La puntuación de confianza pone de manifiesto el valor de la iniciativa de mejora de las habilidades de seguridad por diseño.
Una forma segura de mejorar la postura de seguridad de su organización es a través de la capacitación de los desarrolladores en las mejores prácticas de codificación segura, proporcionadas en un marco que incluya líneas de base y puntos de referencia diseñados para dar a los desarrolladores las vías de aprendizaje específicas que necesitan. La codificación segura, sin embargo, no es una solución de una sola vez: debe convertirse en una forma de vida, codificada en el ADN de una organización. Los desarrolladores no sólo tienen que cambiar a la izquierda, o empezar por la izquierda, sino que tienen que permanecer en ella.
No basta con impartir formación. Las organizaciones necesitan confirmar que los desarrolladores han asimilado completamente su formación y siguen las mejores prácticas al principio del ciclo de vida de desarrollo de software (SDLC) como parte de sus rutinas diarias. Es necesario realizar un seguimiento del rendimiento de los desarrolladores y medir su progreso tanto con respecto a los estándares internos como a los puntos de referencia del sector, midiendo de forma eficaz el ROI de la inversión en formación.
Secure Code Warrior's Trust Score proporciona visibilidad sobre el rendimiento de los desarrolladores individuales y agrega los datos para proporcionar una assessment del rendimiento general de su organización. Muestra la eficacia de los programas de mejora de las competencias e identifica las áreas que necesitan mejoras. Y, ayuda a garantizar el cumplimiento de la gama de requisitos de cumplimiento normativo, ya provengan del Reglamento General de Protección de Datos(GDPR), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago(PCI DSS), la Ley de Privacidad del Consumidor de California(CCPA) u otros.
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
La formación mejora la seguridad, si los desarrolladores la reciben
Durante años, el uso de las mejores prácticas de seguridad al inicio del SDLC parecía ser una aspiración en la industria del software, algo a lo que se podía aspirar algún día, pero que no era una prioridad en la actualidad. Pero la velocidad cada vez mayor del desarrollo de software, junto con el ritmo acelerado de las ciberamenazas sofisticadas y destructivas -a menudo basadas en vulnerabilidades de software- han hecho que la codificación segura sea esencial. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras(CISA) pone el código seguro en primer plano con su iniciativa Secure-by-Design, que se está convirtiendo en un movimiento internacional.
Nuestra investigación ha demostrado que la correlación entre un enfoque de seguridad por diseño y una reducción de las vulnerabilidades del software es clara. Analizamos los datos de reducción de vulnerabilidades del 26% de la base de clientes de SCW y descubrimos que la formación de desarrolladores se traducía en reducciones de vulnerabilidades de software que oscilaban entre el 22% y el 84%. Ese rango era el resultado de variables como el tamaño de las empresas implicadas (las empresas más pequeñas con relativamente pocos desarrolladores producían un rango más dramático de resultados), y si un grupo de aprendizaje se centraba en un problema específico, en cuyo caso eliminaban un mayor porcentaje de fallos.
Los resultados de las grandes empresas fueron bastante coherentes. Las empresas con 7.000 desarrolladores o más pueden esperar que las vulnerabilidades se reduzcan entre un 47% y un 53% como resultado de la mejora de las competencias de los desarrolladores en materia de seguridad. Por ejemplo, una empresa estadísticamente media con más de 10.000 desarrolladores -que no es una de las de mayor rendimiento en la plataforma ni una de las de mayor referencia- obtuvo una reducción del 53% en vulnerabilidades.
Por supuesto, la formación más eficaz no adopta un enfoque amplio y único. Debe adaptarse a los entornos de trabajo de los desarrolladores y a los tipos de desarrollo que realizan.
Las empresas deben empezar por establecer los conocimientos básicos que deben tener los desarrolladores para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de perfeccionamiento deben consistir en una formación práctica y ágil en escenarios reales que se ajusten al tipo de trabajo que realizan y a los lenguajes que utilizan. Y deben ser lo suficientemente flexibles para que las sesiones de formación se adapten a sus horarios de trabajo.
Para los desarrolladores, el conjunto de habilidades implica algo más que escribir código. Tienen que ser capaces de comprobar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han hecho un uso ávido de los modelos generativos de IA y, en general, han alabado sus ventajas a la hora de ayudarles a crear más código con mayor rapidez. Sin embargo, aunque el 76% de los participantes en una encuesta de Snyk afirmaron que el código generado por IA era más seguro que el producido por humanos, el 56,4% seguía afirmando que la IA introduce errores a veces o con frecuencia. Y la misma encuesta reveló que el 80% de los desarrolladores omiten la aplicación de políticas de seguridad del código de IA, lo que sugiere que no se están abordando los problemas del código de IA.
En un enfoque de seguridad por diseño, los desarrolladores -trabajando con los equipos de seguridad, en lugar de por separado- abordarán estos problemas en una fase temprana del SDLC, identificando y corrigiendo los fallos antes de que el código pase a producción.
La puntuación de confianza mide el rendimiento individual y empresarial
También es fundamental que la formación sea continua. Las empresas deben adoptar una cultura que dé prioridad a la seguridad y que se aplique en todas partes, desde los niveles más altos de la empresa hasta los más bajos. Debe centrarse en la mejora continua y en la aplicación de las mejores prácticas de seguridad en todo el SDLC. La tecnología y los ciberdelincuentes no dejan de evolucionar; la ciberseguridad tampoco debería hacerlo. Para las organizaciones que producen software, los desarrolladores formados en seguridad son la base.
Por eso, demostrar que la formación se ha asentado de forma efectiva es tan importante como la propia formación. Trust Score no sólo ofrece visibilidad del rendimiento de los desarrolladores individualmente y de la organización en general, sino que permite a las organizaciones desglosar los datos de rendimiento para centrarse en lenguajes específicos, equipos de desarrolladores o categorías de software. Los datos de los resultados de rendimiento individuales y agregados también ayudan a identificar las áreas en las que es necesario mejorar la formación, por ejemplo, si no está teniendo el efecto deseado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las organizaciones evaluar el rendimiento de los desarrolladores y confirmar si han adquirido -y están utilizando- los conocimientos de seguridad necesarios, garantizando que se han ganado su licencia para codificar. Permite a las organizaciones conceder con confianza a los desarrolladores cualificados acceso a sus datos más confidenciales y proyectos de software críticos, mientras que deniega ese acceso a aquellos que aún no están preparados.
Prueba del cambio de la cultura de seguridad
La ciberseguridad ya no es sólo una cuestión de seguridad. Es una cuestión empresarial, que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Una violación grave afecta a las operaciones de una organización, a su reputación y, potencialmente, a su viabilidad. La importancia de la ciberseguridad no ha pasado desapercibida para los organismos reguladores, que han ido aplicando normativas cada vez más estrictas y se han mostrado dispuestos a perseguir a los CISO y, potencialmente, a otros miembros de la alta dirección, incluso hasta el punto de presentar cargos penales, como en los casos de Uber y SolarWinds.
Adoptar una cultura de seguridad en toda la empresa es esencial en el entorno actual. Y dado que gran parte del valor de una empresa reside en sus datos, aplicaciones y servicios, la codificación segura es un elemento esencial de esa cultura. La formación y el perfeccionamiento específicos como parte de una mentalidad cultural, junto con pruebas de que la formación ha ayudado a cambiar la cultura, pueden encaminar a las organizaciones hacia el fortalecimiento de sus posturas de seguridad.
Los programas de seguridad impulsados por los desarrolladores tienen valor. La prueba está en la puntuación de confianza.
Según nuestra investigación, la formación en código seguro ha demostrado ser eficaz. Trust Score utiliza un algoritmo basado en más de 20 millones de datos de aprendizaje de más de 250 000 alumnos de más de 600 organizaciones, lo que ha permitido demostrar su eficacia a la hora de reducir las vulnerabilidades y determinar cómo hacer que esta iniciativa sea aún más eficaz.
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa, Sensei Security. A lo largo de su carrera, Matías ha liderado varios proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y ha obtenido más de 10 patentes.Cuando no está frente a su escritorio, Matías imparte cursos avanzados de formación en seguridad de aplicaciones y participa regularmente como ponente en conferencias internacionales como RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías obtuvo un doctorado en Ingeniería Informática en la Universidad de Gante, donde aprendió sobre la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar su funcionamiento interno.
Una forma segura de mejorar la postura de seguridad de su organización es a través de la capacitación de los desarrolladores en las mejores prácticas de codificación segura, proporcionadas en un marco que incluya líneas de base y puntos de referencia diseñados para dar a los desarrolladores las vías de aprendizaje específicas que necesitan. La codificación segura, sin embargo, no es una solución de una sola vez: debe convertirse en una forma de vida, codificada en el ADN de una organización. Los desarrolladores no sólo tienen que cambiar a la izquierda, o empezar por la izquierda, sino que tienen que permanecer en ella.
No basta con impartir formación. Las organizaciones necesitan confirmar que los desarrolladores han asimilado completamente su formación y siguen las mejores prácticas al principio del ciclo de vida de desarrollo de software (SDLC) como parte de sus rutinas diarias. Es necesario realizar un seguimiento del rendimiento de los desarrolladores y medir su progreso tanto con respecto a los estándares internos como a los puntos de referencia del sector, midiendo de forma eficaz el ROI de la inversión en formación.
Secure Code Warrior's Trust Score proporciona visibilidad sobre el rendimiento de los desarrolladores individuales y agrega los datos para proporcionar una assessment del rendimiento general de su organización. Muestra la eficacia de los programas de mejora de las competencias e identifica las áreas que necesitan mejoras. Y, ayuda a garantizar el cumplimiento de la gama de requisitos de cumplimiento normativo, ya provengan del Reglamento General de Protección de Datos(GDPR), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago(PCI DSS), la Ley de Privacidad del Consumidor de California(CCPA) u otros.
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
La formación mejora la seguridad, si los desarrolladores la reciben
Durante años, el uso de las mejores prácticas de seguridad al inicio del SDLC parecía ser una aspiración en la industria del software, algo a lo que se podía aspirar algún día, pero que no era una prioridad en la actualidad. Pero la velocidad cada vez mayor del desarrollo de software, junto con el ritmo acelerado de las ciberamenazas sofisticadas y destructivas -a menudo basadas en vulnerabilidades de software- han hecho que la codificación segura sea esencial. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras(CISA) pone el código seguro en primer plano con su iniciativa Secure-by-Design, que se está convirtiendo en un movimiento internacional.
Nuestra investigación ha demostrado que la correlación entre un enfoque de seguridad por diseño y una reducción de las vulnerabilidades del software es clara. Analizamos los datos de reducción de vulnerabilidades del 26% de la base de clientes de SCW y descubrimos que la formación de desarrolladores se traducía en reducciones de vulnerabilidades de software que oscilaban entre el 22% y el 84%. Ese rango era el resultado de variables como el tamaño de las empresas implicadas (las empresas más pequeñas con relativamente pocos desarrolladores producían un rango más dramático de resultados), y si un grupo de aprendizaje se centraba en un problema específico, en cuyo caso eliminaban un mayor porcentaje de fallos.
Los resultados de las grandes empresas fueron bastante coherentes. Las empresas con 7.000 desarrolladores o más pueden esperar que las vulnerabilidades se reduzcan entre un 47% y un 53% como resultado de la mejora de las competencias de los desarrolladores en materia de seguridad. Por ejemplo, una empresa estadísticamente media con más de 10.000 desarrolladores -que no es una de las de mayor rendimiento en la plataforma ni una de las de mayor referencia- obtuvo una reducción del 53% en vulnerabilidades.
Por supuesto, la formación más eficaz no adopta un enfoque amplio y único. Debe adaptarse a los entornos de trabajo de los desarrolladores y a los tipos de desarrollo que realizan.
Las empresas deben empezar por establecer los conocimientos básicos que deben tener los desarrolladores para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de perfeccionamiento deben consistir en una formación práctica y ágil en escenarios reales que se ajusten al tipo de trabajo que realizan y a los lenguajes que utilizan. Y deben ser lo suficientemente flexibles para que las sesiones de formación se adapten a sus horarios de trabajo.
Para los desarrolladores, el conjunto de habilidades implica algo más que escribir código. Tienen que ser capaces de comprobar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han hecho un uso ávido de los modelos generativos de IA y, en general, han alabado sus ventajas a la hora de ayudarles a crear más código con mayor rapidez. Sin embargo, aunque el 76% de los participantes en una encuesta de Snyk afirmaron que el código generado por IA era más seguro que el producido por humanos, el 56,4% seguía afirmando que la IA introduce errores a veces o con frecuencia. Y la misma encuesta reveló que el 80% de los desarrolladores omiten la aplicación de políticas de seguridad del código de IA, lo que sugiere que no se están abordando los problemas del código de IA.
En un enfoque de seguridad por diseño, los desarrolladores -trabajando con los equipos de seguridad, en lugar de por separado- abordarán estos problemas en una fase temprana del SDLC, identificando y corrigiendo los fallos antes de que el código pase a producción.
La puntuación de confianza mide el rendimiento individual y empresarial
También es fundamental que la formación sea continua. Las empresas deben adoptar una cultura que dé prioridad a la seguridad y que se aplique en todas partes, desde los niveles más altos de la empresa hasta los más bajos. Debe centrarse en la mejora continua y en la aplicación de las mejores prácticas de seguridad en todo el SDLC. La tecnología y los ciberdelincuentes no dejan de evolucionar; la ciberseguridad tampoco debería hacerlo. Para las organizaciones que producen software, los desarrolladores formados en seguridad son la base.
Por eso, demostrar que la formación se ha asentado de forma efectiva es tan importante como la propia formación. Trust Score no sólo ofrece visibilidad del rendimiento de los desarrolladores individualmente y de la organización en general, sino que permite a las organizaciones desglosar los datos de rendimiento para centrarse en lenguajes específicos, equipos de desarrolladores o categorías de software. Los datos de los resultados de rendimiento individuales y agregados también ayudan a identificar las áreas en las que es necesario mejorar la formación, por ejemplo, si no está teniendo el efecto deseado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las organizaciones evaluar el rendimiento de los desarrolladores y confirmar si han adquirido -y están utilizando- los conocimientos de seguridad necesarios, garantizando que se han ganado su licencia para codificar. Permite a las organizaciones conceder con confianza a los desarrolladores cualificados acceso a sus datos más confidenciales y proyectos de software críticos, mientras que deniega ese acceso a aquellos que aún no están preparados.
Prueba del cambio de la cultura de seguridad
La ciberseguridad ya no es sólo una cuestión de seguridad. Es una cuestión empresarial, que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Una violación grave afecta a las operaciones de una organización, a su reputación y, potencialmente, a su viabilidad. La importancia de la ciberseguridad no ha pasado desapercibida para los organismos reguladores, que han ido aplicando normativas cada vez más estrictas y se han mostrado dispuestos a perseguir a los CISO y, potencialmente, a otros miembros de la alta dirección, incluso hasta el punto de presentar cargos penales, como en los casos de Uber y SolarWinds.
Adoptar una cultura de seguridad en toda la empresa es esencial en el entorno actual. Y dado que gran parte del valor de una empresa reside en sus datos, aplicaciones y servicios, la codificación segura es un elemento esencial de esa cultura. La formación y el perfeccionamiento específicos como parte de una mentalidad cultural, junto con pruebas de que la formación ha ayudado a cambiar la cultura, pueden encaminar a las organizaciones hacia el fortalecimiento de sus posturas de seguridad.
Los programas de seguridad impulsados por los desarrolladores tienen valor. La prueba está en la puntuación de confianza.
Una forma segura de mejorar la postura de seguridad de su organización es a través de la capacitación de los desarrolladores en las mejores prácticas de codificación segura, proporcionadas en un marco que incluya líneas de base y puntos de referencia diseñados para dar a los desarrolladores las vías de aprendizaje específicas que necesitan. La codificación segura, sin embargo, no es una solución de una sola vez: debe convertirse en una forma de vida, codificada en el ADN de una organización. Los desarrolladores no sólo tienen que cambiar a la izquierda, o empezar por la izquierda, sino que tienen que permanecer en ella.
No basta con impartir formación. Las organizaciones necesitan confirmar que los desarrolladores han asimilado completamente su formación y siguen las mejores prácticas al principio del ciclo de vida de desarrollo de software (SDLC) como parte de sus rutinas diarias. Es necesario realizar un seguimiento del rendimiento de los desarrolladores y medir su progreso tanto con respecto a los estándares internos como a los puntos de referencia del sector, midiendo de forma eficaz el ROI de la inversión en formación.
Secure Code Warrior's Trust Score proporciona visibilidad sobre el rendimiento de los desarrolladores individuales y agrega los datos para proporcionar una assessment del rendimiento general de su organización. Muestra la eficacia de los programas de mejora de las competencias e identifica las áreas que necesitan mejoras. Y, ayuda a garantizar el cumplimiento de la gama de requisitos de cumplimiento normativo, ya provengan del Reglamento General de Protección de Datos(GDPR), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago(PCI DSS), la Ley de Privacidad del Consumidor de California(CCPA) u otros.
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
La formación mejora la seguridad, si los desarrolladores la reciben
Durante años, el uso de las mejores prácticas de seguridad al inicio del SDLC parecía ser una aspiración en la industria del software, algo a lo que se podía aspirar algún día, pero que no era una prioridad en la actualidad. Pero la velocidad cada vez mayor del desarrollo de software, junto con el ritmo acelerado de las ciberamenazas sofisticadas y destructivas -a menudo basadas en vulnerabilidades de software- han hecho que la codificación segura sea esencial. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras(CISA) pone el código seguro en primer plano con su iniciativa Secure-by-Design, que se está convirtiendo en un movimiento internacional.
Nuestra investigación ha demostrado que la correlación entre un enfoque de seguridad por diseño y una reducción de las vulnerabilidades del software es clara. Analizamos los datos de reducción de vulnerabilidades del 26% de la base de clientes de SCW y descubrimos que la formación de desarrolladores se traducía en reducciones de vulnerabilidades de software que oscilaban entre el 22% y el 84%. Ese rango era el resultado de variables como el tamaño de las empresas implicadas (las empresas más pequeñas con relativamente pocos desarrolladores producían un rango más dramático de resultados), y si un grupo de aprendizaje se centraba en un problema específico, en cuyo caso eliminaban un mayor porcentaje de fallos.
Los resultados de las grandes empresas fueron bastante coherentes. Las empresas con 7.000 desarrolladores o más pueden esperar que las vulnerabilidades se reduzcan entre un 47% y un 53% como resultado de la mejora de las competencias de los desarrolladores en materia de seguridad. Por ejemplo, una empresa estadísticamente media con más de 10.000 desarrolladores -que no es una de las de mayor rendimiento en la plataforma ni una de las de mayor referencia- obtuvo una reducción del 53% en vulnerabilidades.
Por supuesto, la formación más eficaz no adopta un enfoque amplio y único. Debe adaptarse a los entornos de trabajo de los desarrolladores y a los tipos de desarrollo que realizan.
Las empresas deben empezar por establecer los conocimientos básicos que deben tener los desarrolladores para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de perfeccionamiento deben consistir en una formación práctica y ágil en escenarios reales que se ajusten al tipo de trabajo que realizan y a los lenguajes que utilizan. Y deben ser lo suficientemente flexibles para que las sesiones de formación se adapten a sus horarios de trabajo.
Para los desarrolladores, el conjunto de habilidades implica algo más que escribir código. Tienen que ser capaces de comprobar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han hecho un uso ávido de los modelos generativos de IA y, en general, han alabado sus ventajas a la hora de ayudarles a crear más código con mayor rapidez. Sin embargo, aunque el 76% de los participantes en una encuesta de Snyk afirmaron que el código generado por IA era más seguro que el producido por humanos, el 56,4% seguía afirmando que la IA introduce errores a veces o con frecuencia. Y la misma encuesta reveló que el 80% de los desarrolladores omiten la aplicación de políticas de seguridad del código de IA, lo que sugiere que no se están abordando los problemas del código de IA.
En un enfoque de seguridad por diseño, los desarrolladores -trabajando con los equipos de seguridad, en lugar de por separado- abordarán estos problemas en una fase temprana del SDLC, identificando y corrigiendo los fallos antes de que el código pase a producción.
La puntuación de confianza mide el rendimiento individual y empresarial
También es fundamental que la formación sea continua. Las empresas deben adoptar una cultura que dé prioridad a la seguridad y que se aplique en todas partes, desde los niveles más altos de la empresa hasta los más bajos. Debe centrarse en la mejora continua y en la aplicación de las mejores prácticas de seguridad en todo el SDLC. La tecnología y los ciberdelincuentes no dejan de evolucionar; la ciberseguridad tampoco debería hacerlo. Para las organizaciones que producen software, los desarrolladores formados en seguridad son la base.
Por eso, demostrar que la formación se ha asentado de forma efectiva es tan importante como la propia formación. Trust Score no sólo ofrece visibilidad del rendimiento de los desarrolladores individualmente y de la organización en general, sino que permite a las organizaciones desglosar los datos de rendimiento para centrarse en lenguajes específicos, equipos de desarrolladores o categorías de software. Los datos de los resultados de rendimiento individuales y agregados también ayudan a identificar las áreas en las que es necesario mejorar la formación, por ejemplo, si no está teniendo el efecto deseado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las organizaciones evaluar el rendimiento de los desarrolladores y confirmar si han adquirido -y están utilizando- los conocimientos de seguridad necesarios, garantizando que se han ganado su licencia para codificar. Permite a las organizaciones conceder con confianza a los desarrolladores cualificados acceso a sus datos más confidenciales y proyectos de software críticos, mientras que deniega ese acceso a aquellos que aún no están preparados.
Prueba del cambio de la cultura de seguridad
La ciberseguridad ya no es sólo una cuestión de seguridad. Es una cuestión empresarial, que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Una violación grave afecta a las operaciones de una organización, a su reputación y, potencialmente, a su viabilidad. La importancia de la ciberseguridad no ha pasado desapercibida para los organismos reguladores, que han ido aplicando normativas cada vez más estrictas y se han mostrado dispuestos a perseguir a los CISO y, potencialmente, a otros miembros de la alta dirección, incluso hasta el punto de presentar cargos penales, como en los casos de Uber y SolarWinds.
Adoptar una cultura de seguridad en toda la empresa es esencial en el entorno actual. Y dado que gran parte del valor de una empresa reside en sus datos, aplicaciones y servicios, la codificación segura es un elemento esencial de esa cultura. La formación y el perfeccionamiento específicos como parte de una mentalidad cultural, junto con pruebas de que la formación ha ayudado a cambiar la cultura, pueden encaminar a las organizaciones hacia el fortalecimiento de sus posturas de seguridad.
Los programas de seguridad impulsados por los desarrolladores tienen valor. La prueba está en la puntuación de confianza.
