La puntuación de confianza revela el valor de las iniciativas de mejora de capacidades seguras mediante el diseño.
Una forma segura de mejorar la postura de seguridad de su organización es mediante la capacitación de los desarrolladores en materia de mejores prácticas de codificación segura, ofrecidas en un marco que incluye líneas de base y puntos de referencia diseñados para ofrecer a los desarrolladores las vías de aprendizaje específicas que necesitan. Sin embargo, la codificación segura no es algo que se solucione una sola vez: debe convertirse en una forma de vida, codificada en el ADN de una organización. Los desarrolladores no solo tienen que desplazarse a la izquierda o empezar por la izquierda, sino que también deben permanecer a la izquierda.
No basta con ofrecer formación. Las organizaciones deben confirmar que los desarrolladores han asimilado por completo su formación y siguen las mejores prácticas al principio del ciclo de vida del desarrollo del software (SDLC) como parte de sus rutinas diarias. Es necesario hacer un seguimiento del desempeño de los desarrolladores y medir su progreso comparándolo con los estándares internos y los puntos de referencia del sector, midiendo de manera efectiva el ROI de la inversión en formación.
Código seguro: Warrior's Puntuación de confianza proporciona visibilidad del rendimiento de los desarrolladores individuales y agrega los datos para proporcionar una evaluación del rendimiento general de su organización. Muestra la eficacia de los programas de mejora de las habilidades y, al mismo tiempo, identifica las áreas que necesitan mejoras. Además, ayuda a garantizar el cumplimiento de la gama de requisitos de cumplimiento normativo, independientemente de si provienen del Reglamento General de Protección de Datos (GDPR), el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), la Ley de Privacidad del Consumidor de California (CCPA), u otros.
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje extraídos del trabajo realizado por más de 250 000 alumnos de más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
La formación mejora la seguridad, si los desarrolladores la entienden.
Durante años, el uso de las mejores prácticas de seguridad al principio del SDLC parecía ser una aspiración en la industria del software, algo fantástico para algún día, pero no una prioridad para hoy. Sin embargo, la velocidad cada vez mayor del desarrollo del software, junto con el ritmo acelerado de las ciberamenazas sofisticadas y destructivas, que a menudo se centran en atacar las vulnerabilidades del software, han hecho que la codificación segura sea esencial. La Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) pone el código seguro en primer plano con su iniciativa Diseño seguro, que se está convirtiendo en un movimiento internacional.
Nuestra investigación lo ha demostrado: la correlación entre un enfoque seguro desde el diseño y la reducción de las vulnerabilidades del software es clara. Analizamos los datos de reducción de vulnerabilidades del 26 % de la base de clientes de SCW y descubrimos que la formación de los desarrolladores permitió reducir las vulnerabilidades del software entre el 22 y el 84 %. Ese rango se debió a variables como el tamaño de las empresas participantes (las empresas más pequeñas con relativamente pocos desarrolladores obtuvieron una gama de resultados más espectacular) y si un grupo de aprendizaje se centró en un problema específico, en cuyo caso eliminaron un porcentaje mayor de defectos.
Los resultados con las grandes empresas fueron bastante consistentes. Las empresas con 7000 o más desarrolladores pueden esperar que las vulnerabilidades se reduzcan entre un 47 y un 53 % como resultado de la mejora de las competencias de los desarrolladores en materia de seguridad. Por ejemplo, una empresa con una media estadística de más de 10 000 desarrolladores (que no obtuvo el mejor rendimiento en la plataforma ni el índice de referencia más alto) registró una reducción del 53 % en sus vulnerabilidades.
Por supuesto, la capacitación más eficaz no adopta un enfoque amplio y único para todos. Debe adaptarse a los entornos de trabajo de los desarrolladores y a los tipos de desarrollo que realizan.
Las empresas deberían empezar por establecer las habilidades básicas que deben tener los desarrolladores para que la escritura de código seguro sea tan natural para ellos como la simple escritura de código. Los programas de perfeccionamiento deben consistir en una formación práctica y ágil en situaciones reales que se ajusten al tipo de trabajo que realizan y a los lenguajes que utilizan. Además, debe ser lo suficientemente flexible como para adaptar las sesiones de formación a sus horarios de trabajo.
Para los desarrolladores, el conjunto de habilidades implica más que escribir código. Deben poder comprobar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han hecho uso ávido de modelos de IA generativos y, en general, han elogiado sus beneficios al ayudarlos a crear más código con mayor rapidez. Sin embargo, aunque el 76 % de los encuestados respondió a la encuesta de Snyk que el código generado por la IA era más seguro que el producido por humanos, el 56,4 % seguía diciendo que la IA introduce errores a veces o con frecuencia. Y la misma encuesta reveló que el 80 % de los desarrolladores no aplican las políticas de seguridad relacionadas con el código de IA, lo que sugiere que no se están abordando los problemas relacionados con el código de IA.
Con un enfoque de diseño seguro, los desarrolladores (que trabajan con los equipos de seguridad, en lugar de separarlos de ellos) abordarán esos problemas en las primeras etapas del SDLC, identificando y solucionando las fallas antes de que el código entre en producción.
La puntuación de confianza mide el rendimiento individual y empresarial.
También es fundamental que la capacitación sea continua. Las empresas deben adoptar una cultura que priorice la seguridad y que se aplique en todas partes, desde los niveles más altos de la empresa hasta los niveles más bajos. Debe centrarse en la mejora continua y en la aplicación de las mejores prácticas de seguridad en todo el SDLC. La tecnología y los ciberdelincuentes no paran de evolucionar; tampoco debería hacerlo la ciberseguridad. Para las organizaciones que producen software, la base son los desarrolladores capacitados en seguridad.
Por eso, demostrar que la formación se ha afianzado de manera efectiva es tan importante como la propia formación. Trust Score no solo ofrece visibilidad del rendimiento de los desarrolladores a nivel individual y de la organización en general, sino que también permite a las organizaciones analizar en detalle los datos de rendimiento para centrarse en lenguajes, equipos de desarrolladores o categorías de software específicos. Los datos de los resultados de rendimiento individuales y agregados también ayudan a identificar las áreas en las que es necesario mejorar la formación, por ejemplo, si no está teniendo el efecto deseado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las organizaciones evaluar el desempeño de los desarrolladores y confirmar si han adquirido (y están usando) las habilidades de seguridad necesarias, garantizando que se han ganado la licencia para programar. Permite a las organizaciones conceder con confianza a desarrolladores cualificados el acceso a sus datos más confidenciales y a sus proyectos de software más importantes, al tiempo que deniega el acceso a quienes utilizan las herramientas y que aún no están preparados para utilizarlas.
Prueba de una cultura de seguridad cambiante
La ciberseguridad ya no es solo un problema de seguridad. Es un problema empresarial que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Una infracción grave afecta a las operaciones, la reputación y, potencialmente, la viabilidad de una organización. La importancia de la ciberseguridad no ha pasado desapercibida para los organismos reguladores, que han estado implementando regulaciones cada vez más estrictas y han demostrado su disposición a iniciar acciones legales contra los CISO y, potencialmente, contra otros miembros de la alta dirección, incluso hasta el punto de presentar cargos penales, como en los casos de Uber y Vientos solares.
La adopción de una cultura de seguridad en toda la empresa es esencial en el entorno actual. Y dado que gran parte del valor de una empresa reside en sus datos, aplicaciones y servicios, la codificación segura es un elemento fundamental de esa cultura. La formación específica y la mejora de las competencias como parte de una mentalidad cultural, junto con la demostración de que la formación ha ayudado a cambiar la cultura, pueden encaminar a las organizaciones hacia el fortalecimiento de sus posturas de seguridad.
Los programas de seguridad impulsados por los desarrolladores son valiosos. La prueba está en la puntuación de confianza.
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje extraídos del trabajo realizado por más de 250 000 alumnos de más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una forma segura de mejorar la postura de seguridad de su organización es mediante la capacitación de los desarrolladores en materia de mejores prácticas de codificación segura, ofrecidas en un marco que incluye líneas de base y puntos de referencia diseñados para ofrecer a los desarrolladores las vías de aprendizaje específicas que necesitan. Sin embargo, la codificación segura no es algo que se solucione una sola vez: debe convertirse en una forma de vida, codificada en el ADN de una organización. Los desarrolladores no solo tienen que desplazarse a la izquierda o empezar por la izquierda, sino que también deben permanecer a la izquierda.
No basta con ofrecer formación. Las organizaciones deben confirmar que los desarrolladores han asimilado por completo su formación y siguen las mejores prácticas al principio del ciclo de vida del desarrollo del software (SDLC) como parte de sus rutinas diarias. Es necesario hacer un seguimiento del desempeño de los desarrolladores y medir su progreso comparándolo con los estándares internos y los puntos de referencia del sector, midiendo de manera efectiva el ROI de la inversión en formación.
Código seguro: Warrior's Puntuación de confianza proporciona visibilidad del rendimiento de los desarrolladores individuales y agrega los datos para proporcionar una evaluación del rendimiento general de su organización. Muestra la eficacia de los programas de mejora de las habilidades y, al mismo tiempo, identifica las áreas que necesitan mejoras. Además, ayuda a garantizar el cumplimiento de la gama de requisitos de cumplimiento normativo, independientemente de si provienen del Reglamento General de Protección de Datos (GDPR), el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), la Ley de Privacidad del Consumidor de California (CCPA), u otros.
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje extraídos del trabajo realizado por más de 250 000 alumnos de más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
La formación mejora la seguridad, si los desarrolladores la entienden.
Durante años, el uso de las mejores prácticas de seguridad al principio del SDLC parecía ser una aspiración en la industria del software, algo fantástico para algún día, pero no una prioridad para hoy. Sin embargo, la velocidad cada vez mayor del desarrollo del software, junto con el ritmo acelerado de las ciberamenazas sofisticadas y destructivas, que a menudo se centran en atacar las vulnerabilidades del software, han hecho que la codificación segura sea esencial. La Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) pone el código seguro en primer plano con su iniciativa Diseño seguro, que se está convirtiendo en un movimiento internacional.
Nuestra investigación lo ha demostrado: la correlación entre un enfoque seguro desde el diseño y la reducción de las vulnerabilidades del software es clara. Analizamos los datos de reducción de vulnerabilidades del 26 % de la base de clientes de SCW y descubrimos que la formación de los desarrolladores permitió reducir las vulnerabilidades del software entre el 22 y el 84 %. Ese rango se debió a variables como el tamaño de las empresas participantes (las empresas más pequeñas con relativamente pocos desarrolladores obtuvieron una gama de resultados más espectacular) y si un grupo de aprendizaje se centró en un problema específico, en cuyo caso eliminaron un porcentaje mayor de defectos.
Los resultados con las grandes empresas fueron bastante consistentes. Las empresas con 7000 o más desarrolladores pueden esperar que las vulnerabilidades se reduzcan entre un 47 y un 53 % como resultado de la mejora de las competencias de los desarrolladores en materia de seguridad. Por ejemplo, una empresa con una media estadística de más de 10 000 desarrolladores (que no obtuvo el mejor rendimiento en la plataforma ni el índice de referencia más alto) registró una reducción del 53 % en sus vulnerabilidades.
Por supuesto, la capacitación más eficaz no adopta un enfoque amplio y único para todos. Debe adaptarse a los entornos de trabajo de los desarrolladores y a los tipos de desarrollo que realizan.
