Cómo la formación en código seguro apoya la transformación digital en los servicios financieros

Las instituciones de servicios financieros se enfrentan a una serie de desafíos que dependen de su capacidad para hacer un uso eficiente y efectivo de la tecnología en un mundo financiero en rápida evolución.

Las organizaciones operan en una época de cambios rápidos, tanto a nivel interno como en todo el sector, en un entorno empresarial altamente competitivo y basado en la nube. Al llevar a cabo sus transformaciones digitales en curso, por ejemplo, las organizaciones se esfuerzan por sortear la fricción organizacional que dificulta las inversiones en nuevas tecnologías, como la inteligencia artificial, que podrían acelerar los procesos de pago y otros procedimientos.

Por supuesto, nunca les pasa por alto la necesidad de cumplir con una gama de requisitos reglamentarios, que van desde los requisitos de la Ley Sarbanes-Oxely sobre la gestión de registros financieros y las normas del Estándar de seguridad de datos del sector de tarjetas de pago (PCI DSS) sobre la protección de los datos de los titulares de tarjetas hasta las protecciones de la información personal contenidas en la Ley de Privacidad del Consumidor de California (CCPA) y el Reglamento General de Protección de Datos (GDPR) de la UE.

Las multas y los demás costos del incumplimiento pueden acumularse rápidamente. De IBM Informe sobre el costo de una violación de datos de 2023 descubrió que los costos promedio para las organizaciones con un «alto nivel de incumplimiento» totalizaron 5,05 millones de dólares, lo que representa más de medio millón de dólares más que el costo promedio de una violación de datos real.

Y hablando de violaciones de datos, los ciberataques siguen siendo un flagelo para las instituciones financieras, que son la segunda industria más atacada por los ciberataques. Los ataques de ransomware por sí solos han aumentado drásticamente, pasando del 34% en 2021 al 55% en 2022 y hasta el 64% en 2023, según Sophos El estado del ransomware en los servicios financieros Informe 2023. El número de violaciones de datos (incluidas las filtraciones de datos y la exposición de datos privados) en el sector de servicios financieros de EE. UU. aumentó de 138 en 2020 a 744 en 2023, según Estatista.

El fracaso en cualquiera de estas áreas, ya sea la eficiencia interna, el cumplimiento o la seguridad, amenaza la reputación de una organización y, por extensión, la lealtad de los clientes, que es el elemento vital de los servicios financieros. Para seguir siendo competitivas y exitosas, las organizaciones deben fomentar la confianza entre sus clientes, y eso comienza por garantizar que su software, sistemas y procesos sean eficientes y efectivos. La base de todo esto es un código de software seguro.

Los desarrolladores están sometidos a una presión cada vez mayor para crear, actualizar e implementar aplicaciones y servicios a un ritmo más rápido que nunca. Y eso implica desarrollar y trabajar con más código de software, ya sea escrito por los propios desarrolladores internos, producido por IA, extraído de repositorios de código abierto o entregado por terceros.

La calidad y la seguridad de ese código son fundamentales para garantizar la eficacia de las operaciones, pero esa es un área en la que las organizaciones con demasiada frecuencia se quedan cortas. Y a medida que aumenta el volumen de código, la cantidad de errores, fallas y vulnerabilidades solo aumentará a menos que se corrijan en las primeras etapas del ciclo de vida del desarrollo del software (SDLC).

Las organizaciones deben empezar por la izquierda para crear un código más seguro y corregir los errores cuanto antes. La formación ágil sobre las mejores prácticas de codificación segura puede proporcionar la base para aplicaciones seguras y confiables, lo que no solo reduce el riesgo de una organización, sino que también contribuye al éxito empresarial.

TENDENCIA 1: HERRAMIENTAS DE DESARROLLO DE INTELIGENCIA ARTIFICIAL

La innovación con IA depende de un código seguro

La inteligencia artificial, especialmente la generativa, se está generalizando rápidamente en el comercio, la educación y la vida cotidiana. Entre los innumerables usos a los que se ha aplicado la IA generativa, una función notable ha sido la escritura de código. En general, esto ha demostrado ser beneficioso, pero también plantea otro problema estrechamente relacionado con el uso de la IA: la seguridad. Al ser las primeras en adoptar las nuevas tecnologías, las instituciones financieras deben garantizar un equilibrio entre el aumento de la productividad y el uso seguro y responsable de la IA.

