¿Quiere que los desarrolladores programen con conciencia de seguridad? Proporcione formación a los desarrolladores.
El ciclo de vida del desarrollo de software (SDLC) parece bastante inofensivo. Se trata de un proceso en el que todos los responsables de software aunamos fuerzas para crear algo mágico y presentar productos digitales imprescindibles para la sociedad.
Sin embargo, si alguna vez has participado en un proyecto de desarrollo de software, sabrás que se trata de un proyecto difícil, con misiones que hay que completar y obstáculos que hay que superar. Aunque al principio puede resultar divertido, el agotamiento es una realidad. Debido a la demanda de software, todos trabajamos a toda velocidad en los mejores momentos. Esto es especialmente cierto en el caso de los equipos de desarrollo.
Ahora imagina que se les asigna otra tarea que deben realizar sin falta. Se trata de la responsabilidad sobre la seguridad de los elementos del proyecto con los que entran en contacto. Esto puede suponer, en el peor de los casos, que el castillo de naipes de algunas personas se derrumbe. Sin embargo, un escenario más realista es que, al no haber prioridades establecidas, se dé prioridad a los problemas que se consideran más urgentes. Y si la mayoría de los desarrolladores no reciben formación para programar de forma segura (especialmente cuando los administradores no dan prioridad a la seguridad), no es de extrañar que se produzcan frecuentes fugas de datos, se lancen aplicaciones defectuosas y se generen enormes cantidades de código con errores, lo que provoca un grave desgaste entre los expertos en seguridad.
Los desarrolladores necesitan el apoyo de AppSec.
Si observamos el escenario anterior, podemos comprender por qué la seguridad se incluye en la categoría de «demasiado difícil» en el proceso de codificación y se deja en manos del equipo de seguridad. Hay demasiados plazos que cumplir, la formación es insuficiente y, con todo lo demás que hay que hacer, no hay motivo para preocuparse por la seguridad.Sin embargo, para mantener esta situación, la demanda de código es demasiado alta. Es aquí donde los desarrolladores de primer nivel pueden destacar sobre sus compañeros, aprender nuevas tecnologías y, sobre todo, crear código más seguro.
Sin embargo, hay que recordar que la gestión de la seguridad del software no es responsabilidad de los desarrolladores. Sigue siendo competencia del equipo de AppSec (cuando se trabaja con desarrolladores con conocimientos de seguridad, se puede ganar más tiempo en lugar de corregir repetidamente errores comunes). Para que el proceso DevSecOps funcione correctamente, todos los miembros del equipo deben contar con el apoyo y las herramientas necesarias para compartir la responsabilidad de la seguridad. Lo mejor es una formación adecuada. Para lograr el equilibrio adecuado entre las herramientas y la formación, se necesita la visión de un experto en AppSec que trabaje en estrecha colaboración con los desarrolladores para inspirar y liderar un cambio positivo.
El entrenamiento destructivo es más molesto que eficaz, y lo que resulta desagradable para los desarrolladores no es eficaz. Una alternativa es una solución integrada de IDE o gestor de incidencias centrada en conocimientos sencillos, que proporciona a los usuarios la información adecuada en el momento preciso en que la necesitan.
El principio de funcionamiento es el siguiente.
No «por si acaso», sino en el momento y lugar adecuados.
El aprendizaje práctico adaptado a cada situación es, sin duda, el método de formación más eficaz, y se imparte en pequeñas dosis cuando es más adecuado. También se conoce como formación «Just in Time» (Jit) y resulta muy útil para los desarrolladores que aprenden codificación segura.
El principio de fabricación ajustada de Toyota, que incluye el origen, y la formación JIT están diseñados para activarse en el momento más importante según las necesidades de cada situación. ¿Acaba de escribir el desarrollador algo que parece tener permisos inadecuados? ¿Qué pasaría si se abriera una pequeña puerta trasera y un atacante pudiera ejecutar código de forma remota?Sería mucho más memorable si los desarrolladores pudieran acceder al conocimiento cuando lo necesitaran, en lugar de buscar documentos en Confluence o buscar en Google lo que se ha tratado en los cursos de formación.
Just-in-Time es todo lo contrario al aprendizaje «por si acaso». Aunque este último es el método más habitual para transmitir conocimientos, no es eficaz. Debemos facilitar a los desarrolladores el uso de las mejores prácticas de codificación segura y mostrarles las ventajas que pueden obtener a lo largo de su carrera profesional, sin perder de vista los objetivos principales en los que están trabajando actualmente.
No obliguen a los desarrolladores a seguir la formación.
Ya sabemos que las horas de trabajo son excesivas. Entonces, ¿qué incentivo se necesitaría para que los desarrolladores acudieran a las aulas o siguieran cinco pasos para acceder a una formación teórica estática mediante un cambio de contexto?
La opinión generalizada es que, por muchas vulnerabilidades que existan que puedan provocar violaciones de datos, la mayoría de las organizaciones no pueden hacer gran cosa al respecto. El informe de Verizon sobre violaciones de datos de 2020 afirma lo siguiente : El 43 % de las violaciones de datos pueden deberse a vulnerabilidades web. Los desarrolladores no reciben una formación eficaz. No se trata de una formación superior ni de medidas de mejora de las habilidades en el lugar de trabajo. Entonces, ¿qué vulnerabilidades comunes se pueden mencionar? La inyección SQL, la vieja escuela, etc. La navegación por rutas no se utilizará para causar una pérdida significativa de datos, y la falta de habilidades en ciberseguridad no será incontrolable.
¿Por qué nos sorprende que los resultados no sean buenos, sabiendo que los desarrolladores reciben formación y aprenden sobre seguridad en el entorno actual? Ofrecer una experiencia formativa más fluida, integrada y menos molesta, accesible desde los espacios de trabajo reales, como Jira, GitHub o IDE, puede tener un impacto positivo tanto para los desarrolladores como para las organizaciones. La industria ya no puede permitirse el lujo de quedarse atrás, sino que debe avanzar y facilitar la concienciación sobre la seguridad.
¿Está listo para proteger su flujo de trabajo de desarrollo?
Los desarrolladores con conocimientos sólidos en materia de seguridad son muy valorados por las organizaciones, ya que aportan tecnologías y funciones de protección desde la fase de programación. La seguridad ya no es una opción, sino una necesidad, sobre todo debido al aumento de las multas por incumplimiento del RGPD, las normas de cumplimiento PCI-DSS, la gobernanza NIST... y el riesgo de demandas colectivas millonarias, como la de A'la Equifax.
El enfoque integrado puede ser un catalizador para atraer la atención de los desarrolladores con un aprendizaje menos disruptivo. Puede crear una ruta para cursos en profundidad, formar a expertos en seguridad y fomentar la responsabilidad compartida necesaria para proteger los datos de todo el mundo. Descargue las herramientas integradas para
en Jira y GitHub. Ahora, cuéntenos qué opina.
Ya sabemos que las horas de trabajo son excesivas. Entonces, ¿qué incentivo se necesitaría para que los desarrolladores acudieran a las aulas o siguieran cinco pasos para acceder a una formación teórica estática mediante un cambio de contexto?
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
El ciclo de vida del desarrollo de software (SDLC) parece bastante inofensivo. Se trata de un proceso en el que todos los responsables de software aunamos fuerzas para crear algo mágico y presentar productos digitales imprescindibles para la sociedad.
Sin embargo, si alguna vez has participado en un proyecto de desarrollo de software, sabrás que se trata de un proyecto difícil, con misiones que hay que completar y obstáculos que hay que superar. Aunque al principio puede resultar divertido, el agotamiento es una realidad. Debido a la demanda de software, todos trabajamos a toda velocidad en los mejores momentos. Esto es especialmente cierto en el caso de los equipos de desarrollo.
Ahora imagina que se les asigna otra tarea que deben realizar sin falta. Se trata de la responsabilidad sobre la seguridad de los elementos del proyecto con los que entran en contacto. Esto puede suponer, en el peor de los casos, que el castillo de naipes de algunas personas se derrumbe. Sin embargo, un escenario más realista es que, al no haber prioridades establecidas, se dé prioridad a los problemas que se consideran más urgentes. Y si la mayoría de los desarrolladores no reciben formación para programar de forma segura (especialmente cuando los administradores no dan prioridad a la seguridad), no es de extrañar que se produzcan frecuentes fugas de datos, se lancen aplicaciones defectuosas y se generen enormes cantidades de código con errores, lo que provoca un grave desgaste entre los expertos en seguridad.
Los desarrolladores necesitan el apoyo de AppSec.
Si observamos el escenario anterior, podemos comprender por qué la seguridad se incluye en la categoría de «demasiado difícil» en el proceso de codificación y se deja en manos del equipo de seguridad. Hay demasiados plazos que cumplir, la formación es insuficiente y, con todo lo demás que hay que hacer, no hay motivo para preocuparse por la seguridad.Sin embargo, para mantener esta situación, la demanda de código es demasiado alta. Es aquí donde los desarrolladores de primer nivel pueden destacar sobre sus compañeros, aprender nuevas tecnologías y, sobre todo, crear código más seguro.
Sin embargo, hay que recordar que la gestión de la seguridad del software no es responsabilidad de los desarrolladores. Sigue siendo competencia del equipo de AppSec (cuando se trabaja con desarrolladores con conocimientos de seguridad, se puede ganar más tiempo en lugar de corregir repetidamente errores comunes). Para que el proceso DevSecOps funcione correctamente, todos los miembros del equipo deben contar con el apoyo y las herramientas necesarias para compartir la responsabilidad de la seguridad. Lo mejor es una formación adecuada. Para lograr el equilibrio adecuado entre las herramientas y la formación, se necesita la visión de un experto en AppSec que trabaje en estrecha colaboración con los desarrolladores para inspirar y liderar un cambio positivo.
El entrenamiento destructivo es más molesto que eficaz, y lo que resulta desagradable para los desarrolladores no es eficaz. Una alternativa es una solución integrada de IDE o gestor de incidencias centrada en conocimientos sencillos, que proporciona a los usuarios la información adecuada en el momento preciso en que la necesitan.
El principio de funcionamiento es el siguiente.
No «por si acaso», sino en el momento y lugar adecuados.
El aprendizaje práctico adaptado a cada situación es, sin duda, el método de formación más eficaz, y se imparte en pequeñas dosis cuando es más adecuado. También se conoce como formación «Just in Time» (Jit) y resulta muy útil para los desarrolladores que aprenden codificación segura.
El principio de fabricación ajustada de Toyota, que incluye el origen, y la formación JIT están diseñados para activarse en el momento más importante según las necesidades de cada situación. ¿Acaba de escribir el desarrollador algo que parece tener permisos inadecuados? ¿Qué pasaría si se abriera una pequeña puerta trasera y un atacante pudiera ejecutar código de forma remota?Sería mucho más memorable si los desarrolladores pudieran acceder al conocimiento cuando lo necesitaran, en lugar de buscar documentos en Confluence o buscar en Google lo que se ha tratado en los cursos de formación.
Just-in-Time es todo lo contrario al aprendizaje «por si acaso». Aunque este último es el método más habitual para transmitir conocimientos, no es eficaz. Debemos facilitar a los desarrolladores el uso de las mejores prácticas de codificación segura y mostrarles las ventajas que pueden obtener a lo largo de su carrera profesional, sin perder de vista los objetivos principales en los que están trabajando actualmente.
No obliguen a los desarrolladores a seguir la formación.
Ya sabemos que las horas de trabajo son excesivas. Entonces, ¿qué incentivo se necesitaría para que los desarrolladores acudieran a las aulas o siguieran cinco pasos para acceder a una formación teórica estática mediante un cambio de contexto?
La opinión generalizada es que, por muchas vulnerabilidades que existan que puedan provocar violaciones de datos, la mayoría de las organizaciones no pueden hacer gran cosa al respecto. El informe de Verizon sobre violaciones de datos de 2020 afirma lo siguiente : El 43 % de las violaciones de datos pueden deberse a vulnerabilidades web. Los desarrolladores no reciben una formación eficaz. No se trata de una formación superior ni de medidas de mejora de las habilidades en el lugar de trabajo. Entonces, ¿qué vulnerabilidades comunes se pueden mencionar? La inyección SQL, la vieja escuela, etc. La navegación por rutas no se utilizará para causar una pérdida significativa de datos, y la falta de habilidades en ciberseguridad no será incontrolable.
¿Por qué nos sorprende que los resultados no sean buenos, sabiendo que los desarrolladores reciben formación y aprenden sobre seguridad en el entorno actual? Ofrecer una experiencia formativa más fluida, integrada y menos molesta, accesible desde los espacios de trabajo reales, como Jira, GitHub o IDE, puede tener un impacto positivo tanto para los desarrolladores como para las organizaciones. La industria ya no puede permitirse el lujo de quedarse atrás, sino que debe avanzar y facilitar la concienciación sobre la seguridad.
¿Está listo para proteger su flujo de trabajo de desarrollo?
Los desarrolladores con conocimientos sólidos en materia de seguridad son muy valorados por las organizaciones, ya que aportan tecnologías y funciones de protección desde la fase de programación. La seguridad ya no es una opción, sino una necesidad, sobre todo debido al aumento de las multas por incumplimiento del RGPD, las normas de cumplimiento PCI-DSS, la gobernanza NIST... y el riesgo de demandas colectivas millonarias, como la de A'la Equifax.
El enfoque integrado puede ser un catalizador para atraer la atención de los desarrolladores con un aprendizaje menos disruptivo. Puede crear una ruta para cursos en profundidad, formar a expertos en seguridad y fomentar la responsabilidad compartida necesaria para proteger los datos de todo el mundo. Descargue las herramientas integradas para
en Jira y GitHub. Ahora, cuéntenos qué opina.
El ciclo de vida del desarrollo de software (SDLC) parece bastante inofensivo. Se trata de un proceso en el que todos los responsables de software aunamos fuerzas para crear algo mágico y presentar productos digitales imprescindibles para la sociedad.
Sin embargo, si alguna vez has participado en un proyecto de desarrollo de software, sabrás que se trata de un proyecto difícil, con misiones que hay que completar y obstáculos que hay que superar. Aunque al principio puede resultar divertido, el agotamiento es una realidad. Debido a la demanda de software, todos trabajamos a toda velocidad en los mejores momentos. Esto es especialmente cierto en el caso de los equipos de desarrollo.
Ahora imagina que se les asigna otra tarea que deben realizar sin falta. Se trata de la responsabilidad sobre la seguridad de los elementos del proyecto con los que entran en contacto. Esto puede suponer, en el peor de los casos, que el castillo de naipes de algunas personas se derrumbe. Sin embargo, un escenario más realista es que, al no haber prioridades establecidas, se dé prioridad a los problemas que se consideran más urgentes. Y si la mayoría de los desarrolladores no reciben formación para programar de forma segura (especialmente cuando los administradores no dan prioridad a la seguridad), no es de extrañar que se produzcan frecuentes fugas de datos, se lancen aplicaciones defectuosas y se generen enormes cantidades de código con errores, lo que provoca un grave desgaste entre los expertos en seguridad.
Los desarrolladores necesitan el apoyo de AppSec.
Si observamos el escenario anterior, podemos comprender por qué la seguridad se incluye en la categoría de «demasiado difícil» en el proceso de codificación y se deja en manos del equipo de seguridad. Hay demasiados plazos que cumplir, la formación es insuficiente y, con todo lo demás que hay que hacer, no hay motivo para preocuparse por la seguridad.Sin embargo, para mantener esta situación, la demanda de código es demasiado alta. Es aquí donde los desarrolladores de primer nivel pueden destacar sobre sus compañeros, aprender nuevas tecnologías y, sobre todo, crear código más seguro.
Sin embargo, hay que recordar que la gestión de la seguridad del software no es responsabilidad de los desarrolladores. Sigue siendo competencia del equipo de AppSec (cuando se trabaja con desarrolladores con conocimientos de seguridad, se puede ganar más tiempo en lugar de corregir repetidamente errores comunes). Para que el proceso DevSecOps funcione correctamente, todos los miembros del equipo deben contar con el apoyo y las herramientas necesarias para compartir la responsabilidad de la seguridad. Lo mejor es una formación adecuada. Para lograr el equilibrio adecuado entre las herramientas y la formación, se necesita la visión de un experto en AppSec que trabaje en estrecha colaboración con los desarrolladores para inspirar y liderar un cambio positivo.
El entrenamiento destructivo es más molesto que eficaz, y lo que resulta desagradable para los desarrolladores no es eficaz. Una alternativa es una solución integrada de IDE o gestor de incidencias centrada en conocimientos sencillos, que proporciona a los usuarios la información adecuada en el momento preciso en que la necesitan.
El principio de funcionamiento es el siguiente.
No «por si acaso», sino en el momento y lugar adecuados.
El aprendizaje práctico adaptado a cada situación es, sin duda, el método de formación más eficaz, y se imparte en pequeñas dosis cuando es más adecuado. También se conoce como formación «Just in Time» (Jit) y resulta muy útil para los desarrolladores que aprenden codificación segura.
El principio de fabricación ajustada de Toyota, que incluye el origen, y la formación JIT están diseñados para activarse en el momento más importante según las necesidades de cada situación. ¿Acaba de escribir el desarrollador algo que parece tener permisos inadecuados? ¿Qué pasaría si se abriera una pequeña puerta trasera y un atacante pudiera ejecutar código de forma remota?Sería mucho más memorable si los desarrolladores pudieran acceder al conocimiento cuando lo necesitaran, en lugar de buscar documentos en Confluence o buscar en Google lo que se ha tratado en los cursos de formación.
Just-in-Time es todo lo contrario al aprendizaje «por si acaso». Aunque este último es el método más habitual para transmitir conocimientos, no es eficaz. Debemos facilitar a los desarrolladores el uso de las mejores prácticas de codificación segura y mostrarles las ventajas que pueden obtener a lo largo de su carrera profesional, sin perder de vista los objetivos principales en los que están trabajando actualmente.
No obliguen a los desarrolladores a seguir la formación.
Ya sabemos que las horas de trabajo son excesivas. Entonces, ¿qué incentivo se necesitaría para que los desarrolladores acudieran a las aulas o siguieran cinco pasos para acceder a una formación teórica estática mediante un cambio de contexto?
La opinión generalizada es que, por muchas vulnerabilidades que existan que puedan provocar violaciones de datos, la mayoría de las organizaciones no pueden hacer gran cosa al respecto. El informe de Verizon sobre violaciones de datos de 2020 afirma lo siguiente : El 43 % de las violaciones de datos pueden deberse a vulnerabilidades web. Los desarrolladores no reciben una formación eficaz. No se trata de una formación superior ni de medidas de mejora de las habilidades en el lugar de trabajo. Entonces, ¿qué vulnerabilidades comunes se pueden mencionar? La inyección SQL, la vieja escuela, etc. La navegación por rutas no se utilizará para causar una pérdida significativa de datos, y la falta de habilidades en ciberseguridad no será incontrolable.
¿Por qué nos sorprende que los resultados no sean buenos, sabiendo que los desarrolladores reciben formación y aprenden sobre seguridad en el entorno actual? Ofrecer una experiencia formativa más fluida, integrada y menos molesta, accesible desde los espacios de trabajo reales, como Jira, GitHub o IDE, puede tener un impacto positivo tanto para los desarrolladores como para las organizaciones. La industria ya no puede permitirse el lujo de quedarse atrás, sino que debe avanzar y facilitar la concienciación sobre la seguridad.
¿Está listo para proteger su flujo de trabajo de desarrollo?
Los desarrolladores con conocimientos sólidos en materia de seguridad son muy valorados por las organizaciones, ya que aportan tecnologías y funciones de protección desde la fase de programación. La seguridad ya no es una opción, sino una necesidad, sobre todo debido al aumento de las multas por incumplimiento del RGPD, las normas de cumplimiento PCI-DSS, la gobernanza NIST... y el riesgo de demandas colectivas millonarias, como la de A'la Equifax.
El enfoque integrado puede ser un catalizador para atraer la atención de los desarrolladores con un aprendizaje menos disruptivo. Puede crear una ruta para cursos en profundidad, formar a expertos en seguridad y fomentar la responsabilidad compartida necesaria para proteger los datos de todo el mundo. Descargue las herramientas integradas para
en Jira y GitHub. Ahora, cuéntenos qué opina.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
El ciclo de vida del desarrollo de software (SDLC) parece bastante inofensivo. Se trata de un proceso en el que todos los responsables de software aunamos fuerzas para crear algo mágico y presentar productos digitales imprescindibles para la sociedad.
Sin embargo, si alguna vez has participado en un proyecto de desarrollo de software, sabrás que se trata de un proyecto difícil, con misiones que hay que completar y obstáculos que hay que superar. Aunque al principio puede resultar divertido, el agotamiento es una realidad. Debido a la demanda de software, todos trabajamos a toda velocidad en los mejores momentos. Esto es especialmente cierto en el caso de los equipos de desarrollo.
Ahora imagina que se les asigna otra tarea que deben realizar sin falta. Se trata de la responsabilidad sobre la seguridad de los elementos del proyecto con los que entran en contacto. Esto puede suponer, en el peor de los casos, que el castillo de naipes de algunas personas se derrumbe. Sin embargo, un escenario más realista es que, al no haber prioridades establecidas, se dé prioridad a los problemas que se consideran más urgentes. Y si la mayoría de los desarrolladores no reciben formación para programar de forma segura (especialmente cuando los administradores no dan prioridad a la seguridad), no es de extrañar que se produzcan frecuentes fugas de datos, se lancen aplicaciones defectuosas y se generen enormes cantidades de código con errores, lo que provoca un grave desgaste entre los expertos en seguridad.
Los desarrolladores necesitan el apoyo de AppSec.
Si observamos el escenario anterior, podemos comprender por qué la seguridad se incluye en la categoría de «demasiado difícil» en el proceso de codificación y se deja en manos del equipo de seguridad. Hay demasiados plazos que cumplir, la formación es insuficiente y, con todo lo demás que hay que hacer, no hay motivo para preocuparse por la seguridad.Sin embargo, para mantener esta situación, la demanda de código es demasiado alta. Es aquí donde los desarrolladores de primer nivel pueden destacar sobre sus compañeros, aprender nuevas tecnologías y, sobre todo, crear código más seguro.
Sin embargo, hay que recordar que la gestión de la seguridad del software no es responsabilidad de los desarrolladores. Sigue siendo competencia del equipo de AppSec (cuando se trabaja con desarrolladores con conocimientos de seguridad, se puede ganar más tiempo en lugar de corregir repetidamente errores comunes). Para que el proceso DevSecOps funcione correctamente, todos los miembros del equipo deben contar con el apoyo y las herramientas necesarias para compartir la responsabilidad de la seguridad. Lo mejor es una formación adecuada. Para lograr el equilibrio adecuado entre las herramientas y la formación, se necesita la visión de un experto en AppSec que trabaje en estrecha colaboración con los desarrolladores para inspirar y liderar un cambio positivo.
El entrenamiento destructivo es más molesto que eficaz, y lo que resulta desagradable para los desarrolladores no es eficaz. Una alternativa es una solución integrada de IDE o gestor de incidencias centrada en conocimientos sencillos, que proporciona a los usuarios la información adecuada en el momento preciso en que la necesitan.
El principio de funcionamiento es el siguiente.
No «por si acaso», sino en el momento y lugar adecuados.
El aprendizaje práctico adaptado a cada situación es, sin duda, el método de formación más eficaz, y se imparte en pequeñas dosis cuando es más adecuado. También se conoce como formación «Just in Time» (Jit) y resulta muy útil para los desarrolladores que aprenden codificación segura.
El principio de fabricación ajustada de Toyota, que incluye el origen, y la formación JIT están diseñados para activarse en el momento más importante según las necesidades de cada situación. ¿Acaba de escribir el desarrollador algo que parece tener permisos inadecuados? ¿Qué pasaría si se abriera una pequeña puerta trasera y un atacante pudiera ejecutar código de forma remota?Sería mucho más memorable si los desarrolladores pudieran acceder al conocimiento cuando lo necesitaran, en lugar de buscar documentos en Confluence o buscar en Google lo que se ha tratado en los cursos de formación.
Just-in-Time es todo lo contrario al aprendizaje «por si acaso». Aunque este último es el método más habitual para transmitir conocimientos, no es eficaz. Debemos facilitar a los desarrolladores el uso de las mejores prácticas de codificación segura y mostrarles las ventajas que pueden obtener a lo largo de su carrera profesional, sin perder de vista los objetivos principales en los que están trabajando actualmente.
No obliguen a los desarrolladores a seguir la formación.
Ya sabemos que las horas de trabajo son excesivas. Entonces, ¿qué incentivo se necesitaría para que los desarrolladores acudieran a las aulas o siguieran cinco pasos para acceder a una formación teórica estática mediante un cambio de contexto?
La opinión generalizada es que, por muchas vulnerabilidades que existan que puedan provocar violaciones de datos, la mayoría de las organizaciones no pueden hacer gran cosa al respecto. El informe de Verizon sobre violaciones de datos de 2020 afirma lo siguiente : El 43 % de las violaciones de datos pueden deberse a vulnerabilidades web. Los desarrolladores no reciben una formación eficaz. No se trata de una formación superior ni de medidas de mejora de las habilidades en el lugar de trabajo. Entonces, ¿qué vulnerabilidades comunes se pueden mencionar? La inyección SQL, la vieja escuela, etc. La navegación por rutas no se utilizará para causar una pérdida significativa de datos, y la falta de habilidades en ciberseguridad no será incontrolable.
¿Por qué nos sorprende que los resultados no sean buenos, sabiendo que los desarrolladores reciben formación y aprenden sobre seguridad en el entorno actual? Ofrecer una experiencia formativa más fluida, integrada y menos molesta, accesible desde los espacios de trabajo reales, como Jira, GitHub o IDE, puede tener un impacto positivo tanto para los desarrolladores como para las organizaciones. La industria ya no puede permitirse el lujo de quedarse atrás, sino que debe avanzar y facilitar la concienciación sobre la seguridad.
¿Está listo para proteger su flujo de trabajo de desarrollo?
Los desarrolladores con conocimientos sólidos en materia de seguridad son muy valorados por las organizaciones, ya que aportan tecnologías y funciones de protección desde la fase de programación. La seguridad ya no es una opción, sino una necesidad, sobre todo debido al aumento de las multas por incumplimiento del RGPD, las normas de cumplimiento PCI-DSS, la gobernanza NIST... y el riesgo de demandas colectivas millonarias, como la de A'la Equifax.
El enfoque integrado puede ser un catalizador para atraer la atención de los desarrolladores con un aprendizaje menos disruptivo. Puede crear una ruta para cursos en profundidad, formar a expertos en seguridad y fomentar la responsabilidad compartida necesaria para proteger los datos de todo el mundo. Descargue las herramientas integradas para
en Jira y GitHub. Ahora, cuéntenos qué opina.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
