¿Quieres que los desarrolladores programen teniendo en cuenta la seguridad? Pon la formación a su disposición.
El ciclo de vida del desarrollo de software (SDLC) parece bastante inocuo; es un proceso, y los programadores nos unimos para hacer que la magia suceda y enviar todos esos beneficios digitales sin los que la sociedad no puede vivir.
Excepto que... si alguna vez has formado parte de un proyecto de desarrollo de software, sabrás que normalmente es un desafío, con muchas misiones que conquistar y dragones que matar. Es divertido durante un tiempo, pero el agotamiento es real, y la demanda de software hace que todos trabajemos a la velocidad de la luz en el mejor de los casos, especialmente el equipo de desarrollo.
Ahora imagine que se les presenta otra tarea imprescindible: la responsabilidad de la seguridad de los elementos del proyecto que tocan. Esto, en el peor de los casos, puede provocar que el castillo de naipes se derrumbe para algunas personas, pero el escenario más realista es que simplemente no se convierta en una prioridad y prevalezcan las cuestiones que se consideran más urgentes para pasarse de la raya. Y dado que la mayoría de los desarrolladores no están capacitados para programar de forma segura (especialmente si sus administradores tampoco dan prioridad a la seguridad), no es de extrañar que veamos frecuentes filtraciones de datos, lanzamientos de aplicaciones defectuosas y un gran abandono entre los profesionales de la seguridad que llegan a un punto de quiebre debido a una avalancha de códigos defectuosos.
Los desarrolladores necesitan un defensor de AppSec.
Al analizar el escenario anterior, puedes entender por qué la seguridad se pone en la cesta «demasiado difícil» durante el proceso de codificación y se deja que el equipo de seguridad se ocupe de ella. Demasiados plazos contradictorios, no hay suficiente formación y no hay ningún motivo real para preocuparse por la seguridad con todo lo demás. Sin embargo, simplemente hay demasiada demanda de código como para que continúe este statu quo. Y ahí es donde los desarrolladores de élite pueden diferenciarse de sus pares, aprender nuevas habilidades y, lo que es más importante, crear código más seguro.
Sin embargo, es importante recordar que la gestión de la seguridad del software no recae solo en los desarrolladores, sino que sigue siendo el dominio del equipo de AppSec (que, cuando trabaje con desarrolladores preocupados por la seguridad, tendrá más espacio para respirar en lugar de corregir errores comunes una y otra vez). Un proceso DevSecOps en funcionamiento exige que todos los miembros del equipo cuenten con el apoyo y las herramientas que necesitan para compartir la responsabilidad de la seguridad, y el tipo correcto de formación es primordial. Equilibrar el conjunto adecuado de herramientas y la formación requiere la visión de los profesionales de AppSec dispuestos a trabajar en estrecha colaboración con los desarrolladores para inspirarlos e impulsar un cambio positivo.
La formación disruptiva es más molesta que eficaz, y cualquier cosa que repele a los desarrolladores no va a funcionar. Una alternativa es utilizar un IDE o una solución integrada con un sistema de seguimiento de incidencias que se centre en el conocimiento a pequeña escala, y les proporcione la información correcta en el momento preciso en que la necesitan.
Así es como funciona en acción:
Justo a tiempo, no «por si acaso».
El aprendizaje práctico y contextual es, con mucho, la forma más eficaz de entrenar, ya que se entregan trozos del tamaño de un bocado justo cuando tienen más sentido. En ocasiones, esto se denomina formación «justo a tiempo» (JiT) y es muy útil para los desarrolladores que están aprendiendo a programar de forma segura.
Con orígenes en Los principios de fabricación ajustada de Toyota, la capacitación en iIT está diseñada para activarse en función de la necesidad de saber, en el contexto, cuando más importa. ¿Un desarrollador acaba de escribir algo que parece tener permisos incorrectos? ¿Qué pasaría si se abriera una pequeña puerta trasera que permitiera a un atacante ejecutar código de forma remota? Sería mucho más memorable si los desarrolladores pudieran acceder al conocimiento justo cuando lo necesitan, en lugar de buscar en la documentación de Confluence o buscar en Google algo que se haya mencionado en la formación.
El aprendizaje justo a tiempo es la antítesis del aprendizaje «por si acaso»; si bien esta última es la forma más común de impartir conocimientos, simplemente no es eficiente. Debemos facilitar que los desarrolladores se interesen por las mejores prácticas de programación segura y vean las ventajas de mejorar sus habilidades profesionales, sin dejar de centrarse en los objetivos clave en los que están trabajando en este momento.
Deja de obligar a los desarrolladores a seguir la formación.
Ya sabemos que hay demasiadas cosas que hacer en una jornada laboral, entonces, ¿qué incentivo tienen los desarrolladores para ir a un aula o cambiar de contexto para seguir cinco pasos y acceder a una formación basada en la teoría estática?
El consenso general es que lo que hacen la mayoría de las organizaciones no es muy eficaz si se tiene en cuenta la cantidad de vulnerabilidades que causan las filtraciones de datos. El informe de investigación de violaciones de datos de 2020 de Verizon especificó que el 43 % de las filtraciones de datos podrían atribuirse a vulnerabilidades web. Los desarrolladores no reciben una formación eficaz, ni en la educación superior ni como parte de las medidas de mejora de las cualificaciones en el lugar de trabajo. Si la recibieran, vulnerabilidades comunes como la inyección de SQL y el recorrido de ruta de la vieja escuela no se aprovecharían para obtener una cantidad significativa de datos, y la escasez de habilidades en ciberseguridad no estaría fuera de control.
Entonces, sabiendo que este es el clima actual en el que los desarrolladores reciben capacitación y se familiarizan con la seguridad, ¿por qué nos sorprende el mal resultado? Podría tener un efecto (positivo) tanto para el desarrollador como para la organización al garantizar una experiencia de formación más fluida, integrada y menos molesta, que sea accesible desde los espacios en los que realmente trabajan, como Jira, GitHub y el IDE. El sector simplemente necesita avanzar y hacer que la concienciación sobre la seguridad sea mucho más sencilla, en un entorno en el que ya no es un lujo.
¿Está preparado para proteger el flujo de trabajo de desarrollo?
Los desarrolladores que se preocupan por la seguridad son venerados por sus habilidades y por la protección que pueden ofrecer a las organizaciones desde la etapa de creación de código. La seguridad ya no es opcional, especialmente si tenemos en cuenta las multas impuestas por el RGPD, la normativa de cumplimiento del PCI-DSS, la gobernanza del NIST... y la posibilidad de que te demanden en el marco de una gran demanda colectiva multimillonaria, como Equifax.
Un enfoque integrado podría ser el catalizador para empezar a ganarse a los desarrolladores con un aprendizaje menos disruptivo y crear algunas vías para impartir cursos más detallados, capacitar a los defensores de la seguridad y, en general, inspirar la responsabilidad compartida que necesitamos para mantener los datos del mundo sanos y salvos.
Descargue las herramientas de integración para Jira y GitHub ahora, y dinos lo que piensas.
Ya sabemos que hay demasiadas cosas que hacer en una jornada laboral, entonces, ¿qué incentivo tienen los desarrolladores para ir a un aula o cambiar de contexto para seguir cinco pasos y acceder a una formación basada en la teoría estática?
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
El ciclo de vida del desarrollo de software (SDLC) parece bastante inocuo; es un proceso, y los programadores nos unimos para hacer que la magia suceda y enviar todos esos beneficios digitales sin los que la sociedad no puede vivir.
Excepto que... si alguna vez has formado parte de un proyecto de desarrollo de software, sabrás que normalmente es un desafío, con muchas misiones que conquistar y dragones que matar. Es divertido durante un tiempo, pero el agotamiento es real, y la demanda de software hace que todos trabajemos a la velocidad de la luz en el mejor de los casos, especialmente el equipo de desarrollo.
Ahora imagine que se les presenta otra tarea imprescindible: la responsabilidad de la seguridad de los elementos del proyecto que tocan. Esto, en el peor de los casos, puede provocar que el castillo de naipes se derrumbe para algunas personas, pero el escenario más realista es que simplemente no se convierta en una prioridad y prevalezcan las cuestiones que se consideran más urgentes para pasarse de la raya. Y dado que la mayoría de los desarrolladores no están capacitados para programar de forma segura (especialmente si sus administradores tampoco dan prioridad a la seguridad), no es de extrañar que veamos frecuentes filtraciones de datos, lanzamientos de aplicaciones defectuosas y un gran abandono entre los profesionales de la seguridad que llegan a un punto de quiebre debido a una avalancha de códigos defectuosos.
Los desarrolladores necesitan un defensor de AppSec.
Al analizar el escenario anterior, puedes entender por qué la seguridad se pone en la cesta «demasiado difícil» durante el proceso de codificación y se deja que el equipo de seguridad se ocupe de ella. Demasiados plazos contradictorios, no hay suficiente formación y no hay ningún motivo real para preocuparse por la seguridad con todo lo demás. Sin embargo, simplemente hay demasiada demanda de código como para que continúe este statu quo. Y ahí es donde los desarrolladores de élite pueden diferenciarse de sus pares, aprender nuevas habilidades y, lo que es más importante, crear código más seguro.
Sin embargo, es importante recordar que la gestión de la seguridad del software no recae solo en los desarrolladores, sino que sigue siendo el dominio del equipo de AppSec (que, cuando trabaje con desarrolladores preocupados por la seguridad, tendrá más espacio para respirar en lugar de corregir errores comunes una y otra vez). Un proceso DevSecOps en funcionamiento exige que todos los miembros del equipo cuenten con el apoyo y las herramientas que necesitan para compartir la responsabilidad de la seguridad, y el tipo correcto de formación es primordial. Equilibrar el conjunto adecuado de herramientas y la formación requiere la visión de los profesionales de AppSec dispuestos a trabajar en estrecha colaboración con los desarrolladores para inspirarlos e impulsar un cambio positivo.
La formación disruptiva es más molesta que eficaz, y cualquier cosa que repele a los desarrolladores no va a funcionar. Una alternativa es utilizar un IDE o una solución integrada con un sistema de seguimiento de incidencias que se centre en el conocimiento a pequeña escala, y les proporcione la información correcta en el momento preciso en que la necesitan.
Así es como funciona en acción:
Justo a tiempo, no «por si acaso».
El aprendizaje práctico y contextual es, con mucho, la forma más eficaz de entrenar, ya que se entregan trozos del tamaño de un bocado justo cuando tienen más sentido. En ocasiones, esto se denomina formación «justo a tiempo» (JiT) y es muy útil para los desarrolladores que están aprendiendo a programar de forma segura.
Con orígenes en Los principios de fabricación ajustada de Toyota, la capacitación en iIT está diseñada para activarse en función de la necesidad de saber, en el contexto, cuando más importa. ¿Un desarrollador acaba de escribir algo que parece tener permisos incorrectos? ¿Qué pasaría si se abriera una pequeña puerta trasera que permitiera a un atacante ejecutar código de forma remota? Sería mucho más memorable si los desarrolladores pudieran acceder al conocimiento justo cuando lo necesitan, en lugar de buscar en la documentación de Confluence o buscar en Google algo que se haya mencionado en la formación.
El aprendizaje justo a tiempo es la antítesis del aprendizaje «por si acaso»; si bien esta última es la forma más común de impartir conocimientos, simplemente no es eficiente. Debemos facilitar que los desarrolladores se interesen por las mejores prácticas de programación segura y vean las ventajas de mejorar sus habilidades profesionales, sin dejar de centrarse en los objetivos clave en los que están trabajando en este momento.
Deja de obligar a los desarrolladores a seguir la formación.
Ya sabemos que hay demasiadas cosas que hacer en una jornada laboral, entonces, ¿qué incentivo tienen los desarrolladores para ir a un aula o cambiar de contexto para seguir cinco pasos y acceder a una formación basada en la teoría estática?
El consenso general es que lo que hacen la mayoría de las organizaciones no es muy eficaz si se tiene en cuenta la cantidad de vulnerabilidades que causan las filtraciones de datos. El informe de investigación de violaciones de datos de 2020 de Verizon especificó que el 43 % de las filtraciones de datos podrían atribuirse a vulnerabilidades web. Los desarrolladores no reciben una formación eficaz, ni en la educación superior ni como parte de las medidas de mejora de las cualificaciones en el lugar de trabajo. Si la recibieran, vulnerabilidades comunes como la inyección de SQL y el recorrido de ruta de la vieja escuela no se aprovecharían para obtener una cantidad significativa de datos, y la escasez de habilidades en ciberseguridad no estaría fuera de control.
Entonces, sabiendo que este es el clima actual en el que los desarrolladores reciben capacitación y se familiarizan con la seguridad, ¿por qué nos sorprende el mal resultado? Podría tener un efecto (positivo) tanto para el desarrollador como para la organización al garantizar una experiencia de formación más fluida, integrada y menos molesta, que sea accesible desde los espacios en los que realmente trabajan, como Jira, GitHub y el IDE. El sector simplemente necesita avanzar y hacer que la concienciación sobre la seguridad sea mucho más sencilla, en un entorno en el que ya no es un lujo.
¿Está preparado para proteger el flujo de trabajo de desarrollo?
Los desarrolladores que se preocupan por la seguridad son venerados por sus habilidades y por la protección que pueden ofrecer a las organizaciones desde la etapa de creación de código. La seguridad ya no es opcional, especialmente si tenemos en cuenta las multas impuestas por el RGPD, la normativa de cumplimiento del PCI-DSS, la gobernanza del NIST... y la posibilidad de que te demanden en el marco de una gran demanda colectiva multimillonaria, como Equifax.
Un enfoque integrado podría ser el catalizador para empezar a ganarse a los desarrolladores con un aprendizaje menos disruptivo y crear algunas vías para impartir cursos más detallados, capacitar a los defensores de la seguridad y, en general, inspirar la responsabilidad compartida que necesitamos para mantener los datos del mundo sanos y salvos.
Descargue las herramientas de integración para Jira y GitHub ahora, y dinos lo que piensas.
El ciclo de vida del desarrollo de software (SDLC) parece bastante inocuo; es un proceso, y los programadores nos unimos para hacer que la magia suceda y enviar todos esos beneficios digitales sin los que la sociedad no puede vivir.
Excepto que... si alguna vez has formado parte de un proyecto de desarrollo de software, sabrás que normalmente es un desafío, con muchas misiones que conquistar y dragones que matar. Es divertido durante un tiempo, pero el agotamiento es real, y la demanda de software hace que todos trabajemos a la velocidad de la luz en el mejor de los casos, especialmente el equipo de desarrollo.
Ahora imagine que se les presenta otra tarea imprescindible: la responsabilidad de la seguridad de los elementos del proyecto que tocan. Esto, en el peor de los casos, puede provocar que el castillo de naipes se derrumbe para algunas personas, pero el escenario más realista es que simplemente no se convierta en una prioridad y prevalezcan las cuestiones que se consideran más urgentes para pasarse de la raya. Y dado que la mayoría de los desarrolladores no están capacitados para programar de forma segura (especialmente si sus administradores tampoco dan prioridad a la seguridad), no es de extrañar que veamos frecuentes filtraciones de datos, lanzamientos de aplicaciones defectuosas y un gran abandono entre los profesionales de la seguridad que llegan a un punto de quiebre debido a una avalancha de códigos defectuosos.
Los desarrolladores necesitan un defensor de AppSec.
Al analizar el escenario anterior, puedes entender por qué la seguridad se pone en la cesta «demasiado difícil» durante el proceso de codificación y se deja que el equipo de seguridad se ocupe de ella. Demasiados plazos contradictorios, no hay suficiente formación y no hay ningún motivo real para preocuparse por la seguridad con todo lo demás. Sin embargo, simplemente hay demasiada demanda de código como para que continúe este statu quo. Y ahí es donde los desarrolladores de élite pueden diferenciarse de sus pares, aprender nuevas habilidades y, lo que es más importante, crear código más seguro.
Sin embargo, es importante recordar que la gestión de la seguridad del software no recae solo en los desarrolladores, sino que sigue siendo el dominio del equipo de AppSec (que, cuando trabaje con desarrolladores preocupados por la seguridad, tendrá más espacio para respirar en lugar de corregir errores comunes una y otra vez). Un proceso DevSecOps en funcionamiento exige que todos los miembros del equipo cuenten con el apoyo y las herramientas que necesitan para compartir la responsabilidad de la seguridad, y el tipo correcto de formación es primordial. Equilibrar el conjunto adecuado de herramientas y la formación requiere la visión de los profesionales de AppSec dispuestos a trabajar en estrecha colaboración con los desarrolladores para inspirarlos e impulsar un cambio positivo.
La formación disruptiva es más molesta que eficaz, y cualquier cosa que repele a los desarrolladores no va a funcionar. Una alternativa es utilizar un IDE o una solución integrada con un sistema de seguimiento de incidencias que se centre en el conocimiento a pequeña escala, y les proporcione la información correcta en el momento preciso en que la necesitan.
Así es como funciona en acción:
Justo a tiempo, no «por si acaso».
El aprendizaje práctico y contextual es, con mucho, la forma más eficaz de entrenar, ya que se entregan trozos del tamaño de un bocado justo cuando tienen más sentido. En ocasiones, esto se denomina formación «justo a tiempo» (JiT) y es muy útil para los desarrolladores que están aprendiendo a programar de forma segura.
Con orígenes en Los principios de fabricación ajustada de Toyota, la capacitación en iIT está diseñada para activarse en función de la necesidad de saber, en el contexto, cuando más importa. ¿Un desarrollador acaba de escribir algo que parece tener permisos incorrectos? ¿Qué pasaría si se abriera una pequeña puerta trasera que permitiera a un atacante ejecutar código de forma remota? Sería mucho más memorable si los desarrolladores pudieran acceder al conocimiento justo cuando lo necesitan, en lugar de buscar en la documentación de Confluence o buscar en Google algo que se haya mencionado en la formación.
El aprendizaje justo a tiempo es la antítesis del aprendizaje «por si acaso»; si bien esta última es la forma más común de impartir conocimientos, simplemente no es eficiente. Debemos facilitar que los desarrolladores se interesen por las mejores prácticas de programación segura y vean las ventajas de mejorar sus habilidades profesionales, sin dejar de centrarse en los objetivos clave en los que están trabajando en este momento.
Deja de obligar a los desarrolladores a seguir la formación.
Ya sabemos que hay demasiadas cosas que hacer en una jornada laboral, entonces, ¿qué incentivo tienen los desarrolladores para ir a un aula o cambiar de contexto para seguir cinco pasos y acceder a una formación basada en la teoría estática?
El consenso general es que lo que hacen la mayoría de las organizaciones no es muy eficaz si se tiene en cuenta la cantidad de vulnerabilidades que causan las filtraciones de datos. El informe de investigación de violaciones de datos de 2020 de Verizon especificó que el 43 % de las filtraciones de datos podrían atribuirse a vulnerabilidades web. Los desarrolladores no reciben una formación eficaz, ni en la educación superior ni como parte de las medidas de mejora de las cualificaciones en el lugar de trabajo. Si la recibieran, vulnerabilidades comunes como la inyección de SQL y el recorrido de ruta de la vieja escuela no se aprovecharían para obtener una cantidad significativa de datos, y la escasez de habilidades en ciberseguridad no estaría fuera de control.
Entonces, sabiendo que este es el clima actual en el que los desarrolladores reciben capacitación y se familiarizan con la seguridad, ¿por qué nos sorprende el mal resultado? Podría tener un efecto (positivo) tanto para el desarrollador como para la organización al garantizar una experiencia de formación más fluida, integrada y menos molesta, que sea accesible desde los espacios en los que realmente trabajan, como Jira, GitHub y el IDE. El sector simplemente necesita avanzar y hacer que la concienciación sobre la seguridad sea mucho más sencilla, en un entorno en el que ya no es un lujo.
