La puntuación de confianza revela el valor de las iniciativas de refuerzo de las competencias seguras desde el diseño.
Una forma segura de mejorar la postura de seguridad de su empresa es mejorar las habilidades de los desarrolladores en materia de mejores prácticas de codificación segura, en un marco que incluya bases de referencia y puntos de referencia diseñados para proporcionar a los desarrolladores los itinerarios de aprendizaje específicos que necesitan. Sin embargo, la codificación segura no es una solución puntual: debe convertirse en un modo de vida, inscrito en el ADN de una organización. Los desarrolladores no solo deben desplazarse hacia la izquierda o empezar por la izquierda, sino que también deben permanecer en la izquierda.
No basta con impartir formación. Las empresas deben confirmar que los desarrolladores han asimilado completamente su formación y que siguen las mejores prácticas al inicio del ciclo de vida del desarrollo de software (SDLC) como parte de su rutina diaria. Debe realizar un seguimiento del rendimiento de los desarrolladores y medir sus progresos en relación con las normas internas y los criterios de referencia del sector, a fin de medir eficazmente el retorno de la inversión en formación.
La puntuación de confianza Secure Code Warrior proporciona visibilidad sobre el rendimiento de cada desarrollador y agrupa los datos para ofrecer una evaluación del rendimiento global de su organización. Muestra la eficacia de los programas de mejora de competencias e identifica las áreas que necesitan mejoras. Además, garantiza el cumplimiento de todos los requisitos normativos, ya sean del Reglamento General de Protección de Datos (RGPD), la norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS), la ley de California sobre la protección de la privacidad de los consumidores (CCPA) u otros.
Nuestras investigaciones han demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia para reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
La formación mejora la seguridad, si los desarrolladores la obtienen.
Durante años, el uso de las mejores prácticas de seguridad al inicio del ciclo de vida del desarrollo de software (SDLC) parecía ser una ambición en la industria del software. Es bueno tenerlo algún día, pero hoy en día no es una prioridad. Sin embargo, la creciente rapidez del desarrollo de software, junto con la aceleración de las ciberamenazas sofisticadas y destructivas, a menudo basadas en el aprovechamiento de vulnerabilidades de software, han hecho que la codificación segura sea esencial. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) sitúa la codificación segura en primer plano con su iniciativa «Seguro desde el diseño», que se está convirtiendo en un movimiento internacional.
Nuestras investigaciones lo han demostrado: existe una clara correlación entre un enfoque seguro desde el diseño y la reducción de las vulnerabilidades del software. Hemos analizado los datos de reducción de vulnerabilidades procedentes del 26 % de los clientes de SCW y hemos constatado que la formación de los desarrolladores conlleva una reducción de las vulnerabilidades de software que oscila entre el 22 % y el 84 %. Este rango se debía a variables como el tamaño de las empresas implicadas (las pequeñas empresas con relativamente pocos desarrolladores obtuvieron resultados más espectaculares) y si un grupo de aprendizaje se centraba en un problema específico, en cuyo caso eliminaba un porcentaje mayor de fallos.
Los resultados obtenidos en las grandes empresas fueron bastante coherentes. Las empresas con 7000 desarrolladores o más pueden esperar una reducción de las vulnerabilidades de entre el 47 % y el 53 % gracias al refuerzo de las competencias de los desarrolladores en materia de seguridad. Por ejemplo, una empresa estadísticamente media con más de 10 000 desarrolladores (que no es la más eficaz en la plataforma ni una de las empresas más eficaces) registró una reducción del 53 % en sus vulnerabilidades.
Por supuesto, la formación más eficaz no se basa en un enfoque global y universal. Debe adaptarse al entorno de trabajo de los desarrolladores y a los tipos de desarrollo que realizan.
Las empresas deberían empezar por adquirir las competencias básicas que deben tener los desarrolladores para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de refuerzo de competencias deberían consistir en una formación práctica y ágil en escenarios del mundo real que se correspondan con el tipo de trabajo que realizan y los lenguajes que utilizan. Y deberían ser lo suficientemente flexibles como para integrar las sesiones de formación en sus horarios de trabajo.
