Blog

Cambie a la izquierda (y logre el cumplimiento) con habilidades de codificación segura y repetibles

November 10, 2022
Secure Code Warrior

Hoy en día, casi todos los equipos de desarrolladores emplean algún tipo de formación sobre cumplimiento, ya sea como parte de un proceso de certificación inicial que se utiliza para garantizar que una empresa se mantenga dentro de los límites de los marcos industriales o las regulaciones gubernamentales, o como parte de un requisito o revisión anual. Es un paso importante, porque si una organización no puede cumplir con los requisitos básicos de cumplimiento, sus trabajadores no pueden desempeñar sus funciones de manera realista.

Las reglas de cumplimiento existen por una razón, porque cualquier persona que trabaje en el campo que cubren esas reglas debe tener al menos un conocimiento fundamental de todos los procesos y procedimientos relevantes, así como de cualquier ley aplicable.

Si bien la capacitación en cumplimiento es importante, completar los requisitos mínimos obligatorios no garantiza una verdadera seguridad de las aplicaciones. Esto es especialmente cierto en el caso de los desarrolladores que intentan integrar habilidades de codificación seguras en su flujo de trabajo diario. Casi todos los desarrolladores reciben algún tipo de formación sobre cumplimiento y, sin embargo, cuando son encuestados, El 67% admitió que con frecuencia dejaban vulnerabilidades en su código.

¿Por qué?

Por segundo año consecutivo, Secure Code Warrior llevó a cabo la «Encuesta sobre el estado de la seguridad impulsada por los desarrolladores, 2022" en colaboración con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para comprender las habilidades, las percepciones y los comportamientos en lo que respecta a las prácticas de codificación seguras, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).

En cuanto a por qué la capacitación en cumplimiento no logra mejorar la seguridad del software, este es un tema del que hemos estado hablando durante mucho tiempo. La encuesta reciente simplemente pone de relieve este problema.

Por un lado, se pide a los desarrolladores que asuman nuevas funciones al incluir la ciberseguridad en todo el proceso de desarrollo del software, incluso cuando escriben inicialmente el código de las aplicaciones y los programas. Sin embargo, escribir código seguro, o simplemente aprender todo sobre los problemas de ciberseguridad y las vulnerabilidades que podrían afectarlo, no es una tarea fácil. En la encuesta, el 63% de los desarrolladores afirmó que escribir código seguro era una tarea difícil.

La dificultad de escribir código seguro no debería sorprendernos. Hay una razón por la que tantos puestos de trabajo de ciberseguridad bien remunerados están sin cubrir: según el último recuento, hay más de 3,5 millones de vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. La formación estática sobre cumplimiento normativo o las clases puntuales no pueden mantener el ritmo ni proporcionar el tipo de formación que necesitan los desarrolladores. Puede marcar una casilla en términos de cumplimiento, pero no puede ofrecer garantías reales de seguridad de las aplicaciones a tu organización ni permitir a los desarrolladores escribir código seguro ni adquirir las habilidades necesarias para encontrar y corregir las vulnerabilidades del código.

La capacitación en cumplimiento y seguridad es importante, pero diferente

Las organizaciones deben empezar a darse cuenta y reconocer lo que la formación sobre cumplimiento puede hacer y lo que no. No abandone la formación sobre cumplimiento, especialmente si la exige la ley. Y sobre todo porque (incluso con los métodos de formación actuales) el 92% de los encuestados afirmó que necesitaba al menos algún tipo de formación en cuestiones relacionadas con el cumplimiento o los marcos de seguridad, y el 50% hizo hincapié en la necesidad de una formación importante en materia de cumplimiento.

Los marcos de cumplimiento en los que estaban más interesados en capacitarse incluían aquellos que son específicos de varias industrias, aunque también figuran en la lista varios marcos generales de ciberseguridad. Entre ellos figuraban el marco de seguridad del CIS, el PCI DSS, el Top 10 de OWASP, el MISRA C, la ISO/IEC y la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), entre otros.

Así que sí, capacitese en esos marcos, pero comprenda que marcar una casilla en la capacitación sobre cumplimiento no equivale a proporcionar una base para la creación continua de código seguro.

En su lugar, considera la formación sobre cumplimiento como parte de una oportunidad continua para ampliar las habilidades de codificación segura de tu desarrollador, que pueden repetirse fuera del ciclo de cumplimiento, de modo que puedan crear y publicar software seguro todos los días. Cambie la prioridad de lograr el cumplimiento a permitir que los equipos de desarrollo codifiquen de forma segura mediante un aprendizaje continuo. Al invertir tiempo y recursos en capacitar a los desarrolladores, los ejercicios o exámenes anuales de cumplimiento de las casillas serán muy fáciles de aprobar y completar para su personal, a la vez que se beneficiarán de una mejora de la productividad en general.

¿Cómo puede hacer el cambio a una seguridad impulsada por los desarrolladores?

La abrumadora mayoría de los desarrolladores dijeron que la formación era valiosa, pero se mostraron en desacuerdo con el tipo de formación que han recibido en relación con la codificación segura a lo largo de los años. Los desarrolladores dijeron que querían que se hiciera más hincapié en la formación práctica utilizando ejemplos del mundo real que fueran relevantes para su trabajo (un 30%). El 26% de los encuestados también consideró fundamental una mayor interactividad, especialmente si podían practicar la escritura de código seguro como parte de esos ejercicios.

El 23% de los desarrolladores encuestados consideró importante el deseo de recibir una formación más guiada centrada en las vulnerabilidades específicas que tenían más probabilidades de encontrar en su industria o sector, mientras que el 22% quería ver más ejemplos de vulnerabilidades del mundo real en sus cursos de formación.

Está claro que el simple hecho de ofrecer una formación estática y no interactiva (que suele ser la experiencia de la formación sobre cumplimiento) tiene poco valor en términos de habilidades de seguridad repetibles para los desarrolladores. Por el contrario, las organizaciones deberían centrarse en cosas como la formación puntual, en la que los desarrolladores aprenden sobre la seguridad mientras trabajan. Incluso podrías considerar la posibilidad de implementar un programa de aprendizaje por niveles.

Con un enfoque escalonado, los temas más amplios generalmente se dividen en experiencias o conceptos de aprendizaje discretos. A medida que los desarrolladores progresan, los conceptos más avanzados se superponen a los que ya dominan, del mismo modo que se construyen andamios físicos a medida que un edificio crece. Esto lo convierte en un método probado para enseñar un tema difícil y en constante evolución, como la ciberseguridad, dividiéndolo primero en partes más pequeñas y menos complejas y, después, creando más complejidad sobre esa base.

Independientemente de cómo decida abordar su programa de habilidades de seguridad para desarrolladores, la clave será mantenerlo separado de los ejercicios de cumplimiento. Tanto la formación en materia de cumplimiento como la de seguridad son importantes y ambas requieren enfoques diferentes para lograr el éxito.

Para leer más

Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software.
Libro blanco: El enfoque preventivo de los desarrolladores para la seguridad del software.
Informe: El estado de la seguridad impulsada por los desarrolladores.
Lema

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
Lema

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

El futuro de la gobernanza de software de IA se construye sobre asociaciones sólidas

Descubra por qué Secure Code Warrior se está convirtiendo en una empresa centrada en el canal y cómo los socios de confianza ayudan a las organizaciones a adoptar la gobernanza de software de IA de forma segura y a escala.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI de Secure Code Warrior: Crea una fuerza laboral preparada para la IA

Programa de alfabetización en IA de Secure Code Warrior para empleados que no son desarrolladores.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Por qué la mayoría de los CISO navegan a ciegas en la adopción de la IA (y cómo pueden quitarse la venda)

Hoy, Secure Code Warrior ha publicado un nuevo informe técnico que presenta un modelo prescriptivo y orientativo de adopción de IA, diseñado para que los líderes de seguridad puedan identificar su etapa de adopción y avanzar de forma efectiva en el control de los riesgos de seguridad relacionados con la IA en sus organizaciones.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo