El retorno de la inversión en seguridad impulsado por los desarrolladores
El coste de un código deficiente
Los avances tecnológicos están facilitando más que nunca que los desarrolladores envíen código más rápido que nunca. Esto puede ser emocionante para la innovación, pero desalentador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costes de las herramientas adicionales, los programas de formación y la inversión en mejorar las cualificaciones de los desarrolladores puede parecer un "bien para tener" frente a una función empresarial crítica si se mantiene la velocidad del código que se envía.
Enviar código más rápido puede haber sido más fácil, pero desafortunadamente enviar código seguro no lo ha sido, dejando a las organizaciones vulnerables a más amenazas que nunca. El coste de la ciberdelincuencia es asombroso en todo el mundo y aumenta rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. De media, el coste de una filtración de datos es de 4,35 millones de dólares, que se reparten entre la pérdida de negocio de clientes actuales y potenciales, así como los recursos invertidos en la gestión de la detección, la escalada y la repetición del trabajo.
A pesar de estos costes astronómicos, más de la mitad de las organizaciones no exigen a los desarrolladores que realicen anualmente una formación formal sobre código seguro.
Todos los profesionales de la seguridad saben que, cuando se trata de encontrar y corregir vulnerabilidades, puede parecer que se está jugando a la ruleta. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay una oportunidad de mejora. La mayoría de las organizaciones descubren que cuando su capacidad de recuperación ante desastres o de copia de seguridad se pone a prueba, su enfoque de la seguridad no es tan sólido como pensaban. Si reforzar la resistencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva que se deja a sus desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. Un equipo de desarrolladores cualificado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir vulnerabilidades con rapidez es el medio más rentable de mitigar los riesgos.
Un concepto erróneo cuando se trata de la formación de los desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguros. Según Klaus Klaus Klinger, DevSec Awareness Evangelist de Allianz, "todo tiene que empezar en la cabeza de los directivos. Invertir en la formación de los desarrolladores no es una inversión perdida, sino una inversión en calidad, productividad y reputación de la empresa".
A menudo puede ser difícil cuantificar el retorno de la inversión en este ámbito, pero en última instancia lo que las organizaciones deberían plantearse es cómo su postura de seguridad les ayuda a reducir riesgos, racionalizar su enfoque y ahorrar tiempo y productividad a sus equipos de desarrolladores.
¿Cómo se puede cuantificar el retorno de la inversión en costes de ciberseguridad?
Cuando se trata de la rentabilidad de la inversión, es importante pensar en ella en dos marcos diferentes: el ahorro de costes que supone mitigar el riesgo frente al impacto de su formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o infracción hace que un sitio de comercio electrónico se vea obligado a estar fuera de línea durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de no solucionar el problema puede cuantificarse en la pérdida de ingresos durante la interrupción, el impacto de las credenciales robadas, la pérdida de confianza de los clientes (que se traduce en una reducción de las ventas a largo plazo) y la pérdida general de productividad mientras se soluciona el problema.
Esto se reduce realmente a un análisis de costes y beneficios. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que necesitan ser mantenidas o mejoradas.
La gente suele centrarse en los parámetros equivocados para determinar el éxito y el valor. Quizá deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en su lugar, medir el impacto del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, hay que crear objetivos mensurables. Esto comienza con la evaluación de los conocimientos de codificación seguros de sus desarrolladores y la comprensión de dónde necesitan aumentar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarle a tomar decisiones estratégicas sobre cómo crear programas de formación más ricos. Lo más importante es medir el impacto. Comience por observar el número de puntos débiles que se detectan en el ciclo de vida de desarrollo de software mediante análisis de código, recompensas por errores o pruebas de vulnerabilidad clásicas antes de iniciar el programa en cada equipo. Una de las formas más sencillas de saber que su programa de formación está teniendo el resultado deseado es midiendo la disminución de vulnerabilidades que se introducen en su base de código en general.
Principales preguntas para evaluar el retorno de la inversión:
1. ¿Estamos racionalizando nuestro enfoque?
