Las ventajas de la evaluación comparativa de tecnologías de seguridad para los desarrolladores
A medida que las amenazas cibernéticas se vuelven cada vez más comunes y sofisticadas, la ciberseguridad se centra en la importancia del código de seguridad. La estrategia de ciberseguridad nacional de la Casa Blanca y la Agencia de Seguridad Cibernética y de Infraestructura (CISA) han puesto en marcha una iniciativa de diseño seguro que, junto con iniciativas y leyes de otros países, responsabiliza totalmente a los productores de software de la seguridad.Lo que antes se consideraba una ventaja, es decir, garantizar la seguridad desde el principio del ciclo de vida del desarrollo de software (SDLC), ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas derivadas de las violaciones de seguridad.
La clave para garantizar las prácticas de codificación segura reside en la formación de los desarrolladores. Los ingenieros de software suelen recibir los siguientes beneficios: Casi o ninguna formación en ciberseguridad. Especialmente en el acelerado entorno DevOps actual, su misión era lanzar nuevas aplicaciones, actualizaciones y servicios lo más rápido posible con la ayuda de modelos de IA generativa de funcionamiento rápido, y permitir que el equipo de seguridad resolviera los problemas de ciberseguridad en algún momento posterior del SDLC. Se trata de un método ineficaz para resolver los innumerables fallos que se producen cuando se genera demasiado código y, a menudo, se filtran vulnerabilidades de software en el ecosistema.
Los desarrolladores deben recibir formación desde el principio para escribir código seguro y deben ser capaces de detectar código inseguro generado por IA o presente en el software de código abierto y de terceros que utilizan. Para muchos equipos de desarrollo y organizaciones, esta es un área que no se ha abordado. ¿Cómo se puede saber si los desarrolladores están recibiendo la formación necesaria? ¿Y si esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han descubierto que resulta útil establecer un conjunto de habilidades básicas para que los desarrolladores puedan aprender y medir su progreso basándose en unos parámetros de referencia claramente definidos. Para ayudar en esta tarea, Secure Code Warrior ha lanzado unos parámetros de referencia diseñados para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. La puntuación SCW Trust mide el grado de aplicación de la formación en el trabajo y permite la colaboración entre los equipos de seguridad, desarrollo e ingeniería.
Esta es una forma de identificar las áreas que necesitan mejorar y, al mismo tiempo, ver la evidencia de que la formación en códigos de seguridad se está llevando a cabo correctamente.
Casos prácticos para un diseño seguro
Los creadores de software tienen motivos suficientes para introducir la seguridad en el SDLC desde el principio del proceso. El aumento de la demanda de aplicaciones y servicios, y la velocidad que la IA aporta al proceso de desarrollo, han demostrado ser útiles para los desarrolladores que han adoptado rápidamente la IA generativa. Sin embargo, el resultado es que, inevitablemente, se están lanzando al mercado productos de software defectuosos. Cuanto más código se genera, más defectos hay. Según un estudio reciente, casi tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos un defecto de seguridad, y casi el 20 % de ellos se consideran graves.
Encontrar vulnerabilidades en la última fase del SDLC requiere una enorme inversión de tiempo y dinero. El Instituto Nacional de Estándares y Tecnología (NIST) ha descubierto que corregir defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y que corregir defectos en las fases de implementación y mantenimiento puede llevar entre 30 y 100 veces más tiempo.
Todo esto demuestra que es importante aplicar la seguridad desde el principio del ciclo de desarrollo. Se ha demostrado que esta es la forma más eficaz de reducir los riesgos y también la más rentable. Los desarrolladores, en lugar de dejar que el equipo de seguridad funcione como una entidad separada, están en la mejor posición para introducir la seguridad al principio del SDLC si colaboran con el equipo de seguridad. Además, los desarrolladores que han recibido formación sobre las mejores prácticas de seguridad han podido reducir eficazmente las vulnerabilidades. El problema es que muy pocos de ellos han recibido dicha formación.
La belleza de los puntos de referencia
La ruta básica de la empresa incluye establecer estándares de tecnología de seguridad, proporcionar formación y verificar, tanto para la organización como para los organismos reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un reto para muchas organizaciones de todos los sectores económicos, pero no tiene por qué ser así.
Uno de los problemas señalados por los responsables de seguridad es la dificultad de ampliar los programas de formación a toda la empresa. Sin embargo, según un estudio de SCW, las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño de seguridad. Los resultados de las organizaciones más pequeñas tienden a variar mucho en función de cómo aplican los principios de diseño de seguridad. No obstante, estas empresas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras más rápidamente.
La puntuación de confianza utiliza indicadores de referencia para medir el progreso de cada alumno, agrega las puntuaciones para evaluar el rendimiento de todo el equipo y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. Esto no solo permite realizar un seguimiento de la formación, sino que también muestra en qué medida los desarrolladores están aplicando cada día las nuevas tecnologías. Además, destaca las áreas que necesitan mejorar, lo que permite a la organización optimizar los programas de formación y mejora de las habilidades.
En general, la mayoría de las organizaciones se encuentran en un nivel similar en cuanto a la implementación de los principios de diseño de seguridad, independientemente del tipo de datos de infraestructura crítica que pudieran utilizar. Las puntuaciones de confianza de diversos sectores, desde los servicios financieros y la industria de defensa hasta la sanidad, las tecnologías de la información y la fabricación, se situaron en el mismo rango. Se superó ligeramente la puntuación de 300 en una escala de 1000 puntos. A pesar de la creencia generalizada de que el sector de los servicios financieros, que es el más regulado, estaría a la cabeza, ningún sector superó a los demás.
Los sectores de infraestructura clave que no se incluyen en la clasificación de puntuación de confianza, como la química, la energía y la energía nuclear, no suelen crear su propio software, sino que dependen de otros sectores, especialmente de las tecnologías de la información. Sin embargo, el hecho de que sea importante mantener la seguridad de los sistemas en estos sectores (nadie quiere ver cómo se daña una central nuclear) demuestra lo importante que es proteger el software que se utiliza en primer lugar.
Conclusión
Debido al aumento de la presión regulatoria y a la realidad del entorno de amenazas cibernéticas, el enfoque Secure By-Design se ha vuelto imprescindible para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. La creación de software de seguridad depende en gran medida de los desarrolladores, pero estos necesitan recibir la formación necesaria y contar con el apoyo de programas de formación y mejora de habilidades exhaustivos que les muestren cómo se aplica el método de desarrollo.
Los programas que incluyen puntos de referencia basados en herramientas como Trust Score permiten comprender claramente el progreso general del equipo de desarrollo. Se trata de un enfoque totalmente nuevo para todas las empresas que trabajan con desarrolladores, que deben cumplir los nuevos requisitos de seguridad desde el diseño y, al mismo tiempo, mejorar continuamente sus habilidades de desarrollo de software seguro.
A medida que aumenta el interés por los códigos de seguridad y los principios de Secure by Design, los desarrolladores deben recibir formación sobre ciberseguridad desde las primeras fases del ciclo de vida del desarrollo de software (SDLC) y utilizar herramientas como la puntuación de confianza de Secure Code Warrior para medir y mejorar su progreso.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
A medida que las amenazas cibernéticas se vuelven cada vez más comunes y sofisticadas, la ciberseguridad se centra en la importancia del código de seguridad. La estrategia de ciberseguridad nacional de la Casa Blanca y la Agencia de Seguridad Cibernética y de Infraestructura (CISA) han puesto en marcha una iniciativa de diseño seguro que, junto con iniciativas y leyes de otros países, responsabiliza totalmente a los productores de software de la seguridad.Lo que antes se consideraba una ventaja, es decir, garantizar la seguridad desde el principio del ciclo de vida del desarrollo de software (SDLC), ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas derivadas de las violaciones de seguridad.
La clave para garantizar las prácticas de codificación segura reside en la formación de los desarrolladores. Los ingenieros de software suelen recibir los siguientes beneficios: Casi o ninguna formación en ciberseguridad. Especialmente en el acelerado entorno DevOps actual, su misión era lanzar nuevas aplicaciones, actualizaciones y servicios lo más rápido posible con la ayuda de modelos de IA generativa de funcionamiento rápido, y permitir que el equipo de seguridad resolviera los problemas de ciberseguridad en algún momento posterior del SDLC. Se trata de un método ineficaz para resolver los innumerables fallos que se producen cuando se genera demasiado código y, a menudo, se filtran vulnerabilidades de software en el ecosistema.
Los desarrolladores deben recibir formación desde el principio para escribir código seguro y deben ser capaces de detectar código inseguro generado por IA o presente en el software de código abierto y de terceros que utilizan. Para muchos equipos de desarrollo y organizaciones, esta es un área que no se ha abordado. ¿Cómo se puede saber si los desarrolladores están recibiendo la formación necesaria? ¿Y si esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han descubierto que resulta útil establecer un conjunto de habilidades básicas para que los desarrolladores puedan aprender y medir su progreso basándose en unos parámetros de referencia claramente definidos. Para ayudar en esta tarea, Secure Code Warrior ha lanzado unos parámetros de referencia diseñados para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. La puntuación SCW Trust mide el grado de aplicación de la formación en el trabajo y permite la colaboración entre los equipos de seguridad, desarrollo e ingeniería.
Esta es una forma de identificar las áreas que necesitan mejorar y, al mismo tiempo, ver la evidencia de que la formación en códigos de seguridad se está llevando a cabo correctamente.
Casos prácticos para un diseño seguro
Los creadores de software tienen motivos suficientes para introducir la seguridad en el SDLC desde el principio del proceso. El aumento de la demanda de aplicaciones y servicios, y la velocidad que la IA aporta al proceso de desarrollo, han demostrado ser útiles para los desarrolladores que han adoptado rápidamente la IA generativa. Sin embargo, el resultado es que, inevitablemente, se están lanzando al mercado productos de software defectuosos. Cuanto más código se genera, más defectos hay. Según un estudio reciente, casi tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos un defecto de seguridad, y casi el 20 % de ellos se consideran graves.
Encontrar vulnerabilidades en la última fase del SDLC requiere una enorme inversión de tiempo y dinero. El Instituto Nacional de Estándares y Tecnología (NIST) ha descubierto que corregir defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y que corregir defectos en las fases de implementación y mantenimiento puede llevar entre 30 y 100 veces más tiempo.
Todo esto demuestra que es importante aplicar la seguridad desde el principio del ciclo de desarrollo. Se ha demostrado que esta es la forma más eficaz de reducir los riesgos y también la más rentable. Los desarrolladores, en lugar de dejar que el equipo de seguridad funcione como una entidad separada, están en la mejor posición para introducir la seguridad al principio del SDLC si colaboran con el equipo de seguridad. Además, los desarrolladores que han recibido formación sobre las mejores prácticas de seguridad han podido reducir eficazmente las vulnerabilidades. El problema es que muy pocos de ellos han recibido dicha formación.
La belleza de los puntos de referencia
La ruta básica de la empresa incluye establecer estándares de tecnología de seguridad, proporcionar formación y verificar, tanto para la organización como para los organismos reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un reto para muchas organizaciones de todos los sectores económicos, pero no tiene por qué ser así.
Uno de los problemas señalados por los responsables de seguridad es la dificultad de ampliar los programas de formación a toda la empresa. Sin embargo, según un estudio de SCW, las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño de seguridad. Los resultados de las organizaciones más pequeñas tienden a variar mucho en función de cómo aplican los principios de diseño de seguridad. No obstante, estas empresas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras más rápidamente.
La puntuación de confianza utiliza indicadores de referencia para medir el progreso de cada alumno, agrega las puntuaciones para evaluar el rendimiento de todo el equipo y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. Esto no solo permite realizar un seguimiento de la formación, sino que también muestra en qué medida los desarrolladores están aplicando cada día las nuevas tecnologías. Además, destaca las áreas que necesitan mejorar, lo que permite a la organización optimizar los programas de formación y mejora de las habilidades.
En general, la mayoría de las organizaciones se encuentran en un nivel similar en cuanto a la implementación de los principios de diseño de seguridad, independientemente del tipo de datos de infraestructura crítica que pudieran utilizar. Las puntuaciones de confianza de diversos sectores, desde los servicios financieros y la industria de defensa hasta la sanidad, las tecnologías de la información y la fabricación, se situaron en el mismo rango. Se superó ligeramente la puntuación de 300 en una escala de 1000 puntos. A pesar de la creencia generalizada de que el sector de los servicios financieros, que es el más regulado, estaría a la cabeza, ningún sector superó a los demás.
Los sectores de infraestructura clave que no se incluyen en la clasificación de puntuación de confianza, como la química, la energía y la energía nuclear, no suelen crear su propio software, sino que dependen de otros sectores, especialmente de las tecnologías de la información. Sin embargo, el hecho de que sea importante mantener la seguridad de los sistemas en estos sectores (nadie quiere ver cómo se daña una central nuclear) demuestra lo importante que es proteger el software que se utiliza en primer lugar.
Conclusión
Debido al aumento de la presión regulatoria y a la realidad del entorno de amenazas cibernéticas, el enfoque Secure By-Design se ha vuelto imprescindible para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. La creación de software de seguridad depende en gran medida de los desarrolladores, pero estos necesitan recibir la formación necesaria y contar con el apoyo de programas de formación y mejora de habilidades exhaustivos que les muestren cómo se aplica el método de desarrollo.
Los programas que incluyen puntos de referencia basados en herramientas como Trust Score permiten comprender claramente el progreso general del equipo de desarrollo. Se trata de un enfoque totalmente nuevo para todas las empresas que trabajan con desarrolladores, que deben cumplir los nuevos requisitos de seguridad desde el diseño y, al mismo tiempo, mejorar continuamente sus habilidades de desarrollo de software seguro.
A medida que las amenazas cibernéticas se vuelven cada vez más comunes y sofisticadas, la ciberseguridad se centra en la importancia del código de seguridad. La estrategia de ciberseguridad nacional de la Casa Blanca y la Agencia de Seguridad Cibernética y de Infraestructura (CISA) han puesto en marcha una iniciativa de diseño seguro que, junto con iniciativas y leyes de otros países, responsabiliza totalmente a los productores de software de la seguridad.Lo que antes se consideraba una ventaja, es decir, garantizar la seguridad desde el principio del ciclo de vida del desarrollo de software (SDLC), ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas derivadas de las violaciones de seguridad.
La clave para garantizar las prácticas de codificación segura reside en la formación de los desarrolladores. Los ingenieros de software suelen recibir los siguientes beneficios: Casi o ninguna formación en ciberseguridad. Especialmente en el acelerado entorno DevOps actual, su misión era lanzar nuevas aplicaciones, actualizaciones y servicios lo más rápido posible con la ayuda de modelos de IA generativa de funcionamiento rápido, y permitir que el equipo de seguridad resolviera los problemas de ciberseguridad en algún momento posterior del SDLC. Se trata de un método ineficaz para resolver los innumerables fallos que se producen cuando se genera demasiado código y, a menudo, se filtran vulnerabilidades de software en el ecosistema.
Los desarrolladores deben recibir formación desde el principio para escribir código seguro y deben ser capaces de detectar código inseguro generado por IA o presente en el software de código abierto y de terceros que utilizan. Para muchos equipos de desarrollo y organizaciones, esta es un área que no se ha abordado. ¿Cómo se puede saber si los desarrolladores están recibiendo la formación necesaria? ¿Y si esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han descubierto que resulta útil establecer un conjunto de habilidades básicas para que los desarrolladores puedan aprender y medir su progreso basándose en unos parámetros de referencia claramente definidos. Para ayudar en esta tarea, Secure Code Warrior ha lanzado unos parámetros de referencia diseñados para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. La puntuación SCW Trust mide el grado de aplicación de la formación en el trabajo y permite la colaboración entre los equipos de seguridad, desarrollo e ingeniería.
Esta es una forma de identificar las áreas que necesitan mejorar y, al mismo tiempo, ver la evidencia de que la formación en códigos de seguridad se está llevando a cabo correctamente.
Casos prácticos para un diseño seguro
Los creadores de software tienen motivos suficientes para introducir la seguridad en el SDLC desde el principio del proceso. El aumento de la demanda de aplicaciones y servicios, y la velocidad que la IA aporta al proceso de desarrollo, han demostrado ser útiles para los desarrolladores que han adoptado rápidamente la IA generativa. Sin embargo, el resultado es que, inevitablemente, se están lanzando al mercado productos de software defectuosos. Cuanto más código se genera, más defectos hay. Según un estudio reciente, casi tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos un defecto de seguridad, y casi el 20 % de ellos se consideran graves.
Encontrar vulnerabilidades en la última fase del SDLC requiere una enorme inversión de tiempo y dinero. El Instituto Nacional de Estándares y Tecnología (NIST) ha descubierto que corregir defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y que corregir defectos en las fases de implementación y mantenimiento puede llevar entre 30 y 100 veces más tiempo.
Todo esto demuestra que es importante aplicar la seguridad desde el principio del ciclo de desarrollo. Se ha demostrado que esta es la forma más eficaz de reducir los riesgos y también la más rentable. Los desarrolladores, en lugar de dejar que el equipo de seguridad funcione como una entidad separada, están en la mejor posición para introducir la seguridad al principio del SDLC si colaboran con el equipo de seguridad. Además, los desarrolladores que han recibido formación sobre las mejores prácticas de seguridad han podido reducir eficazmente las vulnerabilidades. El problema es que muy pocos de ellos han recibido dicha formación.
La belleza de los puntos de referencia
La ruta básica de la empresa incluye establecer estándares de tecnología de seguridad, proporcionar formación y verificar, tanto para la organización como para los organismos reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un reto para muchas organizaciones de todos los sectores económicos, pero no tiene por qué ser así.
Uno de los problemas señalados por los responsables de seguridad es la dificultad de ampliar los programas de formación a toda la empresa. Sin embargo, según un estudio de SCW, las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño de seguridad. Los resultados de las organizaciones más pequeñas tienden a variar mucho en función de cómo aplican los principios de diseño de seguridad. No obstante, estas empresas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras más rápidamente.
La puntuación de confianza utiliza indicadores de referencia para medir el progreso de cada alumno, agrega las puntuaciones para evaluar el rendimiento de todo el equipo y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. Esto no solo permite realizar un seguimiento de la formación, sino que también muestra en qué medida los desarrolladores están aplicando cada día las nuevas tecnologías. Además, destaca las áreas que necesitan mejorar, lo que permite a la organización optimizar los programas de formación y mejora de las habilidades.
En general, la mayoría de las organizaciones se encuentran en un nivel similar en cuanto a la implementación de los principios de diseño de seguridad, independientemente del tipo de datos de infraestructura crítica que pudieran utilizar. Las puntuaciones de confianza de diversos sectores, desde los servicios financieros y la industria de defensa hasta la sanidad, las tecnologías de la información y la fabricación, se situaron en el mismo rango. Se superó ligeramente la puntuación de 300 en una escala de 1000 puntos. A pesar de la creencia generalizada de que el sector de los servicios financieros, que es el más regulado, estaría a la cabeza, ningún sector superó a los demás.
Los sectores de infraestructura clave que no se incluyen en la clasificación de puntuación de confianza, como la química, la energía y la energía nuclear, no suelen crear su propio software, sino que dependen de otros sectores, especialmente de las tecnologías de la información. Sin embargo, el hecho de que sea importante mantener la seguridad de los sistemas en estos sectores (nadie quiere ver cómo se daña una central nuclear) demuestra lo importante que es proteger el software que se utiliza en primer lugar.
Conclusión
Debido al aumento de la presión regulatoria y a la realidad del entorno de amenazas cibernéticas, el enfoque Secure By-Design se ha vuelto imprescindible para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. La creación de software de seguridad depende en gran medida de los desarrolladores, pero estos necesitan recibir la formación necesaria y contar con el apoyo de programas de formación y mejora de habilidades exhaustivos que les muestren cómo se aplica el método de desarrollo.
Los programas que incluyen puntos de referencia basados en herramientas como Trust Score permiten comprender claramente el progreso general del equipo de desarrollo. Se trata de un enfoque totalmente nuevo para todas las empresas que trabajan con desarrolladores, que deben cumplir los nuevos requisitos de seguridad desde el diseño y, al mismo tiempo, mejorar continuamente sus habilidades de desarrollo de software seguro.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
A medida que las amenazas cibernéticas se vuelven cada vez más comunes y sofisticadas, la ciberseguridad se centra en la importancia del código de seguridad. La estrategia de ciberseguridad nacional de la Casa Blanca y la Agencia de Seguridad Cibernética y de Infraestructura (CISA) han puesto en marcha una iniciativa de diseño seguro que, junto con iniciativas y leyes de otros países, responsabiliza totalmente a los productores de software de la seguridad.Lo que antes se consideraba una ventaja, es decir, garantizar la seguridad desde el principio del ciclo de vida del desarrollo de software (SDLC), ahora es esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas derivadas de las violaciones de seguridad.
La clave para garantizar las prácticas de codificación segura reside en la formación de los desarrolladores. Los ingenieros de software suelen recibir los siguientes beneficios: Casi o ninguna formación en ciberseguridad. Especialmente en el acelerado entorno DevOps actual, su misión era lanzar nuevas aplicaciones, actualizaciones y servicios lo más rápido posible con la ayuda de modelos de IA generativa de funcionamiento rápido, y permitir que el equipo de seguridad resolviera los problemas de ciberseguridad en algún momento posterior del SDLC. Se trata de un método ineficaz para resolver los innumerables fallos que se producen cuando se genera demasiado código y, a menudo, se filtran vulnerabilidades de software en el ecosistema.
Los desarrolladores deben recibir formación desde el principio para escribir código seguro y deben ser capaces de detectar código inseguro generado por IA o presente en el software de código abierto y de terceros que utilizan. Para muchos equipos de desarrollo y organizaciones, esta es un área que no se ha abordado. ¿Cómo se puede saber si los desarrolladores están recibiendo la formación necesaria? ¿Y si esa formación se aplica de forma regular?
Algunas empresas que se dedican a la formación de desarrolladores han descubierto que resulta útil establecer un conjunto de habilidades básicas para que los desarrolladores puedan aprender y medir su progreso basándose en unos parámetros de referencia claramente definidos. Para ayudar en esta tarea, Secure Code Warrior ha lanzado unos parámetros de referencia diseñados para medir con precisión el progreso de los desarrolladores en materia de formación en seguridad. La puntuación SCW Trust mide el grado de aplicación de la formación en el trabajo y permite la colaboración entre los equipos de seguridad, desarrollo e ingeniería.
Esta es una forma de identificar las áreas que necesitan mejorar y, al mismo tiempo, ver la evidencia de que la formación en códigos de seguridad se está llevando a cabo correctamente.
Casos prácticos para un diseño seguro
Los creadores de software tienen motivos suficientes para introducir la seguridad en el SDLC desde el principio del proceso. El aumento de la demanda de aplicaciones y servicios, y la velocidad que la IA aporta al proceso de desarrollo, han demostrado ser útiles para los desarrolladores que han adoptado rápidamente la IA generativa. Sin embargo, el resultado es que, inevitablemente, se están lanzando al mercado productos de software defectuosos. Cuanto más código se genera, más defectos hay. Según un estudio reciente, casi tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos un defecto de seguridad, y casi el 20 % de ellos se consideran graves.
Encontrar vulnerabilidades en la última fase del SDLC requiere una enorme inversión de tiempo y dinero. El Instituto Nacional de Estándares y Tecnología (NIST) ha descubierto que corregir defectos durante las pruebas lleva 15 veces más tiempo que proteger el software al inicio del SDLC, y que corregir defectos en las fases de implementación y mantenimiento puede llevar entre 30 y 100 veces más tiempo.
Todo esto demuestra que es importante aplicar la seguridad desde el principio del ciclo de desarrollo. Se ha demostrado que esta es la forma más eficaz de reducir los riesgos y también la más rentable. Los desarrolladores, en lugar de dejar que el equipo de seguridad funcione como una entidad separada, están en la mejor posición para introducir la seguridad al principio del SDLC si colaboran con el equipo de seguridad. Además, los desarrolladores que han recibido formación sobre las mejores prácticas de seguridad han podido reducir eficazmente las vulnerabilidades. El problema es que muy pocos de ellos han recibido dicha formación.
La belleza de los puntos de referencia
La ruta básica de la empresa incluye establecer estándares de tecnología de seguridad, proporcionar formación y verificar, tanto para la organización como para los organismos reguladores, que los desarrolladores hayan adquirido las habilidades necesarias. Esto ha demostrado ser un reto para muchas organizaciones de todos los sectores económicos, pero no tiene por qué ser así.
Uno de los problemas señalados por los responsables de seguridad es la dificultad de ampliar los programas de formación a toda la empresa. Sin embargo, según un estudio de SCW, las organizaciones, especialmente aquellas con un gran número de desarrolladores, pueden implementar con éxito un enfoque de diseño de seguridad. Los resultados de las organizaciones más pequeñas tienden a variar mucho en función de cómo aplican los principios de diseño de seguridad. No obstante, estas empresas también pueden beneficiarse de un enfoque que incluya puntuaciones de confianza y es probable que muestren mejoras más rápidamente.
La puntuación de confianza utiliza indicadores de referencia para medir el progreso de cada alumno, agrega las puntuaciones para evaluar el rendimiento de todo el equipo y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. Esto no solo permite realizar un seguimiento de la formación, sino que también muestra en qué medida los desarrolladores están aplicando cada día las nuevas tecnologías. Además, destaca las áreas que necesitan mejorar, lo que permite a la organización optimizar los programas de formación y mejora de las habilidades.
En general, la mayoría de las organizaciones se encuentran en un nivel similar en cuanto a la implementación de los principios de diseño de seguridad, independientemente del tipo de datos de infraestructura crítica que pudieran utilizar. Las puntuaciones de confianza de diversos sectores, desde los servicios financieros y la industria de defensa hasta la sanidad, las tecnologías de la información y la fabricación, se situaron en el mismo rango. Se superó ligeramente la puntuación de 300 en una escala de 1000 puntos. A pesar de la creencia generalizada de que el sector de los servicios financieros, que es el más regulado, estaría a la cabeza, ningún sector superó a los demás.
Los sectores de infraestructura clave que no se incluyen en la clasificación de puntuación de confianza, como la química, la energía y la energía nuclear, no suelen crear su propio software, sino que dependen de otros sectores, especialmente de las tecnologías de la información. Sin embargo, el hecho de que sea importante mantener la seguridad de los sistemas en estos sectores (nadie quiere ver cómo se daña una central nuclear) demuestra lo importante que es proteger el software que se utiliza en primer lugar.
Conclusión
Debido al aumento de la presión regulatoria y a la realidad del entorno de amenazas cibernéticas, el enfoque Secure By-Design se ha vuelto imprescindible para las organizaciones que desean proteger sus datos, sistemas, operaciones comerciales y reputación. La creación de software de seguridad depende en gran medida de los desarrolladores, pero estos necesitan recibir la formación necesaria y contar con el apoyo de programas de formación y mejora de habilidades exhaustivos que les muestren cómo se aplica el método de desarrollo.
Los programas que incluyen puntos de referencia basados en herramientas como Trust Score permiten comprender claramente el progreso general del equipo de desarrollo. Se trata de un enfoque totalmente nuevo para todas las empresas que trabajan con desarrolladores, que deben cumplir los nuevos requisitos de seguridad desde el diseño y, al mismo tiempo, mejorar continuamente sus habilidades de desarrollo de software seguro.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
