sensible fue posible mediante la simple adivinación de contraseñas. Aunque se trató de un exploit de autenticación extremadamente preocupante, puso de manifiesto la necesidad de una concienciación de seguridad mucho mayor a nivel gubernamental, empresarial y social. Un informe de 2019 destacó que Alemania se estaba quedando atrás en términos de iniciativas de defensa de la ciberseguridad, confiando en la legislación como táctica principal. Sin embargo, con la llegada de DevSecOps como metodología de desarrollo ideal, muchas empresas han reconocido la necesidad de formación práctica, creación de software seguro por diseño y programas de concienciación de seguridad en toda la empresa.

El latido de la seguridad del software en DACH

Organizaciones como OWASP y MITRE publican clasificaciones con datos verificados de las vulnerabilidades más frecuentes. En todos los lenguajes, la inyección SQL ocupa el primer lugar y, a pesar de tener décadas de antigüedad, es un fallo común y a menudo explotado con consecuencias desastrosas.

El software bancario suizo BPC, SmartVista, fue alertado de una vulnerabilidad SQLi por SwissCERT, sin embargo, permaneció sin parchear durante meses a pesar de su potencial para exponer datos sensibles de los clientes, incluyendo números de tarjetas de crédito. La inyección de SQL puede conducir, y de hecho lo hace, a peligrosas infracciones, como la que se produjo en 2017 en múltiples departamentos gubernamentales y universidades de Estados Unidos y Reino Unido. Muchos de estos incidentes son causados por procesos de validación de entrada poco rigurosos, lo que permite a un atacante insertar código malicioso desde el front-end de una aplicación. Otra fuente común de vulnerabilidad es el uso de código de proveedor inseguro que no se revisa para detectar fallos de seguridad, y así se introducen los defectos en un entorno de producción previamente escaneado y autorizado. Ninguno de estos puntos de acceso es específico de la región DACH, sino que son ejemplos globales de malas prácticas de seguridad que no pueden continuar a medida que el mundo produce más código.

Es imperativo parchear los problemas tan pronto como se descubran, y la decisión de SmartVista de dar largas al asunto podría haber sido un desastre. Aunque DACH ha tenido su cuota de infracciones, unas directrices y un apoyo más centrados en la concienciación y la formación en materia de seguridad podrían evitar que los posibles problemas a nivel organizativo se les fueran de las manos, y esto requerirá una legislación mucho más específica a la hora de impulsar una formación evaluada para los desarrolladores.

No toda la formación en código seguro es igual.

Muchas directivas de ciberseguridad de todo el mundo son cada vez más completas, pero siguen siendo poco específicas a la hora de definir una formación eficaz en materia de seguridad. La directiva NIS de la UE incluye el requisito de "concienciación, formación y educación" a nivel nacional, pero precipitarse en una solución de formación puede no tener el resultado deseado de una reducción tangible del riesgo si carece de elementos clave que impulsen a los desarrolladores de competencias y el cambio organizativo.

Las soluciones educativas varían, y la formación debe ser específica para el trabajo diario del desarrollador (incluyendo la capacidad de aprender en su lenguaje y marco preferidos), así como seguir siendo atractiva y medible a lo largo del tiempo.

Las soluciones de formación estática, como la formación en vídeo por ordenador, suelen ser demasiado genéricas y rara vez se revisan o se evalúan en función de su éxito a la hora de impulsar la concienciación y la habilidad para evitar que las vulnerabilidades entren en el código mientras se escribe. La formación dinámica, sin embargo, es vital para mejorar las habilidades de los desarrolladores con ejemplos contextuales, además de proporcionar métricas que influyen en los procesos de mitigación del negocio. Se actualiza con frecuencia, promueve un alto nivel de retención de conocimientos y forma parte de la creación de desarrolladores conscientes de la seguridad que contribuyen a una cultura de seguridad positiva en su lugar de trabajo.

Secure Code Warrior datos de los pilotos de DACH:

Secure Code Warrior Ema Rimeike, Directora de Ventas (MSc in Cyber Security) ha estado trabajando estrechamente con organizaciones en la región DACH, llevando a cabo programas piloto para desarrolladores para medir la competencia interna de codificación segura entre los desarrolladores, su compromiso con las mejores prácticas de seguridad, así como la cultura general de seguridad de la empresa. Utilizando una formación en código seguro dinámica y gamificada, sus principales conclusiones revelan un futuro brillante cuando los desarrolladores reciben los conocimientos y las herramientas que fomentan la reducción de la vulnerabilidad con éxito desde el inicio del SDLC.

