Blog

El ROI de una plataforma de aprendizaje ágil

July 24, 2023
Secure Code Warrior

El aprendizaje ágil para un código seguro en el SDLC vale la pena

Este es el tercero de una serie de blogs de tres partes que analiza los atributos y beneficios de una plataforma de aprendizaje ágil para código seguro. En parte 1 presentamos el concepto de aprendizaje ágil y cómo la plataforma de Secure Code Warrior ejemplifica varios principios ágiles. En parte 2 exploramos cómo una plataforma de aprendizaje ágil reemplaza la capacitación tradicional en seguridad orientada al cumplimiento.

Una plataforma de aprendizaje ágil ofrece una experiencia de aprendizaje que permite al alumno internalizar y utilizar las nuevas habilidades de manera más eficaz, mediante una combinación de educación práctica y contextual que está verdaderamente integrada en su trabajo diario, como parte del trabajo. Este enfoque del aprendizaje, tal como SCW lo ha aplicado a los desarrolladores que adquieren habilidades de codificación seguras, diferencia al SCW de las modalidades de aprendizaje tradicionales y nos diferencia. En este tercer y último blog de la serie, explicamos el retorno de la inversión que las organizaciones pueden esperar de una plataforma de aprendizaje ágil sobre código seguro y cómo modelar los números para su organización.

Impacto empresarial

Las organizaciones que adoptan un enfoque ágil para el aprendizaje seguro del código ven entre el doble y el triple de impacto empresarial gracias a dos palancas: la capacidad de corrija las vulnerabilidades más rápido y reducción de costes de reelaboración. 

Cuanto antes se aborden las vulnerabilidades en el SDLC, menos daño pueden causar y es menos costoso solucionarlas. Según el experto en seguridad Jim Routh, que anteriormente se desempeñó como director de seguridad en Aetna y director de TI en MassMutual, el costo por defecto durante las fases del SDLC aumenta a más de 14 000 dólares si se realiza durante el modo de mantenimiento una vez que el software entra en producción. Los costos se pueden reducir a la mitad si se abordan durante las pruebas y pueden ser 14 veces más baratos si se abordan durante la fase de codificación.

Cuanto mejor equipados estén los desarrolladores para corregir las vulnerabilidades más rápido o para evitarlas por completo, menores serán los costos y riesgos que una organización debe aceptar en sus productos de software y aplicaciones internas. Las organizaciones que desean invertir en la prevención de vulnerabilidades y en la calidad del software proporcionan a los desarrolladores una plataforma de aprendizaje ágil que ofrece experiencias flexibles y múltiples vías de aprendizaje, diseñada específicamente para lograr un impacto empresarial inmediato.

Investigación de NIST indica que las horas necesarias para corregir una vulnerabilidad varían, pero las estimaciones de la tabla siguiente se han identificado en situaciones reales con clientes de grandes empresas.

Stage Defect Found

Hours to fix

Requirements/Design

1.2

Coding/Unit Testing

4.9

Integration Testing

9.5

Beta Testing

12.1

Post Production Release

15.3

Una vez que los equipos desarrollan nuevas habilidades de codificación segura, los clientes de SCW han observado que sus desarrolladores corrigen las vulnerabilidades entre un 50 y un 60% más rápido y producen un 50% menos de vulnerabilidades de alto riesgo en el código de producción. La experiencia de cada organización varía, pero estos resultados se han observado en grandes empresas con más de 5000 desarrolladores. El aumento de la productividad de los desarrolladores ha tenido un impacto en los resultados finales.

Reducción de costos operativos: corrija las vulnerabilidades más rápido

Para comprender el impacto financiero de un proceso de desarrollo de software más seguro y cómo una inversión en una plataforma de aprendizaje ágil ayuda a los desarrolladores a corregir las vulnerabilidades con mayor rapidez, utilice el siguiente modelo y sustituya las variables en azul por sus propios números:

 Base de referencia:

$125k

Average loaded annual salary

2,080

Developer work hours per year

$60

Developer cost per hour (salary/work hours)

9.5

MTTR (mean time to remediate, which can be calculated by stage, but for simplicity we use the integration testing phase here)

