A medida que aumenta el número de ciberamenazas, las organizaciones se ven obligadas a elegir entre seguridad, practicidad y rapidez, exponiéndose a riesgos en el proceso. Se necesitan nuevos enfoques para la codificación segura, por lo que Secure Code Warrior se comprometió con Evans Data Corp. a llevar a cabo una investigación primaria sobre las actitudes de los desarrolladores hacia la codificación segura, las prácticas de código seguro y las operaciones de seguridad (descargue el artículo técnico aquí).

Lo que revela este informe es que, aunque sigue dominando el pensamiento reactivo de la "vieja escuela", cada vez hay más conciencia de la necesidad de soluciones más proactivas, que conviertan a los propios desarrolladores en la primera línea de defensa.  

Cualquier estudio sobre la adopción de prácticas de codificación seguras debe comenzar con la comprensión de los seres humanos implicados en su aplicación, su percepción de la misma y su capacidad para aplicarla. Esto nos lleva a la pieza más importante del rompecabezas: ¿cómo se les puede capacitar para codificar de forma más segura desde el principio y enviar código de calidad más rápido y con confianza? 

Codificación segura: ¿dónde estamos ahora y qué tiene que cambiar? Descargar la infografía "El elemento humano" ahora.

Perspectivas actuales: reactiva frente a proactiva

Cuando se preguntó a los desarrolladores y directores de desarrollo sobre las actividades que asocian a la codificación segura, las tres respuestas más importantes fueron:

• Uso de herramientas de escaneo en las aplicaciones desplegadas.
• Revisar manualmente el código en busca de vulnerabilidades.
• La práctica activa y continua de escribir software que esté protegido de las vulnerabilidades.

Como podemos ver, dos de las tres primeras respuestas siguen centrándose en enfoques reactivos: la primera depende de herramientas (escáneres), y la segunda del desarrollador (es decir, humano) que realiza comprobaciones manuales.

Al mismo tiempo, dos de las tres actividades nominadas dependen del elemento humano. Esto apunta a la creciente percepción de la seguridad como una cuestión humana. Pero de todas las actividades nominadas, la más reveladora es la número 3, que identifica el factor humano en la escritura de software protegido de las vulnerabilidades en primer lugar. Esto pone de manifiesto un cambio hacia la izquierda: un enfoque proactivo y preventivo que incorpora la seguridad al software desde el principio del SDLC. 

¿Dónde encaja la seguridad en el SDLC? 

Cuando se pregunta a los desarrolladores y a los responsables de desarrollo en qué punto del SDLC ven integradas las prácticas de código seguro, las opiniones difieren. El 55% de los gestores cree que la codificación segura está integrada en todo el proceso de desarrollo, frente a sólo el 43% de los desarrolladores. La diferencia podría reflejar las distintas funciones de estos dos grupos dentro del SDLC. Los directivos suelen estar menos implicados en el trabajo real de codificación y tienden a tener una visión de alto nivel, mientras que los desarrolladores pueden estar más preocupados por los detalles.

Pero desde el punto de vista general de la seguridad y la calidad del código, lo que resulta alarmante es que sólo el 13% de los desarrolladores y el 10% de los directivos afirman que las prácticas de seguridad del código deberían integrarse en las fases de diseño, justo al principio del SDLC. Se trata de una oportunidad enorme y no aprovechada. Según un estudio de IBM, es treinta veces más caro arreglar las vulnerabilidades en el código posterior al lanzamiento que si se detectan y remedian al principio.1 Eso es un poderoso incentivo para una nueva defensa proactiva y dirigida por el ser humano de la seguridad del software, que equipa a los desarrolladores para codificar de forma más segura, desde el principio. La seguridad del software no puede resolverse confiando únicamente en las herramientas, sino que debe tener en cuenta el elemento humano. 

¿Está preparado el elemento humano?

El 97% de los desarrolladores encuestados cree que ha recibido suficiente formación en codificación segura, y el 95% está de acuerdo en que la formación en codificación segura ha sido valiosa para su carrera. Pero antes de aceptar estas afirmaciones al pie de la letra, debemos preguntarnos: ¿Por qué siguen siendo tan frecuentes las vulnerabilidades del código? ¿Son las afirmaciones de los desarrolladores sobre su experiencia en código seguro sólo un caso de ego humano? Las pruebas apuntan ciertamente en esta dirección. Más del 88% de los desarrolladores encuestados admiten que la codificación segura es difícil de aprender, y el 91% de los directores de desarrollo reconocen que las prácticas de codificación segura son difíciles de aplicar. Cuando se les pidió que identificaran sus principales preocupaciones personales en torno a la implementación de la codificación segura, el 28% de los desarrolladores considera que el proceso de aprendizaje es difícil, mientras que el 24% considera que el proceso de aprendizaje es aburrido. Esto indica que la formación de los desarrolladores debe mejorar. 

¿Qué necesita el elemento humano? 

Para superar el factor "desafío", una formación segura que merezca la pena requiere un proceso de "andamiaje" que ayude al desarrollador a desarrollar habilidades de codificación segura paso a paso. Para lograr la máxima pertinencia y aplicabilidad inmediata, esa formación debe impartirse en el lenguaje específico: el marco de trabajo que utilizan a diario.

Para superar el factor "aburrimiento", la formación en código seguro debe impartirse de forma práctica, ya que se ha demostrado que resulta mucho más atractiva para los desarrolladores que los anticuados modelos de aula o de "ver este vídeo". Estos deben incluir simulaciones en vivo que permitan a los desarrolladores enfrentarse a retos de seguridad a veces arriesgados en un entorno seguro. El objetivo debe ser enseñar a los desarrolladores a encontrar y corregir vulnerabilidades en el código mientras trabajan y hacer que la codificación segura forme parte de su flujo diario. Otro factor clave es la supervisión y el asesoramiento dentro del IOE, que ayuda a los desarrolladores a aprender y actualizar constantemente el código, previniendo y eliminando las vulnerabilidades a medida que avanzan.

Si desea saber cómo proporcionar a sus desarrolladores este nuevo nivel de herramientas y formación centradas en el desarrollador, reservar una demostración ahora.

También puede descargue su copia del libro blanco Shifting from reaction to prevention: La cara cambiante de la seguridad de las aplicaciones.

‍