¿Quieres que los desarrolladores programen teniendo en cuenta la seguridad? Lleve la formación a su disposición.
El ciclo de vida del desarrollo de software (SDLC) parece bastante inocuo; es un proceso, y los programadores nos unimos para hacer que la magia suceda y enviar todos esos beneficios digitales sin los que la sociedad no puede vivir.
Excepto que... si alguna vez has formado parte de un proyecto de desarrollo de software, sabrás que normalmente es un desafío, con muchas misiones que conquistar y dragones que matar. Es divertido durante un tiempo, pero el agotamiento es real, y la demanda de software hace que todos trabajemos a la velocidad de la luz en el mejor de los casos, especialmente el equipo de desarrollo.
Ahora imagine que se les presenta otra tarea imprescindible: la responsabilidad de la seguridad de los elementos del proyecto que tocan. Esto, en el peor de los casos, puede provocar que el castillo de naipes se derrumbe para algunas personas, pero el escenario más realista es que simplemente no se convierta en una prioridad y prevalezcan las cuestiones que se consideran más urgentes para pasarse de la raya. Y dado que la mayoría de los desarrolladores no están capacitados para programar de forma segura (especialmente si sus administradores tampoco dan prioridad a la seguridad), no es de extrañar que veamos frecuentes filtraciones de datos, lanzamientos de aplicaciones defectuosos y un gran abandono entre los profesionales de la seguridad que llegan a un punto de quiebre debido a una avalancha de códigos defectuosos.
Los desarrolladores necesitan un defensor de AppSec.
Al analizar el escenario anterior, puedes entender por qué la seguridad se pone en la cesta «demasiado difícil» durante el proceso de codificación y se deja que el equipo de seguridad se ocupe de ella. Demasiados plazos contradictorios, no hay suficiente formación y no hay ningún motivo real para preocuparse por la seguridad con todo lo demás. Sin embargo, simplemente hay demasiada demanda de código como para que continúe este status quo. Y ahí es donde los desarrolladores de élite pueden diferenciarse de sus pares, aprender nuevas habilidades y, lo que es más importante, crear código más seguro.
Sin embargo, es importante recordar que la gestión de la seguridad del software no recae solo en los desarrolladores, sino que ese sigue siendo el dominio del equipo de AppSec (que, cuando trabaje con desarrolladores preocupados por la seguridad, tendrá más espacio para respirar en lugar de corregir errores comunes una y otra vez). Un proceso DevSecOps en funcionamiento exige que todos los miembros del equipo cuenten con el apoyo y las herramientas que necesitan para compartir la responsabilidad de la seguridad, y tipo correcto de entrenamiento es primordial. Equilibrar el conjunto adecuado de herramientas y la formación requiere la visión de los profesionales de AppSec dispuestos a trabajar en estrecha colaboración con los desarrolladores para inspirarlos e impulsar un cambio positivo.
La formación disruptiva es más molesta que eficaz, y cualquier cosa que repele a los desarrolladores no va a funcionar. Una alternativa es utilizar un IDE o una solución integrada con un sistema de seguimiento de incidencias que se centre en el conocimiento a pequeña escala, y les proporciona la información correcta en el momento preciso en que la necesitan.
Así es como funciona en acción:
Justo a tiempo, no «por si acaso».
Aprendizaje práctico y contextual es, con mucho, la forma más eficaz de entrenar, ya que se entregan trozos del tamaño de un bocado justo cuando tienen más sentido. En ocasiones, esto se denomina formación «justo a tiempo» (JiT) y es muy útil para los desarrolladores que están aprendiendo a programar de forma segura.
Con orígenes en Los principios de fabricación ajustada de Toyota, la capacitación en iIT está diseñada para activarse en función de la necesidad de saber, en el contexto, cuando más importa. ¿Un desarrollador acaba de escribir algo que parece tener permisos incorrectos? ¿Qué pasaría si se abriera una pequeña puerta trasera que permitiera a un atacante ejecutar código de forma remota? Sería mucho más memorable si los desarrolladores pudieran acceder al conocimiento justo cuando lo necesitan, en lugar de buscar en la documentación de Confluence o buscar en Google algo que se haya mencionado en la formación.
El aprendizaje justo a tiempo es la antítesis del aprendizaje «por si acaso»; si bien esta última es la forma más común de impartir conocimientos, simplemente no es eficiente. Debemos facilitar que los desarrolladores se interesen por las mejores prácticas de programación segura y vean las ventajas de mejorar sus habilidades profesionales, sin dejar de centrarse en los objetivos clave en los que están trabajando en este momento.
Deja de hacer que los desarrolladores sigan la formación.
Ya sabemos que hay demasiadas cosas que hacer en una jornada laboral, entonces, ¿qué incentivo tienen los desarrolladores para ir a un aula o cambiar de contexto para seguir cinco pasos y acceder a una formación basada en la teoría estática?
El consenso general es que lo que hacen la mayoría de las organizaciones no es muy eficaz si se tiene en cuenta la cantidad de vulnerabilidades que causan las filtraciones de datos. El informe de investigación de violaciones de datos de 2020 de Verizon especificó que El 43% de las filtraciones de datos podrían atribuirse a vulnerabilidades web. Los desarrolladores no reciben una formación eficaz; ni en la educación superior, ni como parte de las medidas de mejora de las cualificaciones en el lugar de trabajo. Si lo fueran, vulnerabilidades comunes como la inyección de SQL y la vieja escuela recorrido de ruta no se aprovecharía para obtener una cantidad significativa de datos, y la escasez de habilidades de ciberseguridad no estaría fuera de control.
Entonces, sabiendo que este es el clima actual en el que los desarrolladores reciben capacitación y se familiarizan con la seguridad, ¿por qué nos sorprende el mal resultado? Podría tener un efecto (positivo) tanto para el desarrollador como para la organización al garantizar una experiencia de formación más fluida, integrada y menos molesta, que sea accesible desde los espacios en los que realmente trabajan, como Jira, GitHub y el IDE. El sector simplemente necesita avanzar y hacer que la concienciación sobre la seguridad sea mucho más sencilla, en un entorno en el que ya no es un lujo.
¿Está preparado para proteger el flujo de trabajo de desarrollo?
Los desarrolladores que se preocupan por la seguridad son venerados por sus habilidades y por la protección que pueden ofrecer a las organizaciones desde la etapa de creación de código. La seguridad ya no es opcional, especialmente si tenemos en cuenta las multas impuestas por el RGPD, la normativa de cumplimiento del PCI-DSS, la gobernanza del NIST... y la posibilidad de que te demanden en el marco de una gran demanda colectiva multimillonaria, como Equifax.
Un enfoque integrado podría ser el catalizador para empezar a ganarse a los desarrolladores con un aprendizaje menos disruptivo y crear algunas vías para impartir cursos más detallados, capacitar a los defensores de la seguridad y, en general, inspirar la responsabilidad compartida que necesitamos para mantener los datos del mundo sanos y salvos.
Descargue las herramientas de integración para Jira y GitHub ahora, y dinos lo que piensas.
Ya sabemos que hay demasiadas cosas que hacer en una jornada laboral, entonces, ¿qué incentivo tienen los desarrolladores para ir a un aula o cambiar de contexto para seguir cinco pasos y acceder a una formación basada en la teoría estática?
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostración
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
El ciclo de vida del desarrollo de software (SDLC) parece bastante inocuo; es un proceso, y los programadores nos unimos para hacer que la magia suceda y enviar todos esos beneficios digitales sin los que la sociedad no puede vivir.
Excepto que... si alguna vez has formado parte de un proyecto de desarrollo de software, sabrás que normalmente es un desafío, con muchas misiones que conquistar y dragones que matar. Es divertido durante un tiempo, pero el agotamiento es real, y la demanda de software hace que todos trabajemos a la velocidad de la luz en el mejor de los casos, especialmente el equipo de desarrollo.
Ahora imagine que se les presenta otra tarea imprescindible: la responsabilidad de la seguridad de los elementos del proyecto que tocan. Esto, en el peor de los casos, puede provocar que el castillo de naipes se derrumbe para algunas personas, pero el escenario más realista es que simplemente no se convierta en una prioridad y prevalezcan las cuestiones que se consideran más urgentes para pasarse de la raya. Y dado que la mayoría de los desarrolladores no están capacitados para programar de forma segura (especialmente si sus administradores tampoco dan prioridad a la seguridad), no es de extrañar que veamos frecuentes filtraciones de datos, lanzamientos de aplicaciones defectuosos y un gran abandono entre los profesionales de la seguridad que llegan a un punto de quiebre debido a una avalancha de códigos defectuosos.
Los desarrolladores necesitan un defensor de AppSec.
Al analizar el escenario anterior, puedes entender por qué la seguridad se pone en la cesta «demasiado difícil» durante el proceso de codificación y se deja que el equipo de seguridad se ocupe de ella. Demasiados plazos contradictorios, no hay suficiente formación y no hay ningún motivo real para preocuparse por la seguridad con todo lo demás. Sin embargo, simplemente hay demasiada demanda de código como para que continúe este status quo. Y ahí es donde los desarrolladores de élite pueden diferenciarse de sus pares, aprender nuevas habilidades y, lo que es más importante, crear código más seguro.
Sin embargo, es importante recordar que la gestión de la seguridad del software no recae solo en los desarrolladores, sino que ese sigue siendo el dominio del equipo de AppSec (que, cuando trabaje con desarrolladores preocupados por la seguridad, tendrá más espacio para respirar en lugar de corregir errores comunes una y otra vez). Un proceso DevSecOps en funcionamiento exige que todos los miembros del equipo cuenten con el apoyo y las herramientas que necesitan para compartir la responsabilidad de la seguridad, y tipo correcto de entrenamiento es primordial. Equilibrar el conjunto adecuado de herramientas y la formación requiere la visión de los profesionales de AppSec dispuestos a trabajar en estrecha colaboración con los desarrolladores para inspirarlos e impulsar un cambio positivo.
La formación disruptiva es más molesta que eficaz, y cualquier cosa que repele a los desarrolladores no va a funcionar. Una alternativa es utilizar un IDE o una solución integrada con un sistema de seguimiento de incidencias que se centre en el conocimiento a pequeña escala, y les proporciona la información correcta en el momento preciso en que la necesitan.
Así es como funciona en acción:
Justo a tiempo, no «por si acaso».
Aprendizaje práctico y contextual es, con mucho, la forma más eficaz de entrenar, ya que se entregan trozos del tamaño de un bocado justo cuando tienen más sentido. En ocasiones, esto se denomina formación «justo a tiempo» (JiT) y es muy útil para los desarrolladores que están aprendiendo a programar de forma segura.
Con orígenes en Los principios de fabricación ajustada de Toyota, la capacitación en iIT está diseñada para activarse en función de la necesidad de saber, en el contexto, cuando más importa. ¿Un desarrollador acaba de escribir algo que parece tener permisos incorrectos? ¿Qué pasaría si se abriera una pequeña puerta trasera que permitiera a un atacante ejecutar código de forma remota? Sería mucho más memorable si los desarrolladores pudieran acceder al conocimiento justo cuando lo necesitan, en lugar de buscar en la documentación de Confluence o buscar en Google algo que se haya mencionado en la formación.
El aprendizaje justo a tiempo es la antítesis del aprendizaje «por si acaso»; si bien esta última es la forma más común de impartir conocimientos, simplemente no es eficiente. Debemos facilitar que los desarrolladores se interesen por las mejores prácticas de programación segura y vean las ventajas de mejorar sus habilidades profesionales, sin dejar de centrarse en los objetivos clave en los que están trabajando en este momento.
Deja de hacer que los desarrolladores sigan la formación.
Ya sabemos que hay demasiadas cosas que hacer en una jornada laboral, entonces, ¿qué incentivo tienen los desarrolladores para ir a un aula o cambiar de contexto para seguir cinco pasos y acceder a una formación basada en la teoría estática?
El consenso general es que lo que hacen la mayoría de las organizaciones no es muy eficaz si se tiene en cuenta la cantidad de vulnerabilidades que causan las filtraciones de datos. El informe de investigación de violaciones de datos de 2020 de Verizon especificó que El 43% de las filtraciones de datos podrían atribuirse a vulnerabilidades web. Los desarrolladores no reciben una formación eficaz; ni en la educación superior, ni como parte de las medidas de mejora de las cualificaciones en el lugar de trabajo. Si lo fueran, vulnerabilidades comunes como la inyección de SQL y la vieja escuela recorrido de ruta no se aprovecharía para obtener una cantidad significativa de datos, y la escasez de habilidades de ciberseguridad no estaría fuera de control.
Entonces, sabiendo que este es el clima actual en el que los desarrolladores reciben capacitación y se familiarizan con la seguridad, ¿por qué nos sorprende el mal resultado? Podría tener un efecto (positivo) tanto para el desarrollador como para la organización al garantizar una experiencia de formación más fluida, integrada y menos molesta, que sea accesible desde los espacios en los que realmente trabajan, como Jira, GitHub y el IDE. El sector simplemente necesita avanzar y hacer que la concienciación sobre la seguridad sea mucho más sencilla, en un entorno en el que ya no es un lujo.
¿Está preparado para proteger el flujo de trabajo de desarrollo?
Los desarrolladores que se preocupan por la seguridad son venerados por sus habilidades y por la protección que pueden ofrecer a las organizaciones desde la etapa de creación de código. La seguridad ya no es opcional, especialmente si tenemos en cuenta las multas impuestas por el RGPD, la normativa de cumplimiento del PCI-DSS, la gobernanza del NIST... y la posibilidad de que te demanden en el marco de una gran demanda colectiva multimillonaria, como Equifax.
Un enfoque integrado podría ser el catalizador para empezar a ganarse a los desarrolladores con un aprendizaje menos disruptivo y crear algunas vías para impartir cursos más detallados, capacitar a los defensores de la seguridad y, en general, inspirar la responsabilidad compartida que necesitamos para mantener los datos del mundo sanos y salvos.
Descargue las herramientas de integración para Jira y GitHub ahora, y dinos lo que piensas.
El ciclo de vida del desarrollo de software (SDLC) parece bastante inocuo; es un proceso, y los programadores nos unimos para hacer que la magia suceda y enviar todos esos beneficios digitales sin los que la sociedad no puede vivir.
Excepto que... si alguna vez has formado parte de un proyecto de desarrollo de software, sabrás que normalmente es un desafío, con muchas misiones que conquistar y dragones que matar. Es divertido durante un tiempo, pero el agotamiento es real, y la demanda de software hace que todos trabajemos a la velocidad de la luz en el mejor de los casos, especialmente el equipo de desarrollo.
Ahora imagine que se les presenta otra tarea imprescindible: la responsabilidad de la seguridad de los elementos del proyecto que tocan. Esto, en el peor de los casos, puede provocar que el castillo de naipes se derrumbe para algunas personas, pero el escenario más realista es que simplemente no se convierta en una prioridad y prevalezcan las cuestiones que se consideran más urgentes para pasarse de la raya. Y dado que la mayoría de los desarrolladores no están capacitados para programar de forma segura (especialmente si sus administradores tampoco dan prioridad a la seguridad), no es de extrañar que veamos frecuentes filtraciones de datos, lanzamientos de aplicaciones defectuosos y un gran abandono entre los profesionales de la seguridad que llegan a un punto de quiebre debido a una avalancha de códigos defectuosos.
Los desarrolladores necesitan un defensor de AppSec.
Al analizar el escenario anterior, puedes entender por qué la seguridad se pone en la cesta «demasiado difícil» durante el proceso de codificación y se deja que el equipo de seguridad se ocupe de ella. Demasiados plazos contradictorios, no hay suficiente formación y no hay ningún motivo real para preocuparse por la seguridad con todo lo demás. Sin embargo, simplemente hay demasiada demanda de código como para que continúe este status quo. Y ahí es donde los desarrolladores de élite pueden diferenciarse de sus pares, aprender nuevas habilidades y, lo que es más importante, crear código más seguro.
Sin embargo, es importante recordar que la gestión de la seguridad del software no recae solo en los desarrolladores, sino que ese sigue siendo el dominio del equipo de AppSec (que, cuando trabaje con desarrolladores preocupados por la seguridad, tendrá más espacio para respirar en lugar de corregir errores comunes una y otra vez). Un proceso DevSecOps en funcionamiento exige que todos los miembros del equipo cuenten con el apoyo y las herramientas que necesitan para compartir la responsabilidad de la seguridad, y tipo correcto de entrenamiento es primordial. Equilibrar el conjunto adecuado de herramientas y la formación requiere la visión de los profesionales de AppSec dispuestos a trabajar en estrecha colaboración con los desarrolladores para inspirarlos e impulsar un cambio positivo.
La formación disruptiva es más molesta que eficaz, y cualquier cosa que repele a los desarrolladores no va a funcionar. Una alternativa es utilizar un IDE o una solución integrada con un sistema de seguimiento de incidencias que se centre en el conocimiento a pequeña escala, y les proporciona la información correcta en el momento preciso en que la necesitan.
Así es como funciona en acción:
Justo a tiempo, no «por si acaso».
Aprendizaje práctico y contextual es, con mucho, la forma más eficaz de entrenar, ya que se entregan trozos del tamaño de un bocado justo cuando tienen más sentido. En ocasiones, esto se denomina formación «justo a tiempo» (JiT) y es muy útil para los desarrolladores que están aprendiendo a programar de forma segura.
Con orígenes en Los principios de fabricación ajustada de Toyota, la capacitación en iIT está diseñada para activarse en función de la necesidad de saber, en el contexto, cuando más importa. ¿Un desarrollador acaba de escribir algo que parece tener permisos incorrectos? ¿Qué pasaría si se abriera una pequeña puerta trasera que permitiera a un atacante ejecutar código de forma remota? Sería mucho más memorable si los desarrolladores pudieran acceder al conocimiento justo cuando lo necesitan, en lugar de buscar en la documentación de Confluence o buscar en Google algo que se haya mencionado en la formación.
El aprendizaje justo a tiempo es la antítesis del aprendizaje «por si acaso»; si bien esta última es la forma más común de impartir conocimientos, simplemente no es eficiente. Debemos facilitar que los desarrolladores se interesen por las mejores prácticas de programación segura y vean las ventajas de mejorar sus habilidades profesionales, sin dejar de centrarse en los objetivos clave en los que están trabajando en este momento.
Deja de hacer que los desarrolladores sigan la formación.
Ya sabemos que hay demasiadas cosas que hacer en una jornada laboral, entonces, ¿qué incentivo tienen los desarrolladores para ir a un aula o cambiar de contexto para seguir cinco pasos y acceder a una formación basada en la teoría estática?
El consenso general es que lo que hacen la mayoría de las organizaciones no es muy eficaz si se tiene en cuenta la cantidad de vulnerabilidades que causan las filtraciones de datos. El informe de investigación de violaciones de datos de 2020 de Verizon especificó que El 43% de las filtraciones de datos podrían atribuirse a vulnerabilidades web. Los desarrolladores no reciben una formación eficaz; ni en la educación superior, ni como parte de las medidas de mejora de las cualificaciones en el lugar de trabajo. Si lo fueran, vulnerabilidades comunes como la inyección de SQL y la vieja escuela recorrido de ruta no se aprovecharía para obtener una cantidad significativa de datos, y la escasez de habilidades de ciberseguridad no estaría fuera de control.
Entonces, sabiendo que este es el clima actual en el que los desarrolladores reciben capacitación y se familiarizan con la seguridad, ¿por qué nos sorprende el mal resultado? Podría tener un efecto (positivo) tanto para el desarrollador como para la organización al garantizar una experiencia de formación más fluida, integrada y menos molesta, que sea accesible desde los espacios en los que realmente trabajan, como Jira, GitHub y el IDE. El sector simplemente necesita avanzar y hacer que la concienciación sobre la seguridad sea mucho más sencilla, en un entorno en el que ya no es un lujo.
¿Está preparado para proteger el flujo de trabajo de desarrollo?
Los desarrolladores que se preocupan por la seguridad son venerados por sus habilidades y por la protección que pueden ofrecer a las organizaciones desde la etapa de creación de código. La seguridad ya no es opcional, especialmente si tenemos en cuenta las multas impuestas por el RGPD, la normativa de cumplimiento del PCI-DSS, la gobernanza del NIST... y la posibilidad de que te demanden en el marco de una gran demanda colectiva multimillonaria, como Equifax.
Un enfoque integrado podría ser el catalizador para empezar a ganarse a los desarrolladores con un aprendizaje menos disruptivo y crear algunas vías para impartir cursos más detallados, capacitar a los defensores de la seguridad y, en general, inspirar la responsabilidad compartida que necesitamos para mantener los datos del mundo sanos y salvos.
Descargue las herramientas de integración para Jira y GitHub ahora, y dinos lo que piensas.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserva una demostración
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
El ciclo de vida del desarrollo de software (SDLC) parece bastante inocuo; es un proceso, y los programadores nos unimos para hacer que la magia suceda y enviar todos esos beneficios digitales sin los que la sociedad no puede vivir.
Excepto que... si alguna vez has formado parte de un proyecto de desarrollo de software, sabrás que normalmente es un desafío, con muchas misiones que conquistar y dragones que matar. Es divertido durante un tiempo, pero el agotamiento es real, y la demanda de software hace que todos trabajemos a la velocidad de la luz en el mejor de los casos, especialmente el equipo de desarrollo.
Ahora imagine que se les presenta otra tarea imprescindible: la responsabilidad de la seguridad de los elementos del proyecto que tocan. Esto, en el peor de los casos, puede provocar que el castillo de naipes se derrumbe para algunas personas, pero el escenario más realista es que simplemente no se convierta en una prioridad y prevalezcan las cuestiones que se consideran más urgentes para pasarse de la raya. Y dado que la mayoría de los desarrolladores no están capacitados para programar de forma segura (especialmente si sus administradores tampoco dan prioridad a la seguridad), no es de extrañar que veamos frecuentes filtraciones de datos, lanzamientos de aplicaciones defectuosos y un gran abandono entre los profesionales de la seguridad que llegan a un punto de quiebre debido a una avalancha de códigos defectuosos.
Los desarrolladores necesitan un defensor de AppSec.
Al analizar el escenario anterior, puedes entender por qué la seguridad se pone en la cesta «demasiado difícil» durante el proceso de codificación y se deja que el equipo de seguridad se ocupe de ella. Demasiados plazos contradictorios, no hay suficiente formación y no hay ningún motivo real para preocuparse por la seguridad con todo lo demás. Sin embargo, simplemente hay demasiada demanda de código como para que continúe este status quo. Y ahí es donde los desarrolladores de élite pueden diferenciarse de sus pares, aprender nuevas habilidades y, lo que es más importante, crear código más seguro.
Sin embargo, es importante recordar que la gestión de la seguridad del software no recae solo en los desarrolladores, sino que ese sigue siendo el dominio del equipo de AppSec (que, cuando trabaje con desarrolladores preocupados por la seguridad, tendrá más espacio para respirar en lugar de corregir errores comunes una y otra vez). Un proceso DevSecOps en funcionamiento exige que todos los miembros del equipo cuenten con el apoyo y las herramientas que necesitan para compartir la responsabilidad de la seguridad, y tipo correcto de entrenamiento es primordial. Equilibrar el conjunto adecuado de herramientas y la formación requiere la visión de los profesionales de AppSec dispuestos a trabajar en estrecha colaboración con los desarrolladores para inspirarlos e impulsar un cambio positivo.
La formación disruptiva es más molesta que eficaz, y cualquier cosa que repele a los desarrolladores no va a funcionar. Una alternativa es utilizar un IDE o una solución integrada con un sistema de seguimiento de incidencias que se centre en el conocimiento a pequeña escala, y les proporciona la información correcta en el momento preciso en que la necesitan.
Así es como funciona en acción:
Justo a tiempo, no «por si acaso».
Aprendizaje práctico y contextual es, con mucho, la forma más eficaz de entrenar, ya que se entregan trozos del tamaño de un bocado justo cuando tienen más sentido. En ocasiones, esto se denomina formación «justo a tiempo» (JiT) y es muy útil para los desarrolladores que están aprendiendo a programar de forma segura.
Con orígenes en Los principios de fabricación ajustada de Toyota, la capacitación en iIT está diseñada para activarse en función de la necesidad de saber, en el contexto, cuando más importa. ¿Un desarrollador acaba de escribir algo que parece tener permisos incorrectos? ¿Qué pasaría si se abriera una pequeña puerta trasera que permitiera a un atacante ejecutar código de forma remota? Sería mucho más memorable si los desarrolladores pudieran acceder al conocimiento justo cuando lo necesitan, en lugar de buscar en la documentación de Confluence o buscar en Google algo que se haya mencionado en la formación.
El aprendizaje justo a tiempo es la antítesis del aprendizaje «por si acaso»; si bien esta última es la forma más común de impartir conocimientos, simplemente no es eficiente. Debemos facilitar que los desarrolladores se interesen por las mejores prácticas de programación segura y vean las ventajas de mejorar sus habilidades profesionales, sin dejar de centrarse en los objetivos clave en los que están trabajando en este momento.
Deja de hacer que los desarrolladores sigan la formación.
Ya sabemos que hay demasiadas cosas que hacer en una jornada laboral, entonces, ¿qué incentivo tienen los desarrolladores para ir a un aula o cambiar de contexto para seguir cinco pasos y acceder a una formación basada en la teoría estática?
El consenso general es que lo que hacen la mayoría de las organizaciones no es muy eficaz si se tiene en cuenta la cantidad de vulnerabilidades que causan las filtraciones de datos. El informe de investigación de violaciones de datos de 2020 de Verizon especificó que El 43% de las filtraciones de datos podrían atribuirse a vulnerabilidades web. Los desarrolladores no reciben una formación eficaz; ni en la educación superior, ni como parte de las medidas de mejora de las cualificaciones en el lugar de trabajo. Si lo fueran, vulnerabilidades comunes como la inyección de SQL y la vieja escuela recorrido de ruta no se aprovecharía para obtener una cantidad significativa de datos, y la escasez de habilidades de ciberseguridad no estaría fuera de control.
Entonces, sabiendo que este es el clima actual en el que los desarrolladores reciben capacitación y se familiarizan con la seguridad, ¿por qué nos sorprende el mal resultado? Podría tener un efecto (positivo) tanto para el desarrollador como para la organización al garantizar una experiencia de formación más fluida, integrada y menos molesta, que sea accesible desde los espacios en los que realmente trabajan, como Jira, GitHub y el IDE. El sector simplemente necesita avanzar y hacer que la concienciación sobre la seguridad sea mucho más sencilla, en un entorno en el que ya no es un lujo.
¿Está preparado para proteger el flujo de trabajo de desarrollo?
Los desarrolladores que se preocupan por la seguridad son venerados por sus habilidades y por la protección que pueden ofrecer a las organizaciones desde la etapa de creación de código. La seguridad ya no es opcional, especialmente si tenemos en cuenta las multas impuestas por el RGPD, la normativa de cumplimiento del PCI-DSS, la gobernanza del NIST... y la posibilidad de que te demanden en el marco de una gran demanda colectiva multimillonaria, como Equifax.
Un enfoque integrado podría ser el catalizador para empezar a ganarse a los desarrolladores con un aprendizaje menos disruptivo y crear algunas vías para impartir cursos más detallados, capacitar a los defensores de la seguridad y, en general, inspirar la responsabilidad compartida que necesitamos para mantener los datos del mundo sanos y salvos.
Descargue las herramientas de integración para Jira y GitHub ahora, y dinos lo que piensas.
Tabla de contenido
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Habilitador 1: Criterios de éxito definidos y medibles
Enabler 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
