Blog

El auge de DevSecOps y lo que realmente significa «cambiar a la izquierda» para su organización.

June 10, 2021
Secure Code Warrior

¿Qué te parece esto para una estadística aleccionadora? El 60% de las pymes cierran a los seis meses de un ciberataque exitoso*. Las grandes corporaciones pierden millones (¡o miles de millones!) mientras que la reputación de las marcas se desangra. A medida que las organizaciones adoptan cada vez más prácticas de codificación seguras, se está produciendo un «giro a la izquierda». Con el auge de DevSecOps, el código seguro se ha convertido en el centro de atención desde el principio del SDLC. Para investigar los efectos de esta tendencia en el mundo real, Secure Code Warrior, junto con Evans Data Corp***, encargó un estudio reciente sobre las actitudes de los desarrolladores hacia la codificación segura, las prácticas de código seguro y las operaciones de seguridad.

Cambiar a la izquierda: un cambio en muchos niveles

A medida que las empresas se dan cuenta de que cuesta 30 veces más corregir las vulnerabilidades después de los hechos, las medidas preventivas se han convertido en el nuevo estándar de oro*. Sin embargo, para que esas medidas sean eficaces, todos en el SDLC deben ser conscientes de la seguridad, especialmente los desarrolladores.

Turno uno: entonces, ¿quién es el responsable ahora?

Con el auge de DevSecOps, las organizaciones están adoptando prácticas de codificación seguras. Como resultado, uno de los primeros cambios que destacamos en nuestra investigación es el traslado de la responsabilidad por la seguridad del código a los niveles operativos.

Cuando preguntamos a los desarrolladores y gerentes de desarrollo: «¿quién debería tener la responsabilidad final de la seguridad del código?» , el 46% dijo que el líder del proyecto o del equipo era el responsable, casi el doble de los que dijeron que la responsabilidad debía seguir recayendo en el equipo de seguridad de las aplicaciones.

Este es un claro indicio de un cambio en la responsabilidad de seguridad de los equipos tradicionales de seguridad de las aplicaciones hacia los líderes de los equipos de desarrollo.

Segundo turno: los roles cambiantes de los gerentes  

La presión para implementar la capacitación en código seguro recae sobre los gerentes desde varias direcciones.

El 41% revela que el imperativo organizacional de entrenamiento de código seguro proviene de la alta dirección. El aumento de las exigencias de cumplimiento normativo también es un factor.

Los gerentes desempeñan un papel fundamental a la hora de ayudar en la transición del desarrollo tradicional a DevSecOps y se están convirtiendo en tomadores de decisiones cruciales para la capacitación y las decisiones de compra de herramientas.

Tercer turno: los desarrolladores dan un paso adelante

Sin embargo, también vemos que la presión por el cambio aumenta desde abajo; el 24% de los gerentes revela que implementa prácticas de codificación seguras debido a las sugerencias y recomendaciones de sus desarrolladores. Este punto pone de relieve el papel cada vez más importante de los desarrolladores como contribuyentes a los programas de seguridad de sus empresas. El cambio a DevSecOps, con su nuevo énfasis en las prácticas preventivas de codificación segura, convierte a los desarrolladores en la «primera línea de defensa».

Turno cuatro: dinámica de equipo mejorada  

Si bien la implementación de prácticas de código seguro tiene un impacto importante en la calidad del software, también mejora la forma en que los equipos trabajan. El 60% de los desarrolladores encuestados cree que el empleo de prácticas de código seguro ha aumentado su comunicación con otros desarrolladores, pero los beneficios no terminan ahí.

La mitad de los desarrolladores y administradores encuestados estuvieron de acuerdo en que las prácticas de codificación seguras conducían a una mayor cooperación entre los desarrolladores y sus líderes. El 46% afirmó que había más colaboración entre los desarrolladores y las partes interesadas. Al mismo tiempo, el 41% señaló una mayor cooperación entre los líderes y las partes interesadas.

DevSecOps reúne a equipos, líderes y partes interesadas de nuevas maneras, lo que mejora la cooperación en las diferentes funciones y etapas del ciclo de vida del desarrollo de software.

El 62% de los gerentes encuestados afirman que las prácticas de código seguro ayudan a aumentar la velocidad de las publicaciones de código. Este hecho único se combina con todos estos otros cambios para resaltar los beneficios evidentes de pasar a un enfoque de DevOps. Sin embargo, como se indicó anteriormente en este artículo, para que tales medidas sean efectivas, todos en el SDLC debe tener en cuenta la seguridad. Esta información tiene implicaciones fundamentales para la forma en que las organizaciones capacitan a sus desarrolladores. Los equipos deben aprender sobre las vulnerabilidades identificadas recientemente y aprender el lenguaje específico: los marcos en los que codifican. En resumen, deben saber cómo localizar, identificar y corregir las vulnerabilidades conocidas en el código en el contexto en el que trabajan todos los días. Esta formación convierte a sus equipos de la primera línea de riesgo en la primera línea de defensa.

Como defensores del cambio en la codificación segura, Secure Code Warrior adopta un enfoque dirigido por personas para ayudar a su organización a «girar a la izquierda» y hacer que su enfoque de seguridad general pase de ser reactivo a proactivo.

Si desea obtener más información sobre la formación práctica, altamente atractiva y comprobada sobre código seguro que alinea las necesidades de los administradores, los desarrolladores y la organización para lograr un futuro de DevSecOps, reserve una demostración ahora.


*El 60 por ciento de las pequeñas empresas cierran a los 6 meses de haber sido hackeadas.
https://cybersecurityventures.com/60-percent-of-small-companies-close-within-6-months-of-being-hacked/

**IBM Software Group: minimizar los defectos del código para mejorar la calidad del software y reducir los costos de desarrollo.
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html

***Pasar de la reacción a la prevención: el rostro cambiante de la seguridad de las aplicaciones en 2021. Secure Code Warrior y Evans Data Corp.
https://scw.buzz/3169uzS

Lema

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
Lema

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

El futuro de la gobernanza de software de IA se construye sobre asociaciones sólidas

Descubra por qué Secure Code Warrior se está convirtiendo en una empresa centrada en el canal y cómo los socios de confianza ayudan a las organizaciones a adoptar la gobernanza de software de IA de forma segura y a escala.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI de Secure Code Warrior: Crea una fuerza laboral preparada para la IA

Programa de alfabetización en IA de Secure Code Warrior para empleados que no son desarrolladores.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Por qué la mayoría de los CISO navegan a ciegas en la adopción de la IA (y cómo pueden quitarse la venda)

Hoy, Secure Code Warrior ha publicado un nuevo informe técnico que presenta un modelo prescriptivo y orientativo de adopción de IA, diseñado para que los líderes de seguridad puedan identificar su etapa de adopción y avanzar de forma efectiva en el control de los riesgos de seguridad relacionados con la IA en sus organizaciones.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo