Código listo para usar: por qué los desarrolladores seguros pueden realizar envíos sin límites
Este artículo apareció originalmente en SD Times. Se ha actualizado y distribuido aquí.
La verificación de habilidades ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, ya que nos ha otorgado validez y ha abierto puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un rito de iniciación importante para la mayoría, y se espera que aprobemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar en una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, especialmente cuando se trata de conducir a gran velocidad, pueden costarte ese privilegio, o incluso una vida humana.
Pero, ¿y si, para algunos, conducir es más que una comodidad del día a día y se convierte en una profesión de élite? Una persona puede continuar su proceso de perfeccionamiento profesional y llegar a ser piloto de F1, donde se le permite conducir máquinas que van más rápido de lo que un civil podría manejar sin grandes probabilidades de cometer errores a altas velocidades.
Con ese fin, parece desconcertante que la mayoría de los desarrolladores que trabajan en el código que impulsa la infraestructura crítica, los automóviles, la tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en materia de seguridad. Por otro lado, ¿por qué los desarrolladores expertos en seguridad, que han demostrado en repetidas ocasiones que saben cómo crear cosas de forma segura, tienen que hacer cola con todos los demás en un proceso de desarrollo cada vez más lento debido a las barreras de seguridad? La industria no ve esto como un descuido, sino como la norma.
Gracias a una extensa investigación, sabemos que la mayoría de los desarrolladores simplemente no priorizan la seguridad en su código, y carecen de la educación regular requerida para sortear muchos de los errores de seguridad más comunes. Suelen ser una de las razones por las que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores que se dedican a la seguridad se sienten atrapados en el carril lento de la autopista detrás de un grupo de conductores en formación.
A pesar de esto, el mundo de la seguridad avanza lentamente y existe una creciente demanda de desarrolladores que tengan habilidades de seguridad verificadas que puedan empezar a trabajar de inmediato. La administración de Biden Orden ejecutiva sobre la mejora de la ciberseguridad de la nación exige específicamente la evaluación de las prácticas de seguridad de los proveedores (y de su cohorte de desarrollo) para cualquier proveedor de la cadena de suministro de software del gobierno de los EE. UU. Es lógico pensar que el énfasis en las habilidades de seguridad de los desarrolladores solo aumentará en la mayoría de los sectores, pero dado que las evaluaciones estándar del sector ofrecen poco, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las habilidades de seguridad verificables de los desarrolladores de una manera que no ponga de rodillas la ni impida que los desarrolladores preocupados por la seguridad desplieguen sus alas?
Control de acceso basado en el mérito: ¿podría funcionar?
Los controles de seguridad con privilegios mínimos son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna el acceso al software, los datos y los sistemas según sea necesario en el contexto de su trabajo, y nada más. Este método, especialmente si se combina con principios de autorización basados en el principio de confianza cero, es útil para controlar toda la superficie de ataque. Y, en realidad, deberíamos postularnos esta misma estrategia para los permisos de API, y otros casos de uso basados en software como estándar.
La mayoría de los que trabajamos en el negocio de la seguridad somos muy conscientes del hecho de que el software se está comiendo el mundo, y el código de los sistemas integrados que hace funcionar la freidora no es realmente diferente del código que mantiene la red eléctrica en funcionamiento, en términos de su potencial de explotación. Nuestras vidas y nuestros datos críticos están a merced de los actores de amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortalecer su código si cuentan con la formación adecuada. Para ello es necesario actualizar seriamente la cultura de seguridad de una organización, pero para que exista una verdadera responsabilidad compartida al estilo de DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y quizás la forma más rápida de cambiar su mentalidad sea vincular el acceso al repositorio de código con unos resultados de aprendizaje de programación seguros.
Si tomamos una organización del ámbito de la BFSI, por ejemplo, es muy probable que haya repositorios altamente confidenciales que contengan datos de clientes o que almacenen información valiosa, como números de tarjetas de crédito. Entonces, ¿por qué deberíamos suponer que todos los ingenieros a los que se ha concedido el acceso son conscientes de la seguridad, cumplen con los estrictos requisitos de la PCI-DSS y pueden realizar cambios en la sucursal principal de forma rápida y sin incidentes? Si bien este puede ser el caso de algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El desafío es que, en la mayoría de las empresas, promulgar un escenario de «licencia para programar» sería arduo y, según la solución de capacitación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad rápida. Sin embargo, la combinación correcta de educación y herramientas integradoras puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración efectiva de la formación no es imposible.
