Con unas amenazas cibernéticas cada vez más frecuentes y sofisticadas, la atención de la ciberseguridad se centra en la importancia del código seguro. La Estrategia Nacional de Ciberseguridad de la Casa Blanca y la iniciativa Secure-by-Design de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), junto con las iniciativas y la legislación de otros países, ponen la responsabilidad de la seguridad directamente sobre el hombro de los productores de software. Cambiar a la izquierda -o más exactamente, empezar por la izquierda- para garantizar la seguridad en una fase temprana del ciclo de vida de desarrollo de software (SDLC), que antes se consideraba algo agradable de tener, es ahora esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas tras una infracción.
La clave para garantizar unas prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna formación en ciberseguridad. Su trabajo, especialmente en el entorno acelerado de DevOps de hoy en día, ha consistido en crear nuevas aplicaciones, actualizaciones y servicios lo más rápidamente posible -cada vez más con la ayuda de modelos generativos de IA de rápido funcionamiento- y dejar que los equipos de seguridad se ocupen de los problemas de ciberseguridad en algún momento posterior del SDLC. Esta es una forma ineficaz de abordar la plétora de fallos que surgen con la creación de tanto código, lo que a menudo da lugar a que se liberen vulnerabilidades de software en el ecosistema.
Los desarrolladores deben recibir formación para escribir código seguro desde el principio y ser capaces de detectar el código inseguro generado por la IA o cuando está presente en el software de código abierto y de terceros que utilizan. Para muchos equipos de desarrollo y organizaciones, este es un territorio desconocido. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y se aplica esa formación con regularidad?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto de competencias de referencia que los desarrolladores deben adquirir y medir su progreso en función de unos puntos de referencia claramente definidos. Para ayudar en este esfuerzo, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en la formación en seguridad. El SCW Trust Score permite a las organizaciones medir hasta qué punto se está aplicando la formación en el trabajo y facilita la colaboración entre los equipos de seguridad, desarrollo e ingeniería.
Es una forma de comprobar que la formación en código seguro está arraigando, al tiempo que se identifican las áreas susceptibles de mejora.
Razones para un diseño seguro
Los productores de software tienen motivos de sobra para introducir la seguridad en el SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo ha demostrado ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también da lugar inevitablemente a que se libere software con errores. Cuanto más código se genera, más fallos hay, y un estudio reciente ha descubierto que casi tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos un fallo de seguridad, y casi el 20% de ellos se consideran críticos.
Ponerse al día con las vulnerabilidades más tarde en el SDLC se está convirtiendo en algo prohibitivamente lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha descubierto que corregir los defectos durante las pruebas lleva 15 veces más tiempo que asegurar el software al principio del SDLC, y corregirlos durante la fase de despliegue/mantenimiento puede llevar de 30 a 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, lo que ha demostrado ser no sólo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores -trabajando con equipos de seguridad en lugar de tenerlos funcionando como entidades separadas- están en la mejor posición para introducir la seguridad al principio del SDLC. Y los desarrolladores formados en las mejores prácticas de seguridad han sido eficaces a la hora de reducir las vulnerabilidades. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas consiste en establecer una base de competencias en materia de seguridad, impartir formación y verificar, tanto ante las organizaciones como ante los organismos reguladores, que los desarrolladores han adquirido las competencias necesarias. Esto ha resultado difícil para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los retos a los que se enfrentan los responsables de seguridad es la dificultad de ampliar un programa de formación a toda la empresa. Pero la investigación de SCW muestra que las organizaciones, especialmente las que cuentan con grandes cuadros de desarrolladores, pueden aplicar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar una gran variación en la aplicación de los principios de diseño seguro. Aún así, también pueden beneficiarse de un enfoque que incluya Trust Scores, y probablemente mostrarán mejoras más rápidamente.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntuaciones para evaluar el rendimiento del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No sólo realiza un seguimiento de la formación, sino que muestra hasta qué punto los desarrolladores aplican sus nuevas habilidades en el día a día. También pone de relieve las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de formación.
En todos los sectores de infraestructuras críticas de CISA para los que se disponía de datos, la mayoría de las organizaciones se encuentran más o menos al mismo nivel en la aplicación de principios de diseño seguro. Las puntuaciones de confianza de sectores que van desde los servicios financieros y la base industrial de defensa hasta la sanidad, las TI y la fabricación crítica se situaron en el mismo rango, un poco por encima de 300 en una escala de 1.000 puntos. Ningún sector supera a los demás, a pesar de la creencia generalizada de que los servicios financieros, al ser el más regulado, estarían muy por delante.
Los sectores de infraestructuras críticas no incluidos en la clasificación Trust Score -como las operaciones químicas, energéticas y nucleares- no suelen crear su propio software, sino que confían en otros sectores, especialmente en el de TI. Sin embargo, la importancia de mantener sistemas seguros dentro de estos sectores (nadie quiere ver comprometida una central nuclear) sólo demuestra lo esencial que es asegurar el software que utilizan en primer lugar.
Conclusión:
El aumento de la presión normativa y la realidad del panorama de las ciberamenazas han hecho imperativo un enfoque de seguridad desde el diseño para las organizaciones que desean proteger sus datos, sistemas, operaciones empresariales y reputación. En gran parte, la creación de software seguro está en manos de los desarrolladores, pero necesitan ayuda en forma de un programa de formación y actualización exhaustivo que les proporcione la educación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan necesitan para garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro, al tiempo que cumplen los nuevos requisitos de Secure-by-Design.