Hasta la fecha, la IA se ha utilizado principalmente para ayudar en el desarrollo del código, en lugar de, por ejemplo, automatizar el proceso de corrección, y su impacto ha sido mayoritariamente positivo. Respondiendo a un encuesta realizada por GitHub, que descubrió que más de nueve de cada 10 desarrolladores con sede en EE. UU. utilizaban herramientas de codificación de IA, afirmó que las ventajas incluían el aumento de la productividad (53%), la libertad de los desarrolladores de centrarse en tareas creativas en lugar de repetitivas (51%) y la prevención del agotamiento (41%).

Los grandes bancos y otras organizaciones de servicios financieros tienen más probabilidades que los de otros sectores de ser los primeros en adoptar la IA. Después de todo, las instituciones financieras son esencialmente empresas de tecnología porque tienen el dinero para invertir en nuevas tecnologías a gran escala y siempre buscan una ventaja competitiva.

Si bien algunos han expresado su temor de que la IA sustituya a los trabajadores humanos, la tecnología realmente funciona mejor cuando se combina con sus homólogos humanos. Sin embargo, los desarrolladores necesitan algo más que un enfoque de casillas de verificación mínimas para aprender a usarla. Requieren entrenamiento de precisión para comprender realmente las mejores prácticas de seguridad en entornos del mundo real, de modo que no solo puedan escribir código seguro por sí mismos, sino que también puedan supervisar hábilmente el trabajo de sus asistentes de IA que escriben códigos.

Por ejemplo, un ejercicio en La formación de SCW solicita a un modelo LLM que cambie el contenido de un fragmento de código real para modificar la función del código. La IA responde produciendo un bloque de código, pero ese bloque es susceptible de ser utilizado por secuencias de comandos entre sitios (XXS). La formación garantiza que el desarrollador pueda reconocer esa vulnerabilidad.

La IA y los desarrolladores pueden trabajar juntos de manera muy productiva, pero solo si los desarrolladores están lo suficientemente capacitados para garantizar que la IA genere código seguro.

Los errores de codificación de la IA pueden propagarse rápidamente

Al recibir entrenamiento para escribir código, un modelo de IA ingerirá miles de ejemplos de escritura de código, del mismo modo que otro modelo ingiere miles de ejemplos de prosa o poesía antes de poder escribir una historia o un poema para un usuario. Sin embargo, no hay garantía de que el modelo de IA no se base en un ejemplo que contenga errores. Como los modelos de IA no son transparentes en cuanto a sus procesos, los errores no aparecerán hasta después de los hechos. Y la IA repetirá esos errores hasta que se corrijan.

Un temprano estudio realizado por investigadores de IA descubrió que el código generado por IA había introducido fallas importantes, incluidas las vulnerabilidades de secuencias de comandos entre sitios (XSS), la susceptibilidad a los ataques de inyección de código y nuevas vulnerabilidades específicas del código generado por IA, como las asociadas a la inyección inmediata. Si las herramientas de inteligencia artificial se utilizaran sin control para escribir código, el código incorrecto podría propagarse rápidamente y dar lugar a un mundo en el que el software, que ya lo ha hecho un montón de vulnerabilidades, sería menos seguro que nunca.

Es imperativo que los desarrolladores humanos y los modelos de IA trabajen juntos en el desarrollo del código, garantizando que se sigan las mejores prácticas de codificación segura, lo que permitirá a las instituciones financieras obtener los beneficios de una mayor velocidad y eficiencia y, al mismo tiempo, limitar el riesgo de que, sin la participación humana, podría ser catastrófico.

Las instituciones financieras pueden liderar el camino hacia un desarrollo seguro

El rápido crecimiento de la IA, en particular de aquellas que utilizan grandes modelos lingüísticos (LLM) como ChatGPT y las muchas otras implementaciones de IA generativa que son capaces de crear su propio contenido, ha tenido sus errores. Los modelos de IA han generado errores, hallazgos sesgados y Alucinaciones por IA, lo que ha dado lugar a un aumento de las solicitudes de regulación. La Casa Blanca, por ejemplo, ha emitido un Orden ejecutiva sobre el desarrollo y el uso de la IA. También propuso un Declaración de derechos de AI destinado a ayudar a proteger al público de los riesgos relacionados con la IA. Sin embargo, cualquier iniciativa gubernamental se basará en la cooperación y la colaboración con las empresas de tecnología que desarrollan la IA, muchas de las cuales se han comprometido a mantener los estándares éticos.

También es probable que la industria de servicios financieros implemente controles internos estrictos. Es posible que las organizaciones siempre estén buscando una ventaja competitiva, pero saben que la seguridad de su información, tanto la de los datos internos como la de sus clientes, es fundamental. También deben asegurarse de cumplir los requisitos de los reglamentos, como los de la Oficina del Contralor de la Moneda (OCC) de los Estados Unidos o los del Banco Central Europeo (BCE) para las operaciones en Europa.

Como pioneros en adoptar la IA, los bancos y las instituciones financieras estarán interesados en ver qué puede hacer la IA para mejorar la eficiencia, patrocinando centros de innovación y otros esfuerzos para explorar las capacidades de la IA. Sin embargo, las organizaciones también necesitan controles para garantizar la seguridad. La adopción temprana siempre conlleva un riesgo inherente y, a medida que aumenta el uso de la IA, es necesario equilibrar los riesgos y las recompensas. Las organizaciones, por ejemplo, se beneficiarían de realizar un análisis de las fortalezas, debilidades, oportunidades y amenazas (DAFO) en las primeras etapas del uso de la IA.

El uso eficaz de la IA comienza con un código seguro

La capacidad del sector financiero para hacer un uso eficaz de la IA dependerá de la seguridad, y eso depende de garantizar que el código que crea la IA sea seguro desde el principio. Las organizaciones deben asegurarse de contar con ingenieros altamente capacitados que supervisen de cerca la escritura del código de la IA, identifiquen los errores y los corrijan rápidamente. La asociación con empresas que ofrecen formación ágil y otros servicios que garantizan la seguridad y el cumplimiento es un buen primer paso para fomentar una postura de seguridad sólida.

El panorama de riesgos cambia continuamente, especialmente dentro del ciclo de desarrollo de software. Además, al ser las primeras en adoptar la IA, las instituciones financieras deben actuar como líderes en el uso seguro y responsable de la IA. Algunas instituciones financieras son lo suficientemente grandes como para afectar a las políticas gubernamentales. Al tomar medidas para garantizar la seguridad del código al permitir que los desarrolladores y los modelos de IA trabajen juntos, las instituciones pueden establecer las mejores prácticas para que las sigan otros sectores.

Integrations

You can learn more from SCW’s whitepaper explaining the role AI can play in code writing and why it’s essential that developers are thoroughly trained in recognizing secure coding patterns and the vulnerabilities that result from unsecure code.

Download Whitepaper

‍TENDENCIA 2: AUMENTO DE LA REGULACIÓN

El código ocupa un lugar central en el cumplimiento de las normas

Un factor importante para implementar prácticas de codificación seguras es la necesidad de que las instituciones financieras garanticen el cumplimiento de las regulaciones que rigen sus negocios. Las instituciones tienen una serie de regulaciones aplicables, que varían según el tipo de transacciones que gestionan.

Por ejemplo, PCI DSS 4.0, la versión más reciente del estándar de seguridad de datos para la industria de pagos, es un estándar global diseñado para proteger los datos y las transacciones de las tarjetas de crédito y pago. Con el objetivo de prevenir el fraude y otros usos indebidos, se aplica a cualquier organización que almacene, procese o transmita datos de titulares de tarjetas. La norma no es una ley, pero se aplica mediante contratos y puede ayudar a prevenir las filtraciones de datos, que son infracciones de otras normativas, como el RGPD.

Otro reglamento, el Ley de Resiliencia Operacional Digital (DORA), es un marco vinculante de gestión de riesgos de la UE para el sector de los servicios financieros, que abarca tanto a las instituciones financieras como a sus proveedores externos. DORA establece estándares técnicos diseñados para unificar las prácticas de gestión de riesgos con las de la UE, creando un estándar universal.

El Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales, conocida como Swift, es un esfuerzo cooperativo que ha establecido el estándar para las transferencias de fondos en todo el sector financiero mundial. El Programa de Seguridad del Cliente (CSP) de Swift ha desarrollado el Marco de controles de seguridad del cliente (CSCF), que se actualiza anualmente. Los más de 11 000 miembros de Swift en más de 200 países utilizan el CSCF para planificar sus propios controles de seguridad y dar fe de su nivel de cumplimiento.

Lo que estas regulaciones tienen en común es que intentan establecer estándares altos para proteger los datos y las transacciones en la industria de servicios financieros. El cumplimiento no solo protege los datos y el dinero de los clientes, sino que también ayuda a proteger a las instituciones de las consecuencias de una seguridad inadecuada, que puede incluir multas y sanciones por incumplimiento, dañar la reputación y perder la confianza de los inversores en caso de incumplimiento.