¿Está preparado para proteger el flujo de trabajo de desarrollo?
Los desarrolladores que se preocupan por la seguridad son venerados por sus habilidades y por la protección que pueden ofrecer a las organizaciones desde la etapa de creación de código. La seguridad ya no es opcional, especialmente si tenemos en cuenta las multas impuestas por el RGPD, la normativa de cumplimiento del PCI-DSS, la gobernanza del NIST... y la posibilidad de que te demanden en el marco de una gran demanda colectiva multimillonaria, como Equifax.
Un enfoque integrado podría ser el catalizador para empezar a ganarse a los desarrolladores con un aprendizaje menos disruptivo y crear algunas vías para impartir cursos más detallados, capacitar a los defensores de la seguridad y, en general, inspirar la responsabilidad compartida que necesitamos para mantener los datos del mundo sanos y salvos.
Descargue las herramientas de integración para Jira y GitHub ahora, y dinos lo que piensas.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
El ciclo de vida del desarrollo de software (SDLC) parece bastante inocuo; es un proceso, y los programadores nos unimos para hacer que la magia suceda y enviar todos esos beneficios digitales sin los que la sociedad no puede vivir.
Excepto que... si alguna vez has formado parte de un proyecto de desarrollo de software, sabrás que normalmente es un desafío, con muchas misiones que conquistar y dragones que matar. Es divertido durante un tiempo, pero el agotamiento es real, y la demanda de software hace que todos trabajemos a la velocidad de la luz en el mejor de los casos, especialmente el equipo de desarrollo.
Ahora imagine que se les presenta otra tarea imprescindible: la responsabilidad de la seguridad de los elementos del proyecto que tocan. Esto, en el peor de los casos, puede provocar que el castillo de naipes se derrumbe para algunas personas, pero el escenario más realista es que simplemente no se convierta en una prioridad y prevalezcan las cuestiones que se consideran más urgentes para pasarse de la raya. Y dado que la mayoría de los desarrolladores no están capacitados para programar de forma segura (especialmente si sus administradores tampoco dan prioridad a la seguridad), no es de extrañar que veamos frecuentes filtraciones de datos, lanzamientos de aplicaciones defectuosas y un gran abandono entre los profesionales de la seguridad que llegan a un punto de quiebre debido a una avalancha de códigos defectuosos.
Los desarrolladores necesitan un defensor de AppSec.
Al analizar el escenario anterior, puedes entender por qué la seguridad se pone en la cesta «demasiado difícil» durante el proceso de codificación y se deja que el equipo de seguridad se ocupe de ella. Demasiados plazos contradictorios, no hay suficiente formación y no hay ningún motivo real para preocuparse por la seguridad con todo lo demás. Sin embargo, simplemente hay demasiada demanda de código como para que continúe este statu quo. Y ahí es donde los desarrolladores de élite pueden diferenciarse de sus pares, aprender nuevas habilidades y, lo que es más importante, crear código más seguro.
Sin embargo, es importante recordar que la gestión de la seguridad del software no recae solo en los desarrolladores, sino que sigue siendo el dominio del equipo de AppSec (que, cuando trabaje con desarrolladores preocupados por la seguridad, tendrá más espacio para respirar en lugar de corregir errores comunes una y otra vez). Un proceso DevSecOps en funcionamiento exige que todos los miembros del equipo cuenten con el apoyo y las herramientas que necesitan para compartir la responsabilidad de la seguridad, y el tipo correcto de formación es primordial. Equilibrar el conjunto adecuado de herramientas y la formación requiere la visión de los profesionales de AppSec dispuestos a trabajar en estrecha colaboración con los desarrolladores para inspirarlos e impulsar un cambio positivo.
La formación disruptiva es más molesta que eficaz, y cualquier cosa que repele a los desarrolladores no va a funcionar. Una alternativa es utilizar un IDE o una solución integrada con un sistema de seguimiento de incidencias que se centre en el conocimiento a pequeña escala, y les proporcione la información correcta en el momento preciso en que la necesitan.
