Desde que comenzamos nuestra misión en 2015, siempre nos hemos centrado en facilitar una formación de codificación segura divertida, relevante y atractiva para los desarrolladores. Hace tiempo que reconocimos la importancia de dar a los desarrolladores los conocimientos y las herramientas para entender las mejores prácticas de seguridad, por qué son importantes y cómo pueden ayudar a fortificar el software de los ataques maliciosos mientras se escribe el código.

Sin embargo, la formación en seguridad no es un concepto nuevo. Ciertamente no fuimos los primeros en tomar la iniciativa, y las medidas de seguridad adecuadas han sido una consideración en el desarrollo de software durante mucho tiempo. Seguro que algunos tipos de formación son más eficaces que otros, pero el acceso a cierta formación en seguridad es relativamente fácil de encontrar, especialmente hoy en día.

... entonces, ¿por qué demonios tenemos tantas violaciones de datos? Hasta septiembre, más de cuatro mil millones de registros han sido expuestos a través de múltiples ciberataques solo en 2019.

Actualmente, muchas organizaciones están librando una batalla perdida para mantener a salvo nuestros datos, cada vez más valiosos. Los CISO y los CIO de todo el mundo tienen muy claro que "cambiar a la izquierda" todavía es demasiado tarde; debemos empezar por la izquierda con la seguridad en el SDLC, y eso significa que los desarrolladores deben tener los conocimientos de seguridad adecuados para corregir los fallos mucho antes de que el código se comprometa, y mucho menos que se haga público.

Los especialistas en seguridad de las aplicaciones no pueden ser los únicos guardianes de los conocimientos de seguridad.

En el pasado, la seguridad del software era el dominio de un grupo muy particular de frikis inteligentes, sin apenas interacción con los ingenieros que escribían el código. Su trabajo consistía en probar, romper y evitar que el código inseguro viera la luz. Si se cruzaban, lo más probable era que el especialista en seguridad señalara los fallos del código... algo que garantizaba una recepción fría por parte del desarrollador que había trabajado como un esclavo en su creación.

Si avanzamos hasta hoy, la situación es prácticamente la misma, salvo que ahora hay mucho más en juego. Casi todos los aspectos de nuestras vidas están digitalizados... todo, desde los álbumes de fotos en las redes sociales, los historiales médicos, las operaciones bancarias y nuestros documentos de identidad más valiosos. Una cosa era proteger el software y los sistemas operativos mayoritariamente fuera de línea y autónomos. Otra muy distinta es tener que defenderse de las amenazas a miles de millones de líneas de código, con cientos de millones de usuarios potencialmente en riesgo. Simplemente hay demasiado en juego para que un solo grupo de especialistas asuma toda la responsabilidad, y por eso debemos tender un puente entre AppSec y el equipo de desarrollo. Tienen que trabajar juntos, compartir conocimientos y operar como una unidad cohesionada y consciente de la seguridad.

Sólo hay un problema: los desarrolladores rara vez tienen la oportunidad de aprender habilidades de codificación segura de manera significativa. La mayor parte de la educación terciaria apenas aborda las mejores prácticas de seguridad, y la formación en el puesto de trabajo varía enormemente en calidad.

¿No es de extrañar que veamos grandes infracciones cada dos días? Descargue nuestra lista de comprobación de AppSec.

‍

Una "licencia para codificar".

A pesar del sombrío panorama actual, soy optimista sobre el futuro de la seguridad. Hay un cambio en el aire, y estoy muy animado por la inmensa cantidad de organizaciones que se toman en serio la codificación segura en este momento.

Cada vez es más evidente que los desarrolladores necesitan tener acceso a las herramientas y conocimientos adecuados para mitigar los riesgos de seguridad, y que una cultura floreciente de concienciación sobre la seguridad es vital en la lucha contra las violaciones de datos. Cuando los desarrolladores asumen la responsabilidad de la seguridad a medida que se escribe el código, es mucho menos fácil para los atacantes explotar fallos simples y obtener las llaves del castillo.

Siempre se ha dado el caso de que algunos desarrolladores son más conscientes de la seguridad que otros, y esto supone un verdadero reto para las organizaciones. Mientras que los equipos de desarrollo internos suelen tener cierto grado de formación y control de habilidades, las aguas se enturbian mucho cuando se introducen en la mezcla contratistas, autónomos y recién licenciados. ¿Actúan con una mentalidad de seguridad? ¿Pueden evitar con éxito fallos antiguos, como el cross-site scripting, que existen desde hace décadas? Es difícil saberlo, pero a menudo se les deja sueltos en partes vitales de una construcción de software. Vaya.

Afortunadamente, estamos viendo un aumento de las normas no negociables para los desarrolladores. Por ejemplo, algunas organizaciones están utilizando Secure Code Warrior como herramienta para evaluar las habilidades de desarrollo y emitir una "licencia para codificar". Si no superan las evaluaciones fundamentales de codificación segura, no podrán trabajar en ningún proyecto. Esto ha sido muy valioso para ayudar a los graduados y pasantes a ponerse al día con sus habilidades de seguridad, mientras que al mismo tiempo, inculcar un sentido de importancia para codificar de forma segura. Después de todo, la seguridad debe ser sinónimo de calidad cuando se trata de software.

La formación extracurricular está poniendo a las universidades en el punto de mira.

