Iconos SCW
héroe bg sin separador
Blog

¿Quiere que los desarrolladores programen con conciencia de seguridad? Ofrezca formación a sus desarrolladores.

Dr. Matthias Madu
Publicado el 15 de julio de 2020
Última actualización el 10 de marzo de 2026

El ciclo de vida del desarrollo de software (SDLC) parece bastante inofensivo. Es un proceso en el que todos los que trabajamos en el sector del software nos reunimos para hacer magia y lanzar al mercado todos los productos digitales sin los que la sociedad no podría vivir.

Sin embargo... Si alguna vez ha participado en un proyecto de desarrollo de software, sabrá que normalmente se trata de una serie de retos que hay que superar y dragones que hay que matar. Es divertido durante un tiempo, pero el síndrome de agotamiento es real y, debido a la demanda de software, todos nosotros, especialmente el equipo de desarrollo, trabajamos a toda velocidad en el momento más oportuno.

Ahora, imagínese que se les asigna otra tarea más: la responsabilidad de la seguridad en los elementos del proyecto en los que participan. En el peor de los casos, esto podría suponer el colapso del castillo de naipes para algunas personas, pero el escenario más realista es que simplemente no se establezcan prioridades y se dé prioridad a los problemas que se consideran más urgentes y que están a punto de sobrepasar los límites. Además, si la mayoría de los desarrolladores no han recibido formación en codificación segura (especialmente si los directivos no dan prioridad a la seguridad),no es de extrañar que se produzcan frecuentes fugas de datos, se lancen aplicaciones defectuosas y se produzca una avalancha de código con errores entre los expertos en seguridad.

Los desarrolladores necesitan el apoyo de AppSec.

Si incorporamos el escenario anterior, se entiende por qué la seguridad se incluye en la categoría de «demasiado difícil» durante el proceso de codificación y se deja en manos del equipo de seguridad para que la resuelva. Hay demasiados plazos que cumplir, la formación es insuficiente y, con tantas otras cosas que hacer, no hay motivos reales para preocuparse por la seguridad.Sin embargo, para mantener esta situación, la demanda de código es demasiado alta. Ahí es donde los desarrolladores de élite destacan sobre los demás, aprenden nuevas habilidades y, lo más importante, pueden crear código más seguro.

Sin embargo, es importante recordar que la gestión de la seguridad del software no es responsabilidad exclusiva de los desarrolladores. Sigue siendo competencia del equipo de AppSec (si se colabora con desarrolladores conscientes de la seguridad, se puede trabajar con más tranquilidad, en lugar de tener que corregir repetidamente los errores más comunes). Proceso DevSecOps funcional Todos los miembros del equipo deben exigir el apoyo y las herramientas necesarias para compartir la responsabilidad de la seguridad, y la formación adecuada es una prioridad absoluta. Para lograr el equilibrio adecuado entre el conjunto de herramientas y la formación, es necesario contar con la visión de un profesional de la seguridad de las aplicaciones que trabaje en estrecha colaboración con los desarrolladores, los motive y promueva un cambio positivo.

El entrenamiento disruptivo es más molesto que eficaz, y nada de lo que resulta desagradable para los desarrolladores funciona bien. Una opción es una solución que integre un IDE o un gestor de incidencias centrado en conocimientos concisos, que proporcione a los desarrolladores la información adecuada en el momento necesario.

El funcionamiento real es el siguiente.

No por precaución, sino justo a tiempo.

Aprendizaje práctico adaptado a cada situación Es, sin duda, el método de formación más eficaz, ya que permite impartir pequeños fragmentos de información en el momento más adecuado. También se conoce como formación «justo a tiempo» (JIt) y resulta muy útil para los desarrolladores que desean aprender a programar de forma segura.

El origen se remonta a los principios de fabricación ajustada de Toyota. La formación JiT está diseñada para que los participantes puedan asistir cuando sea más importante y necesario, según las circunstancias.¿Alguna vez ha escrito algo que pudiera dar a entender que los desarrolladores tienen permisos inadecuados? ¿Qué pasaría si se abriera una pequeña puerta trasera que permitiera a los atacantes ejecutar código de forma remota? En lugar de que los desarrolladores tengan que seguir los documentos de Confluence o buscar en Google lo que han aprendido en la formación, sería mucho más memorable si pudieran acceder al conocimiento cuando lo necesitaran.

Just-in-time es todo lo contrario al aprendizaje «por si acaso». Aunque este último es el método más habitual para transmitir conocimientos, no es precisamente el más eficaz. Es necesario facilitar a los desarrolladores el seguimiento de las mejores prácticas de codificación segura y ayudarles a comprender las ventajas de mejorar sus habilidades profesionales, de modo que puedan centrarse en los objetivos principales en los que están trabajando actualmente.

No obliguemos a los desarrolladores a seguir cursos de formación.

Ya sabemos que hay demasiadas cosas que hacer en un día de trabajo. Entonces, ¿es necesario que los desarrolladores se apresuren a ir al aula o cambien de contexto para seguir los cinco pasos de una formación estática basada en la teoría?

El consenso general es que, independientemente del número de vulnerabilidades que causan las violaciones de datos, la mayoría de las organizaciones no están tomando medidas muy eficaces. El informe de Verizon sobre fugas de datos de 2020 afirma lo siguiente: El 43 % de las fugas de datos pueden deberse a vulnerabilidades web. Los desarrolladores no reciben una formación eficaz. Ni en la educación superior ni en las medidas de mejora de las habilidades en el lugar de trabajo. Si fuera así, se trataría de vulnerabilidades comunes, como la inyección SQL o las vulnerabilidades tradicionales . No se aprovechan para obtener grandes ingresos por datos, ni la falta de habilidades en ciberseguridad se vuelve incontrolable.

Entonces, ¿por qué nos sorprenden los malos resultados, sabiendo que los desarrolladores reciben formación y están familiarizados con la seguridad en el entorno actual? Lograr una experiencia de formación más fluida, integrada y menos molesta, accesible desde el espacio de trabajo real, como Jira, GitHub o IDE, podría tener un efecto positivo tanto para los desarrolladores como para las organizaciones.El sector ya no se encuentra en una situación privilegiada, por lo que solo tiene que avanzar y facilitar en gran medida la concienciación sobre la seguridad.

¿Está preparado para proteger su flujo de trabajo de desarrollo?

Los desarrolladores con un alto nivel de concienciación sobre la seguridad son muy valorados por sus habilidades y por la protección que pueden ofrecer a las organizaciones desde la fase de construcción del código. La seguridad ya no es una opción. Especialmente debido a las multas del RGPD, las normas de cumplimiento PCI-DSS, la gobernanza del NIST... y la posibilidad de ser demandado en juicios colectivos multimillonarios (como el de Equifax), la seguridad ya no es una opción.

El enfoque integrado puede ser una oportunidad para atraer a desarrolladores con un aprendizaje menos confuso, crear un camino hacia cursos más detallados, formar a campeones de la seguridad y fomentar el reparto de responsabilidades necesarias para mantener los datos del mundo seguros y sanos.

Descargar herramientas integradas Jira y GitHub Ahora, cuéntanos tu opinión.

Ver recursos
Ver recursos

Ya sabemos que hay demasiadas cosas que hacer en un día de trabajo. Entonces, ¿es necesario que los desarrolladores se apresuren a ir al aula o cambien de contexto para seguir los cinco pasos de una formación estática basada en la teoría?

¿Le interesa más?

El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.

Más información

Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.

Reservar una demostración
Compartir:
marcas de LinkedInSocialx logotipo
Autor
Dr. Matthias Madu
Publicado el 15 de julio de 2020

El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.

Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa, Sensei Security. A lo largo de su carrera, Matías ha liderado varios proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y ha obtenido más de 10 patentes.Cuando no está frente a su escritorio, Matías imparte cursos avanzados de formación en seguridad de aplicaciones y participa regularmente como ponente en conferencias internacionales como RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.

Matías obtuvo un doctorado en Ingeniería Informática en la Universidad de Gante, donde aprendió sobre la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar su funcionamiento interno.

Compartir:
marcas de LinkedInSocialx logotipo

El ciclo de vida del desarrollo de software (SDLC) parece bastante inofensivo. Es un proceso en el que todos los que trabajamos en el sector del software nos reunimos para hacer magia y lanzar al mercado todos los productos digitales sin los que la sociedad no podría vivir.

Sin embargo... Si alguna vez ha participado en un proyecto de desarrollo de software, sabrá que normalmente se trata de una serie de retos que hay que superar y dragones que hay que matar. Es divertido durante un tiempo, pero el síndrome de agotamiento es real y, debido a la demanda de software, todos nosotros, especialmente el equipo de desarrollo, trabajamos a toda velocidad en el momento más oportuno.

Ahora, imagínese que se les asigna otra tarea más: la responsabilidad de la seguridad en los elementos del proyecto en los que participan. En el peor de los casos, esto podría suponer el colapso del castillo de naipes para algunas personas, pero el escenario más realista es que simplemente no se establezcan prioridades y se dé prioridad a los problemas que se consideran más urgentes y que están a punto de sobrepasar los límites. Además, si la mayoría de los desarrolladores no han recibido formación en codificación segura (especialmente si los directivos no dan prioridad a la seguridad),no es de extrañar que se produzcan frecuentes fugas de datos, se lancen aplicaciones defectuosas y se produzca una avalancha de código con errores entre los expertos en seguridad.

Los desarrolladores necesitan el apoyo de AppSec.

Si incorporamos el escenario anterior, se entiende por qué la seguridad se incluye en la categoría de «demasiado difícil» durante el proceso de codificación y se deja en manos del equipo de seguridad para que la resuelva. Hay demasiados plazos que cumplir, la formación es insuficiente y, con tantas otras cosas que hacer, no hay motivos reales para preocuparse por la seguridad.Sin embargo, para mantener esta situación, la demanda de código es demasiado alta. Ahí es donde los desarrolladores de élite destacan sobre los demás, aprenden nuevas habilidades y, lo más importante, pueden crear código más seguro.

Sin embargo, es importante recordar que la gestión de la seguridad del software no es responsabilidad exclusiva de los desarrolladores. Sigue siendo competencia del equipo de AppSec (si se colabora con desarrolladores conscientes de la seguridad, se puede trabajar con más tranquilidad, en lugar de tener que corregir repetidamente los errores más comunes). Proceso DevSecOps funcional Todos los miembros del equipo deben exigir el apoyo y las herramientas necesarias para compartir la responsabilidad de la seguridad, y la formación adecuada es una prioridad absoluta. Para lograr el equilibrio adecuado entre el conjunto de herramientas y la formación, es necesario contar con la visión de un profesional de la seguridad de las aplicaciones que trabaje en estrecha colaboración con los desarrolladores, los motive y promueva un cambio positivo.

El entrenamiento disruptivo es más molesto que eficaz, y nada de lo que resulta desagradable para los desarrolladores funciona bien. Una opción es una solución que integre un IDE o un gestor de incidencias centrado en conocimientos concisos, que proporcione a los desarrolladores la información adecuada en el momento necesario.

El funcionamiento real es el siguiente.

No por precaución, sino justo a tiempo.

Aprendizaje práctico adaptado a cada situación Es, sin duda, el método de formación más eficaz, ya que permite impartir pequeños fragmentos de información en el momento más adecuado. También se conoce como formación «justo a tiempo» (JIt) y resulta muy útil para los desarrolladores que desean aprender a programar de forma segura.

El origen se remonta a los principios de fabricación ajustada de Toyota. La formación JiT está diseñada para que los participantes puedan asistir cuando sea más importante y necesario, según las circunstancias.¿Alguna vez ha escrito algo que pudiera dar a entender que los desarrolladores tienen permisos inadecuados? ¿Qué pasaría si se abriera una pequeña puerta trasera que permitiera a los atacantes ejecutar código de forma remota? En lugar de que los desarrolladores tengan que seguir los documentos de Confluence o buscar en Google lo que han aprendido en la formación, sería mucho más memorable si pudieran acceder al conocimiento cuando lo necesitaran.

Just-in-time es todo lo contrario al aprendizaje «por si acaso». Aunque este último es el método más habitual para transmitir conocimientos, no es precisamente el más eficaz. Es necesario facilitar a los desarrolladores el seguimiento de las mejores prácticas de codificación segura y ayudarles a comprender las ventajas de mejorar sus habilidades profesionales, de modo que puedan centrarse en los objetivos principales en los que están trabajando actualmente.

No obliguemos a los desarrolladores a seguir cursos de formación.

Ya sabemos que hay demasiadas cosas que hacer en un día de trabajo. Entonces, ¿es necesario que los desarrolladores se apresuren a ir al aula o cambien de contexto para seguir los cinco pasos de una formación estática basada en la teoría?

El consenso general es que, independientemente del número de vulnerabilidades que causan las violaciones de datos, la mayoría de las organizaciones no están tomando medidas muy eficaces. El informe de Verizon sobre fugas de datos de 2020 afirma lo siguiente: El 43 % de las fugas de datos pueden deberse a vulnerabilidades web. Los desarrolladores no reciben una formación eficaz. Ni en la educación superior ni en las medidas de mejora de las habilidades en el lugar de trabajo. Si fuera así, se trataría de vulnerabilidades comunes, como la inyección SQL o las vulnerabilidades tradicionales . No se aprovechan para obtener grandes ingresos por datos, ni la falta de habilidades en ciberseguridad se vuelve incontrolable.

Entonces, ¿por qué nos sorprenden los malos resultados, sabiendo que los desarrolladores reciben formación y están familiarizados con la seguridad en el entorno actual? Lograr una experiencia de formación más fluida, integrada y menos molesta, accesible desde el espacio de trabajo real, como Jira, GitHub o IDE, podría tener un efecto positivo tanto para los desarrolladores como para las organizaciones.El sector ya no se encuentra en una situación privilegiada, por lo que solo tiene que avanzar y facilitar en gran medida la concienciación sobre la seguridad.

¿Está preparado para proteger su flujo de trabajo de desarrollo?

Los desarrolladores con un alto nivel de concienciación sobre la seguridad son muy valorados por sus habilidades y por la protección que pueden ofrecer a las organizaciones desde la fase de construcción del código. La seguridad ya no es una opción. Especialmente debido a las multas del RGPD, las normas de cumplimiento PCI-DSS, la gobernanza del NIST... y la posibilidad de ser demandado en juicios colectivos multimillonarios (como el de Equifax), la seguridad ya no es una opción.

El enfoque integrado puede ser una oportunidad para atraer a desarrolladores con un aprendizaje menos confuso, crear un camino hacia cursos más detallados, formar a campeones de la seguridad y fomentar el reparto de responsabilidades necesarias para mantener los datos del mundo seguros y sanos.

Descargar herramientas integradas Jira y GitHub Ahora, cuéntanos tu opinión.

Ver recursos
Ver recursos

Para descargar el informe, rellene el siguiente formulario.

Solicitamos su permiso para enviarle información sobre nuestros productos y/o temas relacionados con la codificación segura. Tratamos su información personal con el máximo cuidado en todo momento y nunca la vendemos a otras empresas con fines de marketing.

Enviar
Icono de éxito de SCW
Icono de error scw
Para enviar el formulario, habilite las cookies de «Analytics». Una vez completada la configuración, puede volver a deshabilitarlas.

El ciclo de vida del desarrollo de software (SDLC) parece bastante inofensivo. Es un proceso en el que todos los que trabajamos en el sector del software nos reunimos para hacer magia y lanzar al mercado todos los productos digitales sin los que la sociedad no podría vivir.

Sin embargo... Si alguna vez ha participado en un proyecto de desarrollo de software, sabrá que normalmente se trata de una serie de retos que hay que superar y dragones que hay que matar. Es divertido durante un tiempo, pero el síndrome de agotamiento es real y, debido a la demanda de software, todos nosotros, especialmente el equipo de desarrollo, trabajamos a toda velocidad en el momento más oportuno.

Ahora, imagínese que se les asigna otra tarea más: la responsabilidad de la seguridad en los elementos del proyecto en los que participan. En el peor de los casos, esto podría suponer el colapso del castillo de naipes para algunas personas, pero el escenario más realista es que simplemente no se establezcan prioridades y se dé prioridad a los problemas que se consideran más urgentes y que están a punto de sobrepasar los límites. Además, si la mayoría de los desarrolladores no han recibido formación en codificación segura (especialmente si los directivos no dan prioridad a la seguridad),no es de extrañar que se produzcan frecuentes fugas de datos, se lancen aplicaciones defectuosas y se produzca una avalancha de código con errores entre los expertos en seguridad.

Los desarrolladores necesitan el apoyo de AppSec.

Si incorporamos el escenario anterior, se entiende por qué la seguridad se incluye en la categoría de «demasiado difícil» durante el proceso de codificación y se deja en manos del equipo de seguridad para que la resuelva. Hay demasiados plazos que cumplir, la formación es insuficiente y, con tantas otras cosas que hacer, no hay motivos reales para preocuparse por la seguridad.Sin embargo, para mantener esta situación, la demanda de código es demasiado alta. Ahí es donde los desarrolladores de élite destacan sobre los demás, aprenden nuevas habilidades y, lo más importante, pueden crear código más seguro.

Sin embargo, es importante recordar que la gestión de la seguridad del software no es responsabilidad exclusiva de los desarrolladores. Sigue siendo competencia del equipo de AppSec (si se colabora con desarrolladores conscientes de la seguridad, se puede trabajar con más tranquilidad, en lugar de tener que corregir repetidamente los errores más comunes). Proceso DevSecOps funcional Todos los miembros del equipo deben exigir el apoyo y las herramientas necesarias para compartir la responsabilidad de la seguridad, y la formación adecuada es una prioridad absoluta. Para lograr el equilibrio adecuado entre el conjunto de herramientas y la formación, es necesario contar con la visión de un profesional de la seguridad de las aplicaciones que trabaje en estrecha colaboración con los desarrolladores, los motive y promueva un cambio positivo.

El entrenamiento disruptivo es más molesto que eficaz, y nada de lo que resulta desagradable para los desarrolladores funciona bien. Una opción es una solución que integre un IDE o un gestor de incidencias centrado en conocimientos concisos, que proporcione a los desarrolladores la información adecuada en el momento necesario.

El funcionamiento real es el siguiente.

No por precaución, sino justo a tiempo.

Aprendizaje práctico adaptado a cada situación Es, sin duda, el método de formación más eficaz, ya que permite impartir pequeños fragmentos de información en el momento más adecuado. También se conoce como formación «justo a tiempo» (JIt) y resulta muy útil para los desarrolladores que desean aprender a programar de forma segura.

El origen se remonta a los principios de fabricación ajustada de Toyota. La formación JiT está diseñada para que los participantes puedan asistir cuando sea más importante y necesario, según las circunstancias.¿Alguna vez ha escrito algo que pudiera dar a entender que los desarrolladores tienen permisos inadecuados? ¿Qué pasaría si se abriera una pequeña puerta trasera que permitiera a los atacantes ejecutar código de forma remota? En lugar de que los desarrolladores tengan que seguir los documentos de Confluence o buscar en Google lo que han aprendido en la formación, sería mucho más memorable si pudieran acceder al conocimiento cuando lo necesitaran.

Just-in-time es todo lo contrario al aprendizaje «por si acaso». Aunque este último es el método más habitual para transmitir conocimientos, no es precisamente el más eficaz. Es necesario facilitar a los desarrolladores el seguimiento de las mejores prácticas de codificación segura y ayudarles a comprender las ventajas de mejorar sus habilidades profesionales, de modo que puedan centrarse en los objetivos principales en los que están trabajando actualmente.

No obliguemos a los desarrolladores a seguir cursos de formación.

Ya sabemos que hay demasiadas cosas que hacer en un día de trabajo. Entonces, ¿es necesario que los desarrolladores se apresuren a ir al aula o cambien de contexto para seguir los cinco pasos de una formación estática basada en la teoría?

El consenso general es que, independientemente del número de vulnerabilidades que causan las violaciones de datos, la mayoría de las organizaciones no están tomando medidas muy eficaces. El informe de Verizon sobre fugas de datos de 2020 afirma lo siguiente: El 43 % de las fugas de datos pueden deberse a vulnerabilidades web. Los desarrolladores no reciben una formación eficaz. Ni en la educación superior ni en las medidas de mejora de las habilidades en el lugar de trabajo. Si fuera así, se trataría de vulnerabilidades comunes, como la inyección SQL o las vulnerabilidades tradicionales . No se aprovechan para obtener grandes ingresos por datos, ni la falta de habilidades en ciberseguridad se vuelve incontrolable.

Entonces, ¿por qué nos sorprenden los malos resultados, sabiendo que los desarrolladores reciben formación y están familiarizados con la seguridad en el entorno actual? Lograr una experiencia de formación más fluida, integrada y menos molesta, accesible desde el espacio de trabajo real, como Jira, GitHub o IDE, podría tener un efecto positivo tanto para los desarrolladores como para las organizaciones.El sector ya no se encuentra en una situación privilegiada, por lo que solo tiene que avanzar y facilitar en gran medida la concienciación sobre la seguridad.

¿Está preparado para proteger su flujo de trabajo de desarrollo?

Los desarrolladores con un alto nivel de concienciación sobre la seguridad son muy valorados por sus habilidades y por la protección que pueden ofrecer a las organizaciones desde la fase de construcción del código. La seguridad ya no es una opción. Especialmente debido a las multas del RGPD, las normas de cumplimiento PCI-DSS, la gobernanza del NIST... y la posibilidad de ser demandado en juicios colectivos multimillonarios (como el de Equifax), la seguridad ya no es una opción.

El enfoque integrado puede ser una oportunidad para atraer a desarrolladores con un aprendizaje menos confuso, crear un camino hacia cursos más detallados, formar a campeones de la seguridad y fomentar el reparto de responsabilidades necesarias para mantener los datos del mundo seguros y sanos.

Descargar herramientas integradas Jira y GitHub Ahora, cuéntanos tu opinión.

Ver seminario en línea
Comencemos
Más información

Haga clic en el siguiente enlace para descargar el PDF de este recurso.

Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.

Mostrar informeReservar una demostración
Ver recursos
Compartir:
marcas de LinkedInSocialx logotipo
¿Le interesa más?

Compartir:
marcas de LinkedInSocialx logotipo
Autor
Dr. Matthias Madu
Publicado el 15 de julio de 2020

El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.

Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa, Sensei Security. A lo largo de su carrera, Matías ha liderado varios proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y ha obtenido más de 10 patentes.Cuando no está frente a su escritorio, Matías imparte cursos avanzados de formación en seguridad de aplicaciones y participa regularmente como ponente en conferencias internacionales como RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.

Matías obtuvo un doctorado en Ingeniería Informática en la Universidad de Gante, donde aprendió sobre la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar su funcionamiento interno.

Compartir:
marcas de LinkedInSocialx logotipo

El ciclo de vida del desarrollo de software (SDLC) parece bastante inofensivo. Es un proceso en el que todos los que trabajamos en el sector del software nos reunimos para hacer magia y lanzar al mercado todos los productos digitales sin los que la sociedad no podría vivir.

Sin embargo... Si alguna vez ha participado en un proyecto de desarrollo de software, sabrá que normalmente se trata de una serie de retos que hay que superar y dragones que hay que matar. Es divertido durante un tiempo, pero el síndrome de agotamiento es real y, debido a la demanda de software, todos nosotros, especialmente el equipo de desarrollo, trabajamos a toda velocidad en el momento más oportuno.

Ahora, imagínese que se les asigna otra tarea más: la responsabilidad de la seguridad en los elementos del proyecto en los que participan. En el peor de los casos, esto podría suponer el colapso del castillo de naipes para algunas personas, pero el escenario más realista es que simplemente no se establezcan prioridades y se dé prioridad a los problemas que se consideran más urgentes y que están a punto de sobrepasar los límites. Además, si la mayoría de los desarrolladores no han recibido formación en codificación segura (especialmente si los directivos no dan prioridad a la seguridad),no es de extrañar que se produzcan frecuentes fugas de datos, se lancen aplicaciones defectuosas y se produzca una avalancha de código con errores entre los expertos en seguridad.

Los desarrolladores necesitan el apoyo de AppSec.

Si incorporamos el escenario anterior, se entiende por qué la seguridad se incluye en la categoría de «demasiado difícil» durante el proceso de codificación y se deja en manos del equipo de seguridad para que la resuelva. Hay demasiados plazos que cumplir, la formación es insuficiente y, con tantas otras cosas que hacer, no hay motivos reales para preocuparse por la seguridad.Sin embargo, para mantener esta situación, la demanda de código es demasiado alta. Ahí es donde los desarrolladores de élite destacan sobre los demás, aprenden nuevas habilidades y, lo más importante, pueden crear código más seguro.

Sin embargo, es importante recordar que la gestión de la seguridad del software no es responsabilidad exclusiva de los desarrolladores. Sigue siendo competencia del equipo de AppSec (si se colabora con desarrolladores conscientes de la seguridad, se puede trabajar con más tranquilidad, en lugar de tener que corregir repetidamente los errores más comunes). Proceso DevSecOps funcional Todos los miembros del equipo deben exigir el apoyo y las herramientas necesarias para compartir la responsabilidad de la seguridad, y la formación adecuada es una prioridad absoluta. Para lograr el equilibrio adecuado entre el conjunto de herramientas y la formación, es necesario contar con la visión de un profesional de la seguridad de las aplicaciones que trabaje en estrecha colaboración con los desarrolladores, los motive y promueva un cambio positivo.

El entrenamiento disruptivo es más molesto que eficaz, y nada de lo que resulta desagradable para los desarrolladores funciona bien. Una opción es una solución que integre un IDE o un gestor de incidencias centrado en conocimientos concisos, que proporcione a los desarrolladores la información adecuada en el momento necesario.

El funcionamiento real es el siguiente.

No por precaución, sino justo a tiempo.

Aprendizaje práctico adaptado a cada situación Es, sin duda, el método de formación más eficaz, ya que permite impartir pequeños fragmentos de información en el momento más adecuado. También se conoce como formación «justo a tiempo» (JIt) y resulta muy útil para los desarrolladores que desean aprender a programar de forma segura.

El origen se remonta a los principios de fabricación ajustada de Toyota. La formación JiT está diseñada para que los participantes puedan asistir cuando sea más importante y necesario, según las circunstancias.¿Alguna vez ha escrito algo que pudiera dar a entender que los desarrolladores tienen permisos inadecuados? ¿Qué pasaría si se abriera una pequeña puerta trasera que permitiera a los atacantes ejecutar código de forma remota? En lugar de que los desarrolladores tengan que seguir los documentos de Confluence o buscar en Google lo que han aprendido en la formación, sería mucho más memorable si pudieran acceder al conocimiento cuando lo necesitaran.

Just-in-time es todo lo contrario al aprendizaje «por si acaso». Aunque este último es el método más habitual para transmitir conocimientos, no es precisamente el más eficaz. Es necesario facilitar a los desarrolladores el seguimiento de las mejores prácticas de codificación segura y ayudarles a comprender las ventajas de mejorar sus habilidades profesionales, de modo que puedan centrarse en los objetivos principales en los que están trabajando actualmente.

No obliguemos a los desarrolladores a seguir cursos de formación.

Ya sabemos que hay demasiadas cosas que hacer en un día de trabajo. Entonces, ¿es necesario que los desarrolladores se apresuren a ir al aula o cambien de contexto para seguir los cinco pasos de una formación estática basada en la teoría?

El consenso general es que, independientemente del número de vulnerabilidades que causan las violaciones de datos, la mayoría de las organizaciones no están tomando medidas muy eficaces. El informe de Verizon sobre fugas de datos de 2020 afirma lo siguiente: El 43 % de las fugas de datos pueden deberse a vulnerabilidades web. Los desarrolladores no reciben una formación eficaz. Ni en la educación superior ni en las medidas de mejora de las habilidades en el lugar de trabajo. Si fuera así, se trataría de vulnerabilidades comunes, como la inyección SQL o las vulnerabilidades tradicionales . No se aprovechan para obtener grandes ingresos por datos, ni la falta de habilidades en ciberseguridad se vuelve incontrolable.

Entonces, ¿por qué nos sorprenden los malos resultados, sabiendo que los desarrolladores reciben formación y están familiarizados con la seguridad en el entorno actual? Lograr una experiencia de formación más fluida, integrada y menos molesta, accesible desde el espacio de trabajo real, como Jira, GitHub o IDE, podría tener un efecto positivo tanto para los desarrolladores como para las organizaciones.El sector ya no se encuentra en una situación privilegiada, por lo que solo tiene que avanzar y facilitar en gran medida la concienciación sobre la seguridad.

¿Está preparado para proteger su flujo de trabajo de desarrollo?

Los desarrolladores con un alto nivel de concienciación sobre la seguridad son muy valorados por sus habilidades y por la protección que pueden ofrecer a las organizaciones desde la fase de construcción del código. La seguridad ya no es una opción. Especialmente debido a las multas del RGPD, las normas de cumplimiento PCI-DSS, la gobernanza del NIST... y la posibilidad de ser demandado en juicios colectivos multimillonarios (como el de Equifax), la seguridad ya no es una opción.

El enfoque integrado puede ser una oportunidad para atraer a desarrolladores con un aprendizaje menos confuso, crear un camino hacia cursos más detallados, formar a campeones de la seguridad y fomentar el reparto de responsabilidades necesarias para mantener los datos del mundo seguros y sanos.

Descargar herramientas integradas Jira y GitHub Ahora, cuéntanos tu opinión.

Índice

Descargar PDF
Ver recursos
¿Le interesa más?

El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.

Más información

Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.

Reservar una demostración[Descargar]
Compartir:
marcas de LinkedInSocialx logotipo
Centro de recursos

Recursos para empezar

Otras publicaciones
Centro de recursos

Recursos para empezar

Otras publicaciones