Así es como funciona en acción:
Justo a tiempo, no «por si acaso».
El aprendizaje práctico y contextual es, con mucho, la forma más eficaz de entrenar, ya que se entregan trozos del tamaño de un bocado justo cuando tienen más sentido. En ocasiones, esto se denomina formación «justo a tiempo» (JiT) y es muy útil para los desarrolladores que están aprendiendo a programar de forma segura.
Con orígenes en Los principios de fabricación ajustada de Toyota, la capacitación en iIT está diseñada para activarse en función de la necesidad de saber, en el contexto, cuando más importa. ¿Un desarrollador acaba de escribir algo que parece tener permisos incorrectos? ¿Qué pasaría si se abriera una pequeña puerta trasera que permitiera a un atacante ejecutar código de forma remota? Sería mucho más memorable si los desarrolladores pudieran acceder al conocimiento justo cuando lo necesitan, en lugar de buscar en la documentación de Confluence o buscar en Google algo que se haya mencionado en la formación.
El aprendizaje justo a tiempo es la antítesis del aprendizaje «por si acaso»; si bien esta última es la forma más común de impartir conocimientos, simplemente no es eficiente. Debemos facilitar que los desarrolladores se interesen por las mejores prácticas de programación segura y vean las ventajas de mejorar sus habilidades profesionales, sin dejar de centrarse en los objetivos clave en los que están trabajando en este momento.
Deja de obligar a los desarrolladores a seguir la formación.
Ya sabemos que hay demasiadas cosas que hacer en una jornada laboral, entonces, ¿qué incentivo tienen los desarrolladores para ir a un aula o cambiar de contexto para seguir cinco pasos y acceder a una formación basada en la teoría estática?
El consenso general es que lo que hacen la mayoría de las organizaciones no es muy eficaz si se tiene en cuenta la cantidad de vulnerabilidades que causan las filtraciones de datos. El informe de investigación de violaciones de datos de 2020 de Verizon especificó que el 43 % de las filtraciones de datos podrían atribuirse a vulnerabilidades web. Los desarrolladores no reciben una formación eficaz, ni en la educación superior ni como parte de las medidas de mejora de las cualificaciones en el lugar de trabajo. Si la recibieran, vulnerabilidades comunes como la inyección de SQL y el recorrido de ruta de la vieja escuela no se aprovecharían para obtener una cantidad significativa de datos, y la escasez de habilidades en ciberseguridad no estaría fuera de control.
Entonces, sabiendo que este es el clima actual en el que los desarrolladores reciben capacitación y se familiarizan con la seguridad, ¿por qué nos sorprende el mal resultado? Podría tener un efecto (positivo) tanto para el desarrollador como para la organización al garantizar una experiencia de formación más fluida, integrada y menos molesta, que sea accesible desde los espacios en los que realmente trabajan, como Jira, GitHub y el IDE. El sector simplemente necesita avanzar y hacer que la concienciación sobre la seguridad sea mucho más sencilla, en un entorno en el que ya no es un lujo.
¿Está preparado para proteger el flujo de trabajo de desarrollo?
Los desarrolladores que se preocupan por la seguridad son venerados por sus habilidades y por la protección que pueden ofrecer a las organizaciones desde la etapa de creación de código. La seguridad ya no es opcional, especialmente si tenemos en cuenta las multas impuestas por el RGPD, la normativa de cumplimiento del PCI-DSS, la gobernanza del NIST... y la posibilidad de que te demanden en el marco de una gran demanda colectiva multimillonaria, como Equifax.
Un enfoque integrado podría ser el catalizador para empezar a ganarse a los desarrolladores con un aprendizaje menos disruptivo y crear algunas vías para impartir cursos más detallados, capacitar a los defensores de la seguridad y, en general, inspirar la responsabilidad compartida que necesitamos para mantener los datos del mundo sanos y salvos.
Descargue las herramientas de integración para Jira y GitHub ahora, y dinos lo que piensas.
Tabla de contenido
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El habilitador 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