Los desarrolladores deben seguir el ritmo de un panorama regulatorio cambiante

La codificación segura proporciona una piedra angular sólida para las organizaciones que buscan satisfacer las expectativas de las regulaciones aplicables y los requisitos de la Oficina del Contralor de la Moneda (OCC) en los Estados Unidos o del Banco Central Europeo (BCE) en Europa. Uno de los factores fundamentales para adoptar la plataforma de Secure Code Warrior, o la de otro proveedor, es enseñar a los desarrolladores a programar de forma segura en un entorno práctico y atractivo.

Ese tipo de formación marca la diferencia cuando se trata de requisitos reglamentarios a veces complejos, sobre todo porque no permanecen estáticos. Las regulaciones están en constante evolución, añadiendo requisitos nuevos, a menudo más sofisticados. Según el requisito, es posible que una regulación no cambie drásticamente en un año determinado, pero las organizaciones pueden esperar cambios significativos al menos cada dos años.

Por ejemplo, la PCI DSS 4.0, obligatoria a partir del 1 de abril de 2024, actualiza la PCI DSS 3.2.1 (lanzada en 2022) de varias maneras importantes. Implementa un enfoque personalizado que brinda a las organizaciones más flexibilidad para cumplir con los requisitos, centrándose en los resultados más que en los procedimientos establecidos. Pero también añade nuevos requisitos para los controles de autenticación, la longitud de las contraseñas y las cuentas compartidas, por mencionar algunas de las muchas actualizaciones. También exige que las organizaciones definan claramente las funciones y responsabilidades para cumplir con cada requisito.

Cabe destacar que la versión 4.0 también exige que los desarrolladores que trabajan en software a medida y personalizado reciban formación al menos una vez cada 12 meses sobre la seguridad del software, incluidas las técnicas de diseño y codificación seguras y, si se utilizan herramientas de prueba, sobre cómo utilizarlas para detectar vulnerabilidades. También estipula que se corrijan todas las vulnerabilidades identificadas durante las pruebas de penetración, independientemente de su gravedad, y que los equipos realicen una segunda prueba de penetración para confirmar que las correcciones se han realizado correctamente.

Si bien los cambios suelen hacerse de forma gradual, las normativas también dependen de los eventos: una infracción importante puede provocar cambios repentinos y generalizados. La violación de 87 millones de cuentas de JPMorgan Chase a mediados de la década de 1990, por ejemplo, sacudió el panorama regulatorio, ya que los reguladores aumentaron las expectativas de la comunidad tecnológica y de desarrolladores y exigieron que los bancos proporcionaran pruebas de las medidas que estaban tomando y de la forma en que estaban aplicando las lecciones aprendidas de la violación.

El cumplimiento se basa en la calidad del código subyacente

La calidad del código utilizado para cumplir con estos requisitos tiene un impacto significativo en el rendimiento de las nuevas funciones y puede entrar en juego cuando las empresas completan el extenso y detallado informe de cumplimiento de PCI DSS, que se requiere anualmente. A medida que las normativas se vuelven más complejas, el impacto de la codificación segura aumenta considerablemente, lo que supone una diferencia sustancial a la hora de reducir los riesgos y aumentar el control sobre el software de una organización.

El cumplimiento es esencial para las instituciones financieras debido a la importancia de establecer la confianza de los clientes. La codificación segura también puede ayudar a mejorar la experiencia del cliente, ya que en gran medida depende de una interacción fluida con un software fiable, que contribuye a fidelizar a los clientes.

La codificación que se utiliza para crear nuevas aplicaciones y servicios tiene un impacto en toda la empresa. Es esencial para aumentar la eficiencia, gestionar las migraciones a la nube y habilitar otras capacidades en un entorno empresarial en rápida evolución. Sin embargo, el código debe ser absolutamente seguro y cumplir con los requisitos de cumplimiento para que la empresa tenga éxito.

Integrations

Read the no-nonsense guide to getting your development team on board with PCI DSS compliance, including how security professionals and development managers can work together to build powerful security programs.

Read Guide

TENDENCIA 3: APRENDIZAJE ÁGIL

La formación ágil y los equipos de inteligencia artificial humana garantizan la seguridad del código

La proliferación de modelos de IA ha reavivado los temores de que la inteligencia artificial le quite muchos puestos de trabajo a las personas. Si bien las personas que se dedican a algunas ocupaciones pueden tener motivos de preocupación (desde la contabilidad y el servicio de atención al cliente hasta los secretarios legales y los creadores de contenido), es más probable que los desarrolladores de software den la bienvenida a la IA como asistentes útiles que no les quitarán el trabajo, sino que les quitarán de encima algunas tareas repetitivas o que consumen mucho tiempo, como escribir código.

