Conciencia de seguridad certificada: una orden ejecutiva para mejorar la calidad de los desarrolladores

Si existe el tiempo divino, hay que decir que la Administración de Biden dio en el clavo con su Orden ejecutiva (EO), en el que se aborda el plan del gobierno de los EE. UU. para reforzar las redes federales y mejorar los estándares y las mejores prácticas de ciberseguridad en todo el país. Esta estrategia sigue a dos ciberataques recientes y devastadores: la continua violación de la cadena de suministro de Vientos solares, además del Oleoducto colonial ataque a la infraestructura de gas.
Si bien estos acontecimientos indudablemente causaron repercusiones en todos los niveles del gobierno, esta directiva marca un momento emocionante para la futuro de la ciberseguridad. Parece que por fin nos estamos tomando en serio la protección de nuestra existencia digital desde arriba, y no hay mejor momento que ahora para impulsar mejores estándares y un software de mayor calidad.
La EO aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan verificado habilidades y conciencia de seguridad. Durante años, hemos gritado a los cuatro vientos diciendo que este es el camino a seguir para combatir las vulnerabilidades comunes que tan a menudo nos hacen perder, y que los mandatos gubernamentales se alineen con este enfoque es el camino hacia el éxito generalizado en la ciberdefensa.
¿Cómo deben responder las organizaciones (y los departamentos federales por igual) a esta orden? Analicemos algunas de las categorías principales.
«Tick-the-Box» está descartado.
Hace tiempo que señalamos la ineficacia de la mayoría de los tipos de formación en ciberseguridad para desarrolladores. Con frecuencia es demasiado genérica, no se imparte de manera que atraiga e inspire el resultado deseado (léase: código más seguro) y se aborda con muy poca frecuencia. Y lo que es peor, muchas empresas se contentan con una formación «lista para cumplir», es decir, un enfoque que ofrece lo mínimo y listo para cumplir con un requisito operativo y obtener una marca de verificación junto al nombre del desarrollador. Estas estrategias educativas son las que mantienen a todos los CISO en el filo de la navaja, cruzando los dedos y esperando que su empresa no sea víctima de la próxima brecha de seguridad cibernética. Simplemente no sirven para reducir las vulnerabilidades y crear código de mayor calidad.
En la sección 4 del mandato de Biden, se deja en claro la necesidad de que una organización demuestre que sus desarrolladores muestran un cumplimiento de seguridad documentado y verificado:
»Las directrices deberán incluir criterios que puedan utilizarse para evaluar la seguridad del software, incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras.»
Hay un pequeño problema con eso: actualmente no existe ninguna certificación estándar de la industria específica para desarrolladores. Poder comparar el nivel de habilidades de programación segura de los desarrolladores y trabajar con cursos y evaluaciones para mejorar esas habilidades es fundamental, ya que permite a las empresas establecer objetivos y lograr el cumplimiento. Cuando los desarrolladores pueden demostrar sus competencias básicas en un entorno práctico y práctico, estas pueden evaluarse y certificarse de forma significativa y fiable. Es fundamental para nuestra oferta en Secure Code Warrior, y nos hemos esforzado por crear un sistema que pueda utilizarse para obtener una certificación fiable y que se pueda personalizar según sus requisitos técnicos y organizativos.
Estas habilidades son valiosas y no se pueden automatizar. La certificación puede transformar a los desarrolladores en una fuerza consciente de la seguridad que puede defender el código base contra las amenazas insidiosas.

Un enfoque en las herramientas para desarrolladores (y en las herramientas en general).
Además de las directrices sobre la verificación de las prácticas de codificación seguras, la EO profundiza bastante en el aspecto de la seguridad relacionado con la automatización y las herramientas.
Simplemente se está produciendo demasiado código como para que los humanos lo manejen solos desde una perspectiva de seguridad, y la automatización, como parte de un extenso paquete tecnológico, es una parte importante de todos los programas de seguridad, como debería ser. Sin embargo, no todas las herramientas se crean de la misma manera, y no existe una «herramienta que las gobierne a todas» que detecte todas las vulnerabilidades en todos los lenguajes de programación. Un buen programa de seguridad adopta un enfoque matizado, especialmente cuando se trata de herramientas y servicios dirigidos a los desarrolladores.
La sección 3 de la EO describe las expectativas de los proveedores que crean software que pueda ser utilizado por el gobierno federal, y las pautas instructivas sobre el uso de herramientas en el proceso de desarrollo:
» (iii) emplear herramientas automatizadas, o procesos comparables, para mantener cadenas de suministro de código fuente confiables, garantizando así la integridad del código;
(iv) emplear herramientas automatizadas, o procesos comparables, que comprueben las vulnerabilidades conocidas y potenciales y las corrijan, que deberán funcionar con regularidad o, como mínimo, antes del lanzamiento del producto, la versión o la actualización.»
Las herramientas de seguridad del paquete tecnológico para desarrolladores son una de las formas de mejorar las mejores prácticas de seguridad con rapidez, garantizando que las versiones tengan la mejor oportunidad de cumplir con los plazos y no se vean retrasadas por errores de seguridad y otros problemas espectaculares. Sin embargo, la cuestión es que los desarrolladores seguirán necesitando un aprendizaje contextual para aprovechar al máximo las herramientas más potentes. Es crucial que comprendan qué es lo que se ha marcado, por qué es peligroso y cómo remediarlo, y esto conllevará menos errores a la hora de identificar las herramientas.
Las mejores herramientas se integrarán con el entorno de los desarrolladores, ayudándoles a producir código de mayor calidad (y más seguro) y garantizarán que la seguridad sea una prioridad.
Asegurar la cadena de suministro.
Una de mis partes favoritas de la EO son los planes integrales para asegurar la cadena de suministro de software. Esto no es sorprendente, dado el evento de SolarWinds, pero es un punto culminante importante:
»La seguridad del software utilizado por el Gobierno Federal es vital para la capacidad del Gobierno Federal de desempeñar sus funciones críticas. El desarrollo de software comercial a menudo carece de transparencia, no se centra lo suficiente en la capacidad del software para resistir los ataques y no cuenta con los controles adecuados para evitar que actores malintencionados lo manipulen. Existe una necesidad urgente de implementar mecanismos más rigurosos y predecibles para garantizar que los productos funcionen de manera segura y según lo previsto... el Gobierno Federal debe tomar medidas para mejorar rápidamente la seguridad e integridad de la cadena de suministro de software, dando prioridad a abordar el software crítico.»
Esta decisión afectará a cualquier empresa de software que quiera hacer negocios con el gobierno de los EE. UU., pero debería aplicarse como norma en todas partes. La falta de transparencia por parte de los proveedores externos (por no hablar de los desarrolladores que utilizan componentes de terceros) con respecto a sus medidas de seguridad hace que sea increíblemente difícil evaluar, validar y declarar que se están cumpliendo las mejores prácticas de ciberseguridad. Debemos analizar los proveedores que utilizamos y el software que crean. Estas acciones pueden considerarse un «esfuerzo adicional», pero deberían ser inherentes al estándar de referencia de las mejores prácticas de ciberseguridad.
Enviar código seguro con confianza ha sido un problema en nuestra industria durante mucho tiempo, pero esta es la oportunidad perfecta para evaluar los procesos actuales y liderar el camino hacia una infraestructura de nube y software reforzada, que es la envidia de quienes se quedan atrás. Hable con nosotros ahora y descubra cómo puede aprovechar Cursos, Evaluaciones, y herramientas para desarrolladores para certificar a su próximo equipo de desarrolladores preocupados por la seguridad.
.png)
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Post-Quantum Cryptography: Quantum Computers Will Break Today’s Encryption – Are You Ready?
Post-quantum cryptography (PQC) is critical for protecting data from quantum computing threats. Learn how “harvest now, decrypt later” exposes risk and how developers can prepare for quantum-safe security.

Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.