Para los desarrolladores, las habilidades no se limitan a escribir código. Deben ser capaces de verificar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han evitado el uso de modelos generativos de IA y, en general, han elogiado sus ventajas, ya que les ayudan a crear más código más rápidamente. Sin embargo, aunque el 76 % de los encuestados en una encuesta de Snyk afirmaron que el código generado por IA era más seguro que el código producido por humanos, el 56,4 % afirmó que la IA introducía errores de forma ocasional o frecuente. La misma encuesta reveló que el 80 % de los desarrolladores no aplican las políticas de seguridad del código de IA, lo que sugiere que los problemas de código en el código de IA no se resuelven.
En el marco de un enfoque seguro desde el diseño, los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacerlo por separado, abordarán estos problemas desde el inicio del ciclo de vida del desarrollo de software (SDLC), identificando y corrigiendo las vulnerabilidades antes de que el código se ponga en producción.
Le Trust Score mide el rendimiento individual y el de la empresa.
También es esencial que la formación sea continua. Las empresas deben adoptar una cultura centrada en la seguridad que se aplique en todos los ámbitos, desde los niveles más altos de la empresa hasta los niveles más bajos. Debe centrarse en la mejora continua y la aplicación de las mejores prácticas de seguridad en todo el ciclo de vida del desarrollo de software (SDLC). La tecnología y los ciberdelincuentes están en constante evolución, al igual que la ciberseguridad. Para las empresas que producen software, los desarrolladores formados en seguridad constituyen la base.
Por eso es tan importante demostrar que la formación es eficaz como la propia formación. Trust Score no solo proporciona visibilidad sobre el rendimiento de los desarrolladores a nivel individual y de la organización en su conjunto, sino que también permite a las organizaciones analizar los datos de rendimiento para centrarse en lenguajes, equipos de desarrolladores o categorías de software específicos. Los datos obtenidos de los resultados de rendimiento individuales y agregados también permiten identificar las áreas en las que se debe mejorar la formación, por ejemplo, si no tiene el efecto esperado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las empresas evaluar el rendimiento de los desarrolladores y confirmar si han adquirido —y utilizan— las competencias necesarias en materia de seguridad, asegurándose de que han obtenido su licencia de código. Permite a las empresas conceder con total confianza a los desarrolladores cualificados acceso a sus datos más sensibles y a sus proyectos de software críticos, al tiempo que deniega dicho acceso a aquellos que aún no están preparados para utilizar las herramientas.
Prueba de la evolución de la cultura de seguridad
La ciberseguridad ya no es solo una cuestión de seguridad. Se trata de un problema comercial que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Una violación grave afecta a las actividades, la reputación y, potencialmente, la viabilidad de una organización. La importancia de la ciberseguridad no ha pasado desapercibida para los organismos reguladores, que están aplicando normativas cada vez más estrictas y se han mostrado dispuestos a emprender acciones legales contra los RSSI y, potencialmente, otros miembros de la alta dirección, llegando incluso a iniciar acciones penales, como en los casos de Uber y Vents solaires.
La adopción de una cultura de seguridad a escala empresarial es esencial en el entorno actual. Y dado que el valor de una empresa se basa en gran medida en sus datos, aplicaciones y servicios, la codificación segura es fundamental para esta cultura. Una formación específica y el refuerzo de las competencias en el marco de una mentalidad cultural, así como la demostración de que la formación ha contribuido a cambiar la cultura, pueden ayudar a las organizaciones a reforzar sus posturas de seguridad.
Los programas de seguridad dirigidos por los desarrolladores tienen valor. La prueba está en la puntuación de confianza.
Nuestras investigaciones han demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia para reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una forma segura de mejorar la postura de seguridad de su empresa es mejorar las habilidades de los desarrolladores en materia de mejores prácticas de codificación segura, en un marco que incluya bases de referencia y puntos de referencia diseñados para proporcionar a los desarrolladores los itinerarios de aprendizaje específicos que necesitan. Sin embargo, la codificación segura no es una solución puntual: debe convertirse en un modo de vida, inscrito en el ADN de una organización. Los desarrolladores no solo deben desplazarse hacia la izquierda o empezar por la izquierda, sino que también deben permanecer en la izquierda.
No basta con impartir formación. Las empresas deben confirmar que los desarrolladores han asimilado completamente su formación y que siguen las mejores prácticas al inicio del ciclo de vida del desarrollo de software (SDLC) como parte de su rutina diaria. Debe realizar un seguimiento del rendimiento de los desarrolladores y medir sus progresos en relación con las normas internas y los criterios de referencia del sector, a fin de medir eficazmente el retorno de la inversión en formación.
