開発者主導型セキュリティのROI
El coste de un código deficiente
Los avances tecnológicos están facilitando más que nunca que los desarrolladores envíen código más rápido que nunca. Esto puede ser emocionante para la innovación, pero desalentador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costes de las herramientas adicionales, los programas de formación y la inversión en mejorar las cualificaciones de los desarrolladores puede parecer un "bien para tener" frente a una función empresarial crítica si se mantiene la velocidad del código que se envía.
Enviar código más rápido puede haber sido más fácil, pero desafortunadamente enviar código seguro no lo ha sido, dejando a las organizaciones vulnerables a más amenazas que nunca. El coste de la ciberdelincuencia es asombroso en todo el mundo y aumenta rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. De media, el coste de una filtración de datos es de 4,35 millones de dólares, que se reparten entre la pérdida de negocio de clientes actuales y potenciales, así como los recursos invertidos en la gestión de la detección, la escalada y la repetición del trabajo.
A pesar de estos costes astronómicos, más de la mitad de las organizaciones no exigen a los desarrolladores que realicen anualmente una formación formal sobre código seguro.
Todos los profesionales de la seguridad saben que, cuando se trata de encontrar y corregir vulnerabilidades, puede parecer que se está jugando a la ruleta. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay una oportunidad de mejora. La mayoría de las organizaciones descubren que cuando su capacidad de recuperación ante desastres o de copia de seguridad se pone a prueba, su enfoque de la seguridad no es tan sólido como pensaban. Si reforzar la resistencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva que se deja a sus desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. Un equipo de desarrolladores cualificado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir vulnerabilidades con rapidez es el medio más rentable de mitigar los riesgos.
Un concepto erróneo cuando se trata de la formación de los desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguros. Según Klaus Klaus Klinger, DevSec Awareness Evangelist de Allianz, "todo tiene que empezar en la cabeza de los directivos. Invertir en la formación de los desarrolladores no es una inversión perdida, sino una inversión en calidad, productividad y reputación de la empresa".
A menudo puede ser difícil cuantificar el retorno de la inversión en este ámbito, pero en última instancia lo que las organizaciones deberían plantearse es cómo su postura de seguridad les ayuda a reducir riesgos, racionalizar su enfoque y ahorrar tiempo y productividad a sus equipos de desarrolladores.
¿Cómo se puede cuantificar el retorno de la inversión en costes de ciberseguridad?
Cuando se trata de la rentabilidad de la inversión, es importante pensar en ella en dos marcos diferentes: el ahorro de costes que supone mitigar el riesgo frente al impacto de su formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o infracción hace que un sitio de comercio electrónico se vea obligado a estar fuera de línea durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de no solucionar el problema puede cuantificarse en la pérdida de ingresos durante la interrupción, el impacto de las credenciales robadas, la pérdida de confianza de los clientes (que se traduce en una reducción de las ventas a largo plazo) y la pérdida general de productividad mientras se soluciona el problema.
Esto se reduce realmente a un análisis de costes y beneficios. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que necesitan ser mantenidas o mejoradas.
La gente suele centrarse en los parámetros equivocados para determinar el éxito y el valor. Quizá deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en su lugar, medir el impacto del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, hay que crear objetivos mensurables. Esto comienza con la evaluación de los conocimientos de codificación seguros de sus desarrolladores y la comprensión de dónde necesitan aumentar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarle a tomar decisiones estratégicas sobre cómo crear programas de formación más ricos. Lo más importante es medir el impacto. Comience por observar el número de puntos débiles que se detectan en el ciclo de vida de desarrollo de software mediante análisis de código, recompensas por errores o pruebas de vulnerabilidad clásicas antes de iniciar el programa en cada equipo. Una de las formas más sencillas de saber que su programa de formación está teniendo el resultado deseado es midiendo la disminución de vulnerabilidades que se introducen en su base de código en general.
Principales preguntas para evaluar el retorno de la inversión:
1. ¿Estamos racionalizando nuestro enfoque?
¿Está lanzando más herramientas al problema o resolviéndolo en su raíz? Añadir más herramientas a su pila tecnológica crea un método de "queso suizo" para encontrar y solucionar vulnerabilidades. También aumentan los costes operativos con poco impacto en la fuente de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de su arsenal, no deberían ser su última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la reelaboración del código devuelto por AppSec puede suponer una importante pérdida de productividad. Reducir los simulacros de incendio facultando y permitiendo a los equipos de desarrolladores ser prácticos con su formación en código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y solucionar una vulnerabilidad puede ser como resolver un gran rompecabezas, que a veces puede llevar días, semanas o incluso meses en completarse con una solución sólida. Capacitar a los desarrolladores para que se encarguen de la corrección en origen permite a AppSec centrarse en la supervisión de riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
Enviar código rápidamente no siempre es bueno. Tomar atajos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deuda técnica. Pensar a corto plazo no es la solución. Uno puede mitigar el riesgo asegurando su código desde el principio, para que el problema no se agrave en el futuro.
Métricas de seguimiento recomendadas:
- Compromiso: ¿cuánto tiempo dedica a la formación y cómo participan los promotores? ¿Están completando courses, evaluaciones y participando en tournaments?
- Competencias: ¿cuáles son los puntos fuertes? ¿Qué aspectos necesita mejorar?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec le devuelve menos trabajo?
- Productividad: ¿cuánto tiempo se tarda en solucionar un problema? ¿Ha notado un aumento de la productividad o la velocidad con la reducción de la vulnerabilidad?
Crear valor desplazándose a la izquierda
Las infracciones y vulnerabilidades aumentan rápidamente cada año. Es importante empezar a construir de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: las personas, en lugar de gastar dinero en herramientas que sólo resuelven una parte del problema.
- Mejorar la eficiencia y la eficacia general limitando la repetición de tareas o las correcciones que normalmente identificaría AppSec una vez desplegado el código.
- Mitigar el riesgo y cumplir la normativa, evitando costosas multas, la pérdida de confianza de los clientes o, peor aún, el coste de una filtración de datos.
Evite el cortoplacismo y las soluciones rápidas. Sólo pueden generar deuda técnica y más costes en el futuro. Planifica a largo plazo aprovechando el poder de la mejora de las competencias y capacitando a tus desarrolladores para que sean tu mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y comprueba por ti mismo el impacto y el ahorro de costes.
テクノロジースタックや追加のトレーニングプログラムへの投資に関しては、誰もが投資収益率を高めたいと考えていますが、セキュリティに関しては、単純な ROI の計算にとどまらない長い時間をかけて取り組む必要があります。開発者が主導するセキュリティに投資することで、高額な情報漏えい、生産性の低下、蓄積された技術負債の費用を節約できるだけでなく、今日の脅威環境の一歩先を行くための積極的で費用対効果の高い戦略を構築する方法を学びましょう。
Secure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Secure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Este artículo ha sido escrito por el equipo de expertos del sector de Secure Code Warrior. Su objetivo es que los desarrolladores adquieran los conocimientos y habilidades necesarios para crear software seguro desde el principio. Aprovecha los profundos conocimientos especializados sobre la práctica de la codificación segura, las tendencias del sector y las perspectivas del mundo real.
El coste de un código deficiente
Los avances tecnológicos están facilitando más que nunca que los desarrolladores envíen código más rápido que nunca. Esto puede ser emocionante para la innovación, pero desalentador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costes de las herramientas adicionales, los programas de formación y la inversión en mejorar las cualificaciones de los desarrolladores puede parecer un "bien para tener" frente a una función empresarial crítica si se mantiene la velocidad del código que se envía.
Enviar código más rápido puede haber sido más fácil, pero desafortunadamente enviar código seguro no lo ha sido, dejando a las organizaciones vulnerables a más amenazas que nunca. El coste de la ciberdelincuencia es asombroso en todo el mundo y aumenta rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. De media, el coste de una filtración de datos es de 4,35 millones de dólares, que se reparten entre la pérdida de negocio de clientes actuales y potenciales, así como los recursos invertidos en la gestión de la detección, la escalada y la repetición del trabajo.
A pesar de estos costes astronómicos, más de la mitad de las organizaciones no exigen a los desarrolladores que realicen anualmente una formación formal sobre código seguro.
Todos los profesionales de la seguridad saben que, cuando se trata de encontrar y corregir vulnerabilidades, puede parecer que se está jugando a la ruleta. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay una oportunidad de mejora. La mayoría de las organizaciones descubren que cuando su capacidad de recuperación ante desastres o de copia de seguridad se pone a prueba, su enfoque de la seguridad no es tan sólido como pensaban. Si reforzar la resistencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva que se deja a sus desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. Un equipo de desarrolladores cualificado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir vulnerabilidades con rapidez es el medio más rentable de mitigar los riesgos.
Un concepto erróneo cuando se trata de la formación de los desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguros. Según Klaus Klaus Klinger, DevSec Awareness Evangelist de Allianz, "todo tiene que empezar en la cabeza de los directivos. Invertir en la formación de los desarrolladores no es una inversión perdida, sino una inversión en calidad, productividad y reputación de la empresa".
A menudo puede ser difícil cuantificar el retorno de la inversión en este ámbito, pero en última instancia lo que las organizaciones deberían plantearse es cómo su postura de seguridad les ayuda a reducir riesgos, racionalizar su enfoque y ahorrar tiempo y productividad a sus equipos de desarrolladores.
¿Cómo se puede cuantificar el retorno de la inversión en costes de ciberseguridad?
Cuando se trata de la rentabilidad de la inversión, es importante pensar en ella en dos marcos diferentes: el ahorro de costes que supone mitigar el riesgo frente al impacto de su formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o infracción hace que un sitio de comercio electrónico se vea obligado a estar fuera de línea durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de no solucionar el problema puede cuantificarse en la pérdida de ingresos durante la interrupción, el impacto de las credenciales robadas, la pérdida de confianza de los clientes (que se traduce en una reducción de las ventas a largo plazo) y la pérdida general de productividad mientras se soluciona el problema.
Esto se reduce realmente a un análisis de costes y beneficios. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que necesitan ser mantenidas o mejoradas.
La gente suele centrarse en los parámetros equivocados para determinar el éxito y el valor. Quizá deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en su lugar, medir el impacto del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, hay que crear objetivos mensurables. Esto comienza con la evaluación de los conocimientos de codificación seguros de sus desarrolladores y la comprensión de dónde necesitan aumentar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarle a tomar decisiones estratégicas sobre cómo crear programas de formación más ricos. Lo más importante es medir el impacto. Comience por observar el número de puntos débiles que se detectan en el ciclo de vida de desarrollo de software mediante análisis de código, recompensas por errores o pruebas de vulnerabilidad clásicas antes de iniciar el programa en cada equipo. Una de las formas más sencillas de saber que su programa de formación está teniendo el resultado deseado es midiendo la disminución de vulnerabilidades que se introducen en su base de código en general.
Principales preguntas para evaluar el retorno de la inversión:
1. ¿Estamos racionalizando nuestro enfoque?
¿Está lanzando más herramientas al problema o resolviéndolo en su raíz? Añadir más herramientas a su pila tecnológica crea un método de "queso suizo" para encontrar y solucionar vulnerabilidades. También aumentan los costes operativos con poco impacto en la fuente de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de su arsenal, no deberían ser su última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la reelaboración del código devuelto por AppSec puede suponer una importante pérdida de productividad. Reducir los simulacros de incendio facultando y permitiendo a los equipos de desarrolladores ser prácticos con su formación en código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y solucionar una vulnerabilidad puede ser como resolver un gran rompecabezas, que a veces puede llevar días, semanas o incluso meses en completarse con una solución sólida. Capacitar a los desarrolladores para que se encarguen de la corrección en origen permite a AppSec centrarse en la supervisión de riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
Enviar código rápidamente no siempre es bueno. Tomar atajos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deuda técnica. Pensar a corto plazo no es la solución. Uno puede mitigar el riesgo asegurando su código desde el principio, para que el problema no se agrave en el futuro.
Métricas de seguimiento recomendadas:
- Compromiso: ¿cuánto tiempo dedica a la formación y cómo participan los promotores? ¿Están completando courses, evaluaciones y participando en tournaments?
- Competencias: ¿cuáles son los puntos fuertes? ¿Qué aspectos necesita mejorar?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec le devuelve menos trabajo?
- Productividad: ¿cuánto tiempo se tarda en solucionar un problema? ¿Ha notado un aumento de la productividad o la velocidad con la reducción de la vulnerabilidad?
Crear valor desplazándose a la izquierda
Las infracciones y vulnerabilidades aumentan rápidamente cada año. Es importante empezar a construir de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: las personas, en lugar de gastar dinero en herramientas que sólo resuelven una parte del problema.
- Mejorar la eficiencia y la eficacia general limitando la repetición de tareas o las correcciones que normalmente identificaría AppSec una vez desplegado el código.
- Mitigar el riesgo y cumplir la normativa, evitando costosas multas, la pérdida de confianza de los clientes o, peor aún, el coste de una filtración de datos.
Evite el cortoplacismo y las soluciones rápidas. Sólo pueden generar deuda técnica y más costes en el futuro. Planifica a largo plazo aprovechando el poder de la mejora de las competencias y capacitando a tus desarrolladores para que sean tu mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y comprueba por ti mismo el impacto y el ahorro de costes.
El coste de un código deficiente
Los avances tecnológicos están facilitando más que nunca que los desarrolladores envíen código más rápido que nunca. Esto puede ser emocionante para la innovación, pero desalentador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costes de las herramientas adicionales, los programas de formación y la inversión en mejorar las cualificaciones de los desarrolladores puede parecer un "bien para tener" frente a una función empresarial crítica si se mantiene la velocidad del código que se envía.
Enviar código más rápido puede haber sido más fácil, pero desafortunadamente enviar código seguro no lo ha sido, dejando a las organizaciones vulnerables a más amenazas que nunca. El coste de la ciberdelincuencia es asombroso en todo el mundo y aumenta rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. De media, el coste de una filtración de datos es de 4,35 millones de dólares, que se reparten entre la pérdida de negocio de clientes actuales y potenciales, así como los recursos invertidos en la gestión de la detección, la escalada y la repetición del trabajo.
A pesar de estos costes astronómicos, más de la mitad de las organizaciones no exigen a los desarrolladores que realicen anualmente una formación formal sobre código seguro.
Todos los profesionales de la seguridad saben que, cuando se trata de encontrar y corregir vulnerabilidades, puede parecer que se está jugando a la ruleta. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay una oportunidad de mejora. La mayoría de las organizaciones descubren que cuando su capacidad de recuperación ante desastres o de copia de seguridad se pone a prueba, su enfoque de la seguridad no es tan sólido como pensaban. Si reforzar la resistencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva que se deja a sus desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. Un equipo de desarrolladores cualificado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir vulnerabilidades con rapidez es el medio más rentable de mitigar los riesgos.
Un concepto erróneo cuando se trata de la formación de los desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguros. Según Klaus Klaus Klinger, DevSec Awareness Evangelist de Allianz, "todo tiene que empezar en la cabeza de los directivos. Invertir en la formación de los desarrolladores no es una inversión perdida, sino una inversión en calidad, productividad y reputación de la empresa".
A menudo puede ser difícil cuantificar el retorno de la inversión en este ámbito, pero en última instancia lo que las organizaciones deberían plantearse es cómo su postura de seguridad les ayuda a reducir riesgos, racionalizar su enfoque y ahorrar tiempo y productividad a sus equipos de desarrolladores.
¿Cómo se puede cuantificar el retorno de la inversión en costes de ciberseguridad?
Cuando se trata de la rentabilidad de la inversión, es importante pensar en ella en dos marcos diferentes: el ahorro de costes que supone mitigar el riesgo frente al impacto de su formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o infracción hace que un sitio de comercio electrónico se vea obligado a estar fuera de línea durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de no solucionar el problema puede cuantificarse en la pérdida de ingresos durante la interrupción, el impacto de las credenciales robadas, la pérdida de confianza de los clientes (que se traduce en una reducción de las ventas a largo plazo) y la pérdida general de productividad mientras se soluciona el problema.
Esto se reduce realmente a un análisis de costes y beneficios. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que necesitan ser mantenidas o mejoradas.
La gente suele centrarse en los parámetros equivocados para determinar el éxito y el valor. Quizá deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en su lugar, medir el impacto del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, hay que crear objetivos mensurables. Esto comienza con la evaluación de los conocimientos de codificación seguros de sus desarrolladores y la comprensión de dónde necesitan aumentar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarle a tomar decisiones estratégicas sobre cómo crear programas de formación más ricos. Lo más importante es medir el impacto. Comience por observar el número de puntos débiles que se detectan en el ciclo de vida de desarrollo de software mediante análisis de código, recompensas por errores o pruebas de vulnerabilidad clásicas antes de iniciar el programa en cada equipo. Una de las formas más sencillas de saber que su programa de formación está teniendo el resultado deseado es midiendo la disminución de vulnerabilidades que se introducen en su base de código en general.
Principales preguntas para evaluar el retorno de la inversión:
1. ¿Estamos racionalizando nuestro enfoque?
