Según Pieter Danhieux, destacado evangelista del software seguro y cofundador de la start-up australiana Secure Code Warrior, los bancos australianos están liderando a nivel mundial el desarrollo de una sólida mentalidad de seguridad entre sus desarrolladores de software.
Danhieux dijo que cinco de los seis bancos más importantes de Australia estaban ahora involucrando activamente a sus desarrolladores para construir habilidades de codificación segura a través de Secure Code Warrior's en línea, a su propio ritmo, entorno de aprendizaje gamificado, así como la revisión de las métricas en tiempo real y la presentación de informes para verificar las fortalezas y debilidades de sus desarrolladores y equipos. El primer contrato fue el de AUDM con un importante banco en agosto de 2016, al que siguieron contratos con otros cuatro desde entonces.
"Los bancos tradicionales se han visto sometidos a una fuerte presión por parte de los competidores no tradicionales para acelerar su salida al mercado, mejorar la calidad y aumentar la flexibilidad. Esto les ha llevado a adoptar marcos de desarrollo más ágiles que se centran en el desarrollo rápido de características y funciones a expensas de la seguridad", dijo Danhieux.
"El coste medio de una violación de datos asciende ahora a 6 millones de dólares y las probabilidades de que una empresa se vea afectada son de una entre cuatro. La mayoría de las principales violaciones de la seguridad en el mundo se deben a errores de codificación que permiten a los piratas informáticos obtener más privilegios en las redes informáticas, lo que les da acceso a recoger datos críticos", añadió.
El Sr. Danhieux citó las infracciones de los últimos años, como las del Qatar National Bank, VTech, Mossack-Fonseca (Papeles de Panamá) y TalkTalk, en las que los piratas informáticos se aprovecharon de las malas prácticas de seguridad del software.
Danhieux, hacker ético de larga trayectoria, instructor principal del SANS Institute y profesional de la ciberseguridad del año 2016 de AISA, apoya firmemente las metodologías de desarrollo ágil que integran la seguridad desde el principio, prácticas empleadas por muchas empresas tecnológicas y un número cada vez mayor de instituciones de servicios financieros.
"El cambio al desarrollo ágil tiene algunas grandes ventajas de velocidad para las empresas y los clientes, pero ha creado nuevos e importantes retos con respecto a la prevención de las vulnerabilidades de seguridad. Todos los desarrolladores necesitan ahora que la seguridad esté integrada en su ADN, manteniendo la velocidad pero reduciendo los fallos de seguridad que suelen ser caros de solucionar."
Secure Code Warrior se fundó en Sídney y Londres en 2015 cuando Danhieux, su socio John Fitzgerald y otros tres profesionales de la ciberseguridad australianos, decidieron que querían ayudar a los desarrolladores de software a adoptar la seguridad como una responsabilidad fundamental de su trabajo.
"Las herramientas actuales de seguridad de las aplicaciones se centran en moverse de derecha a izquierda en el ciclo de vida del desarrollo de software (SDLC), un enfoque que apoya la detección y la reacción: detectar las vulnerabilidades en el código escrito y reaccionar para solucionarlas. Nosotros nos centramos en el extremo izquierdo del SDLC, convirtiendo al desarrollador en la primera línea de defensa de su organización y ayudando a evitar que se produzcan las vulnerabilidades en primer lugar", dijo Danhieux.
Esta empresa de rápido crecimiento tiene ahora oficinas en Sidney, Londres, Bélgica y Boston y cuenta con clientes líderes en servicios financieros, telecomunicaciones y tecnología en nueve países. La empresa cuenta ahora con 10.000 usuarios activos y ha duplicado sus clientes y triplicado sus ingresos en los últimos seis meses.
Craig Davies, director general de la Red Australiana de Crecimiento de la Ciberseguridad (AustCyber), predice que este tipo de formación práctica basada en pruebas se convertirá en una actividad fundamental para las organizaciones que desarrollan aplicaciones.
"Las empresas que codifican de forma segura desde el principio no sólo reducen significativamente su riesgo, sino que eliminan enormes costes y retrasos en la innovación de sus productos", afirma Davies.
Danhieux ha quedado impresionado con los bancos australianos, que, según él, han reconocido que el riesgo era real y se han apresurado a reducir su exposición. "El ritmo de incorporación de nuevos clientes a Secure Code Warrior en todo el mundo deja claro que las instituciones de servicios financieros de todo el mundo están reconociendo la importancia de incorporar la excelencia en materia de seguridad en cada línea de código, y que Secure Code Warrior es una solución fácil para abordar el reto de forma rápida y sostenible."
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
La promesa de que la inteligencia artificial escriba código complejo con sólo pulsar un botón es intrigante, pero la realidad es que la IA necesitará mucha ayuda de los desarrolladores humanos para elaborar un código realmente seguro y fiable.