La puntuación de confianza Secure Code Warrior proporciona visibilidad sobre el rendimiento de cada desarrollador y agrupa los datos para ofrecer una evaluación del rendimiento global de su organización. Muestra la eficacia de los programas de mejora de competencias e identifica las áreas que necesitan mejoras. Además, garantiza el cumplimiento de todos los requisitos normativos, ya sean del Reglamento General de Protección de Datos (RGPD), la norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS), la ley de California sobre la protección de la privacidad de los consumidores (CCPA) u otros.
Nuestras investigaciones han demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia para reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
La formación mejora la seguridad, si los desarrolladores la obtienen.
Durante años, el uso de las mejores prácticas de seguridad al inicio del ciclo de vida del desarrollo de software (SDLC) parecía ser una ambición en la industria del software. Es bueno tenerlo algún día, pero hoy en día no es una prioridad. Sin embargo, la creciente rapidez del desarrollo de software, junto con la aceleración de las ciberamenazas sofisticadas y destructivas, a menudo basadas en el aprovechamiento de vulnerabilidades de software, han hecho que la codificación segura sea esencial. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) sitúa la codificación segura en primer plano con su iniciativa «Seguro desde el diseño», que se está convirtiendo en un movimiento internacional.
Nuestras investigaciones lo han demostrado: existe una clara correlación entre un enfoque seguro desde el diseño y la reducción de las vulnerabilidades del software. Hemos analizado los datos de reducción de vulnerabilidades procedentes del 26 % de los clientes de SCW y hemos constatado que la formación de los desarrolladores conlleva una reducción de las vulnerabilidades de software que oscila entre el 22 % y el 84 %. Este rango se debía a variables como el tamaño de las empresas implicadas (las pequeñas empresas con relativamente pocos desarrolladores obtuvieron resultados más espectaculares) y si un grupo de aprendizaje se centraba en un problema específico, en cuyo caso eliminaba un porcentaje mayor de fallos.
Los resultados obtenidos en las grandes empresas fueron bastante coherentes. Las empresas con 7000 desarrolladores o más pueden esperar una reducción de las vulnerabilidades de entre el 47 % y el 53 % gracias al refuerzo de las competencias de los desarrolladores en materia de seguridad. Por ejemplo, una empresa estadísticamente media con más de 10 000 desarrolladores (que no es la más eficaz en la plataforma ni una de las empresas más eficaces) registró una reducción del 53 % en sus vulnerabilidades.
Por supuesto, la formación más eficaz no se basa en un enfoque global y universal. Debe adaptarse al entorno de trabajo de los desarrolladores y a los tipos de desarrollo que realizan.
Las empresas deberían empezar por adquirir las competencias básicas que deben tener los desarrolladores para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de refuerzo de competencias deberían consistir en una formación práctica y ágil en escenarios del mundo real que se correspondan con el tipo de trabajo que realizan y los lenguajes que utilizan. Y deberían ser lo suficientemente flexibles como para integrar las sesiones de formación en sus horarios de trabajo.
Para los desarrolladores, las habilidades no se limitan a escribir código. Deben ser capaces de verificar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han evitado el uso de modelos generativos de IA y, en general, han elogiado sus ventajas, ya que les ayudan a crear más código más rápidamente. Sin embargo, aunque el 76 % de los encuestados en una encuesta de Snyk afirmaron que el código generado por IA era más seguro que el código producido por humanos, el 56,4 % afirmó que la IA introducía errores de forma ocasional o frecuente. La misma encuesta reveló que el 80 % de los desarrolladores no aplican las políticas de seguridad del código de IA, lo que sugiere que los problemas de código en el código de IA no se resuelven.
En el marco de un enfoque seguro desde el diseño, los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacerlo por separado, abordarán estos problemas desde el inicio del ciclo de vida del desarrollo de software (SDLC), identificando y corrigiendo las vulnerabilidades antes de que el código se ponga en producción.
Le Trust Score mide el rendimiento individual y el de la empresa.
También es esencial que la formación sea continua. Las empresas deben adoptar una cultura centrada en la seguridad que se aplique en todos los ámbitos, desde los niveles más altos de la empresa hasta los niveles más bajos. Debe centrarse en la mejora continua y la aplicación de las mejores prácticas de seguridad en todo el ciclo de vida del desarrollo de software (SDLC). La tecnología y los ciberdelincuentes están en constante evolución, al igual que la ciberseguridad. Para las empresas que producen software, los desarrolladores formados en seguridad constituyen la base.
Por eso es tan importante demostrar que la formación es eficaz como la propia formación. Trust Score no solo proporciona visibilidad sobre el rendimiento de los desarrolladores a nivel individual y de la organización en su conjunto, sino que también permite a las organizaciones analizar los datos de rendimiento para centrarse en lenguajes, equipos de desarrolladores o categorías de software específicos. Los datos obtenidos de los resultados de rendimiento individuales y agregados también permiten identificar las áreas en las que se debe mejorar la formación, por ejemplo, si no tiene el efecto esperado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las empresas evaluar el rendimiento de los desarrolladores y confirmar si han adquirido —y utilizan— las competencias necesarias en materia de seguridad, asegurándose de que han obtenido su licencia de código. Permite a las empresas conceder con total confianza a los desarrolladores cualificados acceso a sus datos más sensibles y a sus proyectos de software críticos, al tiempo que deniega dicho acceso a aquellos que aún no están preparados para utilizar las herramientas.
Prueba de la evolución de la cultura de seguridad
La ciberseguridad ya no es solo una cuestión de seguridad. Se trata de un problema comercial que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Una violación grave afecta a las actividades, la reputación y, potencialmente, la viabilidad de una organización. La importancia de la ciberseguridad no ha pasado desapercibida para los organismos reguladores, que están aplicando normativas cada vez más estrictas y se han mostrado dispuestos a emprender acciones legales contra los RSSI y, potencialmente, otros miembros de la alta dirección, llegando incluso a iniciar acciones penales, como en los casos de Uber y Vents solaires.
La adopción de una cultura de seguridad a escala empresarial es esencial en el entorno actual. Y dado que el valor de una empresa se basa en gran medida en sus datos, aplicaciones y servicios, la codificación segura es fundamental para esta cultura. Una formación específica y el refuerzo de las competencias en el marco de una mentalidad cultural, así como la demostración de que la formación ha contribuido a cambiar la cultura, pueden ayudar a las organizaciones a reforzar sus posturas de seguridad.
Los programas de seguridad dirigidos por los desarrolladores tienen valor. La prueba está en la puntuación de confianza.
Una forma segura de mejorar la postura de seguridad de su empresa es mejorar las habilidades de los desarrolladores en materia de mejores prácticas de codificación segura, en un marco que incluya bases de referencia y puntos de referencia diseñados para proporcionar a los desarrolladores los itinerarios de aprendizaje específicos que necesitan. Sin embargo, la codificación segura no es una solución puntual: debe convertirse en un modo de vida, inscrito en el ADN de una organización. Los desarrolladores no solo deben desplazarse hacia la izquierda o empezar por la izquierda, sino que también deben permanecer en la izquierda.
No basta con impartir formación. Las empresas deben confirmar que los desarrolladores han asimilado completamente su formación y que siguen las mejores prácticas al inicio del ciclo de vida del desarrollo de software (SDLC) como parte de su rutina diaria. Debe realizar un seguimiento del rendimiento de los desarrolladores y medir sus progresos en relación con las normas internas y los criterios de referencia del sector, a fin de medir eficazmente el retorno de la inversión en formación.
La puntuación de confianza Secure Code Warrior proporciona visibilidad sobre el rendimiento de cada desarrollador y agrupa los datos para ofrecer una evaluación del rendimiento global de su organización. Muestra la eficacia de los programas de mejora de competencias e identifica las áreas que necesitan mejoras. Además, garantiza el cumplimiento de todos los requisitos normativos, ya sean del Reglamento General de Protección de Datos (RGPD), la norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS), la ley de California sobre la protección de la privacidad de los consumidores (CCPA) u otros.
Nuestras investigaciones han demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia para reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
La formación mejora la seguridad, si los desarrolladores la obtienen.
Durante años, el uso de las mejores prácticas de seguridad al inicio del ciclo de vida del desarrollo de software (SDLC) parecía ser una ambición en la industria del software. Es bueno tenerlo algún día, pero hoy en día no es una prioridad. Sin embargo, la creciente rapidez del desarrollo de software, junto con la aceleración de las ciberamenazas sofisticadas y destructivas, a menudo basadas en el aprovechamiento de vulnerabilidades de software, han hecho que la codificación segura sea esencial. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) sitúa la codificación segura en primer plano con su iniciativa «Seguro desde el diseño», que se está convirtiendo en un movimiento internacional.
Nuestras investigaciones lo han demostrado: existe una clara correlación entre un enfoque seguro desde el diseño y la reducción de las vulnerabilidades del software. Hemos analizado los datos de reducción de vulnerabilidades procedentes del 26 % de los clientes de SCW y hemos constatado que la formación de los desarrolladores conlleva una reducción de las vulnerabilidades de software que oscila entre el 22 % y el 84 %. Este rango se debía a variables como el tamaño de las empresas implicadas (las pequeñas empresas con relativamente pocos desarrolladores obtuvieron resultados más espectaculares) y si un grupo de aprendizaje se centraba en un problema específico, en cuyo caso eliminaba un porcentaje mayor de fallos.
Los resultados obtenidos en las grandes empresas fueron bastante coherentes. Las empresas con 7000 desarrolladores o más pueden esperar una reducción de las vulnerabilidades de entre el 47 % y el 53 % gracias al refuerzo de las competencias de los desarrolladores en materia de seguridad. Por ejemplo, una empresa estadísticamente media con más de 10 000 desarrolladores (que no es la más eficaz en la plataforma ni una de las empresas más eficaces) registró una reducción del 53 % en sus vulnerabilidades.
Por supuesto, la formación más eficaz no se basa en un enfoque global y universal. Debe adaptarse al entorno de trabajo de los desarrolladores y a los tipos de desarrollo que realizan.
Las empresas deberían empezar por adquirir las competencias básicas que deben tener los desarrolladores para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de refuerzo de competencias deberían consistir en una formación práctica y ágil en escenarios del mundo real que se correspondan con el tipo de trabajo que realizan y los lenguajes que utilizan. Y deberían ser lo suficientemente flexibles como para integrar las sesiones de formación en sus horarios de trabajo.
Para los desarrolladores, las habilidades no se limitan a escribir código. Deben ser capaces de verificar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han evitado el uso de modelos generativos de IA y, en general, han elogiado sus ventajas, ya que les ayudan a crear más código más rápidamente. Sin embargo, aunque el 76 % de los encuestados en una encuesta de Snyk afirmaron que el código generado por IA era más seguro que el código producido por humanos, el 56,4 % afirmó que la IA introducía errores de forma ocasional o frecuente. La misma encuesta reveló que el 80 % de los desarrolladores no aplican las políticas de seguridad del código de IA, lo que sugiere que los problemas de código en el código de IA no se resuelven.
En el marco de un enfoque seguro desde el diseño, los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacerlo por separado, abordarán estos problemas desde el inicio del ciclo de vida del desarrollo de software (SDLC), identificando y corrigiendo las vulnerabilidades antes de que el código se ponga en producción.
Le Trust Score mide el rendimiento individual y el de la empresa.
También es esencial que la formación sea continua. Las empresas deben adoptar una cultura centrada en la seguridad que se aplique en todos los ámbitos, desde los niveles más altos de la empresa hasta los niveles más bajos. Debe centrarse en la mejora continua y la aplicación de las mejores prácticas de seguridad en todo el ciclo de vida del desarrollo de software (SDLC). La tecnología y los ciberdelincuentes están en constante evolución, al igual que la ciberseguridad. Para las empresas que producen software, los desarrolladores formados en seguridad constituyen la base.
Por eso es tan importante demostrar que la formación es eficaz como la propia formación. Trust Score no solo proporciona visibilidad sobre el rendimiento de los desarrolladores a nivel individual y de la organización en su conjunto, sino que también permite a las organizaciones analizar los datos de rendimiento para centrarse en lenguajes, equipos de desarrolladores o categorías de software específicos. Los datos obtenidos de los resultados de rendimiento individuales y agregados también permiten identificar las áreas en las que se debe mejorar la formación, por ejemplo, si no tiene el efecto esperado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las empresas evaluar el rendimiento de los desarrolladores y confirmar si han adquirido —y utilizan— las competencias necesarias en materia de seguridad, asegurándose de que han obtenido su licencia de código. Permite a las empresas conceder con total confianza a los desarrolladores cualificados acceso a sus datos más sensibles y a sus proyectos de software críticos, al tiempo que deniega dicho acceso a aquellos que aún no están preparados para utilizar las herramientas.