Durante sus programas piloto, recopiló estadísticas basadas en una media de 90 minutos invertidos por usuario en la plataforma Secure Code Warrior (SCW), en la que jugaron a 15 retos de codificación segura(lecciones de tamaño reducido, gamificadas y a su propio ritmo):

Los usuarios emplearon una media de 5,5 minutos en completar un reto, frente a los 3 minutos de media de otros pilotos globales de SCW.

• Precisión frente a confianza: Los pilotos de DACH registraron un porcentaje medio de entre el 88 y el 92% de confianza en sus respuestas a los retos, pero la precisión de estas respuestas se situó entre el 53 y el 66%
• Más del 75% de los participantes encuestados prefieren los métodos de formación gamificados -o dinámicos-, en contraste con los enfoques estáticos como la formación basada en ordenador (CBT).
• Entre las vulnerabilidades más frecuentes, observamos fallos de inyección, errores de configuración de la seguridad, secuencias de comandos en sitios cruzados (XSS), uso inadecuado de la plataforma, control de acceso, autenticación, corrupción de la memoria, falsificación de solicitudes en sitios cruzados, protección insuficiente de la capa de transporte y redireccionamientos y reenvíos no validados.

No es ningún secreto que, en general, muchos en la región DACH valoran una fuerte ética de trabajo y el enfoque en la precisión, y los desarrolladores que prueban el programa piloto no son una excepción. Estos datos hablan de su desconocimiento de este tipo de entrenamiento, pero también del deseo de seguir jugando, de mejorar su puntuación y de evitar el uso de la función de "pista" disponible. Su deseo de aprender y mejorar es evidente, pero también muestra que hay que trabajar más para implantar una formación y concienciación eficaces dentro de la propia organización.

Una buena formación que reduzca el riesgo y frustre las vulnerabilidades no es un ejercicio puntual, y es algo más que el cumplimiento. Los directivos y el personal de AppSec deben esforzarse por poner en marcha un programa de concienciación en materia de seguridad con una estrategia y un apoyo que reflejen los objetivos principales de seguridad y traten de mantenerlos a largo plazo. Esta es, en efecto, la columna vertebral de un proceso DevSecOps exitoso con desarrolladores conscientes de la seguridad.

¿Qué revela un programa piloto a una organización?

Los programas piloto deSecure Code Warrior son una herramienta increíblemente valiosa para ofrecer a las empresas una instantánea de su estado actual de seguridad (normalmente entre el 65 y el 75 %), así como de las áreas de mejora inmediata. Revelan:

• Claridad en cuanto a las vulnerabilidades que deben abordarse de forma prioritaria, así como si esta dirección debe aplicarse a un equipo, una unidad de negocio o un lenguaje de programación concretos
• Un alcance preciso y más amplio de la inteligencia sobre los factores de riesgo de ciberseguridad dentro de su SDLC, abarcando el factor humano del desarrollo de software.
• Al aprovechar la plataforma SCW, las organizaciones podrían predecir el resultado potencial de las pruebas de penetración y tener la oportunidad de mitigar esos riesgos por adelantado, preparando a los equipos incluso antes de que se les asigne un proyecto específico.

En las organizaciones que han empezado a poner en marcha programas de seguridad completos y eficaces, normalmente se aprueban de 1 a 1,5 horas semanales de desarrollo profesional a nivel de dirección, para ayudar a sus desarrolladores a actualizar sus conocimientos de codificación segura. Sin embargo, estamos observando que las organizaciones están dejando de centrarse en el "tiempo dedicado a la plataforma" para centrarse en "qué equipos de desarrollo de software suponen el mayor y el menor riesgo para la empresa". Esto está estrechamente vinculado a la certificación formalizada/el cinturón, el descubrimiento de campeones de seguridad y los programas de tutoría para obtener los mejores resultados. La asignación de tiempo, además de la constructiva y positiva assessment es absolutamente clave para crear desarrolladores conscientes de la seguridad que no sólo les guste la seguridad, sino que reduzcan de forma medible el riesgo para la empresa.

¿Cómo utilizan ya las organizaciones Secure Code Warrior?

Varias empresas ya están utilizando Secure Code Warrior para concienciar, desarrollar las habilidades de los desarrolladores y ampliar una cultura de seguridad positiva.