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa, Sensei Security. A lo largo de su carrera, Matías ha liderado varios proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y ha obtenido más de 10 patentes.Cuando no está frente a su escritorio, Matías imparte cursos avanzados de formación en seguridad de aplicaciones y participa regularmente como ponente en conferencias internacionales como RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías obtuvo un doctorado en Ingeniería Informática en la Universidad de Gante, donde aprendió sobre la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar su funcionamiento interno.
Una forma segura de mejorar la postura de seguridad de su organización es a través de la capacitación de los desarrolladores en las mejores prácticas de codificación segura, proporcionadas en un marco que incluya líneas de base y puntos de referencia diseñados para dar a los desarrolladores las vías de aprendizaje específicas que necesitan. La codificación segura, sin embargo, no es una solución de una sola vez: debe convertirse en una forma de vida, codificada en el ADN de una organización. Los desarrolladores no sólo tienen que cambiar a la izquierda, o empezar por la izquierda, sino que tienen que permanecer en ella.
No basta con impartir formación. Las organizaciones necesitan confirmar que los desarrolladores han asimilado completamente su formación y siguen las mejores prácticas al principio del ciclo de vida de desarrollo de software (SDLC) como parte de sus rutinas diarias. Es necesario realizar un seguimiento del rendimiento de los desarrolladores y medir su progreso tanto con respecto a los estándares internos como a los puntos de referencia del sector, midiendo de forma eficaz el ROI de la inversión en formación.
Secure Code Warrior's Trust Score proporciona visibilidad sobre el rendimiento de los desarrolladores individuales y agrega los datos para proporcionar una assessment del rendimiento general de su organización. Muestra la eficacia de los programas de mejora de las competencias e identifica las áreas que necesitan mejoras. Y, ayuda a garantizar el cumplimiento de la gama de requisitos de cumplimiento normativo, ya provengan del Reglamento General de Protección de Datos(GDPR), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago(PCI DSS), la Ley de Privacidad del Consumidor de California(CCPA) u otros.
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
La formación mejora la seguridad, si los desarrolladores la reciben
Durante años, el uso de las mejores prácticas de seguridad al inicio del SDLC parecía ser una aspiración en la industria del software, algo a lo que se podía aspirar algún día, pero que no era una prioridad en la actualidad. Pero la velocidad cada vez mayor del desarrollo de software, junto con el ritmo acelerado de las ciberamenazas sofisticadas y destructivas -a menudo basadas en vulnerabilidades de software- han hecho que la codificación segura sea esencial. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras(CISA) pone el código seguro en primer plano con su iniciativa Secure-by-Design, que se está convirtiendo en un movimiento internacional.
Nuestra investigación ha demostrado que la correlación entre un enfoque de seguridad por diseño y una reducción de las vulnerabilidades del software es clara. Analizamos los datos de reducción de vulnerabilidades del 26% de la base de clientes de SCW y descubrimos que la formación de desarrolladores se traducía en reducciones de vulnerabilidades de software que oscilaban entre el 22% y el 84%. Ese rango era el resultado de variables como el tamaño de las empresas implicadas (las empresas más pequeñas con relativamente pocos desarrolladores producían un rango más dramático de resultados), y si un grupo de aprendizaje se centraba en un problema específico, en cuyo caso eliminaban un mayor porcentaje de fallos.
Los resultados de las grandes empresas fueron bastante coherentes. Las empresas con 7.000 desarrolladores o más pueden esperar que las vulnerabilidades se reduzcan entre un 47% y un 53% como resultado de la mejora de las competencias de los desarrolladores en materia de seguridad. Por ejemplo, una empresa estadísticamente media con más de 10.000 desarrolladores -que no es una de las de mayor rendimiento en la plataforma ni una de las de mayor referencia- obtuvo una reducción del 53% en vulnerabilidades.
Por supuesto, la formación más eficaz no adopta un enfoque amplio y único. Debe adaptarse a los entornos de trabajo de los desarrolladores y a los tipos de desarrollo que realizan.
Las empresas deben empezar por establecer los conocimientos básicos que deben tener los desarrolladores para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de perfeccionamiento deben consistir en una formación práctica y ágil en escenarios reales que se ajusten al tipo de trabajo que realizan y a los lenguajes que utilizan. Y deben ser lo suficientemente flexibles para que las sesiones de formación se adapten a sus horarios de trabajo.
Para los desarrolladores, el conjunto de habilidades implica algo más que escribir código. Tienen que ser capaces de comprobar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han hecho un uso ávido de los modelos generativos de IA y, en general, han alabado sus ventajas a la hora de ayudarles a crear más código con mayor rapidez. Sin embargo, aunque el 76% de los participantes en una encuesta de Snyk afirmaron que el código generado por IA era más seguro que el producido por humanos, el 56,4% seguía afirmando que la IA introduce errores a veces o con frecuencia. Y la misma encuesta reveló que el 80% de los desarrolladores omiten la aplicación de políticas de seguridad del código de IA, lo que sugiere que no se están abordando los problemas del código de IA.
En un enfoque de seguridad por diseño, los desarrolladores -trabajando con los equipos de seguridad, en lugar de por separado- abordarán estos problemas en una fase temprana del SDLC, identificando y corrigiendo los fallos antes de que el código pase a producción.
La puntuación de confianza mide el rendimiento individual y empresarial
También es fundamental que la formación sea continua. Las empresas deben adoptar una cultura que dé prioridad a la seguridad y que se aplique en todas partes, desde los niveles más altos de la empresa hasta los más bajos. Debe centrarse en la mejora continua y en la aplicación de las mejores prácticas de seguridad en todo el SDLC. La tecnología y los ciberdelincuentes no dejan de evolucionar; la ciberseguridad tampoco debería hacerlo. Para las organizaciones que producen software, los desarrolladores formados en seguridad son la base.
Por eso, demostrar que la formación se ha asentado de forma efectiva es tan importante como la propia formación. Trust Score no sólo ofrece visibilidad del rendimiento de los desarrolladores individualmente y de la organización en general, sino que permite a las organizaciones desglosar los datos de rendimiento para centrarse en lenguajes específicos, equipos de desarrolladores o categorías de software. Los datos de los resultados de rendimiento individuales y agregados también ayudan a identificar las áreas en las que es necesario mejorar la formación, por ejemplo, si no está teniendo el efecto deseado en el rendimiento diario de los desarrolladores.
Trust Score ha permitido a las organizaciones evaluar el rendimiento de los desarrolladores y confirmar si han adquirido -y están utilizando- los conocimientos de seguridad necesarios, garantizando que se han ganado su licencia para codificar. Permite a las organizaciones conceder con confianza a los desarrolladores cualificados acceso a sus datos más confidenciales y proyectos de software críticos, mientras que deniega ese acceso a aquellos que aún no están preparados.
Prueba del cambio de la cultura de seguridad
La ciberseguridad ya no es sólo una cuestión de seguridad. Es una cuestión empresarial, que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Una violación grave afecta a las operaciones de una organización, a su reputación y, potencialmente, a su viabilidad. La importancia de la ciberseguridad no ha pasado desapercibida para los organismos reguladores, que han ido aplicando normativas cada vez más estrictas y se han mostrado dispuestos a perseguir a los CISO y, potencialmente, a otros miembros de la alta dirección, incluso hasta el punto de presentar cargos penales, como en los casos de Uber y SolarWinds.
Adoptar una cultura de seguridad en toda la empresa es esencial en el entorno actual. Y dado que gran parte del valor de una empresa reside en sus datos, aplicaciones y servicios, la codificación segura es un elemento esencial de esa cultura. La formación y el perfeccionamiento específicos como parte de una mentalidad cultural, junto con pruebas de que la formación ha ayudado a cambiar la cultura, pueden encaminar a las organizaciones hacia el fortalecimiento de sus posturas de seguridad.
Los programas de seguridad impulsados por los desarrolladores tienen valor. La prueba está en la puntuación de confianza.
Índice
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
