Estático vs. Formación dinámica en ciberseguridad: cumplimiento impulsivo, problemas futuros

Parece que el «cumplimiento de la ciberseguridad» ha estado de moda durante años, con un sinfín de artículos, iniciativas y comités que debaten sobre la mejor manera en que el mundo debería abordar la enorme bestia de múltiples amenazas que es la ciberdelincuencia.
El problema es que no parece que hayamos hecho eso mucho progreso. A nivel mundial, el coste de las filtraciones de datos no ha dejado de aumentar, con un aumento del 12% en cinco años, hasta situarse en aproximadamente 3,92 millones de dólares por infracción en 2019. Cuando el uso de Internet se disparó en tan solo un par de décadas, muchas empresas se vieron obligadas a luchar sin protección alguna, ya que se pusieron manos a la obra rápidamente, se instalaron y se enfrentaron a las consecuencias de un software inseguro, a la limitación de los recursos de AppSec y, en algunos casos, al uso indebido de la confianza de los clientes.
En estos días, somos irrefutablemente más maduros. Entendemos y analizamos en profundidad el alcance de la amenaza, las empresas son muy conscientes del impacto que un ciberataque puede tener en la confianza de los clientes, su reputación y sus resultados, y muchos lugares buscan activamente mejorar la seguridad del software mediante la formación en cumplimiento, la contratación de personal cualificado y, cada vez más, las iniciativas de DevSecOps. A pesar de estos enormes avances, no estamos ganando la batalla, ni de lejos. Al menos ha habido cuatro mil millones de registros robados solo en violaciones de datos en 2019.
Un ingrediente faltante ha sido un goteo algo lento (a nivel gubernamental) de los estándares de ciberseguridad, las expectativas y las consecuencias de una infracción. La llegada de GDPR ha hecho que algunos empiecen a rodar, al menos en Europa, pero muchos organismos gubernamentales recién ahora se están poniendo al día, y la repentina necesidad de adaptarse rápidamente a las iniciativas de cumplimiento recientemente florecidas podría tener algunos efectos no deseados en el futuro.
Los tontos se apresuran (al entrenamiento equivocado)
Directrices sólidas en forma de NIST, nueva normativa para Estado de Nueva York y la formación del Consejo de Seguridad Cibernética del Reino Unido han sido triunfos monumentales para quienes luchan por mantener nuestros datos seguros. Reconocen los problemas que plantea el desarrollo de software actual y toman medidas para guiar a las organizaciones en cuanto a los estándares que ahora deben cumplir para que se las considere éticas y conformes con las mejores prácticas de seguridad.
Lamentablemente, en este momento, algunos de los elementos más importantes están demasiado abiertos a la interpretación. Por ejemplo, uno de los mandatos de la legislación del Consejo de Seguridad Cibernética del Reino Unido es:
«Crear una lista definida de certificaciones y un marco fácil de entender sobre cómo se vinculan todas y qué capacidades transmiten, basándose en las trayectorias profesionales ya emprendidas».
Si bien sus iniciativas sin duda mejorarán y crecerán con el tiempo, si las organizaciones ya están presionando el botón de pánico y lanzándose a la formación ahora, es posible que se encuentren mal preparadas para el futuro.
Las exigencias de ciberseguridad de una organización cambian rápidamente y es poco probable que las soluciones de formación estáticas detengan el flujo de software inseguro a la velocidad requerida. El panorama cambia más rápido de lo que puede actualizarse con un curso tradicional, lo que puede llevar a algunos a caer en la trampa del cumplimiento normativo de «marcar las casillas»; los desarrolladores, contratistas y otros profesionales de la seguridad no reciben la formación adecuada y volvemos a ser blancos fáciles.
El entrenamiento estático y las herramientas estáticas tienen los mismos problemas
Las herramientas de análisis estático son una parte integral del SDLC y cumplen su función como herramientas de escaneo para los escasos y sobrecargados especialistas en AppSec que se encuentran en la mayoría de las grandes organizaciones. Hacen un buen trabajo, pero tienen un defecto: no hay «una» herramienta que pueda analizar todas y cada una de las vulnerabilidades, ya que es compatible con la enorme variedad de marcos de programación que existen. Además, es un proceso lento, y basta con que un solo error de seguridad pase desapercibido para dejar una puerta abierta a un atacante.
Con el entrenamiento estático, existe un problema similar. Si los desarrolladores reciben la formación en seguridad como un curso rígido e «único», es muy poco probable que hayan seguido el ritmo de los problemas de seguridad más frecuentes en ese período de tiempo. Sirve como una instantánea de la época en que se escribió, y rara vez se revisa lo suficiente, se imparte en el lenguaje y el marco preferidos del estudiante, ni tiene en cuenta las vulnerabilidades a las que probablemente se enfrentará en su trabajo diario. Imagínese intentar recordar un dato relevante de un vídeo que vio hace meses, mientras intenta cumplir con los plazos de entrega y sacar el código por la puerta... es poco probable que suceda.
Los métodos educativos tradicionales se están reevaluando en muchos sectores, pero cuando se trata de la formación en seguridad para desarrolladores, basta con observar el enorme volumen de filtraciones de datos que aún sufrimos (especialmente aquellas que pueden atribuirse a vulnerabilidades que hemos sabido evitar en la programación durante décadas). como la inyección de SQL) para darnos cuenta de que debemos intentarlo de otra manera.
Necesitamos una formación que vaya más allá de los límites de un curso único y lineal que pueda flexibilizarse y adaptarse a las necesidades siempre cambiantes de las mejores prácticas de ciberseguridad.
Entrenamiento dinámico: el estándar de oro
Al ofrecer a los desarrolladores una solución de formación dinámica, que se puede adaptar rápidamente a los movimientos empresariales, individuales y del sector en general, les estás proporcionando la mejor base para programar de forma segura, teniendo en cuenta la seguridad y actuando con una mentalidad consciente de la seguridad.
Una formación que sea única para todos, que nunca se revise y que no participe desde el principio será una completa pérdida de tiempo y, lamentablemente, eso significa que podrías terminar comprando por impulso un programa ineficaz en aras del cumplimiento. Podría estar anticuado incluso antes de que lo implementen, o que apenas se pueda identificar con las necesidades de sus trabajos diarios.
El entrenamiento dinámico es una herramienta viva y dinámica que se actualiza constantemente, se adapta a las necesidades del día a día, involucra a los usuarios con un pensamiento crítico y en realidad les permite aprender habilidades y solucionar problemas.
Entonces, ¿qué aspecto tiene un programa de formación dinámico en un contexto de seguridad?
Será:
- Del tamaño de un bocado: Los desarrolladores pueden aprender habilidades en partes manejables que son mucho más fáciles de recordar (y, lo que es más importante, de aplicar) que los largos mazos y vídeos de entrenamiento
- Relevante: ¿De qué sirve la formación en seguridad genérica cuando los ejemplos están en, por ejemplo, C#, cuando el desarrollador codifica principalmente en Java? Cualquier formación debería aplicarse directamente a su función, permitiéndoles ver qué encontrar y corregir (y, idealmente, evitar en primer lugar) mientras programan.
- Actual: Esto parece obvio, pero a menudo no lo es. El panorama de la ciberseguridad cambia constantemente y, con más código, más responsabilidad. Para que los desarrolladores sean su primera línea de defensa, necesitan una formación que se mantenga al día con las mejores prácticas de seguridad modernas.
- Involucrar: No es ningún secreto que los desarrolladores pueden considerar que la «seguridad» es una tarea ardua, especialmente si interfiere con su flujo creativo. La formación adecuada les demostrará el poder que tienen a la hora de resolver los problemas de seguridad cotidianos que pueden transformarse en enormes riesgos, creando una cultura de responsabilidad y concienciación en materia de seguridad.
- Diversión: El entrenamiento dinámico rara vez es aburrido; se supone que es al menos algo emocionante por diseño. Piensa en lo que les encanta a los desarrolladores: resolver problemas, competir con sus pares y, como muchos de nosotros en la fuerza laboral, recompensas y reconocimientos. Aproveche sus puntos fuertes y céntrese en obtener los mejores resultados.
Es un momento emocionante para ser ingeniero de software; desempeñan un papel fundamental en la innovación digital, ayudan a crear empresas increíbles e incluso triunfan en el mundo con sus propias creaciones. Sin embargo, ahora que los organismos gubernamentales y las grandes empresas se están dando cuenta del papel que deben desempeñar a la hora de establecer estándares para la seguridad del software, es importante apoyarlos con soluciones de formación eficaces y dinámicas que fomenten el amor por la codificación segura y no un ejercicio burocrático de marcar casillas.
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Post-Quantum Cryptography: Quantum Computers Will Break Today’s Encryption – Are You Ready?
Post-quantum cryptography (PQC) is critical for protecting data from quantum computing threats. Learn how “harvest now, decrypt later” exposes risk and how developers can prepare for quantum-safe security.

Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.