Secure Code Warrior Investigación: Las industrias de infraestructuras críticas avanzan en la preparación de los desarrolladores para el diseño seguro

Un nuevo análisis realizado en colaboración con el Paladin Global Institute pone de relieve la necesidad crítica de mejorar las competencias de los desarrolladores para medir correctamente los avances en materia de seguridad mediante el diseño. 

‍

BOSTON - 15 de octubre de 2024 - Hoy, Secure Code Warriorel líder mundial en seguridad impulsada por los desarrolladores, ha publicado nuevas conclusiones sobre la capacitación de los desarrolladores y su impacto en las iniciativas Secure-by-Design (SBD) de las organizaciones. Desde abril de 2024, más de 200 empresas, incluida Secure Code Warrior, han firmado el compromiso Secure-by-Design. El nuevo análisis muestra que las organizaciones de los sectores de infraestructuras críticas, como servicios financieros, defensa, sanidad y TI, están progresando en la preparación de sus desarrolladores para avanzar en sus iniciativas SBD. Secure Code Warrior descubrió que los equipos de desarrolladores de estos sectores poseen una postura de seguridad media -medida por la SCW Trust Score, una referencia mundial que cuantifica las competencias de seguridad de los equipos de desarrolladores- superior a la de otros sectores. 

A los directores de seguridad de la información (CISO) les resulta cada vez más difícil demostrar el verdadero rendimiento de la inversión en las primeras fases de sus iniciativas de SBD. En los últimos años, la ausencia de un punto de referencia para evaluar la evolución de las organizaciones con respecto a las normas del sector ha sido un reto clave. La clave para que las iniciativas Secure-by-Design funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a la industria y a los reguladores gubernamentales que esas habilidades están establecidas.

"Ahora más que nunca, tenemos la responsabilidad nacional de garantizar la existencia de programas de mejora de las competencias de los SBD", afirmó Chris Inglis, Asesor Estratégico Senior de Paladin Capital Group y ex Director Cibernético Nacional. "La reducción de riesgos es el núcleo de este último análisis, y Secure Code Warrior está liderando la carga para mejorar el aprendizaje de seguridad de los desarrolladores, prevenir los ciberataques y fortalecer la infraestructura crítica de nuestra nación."

Conclusiones principales: el análisis deSecure Code Warriorsobre la mejora de las competencias de los desarrolladores en los sectores de infraestructuras críticas se basa en información procedente de más de 20 millones de puntos de datos de 600 clientes empresariales y más de 250 000 desarrolladores activos de todo el mundo. Según el análisis:

• El número total de desarrolladores que participan actualmente en iniciativas de perfeccionamiento de SBD centradas en el desarrollador es inferior al 4% de todos los desarrolladores del mundo.
• Algunos sectores de infraestructuras críticas, como la industria de servicios financieros, poseían la postura de seguridad más elevada, medida por SCW TrustScore, en comparación con la media de las infraestructuras no críticas. Por ejemplo, la puntuación media de confianza de los servicios financieros fue de 336. 
• Sin embargo, sorprendentemente, incluso con los requisitos de cumplimiento y regulación, el sector de los servicios financieros tenía una postura de seguridad similar a la de otros sectores críticos. 
• Las iniciativas de mejora de las competencias en materia de seguridad mediante el diseño, tanto a gran escala como a menor escala, pueden tener éxito, y los estudios demuestran que las iniciativas a menor escala pueden ponerse en marcha rápidamente y funcionar con mayor celeridad. Pero para que estas iniciativas tengan éxito y ofrezcan un retorno de la inversión (ROI) cuantificable antes, los estudios demuestran que debe establecerse un mandato.
• Cuando las iniciativas de mejora de las competencias están firmemente implantadas, los riesgos introducidos por los desarrolladores en las aplicaciones son considerablemente menores. El análisis reveló que los desarrolladores que participan en grandes iniciativas de mejora de las competencias (más de 7 000 desarrolladores en una misma empresa) pueden reducir previsiblemente las vulnerabilidades entre un 47 % y un 53 %.

El diseño seguro está ganando impulso en todo el mundo, a medida que los países incorporan directrices similares a sus estrategias generales de ciberseguridad. Sin embargo, será difícil proporcionar valores predeterminados seguros a los desarrolladores y fomentar una mano de obra de desarrolladores de software que entienda la seguridad sin los datos adecuados que sirvan de referencia para las competencias de los desarrolladores. Un programa ágil de mejora de las competencias puede calar hondo entre los desarrolladores si se construye sobre bases establecidas, con sesiones prácticas que aborden problemas reales a los que se enfrentan los desarrolladores.

"En un momento de amenazas cibernéticas globales sin precedentes, estos nuevos hallazgos demuestran la necesidad de mejorar las iniciativas de SBD en toda nuestra infraestructura digital para reducir las vulnerabilidades críticas", dijo Kemba Walden, Presidente del Paladin Global Institute y ex Director Nacional Cibernético en funciones. "Esta investigación emite una clara llamada a la acción para mejorar las competencias del personal y crear puntos de referencia para cumplir los objetivos críticos de ciberseguridad".

"Las líneas de base y los puntos de referencia pueden optimizar enormemente la postura de seguridad de una organización al hacer de la codificación segura una parte esencial de su ADN", afirmó Matias Madou, cofundador y CTO de Secure Code Warrior. "Para saber si una iniciativa de SBD está haciendo verdaderos progresos, se necesitan pruebas cuantitativas de que los esfuerzos de mejora de la capacitación de los desarrolladores son eficaces y de que asimilan las mejores prácticas de seguridad en sus hábitos de trabajo. Debes tener plena confianza en que los desarrolladores se han ganado realmente su licencia para codificar".

Muchos responsables de seguridad destacan con insistencia la dificultad de ampliar la mayoría de los elementos de un programa de seguridad empresarial, especialmente los que implican la mejora continua de las competencias y assessment del personal individual. Se trata de una preocupación válida, pero a raíz de varias reformas legislativas y directrices mundiales que exigen que los desarrolladores tengan conocimientos de seguridad verificados, debe superarse. Muchas organizaciones de todo el mundo están tomando medidas y han puesto en marcha iniciativas de formación a gran escala que están teniendo un impacto significativo. 

Para obtener más información sobre el último análisis de Secure Code Warriory la puntuación de confianza de SCW, haga clic aquí.

‍

Acerca de Secure Code Warrior:

Secure Code Warrior es una plataforma de codificación segura que establece las normas que mantienen seguro nuestro mundo digital. Lo hacemos proporcionando el líder mundial en aprendizaje ágil learning platform que ofrece la solución de codificación segura más eficaz para que los desarrolladores aprendan, apliquen y retengan los principios de seguridad del software. Más de 600 empresas confían en Secure Code Warrior para implantar programas de seguridad de aprendizaje ágil y garantizar que las aplicaciones que publican están libres de vulnerabilidades.

Para más información sobre Secure Code Warrior, visite www.securecodewarrior.com.