¿Está lanzando más herramientas al problema o resolviéndolo en su raíz? Añadir más herramientas a su pila tecnológica crea un método de "queso suizo" para encontrar y solucionar vulnerabilidades. También aumentan los costes operativos con poco impacto en la fuente de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de su arsenal, no deberían ser su última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la reelaboración del código devuelto por AppSec puede suponer una importante pérdida de productividad. Reducir los simulacros de incendio facultando y permitiendo a los equipos de desarrolladores ser prácticos con su formación en código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y solucionar una vulnerabilidad puede ser como resolver un gran rompecabezas, que a veces puede llevar días, semanas o incluso meses en completarse con una solución sólida. Capacitar a los desarrolladores para que se encarguen de la corrección en origen permite a AppSec centrarse en la supervisión de riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
Enviar código rápidamente no siempre es bueno. Tomar atajos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deuda técnica. Pensar a corto plazo no es la solución. Uno puede mitigar el riesgo asegurando su código desde el principio, para que el problema no se agrave en el futuro.
Métricas de seguimiento recomendadas:
- Compromiso: ¿cuánto tiempo dedica a la formación y cómo participan los promotores? ¿Están completando courses, evaluaciones y participando en tournaments?
- Competencias: ¿cuáles son los puntos fuertes? ¿Qué aspectos necesita mejorar?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec le devuelve menos trabajo?
- Productividad: ¿cuánto tiempo se tarda en solucionar un problema? ¿Ha notado un aumento de la productividad o la velocidad con la reducción de la vulnerabilidad?
Crear valor desplazándose a la izquierda
Las infracciones y vulnerabilidades aumentan rápidamente cada año. Es importante empezar a construir de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: las personas, en lugar de gastar dinero en herramientas que sólo resuelven una parte del problema.
- Mejorar la eficiencia y la eficacia general limitando la repetición de tareas o las correcciones que normalmente identificaría AppSec una vez desplegado el código.
- Mitigar el riesgo y cumplir la normativa, evitando costosas multas, la pérdida de confianza de los clientes o, peor aún, el coste de una filtración de datos.
Evite el cortoplacismo y las soluciones rápidas. Sólo pueden generar deuda técnica y más costes en el futuro. Planifica a largo plazo aprovechando el poder de la mejora de las competencias y capacitando a tus desarrolladores para que sean tu mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y comprueba por ti mismo el impacto y el ahorro de costes.
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónSecure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Este artículo ha sido escrito por el equipo de expertos del sector de Secure Code Warrior. Su objetivo es que los desarrolladores adquieran los conocimientos y habilidades necesarios para crear software seguro desde el principio. Aprovecha los profundos conocimientos especializados sobre la práctica de la codificación segura, las tendencias del sector y las perspectivas del mundo real.
El coste de un código deficiente
Los avances tecnológicos están facilitando más que nunca que los desarrolladores envíen código más rápido que nunca. Esto puede ser emocionante para la innovación, pero desalentador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costes de las herramientas adicionales, los programas de formación y la inversión en mejorar las cualificaciones de los desarrolladores puede parecer un "bien para tener" frente a una función empresarial crítica si se mantiene la velocidad del código que se envía.
Enviar código más rápido puede haber sido más fácil, pero desafortunadamente enviar código seguro no lo ha sido, dejando a las organizaciones vulnerables a más amenazas que nunca. El coste de la ciberdelincuencia es asombroso en todo el mundo y aumenta rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. De media, el coste de una filtración de datos es de 4,35 millones de dólares, que se reparten entre la pérdida de negocio de clientes actuales y potenciales, así como los recursos invertidos en la gestión de la detección, la escalada y la repetición del trabajo.
A pesar de estos costes astronómicos, más de la mitad de las organizaciones no exigen a los desarrolladores que realicen anualmente una formación formal sobre código seguro.
Todos los profesionales de la seguridad saben que, cuando se trata de encontrar y corregir vulnerabilidades, puede parecer que se está jugando a la ruleta. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay una oportunidad de mejora. La mayoría de las organizaciones descubren que cuando su capacidad de recuperación ante desastres o de copia de seguridad se pone a prueba, su enfoque de la seguridad no es tan sólido como pensaban. Si reforzar la resistencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva que se deja a sus desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. Un equipo de desarrolladores cualificado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir vulnerabilidades con rapidez es el medio más rentable de mitigar los riesgos.
Un concepto erróneo cuando se trata de la formación de los desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguros. Según Klaus Klaus Klinger, DevSec Awareness Evangelist de Allianz, "todo tiene que empezar en la cabeza de los directivos. Invertir en la formación de los desarrolladores no es una inversión perdida, sino una inversión en calidad, productividad y reputación de la empresa".