Encuentra soluciones para mejorar las habilidades de los desarrolladores que complementan tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero hacer un esfuerzo adicional para superar la formación de cumplimiento al estilo «único» es la única manera de empezar a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que demuestran su valía con éxito? Bueno, el mundo de la programación es lo suyo, y no tienen por qué verse obstaculizados por los controles de seguridad que suponen que no pueden aprender lo básico.
El desarrollo práctico de las habilidades que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente los conceptos de codificación segura, y estas mismas integraciones se pueden utilizar para gestionar de forma eficaz el acceso a los sistemas críticos, garantizando que quienes destacan en sus resultados de aprendizaje trabajen sin obstáculos en las tareas delicadas de mayor prioridad. También facilita la implementación de recompensas y reconocimientos, lo que garantiza que los desarrolladores con conocimientos de seguridad tengan en su cohorte una aspiración.
Como muchas cosas en la vida, la suerte favorece a los valientes, y romper el status quo para adoptar un enfoque innovador para la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para mejorar los estándares del futuro de calidad de código aceptable sin sacrificar la velocidad.
Parece desconcertante que la mayoría de los desarrolladores que trabajan en el código que impulsa la infraestructura crítica, los automóviles, la tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en materia de seguridad. Por otro lado, ¿por qué los desarrolladores expertos en seguridad, que han demostrado en repetidas ocasiones que saben cómo crear cosas de forma segura, tienen que hacer cola con todos los demás en un proceso de desarrollo cada vez más lento debido a las barreras de seguridad?
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostración
Este artículo apareció originalmente en SD Times. Se ha actualizado y distribuido aquí.
La verificación de habilidades ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, ya que nos ha otorgado validez y ha abierto puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un rito de iniciación importante para la mayoría, y se espera que aprobemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar en una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, especialmente cuando se trata de conducir a gran velocidad, pueden costarte ese privilegio, o incluso una vida humana.
Pero, ¿y si, para algunos, conducir es más que una comodidad del día a día y se convierte en una profesión de élite? Una persona puede continuar su proceso de perfeccionamiento profesional y llegar a ser piloto de F1, donde se le permite conducir máquinas que van más rápido de lo que un civil podría manejar sin grandes probabilidades de cometer errores a altas velocidades.
Con ese fin, parece desconcertante que la mayoría de los desarrolladores que trabajan en el código que impulsa la infraestructura crítica, los automóviles, la tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en materia de seguridad. Por otro lado, ¿por qué los desarrolladores expertos en seguridad, que han demostrado en repetidas ocasiones que saben cómo crear cosas de forma segura, tienen que hacer cola con todos los demás en un proceso de desarrollo cada vez más lento debido a las barreras de seguridad? La industria no ve esto como un descuido, sino como la norma.
Gracias a una extensa investigación, sabemos que la mayoría de los desarrolladores simplemente no priorizan la seguridad en su código, y carecen de la educación regular requerida para sortear muchos de los errores de seguridad más comunes. Suelen ser una de las razones por las que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores que se dedican a la seguridad se sienten atrapados en el carril lento de la autopista detrás de un grupo de conductores en formación.
A pesar de esto, el mundo de la seguridad avanza lentamente y existe una creciente demanda de desarrolladores que tengan habilidades de seguridad verificadas que puedan empezar a trabajar de inmediato. La administración de Biden Orden ejecutiva sobre la mejora de la ciberseguridad de la nación exige específicamente la evaluación de las prácticas de seguridad de los proveedores (y de su cohorte de desarrollo) para cualquier proveedor de la cadena de suministro de software del gobierno de los EE. UU. Es lógico pensar que el énfasis en las habilidades de seguridad de los desarrolladores solo aumentará en la mayoría de los sectores, pero dado que las evaluaciones estándar del sector ofrecen poco, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las habilidades de seguridad verificables de los desarrolladores de una manera que no ponga de rodillas la ni impida que los desarrolladores preocupados por la seguridad desplieguen sus alas?
Control de acceso basado en el mérito: ¿podría funcionar?
Los controles de seguridad con privilegios mínimos son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna el acceso al software, los datos y los sistemas según sea necesario en el contexto de su trabajo, y nada más. Este método, especialmente si se combina con principios de autorización basados en el principio de confianza cero, es útil para controlar toda la superficie de ataque. Y, en realidad, deberíamos postularnos esta misma estrategia para los permisos de API, y otros casos de uso basados en software como estándar.
La mayoría de los que trabajamos en el negocio de la seguridad somos muy conscientes del hecho de que el software se está comiendo el mundo, y el código de los sistemas integrados que hace funcionar la freidora no es realmente diferente del código que mantiene la red eléctrica en funcionamiento, en términos de su potencial de explotación. Nuestras vidas y nuestros datos críticos están a merced de los actores de amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortalecer su código si cuentan con la formación adecuada. Para ello es necesario actualizar seriamente la cultura de seguridad de una organización, pero para que exista una verdadera responsabilidad compartida al estilo de DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y quizás la forma más rápida de cambiar su mentalidad sea vincular el acceso al repositorio de código con unos resultados de aprendizaje de programación seguros.
Si tomamos una organización del ámbito de la BFSI, por ejemplo, es muy probable que haya repositorios altamente confidenciales que contengan datos de clientes o que almacenen información valiosa, como números de tarjetas de crédito. Entonces, ¿por qué deberíamos suponer que todos los ingenieros a los que se ha concedido el acceso son conscientes de la seguridad, cumplen con los estrictos requisitos de la PCI-DSS y pueden realizar cambios en la sucursal principal de forma rápida y sin incidentes? Si bien este puede ser el caso de algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El desafío es que, en la mayoría de las empresas, promulgar un escenario de «licencia para programar» sería arduo y, según la solución de capacitación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad rápida. Sin embargo, la combinación correcta de educación y herramientas integradoras puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración efectiva de la formación no es imposible.
Encuentra soluciones para mejorar las habilidades de los desarrolladores que complementan tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero hacer un esfuerzo adicional para superar la formación de cumplimiento al estilo «único» es la única manera de empezar a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que demuestran su valía con éxito? Bueno, el mundo de la programación es lo suyo, y no tienen por qué verse obstaculizados por los controles de seguridad que suponen que no pueden aprender lo básico.
El desarrollo práctico de las habilidades que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente los conceptos de codificación segura, y estas mismas integraciones se pueden utilizar para gestionar de forma eficaz el acceso a los sistemas críticos, garantizando que quienes destacan en sus resultados de aprendizaje trabajen sin obstáculos en las tareas delicadas de mayor prioridad. También facilita la implementación de recompensas y reconocimientos, lo que garantiza que los desarrolladores con conocimientos de seguridad tengan en su cohorte una aspiración.
Como muchas cosas en la vida, la suerte favorece a los valientes, y romper el status quo para adoptar un enfoque innovador para la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para mejorar los estándares del futuro de calidad de código aceptable sin sacrificar la velocidad.
Este artículo apareció originalmente en SD Times. Se ha actualizado y distribuido aquí.
La verificación de habilidades ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, ya que nos ha otorgado validez y ha abierto puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un rito de iniciación importante para la mayoría, y se espera que aprobemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar en una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, especialmente cuando se trata de conducir a gran velocidad, pueden costarte ese privilegio, o incluso una vida humana.
Pero, ¿y si, para algunos, conducir es más que una comodidad del día a día y se convierte en una profesión de élite? Una persona puede continuar su proceso de perfeccionamiento profesional y llegar a ser piloto de F1, donde se le permite conducir máquinas que van más rápido de lo que un civil podría manejar sin grandes probabilidades de cometer errores a altas velocidades.
Con ese fin, parece desconcertante que la mayoría de los desarrolladores que trabajan en el código que impulsa la infraestructura crítica, los automóviles, la tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en materia de seguridad. Por otro lado, ¿por qué los desarrolladores expertos en seguridad, que han demostrado en repetidas ocasiones que saben cómo crear cosas de forma segura, tienen que hacer cola con todos los demás en un proceso de desarrollo cada vez más lento debido a las barreras de seguridad? La industria no ve esto como un descuido, sino como la norma.
Gracias a una extensa investigación, sabemos que la mayoría de los desarrolladores simplemente no priorizan la seguridad en su código, y carecen de la educación regular requerida para sortear muchos de los errores de seguridad más comunes. Suelen ser una de las razones por las que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores que se dedican a la seguridad se sienten atrapados en el carril lento de la autopista detrás de un grupo de conductores en formación.
A pesar de esto, el mundo de la seguridad avanza lentamente y existe una creciente demanda de desarrolladores que tengan habilidades de seguridad verificadas que puedan empezar a trabajar de inmediato. La administración de Biden Orden ejecutiva sobre la mejora de la ciberseguridad de la nación exige específicamente la evaluación de las prácticas de seguridad de los proveedores (y de su cohorte de desarrollo) para cualquier proveedor de la cadena de suministro de software del gobierno de los EE. UU. Es lógico pensar que el énfasis en las habilidades de seguridad de los desarrolladores solo aumentará en la mayoría de los sectores, pero dado que las evaluaciones estándar del sector ofrecen poco, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las habilidades de seguridad verificables de los desarrolladores de una manera que no ponga de rodillas la ni impida que los desarrolladores preocupados por la seguridad desplieguen sus alas?
Control de acceso basado en el mérito: ¿podría funcionar?
Los controles de seguridad con privilegios mínimos son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna el acceso al software, los datos y los sistemas según sea necesario en el contexto de su trabajo, y nada más. Este método, especialmente si se combina con principios de autorización basados en el principio de confianza cero, es útil para controlar toda la superficie de ataque. Y, en realidad, deberíamos postularnos esta misma estrategia para los permisos de API, y otros casos de uso basados en software como estándar.
La mayoría de los que trabajamos en el negocio de la seguridad somos muy conscientes del hecho de que el software se está comiendo el mundo, y el código de los sistemas integrados que hace funcionar la freidora no es realmente diferente del código que mantiene la red eléctrica en funcionamiento, en términos de su potencial de explotación. Nuestras vidas y nuestros datos críticos están a merced de los actores de amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortalecer su código si cuentan con la formación adecuada. Para ello es necesario actualizar seriamente la cultura de seguridad de una organización, pero para que exista una verdadera responsabilidad compartida al estilo de DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y quizás la forma más rápida de cambiar su mentalidad sea vincular el acceso al repositorio de código con unos resultados de aprendizaje de programación seguros.
Si tomamos una organización del ámbito de la BFSI, por ejemplo, es muy probable que haya repositorios altamente confidenciales que contengan datos de clientes o que almacenen información valiosa, como números de tarjetas de crédito. Entonces, ¿por qué deberíamos suponer que todos los ingenieros a los que se ha concedido el acceso son conscientes de la seguridad, cumplen con los estrictos requisitos de la PCI-DSS y pueden realizar cambios en la sucursal principal de forma rápida y sin incidentes? Si bien este puede ser el caso de algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El desafío es que, en la mayoría de las empresas, promulgar un escenario de «licencia para programar» sería arduo y, según la solución de capacitación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad rápida. Sin embargo, la combinación correcta de educación y herramientas integradoras puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración efectiva de la formación no es imposible.
Encuentra soluciones para mejorar las habilidades de los desarrolladores que complementan tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero hacer un esfuerzo adicional para superar la formación de cumplimiento al estilo «único» es la única manera de empezar a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que demuestran su valía con éxito? Bueno, el mundo de la programación es lo suyo, y no tienen por qué verse obstaculizados por los controles de seguridad que suponen que no pueden aprender lo básico.
El desarrollo práctico de las habilidades que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente los conceptos de codificación segura, y estas mismas integraciones se pueden utilizar para gestionar de forma eficaz el acceso a los sistemas críticos, garantizando que quienes destacan en sus resultados de aprendizaje trabajen sin obstáculos en las tareas delicadas de mayor prioridad. También facilita la implementación de recompensas y reconocimientos, lo que garantiza que los desarrolladores con conocimientos de seguridad tengan en su cohorte una aspiración.
Como muchas cosas en la vida, la suerte favorece a los valientes, y romper el status quo para adoptar un enfoque innovador para la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para mejorar los estándares del futuro de calidad de código aceptable sin sacrificar la velocidad.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserva una demostración
Este artículo apareció originalmente en SD Times. Se ha actualizado y distribuido aquí.
La verificación de habilidades ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, ya que nos ha otorgado validez y ha abierto puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un rito de iniciación importante para la mayoría, y se espera que aprobemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar en una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, especialmente cuando se trata de conducir a gran velocidad, pueden costarte ese privilegio, o incluso una vida humana.
Pero, ¿y si, para algunos, conducir es más que una comodidad del día a día y se convierte en una profesión de élite? Una persona puede continuar su proceso de perfeccionamiento profesional y llegar a ser piloto de F1, donde se le permite conducir máquinas que van más rápido de lo que un civil podría manejar sin grandes probabilidades de cometer errores a altas velocidades.
Con ese fin, parece desconcertante que la mayoría de los desarrolladores que trabajan en el código que impulsa la infraestructura crítica, los automóviles, la tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en materia de seguridad. Por otro lado, ¿por qué los desarrolladores expertos en seguridad, que han demostrado en repetidas ocasiones que saben cómo crear cosas de forma segura, tienen que hacer cola con todos los demás en un proceso de desarrollo cada vez más lento debido a las barreras de seguridad? La industria no ve esto como un descuido, sino como la norma.
Gracias a una extensa investigación, sabemos que la mayoría de los desarrolladores simplemente no priorizan la seguridad en su código, y carecen de la educación regular requerida para sortear muchos de los errores de seguridad más comunes. Suelen ser una de las razones por las que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores que se dedican a la seguridad se sienten atrapados en el carril lento de la autopista detrás de un grupo de conductores en formación.
A pesar de esto, el mundo de la seguridad avanza lentamente y existe una creciente demanda de desarrolladores que tengan habilidades de seguridad verificadas que puedan empezar a trabajar de inmediato. La administración de Biden Orden ejecutiva sobre la mejora de la ciberseguridad de la nación exige específicamente la evaluación de las prácticas de seguridad de los proveedores (y de su cohorte de desarrollo) para cualquier proveedor de la cadena de suministro de software del gobierno de los EE. UU. Es lógico pensar que el énfasis en las habilidades de seguridad de los desarrolladores solo aumentará en la mayoría de los sectores, pero dado que las evaluaciones estándar del sector ofrecen poco, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las habilidades de seguridad verificables de los desarrolladores de una manera que no ponga de rodillas la ni impida que los desarrolladores preocupados por la seguridad desplieguen sus alas?
Control de acceso basado en el mérito: ¿podría funcionar?
Los controles de seguridad con privilegios mínimos son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna el acceso al software, los datos y los sistemas según sea necesario en el contexto de su trabajo, y nada más. Este método, especialmente si se combina con principios de autorización basados en el principio de confianza cero, es útil para controlar toda la superficie de ataque. Y, en realidad, deberíamos postularnos esta misma estrategia para los permisos de API, y otros casos de uso basados en software como estándar.
La mayoría de los que trabajamos en el negocio de la seguridad somos muy conscientes del hecho de que el software se está comiendo el mundo, y el código de los sistemas integrados que hace funcionar la freidora no es realmente diferente del código que mantiene la red eléctrica en funcionamiento, en términos de su potencial de explotación. Nuestras vidas y nuestros datos críticos están a merced de los actores de amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortalecer su código si cuentan con la formación adecuada. Para ello es necesario actualizar seriamente la cultura de seguridad de una organización, pero para que exista una verdadera responsabilidad compartida al estilo de DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y quizás la forma más rápida de cambiar su mentalidad sea vincular el acceso al repositorio de código con unos resultados de aprendizaje de programación seguros.
Si tomamos una organización del ámbito de la BFSI, por ejemplo, es muy probable que haya repositorios altamente confidenciales que contengan datos de clientes o que almacenen información valiosa, como números de tarjetas de crédito. Entonces, ¿por qué deberíamos suponer que todos los ingenieros a los que se ha concedido el acceso son conscientes de la seguridad, cumplen con los estrictos requisitos de la PCI-DSS y pueden realizar cambios en la sucursal principal de forma rápida y sin incidentes? Si bien este puede ser el caso de algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El desafío es que, en la mayoría de las empresas, promulgar un escenario de «licencia para programar» sería arduo y, según la solución de capacitación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad rápida. Sin embargo, la combinación correcta de educación y herramientas integradoras puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración efectiva de la formación no es imposible.
Encuentra soluciones para mejorar las habilidades de los desarrolladores que complementan tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero hacer un esfuerzo adicional para superar la formación de cumplimiento al estilo «único» es la única manera de empezar a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que demuestran su valía con éxito? Bueno, el mundo de la programación es lo suyo, y no tienen por qué verse obstaculizados por los controles de seguridad que suponen que no pueden aprender lo básico.
El desarrollo práctico de las habilidades que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente los conceptos de codificación segura, y estas mismas integraciones se pueden utilizar para gestionar de forma eficaz el acceso a los sistemas críticos, garantizando que quienes destacan en sus resultados de aprendizaje trabajen sin obstáculos en las tareas delicadas de mayor prioridad. También facilita la implementación de recompensas y reconocimientos, lo que garantiza que los desarrolladores con conocimientos de seguridad tengan en su cohorte una aspiración.
Como muchas cosas en la vida, la suerte favorece a los valientes, y romper el status quo para adoptar un enfoque innovador para la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para mejorar los estándares del futuro de calidad de código aceptable sin sacrificar la velocidad.
Tabla de contenido
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Habilitador 1: Criterios de éxito definidos y medibles
Enabler 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
