Cambie a la izquierda (y logre el cumplimiento) con habilidades de codificación segura y repetibles
Hoy en día, casi todos los equipos de desarrolladores emplean algún tipo de formación sobre cumplimiento, ya sea como parte de un proceso de certificación inicial que se utiliza para garantizar que una empresa se mantenga dentro de los límites de los marcos industriales o las regulaciones gubernamentales, o como parte de un requisito o revisión anual. Es un paso importante, porque si una organización no puede cumplir con los requisitos básicos de cumplimiento, sus trabajadores no pueden desempeñar sus funciones de manera realista.
Las reglas de cumplimiento existen por una razón, porque cualquier persona que trabaje en el campo que cubren esas reglas debe tener al menos un conocimiento fundamental de todos los procesos y procedimientos relevantes, así como de cualquier ley aplicable.
Si bien la capacitación en cumplimiento es importante, completar los requisitos mínimos obligatorios no garantiza una verdadera seguridad de las aplicaciones. Esto es especialmente cierto en el caso de los desarrolladores que intentan integrar habilidades de codificación seguras en su flujo de trabajo diario. Casi todos los desarrolladores reciben algún tipo de formación sobre cumplimiento y, sin embargo, cuando son encuestados, El 67% admitió que con frecuencia dejaban vulnerabilidades en su código.
¿Por qué?
Por segundo año consecutivo, Secure Code Warrior llevó a cabo la «Encuesta sobre el estado de la seguridad impulsada por los desarrolladores, 2022" en colaboración con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para comprender las habilidades, las percepciones y los comportamientos en lo que respecta a las prácticas de codificación seguras, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
En cuanto a por qué la capacitación en cumplimiento no logra mejorar la seguridad del software, este es un tema del que hemos estado hablando durante mucho tiempo. La encuesta reciente simplemente pone de relieve este problema.
Por un lado, se pide a los desarrolladores que asuman nuevas funciones al incluir la ciberseguridad en todo el proceso de desarrollo del software, incluso cuando escriben inicialmente el código de las aplicaciones y los programas. Sin embargo, escribir código seguro, o simplemente aprender todo sobre los problemas de ciberseguridad y las vulnerabilidades que podrían afectarlo, no es una tarea fácil. En la encuesta, el 63% de los desarrolladores afirmó que escribir código seguro era una tarea difícil.
La dificultad de escribir código seguro no debería sorprendernos. Hay una razón por la que tantos puestos de trabajo de ciberseguridad bien remunerados están sin cubrir: según el último recuento, hay más de 3,5 millones de vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. La formación estática sobre cumplimiento normativo o las clases puntuales no pueden mantener el ritmo ni proporcionar el tipo de formación que necesitan los desarrolladores. Puede marcar una casilla en términos de cumplimiento, pero no puede ofrecer garantías reales de seguridad de las aplicaciones a tu organización ni permitir a los desarrolladores escribir código seguro ni adquirir las habilidades necesarias para encontrar y corregir las vulnerabilidades del código.
La capacitación en cumplimiento y seguridad es importante, pero diferente
Las organizaciones deben empezar a darse cuenta y reconocer lo que la formación sobre cumplimiento puede hacer y lo que no. No abandone la formación sobre cumplimiento, especialmente si la exige la ley. Y sobre todo porque (incluso con los métodos de formación actuales) el 92% de los encuestados afirmó que necesitaba al menos algún tipo de formación en cuestiones relacionadas con el cumplimiento o los marcos de seguridad, y el 50% hizo hincapié en la necesidad de una formación importante en materia de cumplimiento.
Los marcos de cumplimiento en los que estaban más interesados en capacitarse incluían aquellos que son específicos de varias industrias, aunque también figuran en la lista varios marcos generales de ciberseguridad. Entre ellos figuraban el marco de seguridad del CIS, el PCI DSS, el Top 10 de OWASP, el MISRA C, la ISO/IEC y la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), entre otros.
Así que sí, capacitese en esos marcos, pero comprenda que marcar una casilla en la capacitación sobre cumplimiento no equivale a proporcionar una base para la creación continua de código seguro.
En su lugar, considera la formación sobre cumplimiento como parte de una oportunidad continua para ampliar las habilidades de codificación segura de tu desarrollador, que pueden repetirse fuera del ciclo de cumplimiento, de modo que puedan crear y publicar software seguro todos los días. Cambie la prioridad de lograr el cumplimiento a permitir que los equipos de desarrollo codifiquen de forma segura mediante un aprendizaje continuo. Al invertir tiempo y recursos en capacitar a los desarrolladores, los ejercicios o exámenes anuales de cumplimiento de las casillas serán muy fáciles de aprobar y completar para su personal, a la vez que se beneficiarán de una mejora de la productividad en general.
¿Cómo puede hacer el cambio a una seguridad impulsada por los desarrolladores?
La abrumadora mayoría de los desarrolladores dijeron que la formación era valiosa, pero se mostraron en desacuerdo con el tipo de formación que han recibido en relación con la codificación segura a lo largo de los años. Los desarrolladores dijeron que querían que se hiciera más hincapié en la formación práctica utilizando ejemplos del mundo real que fueran relevantes para su trabajo (un 30%). El 26% de los encuestados también consideró fundamental una mayor interactividad, especialmente si podían practicar la escritura de código seguro como parte de esos ejercicios.
El 23% de los desarrolladores encuestados consideró importante el deseo de recibir una formación más guiada centrada en las vulnerabilidades específicas que tenían más probabilidades de encontrar en su industria o sector, mientras que el 22% quería ver más ejemplos de vulnerabilidades del mundo real en sus cursos de formación.
Está claro que el simple hecho de ofrecer una formación estática y no interactiva (que suele ser la experiencia de la formación sobre cumplimiento) tiene poco valor en términos de habilidades de seguridad repetibles para los desarrolladores. Por el contrario, las organizaciones deberían centrarse en cosas como la formación puntual, en la que los desarrolladores aprenden sobre la seguridad mientras trabajan. Incluso podrías considerar la posibilidad de implementar un programa de aprendizaje por niveles.
Con un enfoque escalonado, los temas más amplios generalmente se dividen en experiencias o conceptos de aprendizaje discretos. A medida que los desarrolladores progresan, los conceptos más avanzados se superponen a los que ya dominan, del mismo modo que se construyen andamios físicos a medida que un edificio crece. Esto lo convierte en un método probado para enseñar un tema difícil y en constante evolución, como la ciberseguridad, dividiéndolo primero en partes más pequeñas y menos complejas y, después, creando más complejidad sobre esa base.
Independientemente de cómo decida abordar su programa de habilidades de seguridad para desarrolladores, la clave será mantenerlo separado de los ejercicios de cumplimiento. Tanto la formación en materia de cumplimiento como la de seguridad son importantes y ambas requieren enfoques diferentes para lograr el éxito.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software.
Libro blanco: El enfoque preventivo de los desarrolladores para la seguridad del software.
Informe: El estado de la seguridad impulsada por los desarrolladores.
Hoy en día, casi todos los equipos de desarrolladores emplean algún tipo de formación sobre cumplimiento, ya sea como parte de un proceso de certificación inicial que se utiliza para garantizar que una empresa se mantenga dentro de los límites de los marcos industriales o las regulaciones gubernamentales, o como parte de un requisito o revisión anual. Es un paso importante, porque si una organización no puede cumplir con los requisitos básicos de cumplimiento, sus trabajadores no pueden desempeñar sus funciones de manera realista.
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
Hoy en día, casi todos los equipos de desarrolladores emplean algún tipo de formación sobre cumplimiento, ya sea como parte de un proceso de certificación inicial que se utiliza para garantizar que una empresa se mantenga dentro de los límites de los marcos industriales o las regulaciones gubernamentales, o como parte de un requisito o revisión anual. Es un paso importante, porque si una organización no puede cumplir con los requisitos básicos de cumplimiento, sus trabajadores no pueden desempeñar sus funciones de manera realista.