Prueba de la evolución de la cultura de seguridad
La ciberseguridad ya no es solo una cuestión de seguridad. Se trata de un problema comercial que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Una violación grave afecta a las actividades, la reputación y, potencialmente, la viabilidad de una organización. La importancia de la ciberseguridad no ha pasado desapercibida para los organismos reguladores, que están aplicando normativas cada vez más estrictas y se han mostrado dispuestos a emprender acciones legales contra los RSSI y, potencialmente, otros miembros de la alta dirección, llegando incluso a iniciar acciones penales, como en los casos de Uber y Vents solaires.
La adopción de una cultura de seguridad a escala empresarial es esencial en el entorno actual. Y dado que el valor de una empresa se basa en gran medida en sus datos, aplicaciones y servicios, la codificación segura es fundamental para esta cultura. Una formación específica y el refuerzo de las competencias en el marco de una mentalidad cultural, así como la demostración de que la formación ha contribuido a cambiar la cultura, pueden ayudar a las organizaciones a reforzar sus posturas de seguridad.
Los programas de seguridad dirigidos por los desarrolladores tienen valor. La prueba está en la puntuación de confianza.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una forma segura de mejorar la postura de seguridad de su empresa es mejorar las habilidades de los desarrolladores en materia de mejores prácticas de codificación segura, en un marco que incluya bases de referencia y puntos de referencia diseñados para proporcionar a los desarrolladores los itinerarios de aprendizaje específicos que necesitan. Sin embargo, la codificación segura no es una solución puntual: debe convertirse en un modo de vida, inscrito en el ADN de una organización. Los desarrolladores no solo deben desplazarse hacia la izquierda o empezar por la izquierda, sino que también deben permanecer en la izquierda.
No basta con impartir formación. Las empresas deben confirmar que los desarrolladores han asimilado completamente su formación y que siguen las mejores prácticas al inicio del ciclo de vida del desarrollo de software (SDLC) como parte de su rutina diaria. Debe realizar un seguimiento del rendimiento de los desarrolladores y medir sus progresos en relación con las normas internas y los criterios de referencia del sector, a fin de medir eficazmente el retorno de la inversión en formación.
La puntuación de confianza Secure Code Warrior proporciona visibilidad sobre el rendimiento de cada desarrollador y agrupa los datos para ofrecer una evaluación del rendimiento global de su organización. Muestra la eficacia de los programas de mejora de competencias e identifica las áreas que necesitan mejoras. Además, garantiza el cumplimiento de todos los requisitos normativos, ya sean del Reglamento General de Protección de Datos (RGPD), la norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS), la ley de California sobre la protección de la privacidad de los consumidores (CCPA) u otros.
Nuestras investigaciones han demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia para reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
La formación mejora la seguridad, si los desarrolladores la obtienen.
Durante años, el uso de las mejores prácticas de seguridad al inicio del ciclo de vida del desarrollo de software (SDLC) parecía ser una ambición en la industria del software. Es bueno tenerlo algún día, pero hoy en día no es una prioridad. Sin embargo, la creciente rapidez del desarrollo de software, junto con la aceleración de las ciberamenazas sofisticadas y destructivas, a menudo basadas en el aprovechamiento de vulnerabilidades de software, han hecho que la codificación segura sea esencial. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) sitúa la codificación segura en primer plano con su iniciativa «Seguro desde el diseño», que se está convirtiendo en un movimiento internacional.
Nuestras investigaciones lo han demostrado: existe una clara correlación entre un enfoque seguro desde el diseño y la reducción de las vulnerabilidades del software. Hemos analizado los datos de reducción de vulnerabilidades procedentes del 26 % de los clientes de SCW y hemos constatado que la formación de los desarrolladores conlleva una reducción de las vulnerabilidades de software que oscila entre el 22 % y el 84 %. Este rango se debía a variables como el tamaño de las empresas implicadas (las pequeñas empresas con relativamente pocos desarrolladores obtuvieron resultados más espectaculares) y si un grupo de aprendizaje se centraba en un problema específico, en cuyo caso eliminaba un porcentaje mayor de fallos.
Los resultados obtenidos en las grandes empresas fueron bastante coherentes. Las empresas con 7000 desarrolladores o más pueden esperar una reducción de las vulnerabilidades de entre el 47 % y el 53 % gracias al refuerzo de las competencias de los desarrolladores en materia de seguridad. Por ejemplo, una empresa estadísticamente media con más de 10 000 desarrolladores (que no es la más eficaz en la plataforma ni una de las empresas más eficaces) registró una reducción del 53 % en sus vulnerabilidades.
