El retorno de la inversión que aporta la seguridad impulsada por los desarrolladores.
El coste de un código deficiente
Los avances tecnológicos están facilitando más que nunca que los desarrolladores envíen código más rápido que nunca. Esto puede ser emocionante para la innovación, pero desalentador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costes de las herramientas adicionales, los programas de formación y la inversión en mejorar las cualificaciones de los desarrolladores puede parecer un "bien para tener" frente a una función empresarial crítica si se mantiene la velocidad del código que se envía.
Enviar código más rápido puede haber sido más fácil, pero desafortunadamente enviar código seguro no lo ha sido, dejando a las organizaciones vulnerables a más amenazas que nunca. El coste de la ciberdelincuencia es asombroso en todo el mundo y aumenta rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. De media, el coste de una filtración de datos es de 4,35 millones de dólares, que se reparten entre la pérdida de negocio de clientes actuales y potenciales, así como los recursos invertidos en la gestión de la detección, la escalada y la repetición del trabajo.
A pesar de estos costes astronómicos, más de la mitad de las organizaciones no exigen a los desarrolladores que realicen anualmente una formación formal sobre código seguro.
Todos los profesionales de la seguridad saben que, cuando se trata de encontrar y corregir vulnerabilidades, puede parecer que se está jugando a la ruleta. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay una oportunidad de mejora. La mayoría de las organizaciones descubren que cuando su capacidad de recuperación ante desastres o de copia de seguridad se pone a prueba, su enfoque de la seguridad no es tan sólido como pensaban. Si reforzar la resistencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva que se deja a sus desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. Un equipo de desarrolladores cualificado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir vulnerabilidades con rapidez es el medio más rentable de mitigar los riesgos.
Un concepto erróneo cuando se trata de la formación de los desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguros. Según Klaus Klaus Klinger, DevSec Awareness Evangelist de Allianz, "todo tiene que empezar en la cabeza de los directivos. Invertir en la formación de los desarrolladores no es una inversión perdida, sino una inversión en calidad, productividad y reputación de la empresa".
A menudo puede ser difícil cuantificar el retorno de la inversión en este ámbito, pero en última instancia lo que las organizaciones deberían plantearse es cómo su postura de seguridad les ayuda a reducir riesgos, racionalizar su enfoque y ahorrar tiempo y productividad a sus equipos de desarrolladores.
¿Cómo se puede cuantificar el retorno de la inversión en costes de ciberseguridad?
Cuando se trata de la rentabilidad de la inversión, es importante pensar en ella en dos marcos diferentes: el ahorro de costes que supone mitigar el riesgo frente al impacto de su formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o infracción hace que un sitio de comercio electrónico se vea obligado a estar fuera de línea durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de no solucionar el problema puede cuantificarse en la pérdida de ingresos durante la interrupción, el impacto de las credenciales robadas, la pérdida de confianza de los clientes (que se traduce en una reducción de las ventas a largo plazo) y la pérdida general de productividad mientras se soluciona el problema.
Esto se reduce realmente a un análisis de costes y beneficios. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que necesitan ser mantenidas o mejoradas.
La gente suele centrarse en los parámetros equivocados para determinar el éxito y el valor. Quizá deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en su lugar, medir el impacto del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, hay que crear objetivos mensurables. Esto comienza con la evaluación de los conocimientos de codificación seguros de sus desarrolladores y la comprensión de dónde necesitan aumentar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarle a tomar decisiones estratégicas sobre cómo crear programas de formación más ricos. Lo más importante es medir el impacto. Comience por observar el número de puntos débiles que se detectan en el ciclo de vida de desarrollo de software mediante análisis de código, recompensas por errores o pruebas de vulnerabilidad clásicas antes de iniciar el programa en cada equipo. Una de las formas más sencillas de saber que su programa de formación está teniendo el resultado deseado es midiendo la disminución de vulnerabilidades que se introducen en su base de código en general.
Principales preguntas para evaluar el retorno de la inversión:
1. ¿Estamos racionalizando nuestro enfoque?
¿Está lanzando más herramientas al problema o resolviéndolo en su raíz? Añadir más herramientas a su pila tecnológica crea un método de "queso suizo" para encontrar y solucionar vulnerabilidades. También aumentan los costes operativos con poco impacto en la fuente de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de su arsenal, no deberían ser su última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la reelaboración del código devuelto por AppSec puede suponer una importante pérdida de productividad. Reducir los simulacros de incendio facultando y permitiendo a los equipos de desarrolladores ser prácticos con su formación en código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y solucionar una vulnerabilidad puede ser como resolver un gran rompecabezas, que a veces puede llevar días, semanas o incluso meses en completarse con una solución sólida. Capacitar a los desarrolladores para que se encarguen de la corrección en origen permite a AppSec centrarse en la supervisión de riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
Enviar código rápidamente no siempre es bueno. Tomar atajos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deuda técnica. Pensar a corto plazo no es la solución. Uno puede mitigar el riesgo asegurando su código desde el principio, para que el problema no se agrave en el futuro.
Métricas de seguimiento recomendadas:
- Compromiso: ¿cuánto tiempo dedica a la formación y cómo participan los promotores? ¿Están completando courses, evaluaciones y participando en tournaments?
- Competencias: ¿cuáles son los puntos fuertes? ¿Qué aspectos necesita mejorar?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec le devuelve menos trabajo?
- Productividad: ¿cuánto tiempo se tarda en solucionar un problema? ¿Ha notado un aumento de la productividad o la velocidad con la reducción de la vulnerabilidad?
Crear valor desplazándose a la izquierda
Las infracciones y vulnerabilidades aumentan rápidamente cada año. Es importante empezar a construir de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: las personas, en lugar de gastar dinero en herramientas que sólo resuelven una parte del problema.
- Mejorar la eficiencia y la eficacia general limitando la repetición de tareas o las correcciones que normalmente identificaría AppSec una vez desplegado el código.
- Mitigar el riesgo y cumplir la normativa, evitando costosas multas, la pérdida de confianza de los clientes o, peor aún, el coste de una filtración de datos.
Evite el cortoplacismo y las soluciones rápidas. Sólo pueden generar deuda técnica y más costes en el futuro. Planifica a largo plazo aprovechando el poder de la mejora de las competencias y capacitando a tus desarrolladores para que sean tu mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y comprueba por ti mismo el impacto y el ahorro de costes.
Al invertir en Techstack u otros programas de formación, todo el mundo espera obtener un buen retorno de la inversión, pero en materia de seguridad, además de calcular el simple retorno de la inversión, es necesario realizar una inversión a largo plazo. Comprender la inversión en seguridad impulsada por los desarrolladores no solo permite ahorrar costes elevados por vulnerabilidades, pérdida de productividad y deuda técnica acumulada, sino que también permite desarrollar estrategias proactivas y rentables para mantenerse a la vanguardia en el panorama actual de amenazas.
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
El coste de un código deficiente
Los avances tecnológicos están facilitando más que nunca que los desarrolladores envíen código más rápido que nunca. Esto puede ser emocionante para la innovación, pero desalentador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costes de las herramientas adicionales, los programas de formación y la inversión en mejorar las cualificaciones de los desarrolladores puede parecer un "bien para tener" frente a una función empresarial crítica si se mantiene la velocidad del código que se envía.
Enviar código más rápido puede haber sido más fácil, pero desafortunadamente enviar código seguro no lo ha sido, dejando a las organizaciones vulnerables a más amenazas que nunca. El coste de la ciberdelincuencia es asombroso en todo el mundo y aumenta rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. De media, el coste de una filtración de datos es de 4,35 millones de dólares, que se reparten entre la pérdida de negocio de clientes actuales y potenciales, así como los recursos invertidos en la gestión de la detección, la escalada y la repetición del trabajo.
A pesar de estos costes astronómicos, más de la mitad de las organizaciones no exigen a los desarrolladores que realicen anualmente una formación formal sobre código seguro.
Todos los profesionales de la seguridad saben que, cuando se trata de encontrar y corregir vulnerabilidades, puede parecer que se está jugando a la ruleta. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay una oportunidad de mejora. La mayoría de las organizaciones descubren que cuando su capacidad de recuperación ante desastres o de copia de seguridad se pone a prueba, su enfoque de la seguridad no es tan sólido como pensaban. Si reforzar la resistencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva que se deja a sus desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. Un equipo de desarrolladores cualificado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir vulnerabilidades con rapidez es el medio más rentable de mitigar los riesgos.
Un concepto erróneo cuando se trata de la formación de los desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguros. Según Klaus Klaus Klinger, DevSec Awareness Evangelist de Allianz, "todo tiene que empezar en la cabeza de los directivos. Invertir en la formación de los desarrolladores no es una inversión perdida, sino una inversión en calidad, productividad y reputación de la empresa".
A menudo puede ser difícil cuantificar el retorno de la inversión en este ámbito, pero en última instancia lo que las organizaciones deberían plantearse es cómo su postura de seguridad les ayuda a reducir riesgos, racionalizar su enfoque y ahorrar tiempo y productividad a sus equipos de desarrolladores.
¿Cómo se puede cuantificar el retorno de la inversión en costes de ciberseguridad?
Cuando se trata de la rentabilidad de la inversión, es importante pensar en ella en dos marcos diferentes: el ahorro de costes que supone mitigar el riesgo frente al impacto de su formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o infracción hace que un sitio de comercio electrónico se vea obligado a estar fuera de línea durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de no solucionar el problema puede cuantificarse en la pérdida de ingresos durante la interrupción, el impacto de las credenciales robadas, la pérdida de confianza de los clientes (que se traduce en una reducción de las ventas a largo plazo) y la pérdida general de productividad mientras se soluciona el problema.
Esto se reduce realmente a un análisis de costes y beneficios. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que necesitan ser mantenidas o mejoradas.
La gente suele centrarse en los parámetros equivocados para determinar el éxito y el valor. Quizá deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en su lugar, medir el impacto del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, hay que crear objetivos mensurables. Esto comienza con la evaluación de los conocimientos de codificación seguros de sus desarrolladores y la comprensión de dónde necesitan aumentar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarle a tomar decisiones estratégicas sobre cómo crear programas de formación más ricos. Lo más importante es medir el impacto. Comience por observar el número de puntos débiles que se detectan en el ciclo de vida de desarrollo de software mediante análisis de código, recompensas por errores o pruebas de vulnerabilidad clásicas antes de iniciar el programa en cada equipo. Una de las formas más sencillas de saber que su programa de formación está teniendo el resultado deseado es midiendo la disminución de vulnerabilidades que se introducen en su base de código en general.
Principales preguntas para evaluar el retorno de la inversión:
1. ¿Estamos racionalizando nuestro enfoque?
¿Está lanzando más herramientas al problema o resolviéndolo en su raíz? Añadir más herramientas a su pila tecnológica crea un método de "queso suizo" para encontrar y solucionar vulnerabilidades. También aumentan los costes operativos con poco impacto en la fuente de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de su arsenal, no deberían ser su última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la reelaboración del código devuelto por AppSec puede suponer una importante pérdida de productividad. Reducir los simulacros de incendio facultando y permitiendo a los equipos de desarrolladores ser prácticos con su formación en código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y solucionar una vulnerabilidad puede ser como resolver un gran rompecabezas, que a veces puede llevar días, semanas o incluso meses en completarse con una solución sólida. Capacitar a los desarrolladores para que se encarguen de la corrección en origen permite a AppSec centrarse en la supervisión de riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
Enviar código rápidamente no siempre es bueno. Tomar atajos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deuda técnica. Pensar a corto plazo no es la solución. Uno puede mitigar el riesgo asegurando su código desde el principio, para que el problema no se agrave en el futuro.
Métricas de seguimiento recomendadas:
- Compromiso: ¿cuánto tiempo dedica a la formación y cómo participan los promotores? ¿Están completando courses, evaluaciones y participando en tournaments?
- Competencias: ¿cuáles son los puntos fuertes? ¿Qué aspectos necesita mejorar?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec le devuelve menos trabajo?
- Productividad: ¿cuánto tiempo se tarda en solucionar un problema? ¿Ha notado un aumento de la productividad o la velocidad con la reducción de la vulnerabilidad?
Crear valor desplazándose a la izquierda
Las infracciones y vulnerabilidades aumentan rápidamente cada año. Es importante empezar a construir de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: las personas, en lugar de gastar dinero en herramientas que sólo resuelven una parte del problema.
- Mejorar la eficiencia y la eficacia general limitando la repetición de tareas o las correcciones que normalmente identificaría AppSec una vez desplegado el código.
- Mitigar el riesgo y cumplir la normativa, evitando costosas multas, la pérdida de confianza de los clientes o, peor aún, el coste de una filtración de datos.
Evite el cortoplacismo y las soluciones rápidas. Sólo pueden generar deuda técnica y más costes en el futuro. Planifica a largo plazo aprovechando el poder de la mejora de las competencias y capacitando a tus desarrolladores para que sean tu mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y comprueba por ti mismo el impacto y el ahorro de costes.
El coste de un código deficiente
Los avances tecnológicos están facilitando más que nunca que los desarrolladores envíen código más rápido que nunca. Esto puede ser emocionante para la innovación, pero desalentador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costes de las herramientas adicionales, los programas de formación y la inversión en mejorar las cualificaciones de los desarrolladores puede parecer un "bien para tener" frente a una función empresarial crítica si se mantiene la velocidad del código que se envía.
Enviar código más rápido puede haber sido más fácil, pero desafortunadamente enviar código seguro no lo ha sido, dejando a las organizaciones vulnerables a más amenazas que nunca. El coste de la ciberdelincuencia es asombroso en todo el mundo y aumenta rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. De media, el coste de una filtración de datos es de 4,35 millones de dólares, que se reparten entre la pérdida de negocio de clientes actuales y potenciales, así como los recursos invertidos en la gestión de la detección, la escalada y la repetición del trabajo.
A pesar de estos costes astronómicos, más de la mitad de las organizaciones no exigen a los desarrolladores que realicen anualmente una formación formal sobre código seguro.
Todos los profesionales de la seguridad saben que, cuando se trata de encontrar y corregir vulnerabilidades, puede parecer que se está jugando a la ruleta. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay una oportunidad de mejora. La mayoría de las organizaciones descubren que cuando su capacidad de recuperación ante desastres o de copia de seguridad se pone a prueba, su enfoque de la seguridad no es tan sólido como pensaban. Si reforzar la resistencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva que se deja a sus desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. Un equipo de desarrolladores cualificado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir vulnerabilidades con rapidez es el medio más rentable de mitigar los riesgos.
Un concepto erróneo cuando se trata de la formación de los desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguros. Según Klaus Klaus Klinger, DevSec Awareness Evangelist de Allianz, "todo tiene que empezar en la cabeza de los directivos. Invertir en la formación de los desarrolladores no es una inversión perdida, sino una inversión en calidad, productividad y reputación de la empresa".
A menudo puede ser difícil cuantificar el retorno de la inversión en este ámbito, pero en última instancia lo que las organizaciones deberían plantearse es cómo su postura de seguridad les ayuda a reducir riesgos, racionalizar su enfoque y ahorrar tiempo y productividad a sus equipos de desarrolladores.
¿Cómo se puede cuantificar el retorno de la inversión en costes de ciberseguridad?
Cuando se trata de la rentabilidad de la inversión, es importante pensar en ella en dos marcos diferentes: el ahorro de costes que supone mitigar el riesgo frente al impacto de su formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o infracción hace que un sitio de comercio electrónico se vea obligado a estar fuera de línea durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de no solucionar el problema puede cuantificarse en la pérdida de ingresos durante la interrupción, el impacto de las credenciales robadas, la pérdida de confianza de los clientes (que se traduce en una reducción de las ventas a largo plazo) y la pérdida general de productividad mientras se soluciona el problema.
Esto se reduce realmente a un análisis de costes y beneficios. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que necesitan ser mantenidas o mejoradas.
La gente suele centrarse en los parámetros equivocados para determinar el éxito y el valor. Quizá deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en su lugar, medir el impacto del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, hay que crear objetivos mensurables. Esto comienza con la evaluación de los conocimientos de codificación seguros de sus desarrolladores y la comprensión de dónde necesitan aumentar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarle a tomar decisiones estratégicas sobre cómo crear programas de formación más ricos. Lo más importante es medir el impacto. Comience por observar el número de puntos débiles que se detectan en el ciclo de vida de desarrollo de software mediante análisis de código, recompensas por errores o pruebas de vulnerabilidad clásicas antes de iniciar el programa en cada equipo. Una de las formas más sencillas de saber que su programa de formación está teniendo el resultado deseado es midiendo la disminución de vulnerabilidades que se introducen en su base de código en general.
Principales preguntas para evaluar el retorno de la inversión:
1. ¿Estamos racionalizando nuestro enfoque?
¿Está lanzando más herramientas al problema o resolviéndolo en su raíz? Añadir más herramientas a su pila tecnológica crea un método de "queso suizo" para encontrar y solucionar vulnerabilidades. También aumentan los costes operativos con poco impacto en la fuente de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de su arsenal, no deberían ser su última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la reelaboración del código devuelto por AppSec puede suponer una importante pérdida de productividad. Reducir los simulacros de incendio facultando y permitiendo a los equipos de desarrolladores ser prácticos con su formación en código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y solucionar una vulnerabilidad puede ser como resolver un gran rompecabezas, que a veces puede llevar días, semanas o incluso meses en completarse con una solución sólida. Capacitar a los desarrolladores para que se encarguen de la corrección en origen permite a AppSec centrarse en la supervisión de riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
Enviar código rápidamente no siempre es bueno. Tomar atajos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deuda técnica. Pensar a corto plazo no es la solución. Uno puede mitigar el riesgo asegurando su código desde el principio, para que el problema no se agrave en el futuro.
Métricas de seguimiento recomendadas:
- Compromiso: ¿cuánto tiempo dedica a la formación y cómo participan los promotores? ¿Están completando courses, evaluaciones y participando en tournaments?
- Competencias: ¿cuáles son los puntos fuertes? ¿Qué aspectos necesita mejorar?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec le devuelve menos trabajo?
- Productividad: ¿cuánto tiempo se tarda en solucionar un problema? ¿Ha notado un aumento de la productividad o la velocidad con la reducción de la vulnerabilidad?
Crear valor desplazándose a la izquierda
Las infracciones y vulnerabilidades aumentan rápidamente cada año. Es importante empezar a construir de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: las personas, en lugar de gastar dinero en herramientas que sólo resuelven una parte del problema.
- Mejorar la eficiencia y la eficacia general limitando la repetición de tareas o las correcciones que normalmente identificaría AppSec una vez desplegado el código.
- Mitigar el riesgo y cumplir la normativa, evitando costosas multas, la pérdida de confianza de los clientes o, peor aún, el coste de una filtración de datos.
Evite el cortoplacismo y las soluciones rápidas. Sólo pueden generar deuda técnica y más costes en el futuro. Planifica a largo plazo aprovechando el poder de la mejora de las competencias y capacitando a tus desarrolladores para que sean tu mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y comprueba por ti mismo el impacto y el ahorro de costes.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónSecure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
El coste de un código deficiente
Los avances tecnológicos están facilitando más que nunca que los desarrolladores envíen código más rápido que nunca. Esto puede ser emocionante para la innovación, pero desalentador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costes de las herramientas adicionales, los programas de formación y la inversión en mejorar las cualificaciones de los desarrolladores puede parecer un "bien para tener" frente a una función empresarial crítica si se mantiene la velocidad del código que se envía.
Enviar código más rápido puede haber sido más fácil, pero desafortunadamente enviar código seguro no lo ha sido, dejando a las organizaciones vulnerables a más amenazas que nunca. El coste de la ciberdelincuencia es asombroso en todo el mundo y aumenta rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. De media, el coste de una filtración de datos es de 4,35 millones de dólares, que se reparten entre la pérdida de negocio de clientes actuales y potenciales, así como los recursos invertidos en la gestión de la detección, la escalada y la repetición del trabajo.
A pesar de estos costes astronómicos, más de la mitad de las organizaciones no exigen a los desarrolladores que realicen anualmente una formación formal sobre código seguro.
Todos los profesionales de la seguridad saben que, cuando se trata de encontrar y corregir vulnerabilidades, puede parecer que se está jugando a la ruleta. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay una oportunidad de mejora. La mayoría de las organizaciones descubren que cuando su capacidad de recuperación ante desastres o de copia de seguridad se pone a prueba, su enfoque de la seguridad no es tan sólido como pensaban. Si reforzar la resistencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva que se deja a sus desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. Un equipo de desarrolladores cualificado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir vulnerabilidades con rapidez es el medio más rentable de mitigar los riesgos.
Un concepto erróneo cuando se trata de la formación de los desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguros. Según Klaus Klaus Klinger, DevSec Awareness Evangelist de Allianz, "todo tiene que empezar en la cabeza de los directivos. Invertir en la formación de los desarrolladores no es una inversión perdida, sino una inversión en calidad, productividad y reputación de la empresa".
A menudo puede ser difícil cuantificar el retorno de la inversión en este ámbito, pero en última instancia lo que las organizaciones deberían plantearse es cómo su postura de seguridad les ayuda a reducir riesgos, racionalizar su enfoque y ahorrar tiempo y productividad a sus equipos de desarrolladores.
¿Cómo se puede cuantificar el retorno de la inversión en costes de ciberseguridad?
Cuando se trata de la rentabilidad de la inversión, es importante pensar en ella en dos marcos diferentes: el ahorro de costes que supone mitigar el riesgo frente al impacto de su formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o infracción hace que un sitio de comercio electrónico se vea obligado a estar fuera de línea durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de no solucionar el problema puede cuantificarse en la pérdida de ingresos durante la interrupción, el impacto de las credenciales robadas, la pérdida de confianza de los clientes (que se traduce en una reducción de las ventas a largo plazo) y la pérdida general de productividad mientras se soluciona el problema.
Esto se reduce realmente a un análisis de costes y beneficios. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que necesitan ser mantenidas o mejoradas.
La gente suele centrarse en los parámetros equivocados para determinar el éxito y el valor. Quizá deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en su lugar, medir el impacto del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, hay que crear objetivos mensurables. Esto comienza con la evaluación de los conocimientos de codificación seguros de sus desarrolladores y la comprensión de dónde necesitan aumentar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarle a tomar decisiones estratégicas sobre cómo crear programas de formación más ricos. Lo más importante es medir el impacto. Comience por observar el número de puntos débiles que se detectan en el ciclo de vida de desarrollo de software mediante análisis de código, recompensas por errores o pruebas de vulnerabilidad clásicas antes de iniciar el programa en cada equipo. Una de las formas más sencillas de saber que su programa de formación está teniendo el resultado deseado es midiendo la disminución de vulnerabilidades que se introducen en su base de código en general.
Principales preguntas para evaluar el retorno de la inversión:
1. ¿Estamos racionalizando nuestro enfoque?
¿Está lanzando más herramientas al problema o resolviéndolo en su raíz? Añadir más herramientas a su pila tecnológica crea un método de "queso suizo" para encontrar y solucionar vulnerabilidades. También aumentan los costes operativos con poco impacto en la fuente de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de su arsenal, no deberían ser su última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la reelaboración del código devuelto por AppSec puede suponer una importante pérdida de productividad. Reducir los simulacros de incendio facultando y permitiendo a los equipos de desarrolladores ser prácticos con su formación en código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y solucionar una vulnerabilidad puede ser como resolver un gran rompecabezas, que a veces puede llevar días, semanas o incluso meses en completarse con una solución sólida. Capacitar a los desarrolladores para que se encarguen de la corrección en origen permite a AppSec centrarse en la supervisión de riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
Enviar código rápidamente no siempre es bueno. Tomar atajos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deuda técnica. Pensar a corto plazo no es la solución. Uno puede mitigar el riesgo asegurando su código desde el principio, para que el problema no se agrave en el futuro.
Métricas de seguimiento recomendadas:
- Compromiso: ¿cuánto tiempo dedica a la formación y cómo participan los promotores? ¿Están completando courses, evaluaciones y participando en tournaments?
- Competencias: ¿cuáles son los puntos fuertes? ¿Qué aspectos necesita mejorar?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec le devuelve menos trabajo?
- Productividad: ¿cuánto tiempo se tarda en solucionar un problema? ¿Ha notado un aumento de la productividad o la velocidad con la reducción de la vulnerabilidad?
Crear valor desplazándose a la izquierda
Las infracciones y vulnerabilidades aumentan rápidamente cada año. Es importante empezar a construir de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: las personas, en lugar de gastar dinero en herramientas que sólo resuelven una parte del problema.
- Mejorar la eficiencia y la eficacia general limitando la repetición de tareas o las correcciones que normalmente identificaría AppSec una vez desplegado el código.
- Mitigar el riesgo y cumplir la normativa, evitando costosas multas, la pérdida de confianza de los clientes o, peor aún, el coste de una filtración de datos.
Evite el cortoplacismo y las soluciones rápidas. Sólo pueden generar deuda técnica y más costes en el futuro. Planifica a largo plazo aprovechando el poder de la mejora de las competencias y capacitando a tus desarrolladores para que sean tu mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y comprueba por ti mismo el impacto y el ahorro de costes.
Índice
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