¿Está lanzando más herramientas al problema o resolviéndolo en su raíz? Añadir más herramientas a su pila tecnológica crea un método de "queso suizo" para encontrar y solucionar vulnerabilidades. También aumentan los costes operativos con poco impacto en la fuente de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de su arsenal, no deberían ser su última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la reelaboración del código devuelto por AppSec puede suponer una importante pérdida de productividad. Reducir los simulacros de incendio facultando y permitiendo a los equipos de desarrolladores ser prácticos con su formación en código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y solucionar una vulnerabilidad puede ser como resolver un gran rompecabezas, que a veces puede llevar días, semanas o incluso meses en completarse con una solución sólida. Capacitar a los desarrolladores para que se encarguen de la corrección en origen permite a AppSec centrarse en la supervisión de riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
Enviar código rápidamente no siempre es bueno. Tomar atajos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deuda técnica. Pensar a corto plazo no es la solución. Uno puede mitigar el riesgo asegurando su código desde el principio, para que el problema no se agrave en el futuro.
Métricas de seguimiento recomendadas:
- Compromiso: ¿cuánto tiempo dedica a la formación y cómo participan los promotores? ¿Están completando courses, evaluaciones y participando en tournaments?
- Competencias: ¿cuáles son los puntos fuertes? ¿Qué aspectos necesita mejorar?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec le devuelve menos trabajo?
- Productividad: ¿cuánto tiempo se tarda en solucionar un problema? ¿Ha notado un aumento de la productividad o la velocidad con la reducción de la vulnerabilidad?
Crear valor desplazándose a la izquierda
Las infracciones y vulnerabilidades aumentan rápidamente cada año. Es importante empezar a construir de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: las personas, en lugar de gastar dinero en herramientas que sólo resuelven una parte del problema.
- Mejorar la eficiencia y la eficacia general limitando la repetición de tareas o las correcciones que normalmente identificaría AppSec una vez desplegado el código.
- Mitigar el riesgo y cumplir la normativa, evitando costosas multas, la pérdida de confianza de los clientes o, peor aún, el coste de una filtración de datos.
Evite el cortoplacismo y las soluciones rápidas. Sólo pueden generar deuda técnica y más costes en el futuro. Planifica a largo plazo aprovechando el poder de la mejora de las competencias y capacitando a tus desarrolladores para que sean tu mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y comprueba por ti mismo el impacto y el ahorro de costes.
Todo el mundo desea obtener un buen retorno de la inversión cuando se trata de invertir en tecnología o en programas de formación adicionales, pero en materia de seguridad hay que pensar a largo plazo, más allá del simple cálculo del retorno de la inversión. Descubra cómo la inversión en seguridad impulsada por los desarrolladores no solo reducirá los gastos relacionados con las costosas infracciones, la pérdida de productividad y la acumulación de deudas tecnológicas, sino que también creará una estrategia proactiva y rentable para mantenerse a la vanguardia del panorama actual de amenazas.
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
El coste de un código deficiente
Los avances tecnológicos están facilitando más que nunca que los desarrolladores envíen código más rápido que nunca. Esto puede ser emocionante para la innovación, pero desalentador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costes de las herramientas adicionales, los programas de formación y la inversión en mejorar las cualificaciones de los desarrolladores puede parecer un "bien para tener" frente a una función empresarial crítica si se mantiene la velocidad del código que se envía.
Enviar código más rápido puede haber sido más fácil, pero desafortunadamente enviar código seguro no lo ha sido, dejando a las organizaciones vulnerables a más amenazas que nunca. El coste de la ciberdelincuencia es asombroso en todo el mundo y aumenta rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. De media, el coste de una filtración de datos es de 4,35 millones de dólares, que se reparten entre la pérdida de negocio de clientes actuales y potenciales, así como los recursos invertidos en la gestión de la detección, la escalada y la repetición del trabajo.
A pesar de estos costes astronómicos, más de la mitad de las organizaciones no exigen a los desarrolladores que realicen anualmente una formación formal sobre código seguro.
Todos los profesionales de la seguridad saben que, cuando se trata de encontrar y corregir vulnerabilidades, puede parecer que se está jugando a la ruleta. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay una oportunidad de mejora. La mayoría de las organizaciones descubren que cuando su capacidad de recuperación ante desastres o de copia de seguridad se pone a prueba, su enfoque de la seguridad no es tan sólido como pensaban. Si reforzar la resistencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva que se deja a sus desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. Un equipo de desarrolladores cualificado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir vulnerabilidades con rapidez es el medio más rentable de mitigar los riesgos.
