La puntuación de confianza muestra el valor de las iniciativas de formación continua Secure-by-Design.
Una forma segura de mejorar la seguridad de su empresa es formar a los desarrolladores en métodos probados para una programación segura. Estos se proporcionan en un marco que incluye bases de referencia y puntos de referencia para ofrecer a los desarrolladores las vías de aprendizaje específicas que necesitan. Sin embargo, la codificación segura no es una solución puntual, sino que debe convertirse en una forma de vida arraigada en el ADN de una empresa. Los desarrolladores no solo deben cambiar al lado izquierdo o empezar por la izquierda, sino también permanecer en la izquierda.
No basta con ofrecer formación. Las empresas deben asegurarse de que los desarrolladores hayan completado toda la formación y sigan las mejores prácticas al inicio del ciclo de desarrollo de software (SDLC) como parte de sus rutinas diarias. Deben supervisar el rendimiento de los desarrolladores y medir sus progresos tanto según los estándares internos como según los estándares del sector. De este modo, se puede medir de forma eficaz el retorno de la inversión que se obtiene de las inversiones en formación.
Code Warriors sichern Vertrauenswert ofrece información sobre el rendimiento de cada desarrollador y agrega los datos para permitir una evaluación del rendimiento general de su empresa. Muestra la eficacia de los programas de formación continua y, al mismo tiempo, identifica las áreas que necesitan mejorar. Además, contribuye a garantizar el cumplimiento de los numerosos requisitos normativos, ya sean los del Reglamento General de Protección de Datos (RGPD), la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), la Ley de Protección al Consumidor de California (CCPA) u otros.
Nuestras investigaciones han demostrado que la formación en código seguro funciona. Trust Score utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones. Muestra la eficacia de la iniciativa a la hora de subsanar las brechas de seguridad y cómo se puede hacer aún más eficaz.
La formación mejora la seguridad, siempre que los desarrolladores la reciban.
Durante años, en el sector del software parecía ser deseable utilizar métodos de seguridad probados al inicio del ciclo de vida del desarrollo de software (SDLC). Sería estupendo disponer de ellos algún día, pero hoy en día ya no son una prioridad. Sin embargo, la velocidad cada vez mayor del desarrollo de software y el ritmo cada vez más rápido de las ciberamenazas sofisticadas y destructivas, que a menudo se basan en la lucha contra las vulnerabilidades del software, han hecho que la codificación segura sea indispensable. La Agencia de Seguridad Cibernética y de Infraestructuras (CISA) se centra en el código de seguridad con su iniciativa «Seguro desde el diseño», que se ha convertido en un movimiento internacional.
Nuestras investigaciones lo han demostrado: existe una clara relación entre el enfoque «seguridad desde el diseño» y la reducción de las vulnerabilidades del software. Analizamos los datos relativos a la reducción de las brechas de seguridad del 26 % de los clientes de SCW y descubrimos que la formación de los desarrolladores había dado lugar a una reducción del número de vulnerabilidades del software de entre el 22 % y el 84 %. Este rango se debió a variables como el tamaño de las empresas participantes (las empresas más pequeñas con relativamente pocos desarrolladores obtuvieron un rango de resultados más drástico) y si un grupo de aprendizaje se centraba en un problema específico. En este caso, se corrigió un mayor porcentaje de errores.
Los resultados con las grandes empresas fueron bastante consistentes. Las empresas con 7000 o más desarrolladores pueden esperar una reducción de entre el 47 % y el 53 % en las vulnerabilidades de seguridad gracias al desarrollo continuo de los desarrolladores en el ámbito de la seguridad. Por ejemplo, una empresa estadísticamente promedio con más de 10 000 desarrolladores, que no es líder en la plataforma ni tiene el índice de referencia más alto, registró una reducción del 53 % en las vulnerabilidades de seguridad.
Por supuesto, el entrenamiento más eficaz no requiere un enfoque global que se adapte a todos. Debe adaptarse al entorno de trabajo de los desarrolladores y al tipo de desarrollo que realizan.
