Cambiando el enfoque de reactivo a proactivo, con una codificación segura dirigida por humanos
.avif)
Las mismas 10 vulnerabilidades de software han causado más brechas de seguridad en los últimos 20 años que ningún otro. Sin embargo, muchas empresas siguen optando por la remediación posterior a la violación y al suceso, tratando de superar las ramificaciones humanas y empresariales de todo esto. Pero ahora, un nuevo estudio de investigación apunta a una nueva dirección dirigida por el ser humano.
A continuación, se analizan las ideas derivadas de un estudio realizado por Secure Code Warrior con Evans Data Corp titulado «Pasar de la reacción a la prevención: el rostro cambiante de la seguridad de las aplicaciones» (2021) que explora las actitudes de los desarrolladores hacia la codificación segura, las prácticas de código seguro y las operaciones de seguridad. Descargue el documento técnico aquí.
En el estudio que se publicará próximamente, se preguntó a los desarrolladores y gerentes de desarrollo sobre las actividades que asocian con la codificación segura. Las tres respuestas principales fueron:
- Uso de herramientas de escaneo en aplicaciones implementadas.
- Revisar manualmente el código en busca de vulnerabilidades.
- La práctica activa y continua de escribir software que esté protegido contra las vulnerabilidades.
Entonces, ¿qué nos dice esto? Dos de las tres respuestas principales siguen centrándose en enfoques reactivos: la primera depende de las herramientas (escáneres) y la segunda de que el desarrollador (es decir, el ser humano) realice las comprobaciones manuales, en ambos casos después el código está escrito. Las vulnerabilidades detectadas con estos métodos deben enviarse al equipo de desarrollo para que las revise, lo que repercute en los plazos y los costes del proyecto.
Al mismo tiempo, dos de las tres actividades nominadas se basan en el elemento humano, un indicador de la creciente percepción de la seguridad como un problema humano. Sin embargo, de todas las actividades nominadas, la más reveladora es la número 3, que identifica el factor humano escribiendo software que esté protegido contra las vulnerabilidades en primer lugar. Esto pone de manifiesto un cambio hacia la izquierda: un enfoque proactivo y preventivo que incorpora la seguridad en el software desde el principio del ciclo de vida del desarrollo del software.
Reactivo puede equivaler a CARO
Según un estudio* de IBM, es treinta veces más caro corregir las vulnerabilidades en el código posterior al lanzamiento que si se encontraran y corrigieran desde el principio. Se trata de un poderoso incentivo para adoptar un nuevo enfoque proactivo y más humano de la defensa de la seguridad del software, que permita a los desarrolladores programar de forma más segura desde el principio.
Esto es lo que se podría llamar un defensa dirigida por humanos. Pero para que los desarrolladores empiecen a preocuparse por la seguridad, tiene que formar parte de su forma de pensar y programar todos los días. Se trata de un llamamiento a adoptar nuevos enfoques de formación que sean sumamente pertinentes para el trabajo diario de los desarrolladores y que los inspiren a querer aprender, algo que no puede decirse de los modelos de formación actuales.
Para crear una cultura de seguridad proactiva, se necesita una nueva formación que:
- convierte la codificación segura en una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades de seguridad de software
- anima a los desarrolladores a ver sus tareas de codificación diarias con una mentalidad de seguridad
- hace que la codificación segura sea intrínseca a su flujo de trabajo diario
Cuando estos hilos se unen, se evita que se produzcan vulnerabilidades en primer lugar, lo que permite a los equipos enviar código de calidad más rápido y con confianza. La buena noticia es que ya existe una plataforma de aprendizaje que «empieza por la izquierda» en el proceso de desarrollo de software, una plataforma que ya está dotando a los desarrolladores de las habilidades y herramientas necesarias para crear código de calidad desde el principio.
*IBM Software Group: minimizar los defectos del código para mejorar la calidad del software y reducir los costos de desarrollo
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.
%252520(1).avif)
Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)
Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