Un concepto erróneo cuando se trata de la formación de los desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguros. Según Klaus Klaus Klinger, DevSec Awareness Evangelist de Allianz, "todo tiene que empezar en la cabeza de los directivos. Invertir en la formación de los desarrolladores no es una inversión perdida, sino una inversión en calidad, productividad y reputación de la empresa".
A menudo puede ser difícil cuantificar el retorno de la inversión en este ámbito, pero en última instancia lo que las organizaciones deberían plantearse es cómo su postura de seguridad les ayuda a reducir riesgos, racionalizar su enfoque y ahorrar tiempo y productividad a sus equipos de desarrolladores.
¿Cómo se puede cuantificar el retorno de la inversión en costes de ciberseguridad?
Cuando se trata de la rentabilidad de la inversión, es importante pensar en ella en dos marcos diferentes: el ahorro de costes que supone mitigar el riesgo frente al impacto de su formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o infracción hace que un sitio de comercio electrónico se vea obligado a estar fuera de línea durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de no solucionar el problema puede cuantificarse en la pérdida de ingresos durante la interrupción, el impacto de las credenciales robadas, la pérdida de confianza de los clientes (que se traduce en una reducción de las ventas a largo plazo) y la pérdida general de productividad mientras se soluciona el problema.
Esto se reduce realmente a un análisis de costes y beneficios. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que necesitan ser mantenidas o mejoradas.
La gente suele centrarse en los parámetros equivocados para determinar el éxito y el valor. Quizá deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en su lugar, medir el impacto del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, hay que crear objetivos mensurables. Esto comienza con la evaluación de los conocimientos de codificación seguros de sus desarrolladores y la comprensión de dónde necesitan aumentar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarle a tomar decisiones estratégicas sobre cómo crear programas de formación más ricos. Lo más importante es medir el impacto. Comience por observar el número de puntos débiles que se detectan en el ciclo de vida de desarrollo de software mediante análisis de código, recompensas por errores o pruebas de vulnerabilidad clásicas antes de iniciar el programa en cada equipo. Una de las formas más sencillas de saber que su programa de formación está teniendo el resultado deseado es midiendo la disminución de vulnerabilidades que se introducen en su base de código en general.
Principales preguntas para evaluar el retorno de la inversión:
1. ¿Estamos racionalizando nuestro enfoque?
¿Está lanzando más herramientas al problema o resolviéndolo en su raíz? Añadir más herramientas a su pila tecnológica crea un método de "queso suizo" para encontrar y solucionar vulnerabilidades. También aumentan los costes operativos con poco impacto en la fuente de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de su arsenal, no deberían ser su última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la reelaboración del código devuelto por AppSec puede suponer una importante pérdida de productividad. Reducir los simulacros de incendio facultando y permitiendo a los equipos de desarrolladores ser prácticos con su formación en código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y solucionar una vulnerabilidad puede ser como resolver un gran rompecabezas, que a veces puede llevar días, semanas o incluso meses en completarse con una solución sólida. Capacitar a los desarrolladores para que se encarguen de la corrección en origen permite a AppSec centrarse en la supervisión de riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
Enviar código rápidamente no siempre es bueno. Tomar atajos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deuda técnica. Pensar a corto plazo no es la solución. Uno puede mitigar el riesgo asegurando su código desde el principio, para que el problema no se agrave en el futuro.
Métricas de seguimiento recomendadas:
- Compromiso: ¿cuánto tiempo dedica a la formación y cómo participan los promotores? ¿Están completando courses, evaluaciones y participando en tournaments?
- Competencias: ¿cuáles son los puntos fuertes? ¿Qué aspectos necesita mejorar?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec le devuelve menos trabajo?
- Productividad: ¿cuánto tiempo se tarda en solucionar un problema? ¿Ha notado un aumento de la productividad o la velocidad con la reducción de la vulnerabilidad?
Crear valor desplazándose a la izquierda
Las infracciones y vulnerabilidades aumentan rápidamente cada año. Es importante empezar a construir de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: las personas, en lugar de gastar dinero en herramientas que sólo resuelven una parte del problema.
- Mejorar la eficiencia y la eficacia general limitando la repetición de tareas o las correcciones que normalmente identificaría AppSec una vez desplegado el código.
- Mitigar el riesgo y cumplir la normativa, evitando costosas multas, la pérdida de confianza de los clientes o, peor aún, el coste de una filtración de datos.