$570

Remediation cost per defect

25,000

Annual number of vulnerabilities to fix (integration testing phase)

$14,250,000

Remediation cost (annualized)

Beneficio supuesto de la plataforma de aprendizaje ágil en MTTR (Mean Time To Remediate)

50%

Improvement in MTTR due to ongoing secure code education program

4.75

New MTTR

$285

Remediation cost per defect

25,000

Annual number of vulnerabilities to fix (integration testing phase)

$7,125,000

Remediation cost (annualized)

Valor de prevención: reducción de costos de reelaboración

Una plataforma de aprendizaje ágil ayuda a los desarrolladores a escribir código seguro desde el principio. El modelo para determinar este impacto financiero se presenta a continuación.

$125,000

Average loaded annual salary

.3%

Percent of new code with high-risk vulnerabilities (integration testing phase)

50%

Reduction in high-risk vulnerabilities created after an ongoing secure code education program

$60

Average cost of developer hour

4.25

MTTR (after secure code education program)

Monthly

Annualized

Lines of code

500

6,000

New lines of code per developer

500,000

6,000,000

New lines of code total

1,500

18,000

Number of high-risk vulnerabilities created

$382,500

$4,590,000

Cost of remediation for high-risk vulnerabilities

750

9,000

Number of high-risk vulnerabilities prevented after an ongoing secure code education program

$191,250

$2,295,000

Cost savings from rework avoidance

18.36

FTE capacity created


El enfoque de aprendizaje ágil marca la diferencia

La plataforma de aprendizaje ágil SCW para código seguro es superior a los enfoques alternativos de formación en seguridad para desarrolladores. Los clientes de SCW han obtenido unos resultados sobresalientes que, por supuesto, varían en función de los costes individuales y los indicadores de vulnerabilidad de cada situación particular. ¿Uno gran empresa de servicios financieros, Envestnet, descubrió que los desarrolladores formados en SCW corrigieron 2,7 veces más vulnerabilidades que sus pares. Además, un grupo de 1200 desarrolladores formados en SCW incrementaron en un 120% las tasas de corrección de sus listas de espera.

Como ocurre con cualquier inversión en soluciones empresariales, es importante evaluar sus circunstancias únicas. Nuestro equipo puede colaborar con usted para evaluar su estado actual y desarrollar un modelo de negocio personalizado. Si quieres evaluar el impacto por tu cuenta, utiliza los modelos descritos en este blog y echa un vistazo a seminario web reciente para clientes con Sage, la empresa de software de contabilidad y ERP con sede en el Reino Unido, que analiza una reducción del 82% del MTTR en caso de vulnerabilidades como parte de un sólido programa para crear una cultura de seguridad.


Acerca de Secure Code Warrior

Secure Code Warrior brinda a sus desarrolladores las habilidades necesarias para escribir código seguro. Nuestra plataforma de aprendizaje es la solución de codificación segura más eficaz porque utiliza métodos de aprendizaje ágiles para que los desarrolladores aprendan, apliquen y conserven los principios de seguridad del software. Más de 600 empresas confían en Secure Code Warrior para implementar programas de seguridad de aprendizaje ágiles, ofrecer software seguro con rapidez y crear una cultura de seguridad impulsada por los desarrolladores. ¿Está listo para obtener más información? Solicita una demostración.

Lema

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
Lema

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

El futuro de la gobernanza de software de IA se construye sobre asociaciones sólidas

Descubra por qué Secure Code Warrior se está convirtiendo en una empresa centrada en el canal y cómo los socios de confianza ayudan a las organizaciones a adoptar la gobernanza de software de IA de forma segura y a escala.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI de Secure Code Warrior: Crea una fuerza laboral preparada para la IA

Programa de alfabetización en IA de Secure Code Warrior para empleados que no son desarrolladores.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Por qué la mayoría de los CISO navegan a ciegas en la adopción de la IA (y cómo pueden quitarse la venda)

Hoy, Secure Code Warrior ha publicado un nuevo informe técnico que presenta un modelo prescriptivo y orientativo de adopción de IA, diseñado para que los líderes de seguridad puedan identificar su etapa de adopción y avanzar de forma efectiva en el control de los riesgos de seguridad relacionados con la IA en sus organizaciones.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo