Desarrolladores conscientes de la seguridad: AppSec te necesita!
Desarrolladores conscientes de la seguridad: AppSec te necesita!
Aunque pueda parecer contradictorio para cualquiera que trabaje fuera del desarrollo de software, muchos de los profesionales empleados en la seguridad de las aplicaciones a lo largo de los años han trabajado en esas funciones críticas con poca o ninguna experiencia en programación. Estos profesionales de la seguridad de las aplicaciones forman parte del equipo responsable de garantizar que no se produzcan vulnerabilidades en las aplicaciones que se han convertido en el alma de muchas industrias y organizaciones, y sin embargo, pocos de ellos pueden evaluar o corregir directamente el código.
En lugar de proceder de una formación de codificación, muchos profesionales de la seguridad abordan sus funciones desde la perspectiva de los conocimientos clave en torno a los vectores de ataque, las amenazas, los exploits y el riesgo empresarial; tienen una visión limitada del código. Aunque no todos los gurús de la seguridad de las aplicaciones tienen el mismo conjunto de habilidades, un día típico para muchos implica trabajar con revisores de código y herramientas de escaneo para garantizar que los programas y los sistemas están protegidos de acuerdo con las normas de la organización, o los marcos pertinentes de la industria y el gobierno. A continuación, redactan informes sobre sus hallazgos y envían información sobre el vector de ataque que puede romper el código. A continuación, los desarrolladores deben realizar las correcciones necesarias, sin importar lo que pueda suponer para el trabajo actual.
La razón por la que la situación ha evolucionado de esta manera es que la lógica imperante durante años era que el trabajo de proteger las redes y las aplicaciones era tan amplio que no tenía sentido esperar que todos los que trabajaban en ciberseguridad desempeñaran todas las funciones. Los conocimientos profundos de codificación se dejaban en manos de los desarrolladores, y se daba poco valor a la capacidad de escribir o editar código más adelante en el proceso de desarrollo.
Esa mentalidad está cambiando rápidamente, y eso presenta una oportunidad única para que los desarrolladores den el lucrativo salto y el cambio de carrera hacia la AppSec. No todos los desarrolladores querrán abrazar el llamado lado oscuro, y muchos desarrolladores no son particularmente positivos en sus opiniones sobre los equipos de AppSec. Pero para los que sí quieren, nunca ha habido un mejor momento para coger ese anillo de bronce cada vez más tentador.
DevSecOps impulsa casi todas las industrias
Uno de los factores más importantes para elevar el valor de los programadores y desarrolladores conscientes de la seguridad en cualquier organización, es el movimiento casi universal para adoptar prácticas de desarrollo más ágiles como DevSecOps. Cuando se combinan el desarrollo, la seguridad y las operaciones, la ciberseguridad se convierte en una responsabilidad compartida integrada en el desarrollo de nuevo software de principio a fin. En ese entorno, la capacidad de codificación se considera cada vez más un activo valioso en todos los ámbitos, y esto es especialmente cierto para los ingenieros que también entienden la seguridad de forma inherente.
Un profesional de AppSec que no sólo entiende la ciberseguridad a alto nivel, sino también el código que hace que todo funcione, es intrínsecamente más valioso para cualquier organización que alguien cuyo conocimiento se concentra en lo teórico. Ser capaz de descubrir y evaluar rápidamente las vulnerabilidades encontradas dentro del código, y luego mitigar esos problemas, es el núcleo de por qué DevSecOps está viendo tanta popularidad.
Los desarrolladores que trabajan en AppSec también aportan otra gran ventaja a cualquier organización que los emplee. Al venir del lado del desarrollo, les resulta fácil hablar con los desarrolladores sobre seguridad y vulnerabilidades. También facilita que se conviertan en entrenadores de los equipos de desarrollo, ayudándoles a ser mejores programadores. Con el tiempo, podrían incluso ser capaces de eliminar el estigma del "lado oscuro" de la seguridad de las aplicaciones y ayudar a unificar los equipos de desarrollo de software en toda la organización.
La escasez de competencias en ciberseguridad se agrava
Shakespeare dijo que el viento malo no beneficia a nadie. Lo que quería decir es que incluso la situación más oscura probablemente beneficie a alguien. La escasez de competencias en ciberseguridad es un gran ejemplo de ello.
La escasez de personal se está notando mucho en casi todas partes. En una encuesta reciente llevada a cabo por el Centro de Estudios Estratégicos e Internacionales, el 82% de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones sufrían una escasez de competencias en ciberseguridad, y el 71% dijo que la escasez había provocado un daño directo y cuantificable a sus organizaciones. Para situar esta crisis en una perspectiva aún mejor, el informe señalaba que sólo en Estados Unidos había más de 520.000 puestos de trabajo de ciberseguridad sin cubrir en 2020 para un campo en el que sólo hay unos 940.000 empleados.
La escasez de personal de ciberseguridad es una mala noticia para las organizaciones que intentan proteger sus infraestructuras, negocios y datos de un panorama de amenazas cada vez más peligroso. Pero es una buena oportunidad para los desarrolladores que buscan entrar en la seguridad de las aplicaciones. Lo más probable es que los puestos de ciberseguridad y AppSec estén disponibles en casi todas partes. Y como los puestos de ciberseguridad tardan una media de un 21% más en cubrirse estos días, los salarios están aumentando en todos los ámbitos.
Dar el salto a AppSec
Puede que nunca haya un momento mejor para que los desarrolladores den el lucrativo salto al lado de la seguridad. Los desarrolladores concienciados con la seguridad ya no son vistos solo como parte de un método de seguridad provisional, sino que están desempeñando un papel completo y respetado como defensores de la ciberseguridad. Esto es especialmente cierto para las organizaciones que han adoptado DevSecOps y otras metodologías de desarrollo más ágiles. Y la escasez de talento en ciberseguridad significa que hay puestos disponibles en casi todas las empresas, agencias gubernamentales u organizaciones. Aquellos con las habilidades adecuadas pueden elegir dónde quieren trabajar.
Pasar a AppSec puede no ser para todo el mundo, y por supuesto, la mayoría de los desarrolladores seguirán centrados en la construcción de características increíbles. Pero para aquellos que están considerando dar el salto, invertir en formación en seguridad para aumentar sus habilidades de codificación existentes puede abrir muchas puertas. Las mejores personas de AppSec salen de la ingeniería, porque entienden profundamente la tecnología y tienen empatía por la situación de sus compañeros desarrolladores. DevSecOps significa que todo el mundo es ahora responsable de la seguridad, así que ¿por qué no aprovechar la actual escasez de habilidades críticas para avanzar en su carrera hacia la seguridad de las aplicaciones? Nunca ha habido un mejor momento para dar un paso positivo para ti, tu familia y tu carrera.
Doctor Matias Madou
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Artículos relacionados que recomendamos
Artículos relacionados que recomendamos
Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.
Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.
Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores
Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.
Desarrolladores conscientes de la seguridad: AppSec te necesita!
Aunque pueda parecer contradictorio para cualquiera que trabaje fuera del desarrollo de software, muchos de los profesionales empleados en la seguridad de las aplicaciones a lo largo de los años han trabajado en esas funciones críticas con poca o ninguna experiencia en programación. Estos profesionales de la seguridad de las aplicaciones forman parte del equipo responsable de garantizar que no se produzcan vulnerabilidades en las aplicaciones que se han convertido en el alma de muchas industrias y organizaciones, y sin embargo, pocos de ellos pueden evaluar o corregir directamente el código.
En lugar de proceder de una formación de codificación, muchos profesionales de la seguridad abordan sus funciones desde la perspectiva de los conocimientos clave en torno a los vectores de ataque, las amenazas, los exploits y el riesgo empresarial; tienen una visión limitada del código. Aunque no todos los gurús de la seguridad de las aplicaciones tienen el mismo conjunto de habilidades, un día típico para muchos implica trabajar con revisores de código y herramientas de escaneo para garantizar que los programas y los sistemas están protegidos de acuerdo con las normas de la organización, o los marcos pertinentes de la industria y el gobierno. A continuación, redactan informes sobre sus hallazgos y envían información sobre el vector de ataque que puede romper el código. A continuación, los desarrolladores deben realizar las correcciones necesarias, sin importar lo que pueda suponer para el trabajo actual.
La razón por la que la situación ha evolucionado de esta manera es que la lógica imperante durante años era que el trabajo de proteger las redes y las aplicaciones era tan amplio que no tenía sentido esperar que todos los que trabajaban en ciberseguridad desempeñaran todas las funciones. Los conocimientos profundos de codificación se dejaban en manos de los desarrolladores, y se daba poco valor a la capacidad de escribir o editar código más adelante en el proceso de desarrollo.
Esa mentalidad está cambiando rápidamente, y eso presenta una oportunidad única para que los desarrolladores den el lucrativo salto y el cambio de carrera hacia la AppSec. No todos los desarrolladores querrán abrazar el llamado lado oscuro, y muchos desarrolladores no son particularmente positivos en sus opiniones sobre los equipos de AppSec. Pero para los que sí quieren, nunca ha habido un mejor momento para coger ese anillo de bronce cada vez más tentador.
DevSecOps impulsa casi todas las industrias
Uno de los factores más importantes para elevar el valor de los programadores y desarrolladores conscientes de la seguridad en cualquier organización, es el movimiento casi universal para adoptar prácticas de desarrollo más ágiles como DevSecOps. Cuando se combinan el desarrollo, la seguridad y las operaciones, la ciberseguridad se convierte en una responsabilidad compartida integrada en el desarrollo de nuevo software de principio a fin. En ese entorno, la capacidad de codificación se considera cada vez más un activo valioso en todos los ámbitos, y esto es especialmente cierto para los ingenieros que también entienden la seguridad de forma inherente.
Un profesional de AppSec que no sólo entiende la ciberseguridad a alto nivel, sino también el código que hace que todo funcione, es intrínsecamente más valioso para cualquier organización que alguien cuyo conocimiento se concentra en lo teórico. Ser capaz de descubrir y evaluar rápidamente las vulnerabilidades encontradas dentro del código, y luego mitigar esos problemas, es el núcleo de por qué DevSecOps está viendo tanta popularidad.
Los desarrolladores que trabajan en AppSec también aportan otra gran ventaja a cualquier organización que los emplee. Al venir del lado del desarrollo, les resulta fácil hablar con los desarrolladores sobre seguridad y vulnerabilidades. También facilita que se conviertan en entrenadores de los equipos de desarrollo, ayudándoles a ser mejores programadores. Con el tiempo, podrían incluso ser capaces de eliminar el estigma del "lado oscuro" de la seguridad de las aplicaciones y ayudar a unificar los equipos de desarrollo de software en toda la organización.
La escasez de competencias en ciberseguridad se agrava
Shakespeare dijo que el viento malo no beneficia a nadie. Lo que quería decir es que incluso la situación más oscura probablemente beneficie a alguien. La escasez de competencias en ciberseguridad es un gran ejemplo de ello.
La escasez de personal se está notando mucho en casi todas partes. En una encuesta reciente llevada a cabo por el Centro de Estudios Estratégicos e Internacionales, el 82% de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones sufrían una escasez de competencias en ciberseguridad, y el 71% dijo que la escasez había provocado un daño directo y cuantificable a sus organizaciones. Para situar esta crisis en una perspectiva aún mejor, el informe señalaba que sólo en Estados Unidos había más de 520.000 puestos de trabajo de ciberseguridad sin cubrir en 2020 para un campo en el que sólo hay unos 940.000 empleados.
La escasez de personal de ciberseguridad es una mala noticia para las organizaciones que intentan proteger sus infraestructuras, negocios y datos de un panorama de amenazas cada vez más peligroso. Pero es una buena oportunidad para los desarrolladores que buscan entrar en la seguridad de las aplicaciones. Lo más probable es que los puestos de ciberseguridad y AppSec estén disponibles en casi todas partes. Y como los puestos de ciberseguridad tardan una media de un 21% más en cubrirse estos días, los salarios están aumentando en todos los ámbitos.
Dar el salto a AppSec
Puede que nunca haya un momento mejor para que los desarrolladores den el lucrativo salto al lado de la seguridad. Los desarrolladores concienciados con la seguridad ya no son vistos solo como parte de un método de seguridad provisional, sino que están desempeñando un papel completo y respetado como defensores de la ciberseguridad. Esto es especialmente cierto para las organizaciones que han adoptado DevSecOps y otras metodologías de desarrollo más ágiles. Y la escasez de talento en ciberseguridad significa que hay puestos disponibles en casi todas las empresas, agencias gubernamentales u organizaciones. Aquellos con las habilidades adecuadas pueden elegir dónde quieren trabajar.
Pasar a AppSec puede no ser para todo el mundo, y por supuesto, la mayoría de los desarrolladores seguirán centrados en la construcción de características increíbles. Pero para aquellos que están considerando dar el salto, invertir en formación en seguridad para aumentar sus habilidades de codificación existentes puede abrir muchas puertas. Las mejores personas de AppSec salen de la ingeniería, porque entienden profundamente la tecnología y tienen empatía por la situación de sus compañeros desarrolladores. DevSecOps significa que todo el mundo es ahora responsable de la seguridad, así que ¿por qué no aprovechar la actual escasez de habilidades críticas para avanzar en su carrera hacia la seguridad de las aplicaciones? Nunca ha habido un mejor momento para dar un paso positivo para ti, tu familia y tu carrera.