Evite el cortoplacismo y las soluciones rápidas. Sólo pueden generar deuda técnica y más costes en el futuro. Planifica a largo plazo aprovechando el poder de la mejora de las competencias y capacitando a tus desarrolladores para que sean tu mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y comprueba por ti mismo el impacto y el ahorro de costes.
El coste de un código deficiente
Los avances tecnológicos están facilitando más que nunca que los desarrolladores envíen código más rápido que nunca. Esto puede ser emocionante para la innovación, pero desalentador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costes de las herramientas adicionales, los programas de formación y la inversión en mejorar las cualificaciones de los desarrolladores puede parecer un "bien para tener" frente a una función empresarial crítica si se mantiene la velocidad del código que se envía.
Enviar código más rápido puede haber sido más fácil, pero desafortunadamente enviar código seguro no lo ha sido, dejando a las organizaciones vulnerables a más amenazas que nunca. El coste de la ciberdelincuencia es asombroso en todo el mundo y aumenta rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. De media, el coste de una filtración de datos es de 4,35 millones de dólares, que se reparten entre la pérdida de negocio de clientes actuales y potenciales, así como los recursos invertidos en la gestión de la detección, la escalada y la repetición del trabajo.
A pesar de estos costes astronómicos, más de la mitad de las organizaciones no exigen a los desarrolladores que realicen anualmente una formación formal sobre código seguro.
Todos los profesionales de la seguridad saben que, cuando se trata de encontrar y corregir vulnerabilidades, puede parecer que se está jugando a la ruleta. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay una oportunidad de mejora. La mayoría de las organizaciones descubren que cuando su capacidad de recuperación ante desastres o de copia de seguridad se pone a prueba, su enfoque de la seguridad no es tan sólido como pensaban. Si reforzar la resistencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva que se deja a sus desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. Un equipo de desarrolladores cualificado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir vulnerabilidades con rapidez es el medio más rentable de mitigar los riesgos.
Un concepto erróneo cuando se trata de la formación de los desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguros. Según Klaus Klaus Klinger, DevSec Awareness Evangelist de Allianz, "todo tiene que empezar en la cabeza de los directivos. Invertir en la formación de los desarrolladores no es una inversión perdida, sino una inversión en calidad, productividad y reputación de la empresa".
A menudo puede ser difícil cuantificar el retorno de la inversión en este ámbito, pero en última instancia lo que las organizaciones deberían plantearse es cómo su postura de seguridad les ayuda a reducir riesgos, racionalizar su enfoque y ahorrar tiempo y productividad a sus equipos de desarrolladores.
¿Cómo se puede cuantificar el retorno de la inversión en costes de ciberseguridad?
Cuando se trata de la rentabilidad de la inversión, es importante pensar en ella en dos marcos diferentes: el ahorro de costes que supone mitigar el riesgo frente al impacto de su formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o infracción hace que un sitio de comercio electrónico se vea obligado a estar fuera de línea durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de no solucionar el problema puede cuantificarse en la pérdida de ingresos durante la interrupción, el impacto de las credenciales robadas, la pérdida de confianza de los clientes (que se traduce en una reducción de las ventas a largo plazo) y la pérdida general de productividad mientras se soluciona el problema.
Esto se reduce realmente a un análisis de costes y beneficios. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que necesitan ser mantenidas o mejoradas.
La gente suele centrarse en los parámetros equivocados para determinar el éxito y el valor. Quizá deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en su lugar, medir el impacto del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, hay que crear objetivos mensurables. Esto comienza con la evaluación de los conocimientos de codificación seguros de sus desarrolladores y la comprensión de dónde necesitan aumentar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarle a tomar decisiones estratégicas sobre cómo crear programas de formación más ricos. Lo más importante es medir el impacto. Comience por observar el número de puntos débiles que se detectan en el ciclo de vida de desarrollo de software mediante análisis de código, recompensas por errores o pruebas de vulnerabilidad clásicas antes de iniciar el programa en cada equipo. Una de las formas más sencillas de saber que su programa de formación está teniendo el resultado deseado es midiendo la disminución de vulnerabilidades que se introducen en su base de código en general.
Principales preguntas para evaluar el retorno de la inversión:
1. ¿Estamos racionalizando nuestro enfoque?
¿Está lanzando más herramientas al problema o resolviéndolo en su raíz? Añadir más herramientas a su pila tecnológica crea un método de "queso suizo" para encontrar y solucionar vulnerabilidades. También aumentan los costes operativos con poco impacto en la fuente de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de su arsenal, no deberían ser su última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la reelaboración del código devuelto por AppSec puede suponer una importante pérdida de productividad. Reducir los simulacros de incendio facultando y permitiendo a los equipos de desarrolladores ser prácticos con su formación en código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y solucionar una vulnerabilidad puede ser como resolver un gran rompecabezas, que a veces puede llevar días, semanas o incluso meses en completarse con una solución sólida. Capacitar a los desarrolladores para que se encarguen de la corrección en origen permite a AppSec centrarse en la supervisión de riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
Enviar código rápidamente no siempre es bueno. Tomar atajos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deuda técnica. Pensar a corto plazo no es la solución. Uno puede mitigar el riesgo asegurando su código desde el principio, para que el problema no se agrave en el futuro.
Métricas de seguimiento recomendadas:
- Compromiso: ¿cuánto tiempo dedica a la formación y cómo participan los promotores? ¿Están completando courses, evaluaciones y participando en tournaments?
- Competencias: ¿cuáles son los puntos fuertes? ¿Qué aspectos necesita mejorar?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec le devuelve menos trabajo?
- Productividad: ¿cuánto tiempo se tarda en solucionar un problema? ¿Ha notado un aumento de la productividad o la velocidad con la reducción de la vulnerabilidad?
Crear valor desplazándose a la izquierda
Las infracciones y vulnerabilidades aumentan rápidamente cada año. Es importante empezar a construir de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: las personas, en lugar de gastar dinero en herramientas que sólo resuelven una parte del problema.
- Mejorar la eficiencia y la eficacia general limitando la repetición de tareas o las correcciones que normalmente identificaría AppSec una vez desplegado el código.
- Mitigar el riesgo y cumplir la normativa, evitando costosas multas, la pérdida de confianza de los clientes o, peor aún, el coste de una filtración de datos.
Evite el cortoplacismo y las soluciones rápidas. Sólo pueden generar deuda técnica y más costes en el futuro. Planifica a largo plazo aprovechando el poder de la mejora de las competencias y capacitando a tus desarrolladores para que sean tu mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y comprueba por ti mismo el impacto y el ahorro de costes.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónSecure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
El coste de un código deficiente
Los avances tecnológicos están facilitando más que nunca que los desarrolladores envíen código más rápido que nunca. Esto puede ser emocionante para la innovación, pero desalentador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costes de las herramientas adicionales, los programas de formación y la inversión en mejorar las cualificaciones de los desarrolladores puede parecer un "bien para tener" frente a una función empresarial crítica si se mantiene la velocidad del código que se envía.
Enviar código más rápido puede haber sido más fácil, pero desafortunadamente enviar código seguro no lo ha sido, dejando a las organizaciones vulnerables a más amenazas que nunca. El coste de la ciberdelincuencia es asombroso en todo el mundo y aumenta rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. De media, el coste de una filtración de datos es de 4,35 millones de dólares, que se reparten entre la pérdida de negocio de clientes actuales y potenciales, así como los recursos invertidos en la gestión de la detección, la escalada y la repetición del trabajo.
A pesar de estos costes astronómicos, más de la mitad de las organizaciones no exigen a los desarrolladores que realicen anualmente una formación formal sobre código seguro.
Todos los profesionales de la seguridad saben que, cuando se trata de encontrar y corregir vulnerabilidades, puede parecer que se está jugando a la ruleta. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay una oportunidad de mejora. La mayoría de las organizaciones descubren que cuando su capacidad de recuperación ante desastres o de copia de seguridad se pone a prueba, su enfoque de la seguridad no es tan sólido como pensaban. Si reforzar la resistencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva que se deja a sus desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. Un equipo de desarrolladores cualificado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir vulnerabilidades con rapidez es el medio más rentable de mitigar los riesgos.
Un concepto erróneo cuando se trata de la formación de los desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguros. Según Klaus Klaus Klinger, DevSec Awareness Evangelist de Allianz, "todo tiene que empezar en la cabeza de los directivos. Invertir en la formación de los desarrolladores no es una inversión perdida, sino una inversión en calidad, productividad y reputación de la empresa".
A menudo puede ser difícil cuantificar el retorno de la inversión en este ámbito, pero en última instancia lo que las organizaciones deberían plantearse es cómo su postura de seguridad les ayuda a reducir riesgos, racionalizar su enfoque y ahorrar tiempo y productividad a sus equipos de desarrolladores.
¿Cómo se puede cuantificar el retorno de la inversión en costes de ciberseguridad?
Cuando se trata de la rentabilidad de la inversión, es importante pensar en ella en dos marcos diferentes: el ahorro de costes que supone mitigar el riesgo frente al impacto de su formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o infracción hace que un sitio de comercio electrónico se vea obligado a estar fuera de línea durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de no solucionar el problema puede cuantificarse en la pérdida de ingresos durante la interrupción, el impacto de las credenciales robadas, la pérdida de confianza de los clientes (que se traduce en una reducción de las ventas a largo plazo) y la pérdida general de productividad mientras se soluciona el problema.
Esto se reduce realmente a un análisis de costes y beneficios. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que necesitan ser mantenidas o mejoradas.
La gente suele centrarse en los parámetros equivocados para determinar el éxito y el valor. Quizá deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en su lugar, medir el impacto del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, hay que crear objetivos mensurables. Esto comienza con la evaluación de los conocimientos de codificación seguros de sus desarrolladores y la comprensión de dónde necesitan aumentar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarle a tomar decisiones estratégicas sobre cómo crear programas de formación más ricos. Lo más importante es medir el impacto. Comience por observar el número de puntos débiles que se detectan en el ciclo de vida de desarrollo de software mediante análisis de código, recompensas por errores o pruebas de vulnerabilidad clásicas antes de iniciar el programa en cada equipo. Una de las formas más sencillas de saber que su programa de formación está teniendo el resultado deseado es midiendo la disminución de vulnerabilidades que se introducen en su base de código en general.
Principales preguntas para evaluar el retorno de la inversión:
1. ¿Estamos racionalizando nuestro enfoque?
¿Está lanzando más herramientas al problema o resolviéndolo en su raíz? Añadir más herramientas a su pila tecnológica crea un método de "queso suizo" para encontrar y solucionar vulnerabilidades. También aumentan los costes operativos con poco impacto en la fuente de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de su arsenal, no deberían ser su última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la reelaboración del código devuelto por AppSec puede suponer una importante pérdida de productividad. Reducir los simulacros de incendio facultando y permitiendo a los equipos de desarrolladores ser prácticos con su formación en código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y solucionar una vulnerabilidad puede ser como resolver un gran rompecabezas, que a veces puede llevar días, semanas o incluso meses en completarse con una solución sólida. Capacitar a los desarrolladores para que se encarguen de la corrección en origen permite a AppSec centrarse en la supervisión de riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
Enviar código rápidamente no siempre es bueno. Tomar atajos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deuda técnica. Pensar a corto plazo no es la solución. Uno puede mitigar el riesgo asegurando su código desde el principio, para que el problema no se agrave en el futuro.
Métricas de seguimiento recomendadas:
- Compromiso: ¿cuánto tiempo dedica a la formación y cómo participan los promotores? ¿Están completando courses, evaluaciones y participando en tournaments?
- Competencias: ¿cuáles son los puntos fuertes? ¿Qué aspectos necesita mejorar?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec le devuelve menos trabajo?
- Productividad: ¿cuánto tiempo se tarda en solucionar un problema? ¿Ha notado un aumento de la productividad o la velocidad con la reducción de la vulnerabilidad?
Crear valor desplazándose a la izquierda
Las infracciones y vulnerabilidades aumentan rápidamente cada año. Es importante empezar a construir de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: las personas, en lugar de gastar dinero en herramientas que sólo resuelven una parte del problema.
- Mejorar la eficiencia y la eficacia general limitando la repetición de tareas o las correcciones que normalmente identificaría AppSec una vez desplegado el código.
- Mitigar el riesgo y cumplir la normativa, evitando costosas multas, la pérdida de confianza de los clientes o, peor aún, el coste de una filtración de datos.
Evite el cortoplacismo y las soluciones rápidas. Sólo pueden generar deuda técnica y más costes en el futuro. Planifica a largo plazo aprovechando el poder de la mejora de las competencias y capacitando a tus desarrolladores para que sean tu mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y comprueba por ti mismo el impacto y el ahorro de costes.
Índice
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
