Blog

¿Quieres que los desarrolladores programen teniendo en cuenta la seguridad? Lleve la formación a su disposición.

July 15, 2020
Matias Madou, Ph.D.

El ciclo de vida del desarrollo de software (SDLC) parece bastante inocuo; es un proceso, y los programadores nos unimos para hacer que la magia suceda y enviar todos esos beneficios digitales sin los que la sociedad no puede vivir.

Excepto que... si alguna vez has formado parte de un proyecto de desarrollo de software, sabrás que normalmente es un desafío, con muchas misiones que conquistar y dragones que matar. Es divertido durante un tiempo, pero el agotamiento es real, y la demanda de software hace que todos trabajemos a la velocidad de la luz en el mejor de los casos, especialmente el equipo de desarrollo.

Ahora imagine que se les presenta otra tarea imprescindible: la responsabilidad de la seguridad de los elementos del proyecto que tocan. Esto, en el peor de los casos, puede provocar que el castillo de naipes se derrumbe para algunas personas, pero el escenario más realista es que simplemente no se convierta en una prioridad y prevalezcan las cuestiones que se consideran más urgentes para pasarse de la raya. Y dado que la mayoría de los desarrolladores no están capacitados para programar de forma segura (especialmente si sus administradores tampoco dan prioridad a la seguridad), no es de extrañar que veamos frecuentes filtraciones de datos, lanzamientos de aplicaciones defectuosos y un gran abandono entre los profesionales de la seguridad que llegan a un punto de quiebre debido a una avalancha de códigos defectuosos.

Los desarrolladores necesitan un defensor de AppSec.

Al analizar el escenario anterior, puedes entender por qué la seguridad se pone en la cesta «demasiado difícil» durante el proceso de codificación y se deja que el equipo de seguridad se ocupe de ella. Demasiados plazos contradictorios, no hay suficiente formación y no hay ningún motivo real para preocuparse por la seguridad con todo lo demás. Sin embargo, simplemente hay demasiada demanda de código como para que continúe este status quo. Y ahí es donde los desarrolladores de élite pueden diferenciarse de sus pares, aprender nuevas habilidades y, lo que es más importante, crear código más seguro.

Sin embargo, es importante recordar que la gestión de la seguridad del software no recae solo en los desarrolladores, sino que ese sigue siendo el dominio del equipo de AppSec (que, cuando trabaje con desarrolladores preocupados por la seguridad, tendrá más espacio para respirar en lugar de corregir errores comunes una y otra vez). Un proceso DevSecOps en funcionamiento exige que todos los miembros del equipo cuenten con el apoyo y las herramientas que necesitan para compartir la responsabilidad de la seguridad, y tipo correcto de entrenamiento es primordial. Equilibrar el conjunto adecuado de herramientas y la formación requiere la visión de los profesionales de AppSec dispuestos a trabajar en estrecha colaboración con los desarrolladores para inspirarlos e impulsar un cambio positivo.

La formación disruptiva es más molesta que eficaz, y cualquier cosa que repele a los desarrolladores no va a funcionar. Una alternativa es utilizar un IDE o una solución integrada con un sistema de seguimiento de incidencias que se centre en el conocimiento a pequeña escala, y les proporciona la información correcta en el momento preciso en que la necesitan.

Así es como funciona en acción:

Justo a tiempo, no «por si acaso».

Aprendizaje práctico y contextual es, con mucho, la forma más eficaz de entrenar, ya que se entregan trozos del tamaño de un bocado justo cuando tienen más sentido. En ocasiones, esto se denomina formación «justo a tiempo» (JiT) y es muy útil para los desarrolladores que están aprendiendo a programar de forma segura.