A menudo puede ser difícil cuantificar el retorno de la inversión en este ámbito, pero en última instancia lo que las organizaciones deberían plantearse es cómo su postura de seguridad les ayuda a reducir riesgos, racionalizar su enfoque y ahorrar tiempo y productividad a sus equipos de desarrolladores.
¿Cómo se puede cuantificar el retorno de la inversión en costes de ciberseguridad?
Cuando se trata de la rentabilidad de la inversión, es importante pensar en ella en dos marcos diferentes: el ahorro de costes que supone mitigar el riesgo frente al impacto de su formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o infracción hace que un sitio de comercio electrónico se vea obligado a estar fuera de línea durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de no solucionar el problema puede cuantificarse en la pérdida de ingresos durante la interrupción, el impacto de las credenciales robadas, la pérdida de confianza de los clientes (que se traduce en una reducción de las ventas a largo plazo) y la pérdida general de productividad mientras se soluciona el problema.
Esto se reduce realmente a un análisis de costes y beneficios. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que necesitan ser mantenidas o mejoradas.
La gente suele centrarse en los parámetros equivocados para determinar el éxito y el valor. Quizá deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en su lugar, medir el impacto del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, hay que crear objetivos mensurables. Esto comienza con la evaluación de los conocimientos de codificación seguros de sus desarrolladores y la comprensión de dónde necesitan aumentar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarle a tomar decisiones estratégicas sobre cómo crear programas de formación más ricos. Lo más importante es medir el impacto. Comience por observar el número de puntos débiles que se detectan en el ciclo de vida de desarrollo de software mediante análisis de código, recompensas por errores o pruebas de vulnerabilidad clásicas antes de iniciar el programa en cada equipo. Una de las formas más sencillas de saber que su programa de formación está teniendo el resultado deseado es midiendo la disminución de vulnerabilidades que se introducen en su base de código en general.
Principales preguntas para evaluar el retorno de la inversión:
1. ¿Estamos racionalizando nuestro enfoque?
¿Está lanzando más herramientas al problema o resolviéndolo en su raíz? Añadir más herramientas a su pila tecnológica crea un método de "queso suizo" para encontrar y solucionar vulnerabilidades. También aumentan los costes operativos con poco impacto en la fuente de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de su arsenal, no deberían ser su última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la reelaboración del código devuelto por AppSec puede suponer una importante pérdida de productividad. Reducir los simulacros de incendio facultando y permitiendo a los equipos de desarrolladores ser prácticos con su formación en código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y solucionar una vulnerabilidad puede ser como resolver un gran rompecabezas, que a veces puede llevar días, semanas o incluso meses en completarse con una solución sólida. Capacitar a los desarrolladores para que se encarguen de la corrección en origen permite a AppSec centrarse en la supervisión de riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
Enviar código rápidamente no siempre es bueno. Tomar atajos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deuda técnica. Pensar a corto plazo no es la solución. Uno puede mitigar el riesgo asegurando su código desde el principio, para que el problema no se agrave en el futuro.
Métricas de seguimiento recomendadas:
- Compromiso: ¿cuánto tiempo dedica a la formación y cómo participan los promotores? ¿Están completando courses, evaluaciones y participando en tournaments?
- Competencias: ¿cuáles son los puntos fuertes? ¿Qué aspectos necesita mejorar?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec le devuelve menos trabajo?
- Productividad: ¿cuánto tiempo se tarda en solucionar un problema? ¿Ha notado un aumento de la productividad o la velocidad con la reducción de la vulnerabilidad?
Crear valor desplazándose a la izquierda
Las infracciones y vulnerabilidades aumentan rápidamente cada año. Es importante empezar a construir de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: las personas, en lugar de gastar dinero en herramientas que sólo resuelven una parte del problema.
- Mejorar la eficiencia y la eficacia general limitando la repetición de tareas o las correcciones que normalmente identificaría AppSec una vez desplegado el código.
- Mitigar el riesgo y cumplir la normativa, evitando costosas multas, la pérdida de confianza de los clientes o, peor aún, el coste de una filtración de datos.
Evite el cortoplacismo y las soluciones rápidas. Sólo pueden generar deuda técnica y más costes en el futuro. Planifica a largo plazo aprovechando el poder de la mejora de las competencias y capacitando a tus desarrolladores para que sean tu mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y comprueba por ti mismo el impacto y el ahorro de costes.
Índice
Secure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
