Guía

La guía definitiva de las tendencias de seguridad en los servicios financieros

Publicado el 05 de abril de 2024
por
Descargar PDF
Ver recurso
Descargar PDF
Ver recurso

Índice

Cómo la formación en código seguro apoya la transformación digital en los servicios financieros 

Las instituciones de servicios financieros se enfrentan a una serie de retos que dependen de su capacidad para hacer un uso eficiente y eficaz de la tecnología en un mundo financiero en rápida evolución.

Las organizaciones operan en una época de cambios rápidos -tanto internamente como en todo el sector- en un entorno empresarial altamente competitivo y basado en la nube. Por ejemplo, a la hora de llevar a cabo sus transformaciones digitales en curso, las organizaciones están trabajando para evitar las fricciones organizativas que obstaculizan las inversiones en nuevas tecnologías, como la inteligencia artificial, que podrían acelerar los procesos de pago y otros procedimientos. 

Por supuesto, nunca se olvidan de la necesidad de cumplir toda una serie de requisitos normativos, que van desde los requisitos de la Ley Sarbanes-Oxely sobre gestión de registros financieros y las normas del Estándar de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS) sobre protección de datos de titulares de tarjetas hasta las protecciones de la información personal contenidas en la Ley de Privacidad del Consumidor de California (CCPA) y el Reglamento General de Protección de Datos de la UE (GDPR).

Las multas y otros costes derivados del incumplimiento de la normativa pueden acumularse rápidamente. El informe de IBM Cost of a Data Breach Report 2023 reveló que los costes medios de las organizaciones con un "alto nivel de incumplimiento" ascendían a 5,05 millones de dólares, lo que supone más de medio millón de dólares por encima del coste medio de una violación de datos real.

Y hablando de filtraciones de datos, los ciberataques siguen siendo un azote para las instituciones financieras, que son el segundo sector más atacado por los ciberataques. Solo los ataques de ransomware han aumentado drásticamente, pasando del 34% en 2021 al 55% en 2022 y hasta el 64% en 2023, según el informe State of Ransomware in Financial Services 2023 de Sophos. El número de datos comprometidos (incluidas las violaciones de datos y las exposiciones de datos privados) en la industria de servicios financieros de Estados Unidos aumentó de 138 en 2020 a 744 en 2023, según Statista

Los fallos en cualquiera de estas áreas -ya sea la eficiencia interna, el cumplimiento o la seguridad- amenazan la reputación de una organización y, por extensión, la fidelidad de los clientes, que es la savia de los servicios financieros. Para seguir siendo competitivas y tener éxito, las organizaciones necesitan fomentar la confianza entre sus clientes, y eso empieza por garantizar que su software, sistemas y procesos sean eficientes y eficaces. El núcleo de todo ello es un código de software seguro.

Los desarrolladores están sometidos a una presión cada vez mayor para crear, actualizar y desplegar aplicaciones y servicios a un ritmo más rápido que nunca. Y eso significa desarrollar y trabajar con más código de software, ya sea escrito por los propios desarrolladores internos, producido por IA, extraído de repositorios de código abierto o suministrado por terceros. 

La calidad y seguridad de ese código es primordial para garantizar la eficacia de las operaciones, pero es un área en la que las organizaciones se quedan cortas con demasiada frecuencia. Y a medida que aumenta el volumen de código, el número de errores, fallos y vulnerabilidades no hará sino crecer a menos que se corrijan en una fase temprana del ciclo de vida de desarrollo del software (SDLC).

Las organizaciones tienen que empezar por la izquierda para crear un código más seguro y corregir los errores a tiempo. La formación ágil en buenas prácticas de codificación segura puede sentar las bases de aplicaciones seguras y fiables, lo que no solo reduce el riesgo de una organización, sino que ayuda a alimentar el éxito empresarial. 

TENDENCIA 1: HERRAMIENTAS DE DESARROLLO DE AI

La innovación con IA depende de un código seguro

La inteligencia artificial, especialmente la IA generativa, se está generalizando rápidamente en el comercio, la educación y la vida cotidiana. Entre los innumerables usos a los que se ha aplicado la IA generativa, una función notable ha sido la escritura de código. En general, esto ha demostrado ser beneficioso, pero también plantea otra cuestión estrechamente ligada al uso de la IA: la seguridad. Como primeros adoptantes de las nuevas tecnologías, las instituciones financieras deben garantizar un equilibrio entre el aumento de la productividad y el uso seguro y responsable de la IA.

Hasta la fecha, la IA se ha utilizado sobre todo para ayudar en el desarrollo de código, más que, por ejemplo, para automatizar el proceso de corrección, y su impacto ha sido mayoritariamente positivo. Los participantes en una encuesta de GitHub, según la cual más de nueve de cada diez desarrolladores estadounidenses utilizaban herramientas de codificación con IA, afirmaron que entre sus ventajas se encontraban el aumento de la productividad (53 %), la libertad de los desarrolladores para centrarse en tareas creativas en lugar de repetitivas (51 %) y la prevención del agotamiento (41 %).

Los grandes bancos y otras organizaciones de servicios financieros tienen más probabilidades que los de otros sectores de ser los primeros en adoptar la IA. Al fin y al cabo, las instituciones financieras son esencialmente empresas tecnológicas porque tienen dinero para invertir en nuevas tecnologías a gran escala y siempre están buscando una ventaja competitiva. 

Aunque algunos han expresado su temor a que la IA suplante a los trabajadores humanos, en realidad la tecnología funciona mejor cuando se combina con homólogos humanos. Pero los desarrolladores necesitan algo más que un enfoque de casillas de verificación mínimas para aprender a utilizarla. Necesitan una formación precisa para comprender realmente las mejores prácticas de seguridad en el mundo real, de modo que no sólo puedan escribir código seguro ellos mismos, sino que también puedan supervisar hábilmente el trabajo de sus asistentes de IA que escriben código.

Por ejemplo, un ejercicio de entrenamiento de SCW pide a un modelo LLM que cambie el contenido de un fragmento de código real para modificar la función del código. La IA responde produciendo un bloque de código, pero ese bloque es susceptible de ataques de secuencias de comandos en sitios cruzados (XXS). El entrenamiento garantiza que el desarrollador pueda reconocer esa vulnerabilidad.

La IA y los desarrolladores pueden trabajar juntos de forma muy productiva, pero sólo si los desarrolladores están suficientemente formados para garantizar que la IA genera código seguro.

Los errores de codificación de la IA pueden propagarse rápidamente 

Al ser entrenado para escribir código, un modelo de IA ingerirá miles de ejemplos de escritura de código, igual que otro modelo ingiere miles de ejemplos de prosa o poesía antes de poder escribir una historia o un poema para un usuario. Pero no hay garantía de que el modelo de IA no se base en un ejemplo que contenga errores. Como los modelos de IA no son transparentes en cuanto a sus procesos, los errores no aparecerán hasta después. Y la IA repetirá esos errores hasta corregirlos.

Un primer estudio realizado por investigadores de IA descubrió que el código generado por IA había introducido fallos significativos, como vulnerabilidades de secuencias de comandos entre sitios (XSS), susceptibilidad a ataques de inyección de código y nuevas vulnerabilidades específicas del código generado por IA, como las asociadas a la inyección puntual. Si las herramientas de IA se utilizaran sin control para escribir código, el código malicioso podría propagarse rápidamente, lo que daría lugar a un mundo en el que el software, que ya tiene muchas vulnerabilidades, sería menos seguro que nunca.

Es imperativo que los desarrolladores humanos y los modelos de IA trabajen juntos en el desarrollo de código, garantizando que se siguen las mejores prácticas de codificación segura, lo que permite a las instituciones financieras obtener los beneficios de una mayor velocidad y eficiencia, al tiempo que limita el riesgo que, sin la participación humana, podría ser potencialmente catastrófico. 

Las entidades financieras pueden liderar el desarrollo seguro

El rápido crecimiento de la IA, en particular la que utiliza grandes modelos lingüísticos (LLM) como ChatGPT y las muchas otras implementaciones de IA generativa capaces de crear su propio contenido, ha tenido sus traspiés. Los modelos de IA han generado errores, conclusiones sesgadas y alucinaciones de IA, lo que ha dado lugar a un aumento de las peticiones de regulación. La Casa Blanca, por ejemplo, ha emitido una Orden Ejecutiva sobre el desarrollo y uso de la IA. También ha propuesto una Carta de Derechos de la IA para ayudar a proteger al público de los riesgos relacionados con la IA. Sin embargo, cualquier iniciativa gubernamental dependerá de la cooperación y la colaboración con las empresas tecnológicas que desarrollan la IA, muchas de las cuales se han comprometido a respetar unas normas éticas

También es probable que el sector de los servicios financieros aplique controles internos estrictos. Las organizaciones pueden estar siempre buscando una ventaja competitiva, pero saben que la seguridad de su información -tanto los datos internos como los de sus clientes- es primordial. También deben asegurarse de cumplir los requisitos de la normativa, como los de la Office of the Comptroller of the Currency (OCC) en Estados Unidos o los del Banco Central Europeo (BCE) para las operaciones europeas. 

Como primeros adoptantes de la IA, los bancos y las instituciones financieras estarán interesados en ver qué puede hacer la IA para mejorar la eficiencia, patrocinando centros de innovación y otros esfuerzos para explorar las capacidades de la IA. Pero las organizaciones también necesitan controles para garantizar la seguridad. La adopción temprana siempre conlleva un riesgo inherente y, a medida que se amplía el uso de la IA, es necesario equilibrar los riesgos y las recompensas. Las organizaciones, por ejemplo, se beneficiarían de la realización de un análisis de puntos fuertes, puntos débiles, oportunidades y amenazas (DAFO) en las primeras fases del uso de la IA.

El uso eficaz de la IA empieza por un código seguro

La capacidad del sector financiero para hacer un uso eficaz de la IA dependerá de la seguridad, y eso pasa por garantizar que el código que crea la IA sea seguro desde el principio. Las organizaciones deben asegurarse de contar con ingenieros altamente capacitados que supervisen de cerca la escritura del código de IA, identifiquen los errores y los corrijan rápidamente. Asociarse con empresas que ofrezcan formación ágil y otros servicios que garanticen la seguridad y el cumplimiento es un buen primer paso para fomentar una postura de seguridad sólida. 

El panorama de los riesgos cambia continuamente, especialmente dentro del ciclo de desarrollo de software. Y como pioneras en la adopción de la IA, las instituciones financieras deben actuar como líderes en el uso seguro y responsable de la IA. Algunas instituciones financieras son tan grandes que pueden influir en las políticas gubernamentales. Al tomar medidas para garantizar un código seguro permitiendo que los modelos de IA y los desarrolladores trabajen juntos, las instituciones pueden establecer las mejores prácticas para que otros sectores las sigan.

‍TENDENCIA2: MAYOR REGULACIÓN

El Código está en el centro del cumplimiento de la normativa

Un factor importante para implantar prácticas de codificación seguras es la necesidad de que las entidades financieras garanticen el cumplimiento de la normativa que rige su actividad. Las entidades tienen una serie de normativas aplicables, que varían en función del tipo de transacciones que gestionan.

Por ejemplo, PCI DSS 4.0, la versión más reciente de la Norma de Seguridad de Datos del Sector de Pagos, es una norma mundial diseñada para proteger los datos y las transacciones de las tarjetas de crédito y de pago. Destinada a prevenir el fraude y otros usos indebidos, se aplica a cualquier organización que almacene, procese o transmita datos de titulares de tarjetas. La norma no es una ley, pero se aplica a través de contratos, y puede ayudar a prevenir las violaciones de datos, que son violaciones de otras regulaciones como el GDPR. 

Otra normativa, la Digital Operational Resilience Act (DORA), es un marco vinculante de gestión de riesgos de la UE para el sector de los servicios financieros, que abarca tanto a las entidades financieras como a sus terceros proveedores. DORA establece normas técnicas destinadas a unificar las prácticas de gestión de riesgos con la UE, creando una norma universal.

La Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales, conocida como Swift, es un esfuerzo cooperativo que ha establecido la norma para las transferencias de fondos en todo el sector financiero mundial. El Programa de Seguridad del Cliente (CSP) de Swift ha desarrollado el Marco de Controles de Seguridad del Cliente (CSCF), que se actualiza anualmente. Los más de 11.000 miembros de Swift en más de 200 países utilizan el CSCF para planificar sus propios controles de seguridad y certificar su nivel de cumplimiento.

Lo que estas normativas tienen en común es que intentan establecer normas estrictas para proteger los datos y las transacciones en el sector de los servicios financieros. El cumplimiento de la normativa no solo protege los datos y el dinero de los clientes, sino que también ayuda a proteger a las entidades de las consecuencias de una seguridad inadecuada, que pueden incluir multas y sanciones por incumplimiento, una reputación dañada y la pérdida de confianza de los inversores en caso de infracción.

Los promotores tienen que seguir el ritmo de un panorama normativo cambiante

La codificación segura constituye una sólida piedra angular para las organizaciones que buscan satisfacer las expectativas de la normativa aplicable y los requisitos de la Oficina del Interventor de la Moneda (OCC) en Estados Unidos o del Banco Central Europeo (BCE) en Europa. Uno de los motivos fundamentales para adoptar la plataforma de Secure Code Warrior, o la de otro proveedor, es enseñar a los desarrolladores una codificación segura en un entorno práctico y atractivo. 

Este tipo de formación marca la diferencia a la hora de enfrentarse a requisitos normativos a veces complejos, sobre todo porque no permanecen estáticos. La normativa evoluciona constantemente, añadiendo nuevos requisitos, a menudo más sofisticados. Dependiendo del requisito, una normativa puede no cambiar drásticamente en un año determinado, pero las organizaciones pueden esperar cambios significativos al menos cada dos años. 

Por ejemplo, la norma PCI DSS 4.0, obligatoria a partir del 1 de abril de 2024, actualiza la norma PCI DSS 3.2.1 (publicada en 2022) de varias formas significativas. Aplica un enfoque personalizado que da a las organizaciones más flexibilidad para cumplir los requisitos, centrándose en los resultados más que en los procedimientos de casillas de verificación. Pero también añade nuevos requisitos para los controles de autenticación, la longitud de las contraseñas y las cuentas compartidas, por nombrar algunas de las muchas actualizaciones. También exige a las organizaciones que definan claramente las funciones y responsabilidades para cumplir cada requisito.

Cabe destacar que la versión 4.0 también exige que los desarrolladores que trabajen con software a medida reciban formación al menos una vez cada 12 meses sobre seguridad del software, incluidas técnicas seguras de diseño y codificación y, si se utilizan herramientas de prueba, sobre cómo utilizarlas para detectar vulnerabilidades. También estipula que se corrijan todas las vulnerabilidades detectadas durante las pruebas de penetración, independientemente de su gravedad, y que los equipos realicen una segunda prueba de penetración para confirmar que se han corregido correctamente.

Aunque los cambios suelen ser graduales, la normativa también depende de los acontecimientos: una infracción importante puede provocar cambios repentinos y de gran envergadura. La filtración de 87 millones de cuentas de JPMorgan Chase a mediados de los noventa, por ejemplo, sacudió el panorama normativo, y los reguladores aumentaron las expectativas de la comunidad de desarrolladores/tecnólogos y exigieron que los bancos presentaran pruebas de las medidas que estaban tomando y de cómo estaban aplicando las lecciones aprendidas de la filtración. 

La conformidad depende de la calidad del código subyacente

La calidad del código utilizado para cumplir estos requisitos tiene un impacto significativo en el rendimiento de las nuevas funciones y puede entrar en juego cuando las empresas completan el largo y detallado Informe de Cumplimiento PCI DSS, que se exige anualmente. A medida que las normativas se hacen más complejas, el impacto de la codificación segura se hace proporcionalmente mayor, lo que supone una diferencia sustancial a la hora de reducir riesgos y aumentar el control sobre el software de una organización.

La conformidad es esencial para las instituciones financieras debido a la importancia de establecer la confianza con los clientes. La codificación segura también puede ayudar a mejorar la experiencia del cliente, ya que mucho depende de la interacción fluida con un software fiable, lo que ayuda a fidelizarlo.

La codificación necesaria para crear nuevas aplicaciones y servicios repercute en toda la empresa. Es esencial para aumentar la eficiencia, gestionar las migraciones a la nube y habilitar otras capacidades en un entorno empresarial en rápida evolución. Pero el código debe ser absolutamente seguro y cumplir los requisitos de conformidad para que la empresa tenga éxito. 

TENDENCIA 3: APRENDIZAJE ÁGIL

La formación ágil y los equipos humanos de inteligencia artificial garantizan un código seguro

La proliferación de modelos de IA ha reavivado el temor a que la inteligencia artificial quite muchos puestos de trabajo a las personas. Aunque los trabajadores de algunos sectores pueden tener motivos para preocuparse -desde la contabilidad y el servicio de atención al cliente hasta los juristas y los creadores de contenidos-, es más probable que los desarrolladores de software acojan la IA como un asistente útil que no les quitará el trabajo, pero sí algunas tareas repetitivas o que requieren mucho tiempo, como escribir código.

Escribir código, de hecho, es solo una parte del trabajo de un desarrollador. En el informe 2023 Global DevSecOps Report de GitLab, la mayoría de los desarrolladores afirmaron que dedican aproximadamente una cuarta parte de su tiempo a escribir código. El resto se divide entre otras tareas, como mejorar el código (17%), realizar pruebas (11%) y asistir a reuniones o realizar otras tareas administrativas (también 17%).

Mejorar el código es un aspecto del trabajo que probablemente cobrará más importancia cuando los modelos de IA generen código. La IA aporta velocidad y eficacia a la creación de código, pero ese código no es totalmente fiable. Existen innumerables ejemplos de errores, sesgos y código vulnerable generado por modelos de IA. Los desarrolladores con conocimientos de seguridad deben participar activamente en la comprobación del código generado por IA para corregir vulnerabilidades y garantizar que su software cumple las normas de desarrollo.

Los desarrolladores necesitan formación práctica y ágil

Para los propios desarrolladores, trabajar con código generado por IA requiere que perfeccionen sus conocimientos -y adquieran algunos nuevos- sobre las mejores prácticas de seguridad y la capacidad de detectar patrones de codificación deficientes. Los desarrolladores con la formación adecuada podrán detectar los errores de un modelo de IA antes de su despliegue y mejorar las ventajas de utilizar la IA para acelerar el desarrollo.

Sin embargo, las habilidades necesarias son complejas y no pueden aprenderse o reforzarse simplemente empleando métodos de formación estándar y estáticos. Los desarrolladores no son conocidos por tener tiempo libre en el trabajo: están sometidos a más presión que nunca para desarrollar e implantar código rápidamente. Necesitan poder aumentar sus habilidades de una forma que se adapte al trabajo que ya están haciendo.

Las organizaciones necesitan ofrecer a los desarrolladores un programa completo de formación ágil que adopte un enfoque práctico de la codificación segura y que haya demostrado reducir significativamente el número de vulnerabilidades en el software.

La formación ágil puede adaptarse para incluir los lenguajes de programación con los que se encontrarán los desarrolladores, desde COBOL, antiguo pero aún utilizado, hasta nuevas herramientas avanzadas escritas en Google Go. Puede diseñarse para ofrecer contenidos avanzados en formatos adaptados a los métodos de aprendizaje preferidos por los desarrolladores, como visual, auditivo u oral, así como directamente práctico, y a un ritmo que se adapte mejor a cada desarrollador y a sus horarios de trabajo. 

La formación también puede adaptarse a las funciones y necesidades específicas de los empleados. Una plataforma puede hacer uso de un bucle de retroalimentación para mejorar el contenido y reconocer cuándo un desarrollador es débil en un área determinada, por lo que el contenido puede ser dirigido automáticamente para abordar esa área. 

Y en lugar de impartir la formación sobre seguridad en un curso de estilo presencial, interminable y árido, los programas de aprendizaje como los empleados por Secure Code Warrior ofrecen una formación óptima y personalizada al dividirla en microrráfagas interactivas que involucran a los desarrolladores en el contexto de problemas del mundo real. Además, los empleados pueden acceder al microaprendizaje siempre que lo necesiten. 

Un enfoque ágil da resultados

La formación ágil ha demostrado su eficacia para reducir los errores de codificación. Según una investigación de Secure Code Warrior, los desarrolladores ya reelaboran alrededor del 26% de su código antes de que pase a producción. Esto supone unas 13,5 horas semanales por desarrollador (unas 700 horas al año) dedicadas a subsanar la deuda técnica. Las horas dedicadas a arreglar el código dificultan la productividad y ralentizan los ciclos de desarrollo.

Y no todos esos errores se detectan, ya que el 67% de los desarrolladores admite haber enviado código con vulnerabilidades. Las organizaciones también están utilizando código de otras fuentes, como IA, repositorios de código abierto y terceros. Estas fuentes ayudan a aumentar la productividad en un momento en que las organizaciones necesitan un volumen de código mayor que nunca, pero también aumentan el riesgo de vulnerabilidades y errores en la base de código. 

La formación ágil puede ayudar a frenar esta tendencia. Refuerza la primera línea de defensa, ya que los desarrolladores están más capacitados para detectar fallos en el código, ya sea creado por ellos mismos, por la IA o por terceros. Como parte de su investigación, Secure Code Warrior examinó los datos de 75.000 desarrolladores (alrededor del 30% de su base) y descubrió que los desarrolladores que habían estudiado la seguridad utilizando su formación ágil introducían un 53% menos de vulnerabilidades que sus compañeros. Los desarrolladores que apliquen estos conocimientos a la comprobación del código generado por la IA podrán subsanar más rápidamente los errores de su socio de IA antes de que el software pase a producción.

Con la formación ágil de Secure Code Warrior, los desarrolladores de Workday, que ofrece aplicaciones financieras, de recursos humanos y de gestión del ciclo de vida de estudiantes y profesores en la nube, se hicieron una idea clara de los objetivos de la formación y aprendieron rápidamente a identificar problemas en su código base y en el ciclo de vida del software, y a actuar en consecuencia.

La experiencia de Work day ofrece un claro ejemplo de lo que puede conseguir una formación ágil y práctica. Antes de asociarse con Secure Code Warrior, Workday vio que sus desarrolladores estaban desencantados con la formación en seguridad basada en diapositivas de la empresa. Pero toda la comunidad de desarrolladores respondió bien a la formación de Secure Code Warrior , que se adaptó tanto a sus necesidades como a sus preferencias de aprendizaje. Y los resultados hablan por sí solos. En un solo ejemplo, un equipo de Dublín pasó de experimentar 4.662 problemas de seguridad anuales a no tener ninguno en tan solo 18 meses.

En un panorama de amenazas plagado de ataques cada vez más sofisticados, las empresas de servicios financieros deben hacer todo lo posible para garantizar la seguridad de los datos y las aplicaciones. Crear código seguro al principio del ciclo de vida de desarrollo del software (SDLC) es un componente crítico de la seguridad. Los desarrolladores con la formación ágil adecuada pueden hacer mucho para garantizar la seguridad del software y, al mismo tiempo, reducir los riesgos generales para su empresa.

TENDENCIA 4: CRECIMIENTO DE APPS Y API DE TERCEROS

La responsabilidad de la seguridad también se aplica a las aplicaciones de terceros

En el actual entorno empresarial hiperconectado, ninguna empresa opera en el vacío. Las entidades financieras se asocian con otras empresas para prestar determinados servicios, utilizan aplicaciones de terceros en sus comunicaciones y transacciones diarias y, en muchos casos, cuentan con contratistas externos que escriben código de software. Los desarrolladores de las empresas también utilizan repositorios de software de código abierto y, cada vez más, código generado por IA para desarrollar aplicaciones.

Independientemente de la fuente del software, las personas que se relacionan con una empresa de servicios financieros tienen la expectativa de que todas las aplicaciones que utilicen tengan el mismo alto nivel de seguridad. En cualquier transacción o intercambio de información, la empresa anfitriona sigue siendo responsable de los datos del cliente. Y los reguladores no permitirán que una institución pase la pelota del incumplimiento a un tercero. 

¿Cómo garantiza una entidad financiera que todas sus aplicaciones sean seguras y fiables? Empezando por un código seguro y dotando a los desarrolladores de los conocimientos necesarios para crear un código de software seguro al principio del proceso de desarrollo, e identificando al mismo tiempo cuándo el código de terceros que utilizan se queda corto.

Poner la formación a disposición de los equipos de contratistas

Las empresas se beneficiarían de la implantación de un programa de formación ágil y práctico para enseñar a los desarrolladores el código seguro. Los resultados de ese tipo de formación son claros: los desarrolladores con formación en codificación segura producen código con un 53% menos de vulnerabilidades que los que no tienen la formación. Y también van a detectar más errores de codificación en el código generado por terceros. 

Incluso si los propios desarrolladores de una empresa están capacitados para escribir código seguro, es necesario abordar los posibles defectos del código de terceros. Muchos equipos de desarrolladores están formados tanto por empleados a tiempo completo (ETC) como por contratistas, sobre todo en grandes instituciones con ubicaciones remotas en todo el país o en todo el mundo, incluidas ubicaciones primarias, secundarias y terciarias. 

Hace un par de décadas, hubo un gran impulso en el sector hacia la externalización del desarrollo de software para que las empresas pudieran seguir el ritmo de la demanda de nuevas aplicaciones. Esa tendencia duró cinco o diez años antes de empezar a dar marcha atrás, pero los equipos combinados de ETC y contratistas siguen existiendo en algunos lugares de las instituciones financieras. Con tantas aplicaciones en continuo desarrollo, algunas de ellas se van a externalizar. 

Sin embargo, independientemente de que el código lo desarrollen ETC o terceros, las expectativas de clientes y reguladores se mantienen. Todo el código de software que utiliza una empresa debe cumplir las mismas normas, lo que significa que todos los desarrolladores tienen el mismo nivel de competencia. 

Las empresas pueden tener límites contractuales a la hora de exigir formación a los contratistas, aunque es importante al menos ponerla a su disposición. Algunas empresas financieras han creado sus propios programas de formación, como Capital One, que lanzó su Tech College en 2016. Otros bancos y empresas financieras, como Synchrony Bank y North American Bancard, están adoptando la idea del aprendizaje continuo ágil para aumentar el nivel de talento con el que cuentan.

Es posible que las empresas adopten incluso un enfoque de "licencia para codificar", exigiendo determinadas certificaciones antes de permitir a los desarrolladores el acceso a sistemas específicos. 

En un contexto de escasez de competencias informáticas, las empresas han optado por intentar mejorar las cualificaciones de sus empleados actuales en lugar de competir por el talento en un mercado con escasez de oferta. La formación beneficia tanto a los empleados, que pueden avanzar en sus carreras, como a la empresa, que obtiene empleados con las cualificaciones que necesita. Los programas de formación también pueden mejorar la retención al mejorar la experiencia de los empleados. 

El aprendizaje continuo es importante en el entorno actual. El panorama de la ciberseguridad evoluciona continuamente y es cada vez más sofisticado. Y los requisitos de los reguladores también cambian cada año, lo que aumenta la complejidad de cumplir la normativa. El incumplimiento de esos requisitos puede acarrear multas, otros costes y daños a la reputación que afecten materialmente a la empresa. 

La clave es implicar a los desarrolladores

Las empresas se están alejando de la formación en materia de cumplimiento de normativas como un pesado ejercicio de marcar casillas con sesiones de formación una vez al año y se están acercando a la formación durante todo el año, diseñada para aumentar el nivel de compromiso de los desarrolladores y otros empleados con la seguridad. La clave está en disponer de una plataforma ágil que ofrezca a los empleados la formación que necesitan cuando la necesitan, y en un formato que se adapte a su entorno de trabajo.

Por ejemplo, la empresa británica de soluciones de software Sage, que adoptó la plataforma Secure Code Warrior, imparte formación trimestral orientada a la tecnología con la que trabajan los desarrolladores en ese momento. 

La formación se personaliza en la medida de lo posible y también se adapta a cómo les gusta trabajar a los desarrolladores, dijo Mads Howard, especialista en seguridad de Sage, durante un reciente seminario web con SCW. Sage también fomenta la comunicación bidireccional a través de un bucle de retroalimentación. La formación se centra más en el compromiso que en el cumplimiento de las normas, con una programación periódica en tournaments y esfuerzos para combinar el programa de formación con otras iniciativas de la empresa diseñadas para aumentar el compromiso de los empleados con las cuestiones de seguridad.

Un resultado: en el último año, Sage ha experimentado una reducción del 82% en el tiempo medio que se tarda en solucionar los problemas de software, dijo Howard. La empresa también ha observado un mayor nivel de compromiso por parte de los empleados.

Según Howard, la codificación forma parte de la creación de una cultura de la seguridad, cuyo objetivo último es generar confianza entre los clientes. Una cultura de la seguridad gira en torno a las actitudes, percepciones y creencias de la gente, y también implica a personas de toda la empresa, incluida la dirección ejecutiva. Un programa flexible de formación en código seguro que ofrezca formación específica en microespacios fáciles de consumir puede ser una parte esencial de esa cultura.

‍TENDENCIA5: MAYOR ATENCIÓN AL ROI EN TODOS LOS EQUIPOS/PROVEEDORES

Cómo la codificación segura beneficia directamente al rendimiento de la inversión

La industria de servicios financieros abarca un amplio abanico de sectores, desde la banca y la gestión financiera hasta los servicios de tarjetas de crédito y pagos digitales. Incluso los seguros se incluyen a menudo en ese ámbito. Las empresas de cada sector se enfrentan a requisitos de cumplimiento diferentes, aunque a menudo coincidentes, en función de las transacciones que gestionan y de si son empresas nacionales o multinacionales. 

Pero independientemente del ámbito en el que trabajen las empresas, las consideraciones económicas influyen en las estrategias empresariales. Los mercados bursátiles han ido bien, pero no siempre son indicativos del éxito futuro. Mientras tanto, existe cierta inquietud en el sector financiero ante la posibilidad de una recesión y otros retos críticos. 

Como resultado, muchas organizaciones se están apretando el cinturón, buscando una mayor eficiencia y haciendo hincapié en la importancia de tener un buen retorno de la inversión (ROI) para cualquier nuevo gasto. Una forma de aumentar el ROI es invertir en el aprendizaje seguro del código. En el ciclo de vida del desarrollo de software (SDLC), donde confluyen la ingeniería y la seguridad, asegurarse de crear código seguro al principio del proceso y corregir los fallos lo antes posible aportará beneficios claros y cuantificables a la empresa. 

El elevado coste del software inseguro

Los datos son el núcleo de cualquier institución de servicios financieros, y los costes de manejar esos datos con software inseguro e ineficiente pueden aumentar rápidamente. Secure Code WarriorSegún un estudio de la OCDE, los problemas de calidad del software costarán a las empresas estadounidenses un total de 2,41 billones de dólares en 2022. Y los costes se extienden hasta los desarrolladores, que dedican cada vez más tiempo a mantener y corregir la deuda técnica. En la actualidad, los desarrolladores dedican aproximadamente un tercio de su tiempo a mantener la deuda técnica, pero se prevé que esta cifra alcance el 40% en 2025. 

La formación ágil sobre prácticas de codificación seguras puede hacer mella en esas cifras negativas. Se ha comprobado que los desarrolladores formados con Secure Code Warrior introducen un 53% menos de vulnerabilidades que sus colegas que no han recibido la formación, y los tiempos de corrección se reducen a la mitad. Un gran banco mundial observó una reducción del 50% en las vulnerabilidades con la formación de SCW, que prácticamente eliminó los fallos de inyección SQL y Cross-Site Scripting (XSS).

Los beneficios de la formación ágil en código seguro también son considerablemente mayores cuanto más a la izquierda se desplaza una organización. Los costes de la deuda técnica, por ejemplo, se reducen a la mitad cuando se abordan durante las pruebas, pero se reducen 14 veces más si se abordan durante la fase de codificación. 

Un ejemplo: cómo Envestnet involucró a sus desarrolladores 

El impacto de la codificación segura puede traducirse en ganancias cuantificables en el retorno de la inversión. En un ejemplo, la gran empresa de tecnología financiera Envestnet quería ir más allá de su formación pasiva en materia de seguridad y cumplimiento de la normativa, que se centraba principalmente en los diez principales riesgos de las aplicaciones web del Open Worldwide Application Security Project (OWASP). 

Envestnet adoptó una estrategia de cambio a la izquierda centrada en escribir código seguro y abordar cualquier problema en una fase temprana del SDLC, pero primero tenía que abordar la falta de compromiso de los desarrolladores con la formación en seguridad existente en la empresa. Con SCW, pusieron en marcha un programa práctico de cuatro niveles que incluía formación sobre situaciones reales y otorgaba certificados a los desarrolladores por cada nivel alcanzado, lo que no sólo mejoraba la seguridad de las aplicaciones, sino que ayudaba a los desarrolladores a progresar en sus carreras.

Los dos primeros niveles se centraron en la concienciación sobre la seguridad, y los niveles tres y cuatro reconocieron a los campeones de la seguridad. El programa de formación incluía tournaments, que también aumentó el nivel de compromiso de los desarrolladores. Entre los dos primeros tournaments, espaciados unos seis meses, la participación se duplicó. 

Los resultados: Los desarrolladores con formación en SCW solucionaron 2,7 veces más vulnerabilidades que sus compañeros, y aumentaron sus índices de corrección en un 120%. Los desarrolladores formados en SCW también cerraron problemas de vulnerabilidad a un ritmo de 4,5 por desarrollador, en comparación con el ritmo de 1,82 por desarrollador de sus compañeros que no se beneficiaron de la formación. 

Empezar por la izquierda mejora los resultados

Los programas ágiles de codificación segura pueden adaptarse a cada empresa, en función del tipo de servicios financieros que preste, el tamaño de sus sistemas y sus requisitos individuales.

Las empresas necesitan cumplir, por ejemplo, la Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS), la Norma de Verificación de Seguridad de Aplicaciones (ASVS) de OWASP u otros requisitos. Y necesitan asegurarse de que siempre están escribiendo código seguro. Pero necesitan algo más que un programa de formación que se limite a marcar una casilla, lo que no bastará para enseñar métodos de codificación segura ni para alcanzar los mayores niveles de eficiencia que conlleva contar con desarrolladores altamente formados y conscientes de la seguridad.

Una formación práctica que respalde una estrategia de introducción de código seguro en una fase temprana del SDLC y su mantenimiento a lo largo de todo el ciclo de vida del producto reducirá el riesgo y acelerará el tiempo de comercialización, aumentando inevitablemente el ROI. Dado que los sistemas, los procesos e incluso los ciberataques son cada vez más sofisticados, la codificación segura es muy necesaria. Tiene el poder de marcar una diferencia crítica no sólo en seguridad, sino también en beneficio de los resultados de cualquier organización. 

CONCLUSIÓN

La codificación segura aumenta la seguridad y la productividad al tiempo que genera confianza

Las instituciones de servicios financieros trabajan con bienes muy valiosos, a saber, el dinero de la gente e información personal muy delicada, pero en cierto modo lo más preciado que pueden tener las organizaciones es la confianza. Es esencial para atraer y mantener clientes fieles. Y como tantas transacciones financieras se gestionan digitalmente, esa fiabilidad y la seguridad del software dependen de un código de software seguro.

En entornos complejos de nube híbrida, las organizaciones financieras deben cambiar a la izquierda, introduciendo la seguridad al principio del ciclo de vida de desarrollo de software (SDLC). Esto significa formar a los desarrolladores para que escriban código seguro y sean capaces de identificar vulnerabilidades en código generado por IA o de terceros.

Se trata de un cambio cultural para muchas empresas, en las que los desarrolladores están acostumbrados a trabajar a mil por hora y a poner en marcha nuevas aplicaciones y servicios para satisfacer una demanda cada vez mayor. La clave está en crear una cultura de la seguridad dentro de la empresa e implicar a los desarrolladores con una formación ágil y práctica sobre código seguro. Las ventajas de este enfoque son evidentes.

Fomentar un cambio cultural beneficioso para todos

Secure Code Warriorha descubierto que los desarrolladores que aprenden prácticas de codificación segura con SCW producen un 53% menos de vulnerabilidades que los que no reciben formación, lo que supone un ahorro considerable de tiempo y dinero.

En la actualidad, los desarrolladores pierden aproximadamente un tercio de su tiempo reelaborando código de software, y el 67% de ellos admite haber enviado código que sabía que tenía vulnerabilidades. Los clientes de SCW han observado un aumento de 2 a 3 veces tanto en la reducción de riesgos como en la productividad de los desarrolladores como resultado del aprendizaje ágil.

Y cuanto más a la izquierda comience una organización en el SDLC, mayor será el ahorro. Los costes pueden reducirse a la mitad si se abordan durante las pruebas, pero pueden multiplicarse por 14 si se abordan durante la fase de codificación.

Una plataforma de formación ágil beneficia tanto a la empresa como a los desarrolladores. Los desarrolladores pueden avanzar en sus carreras adquiriendo nuevas habilidades, y la empresa se beneficia porque es más probable que los desarrolladores cualificados se queden en una empresa que ofrece una formación eficaz y una experiencia laboral más gratificante.

No en vano, el 92% de los desarrolladores afirman que quieren más formación. Pero tiene que ser la formación adecuada. La formación tradicional basada en el libro (o en la presentación de diapositivas) puede provocar que se pongan los ojos en blanco y se acepte a regañadientes el cumplimiento de un requisito, pero una plataforma ágil como la de SCW ha demostrado atraer a los desarrolladores. La formación puede adaptarse a lo que están trabajando y a los lenguajes de programación con los que trabajan. Además, si la formación se imparte en microespacios específicos de fácil consumo que abordan los problemas reales a los que se enfrentan los desarrolladores, aumenta el valor de la formación y el nivel de compromiso.

La formación en código seguro puede ser una piedra angular en el cambio cultural hacia una organización que dé prioridad a la seguridad, aumentando la ciberseguridad, el rendimiento y, en última instancia, la rentabilidad de una institución de servicios financieros.

Centro de recursos

Recursos para empezar

Más entradas