Con orígenes en Los principios de fabricación ajustada de Toyota, la capacitación en iIT está diseñada para activarse en función de la necesidad de saber, en el contexto, cuando más importa. ¿Un desarrollador acaba de escribir algo que parece tener permisos incorrectos? ¿Qué pasaría si se abriera una pequeña puerta trasera que permitiera a un atacante ejecutar código de forma remota? Sería mucho más memorable si los desarrolladores pudieran acceder al conocimiento justo cuando lo necesitan, en lugar de buscar en la documentación de Confluence o buscar en Google algo que se haya mencionado en la formación.

El aprendizaje justo a tiempo es la antítesis del aprendizaje «por si acaso»; si bien esta última es la forma más común de impartir conocimientos, simplemente no es eficiente. Debemos facilitar que los desarrolladores se interesen por las mejores prácticas de programación segura y vean las ventajas de mejorar sus habilidades profesionales, sin dejar de centrarse en los objetivos clave en los que están trabajando en este momento.

Deja de hacer que los desarrolladores sigan la formación.

Ya sabemos que hay demasiadas cosas que hacer en una jornada laboral, entonces, ¿qué incentivo tienen los desarrolladores para ir a un aula o cambiar de contexto para seguir cinco pasos y acceder a una formación basada en la teoría estática?

El consenso general es que lo que hacen la mayoría de las organizaciones no es muy eficaz si se tiene en cuenta la cantidad de vulnerabilidades que causan las filtraciones de datos. El informe de investigación de violaciones de datos de 2020 de Verizon especificó que El 43% de las filtraciones de datos podrían atribuirse a vulnerabilidades web. Los desarrolladores no reciben una formación eficaz; ni en la educación superior, ni como parte de las medidas de mejora de las cualificaciones en el lugar de trabajo. Si lo fueran, vulnerabilidades comunes como la inyección de SQL y la vieja escuela recorrido de ruta no se aprovecharía para obtener una cantidad significativa de datos, y la escasez de habilidades de ciberseguridad no estaría fuera de control.

Entonces, sabiendo que este es el clima actual en el que los desarrolladores reciben capacitación y se familiarizan con la seguridad, ¿por qué nos sorprende el mal resultado? Podría tener un efecto (positivo) tanto para el desarrollador como para la organización al garantizar una experiencia de formación más fluida, integrada y menos molesta, que sea accesible desde los espacios en los que realmente trabajan, como Jira, GitHub y el IDE. El sector simplemente necesita avanzar y hacer que la concienciación sobre la seguridad sea mucho más sencilla, en un entorno en el que ya no es un lujo.

¿Está preparado para proteger el flujo de trabajo de desarrollo?

Los desarrolladores que se preocupan por la seguridad son venerados por sus habilidades y por la protección que pueden ofrecer a las organizaciones desde la etapa de creación de código. La seguridad ya no es opcional, especialmente si tenemos en cuenta las multas impuestas por el RGPD, la normativa de cumplimiento del PCI-DSS, la gobernanza del NIST... y la posibilidad de que te demanden en el marco de una gran demanda colectiva multimillonaria, como Equifax.

Un enfoque integrado podría ser el catalizador para empezar a ganarse a los desarrolladores con un aprendizaje menos disruptivo y crear algunas vías para impartir cursos más detallados, capacitar a los defensores de la seguridad y, en general, inspirar la responsabilidad compartida que necesitamos para mantener los datos del mundo sanos y salvos.

Descargue las herramientas de integración para Jira y GitHub ahora, y dinos lo que piensas.

Share on social
Lema

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
book a demo
Lema

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Post-Quantum Cryptography: Quantum Computers Will Break Today’s Encryption – Are You Ready?

Post-quantum cryptography (PQC) is critical for protecting data from quantum computing threats. Learn how “harvest now, decrypt later” exposes risk and how developers can prepare for quantum-safe security.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Enabler 2: Senior Leadership Sponsorship

Explore Enabler 2: Senior Leadership Sponsorship. Learn why active buy-in from the CIO, CTO, and CISO is vital to drive developer adoption and program credibility.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI

While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo