La puntuación de confianza muestra el valor de la iniciativa Secure By-Design-Upskilling.
Una forma segura de mejorar la postura de seguridad de una organización es mejorar las habilidades de los desarrolladores en materia de mejores prácticas de codificación segura, lo cual se logra mediante un marco que incluye puntos de referencia y bases de referencia diseñados para proporcionar a los desarrolladores las rutas de aprendizaje específicas que necesitan. Sin embargo, la codificación segura no es un problema que se pueda resolver de una sola vez. Debe estar codificada en el ADN de la organización y convertirse en un estilo de vida. Los desarrolladores no solo deben desplazarse hacia la izquierda o comenzar por la izquierda, sino que deben seguir moviéndose hacia la izquierda.
No basta con limitarse a impartir formación. Las organizaciones deben asegurarse de que los desarrolladores hayan asimilado completamente la formación y sigan las mejores prácticas como parte de su trabajo diario desde las primeras fases del ciclo de vida del desarrollo de software (SDLC). Es necesario realizar un seguimiento del rendimiento de los desarrolladores en comparación con los estándares internos y los puntos de referencia del sector, y medir el progreso para evaluar eficazmente el retorno de la inversión en formación.
Secure Code Warriors Trust Score proporciona visibilidad sobre el rendimiento de cada desarrollador y evalúa el rendimiento global de la organización mediante la agregación de datos.Identifica las áreas que necesitan mejorar y muestra la eficacia de los programas de mejora de habilidades. Además, ayuda a cumplir con diversos requisitos normativos, ya sea en relación con el Reglamento General de Protección de Datos (RGPD), la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (DSS), la Ley de Protección de la Privacidad del Consumidor de California (CCPA) u otros.
Según nuestra investigación, la formación en códigos de seguridad ha demostrado ser eficaz. Trust Score utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje obtenidos en el trabajo por más de 250 000 alumnos de más de 600 organizaciones, lo que demuestra su eficacia para eliminar vulnerabilidades y muestra cómo hacer que las iniciativas sean más eficaces.
La seguridad se refuerza a través de la formación: cuando los desarrolladores reciben formación,
Durante muchos años, utilizar las mejores prácticas de seguridad al iniciar el SDLC parecía una tarea muy ambiciosa en la industria del software. Aunque algún día será algo positivo, hoy en día no es una prioridad. Sin embargo, a medida que la velocidad de desarrollo del software sigue aumentando y que las amenazas cibernéticas sofisticadas y destructivas, que a menudo se crean para aprovechar las vulnerabilidades del software, también se aceleran, la codificación segura se ha convertido en algo imprescindible. La Agencia de Seguridad Cibernética y de Infraestructuras (CISA) sitúa el código seguro en primer plano. El diseño con la seguridad en mente es una iniciativa internacional en auge.
Nuestra investigación ha demostrado que existe una clara correlación entre el enfoque Secure by-Design y la reducción de las vulnerabilidades del software.El análisis de los datos de reducción de vulnerabilidades del 26 % de la base de clientes de SCW reveló que la formación de los desarrolladores redujo las vulnerabilidades del software entre un 22 % y un 84 %. Este rango se debe a variables como el tamaño de la empresa en cuestión (las empresas más pequeñas con un número relativamente menor de desarrolladores obtuvieron resultados más drásticos), si el grupo de aprendizaje se centró en un problema específico y si el grupo de aprendizaje se centró en un problema específico. En este caso, la proporción de defectos fue mayor.
Los resultados de las grandes empresas fueron bastante similares. En las empresas con más de 7000 desarrolladores, se puede esperar que la mejora de las habilidades de seguridad de los desarrolladores reduzca las vulnerabilidades entre un 47 % y un 53 %. Por ejemplo, en una empresa con más de 10 000 desarrolladores (que no es la empresa con mejor rendimiento en la plataforma ni la que tiene la puntuación más alta en la evaluación comparativa), las vulnerabilidades se redujeron en un 53 %.
Por supuesto, no es necesario un enfoque amplio y uniforme para lograr una formación eficaz. Debe adaptarse al entorno de trabajo del desarrollador y al tipo de desarrollo que realiza.
Las empresas deben establecer primero las habilidades básicas necesarias para que los desarrolladores puedan escribir código seguro con la misma naturalidad con la que escriben código normal. Los programas de mejora de habilidades deben consistir en una formación práctica y ágil que utilice escenarios reales adaptados al tipo de trabajo que se realiza y al lenguaje que se utiliza. Además, las sesiones de formación deben ser lo suficientemente flexibles como para adaptarse al calendario de trabajo.
En el caso de los desarrolladores, el conjunto de habilidades incluye más que solo escribir código. Los desarrolladores deben poder verificar los asistentes de inteligencia artificial y el software creado por terceros (por ejemplo, repositorios de código abierto). Los desarrolladores utilizaron con entusiasmo los modelos de IA generativa creados por ellos mismos y, en general, valoraron mucho la ventaja de que estos modelos les ayudaran a generar más código más rápidamente.Sin embargo, el 76 % de los encuestados respondió que el código generado por la IA de Snick Survey es más seguro que el código generado por humanos, mientras que el 56,4 % respondió que la IA sigue generando errores de vez en cuando o con frecuencia. La misma encuesta reveló que el 80 % de los desarrolladores omite aplicar políticas de seguridad al código de IA, lo que sugiere que los problemas de código de la IA no se están resolviendo.
En el enfoque Secure-by-Design, los desarrolladores no trabajan por separado del equipo de seguridad, sino que colaboran con él para resolver estos problemas en las primeras fases del SDLC e identificar y corregir los defectos antes de que el código entre en producción.
La puntuación de confianza mide el rendimiento de las personas y las empresas.
También es importante impartir formación de forma continua. Las empresas deben adoptar una cultura que priorice la seguridad y que se aplique a todos los niveles, desde los puestos más altos hasta los más bajos. Deben centrarse en la mejora continua y en la aplicación de prácticas de seguridad ejemplares en todo el ciclo de vida del desarrollo de software (SDLC). La tecnología y los ciberdelincuentes no dejan de evolucionar, y lo mismo ocurre con la ciberseguridad. Para las organizaciones que crean software, contar con desarrolladores formados en seguridad es fundamental.
Por lo tanto, demostrar que la formación ha surtido efecto es tan importante como la propia formación. Las puntuaciones de confianza no solo permiten evaluar el rendimiento de los desarrolladores individuales y de la organización en su conjunto, sino que también permiten a la organización analizar en detalle los datos de rendimiento y centrarse en un lenguaje, equipo de desarrolladores o categoría de software específicos. Los datos sobre el rendimiento individual y los resultados agregados también ayudan a identificar las áreas en las que es necesario mejorar la formación (por ejemplo, si esta no está teniendo el impacto deseado en el rendimiento diario de los desarrolladores).
Las organizaciones pueden evaluar el rendimiento de los desarrolladores mediante la puntuación de confianza y verificar que hayan adquirido y estén utilizando las tecnologías de seguridad necesarias para obtener la licencia de escritura de código. De este modo, las organizaciones pueden conceder con confianza acceso a los datos más sensibles y a los proyectos de software más importantes a los desarrolladores cualificados, y denegar el acceso a aquellos desarrolladores que aún no estén preparados para utilizar las herramientas necesarias.
Prueba de la cultura de seguridad cambiante
La ciberseguridad ya no es solo una cuestión de seguridad. Se trata de un problema empresarial que afecta a la integridad de los datos, el activo más importante de muchas organizaciones. Las infracciones graves pueden afectar al funcionamiento, la reputación y, potencialmente, la supervivencia de una organización. La importancia de la ciberseguridad no ha desaparecido, ni siquiera para los organismos reguladores, que están aplicando normativas cada vez más estrictas y están dispuestos a emprender acciones legales contra los CISO y, potencialmente, otros altos directivos. Estos organismos reguladores están dispuestos a presentar denuncias penales, como en los casos de Uber y SolarWinds.
En el entorno actual, es esencial adoptar una cultura de seguridad integral. Dado que una parte considerable del valor empresarial reside en los datos, las aplicaciones y los servicios, la codificación segura es un elemento fundamental de la cultura empresarial. La formación específica y la mejora de las habilidades, que forman parte de la mentalidad cultural, junto con la evidencia de que la formación ha contribuido a cambiar la cultura, pueden ayudar a las organizaciones a avanzar hacia una mayor seguridad.
Los programas de seguridad impulsados por los desarrolladores tienen valor. La prueba es la siguiente: puntuación de confianza.
Según nuestra investigación, la formación en códigos de seguridad ha demostrado ser eficaz. Trust Score utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje obtenidos en el trabajo por más de 250 000 alumnos de más de 600 organizaciones, lo que demuestra su eficacia para eliminar vulnerabilidades y muestra cómo hacer que las iniciativas sean más eficaces.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una forma segura de mejorar la postura de seguridad de una organización es mejorar las habilidades de los desarrolladores en materia de mejores prácticas de codificación segura, lo cual se logra mediante un marco que incluye puntos de referencia y bases de referencia diseñados para proporcionar a los desarrolladores las rutas de aprendizaje específicas que necesitan. Sin embargo, la codificación segura no es un problema que se pueda resolver de una sola vez. Debe estar codificada en el ADN de la organización y convertirse en un estilo de vida. Los desarrolladores no solo deben desplazarse hacia la izquierda o comenzar por la izquierda, sino que deben seguir moviéndose hacia la izquierda.
No basta con limitarse a impartir formación. Las organizaciones deben asegurarse de que los desarrolladores hayan asimilado completamente la formación y sigan las mejores prácticas como parte de su trabajo diario desde las primeras fases del ciclo de vida del desarrollo de software (SDLC). Es necesario realizar un seguimiento del rendimiento de los desarrolladores en comparación con los estándares internos y los puntos de referencia del sector, y medir el progreso para evaluar eficazmente el retorno de la inversión en formación.
Secure Code Warriors Trust Score proporciona visibilidad sobre el rendimiento de cada desarrollador y evalúa el rendimiento global de la organización mediante la agregación de datos.Identifica las áreas que necesitan mejorar y muestra la eficacia de los programas de mejora de habilidades. Además, ayuda a cumplir con diversos requisitos normativos, ya sea en relación con el Reglamento General de Protección de Datos (RGPD), la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (DSS), la Ley de Protección de la Privacidad del Consumidor de California (CCPA) u otros.
Según nuestra investigación, la formación en códigos de seguridad ha demostrado ser eficaz. Trust Score utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje obtenidos en el trabajo por más de 250 000 alumnos de más de 600 organizaciones, lo que demuestra su eficacia para eliminar vulnerabilidades y muestra cómo hacer que las iniciativas sean más eficaces.
La seguridad se refuerza a través de la formación: cuando los desarrolladores reciben formación,
Durante muchos años, utilizar las mejores prácticas de seguridad al iniciar el SDLC parecía una tarea muy ambiciosa en la industria del software. Aunque algún día será algo positivo, hoy en día no es una prioridad. Sin embargo, a medida que la velocidad de desarrollo del software sigue aumentando y que las amenazas cibernéticas sofisticadas y destructivas, que a menudo se crean para aprovechar las vulnerabilidades del software, también se aceleran, la codificación segura se ha convertido en algo imprescindible. La Agencia de Seguridad Cibernética y de Infraestructuras (CISA) sitúa el código seguro en primer plano. El diseño con la seguridad en mente es una iniciativa internacional en auge.
Nuestra investigación ha demostrado que existe una clara correlación entre el enfoque Secure by-Design y la reducción de las vulnerabilidades del software.El análisis de los datos de reducción de vulnerabilidades del 26 % de la base de clientes de SCW reveló que la formación de los desarrolladores redujo las vulnerabilidades del software entre un 22 % y un 84 %. Este rango se debe a variables como el tamaño de la empresa en cuestión (las empresas más pequeñas con un número relativamente menor de desarrolladores obtuvieron resultados más drásticos), si el grupo de aprendizaje se centró en un problema específico y si el grupo de aprendizaje se centró en un problema específico. En este caso, la proporción de defectos fue mayor.
Los resultados de las grandes empresas fueron bastante similares. En las empresas con más de 7000 desarrolladores, se puede esperar que la mejora de las habilidades de seguridad de los desarrolladores reduzca las vulnerabilidades entre un 47 % y un 53 %. Por ejemplo, en una empresa con más de 10 000 desarrolladores (que no es la empresa con mejor rendimiento en la plataforma ni la que tiene la puntuación más alta en la evaluación comparativa), las vulnerabilidades se redujeron en un 53 %.
Por supuesto, no es necesario un enfoque amplio y uniforme para lograr una formación eficaz. Debe adaptarse al entorno de trabajo del desarrollador y al tipo de desarrollo que realiza.
Las empresas deben establecer primero las habilidades básicas necesarias para que los desarrolladores puedan escribir código seguro con la misma naturalidad con la que escriben código normal. Los programas de mejora de habilidades deben consistir en una formación práctica y ágil que utilice escenarios reales adaptados al tipo de trabajo que se realiza y al lenguaje que se utiliza. Además, las sesiones de formación deben ser lo suficientemente flexibles como para adaptarse al calendario de trabajo.
En el caso de los desarrolladores, el conjunto de habilidades incluye más que solo escribir código. Los desarrolladores deben poder verificar los asistentes de inteligencia artificial y el software creado por terceros (por ejemplo, repositorios de código abierto). Los desarrolladores utilizaron con entusiasmo los modelos de IA generativa creados por ellos mismos y, en general, valoraron mucho la ventaja de que estos modelos les ayudaran a generar más código más rápidamente.Sin embargo, el 76 % de los encuestados respondió que el código generado por la IA de Snick Survey es más seguro que el código generado por humanos, mientras que el 56,4 % respondió que la IA sigue generando errores de vez en cuando o con frecuencia. La misma encuesta reveló que el 80 % de los desarrolladores omite aplicar políticas de seguridad al código de IA, lo que sugiere que los problemas de código de la IA no se están resolviendo.
En el enfoque Secure-by-Design, los desarrolladores no trabajan por separado del equipo de seguridad, sino que colaboran con él para resolver estos problemas en las primeras fases del SDLC e identificar y corregir los defectos antes de que el código entre en producción.
La puntuación de confianza mide el rendimiento de las personas y las empresas.
También es importante impartir formación de forma continua. Las empresas deben adoptar una cultura que priorice la seguridad y que se aplique a todos los niveles, desde los puestos más altos hasta los más bajos. Deben centrarse en la mejora continua y en la aplicación de prácticas de seguridad ejemplares en todo el ciclo de vida del desarrollo de software (SDLC). La tecnología y los ciberdelincuentes no dejan de evolucionar, y lo mismo ocurre con la ciberseguridad. Para las organizaciones que crean software, contar con desarrolladores formados en seguridad es fundamental.
Por lo tanto, demostrar que la formación ha surtido efecto es tan importante como la propia formación. Las puntuaciones de confianza no solo permiten evaluar el rendimiento de los desarrolladores individuales y de la organización en su conjunto, sino que también permiten a la organización analizar en detalle los datos de rendimiento y centrarse en un lenguaje, equipo de desarrolladores o categoría de software específicos. Los datos sobre el rendimiento individual y los resultados agregados también ayudan a identificar las áreas en las que es necesario mejorar la formación (por ejemplo, si esta no está teniendo el impacto deseado en el rendimiento diario de los desarrolladores).
Las organizaciones pueden evaluar el rendimiento de los desarrolladores mediante la puntuación de confianza y verificar que hayan adquirido y estén utilizando las tecnologías de seguridad necesarias para obtener la licencia de escritura de código. De este modo, las organizaciones pueden conceder con confianza acceso a los datos más sensibles y a los proyectos de software más importantes a los desarrolladores cualificados, y denegar el acceso a aquellos desarrolladores que aún no estén preparados para utilizar las herramientas necesarias.
Prueba de la cultura de seguridad cambiante
La ciberseguridad ya no es solo una cuestión de seguridad. Se trata de un problema empresarial que afecta a la integridad de los datos, el activo más importante de muchas organizaciones. Las infracciones graves pueden afectar al funcionamiento, la reputación y, potencialmente, la supervivencia de una organización. La importancia de la ciberseguridad no ha desaparecido, ni siquiera para los organismos reguladores, que están aplicando normativas cada vez más estrictas y están dispuestos a emprender acciones legales contra los CISO y, potencialmente, otros altos directivos. Estos organismos reguladores están dispuestos a presentar denuncias penales, como en los casos de Uber y SolarWinds.
En el entorno actual, es esencial adoptar una cultura de seguridad integral. Dado que una parte considerable del valor empresarial reside en los datos, las aplicaciones y los servicios, la codificación segura es un elemento fundamental de la cultura empresarial. La formación específica y la mejora de las habilidades, que forman parte de la mentalidad cultural, junto con la evidencia de que la formación ha contribuido a cambiar la cultura, pueden ayudar a las organizaciones a avanzar hacia una mayor seguridad.
Los programas de seguridad impulsados por los desarrolladores tienen valor. La prueba es la siguiente: puntuación de confianza.
Una forma segura de mejorar la postura de seguridad de una organización es mejorar las habilidades de los desarrolladores en materia de mejores prácticas de codificación segura, lo cual se logra mediante un marco que incluye puntos de referencia y bases de referencia diseñados para proporcionar a los desarrolladores las rutas de aprendizaje específicas que necesitan. Sin embargo, la codificación segura no es un problema que se pueda resolver de una sola vez. Debe estar codificada en el ADN de la organización y convertirse en un estilo de vida. Los desarrolladores no solo deben desplazarse hacia la izquierda o comenzar por la izquierda, sino que deben seguir moviéndose hacia la izquierda.
No basta con limitarse a impartir formación. Las organizaciones deben asegurarse de que los desarrolladores hayan asimilado completamente la formación y sigan las mejores prácticas como parte de su trabajo diario desde las primeras fases del ciclo de vida del desarrollo de software (SDLC). Es necesario realizar un seguimiento del rendimiento de los desarrolladores en comparación con los estándares internos y los puntos de referencia del sector, y medir el progreso para evaluar eficazmente el retorno de la inversión en formación.
Secure Code Warriors Trust Score proporciona visibilidad sobre el rendimiento de cada desarrollador y evalúa el rendimiento global de la organización mediante la agregación de datos.Identifica las áreas que necesitan mejorar y muestra la eficacia de los programas de mejora de habilidades. Además, ayuda a cumplir con diversos requisitos normativos, ya sea en relación con el Reglamento General de Protección de Datos (RGPD), la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (DSS), la Ley de Protección de la Privacidad del Consumidor de California (CCPA) u otros.
Según nuestra investigación, la formación en códigos de seguridad ha demostrado ser eficaz. Trust Score utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje obtenidos en el trabajo por más de 250 000 alumnos de más de 600 organizaciones, lo que demuestra su eficacia para eliminar vulnerabilidades y muestra cómo hacer que las iniciativas sean más eficaces.
La seguridad se refuerza a través de la formación: cuando los desarrolladores reciben formación,
Durante muchos años, utilizar las mejores prácticas de seguridad al iniciar el SDLC parecía una tarea muy ambiciosa en la industria del software. Aunque algún día será algo positivo, hoy en día no es una prioridad. Sin embargo, a medida que la velocidad de desarrollo del software sigue aumentando y que las amenazas cibernéticas sofisticadas y destructivas, que a menudo se crean para aprovechar las vulnerabilidades del software, también se aceleran, la codificación segura se ha convertido en algo imprescindible. La Agencia de Seguridad Cibernética y de Infraestructuras (CISA) sitúa el código seguro en primer plano. El diseño con la seguridad en mente es una iniciativa internacional en auge.
Nuestra investigación ha demostrado que existe una clara correlación entre el enfoque Secure by-Design y la reducción de las vulnerabilidades del software.El análisis de los datos de reducción de vulnerabilidades del 26 % de la base de clientes de SCW reveló que la formación de los desarrolladores redujo las vulnerabilidades del software entre un 22 % y un 84 %. Este rango se debe a variables como el tamaño de la empresa en cuestión (las empresas más pequeñas con un número relativamente menor de desarrolladores obtuvieron resultados más drásticos), si el grupo de aprendizaje se centró en un problema específico y si el grupo de aprendizaje se centró en un problema específico. En este caso, la proporción de defectos fue mayor.
Los resultados de las grandes empresas fueron bastante similares. En las empresas con más de 7000 desarrolladores, se puede esperar que la mejora de las habilidades de seguridad de los desarrolladores reduzca las vulnerabilidades entre un 47 % y un 53 %. Por ejemplo, en una empresa con más de 10 000 desarrolladores (que no es la empresa con mejor rendimiento en la plataforma ni la que tiene la puntuación más alta en la evaluación comparativa), las vulnerabilidades se redujeron en un 53 %.
Por supuesto, no es necesario un enfoque amplio y uniforme para lograr una formación eficaz. Debe adaptarse al entorno de trabajo del desarrollador y al tipo de desarrollo que realiza.
Las empresas deben establecer primero las habilidades básicas necesarias para que los desarrolladores puedan escribir código seguro con la misma naturalidad con la que escriben código normal. Los programas de mejora de habilidades deben consistir en una formación práctica y ágil que utilice escenarios reales adaptados al tipo de trabajo que se realiza y al lenguaje que se utiliza. Además, las sesiones de formación deben ser lo suficientemente flexibles como para adaptarse al calendario de trabajo.
En el caso de los desarrolladores, el conjunto de habilidades incluye más que solo escribir código. Los desarrolladores deben poder verificar los asistentes de inteligencia artificial y el software creado por terceros (por ejemplo, repositorios de código abierto). Los desarrolladores utilizaron con entusiasmo los modelos de IA generativa creados por ellos mismos y, en general, valoraron mucho la ventaja de que estos modelos les ayudaran a generar más código más rápidamente.Sin embargo, el 76 % de los encuestados respondió que el código generado por la IA de Snick Survey es más seguro que el código generado por humanos, mientras que el 56,4 % respondió que la IA sigue generando errores de vez en cuando o con frecuencia. La misma encuesta reveló que el 80 % de los desarrolladores omite aplicar políticas de seguridad al código de IA, lo que sugiere que los problemas de código de la IA no se están resolviendo.
En el enfoque Secure-by-Design, los desarrolladores no trabajan por separado del equipo de seguridad, sino que colaboran con él para resolver estos problemas en las primeras fases del SDLC e identificar y corregir los defectos antes de que el código entre en producción.
La puntuación de confianza mide el rendimiento de las personas y las empresas.
También es importante impartir formación de forma continua. Las empresas deben adoptar una cultura que priorice la seguridad y que se aplique a todos los niveles, desde los puestos más altos hasta los más bajos. Deben centrarse en la mejora continua y en la aplicación de prácticas de seguridad ejemplares en todo el ciclo de vida del desarrollo de software (SDLC). La tecnología y los ciberdelincuentes no dejan de evolucionar, y lo mismo ocurre con la ciberseguridad. Para las organizaciones que crean software, contar con desarrolladores formados en seguridad es fundamental.
Por lo tanto, demostrar que la formación ha surtido efecto es tan importante como la propia formación. Las puntuaciones de confianza no solo permiten evaluar el rendimiento de los desarrolladores individuales y de la organización en su conjunto, sino que también permiten a la organización analizar en detalle los datos de rendimiento y centrarse en un lenguaje, equipo de desarrolladores o categoría de software específicos. Los datos sobre el rendimiento individual y los resultados agregados también ayudan a identificar las áreas en las que es necesario mejorar la formación (por ejemplo, si esta no está teniendo el impacto deseado en el rendimiento diario de los desarrolladores).
Las organizaciones pueden evaluar el rendimiento de los desarrolladores mediante la puntuación de confianza y verificar que hayan adquirido y estén utilizando las tecnologías de seguridad necesarias para obtener la licencia de escritura de código. De este modo, las organizaciones pueden conceder con confianza acceso a los datos más sensibles y a los proyectos de software más importantes a los desarrolladores cualificados, y denegar el acceso a aquellos desarrolladores que aún no estén preparados para utilizar las herramientas necesarias.
Prueba de la cultura de seguridad cambiante
La ciberseguridad ya no es solo una cuestión de seguridad. Se trata de un problema empresarial que afecta a la integridad de los datos, el activo más importante de muchas organizaciones. Las infracciones graves pueden afectar al funcionamiento, la reputación y, potencialmente, la supervivencia de una organización. La importancia de la ciberseguridad no ha desaparecido, ni siquiera para los organismos reguladores, que están aplicando normativas cada vez más estrictas y están dispuestos a emprender acciones legales contra los CISO y, potencialmente, otros altos directivos. Estos organismos reguladores están dispuestos a presentar denuncias penales, como en los casos de Uber y SolarWinds.
En el entorno actual, es esencial adoptar una cultura de seguridad integral. Dado que una parte considerable del valor empresarial reside en los datos, las aplicaciones y los servicios, la codificación segura es un elemento fundamental de la cultura empresarial. La formación específica y la mejora de las habilidades, que forman parte de la mentalidad cultural, junto con la evidencia de que la formación ha contribuido a cambiar la cultura, pueden ayudar a las organizaciones a avanzar hacia una mayor seguridad.
Los programas de seguridad impulsados por los desarrolladores tienen valor. La prueba es la siguiente: puntuación de confianza.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una forma segura de mejorar la postura de seguridad de una organización es mejorar las habilidades de los desarrolladores en materia de mejores prácticas de codificación segura, lo cual se logra mediante un marco que incluye puntos de referencia y bases de referencia diseñados para proporcionar a los desarrolladores las rutas de aprendizaje específicas que necesitan. Sin embargo, la codificación segura no es un problema que se pueda resolver de una sola vez. Debe estar codificada en el ADN de la organización y convertirse en un estilo de vida. Los desarrolladores no solo deben desplazarse hacia la izquierda o comenzar por la izquierda, sino que deben seguir moviéndose hacia la izquierda.
No basta con limitarse a impartir formación. Las organizaciones deben asegurarse de que los desarrolladores hayan asimilado completamente la formación y sigan las mejores prácticas como parte de su trabajo diario desde las primeras fases del ciclo de vida del desarrollo de software (SDLC). Es necesario realizar un seguimiento del rendimiento de los desarrolladores en comparación con los estándares internos y los puntos de referencia del sector, y medir el progreso para evaluar eficazmente el retorno de la inversión en formación.
Secure Code Warriors Trust Score proporciona visibilidad sobre el rendimiento de cada desarrollador y evalúa el rendimiento global de la organización mediante la agregación de datos.Identifica las áreas que necesitan mejorar y muestra la eficacia de los programas de mejora de habilidades. Además, ayuda a cumplir con diversos requisitos normativos, ya sea en relación con el Reglamento General de Protección de Datos (RGPD), la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (DSS), la Ley de Protección de la Privacidad del Consumidor de California (CCPA) u otros.
Según nuestra investigación, la formación en códigos de seguridad ha demostrado ser eficaz. Trust Score utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje obtenidos en el trabajo por más de 250 000 alumnos de más de 600 organizaciones, lo que demuestra su eficacia para eliminar vulnerabilidades y muestra cómo hacer que las iniciativas sean más eficaces.
La seguridad se refuerza a través de la formación: cuando los desarrolladores reciben formación,
Durante muchos años, utilizar las mejores prácticas de seguridad al iniciar el SDLC parecía una tarea muy ambiciosa en la industria del software. Aunque algún día será algo positivo, hoy en día no es una prioridad. Sin embargo, a medida que la velocidad de desarrollo del software sigue aumentando y que las amenazas cibernéticas sofisticadas y destructivas, que a menudo se crean para aprovechar las vulnerabilidades del software, también se aceleran, la codificación segura se ha convertido en algo imprescindible. La Agencia de Seguridad Cibernética y de Infraestructuras (CISA) sitúa el código seguro en primer plano. El diseño con la seguridad en mente es una iniciativa internacional en auge.
Nuestra investigación ha demostrado que existe una clara correlación entre el enfoque Secure by-Design y la reducción de las vulnerabilidades del software.El análisis de los datos de reducción de vulnerabilidades del 26 % de la base de clientes de SCW reveló que la formación de los desarrolladores redujo las vulnerabilidades del software entre un 22 % y un 84 %. Este rango se debe a variables como el tamaño de la empresa en cuestión (las empresas más pequeñas con un número relativamente menor de desarrolladores obtuvieron resultados más drásticos), si el grupo de aprendizaje se centró en un problema específico y si el grupo de aprendizaje se centró en un problema específico. En este caso, la proporción de defectos fue mayor.
Los resultados de las grandes empresas fueron bastante similares. En las empresas con más de 7000 desarrolladores, se puede esperar que la mejora de las habilidades de seguridad de los desarrolladores reduzca las vulnerabilidades entre un 47 % y un 53 %. Por ejemplo, en una empresa con más de 10 000 desarrolladores (que no es la empresa con mejor rendimiento en la plataforma ni la que tiene la puntuación más alta en la evaluación comparativa), las vulnerabilidades se redujeron en un 53 %.
Por supuesto, no es necesario un enfoque amplio y uniforme para lograr una formación eficaz. Debe adaptarse al entorno de trabajo del desarrollador y al tipo de desarrollo que realiza.
Las empresas deben establecer primero las habilidades básicas necesarias para que los desarrolladores puedan escribir código seguro con la misma naturalidad con la que escriben código normal. Los programas de mejora de habilidades deben consistir en una formación práctica y ágil que utilice escenarios reales adaptados al tipo de trabajo que se realiza y al lenguaje que se utiliza. Además, las sesiones de formación deben ser lo suficientemente flexibles como para adaptarse al calendario de trabajo.
En el caso de los desarrolladores, el conjunto de habilidades incluye más que solo escribir código. Los desarrolladores deben poder verificar los asistentes de inteligencia artificial y el software creado por terceros (por ejemplo, repositorios de código abierto). Los desarrolladores utilizaron con entusiasmo los modelos de IA generativa creados por ellos mismos y, en general, valoraron mucho la ventaja de que estos modelos les ayudaran a generar más código más rápidamente.Sin embargo, el 76 % de los encuestados respondió que el código generado por la IA de Snick Survey es más seguro que el código generado por humanos, mientras que el 56,4 % respondió que la IA sigue generando errores de vez en cuando o con frecuencia. La misma encuesta reveló que el 80 % de los desarrolladores omite aplicar políticas de seguridad al código de IA, lo que sugiere que los problemas de código de la IA no se están resolviendo.
En el enfoque Secure-by-Design, los desarrolladores no trabajan por separado del equipo de seguridad, sino que colaboran con él para resolver estos problemas en las primeras fases del SDLC e identificar y corregir los defectos antes de que el código entre en producción.
La puntuación de confianza mide el rendimiento de las personas y las empresas.
También es importante impartir formación de forma continua. Las empresas deben adoptar una cultura que priorice la seguridad y que se aplique a todos los niveles, desde los puestos más altos hasta los más bajos. Deben centrarse en la mejora continua y en la aplicación de prácticas de seguridad ejemplares en todo el ciclo de vida del desarrollo de software (SDLC). La tecnología y los ciberdelincuentes no dejan de evolucionar, y lo mismo ocurre con la ciberseguridad. Para las organizaciones que crean software, contar con desarrolladores formados en seguridad es fundamental.
Por lo tanto, demostrar que la formación ha surtido efecto es tan importante como la propia formación. Las puntuaciones de confianza no solo permiten evaluar el rendimiento de los desarrolladores individuales y de la organización en su conjunto, sino que también permiten a la organización analizar en detalle los datos de rendimiento y centrarse en un lenguaje, equipo de desarrolladores o categoría de software específicos. Los datos sobre el rendimiento individual y los resultados agregados también ayudan a identificar las áreas en las que es necesario mejorar la formación (por ejemplo, si esta no está teniendo el impacto deseado en el rendimiento diario de los desarrolladores).
Las organizaciones pueden evaluar el rendimiento de los desarrolladores mediante la puntuación de confianza y verificar que hayan adquirido y estén utilizando las tecnologías de seguridad necesarias para obtener la licencia de escritura de código. De este modo, las organizaciones pueden conceder con confianza acceso a los datos más sensibles y a los proyectos de software más importantes a los desarrolladores cualificados, y denegar el acceso a aquellos desarrolladores que aún no estén preparados para utilizar las herramientas necesarias.
Prueba de la cultura de seguridad cambiante
La ciberseguridad ya no es solo una cuestión de seguridad. Se trata de un problema empresarial que afecta a la integridad de los datos, el activo más importante de muchas organizaciones. Las infracciones graves pueden afectar al funcionamiento, la reputación y, potencialmente, la supervivencia de una organización. La importancia de la ciberseguridad no ha desaparecido, ni siquiera para los organismos reguladores, que están aplicando normativas cada vez más estrictas y están dispuestos a emprender acciones legales contra los CISO y, potencialmente, otros altos directivos. Estos organismos reguladores están dispuestos a presentar denuncias penales, como en los casos de Uber y SolarWinds.
En el entorno actual, es esencial adoptar una cultura de seguridad integral. Dado que una parte considerable del valor empresarial reside en los datos, las aplicaciones y los servicios, la codificación segura es un elemento fundamental de la cultura empresarial. La formación específica y la mejora de las habilidades, que forman parte de la mentalidad cultural, junto con la evidencia de que la formación ha contribuido a cambiar la cultura, pueden ayudar a las organizaciones a avanzar hacia una mayor seguridad.
Los programas de seguridad impulsados por los desarrolladores tienen valor. La prueba es la siguiente: puntuación de confianza.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