Por supuesto, la formación más eficaz no se basa en un enfoque global y universal. Debe adaptarse al entorno de trabajo de los desarrolladores y a los tipos de desarrollo que realizan.
Las empresas deberían empezar por adquirir las competencias básicas que deben tener los desarrolladores para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de refuerzo de competencias deberían consistir en una formación práctica y ágil en escenarios del mundo real que se correspondan con el tipo de trabajo que realizan y los lenguajes que utilizan. Y deberían ser lo suficientemente flexibles como para integrar las sesiones de formación en sus horarios de trabajo.
Para los desarrolladores, las habilidades no se limitan a escribir código. Deben ser capaces de verificar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han evitado el uso de modelos generativos de IA y, en general, han elogiado sus ventajas, ya que les ayudan a crear más código más rápidamente. Sin embargo, aunque el 76 % de los encuestados en una encuesta de Snyk afirmaron que el código generado por IA era más seguro que el código producido por humanos, el 56,4 % afirmó que la IA introducía errores de forma ocasional o frecuente. La misma encuesta reveló que el 80 % de los desarrolladores no aplican las políticas de seguridad del código de IA, lo que sugiere que los problemas de código en el código de IA no se resuelven.
En el marco de un enfoque seguro desde el diseño, los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacerlo por separado, abordarán estos problemas desde el inicio del ciclo de vida del desarrollo de software (SDLC), identificando y corrigiendo las vulnerabilidades antes de que el código se ponga en producción.
Le Trust Score mide el rendimiento individual y el de la empresa.
También es esencial que la formación sea continua. Las empresas deben adoptar una cultura centrada en la seguridad que se aplique en todos los ámbitos, desde los niveles más altos de la empresa hasta los niveles más bajos. Debe centrarse en la mejora continua y la aplicación de las mejores prácticas de seguridad en todo el ciclo de vida del desarrollo de software (SDLC). La tecnología y los ciberdelincuentes están en constante evolución, al igual que la ciberseguridad. Para las empresas que producen software, los desarrolladores formados en seguridad constituyen la base.
Por eso es tan importante demostrar que la formación es eficaz como la propia formación. Trust Score no solo proporciona visibilidad sobre el rendimiento de los desarrolladores a nivel individual y de la organización en su conjunto, sino que también permite a las organizaciones analizar los datos de rendimiento para centrarse en lenguajes, equipos de desarrolladores o categorías de software específicos. Los datos obtenidos de los resultados de rendimiento individuales y agregados también permiten identificar las áreas en las que se debe mejorar la formación, por ejemplo, si no tiene el efecto esperado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las empresas evaluar el rendimiento de los desarrolladores y confirmar si han adquirido —y utilizan— las competencias necesarias en materia de seguridad, asegurándose de que han obtenido su licencia de código. Permite a las empresas conceder con total confianza a los desarrolladores cualificados acceso a sus datos más sensibles y a sus proyectos de software críticos, al tiempo que deniega dicho acceso a aquellos que aún no están preparados para utilizar las herramientas.
Prueba de la evolución de la cultura de seguridad
La ciberseguridad ya no es solo una cuestión de seguridad. Se trata de un problema comercial que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Una violación grave afecta a las actividades, la reputación y, potencialmente, la viabilidad de una organización. La importancia de la ciberseguridad no ha pasado desapercibida para los organismos reguladores, que están aplicando normativas cada vez más estrictas y se han mostrado dispuestos a emprender acciones legales contra los RSSI y, potencialmente, otros miembros de la alta dirección, llegando incluso a iniciar acciones penales, como en los casos de Uber y Vents solaires.
La adopción de una cultura de seguridad a escala empresarial es esencial en el entorno actual. Y dado que el valor de una empresa se basa en gran medida en sus datos, aplicaciones y servicios, la codificación segura es fundamental para esta cultura. Una formación específica y el refuerzo de las competencias en el marco de una mentalidad cultural, así como la demostración de que la formación ha contribuido a cambiar la cultura, pueden ayudar a las organizaciones a reforzar sus posturas de seguridad.
Los programas de seguridad dirigidos por los desarrolladores tienen valor. La prueba está en la puntuación de confianza.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