Las reglas de cumplimiento existen por una razón, porque cualquier persona que trabaje en el campo que cubren esas reglas debe tener al menos un conocimiento fundamental de todos los procesos y procedimientos relevantes, así como de cualquier ley aplicable.
Si bien la capacitación en cumplimiento es importante, completar los requisitos mínimos obligatorios no garantiza una verdadera seguridad de las aplicaciones. Esto es especialmente cierto en el caso de los desarrolladores que intentan integrar habilidades de codificación seguras en su flujo de trabajo diario. Casi todos los desarrolladores reciben algún tipo de formación sobre cumplimiento y, sin embargo, cuando son encuestados, El 67% admitió que con frecuencia dejaban vulnerabilidades en su código.
¿Por qué?
Por segundo año consecutivo, Secure Code Warrior llevó a cabo la «Encuesta sobre el estado de la seguridad impulsada por los desarrolladores, 2022" en colaboración con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para comprender las habilidades, las percepciones y los comportamientos en lo que respecta a las prácticas de codificación seguras, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
En cuanto a por qué la capacitación en cumplimiento no logra mejorar la seguridad del software, este es un tema del que hemos estado hablando durante mucho tiempo. La encuesta reciente simplemente pone de relieve este problema.
Por un lado, se pide a los desarrolladores que asuman nuevas funciones al incluir la ciberseguridad en todo el proceso de desarrollo del software, incluso cuando escriben inicialmente el código de las aplicaciones y los programas. Sin embargo, escribir código seguro, o simplemente aprender todo sobre los problemas de ciberseguridad y las vulnerabilidades que podrían afectarlo, no es una tarea fácil. En la encuesta, el 63% de los desarrolladores afirmó que escribir código seguro era una tarea difícil.
La dificultad de escribir código seguro no debería sorprendernos. Hay una razón por la que tantos puestos de trabajo de ciberseguridad bien remunerados están sin cubrir: según el último recuento, hay más de 3,5 millones de vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. La formación estática sobre cumplimiento normativo o las clases puntuales no pueden mantener el ritmo ni proporcionar el tipo de formación que necesitan los desarrolladores. Puede marcar una casilla en términos de cumplimiento, pero no puede ofrecer garantías reales de seguridad de las aplicaciones a tu organización ni permitir a los desarrolladores escribir código seguro ni adquirir las habilidades necesarias para encontrar y corregir las vulnerabilidades del código.
La capacitación en cumplimiento y seguridad es importante, pero diferente
Las organizaciones deben empezar a darse cuenta y reconocer lo que la formación sobre cumplimiento puede hacer y lo que no. No abandone la formación sobre cumplimiento, especialmente si la exige la ley. Y sobre todo porque (incluso con los métodos de formación actuales) el 92% de los encuestados afirmó que necesitaba al menos algún tipo de formación en cuestiones relacionadas con el cumplimiento o los marcos de seguridad, y el 50% hizo hincapié en la necesidad de una formación importante en materia de cumplimiento.
Los marcos de cumplimiento en los que estaban más interesados en capacitarse incluían aquellos que son específicos de varias industrias, aunque también figuran en la lista varios marcos generales de ciberseguridad. Entre ellos figuraban el marco de seguridad del CIS, el PCI DSS, el Top 10 de OWASP, el MISRA C, la ISO/IEC y la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), entre otros.
Así que sí, capacitese en esos marcos, pero comprenda que marcar una casilla en la capacitación sobre cumplimiento no equivale a proporcionar una base para la creación continua de código seguro.
En su lugar, considera la formación sobre cumplimiento como parte de una oportunidad continua para ampliar las habilidades de codificación segura de tu desarrollador, que pueden repetirse fuera del ciclo de cumplimiento, de modo que puedan crear y publicar software seguro todos los días. Cambie la prioridad de lograr el cumplimiento a permitir que los equipos de desarrollo codifiquen de forma segura mediante un aprendizaje continuo. Al invertir tiempo y recursos en capacitar a los desarrolladores, los ejercicios o exámenes anuales de cumplimiento de las casillas serán muy fáciles de aprobar y completar para su personal, a la vez que se beneficiarán de una mejora de la productividad en general.
¿Cómo puede hacer el cambio a una seguridad impulsada por los desarrolladores?
La abrumadora mayoría de los desarrolladores dijeron que la formación era valiosa, pero se mostraron en desacuerdo con el tipo de formación que han recibido en relación con la codificación segura a lo largo de los años. Los desarrolladores dijeron que querían que se hiciera más hincapié en la formación práctica utilizando ejemplos del mundo real que fueran relevantes para su trabajo (un 30%). El 26% de los encuestados también consideró fundamental una mayor interactividad, especialmente si podían practicar la escritura de código seguro como parte de esos ejercicios.
El 23% de los desarrolladores encuestados consideró importante el deseo de recibir una formación más guiada centrada en las vulnerabilidades específicas que tenían más probabilidades de encontrar en su industria o sector, mientras que el 22% quería ver más ejemplos de vulnerabilidades del mundo real en sus cursos de formación.
Está claro que el simple hecho de ofrecer una formación estática y no interactiva (que suele ser la experiencia de la formación sobre cumplimiento) tiene poco valor en términos de habilidades de seguridad repetibles para los desarrolladores. Por el contrario, las organizaciones deberían centrarse en cosas como la formación puntual, en la que los desarrolladores aprenden sobre la seguridad mientras trabajan. Incluso podrías considerar la posibilidad de implementar un programa de aprendizaje por niveles.
Con un enfoque escalonado, los temas más amplios generalmente se dividen en experiencias o conceptos de aprendizaje discretos. A medida que los desarrolladores progresan, los conceptos más avanzados se superponen a los que ya dominan, del mismo modo que se construyen andamios físicos a medida que un edificio crece. Esto lo convierte en un método probado para enseñar un tema difícil y en constante evolución, como la ciberseguridad, dividiéndolo primero en partes más pequeñas y menos complejas y, después, creando más complejidad sobre esa base.
Independientemente de cómo decida abordar su programa de habilidades de seguridad para desarrolladores, la clave será mantenerlo separado de los ejercicios de cumplimiento. Tanto la formación en materia de cumplimiento como la de seguridad son importantes y ambas requieren enfoques diferentes para lograr el éxito.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software.
Libro blanco: El enfoque preventivo de los desarrolladores para la seguridad del software.
Informe: El estado de la seguridad impulsada por los desarrolladores.
Hoy en día, casi todos los equipos de desarrolladores emplean algún tipo de formación sobre cumplimiento, ya sea como parte de un proceso de certificación inicial que se utiliza para garantizar que una empresa se mantenga dentro de los límites de los marcos industriales o las regulaciones gubernamentales, o como parte de un requisito o revisión anual. Es un paso importante, porque si una organización no puede cumplir con los requisitos básicos de cumplimiento, sus trabajadores no pueden desempeñar sus funciones de manera realista.
Las reglas de cumplimiento existen por una razón, porque cualquier persona que trabaje en el campo que cubren esas reglas debe tener al menos un conocimiento fundamental de todos los procesos y procedimientos relevantes, así como de cualquier ley aplicable.
Si bien la capacitación en cumplimiento es importante, completar los requisitos mínimos obligatorios no garantiza una verdadera seguridad de las aplicaciones. Esto es especialmente cierto en el caso de los desarrolladores que intentan integrar habilidades de codificación seguras en su flujo de trabajo diario. Casi todos los desarrolladores reciben algún tipo de formación sobre cumplimiento y, sin embargo, cuando son encuestados, El 67% admitió que con frecuencia dejaban vulnerabilidades en su código.
¿Por qué?
Por segundo año consecutivo, Secure Code Warrior llevó a cabo la «Encuesta sobre el estado de la seguridad impulsada por los desarrolladores, 2022" en colaboración con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para comprender las habilidades, las percepciones y los comportamientos en lo que respecta a las prácticas de codificación seguras, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
En cuanto a por qué la capacitación en cumplimiento no logra mejorar la seguridad del software, este es un tema del que hemos estado hablando durante mucho tiempo. La encuesta reciente simplemente pone de relieve este problema.
