Hoy en día, casi todos los equipos de desarrollo emplean algún tipo de formación en materia de cumplimiento normativo, ya sea como parte de un proceso de certificación inicial utilizado para garantizar que una empresa se mantiene dentro de los límites de los marcos del sector o de la normativa gubernamental, o como parte de un requisito o revisión anual. Es un paso importante, porque si una organización no puede cumplir los requisitos básicos de cumplimiento, sus trabajadores no pueden desempeñar sus funciones de forma realista.

Las normas de cumplimiento existen por una razón, porque cualquier persona que trabaje en el campo que cubren esas normas debe tener al menos una comprensión fundamental de todos los procesos y procedimientos pertinentes, así como de cualquier ley aplicable.

Aunque la formación en materia de cumplimiento es importante, completar los requisitos mínimos obligatorios no garantiza la verdadera seguridad de las aplicaciones. Esto es especialmente cierto para los desarrolladores que intentan integrar las habilidades de codificación segura en su flujo de trabajo diario. Casi todos los desarrolladores reciben algún tipo de formación sobre el cumplimiento de la normativa y, sin embargo, cuando se les encuestó, el 67% admitió que a menudo dejaban vulnerabilidades en su código.

¿Por qué?

Por segundo año, Secure Code Warrior realizó la encuesta "The state of developer-driven security survey, 2022" en colaboración con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para conocer las habilidades, percepciones y comportamientos en lo que respecta a las prácticas de codificación segura, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).

En cuanto a las razones por las que la formación sobre el cumplimiento de la normativa no consigue mejorar la seguridad de los programas informáticos, es una cuestión de la que llevamos hablando mucho tiempo. La reciente encuesta simplemente pone de manifiesto este problema.

Por un lado, se pide a los desarrolladores que asuman nuevas funciones incluyendo la ciberseguridad en todo el proceso de desarrollo de software, incluso cuando escriben inicialmente el código de las aplicaciones y programas. Pero escribir código seguro, o incluso simplemente aprender todo sobre los problemas de ciberseguridad y las vulnerabilidades que podrían afectarlo, no es una tarea fácil.En la encuesta, el 63% de los desarrolladores dijo que escribir código seguro era una tarea difícil.

La dificultad de escribir código seguro no debería ser una sorpresa. Hay una razón por la que tantos puestos de trabajo de ciberseguridad bien pagados no se cubren, con más de 3,5 millones de vacantes en todo el mundo según el último recuento. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades dentro del código es difícil, y el panorama de las amenazas cambia constantemente. La formación estática sobre el cumplimiento de la normativa o las clases únicas no pueden seguir el ritmo ni proporcionar el tipo de educación que necesitan los desarrolladores. Puede marcar una casilla en términos de cumplimiento, pero no puede proporcionar garantías reales de seguridad de las aplicaciones para su organización o permitir a los desarrolladores escribir código seguro, o las habilidades para encontrar y corregir las vulnerabilidades del código.

El cumplimiento y la formación en seguridad son importantes, pero diferentes

Las organizaciones deben empezar a darse cuenta y reconocer lo que la formación en materia de cumplimiento puede hacer, y lo que no. No abandone la formación en materia de cumplimiento, especialmente si es obligatoria por ley. Y sobre todo porque (incluso con los métodos de formación actuales) el 92% de los encuestados declaró que necesitaba al menos algo de formación en cuestiones relacionadas con el cumplimiento o los marcos de seguridad, y el 50% subrayó la necesidad de una formación importante en materia de cumplimiento.

Entre los marcos de cumplimiento que más les interesan para formarse están los específicos de varios sectores, aunque también figuran en la lista varios marcos generales de ciberseguridad. Entre ellos se encuentran el Marco de Seguridad CIS, PCI DSS, el OWASP Top 10, MISRA C, ISO/IEC, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y otros.

Así que sí, forme en esos marcos, pero entienda que marcar una casilla en la formación de cumplimiento no equivale a proporcionar una base para la creación continua de código seguro.

En su lugar, considere la formación en materia de cumplimiento como parte de una oportunidad continua para ampliar las habilidades de codificación segura de sus desarrolladores, que pueden repetirse fuera del ciclo de cumplimiento, de modo que puedan crear y publicar software seguro todos los días. Cambie la prioridad de lograr el cumplimiento a permitir que los equipos de desarrollo codifiquen de forma segura con un aprendizaje continuo. Si invierte tiempo y recursos en la capacitación de los desarrolladores, los ejercicios o exámenes anuales de cumplimiento se convertirán en un juego de niños para que su personal los apruebe y los complete, mientras se beneficia de una mayor productividad en general.

¿Cómo se puede dar el paso a la seguridad impulsada por los desarrolladores?

Los desarrolladores afirmaron mayoritariamente que la formación era valiosa, pero se mostraron disconformes con el tipo de formación que han recibido en materia de codificación segura a lo largo de los años. Los desarrolladores dijeron que querían que se hiciera más hincapié en la formación práctica con ejemplos del mundo real que fueran relevantes para sus trabajos (30%). El 26% de los encuestados también considera que es fundamental una mayor interactividad, especialmente si pueden practicar la escritura de código seguro como parte de esos ejercicios.

El 23% de los desarrolladores encuestados consideró importante recibir una formación más guiada, centrada en las vulnerabilidades específicas con las que era más probable que se encontraran en su industria o sector, mientras que el 22% quería ver más ejemplos de vulnerabilidades del mundo real en su formación courses.

Está claro que limitarse a impartir una formación estática y no interactiva (que suele ser la experiencia de la formación en materia de cumplimiento) tiene poco valor en términos de habilidades de seguridad repetibles para los desarrolladores. En su lugar, las organizaciones deberían centrarse en cosas como la formación "justo a tiempo", en la que se enseña a los desarrolladores sobre seguridad a medida que trabajan. Incluso se podría considerar la posibilidad de implementar un programa de aprendizaje por niveles.

Con un enfoque escalonado, los temas más amplios suelen dividirse en experiencias de aprendizaje o conceptos discretos. A medida que los desarrolladores progresan, los conceptos más avanzados se superponen a los que ya dominan, al igual que se construye un andamiaje físico a medida que un edificio crece. Se trata de un método probado para enseñar un tema difícil y en constante evolución como la ciberseguridad, dividiéndolo primero en trozos más pequeños y menos complejos y luego construyendo más complejidad sobre esa base.

Sea cual sea el enfoque que le dé a su programa de habilidades de seguridad para desarrolladores, será clave mantenerlo separado de los ejercicios de cumplimiento. Tanto el cumplimiento como la formación en seguridad son importantes, y ambos requieren enfoques diferentes para lograr el éxito.

Para más información

Libro blanco: Los retos (y oportunidades) para mejorar la seguridad del software.

Libro blanco: El enfoque preventivo de los desarrolladores sobre la seguridad del software.

Informe: El estado de la seguridad impulsada por los desarrolladores.