Los beneficios de la evaluación comparativa de las habilidades de seguridad para los desarrolladores
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
Conclusión
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
El creciente enfoque en el código seguro y los principios de seguridad desde el diseño requiere que los desarrolladores estén capacitados en ciberseguridad desde el inicio del SDLC, con herramientas como la puntuación de confianza de Secure Code Warrior que ayudan a medir y mejorar su progreso.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
Conclusión
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
Conclusión
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Con las ciberamenazas cada vez más frecuentes y sofisticadas, el enfoque de la ciberseguridad se centra en la importancia del código seguro. La de la Casa Blanca Estrategia Nacional de Ciberseguridad y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) Diseño seguro La iniciativa, junto con las iniciativas y la legislación de otros países, pone la responsabilidad de la seguridad directamente sobre los productores de software. Para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), para garantizar la seguridad en las primeras etapas del ciclo de vida del desarrollo del software (SDLC), algo que antes se consideraba conveniente, ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas que se producen tras una infracción.
La clave para garantizar prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna educación sobre ciberseguridad. Su trabajo, especialmente en el acelerado entorno de DevOps actual, ha consistido en lanzar nuevas aplicaciones, actualizaciones y servicios lo antes posible (cada vez más con la ayuda de modelos de IA generativa que funcionan rápidamente) y permitir que los equipos de seguridad aborden los problemas de ciberseguridad en algún momento posterior, en el SDLC. Se trata de una forma ineficaz de abordar la plétora de fallos que surgen cuando se crea tanto código y que, a menudo, provocan la aparición de vulnerabilidades de software en el ecosistema.
Los desarrolladores deben estar capacitados para escribir código seguro desde el principio y poder detectar el código inseguro generado por la IA o cuando esté presente en el software de código abierto y de terceros que utilizan. Para muchos equipos y organizaciones de desarrollo, este es un territorio inexplorado. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto básico de habilidades para que los desarrolladores adquieran y midan su progreso en función de puntos de referencia claramente definidos. Para contribuir a ello, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. El Puntuación SCW Trust permite a las organizaciones medir qué tan bien se está aplicando la capacitación en el trabajo y permite que los equipos de seguridad, desarrolladores e ingeniería colaboren.
Es una forma de comprobar que la formación en código seguro se está afianzando y, al mismo tiempo, identificar las áreas de mejora.
Argumentos a favor del diseño seguro
Los productores de software tienen todos los motivos para llevar la seguridad al SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo han demostró ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también inevitablemente resulta en software defectuoso siendo puesto en fase de tramitación. Cuanto más código se genere, más defectos, y investigación reciente ha descubierto que casi las tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos una falla de seguridad, y casi el 20% de ellas se consideran críticas.
Ponerse al día con las vulnerabilidades más adelante en el SDLC es cada vez más lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha encontrado que corregir los defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y corregirlos durante la fase de implementación o mantenimiento puede tardar entre 30 y 100 veces más.
Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, que ha demostrado ser no solo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacer que funcionen como entidades independientes, son los que están en mejor posición para llevar la seguridad al inicio del SDLC. Además, los desarrolladores capacitados en las mejores prácticas de seguridad han logrado reducir las vulnerabilidades de forma eficaz. El problema es que muy pocos de ellos han recibido formación.
La belleza de los puntos de referencia
El camino básico para las empresas implica establecer una base de habilidades de seguridad, brindar capacitación y verificar, tanto a las organizaciones como a los reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un desafío para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.
Uno de los desafíos que identifican los líderes de seguridad es la dificultad de ampliar un programa de capacitación en toda la empresa. Sin embargo, la investigación de SCW muestra que las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar grandes diferencias en cuanto a la eficacia con la que aplican los principios de seguridad desde el diseño. Sin embargo, ellas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras con mayor rapidez.
Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntajes para evaluar el desempeño del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No solo hace un seguimiento de la formación, sino que también muestra la eficacia con la que los desarrolladores aplican sus nuevas habilidades en el día a día. También destaca las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de capacitación/mejora de habilidades.
En todos los CISA sectores de infraestructura crítica para las que había datos disponibles, la mayoría de las organizaciones están aproximadamente al mismo nivel en lo que respecta a la implementación de los principios de diseño seguro. Los puntajes de confianza de sectores que van desde los servicios financieros y la industria de defensa hasta la atención médica, la TI y la fabricación crítica cayeron en el mismo rango: poco más de 300 puntos en una escala de 1000 puntos. Ningún sector supera a los demás, a pesar de la opinión generalizada de que los servicios financieros, por ser el sector más regulado, estarían muy por delante.
Los sectores de infraestructura crítica que no están incluidos en la clasificación de Trust Score, como las operaciones químicas, energéticas y nucleares, generalmente no crean su propio software, sino que dependen de otros sectores, en particular de TI. Sin embargo, la importancia de mantener los sistemas seguros en esos sectores (nadie quiere que una central nuclear se vea comprometida) solo demuestra lo esencial que es proteger el software que se utiliza desde el principio.
Conclusión
La creciente presión regulatoria y las realidades del panorama de las ciberamenazas han hecho que un enfoque de diseño seguro sea imperativo para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. En gran medida, la creación de software seguro está en manos de los desarrolladores, pero estos necesitan ayuda en forma de un programa exhaustivo de perfeccionamiento y formación que les proporcione la formación que necesitan y les muestre cómo se aplica.
Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan deben garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro y, al mismo tiempo, cumplen con los nuevos requisitos de seguridad desde el diseño.
Tabla de contenido
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El habilitador 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