Por ejemplo, en un caso de uso, un equipo de formación en la plataforma utilizó el SCW para revelar sus puntos fuertes y débiles en materia de seguridad:  

Acción de los desarrolladores: Los desarrolladores pudieron ver sus propios resultados, mostrando las áreas en las que debían centrarse y capacitarse para autodirigirse, y seguir el ritmo de la formación para mitigar vulnerabilidades específicas o lagunas de conocimiento que les ayudarán en futuras construcciones de software.

Acción de gestión: Analizaron los puntos fuertes y débiles generales a nivel de equipo, y pudieron prescribir un enfoque gamificado que aborda las áreas específicas de preocupación. Esto creó una vía educativa bidireccional que construye conocimientos relevantes rápidamente.

Resultado: Una vez que se realiza el pentesting a nivel de equipo, cualquier vulnerabilidad es visible, y la comparación de los resultados anteriores facilitó la validación de si la formación había sido eficaz para reducir los errores de seguridad más comunes.

Esto nos lleva de nuevo a las etapas iniciales del desarrollo de software, en las que los objetivos del equipo de formación previa de mejora continua y la introducción de las mejores prácticas de seguridad al principio pueden ser eficaces, fáciles de desplegar y ahorrar tiempo en todo el ámbito del desarrollo.

Equipos de proyectos DevSecOps

En un entorno ideal de DevSecOps, varias unidades de negocio están representadas en un equipo de proyecto para decidir y ofrecer resultados básicos, uno de los cuales son las mejores prácticas de seguridad.

En cuanto a la investigación y planificación previas al proyecto, la plataforma SCW puede evaluar las habilidades de seguridad del equipo de desarrollo propuesto antes de que comience a trabajar, prediciendo los posibles resultados de las pruebas de pentesting y los retrasos relacionados con la seguridad en el SDLC con tiempo más que suficiente para prepararse adecuadamente para ellos. Se puede crear una formación específica para el código y la estructura del proyecto para que el equipo trabaje, incluyendo un proceso de assessment/certificación que verifique las habilidades generales de concienciación sobre la seguridad, requiriendo una nota de aprobación preestablecida antes de que se les deje libres en los entregables del proyecto.

Esto ofrece un enfoque de inmenso valor empresarial para reducir el coste de la corrección de vulnerabilidades, mitigar los riesgos de seguridad, ahorrar tiempo en las pruebas de pentesting, reducir el coste de los costosos programas de recompensas y mejorar la capacitación de la cohorte de desarrollo de forma centralizada, sostenible, escalable y unificada.

Conclusión:

Existe una mayor presión sobre las empresas para que den prioridad a la seguridad, mantengan nuestros datos a salvo y cumplan con una normativa cada vez más estricta a nivel mundial, pero especialmente para las organizaciones que comercian en la UE bajo las estrictas directrices del GDPR.

Para las empresas de la región DACH, está claro que están haciendo vías de seguridad viables al conectar el esfuerzo y los resultados de la formación con las actividades del mundo real relacionadas con la prevención de riesgos, incluida la reducción de vulnerabilidades comunes en el código que producen.

Para construir un caso empresarial verdaderamente cuantificable para aumentar los presupuestos de seguridad, la concienciación y el cumplimiento general, la formación debe ser atractiva para los desarrolladores, consistente, adaptable y medible. El seguimiento de las etapas actuales de la capacidad para adaptar la formación adecuada, el descubrimiento de los campeones de la seguridad y la medición del rendimiento del equipo a lo largo del tiempo son iniciativas vitales, y muchas empresas con visión de futuro en toda la región de Dach se están dando cuenta de los beneficios después de un piloto completo de SCW.

Muchas empresas luchan con métricas de rendimiento de seguridad que son demasiado genéricas. Con un uso consistente y a largo plazo de la plataforma SCW, las empresas podrían utilizar evaluaciones de precisión, courses, y métricas de gestión para descubrir:

• Reducción de las vulnerabilidades a lo largo del tiempo
• Reducción de los costes para solucionar las vulnerabilidades a lo largo del tiempo
• Desarrollo de habilidades individuales y de equipo a lo largo del tiempo
• Reducción de costes y tiempo en la fase de pentesting

¿Qué métricas sigue actualmente su organización, con qué frecuencia se vuelven a medir y han mostrado una notable mejora con el tiempo? ¿En qué medida están integradas sus iniciativas de formación en el flujo de trabajo de los desarrolladores?

El enfoque dinámico, lúdico e integral del SCW se considera una parte crucial del flujo de trabajo del ciclo de vida del desarrollo de software seguro. Las empresas están equipando a sus desarrolladores con las herramientas y la formación adecuadas, además de incorporar el SCW como parte de su flujo de trabajo del SSDLC.