Por un lado, se pide a los desarrolladores que asuman nuevas funciones al incluir la ciberseguridad en todo el proceso de desarrollo del software, incluso cuando escriben inicialmente el código de las aplicaciones y los programas. Sin embargo, escribir código seguro, o simplemente aprender todo sobre los problemas de ciberseguridad y las vulnerabilidades que podrían afectarlo, no es una tarea fácil. En la encuesta, el 63% de los desarrolladores afirmó que escribir código seguro era una tarea difícil.
La dificultad de escribir código seguro no debería sorprendernos. Hay una razón por la que tantos puestos de trabajo de ciberseguridad bien remunerados están sin cubrir: según el último recuento, hay más de 3,5 millones de vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. La formación estática sobre cumplimiento normativo o las clases puntuales no pueden mantener el ritmo ni proporcionar el tipo de formación que necesitan los desarrolladores. Puede marcar una casilla en términos de cumplimiento, pero no puede ofrecer garantías reales de seguridad de las aplicaciones a tu organización ni permitir a los desarrolladores escribir código seguro ni adquirir las habilidades necesarias para encontrar y corregir las vulnerabilidades del código.
La capacitación en cumplimiento y seguridad es importante, pero diferente
Las organizaciones deben empezar a darse cuenta y reconocer lo que la formación sobre cumplimiento puede hacer y lo que no. No abandone la formación sobre cumplimiento, especialmente si la exige la ley. Y sobre todo porque (incluso con los métodos de formación actuales) el 92% de los encuestados afirmó que necesitaba al menos algún tipo de formación en cuestiones relacionadas con el cumplimiento o los marcos de seguridad, y el 50% hizo hincapié en la necesidad de una formación importante en materia de cumplimiento.
Los marcos de cumplimiento en los que estaban más interesados en capacitarse incluían aquellos que son específicos de varias industrias, aunque también figuran en la lista varios marcos generales de ciberseguridad. Entre ellos figuraban el marco de seguridad del CIS, el PCI DSS, el Top 10 de OWASP, el MISRA C, la ISO/IEC y la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), entre otros.
Así que sí, capacitese en esos marcos, pero comprenda que marcar una casilla en la capacitación sobre cumplimiento no equivale a proporcionar una base para la creación continua de código seguro.
En su lugar, considera la formación sobre cumplimiento como parte de una oportunidad continua para ampliar las habilidades de codificación segura de tu desarrollador, que pueden repetirse fuera del ciclo de cumplimiento, de modo que puedan crear y publicar software seguro todos los días. Cambie la prioridad de lograr el cumplimiento a permitir que los equipos de desarrollo codifiquen de forma segura mediante un aprendizaje continuo. Al invertir tiempo y recursos en capacitar a los desarrolladores, los ejercicios o exámenes anuales de cumplimiento de las casillas serán muy fáciles de aprobar y completar para su personal, a la vez que se beneficiarán de una mejora de la productividad en general.
¿Cómo puede hacer el cambio a una seguridad impulsada por los desarrolladores?
La abrumadora mayoría de los desarrolladores dijeron que la formación era valiosa, pero se mostraron en desacuerdo con el tipo de formación que han recibido en relación con la codificación segura a lo largo de los años. Los desarrolladores dijeron que querían que se hiciera más hincapié en la formación práctica utilizando ejemplos del mundo real que fueran relevantes para su trabajo (un 30%). El 26% de los encuestados también consideró fundamental una mayor interactividad, especialmente si podían practicar la escritura de código seguro como parte de esos ejercicios.
El 23% de los desarrolladores encuestados consideró importante el deseo de recibir una formación más guiada centrada en las vulnerabilidades específicas que tenían más probabilidades de encontrar en su industria o sector, mientras que el 22% quería ver más ejemplos de vulnerabilidades del mundo real en sus cursos de formación.
Está claro que el simple hecho de ofrecer una formación estática y no interactiva (que suele ser la experiencia de la formación sobre cumplimiento) tiene poco valor en términos de habilidades de seguridad repetibles para los desarrolladores. Por el contrario, las organizaciones deberían centrarse en cosas como la formación puntual, en la que los desarrolladores aprenden sobre la seguridad mientras trabajan. Incluso podrías considerar la posibilidad de implementar un programa de aprendizaje por niveles.