Las empresas deberían empezar por establecer las habilidades básicas que deben tener los desarrolladores para que la escritura de código seguro sea tan natural para ellos como la simple escritura de código. Los programas de perfeccionamiento deben consistir en una formación práctica y ágil en situaciones reales que se ajusten al tipo de trabajo que realizan y a los lenguajes que utilizan. Además, debe ser lo suficientemente flexible como para adaptar las sesiones de formación a sus horarios de trabajo.
Para los desarrolladores, el conjunto de habilidades implica más que escribir código. Deben poder comprobar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han hecho uso ávido de modelos de IA generativos y, en general, han elogiado sus beneficios al ayudarlos a crear más código con mayor rapidez. Sin embargo, aunque el 76 % de los encuestados respondió a la encuesta de Snyk que el código generado por la IA era más seguro que el producido por humanos, el 56,4 % seguía diciendo que la IA introduce errores a veces o con frecuencia. Y la misma encuesta reveló que el 80 % de los desarrolladores no aplican las políticas de seguridad relacionadas con el código de IA, lo que sugiere que no se están abordando los problemas relacionados con el código de IA.
Con un enfoque de diseño seguro, los desarrolladores (que trabajan con los equipos de seguridad, en lugar de separarlos de ellos) abordarán esos problemas en las primeras etapas del SDLC, identificando y solucionando las fallas antes de que el código entre en producción.
La puntuación de confianza mide el rendimiento individual y empresarial.
También es fundamental que la capacitación sea continua. Las empresas deben adoptar una cultura que priorice la seguridad y que se aplique en todas partes, desde los niveles más altos de la empresa hasta los niveles más bajos. Debe centrarse en la mejora continua y en la aplicación de las mejores prácticas de seguridad en todo el SDLC. La tecnología y los ciberdelincuentes no paran de evolucionar; tampoco debería hacerlo la ciberseguridad. Para las organizaciones que producen software, la base son los desarrolladores capacitados en seguridad.
Por eso, demostrar que la formación se ha afianzado de manera efectiva es tan importante como la propia formación. Trust Score no solo ofrece visibilidad del rendimiento de los desarrolladores a nivel individual y de la organización en general, sino que también permite a las organizaciones analizar en detalle los datos de rendimiento para centrarse en lenguajes, equipos de desarrolladores o categorías de software específicos. Los datos de los resultados de rendimiento individuales y agregados también ayudan a identificar las áreas en las que es necesario mejorar la formación, por ejemplo, si no está teniendo el efecto deseado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las organizaciones evaluar el desempeño de los desarrolladores y confirmar si han adquirido (y están usando) las habilidades de seguridad necesarias, garantizando que se han ganado la licencia para programar. Permite a las organizaciones conceder con confianza a desarrolladores cualificados el acceso a sus datos más confidenciales y a sus proyectos de software más importantes, al tiempo que deniega el acceso a quienes utilizan las herramientas y que aún no están preparados para utilizarlas.
Prueba de una cultura de seguridad cambiante
La ciberseguridad ya no es solo un problema de seguridad. Es un problema empresarial que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Una infracción grave afecta a las operaciones, la reputación y, potencialmente, la viabilidad de una organización. La importancia de la ciberseguridad no ha pasado desapercibida para los organismos reguladores, que han estado implementando regulaciones cada vez más estrictas y han demostrado su disposición a iniciar acciones legales contra los CISO y, potencialmente, contra otros miembros de la alta dirección, incluso hasta el punto de presentar cargos penales, como en los casos de Uber y Vientos solares.
La adopción de una cultura de seguridad en toda la empresa es esencial en el entorno actual. Y dado que gran parte del valor de una empresa reside en sus datos, aplicaciones y servicios, la codificación segura es un elemento fundamental de esa cultura. La formación específica y la mejora de las competencias como parte de una mentalidad cultural, junto con la demostración de que la formación ha ayudado a cambiar la cultura, pueden encaminar a las organizaciones hacia el fortalecimiento de sus posturas de seguridad.
Los programas de seguridad impulsados por los desarrolladores son valiosos. La prueba está en la puntuación de confianza.
Una forma segura de mejorar la postura de seguridad de su organización es mediante la capacitación de los desarrolladores en materia de mejores prácticas de codificación segura, ofrecidas en un marco que incluye líneas de base y puntos de referencia diseñados para ofrecer a los desarrolladores las vías de aprendizaje específicas que necesitan. Sin embargo, la codificación segura no es algo que se solucione una sola vez: debe convertirse en una forma de vida, codificada en el ADN de una organización. Los desarrolladores no solo tienen que desplazarse a la izquierda o empezar por la izquierda, sino que también deben permanecer a la izquierda.
No basta con ofrecer formación. Las organizaciones deben confirmar que los desarrolladores han asimilado por completo su formación y siguen las mejores prácticas al principio del ciclo de vida del desarrollo del software (SDLC) como parte de sus rutinas diarias. Es necesario hacer un seguimiento del desempeño de los desarrolladores y medir su progreso comparándolo con los estándares internos y los puntos de referencia del sector, midiendo de manera efectiva el ROI de la inversión en formación.
Código seguro: Warrior's Puntuación de confianza proporciona visibilidad del rendimiento de los desarrolladores individuales y agrega los datos para proporcionar una evaluación del rendimiento general de su organización. Muestra la eficacia de los programas de mejora de las habilidades y, al mismo tiempo, identifica las áreas que necesitan mejoras. Además, ayuda a garantizar el cumplimiento de la gama de requisitos de cumplimiento normativo, independientemente de si provienen del Reglamento General de Protección de Datos (GDPR), el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), la Ley de Privacidad del Consumidor de California (CCPA), u otros.
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje extraídos del trabajo realizado por más de 250 000 alumnos de más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
La formación mejora la seguridad, si los desarrolladores la entienden.
Durante años, el uso de las mejores prácticas de seguridad al principio del SDLC parecía ser una aspiración en la industria del software, algo fantástico para algún día, pero no una prioridad para hoy. Sin embargo, la velocidad cada vez mayor del desarrollo del software, junto con el ritmo acelerado de las ciberamenazas sofisticadas y destructivas, que a menudo se centran en atacar las vulnerabilidades del software, han hecho que la codificación segura sea esencial. La Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) pone el código seguro en primer plano con su iniciativa Diseño seguro, que se está convirtiendo en un movimiento internacional.
Nuestra investigación lo ha demostrado: la correlación entre un enfoque seguro desde el diseño y la reducción de las vulnerabilidades del software es clara. Analizamos los datos de reducción de vulnerabilidades del 26 % de la base de clientes de SCW y descubrimos que la formación de los desarrolladores permitió reducir las vulnerabilidades del software entre el 22 y el 84 %. Ese rango se debió a variables como el tamaño de las empresas participantes (las empresas más pequeñas con relativamente pocos desarrolladores obtuvieron una gama de resultados más espectacular) y si un grupo de aprendizaje se centró en un problema específico, en cuyo caso eliminaron un porcentaje mayor de defectos.
Los resultados con las grandes empresas fueron bastante consistentes. Las empresas con 7000 o más desarrolladores pueden esperar que las vulnerabilidades se reduzcan entre un 47 y un 53 % como resultado de la mejora de las competencias de los desarrolladores en materia de seguridad. Por ejemplo, una empresa con una media estadística de más de 10 000 desarrolladores (que no obtuvo el mejor rendimiento en la plataforma ni el índice de referencia más alto) registró una reducción del 53 % en sus vulnerabilidades.
Por supuesto, la capacitación más eficaz no adopta un enfoque amplio y único para todos. Debe adaptarse a los entornos de trabajo de los desarrolladores y a los tipos de desarrollo que realizan.
Las empresas deberían empezar por establecer las habilidades básicas que deben tener los desarrolladores para que la escritura de código seguro sea tan natural para ellos como la simple escritura de código. Los programas de perfeccionamiento deben consistir en una formación práctica y ágil en situaciones reales que se ajusten al tipo de trabajo que realizan y a los lenguajes que utilizan. Además, debe ser lo suficientemente flexible como para adaptar las sesiones de formación a sus horarios de trabajo.
Para los desarrolladores, el conjunto de habilidades implica más que escribir código. Deben poder comprobar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han hecho uso ávido de modelos de IA generativos y, en general, han elogiado sus beneficios al ayudarlos a crear más código con mayor rapidez. Sin embargo, aunque el 76 % de los encuestados respondió a la encuesta de Snyk que el código generado por la IA era más seguro que el producido por humanos, el 56,4 % seguía diciendo que la IA introduce errores a veces o con frecuencia. Y la misma encuesta reveló que el 80 % de los desarrolladores no aplican las políticas de seguridad relacionadas con el código de IA, lo que sugiere que no se están abordando los problemas relacionados con el código de IA.
Con un enfoque de diseño seguro, los desarrolladores (que trabajan con los equipos de seguridad, en lugar de separarlos de ellos) abordarán esos problemas en las primeras etapas del SDLC, identificando y solucionando las fallas antes de que el código entre en producción.
La puntuación de confianza mide el rendimiento individual y empresarial.
También es fundamental que la capacitación sea continua. Las empresas deben adoptar una cultura que priorice la seguridad y que se aplique en todas partes, desde los niveles más altos de la empresa hasta los niveles más bajos. Debe centrarse en la mejora continua y en la aplicación de las mejores prácticas de seguridad en todo el SDLC. La tecnología y los ciberdelincuentes no paran de evolucionar; tampoco debería hacerlo la ciberseguridad. Para las organizaciones que producen software, la base son los desarrolladores capacitados en seguridad.
Por eso, demostrar que la formación se ha afianzado de manera efectiva es tan importante como la propia formación. Trust Score no solo ofrece visibilidad del rendimiento de los desarrolladores a nivel individual y de la organización en general, sino que también permite a las organizaciones analizar en detalle los datos de rendimiento para centrarse en lenguajes, equipos de desarrolladores o categorías de software específicos. Los datos de los resultados de rendimiento individuales y agregados también ayudan a identificar las áreas en las que es necesario mejorar la formación, por ejemplo, si no está teniendo el efecto deseado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las organizaciones evaluar el desempeño de los desarrolladores y confirmar si han adquirido (y están usando) las habilidades de seguridad necesarias, garantizando que se han ganado la licencia para programar. Permite a las organizaciones conceder con confianza a desarrolladores cualificados el acceso a sus datos más confidenciales y a sus proyectos de software más importantes, al tiempo que deniega el acceso a quienes utilizan las herramientas y que aún no están preparados para utilizarlas.
Prueba de una cultura de seguridad cambiante
La ciberseguridad ya no es solo un problema de seguridad. Es un problema empresarial que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Una infracción grave afecta a las operaciones, la reputación y, potencialmente, la viabilidad de una organización. La importancia de la ciberseguridad no ha pasado desapercibida para los organismos reguladores, que han estado implementando regulaciones cada vez más estrictas y han demostrado su disposición a iniciar acciones legales contra los CISO y, potencialmente, contra otros miembros de la alta dirección, incluso hasta el punto de presentar cargos penales, como en los casos de Uber y Vientos solares.
La adopción de una cultura de seguridad en toda la empresa es esencial en el entorno actual. Y dado que gran parte del valor de una empresa reside en sus datos, aplicaciones y servicios, la codificación segura es un elemento fundamental de esa cultura. La formación específica y la mejora de las competencias como parte de una mentalidad cultural, junto con la demostración de que la formación ha ayudado a cambiar la cultura, pueden encaminar a las organizaciones hacia el fortalecimiento de sus posturas de seguridad.
Los programas de seguridad impulsados por los desarrolladores son valiosos. La prueba está en la puntuación de confianza.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una forma segura de mejorar la postura de seguridad de su organización es mediante la capacitación de los desarrolladores en materia de mejores prácticas de codificación segura, ofrecidas en un marco que incluye líneas de base y puntos de referencia diseñados para ofrecer a los desarrolladores las vías de aprendizaje específicas que necesitan. Sin embargo, la codificación segura no es algo que se solucione una sola vez: debe convertirse en una forma de vida, codificada en el ADN de una organización. Los desarrolladores no solo tienen que desplazarse a la izquierda o empezar por la izquierda, sino que también deben permanecer a la izquierda.
No basta con ofrecer formación. Las organizaciones deben confirmar que los desarrolladores han asimilado por completo su formación y siguen las mejores prácticas al principio del ciclo de vida del desarrollo del software (SDLC) como parte de sus rutinas diarias. Es necesario hacer un seguimiento del desempeño de los desarrolladores y medir su progreso comparándolo con los estándares internos y los puntos de referencia del sector, midiendo de manera efectiva el ROI de la inversión en formación.
Código seguro: Warrior's Puntuación de confianza proporciona visibilidad del rendimiento de los desarrolladores individuales y agrega los datos para proporcionar una evaluación del rendimiento general de su organización. Muestra la eficacia de los programas de mejora de las habilidades y, al mismo tiempo, identifica las áreas que necesitan mejoras. Además, ayuda a garantizar el cumplimiento de la gama de requisitos de cumplimiento normativo, independientemente de si provienen del Reglamento General de Protección de Datos (GDPR), el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), la Ley de Privacidad del Consumidor de California (CCPA), u otros.
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje extraídos del trabajo realizado por más de 250 000 alumnos de más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
La formación mejora la seguridad, si los desarrolladores la entienden.
Durante años, el uso de las mejores prácticas de seguridad al principio del SDLC parecía ser una aspiración en la industria del software, algo fantástico para algún día, pero no una prioridad para hoy. Sin embargo, la velocidad cada vez mayor del desarrollo del software, junto con el ritmo acelerado de las ciberamenazas sofisticadas y destructivas, que a menudo se centran en atacar las vulnerabilidades del software, han hecho que la codificación segura sea esencial. La Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) pone el código seguro en primer plano con su iniciativa Diseño seguro, que se está convirtiendo en un movimiento internacional.
Nuestra investigación lo ha demostrado: la correlación entre un enfoque seguro desde el diseño y la reducción de las vulnerabilidades del software es clara. Analizamos los datos de reducción de vulnerabilidades del 26 % de la base de clientes de SCW y descubrimos que la formación de los desarrolladores permitió reducir las vulnerabilidades del software entre el 22 y el 84 %. Ese rango se debió a variables como el tamaño de las empresas participantes (las empresas más pequeñas con relativamente pocos desarrolladores obtuvieron una gama de resultados más espectacular) y si un grupo de aprendizaje se centró en un problema específico, en cuyo caso eliminaron un porcentaje mayor de defectos.
Los resultados con las grandes empresas fueron bastante consistentes. Las empresas con 7000 o más desarrolladores pueden esperar que las vulnerabilidades se reduzcan entre un 47 y un 53 % como resultado de la mejora de las competencias de los desarrolladores en materia de seguridad. Por ejemplo, una empresa con una media estadística de más de 10 000 desarrolladores (que no obtuvo el mejor rendimiento en la plataforma ni el índice de referencia más alto) registró una reducción del 53 % en sus vulnerabilidades.
Por supuesto, la capacitación más eficaz no adopta un enfoque amplio y único para todos. Debe adaptarse a los entornos de trabajo de los desarrolladores y a los tipos de desarrollo que realizan.
Las empresas deberían empezar por establecer las habilidades básicas que deben tener los desarrolladores para que la escritura de código seguro sea tan natural para ellos como la simple escritura de código. Los programas de perfeccionamiento deben consistir en una formación práctica y ágil en situaciones reales que se ajusten al tipo de trabajo que realizan y a los lenguajes que utilizan. Además, debe ser lo suficientemente flexible como para adaptar las sesiones de formación a sus horarios de trabajo.
Para los desarrolladores, el conjunto de habilidades implica más que escribir código. Deben poder comprobar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han hecho uso ávido de modelos de IA generativos y, en general, han elogiado sus beneficios al ayudarlos a crear más código con mayor rapidez. Sin embargo, aunque el 76 % de los encuestados respondió a la encuesta de Snyk que el código generado por la IA era más seguro que el producido por humanos, el 56,4 % seguía diciendo que la IA introduce errores a veces o con frecuencia. Y la misma encuesta reveló que el 80 % de los desarrolladores no aplican las políticas de seguridad relacionadas con el código de IA, lo que sugiere que no se están abordando los problemas relacionados con el código de IA.
Con un enfoque de diseño seguro, los desarrolladores (que trabajan con los equipos de seguridad, en lugar de separarlos de ellos) abordarán esos problemas en las primeras etapas del SDLC, identificando y solucionando las fallas antes de que el código entre en producción.
La puntuación de confianza mide el rendimiento individual y empresarial.
También es fundamental que la capacitación sea continua. Las empresas deben adoptar una cultura que priorice la seguridad y que se aplique en todas partes, desde los niveles más altos de la empresa hasta los niveles más bajos. Debe centrarse en la mejora continua y en la aplicación de las mejores prácticas de seguridad en todo el SDLC. La tecnología y los ciberdelincuentes no paran de evolucionar; tampoco debería hacerlo la ciberseguridad. Para las organizaciones que producen software, la base son los desarrolladores capacitados en seguridad.
Por eso, demostrar que la formación se ha afianzado de manera efectiva es tan importante como la propia formación. Trust Score no solo ofrece visibilidad del rendimiento de los desarrolladores a nivel individual y de la organización en general, sino que también permite a las organizaciones analizar en detalle los datos de rendimiento para centrarse en lenguajes, equipos de desarrolladores o categorías de software específicos. Los datos de los resultados de rendimiento individuales y agregados también ayudan a identificar las áreas en las que es necesario mejorar la formación, por ejemplo, si no está teniendo el efecto deseado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las organizaciones evaluar el desempeño de los desarrolladores y confirmar si han adquirido (y están usando) las habilidades de seguridad necesarias, garantizando que se han ganado la licencia para programar. Permite a las organizaciones conceder con confianza a desarrolladores cualificados el acceso a sus datos más confidenciales y a sus proyectos de software más importantes, al tiempo que deniega el acceso a quienes utilizan las herramientas y que aún no están preparados para utilizarlas.
Prueba de una cultura de seguridad cambiante
La ciberseguridad ya no es solo un problema de seguridad. Es un problema empresarial que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Una infracción grave afecta a las operaciones, la reputación y, potencialmente, la viabilidad de una organización. La importancia de la ciberseguridad no ha pasado desapercibida para los organismos reguladores, que han estado implementando regulaciones cada vez más estrictas y han demostrado su disposición a iniciar acciones legales contra los CISO y, potencialmente, contra otros miembros de la alta dirección, incluso hasta el punto de presentar cargos penales, como en los casos de Uber y Vientos solares.
La adopción de una cultura de seguridad en toda la empresa es esencial en el entorno actual. Y dado que gran parte del valor de una empresa reside en sus datos, aplicaciones y servicios, la codificación segura es un elemento fundamental de esa cultura. La formación específica y la mejora de las competencias como parte de una mentalidad cultural, junto con la demostración de que la formación ha ayudado a cambiar la cultura, pueden encaminar a las organizaciones hacia el fortalecimiento de sus posturas de seguridad.
Los programas de seguridad impulsados por los desarrolladores son valiosos. La prueba está en la puntuación de confianza.
Tabla de contenido
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El habilitador 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