Cambiar la conversación en torno a la codificación segura requiere algo más que un artículo aquí, un discurso de apertura allá. Tiene que ser un movimiento que abarque a toda la comunidad, y es estupendo ver que tantas organizaciones de primer nivel toman nota y crean programas de seguridad de alto nivel con un nivel envidiable. Una de estas empresas es HSBC, cuyo formidable programa está garantizando que los recién licenciados y los nuevos contratados se pongan en marcha lo antes posible. Como director de la Academia de Tecnología de HSBC India, Sekhar Babu Tatavarti ha considerado que la formación en seguridad es imprescindible:

"En HSBC Technology, queríamos asegurarnos de que nuestra comunidad de desarrolladores comprendiera la importancia de la codificación segura para proteger al banco de las vulnerabilidades. En el Programa de Formación para Graduados que tuvimos este año, pensamos que era una gran oportunidad para atraparlos jóvenes y permitirles autoaprender y arraigar las mejores prácticas de codificación segura antes de que lleguen al piso y comiencen a codificar en sus respectivos proyectos.  

Elegimos la plataforma Secure Code Warrior por su maravilloso método de gamificación del aprendizaje para los graduados, y no desmintieron nuestras expectativas. Estamos encantados de que cada uno de ellos haya participado con entusiasmo en tournament , además de completar la certificación de cinturón blanco en diferentes tecnologías", afirmó.

Cada vez más organizaciones, como HSBC, consideran que las capacidades de codificación segura son esenciales a nivel de desarrollador. Y lo que esto ha hecho, en efecto, es arrojar luz sobre la educación terciaria en su conjunto. Los CISO y los CIO están empezando a preguntarse por qué los ingenieros recién graduados están completando su educación sin ninguna formación sólida en seguridad.

Innovación en la educación terciaria.

Mientras que la codificación segura debe convertirse en un componente obligatorio de la ingeniería de software a nivel terciario, algunas universidades están liderando la carga de proporcionar una formación de primera categoría y priorizar la seguridad como parte del proceso de desarrollo desde el principio, en lugar de ser el dominio de los escasos especialistas en AppSec sobre el terreno.

En la Universidad de Queensland (Australia), el profesor Ryan Ko está realizando importantes avances en la preparación de la próxima oleada de desarrolladores para protegernos de la inevitable avalancha de ciberataques:

"La mayoría de las vulnerabilidades del software se introducen en la fase de codificación, por lo que si podemos abordar esto en su origen (es decir, el programador), podríamos erradicar la mayoría de los problemas recurrentes que se encuentran hoy en la lista CVE. Dado que el software afecta a la vida y el sustento de la mayor parte de nuestra sociedad moderna, las universidades y las instituciones de formación tienen la responsabilidad moral y social de enseñar a todos los programadores noveles a codificar de forma segura", afirmó.

Se trata de una evolución emocionante con respecto al estándar courses, que ofrece muy poco en cuanto a conocimientos y habilidades de seguridad significativos. Y este es un "virus" que no me importaría propagar más. Para mi deleite, la Universidad Macquarie también está infectando a sus estudiantes con una mentalidad de seguridad primero, gracias a los esfuerzos de individuos como Christophe Doche:

"Lanzado en 2016, el Centro de Seguridad Cibernética de la Universidad Optus Macquarie es la primera iniciativa de este tipo en Australia, vinculando a los académicos en seguridad de la información, negocios, criminología, inteligencia, derecho y psicología junto con expertos en ciberseguridad de la industria y el gobierno.

Nuestra misión es posicionar a Australia como líder mundial en ciberseguridad a través de la educación, la investigación y las asociaciones. Un aspecto importante de esto es abordar la bien documentada brecha de habilidades en ciberseguridad, con proyecciones que muestran que es muy probable que 1,8 millones de puestos de trabajo no se cubran en todo el mundo en 2022.

Para solucionar este déficit de cualificación es necesario un enfoque múltiple, que implique el perfeccionamiento y la reconversión de la mano de obra existente, así como la formación de una nueva generación de especialistas en ciberseguridad", afirmó.

Su enfoque es increíble, ya que ofrece un aprendizaje de precisión con un alto grado de participación que ayuda a reducir las diferencias entre los departamentos y a crear un ritmo de concienciación de seguridad próspero. Están aprovechando el microaprendizaje en su estrategia, ofreciendo módulos de aprendizaje gamificados y del tamaño de un bocado con un alto índice de retención, compromiso y repetición. Estoy especialmente orgulloso de que podamos ayudarles a involucrar a sus estudiantes de forma creativa:

. "Un excelente ejemplo de este compromiso es la asociación con Secure Code warrior. Después de un tournament organizado por Secure Code Warrior y el Cyber Security Hub en agosto de 2019, ahora estamos estudiando la posibilidad de integrar la plataforma Secure Code Warrior en nuestro plan de estudios, especialmente en nuestra nueva unidad sobre Desarrollo de Aplicaciones Seguras", dijo Christophe.

Iniciativas como las de la Universidad Macquarie y la Universidad de Queensland son realmente pioneras en la codificación segura en el espacio educativo. Nuestro objetivo como profesionales de la seguridad de las aplicaciones, desarrolladores y comunidad de seguridad en general, debe ser incorporar la seguridad a todo lo que hacemos, y continuar con nuestro compromiso de empezar por la izquierda.