Con un enfoque escalonado, los temas más amplios generalmente se dividen en experiencias o conceptos de aprendizaje discretos. A medida que los desarrolladores progresan, los conceptos más avanzados se superponen a los que ya dominan, del mismo modo que se construyen andamios físicos a medida que un edificio crece. Esto lo convierte en un método probado para enseñar un tema difícil y en constante evolución, como la ciberseguridad, dividiéndolo primero en partes más pequeñas y menos complejas y, después, creando más complejidad sobre esa base.
Independientemente de cómo decida abordar su programa de habilidades de seguridad para desarrolladores, la clave será mantenerlo separado de los ejercicios de cumplimiento. Tanto la formación en materia de cumplimiento como la de seguridad son importantes y ambas requieren enfoques diferentes para lograr el éxito.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software.
Libro blanco: El enfoque preventivo de los desarrolladores para la seguridad del software.
Informe: El estado de la seguridad impulsada por los desarrolladores.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserve una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
Hoy en día, casi todos los equipos de desarrolladores emplean algún tipo de formación sobre cumplimiento, ya sea como parte de un proceso de certificación inicial que se utiliza para garantizar que una empresa se mantenga dentro de los límites de los marcos industriales o las regulaciones gubernamentales, o como parte de un requisito o revisión anual. Es un paso importante, porque si una organización no puede cumplir con los requisitos básicos de cumplimiento, sus trabajadores no pueden desempeñar sus funciones de manera realista.
Las reglas de cumplimiento existen por una razón, porque cualquier persona que trabaje en el campo que cubren esas reglas debe tener al menos un conocimiento fundamental de todos los procesos y procedimientos relevantes, así como de cualquier ley aplicable.
Si bien la capacitación en cumplimiento es importante, completar los requisitos mínimos obligatorios no garantiza una verdadera seguridad de las aplicaciones. Esto es especialmente cierto en el caso de los desarrolladores que intentan integrar habilidades de codificación seguras en su flujo de trabajo diario. Casi todos los desarrolladores reciben algún tipo de formación sobre cumplimiento y, sin embargo, cuando son encuestados, El 67% admitió que con frecuencia dejaban vulnerabilidades en su código.
¿Por qué?
Por segundo año consecutivo, Secure Code Warrior llevó a cabo la «Encuesta sobre el estado de la seguridad impulsada por los desarrolladores, 2022" en colaboración con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para comprender las habilidades, las percepciones y los comportamientos en lo que respecta a las prácticas de codificación seguras, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
En cuanto a por qué la capacitación en cumplimiento no logra mejorar la seguridad del software, este es un tema del que hemos estado hablando durante mucho tiempo. La encuesta reciente simplemente pone de relieve este problema.
Por un lado, se pide a los desarrolladores que asuman nuevas funciones al incluir la ciberseguridad en todo el proceso de desarrollo del software, incluso cuando escriben inicialmente el código de las aplicaciones y los programas. Sin embargo, escribir código seguro, o simplemente aprender todo sobre los problemas de ciberseguridad y las vulnerabilidades que podrían afectarlo, no es una tarea fácil. En la encuesta, el 63% de los desarrolladores afirmó que escribir código seguro era una tarea difícil.
La dificultad de escribir código seguro no debería sorprendernos. Hay una razón por la que tantos puestos de trabajo de ciberseguridad bien remunerados están sin cubrir: según el último recuento, hay más de 3,5 millones de vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. La formación estática sobre cumplimiento normativo o las clases puntuales no pueden mantener el ritmo ni proporcionar el tipo de formación que necesitan los desarrolladores. Puede marcar una casilla en términos de cumplimiento, pero no puede ofrecer garantías reales de seguridad de las aplicaciones a tu organización ni permitir a los desarrolladores escribir código seguro ni adquirir las habilidades necesarias para encontrar y corregir las vulnerabilidades del código.
La capacitación en cumplimiento y seguridad es importante, pero diferente
Las organizaciones deben empezar a darse cuenta y reconocer lo que la formación sobre cumplimiento puede hacer y lo que no. No abandone la formación sobre cumplimiento, especialmente si la exige la ley. Y sobre todo porque (incluso con los métodos de formación actuales) el 92% de los encuestados afirmó que necesitaba al menos algún tipo de formación en cuestiones relacionadas con el cumplimiento o los marcos de seguridad, y el 50% hizo hincapié en la necesidad de una formación importante en materia de cumplimiento.
Los marcos de cumplimiento en los que estaban más interesados en capacitarse incluían aquellos que son específicos de varias industrias, aunque también figuran en la lista varios marcos generales de ciberseguridad. Entre ellos figuraban el marco de seguridad del CIS, el PCI DSS, el Top 10 de OWASP, el MISRA C, la ISO/IEC y la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), entre otros.
Así que sí, capacitese en esos marcos, pero comprenda que marcar una casilla en la capacitación sobre cumplimiento no equivale a proporcionar una base para la creación continua de código seguro.
En su lugar, considera la formación sobre cumplimiento como parte de una oportunidad continua para ampliar las habilidades de codificación segura de tu desarrollador, que pueden repetirse fuera del ciclo de cumplimiento, de modo que puedan crear y publicar software seguro todos los días. Cambie la prioridad de lograr el cumplimiento a permitir que los equipos de desarrollo codifiquen de forma segura mediante un aprendizaje continuo. Al invertir tiempo y recursos en capacitar a los desarrolladores, los ejercicios o exámenes anuales de cumplimiento de las casillas serán muy fáciles de aprobar y completar para su personal, a la vez que se beneficiarán de una mejora de la productividad en general.
¿Cómo puede hacer el cambio a una seguridad impulsada por los desarrolladores?
La abrumadora mayoría de los desarrolladores dijeron que la formación era valiosa, pero se mostraron en desacuerdo con el tipo de formación que han recibido en relación con la codificación segura a lo largo de los años. Los desarrolladores dijeron que querían que se hiciera más hincapié en la formación práctica utilizando ejemplos del mundo real que fueran relevantes para su trabajo (un 30%). El 26% de los encuestados también consideró fundamental una mayor interactividad, especialmente si podían practicar la escritura de código seguro como parte de esos ejercicios.
El 23% de los desarrolladores encuestados consideró importante el deseo de recibir una formación más guiada centrada en las vulnerabilidades específicas que tenían más probabilidades de encontrar en su industria o sector, mientras que el 22% quería ver más ejemplos de vulnerabilidades del mundo real en sus cursos de formación.
Está claro que el simple hecho de ofrecer una formación estática y no interactiva (que suele ser la experiencia de la formación sobre cumplimiento) tiene poco valor en términos de habilidades de seguridad repetibles para los desarrolladores. Por el contrario, las organizaciones deberían centrarse en cosas como la formación puntual, en la que los desarrolladores aprenden sobre la seguridad mientras trabajan. Incluso podrías considerar la posibilidad de implementar un programa de aprendizaje por niveles.
Con un enfoque escalonado, los temas más amplios generalmente se dividen en experiencias o conceptos de aprendizaje discretos. A medida que los desarrolladores progresan, los conceptos más avanzados se superponen a los que ya dominan, del mismo modo que se construyen andamios físicos a medida que un edificio crece. Esto lo convierte en un método probado para enseñar un tema difícil y en constante evolución, como la ciberseguridad, dividiéndolo primero en partes más pequeñas y menos complejas y, después, creando más complejidad sobre esa base.
Independientemente de cómo decida abordar su programa de habilidades de seguridad para desarrolladores, la clave será mantenerlo separado de los ejercicios de cumplimiento. Tanto la formación en materia de cumplimiento como la de seguridad son importantes y ambas requieren enfoques diferentes para lograr el éxito.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software.
Libro blanco: El enfoque preventivo de los desarrolladores para la seguridad del software.
Informe: El estado de la seguridad impulsada por los desarrolladores.
Tabla de contenido
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El habilitador 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