Las empresas deberían empezar a desarrollar las habilidades básicas que los desarrolladores necesitan para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de formación continua deberían consistir en cursos prácticos y ágiles en escenarios reales que se ajusten al tipo de trabajo que realizan y a los lenguajes que utilizan. Además, deberían ser lo suficientemente flexibles como para poder integrar los cursos en su plan de trabajo.
Para los desarrolladores, las habilidades van más allá de escribir código. Deben ser capaces de revisar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han hecho un uso intensivo de los modelos de IA generativa y, en general, han elogiado sus ventajas, ya que les ayudan a crear más código más rápidamente. Aunque el 76 % de los encuestados por Snyk afirmaron que el código generado por IA es más seguro que el creado por humanos, el 56,4 % siguió afirmando que la IA a veces o con frecuencia provoca errores. La misma encuesta reveló que el 80 % de los desarrolladores omite la aplicación de las directrices de seguridad del código de IA, lo que sugiere que los problemas de código en el código de IA no se solucionan.
Con un enfoque de seguridad desde el diseño, los desarrolladores, en colaboración con los equipos de seguridad y no separados de ellos, abordarán estos problemas en una fase temprana del ciclo de vida del desarrollo de software (SDLC) e identificarán y corregirán los errores antes de que el código entre en producción.
La puntuación de confianza mide el rendimiento de las personas y las empresas.
También es importante que la formación sea continua. Las empresas deben introducir una cultura en la que la seguridad sea lo primero, que se aplique en todos los ámbitos, desde los niveles más altos de la empresa hasta los rangos más bajos. Debe centrarse en la mejora continua y en la aplicación de las mejores prácticas de seguridad en todo el ciclo de vida del desarrollo de software (SDLC). La tecnología y los ciberdelincuentes no dejan de evolucionar, al igual que la ciberseguridad. Para las empresas que producen software, los desarrolladores con formación en seguridad son la base.
Por eso es tan importante demostrar que la formación ha sido eficaz, tan importante como la propia formación. Trust Score no solo ofrece información sobre el rendimiento de cada desarrollador y de la empresa en su conjunto, sino que también permite a las empresas analizar en detalle los datos de rendimiento para centrarse en determinados lenguajes, equipos de desarrolladores o categorías de software. Los datos de los resultados de rendimiento individuales y agregados también ayudan a identificar áreas en las que es necesario mejorar la formación, por ejemplo, cuando no tiene el efecto deseado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las empresas evaluar el rendimiento de los desarrolladores y verificar si han adquirido —y utilizan— las competencias de seguridad necesarias para garantizar que han obtenido su licencia para programar. Permite a las empresas conceder a los desarrolladores cualificados un acceso fiable a sus datos más sensibles y a sus proyectos de software críticos, al tiempo que deniega dicho acceso a aquellos que utilizan las herramientas y aún no están del todo preparados.
Prueba de una cultura de seguridad en transformación
La ciberseguridad ya no es solo un problema de seguridad. Es un problema empresarial que afecta a la integridad del activo más valioso de muchas empresas: sus datos. Una infracción grave afecta al funcionamiento, la reputación y, posiblemente, la rentabilidad de una empresa. Las autoridades reguladoras son conscientes de la importancia de la ciberseguridad. Han introducido normativas cada vez más estrictas y se han mostrado dispuestas a emprender acciones legales contra los CISO y, posiblemente, otros miembros de la alta dirección, llegando incluso a presentar denuncias penales, como en los casos de Uber y SolarWinds.
La introducción de una cultura de seguridad en toda la empresa es esencial en el entorno actual. Y dado que gran parte del valor de una empresa reside en sus datos, aplicaciones y servicios, la codificación segura es un elemento fundamental de esta cultura. La formación específica y la recualificación como parte de una mentalidad cultural, así como la demostración de que la formación ha contribuido a cambiar la cultura empresarial, pueden ayudar a las empresas a reforzar sus medidas de seguridad.
Los programas de seguridad orientados a los desarrolladores son valiosos. La prueba está en la confianza.
Nuestras investigaciones han demostrado que la formación en código seguro funciona. Trust Score utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones. Muestra la eficacia de la iniciativa a la hora de subsanar las brechas de seguridad y cómo se puede hacer aún más eficaz.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una forma segura de mejorar la seguridad de su empresa es formar a los desarrolladores en métodos probados para una programación segura. Estos se proporcionan en un marco que incluye bases de referencia y puntos de referencia para ofrecer a los desarrolladores las vías de aprendizaje específicas que necesitan. Sin embargo, la codificación segura no es una solución puntual, sino que debe convertirse en una forma de vida arraigada en el ADN de una empresa. Los desarrolladores no solo deben cambiar al lado izquierdo o empezar por la izquierda, sino también permanecer en la izquierda.
No basta con ofrecer formación. Las empresas deben asegurarse de que los desarrolladores hayan completado toda la formación y sigan las mejores prácticas al inicio del ciclo de desarrollo de software (SDLC) como parte de sus rutinas diarias. Deben supervisar el rendimiento de los desarrolladores y medir sus progresos tanto según los estándares internos como según los estándares del sector. De este modo, se puede medir de forma eficaz el retorno de la inversión que se obtiene de las inversiones en formación.
Code Warriors sichern Vertrauenswert ofrece información sobre el rendimiento de cada desarrollador y agrega los datos para permitir una evaluación del rendimiento general de su empresa. Muestra la eficacia de los programas de formación continua y, al mismo tiempo, identifica las áreas que necesitan mejorar. Además, contribuye a garantizar el cumplimiento de los numerosos requisitos normativos, ya sean los del Reglamento General de Protección de Datos (RGPD), la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), la Ley de Protección al Consumidor de California (CCPA) u otros.
Nuestras investigaciones han demostrado que la formación en código seguro funciona. Trust Score utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones. Muestra la eficacia de la iniciativa a la hora de subsanar las brechas de seguridad y cómo se puede hacer aún más eficaz.
La formación mejora la seguridad, siempre que los desarrolladores la reciban.
Durante años, en el sector del software parecía ser deseable utilizar métodos de seguridad probados al inicio del ciclo de vida del desarrollo de software (SDLC). Sería estupendo disponer de ellos algún día, pero hoy en día ya no son una prioridad. Sin embargo, la velocidad cada vez mayor del desarrollo de software y el ritmo cada vez más rápido de las ciberamenazas sofisticadas y destructivas, que a menudo se basan en la lucha contra las vulnerabilidades del software, han hecho que la codificación segura sea indispensable. La Agencia de Seguridad Cibernética y de Infraestructuras (CISA) se centra en el código de seguridad con su iniciativa «Seguro desde el diseño», que se ha convertido en un movimiento internacional.
Nuestras investigaciones lo han demostrado: existe una clara relación entre el enfoque «seguridad desde el diseño» y la reducción de las vulnerabilidades del software. Analizamos los datos relativos a la reducción de las brechas de seguridad del 26 % de los clientes de SCW y descubrimos que la formación de los desarrolladores había dado lugar a una reducción del número de vulnerabilidades del software de entre el 22 % y el 84 %. Este rango se debió a variables como el tamaño de las empresas participantes (las empresas más pequeñas con relativamente pocos desarrolladores obtuvieron un rango de resultados más drástico) y si un grupo de aprendizaje se centraba en un problema específico. En este caso, se corrigió un mayor porcentaje de errores.
Los resultados con las grandes empresas fueron bastante consistentes. Las empresas con 7000 o más desarrolladores pueden esperar una reducción de entre el 47 % y el 53 % en las vulnerabilidades de seguridad gracias al desarrollo continuo de los desarrolladores en el ámbito de la seguridad. Por ejemplo, una empresa estadísticamente promedio con más de 10 000 desarrolladores, que no es líder en la plataforma ni tiene el índice de referencia más alto, registró una reducción del 53 % en las vulnerabilidades de seguridad.
Por supuesto, el entrenamiento más eficaz no requiere un enfoque global que se adapte a todos. Debe adaptarse al entorno de trabajo de los desarrolladores y al tipo de desarrollo que realizan.
Las empresas deberían empezar a desarrollar las habilidades básicas que los desarrolladores necesitan para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de formación continua deberían consistir en cursos prácticos y ágiles en escenarios reales que se ajusten al tipo de trabajo que realizan y a los lenguajes que utilizan. Además, deberían ser lo suficientemente flexibles como para poder integrar los cursos en su plan de trabajo.
Para los desarrolladores, las habilidades van más allá de escribir código. Deben ser capaces de revisar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han hecho un uso intensivo de los modelos de IA generativa y, en general, han elogiado sus ventajas, ya que les ayudan a crear más código más rápidamente. Aunque el 76 % de los encuestados por Snyk afirmaron que el código generado por IA es más seguro que el creado por humanos, el 56,4 % siguió afirmando que la IA a veces o con frecuencia provoca errores. La misma encuesta reveló que el 80 % de los desarrolladores omite la aplicación de las directrices de seguridad del código de IA, lo que sugiere que los problemas de código en el código de IA no se solucionan.
Con un enfoque de seguridad desde el diseño, los desarrolladores, en colaboración con los equipos de seguridad y no separados de ellos, abordarán estos problemas en una fase temprana del ciclo de vida del desarrollo de software (SDLC) e identificarán y corregirán los errores antes de que el código entre en producción.
La puntuación de confianza mide el rendimiento de las personas y las empresas.
También es importante que la formación sea continua. Las empresas deben introducir una cultura en la que la seguridad sea lo primero, que se aplique en todos los ámbitos, desde los niveles más altos de la empresa hasta los rangos más bajos. Debe centrarse en la mejora continua y en la aplicación de las mejores prácticas de seguridad en todo el ciclo de vida del desarrollo de software (SDLC). La tecnología y los ciberdelincuentes no dejan de evolucionar, al igual que la ciberseguridad. Para las empresas que producen software, los desarrolladores con formación en seguridad son la base.
Por eso es tan importante demostrar que la formación ha sido eficaz, tan importante como la propia formación. Trust Score no solo ofrece información sobre el rendimiento de cada desarrollador y de la empresa en su conjunto, sino que también permite a las empresas analizar en detalle los datos de rendimiento para centrarse en determinados lenguajes, equipos de desarrolladores o categorías de software. Los datos de los resultados de rendimiento individuales y agregados también ayudan a identificar áreas en las que es necesario mejorar la formación, por ejemplo, cuando no tiene el efecto deseado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las empresas evaluar el rendimiento de los desarrolladores y verificar si han adquirido —y utilizan— las competencias de seguridad necesarias para garantizar que han obtenido su licencia para programar. Permite a las empresas conceder a los desarrolladores cualificados un acceso fiable a sus datos más sensibles y a sus proyectos de software críticos, al tiempo que deniega dicho acceso a aquellos que utilizan las herramientas y aún no están del todo preparados.
Prueba de una cultura de seguridad en transformación
La ciberseguridad ya no es solo un problema de seguridad. Es un problema empresarial que afecta a la integridad del activo más valioso de muchas empresas: sus datos. Una infracción grave afecta al funcionamiento, la reputación y, posiblemente, la rentabilidad de una empresa. Las autoridades reguladoras son conscientes de la importancia de la ciberseguridad. Han introducido normativas cada vez más estrictas y se han mostrado dispuestas a emprender acciones legales contra los CISO y, posiblemente, otros miembros de la alta dirección, llegando incluso a presentar denuncias penales, como en los casos de Uber y SolarWinds.
La introducción de una cultura de seguridad en toda la empresa es esencial en el entorno actual. Y dado que gran parte del valor de una empresa reside en sus datos, aplicaciones y servicios, la codificación segura es un elemento fundamental de esta cultura. La formación específica y la recualificación como parte de una mentalidad cultural, así como la demostración de que la formación ha contribuido a cambiar la cultura empresarial, pueden ayudar a las empresas a reforzar sus medidas de seguridad.
Los programas de seguridad orientados a los desarrolladores son valiosos. La prueba está en la confianza.
Una forma segura de mejorar la seguridad de su empresa es formar a los desarrolladores en métodos probados para una programación segura. Estos se proporcionan en un marco que incluye bases de referencia y puntos de referencia para ofrecer a los desarrolladores las vías de aprendizaje específicas que necesitan. Sin embargo, la codificación segura no es una solución puntual, sino que debe convertirse en una forma de vida arraigada en el ADN de una empresa. Los desarrolladores no solo deben cambiar al lado izquierdo o empezar por la izquierda, sino también permanecer en la izquierda.
No basta con ofrecer formación. Las empresas deben asegurarse de que los desarrolladores hayan completado toda la formación y sigan las mejores prácticas al inicio del ciclo de desarrollo de software (SDLC) como parte de sus rutinas diarias. Deben supervisar el rendimiento de los desarrolladores y medir sus progresos tanto según los estándares internos como según los estándares del sector. De este modo, se puede medir de forma eficaz el retorno de la inversión que se obtiene de las inversiones en formación.
Code Warriors sichern Vertrauenswert ofrece información sobre el rendimiento de cada desarrollador y agrega los datos para permitir una evaluación del rendimiento general de su empresa. Muestra la eficacia de los programas de formación continua y, al mismo tiempo, identifica las áreas que necesitan mejorar. Además, contribuye a garantizar el cumplimiento de los numerosos requisitos normativos, ya sean los del Reglamento General de Protección de Datos (RGPD), la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), la Ley de Protección al Consumidor de California (CCPA) u otros.
Nuestras investigaciones han demostrado que la formación en código seguro funciona. Trust Score utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones. Muestra la eficacia de la iniciativa a la hora de subsanar las brechas de seguridad y cómo se puede hacer aún más eficaz.
La formación mejora la seguridad, siempre que los desarrolladores la reciban.
Durante años, en el sector del software parecía ser deseable utilizar métodos de seguridad probados al inicio del ciclo de vida del desarrollo de software (SDLC). Sería estupendo disponer de ellos algún día, pero hoy en día ya no son una prioridad. Sin embargo, la velocidad cada vez mayor del desarrollo de software y el ritmo cada vez más rápido de las ciberamenazas sofisticadas y destructivas, que a menudo se basan en la lucha contra las vulnerabilidades del software, han hecho que la codificación segura sea indispensable. La Agencia de Seguridad Cibernética y de Infraestructuras (CISA) se centra en el código de seguridad con su iniciativa «Seguro desde el diseño», que se ha convertido en un movimiento internacional.
Nuestras investigaciones lo han demostrado: existe una clara relación entre el enfoque «seguridad desde el diseño» y la reducción de las vulnerabilidades del software. Analizamos los datos relativos a la reducción de las brechas de seguridad del 26 % de los clientes de SCW y descubrimos que la formación de los desarrolladores había dado lugar a una reducción del número de vulnerabilidades del software de entre el 22 % y el 84 %. Este rango se debió a variables como el tamaño de las empresas participantes (las empresas más pequeñas con relativamente pocos desarrolladores obtuvieron un rango de resultados más drástico) y si un grupo de aprendizaje se centraba en un problema específico. En este caso, se corrigió un mayor porcentaje de errores.
Los resultados con las grandes empresas fueron bastante consistentes. Las empresas con 7000 o más desarrolladores pueden esperar una reducción de entre el 47 % y el 53 % en las vulnerabilidades de seguridad gracias al desarrollo continuo de los desarrolladores en el ámbito de la seguridad. Por ejemplo, una empresa estadísticamente promedio con más de 10 000 desarrolladores, que no es líder en la plataforma ni tiene el índice de referencia más alto, registró una reducción del 53 % en las vulnerabilidades de seguridad.
Por supuesto, el entrenamiento más eficaz no requiere un enfoque global que se adapte a todos. Debe adaptarse al entorno de trabajo de los desarrolladores y al tipo de desarrollo que realizan.
Las empresas deberían empezar a desarrollar las habilidades básicas que los desarrolladores necesitan para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de formación continua deberían consistir en cursos prácticos y ágiles en escenarios reales que se ajusten al tipo de trabajo que realizan y a los lenguajes que utilizan. Además, deberían ser lo suficientemente flexibles como para poder integrar los cursos en su plan de trabajo.
Para los desarrolladores, las habilidades van más allá de escribir código. Deben ser capaces de revisar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han hecho un uso intensivo de los modelos de IA generativa y, en general, han elogiado sus ventajas, ya que les ayudan a crear más código más rápidamente. Aunque el 76 % de los encuestados por Snyk afirmaron que el código generado por IA es más seguro que el creado por humanos, el 56,4 % siguió afirmando que la IA a veces o con frecuencia provoca errores. La misma encuesta reveló que el 80 % de los desarrolladores omite la aplicación de las directrices de seguridad del código de IA, lo que sugiere que los problemas de código en el código de IA no se solucionan.
Con un enfoque de seguridad desde el diseño, los desarrolladores, en colaboración con los equipos de seguridad y no separados de ellos, abordarán estos problemas en una fase temprana del ciclo de vida del desarrollo de software (SDLC) e identificarán y corregirán los errores antes de que el código entre en producción.
La puntuación de confianza mide el rendimiento de las personas y las empresas.
También es importante que la formación sea continua. Las empresas deben introducir una cultura en la que la seguridad sea lo primero, que se aplique en todos los ámbitos, desde los niveles más altos de la empresa hasta los rangos más bajos. Debe centrarse en la mejora continua y en la aplicación de las mejores prácticas de seguridad en todo el ciclo de vida del desarrollo de software (SDLC). La tecnología y los ciberdelincuentes no dejan de evolucionar, al igual que la ciberseguridad. Para las empresas que producen software, los desarrolladores con formación en seguridad son la base.
Por eso es tan importante demostrar que la formación ha sido eficaz, tan importante como la propia formación. Trust Score no solo ofrece información sobre el rendimiento de cada desarrollador y de la empresa en su conjunto, sino que también permite a las empresas analizar en detalle los datos de rendimiento para centrarse en determinados lenguajes, equipos de desarrolladores o categorías de software. Los datos de los resultados de rendimiento individuales y agregados también ayudan a identificar áreas en las que es necesario mejorar la formación, por ejemplo, cuando no tiene el efecto deseado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las empresas evaluar el rendimiento de los desarrolladores y verificar si han adquirido —y utilizan— las competencias de seguridad necesarias para garantizar que han obtenido su licencia para programar. Permite a las empresas conceder a los desarrolladores cualificados un acceso fiable a sus datos más sensibles y a sus proyectos de software críticos, al tiempo que deniega dicho acceso a aquellos que utilizan las herramientas y aún no están del todo preparados.
Prueba de una cultura de seguridad en transformación
La ciberseguridad ya no es solo un problema de seguridad. Es un problema empresarial que afecta a la integridad del activo más valioso de muchas empresas: sus datos. Una infracción grave afecta al funcionamiento, la reputación y, posiblemente, la rentabilidad de una empresa. Las autoridades reguladoras son conscientes de la importancia de la ciberseguridad. Han introducido normativas cada vez más estrictas y se han mostrado dispuestas a emprender acciones legales contra los CISO y, posiblemente, otros miembros de la alta dirección, llegando incluso a presentar denuncias penales, como en los casos de Uber y SolarWinds.
La introducción de una cultura de seguridad en toda la empresa es esencial en el entorno actual. Y dado que gran parte del valor de una empresa reside en sus datos, aplicaciones y servicios, la codificación segura es un elemento fundamental de esta cultura. La formación específica y la recualificación como parte de una mentalidad cultural, así como la demostración de que la formación ha contribuido a cambiar la cultura empresarial, pueden ayudar a las empresas a reforzar sus medidas de seguridad.
Los programas de seguridad orientados a los desarrolladores son valiosos. La prueba está en la confianza.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una forma segura de mejorar la seguridad de su empresa es formar a los desarrolladores en métodos probados para una programación segura. Estos se proporcionan en un marco que incluye bases de referencia y puntos de referencia para ofrecer a los desarrolladores las vías de aprendizaje específicas que necesitan. Sin embargo, la codificación segura no es una solución puntual, sino que debe convertirse en una forma de vida arraigada en el ADN de una empresa. Los desarrolladores no solo deben cambiar al lado izquierdo o empezar por la izquierda, sino también permanecer en la izquierda.
No basta con ofrecer formación. Las empresas deben asegurarse de que los desarrolladores hayan completado toda la formación y sigan las mejores prácticas al inicio del ciclo de desarrollo de software (SDLC) como parte de sus rutinas diarias. Deben supervisar el rendimiento de los desarrolladores y medir sus progresos tanto según los estándares internos como según los estándares del sector. De este modo, se puede medir de forma eficaz el retorno de la inversión que se obtiene de las inversiones en formación.
Code Warriors sichern Vertrauenswert ofrece información sobre el rendimiento de cada desarrollador y agrega los datos para permitir una evaluación del rendimiento general de su empresa. Muestra la eficacia de los programas de formación continua y, al mismo tiempo, identifica las áreas que necesitan mejorar. Además, contribuye a garantizar el cumplimiento de los numerosos requisitos normativos, ya sean los del Reglamento General de Protección de Datos (RGPD), la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), la Ley de Protección al Consumidor de California (CCPA) u otros.
Nuestras investigaciones han demostrado que la formación en código seguro funciona. Trust Score utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones. Muestra la eficacia de la iniciativa a la hora de subsanar las brechas de seguridad y cómo se puede hacer aún más eficaz.
La formación mejora la seguridad, siempre que los desarrolladores la reciban.
Durante años, en el sector del software parecía ser deseable utilizar métodos de seguridad probados al inicio del ciclo de vida del desarrollo de software (SDLC). Sería estupendo disponer de ellos algún día, pero hoy en día ya no son una prioridad. Sin embargo, la velocidad cada vez mayor del desarrollo de software y el ritmo cada vez más rápido de las ciberamenazas sofisticadas y destructivas, que a menudo se basan en la lucha contra las vulnerabilidades del software, han hecho que la codificación segura sea indispensable. La Agencia de Seguridad Cibernética y de Infraestructuras (CISA) se centra en el código de seguridad con su iniciativa «Seguro desde el diseño», que se ha convertido en un movimiento internacional.
Nuestras investigaciones lo han demostrado: existe una clara relación entre el enfoque «seguridad desde el diseño» y la reducción de las vulnerabilidades del software. Analizamos los datos relativos a la reducción de las brechas de seguridad del 26 % de los clientes de SCW y descubrimos que la formación de los desarrolladores había dado lugar a una reducción del número de vulnerabilidades del software de entre el 22 % y el 84 %. Este rango se debió a variables como el tamaño de las empresas participantes (las empresas más pequeñas con relativamente pocos desarrolladores obtuvieron un rango de resultados más drástico) y si un grupo de aprendizaje se centraba en un problema específico. En este caso, se corrigió un mayor porcentaje de errores.
Los resultados con las grandes empresas fueron bastante consistentes. Las empresas con 7000 o más desarrolladores pueden esperar una reducción de entre el 47 % y el 53 % en las vulnerabilidades de seguridad gracias al desarrollo continuo de los desarrolladores en el ámbito de la seguridad. Por ejemplo, una empresa estadísticamente promedio con más de 10 000 desarrolladores, que no es líder en la plataforma ni tiene el índice de referencia más alto, registró una reducción del 53 % en las vulnerabilidades de seguridad.
Por supuesto, el entrenamiento más eficaz no requiere un enfoque global que se adapte a todos. Debe adaptarse al entorno de trabajo de los desarrolladores y al tipo de desarrollo que realizan.
Las empresas deberían empezar a desarrollar las habilidades básicas que los desarrolladores necesitan para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de formación continua deberían consistir en cursos prácticos y ágiles en escenarios reales que se ajusten al tipo de trabajo que realizan y a los lenguajes que utilizan. Además, deberían ser lo suficientemente flexibles como para poder integrar los cursos en su plan de trabajo.
Para los desarrolladores, las habilidades van más allá de escribir código. Deben ser capaces de revisar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han hecho un uso intensivo de los modelos de IA generativa y, en general, han elogiado sus ventajas, ya que les ayudan a crear más código más rápidamente. Aunque el 76 % de los encuestados por Snyk afirmaron que el código generado por IA es más seguro que el creado por humanos, el 56,4 % siguió afirmando que la IA a veces o con frecuencia provoca errores. La misma encuesta reveló que el 80 % de los desarrolladores omite la aplicación de las directrices de seguridad del código de IA, lo que sugiere que los problemas de código en el código de IA no se solucionan.
Con un enfoque de seguridad desde el diseño, los desarrolladores, en colaboración con los equipos de seguridad y no separados de ellos, abordarán estos problemas en una fase temprana del ciclo de vida del desarrollo de software (SDLC) e identificarán y corregirán los errores antes de que el código entre en producción.
La puntuación de confianza mide el rendimiento de las personas y las empresas.
También es importante que la formación sea continua. Las empresas deben introducir una cultura en la que la seguridad sea lo primero, que se aplique en todos los ámbitos, desde los niveles más altos de la empresa hasta los rangos más bajos. Debe centrarse en la mejora continua y en la aplicación de las mejores prácticas de seguridad en todo el ciclo de vida del desarrollo de software (SDLC). La tecnología y los ciberdelincuentes no dejan de evolucionar, al igual que la ciberseguridad. Para las empresas que producen software, los desarrolladores con formación en seguridad son la base.
Por eso es tan importante demostrar que la formación ha sido eficaz, tan importante como la propia formación. Trust Score no solo ofrece información sobre el rendimiento de cada desarrollador y de la empresa en su conjunto, sino que también permite a las empresas analizar en detalle los datos de rendimiento para centrarse en determinados lenguajes, equipos de desarrolladores o categorías de software. Los datos de los resultados de rendimiento individuales y agregados también ayudan a identificar áreas en las que es necesario mejorar la formación, por ejemplo, cuando no tiene el efecto deseado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las empresas evaluar el rendimiento de los desarrolladores y verificar si han adquirido —y utilizan— las competencias de seguridad necesarias para garantizar que han obtenido su licencia para programar. Permite a las empresas conceder a los desarrolladores cualificados un acceso fiable a sus datos más sensibles y a sus proyectos de software críticos, al tiempo que deniega dicho acceso a aquellos que utilizan las herramientas y aún no están del todo preparados.
Prueba de una cultura de seguridad en transformación
La ciberseguridad ya no es solo un problema de seguridad. Es un problema empresarial que afecta a la integridad del activo más valioso de muchas empresas: sus datos. Una infracción grave afecta al funcionamiento, la reputación y, posiblemente, la rentabilidad de una empresa. Las autoridades reguladoras son conscientes de la importancia de la ciberseguridad. Han introducido normativas cada vez más estrictas y se han mostrado dispuestas a emprender acciones legales contra los CISO y, posiblemente, otros miembros de la alta dirección, llegando incluso a presentar denuncias penales, como en los casos de Uber y SolarWinds.
La introducción de una cultura de seguridad en toda la empresa es esencial en el entorno actual. Y dado que gran parte del valor de una empresa reside en sus datos, aplicaciones y servicios, la codificación segura es un elemento fundamental de esta cultura. La formación específica y la recualificación como parte de una mentalidad cultural, así como la demostración de que la formación ha contribuido a cambiar la cultura empresarial, pueden ayudar a las empresas a reforzar sus medidas de seguridad.
Los programas de seguridad orientados a los desarrolladores son valiosos. La prueba está en la confianza.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