Escribir código, de hecho, es solo una parte del trabajo de un desarrollador. En GitLab Informe global de DevSecOps de 2023, la mayoría de los desarrolladores dijeron que dedican aproximadamente una cuarta parte de su tiempo a escribir código. El resto se divide entre otras tareas, como mejorar el código (17%), hacer pruebas (11%) y asistir a reuniones o realizar otras tareas administrativas (también un 17%).

Mejorar el código es un aspecto del trabajo que probablemente cobrará más protagonismo cuando los modelos de IA generen código. La IA añade velocidad y eficiencia a la creación de código, pero no se puede confiar totalmente en ese código. Hay innumerables ejemplos de errores, sesgos y códigos vulnerables generados por los modelos de IA. Los desarrolladores expertos en seguridad deben participar estrechamente en la verificación del código generado por la IA para corregir las vulnerabilidades y garantizar que su software cumpla con los estándares de desarrollo.

Los desarrolladores necesitan una formación práctica y ágil

Para los propios desarrolladores, trabajar con código generado por IA requiere que perfeccionen sus habilidades actuales (y adquieran algunas nuevas) en relación con las mejores prácticas de seguridad y la capacidad de detectar patrones de codificación deficientes. Los desarrolladores que cuenten con la formación adecuada podrán detectar los errores de un modelo de IA antes de la implementación y aprovechar las ventajas de utilizar la IA para acelerar el desarrollo.

Sin embargo, las habilidades requeridas son complejas y no se pueden aprender ni fortalecer simplemente empleando métodos de entrenamiento estándar y estáticos. Los desarrolladores no son conocidos por tener tiempo libre en el trabajo; están más presionados que nunca para desarrollar e implementar código rápidamente. Tienen que poder aumentar sus habilidades de forma que se adapten al trabajo que ya están realizando.

Las organizaciones deben ofrecer a los desarrolladores un programa completo de formación basada en la agilidad que adopta un enfoque práctico para proteger la codificación y que ha demostrado reducir significativamente la cantidad de vulnerabilidades en el software.

La formación ágil se puede adaptar para incluir los lenguajes de programación con los que se encontrarán los desarrolladores, desde el antiguo COBOL, que aún se utiliza, hasta las nuevas herramientas avanzadas escritas en Google Go. Se puede diseñar para ofrecer contenido avanzado en formatos que se adapten a los métodos de aprendizaje preferidos por el desarrollador (por ejemplo, de forma visual, auditiva o verbal, así como directamente de forma práctica) y se puede impartir a un ritmo que se adapte mejor a cada desarrollador y a sus horarios de trabajo.

La formación también se puede adaptar a las funciones y necesidades específicas de los empleados. Una plataforma puede utilizar un circuito de retroalimentación para mejorar el contenido y reconocer cuándo un desarrollador es débil en un área determinada, de modo que el contenido pueda segmentarse automáticamente para abordar esa área.

Además, en lugar de ofrecer formación sobre seguridad en un curso de formación tipo aula, los programas de aprendizaje como los que emplea Secure Code Warrior ofrecen una formación óptima y personalizada al dividirla en microrráfagas interactivas que involucran a los desarrolladores en el contexto de problemas del mundo real. El microaprendizaje también es totalmente accesible para los empleados cuando lo necesitan.

Un enfoque ágil permite obtener resultados

La formación basada en la metodología ágil ha demostrado ser eficaz para reducir los errores de codificación. Según investigación de Secure Code Warrior, los desarrolladores ya reelaboran alrededor del 26% de su código antes de que entre en producción. Esto equivale a unas 13,5 horas a la semana por desarrollador (unas 700 horas al año) dedicadas a liquidar la deuda técnica. Las horas dedicadas a corregir el código dificultan la productividad y ralentizan los ciclos de desarrollo.

Y no se detectan todos esos errores, ya que el 67% de los desarrolladores admiten haber enviado código con vulnerabilidades. Las organizaciones también utilizan código de otras fuentes, como la IA, los repositorios de código abierto y terceros. Estas fuentes ayudan a aumentar la productividad en un momento en que las organizaciones necesitan un volumen de código mayor que nunca, pero también aumentan el riesgo de vulnerabilidades y errores en la base del código.

La formación ágil puede ayudar a detener esa tendencia. Refuerza la primera línea de defensa, ya que los desarrolladores son más hábiles para detectar defectos en el código, ya sea que lo hayan creado ellos mismos, la IA o terceros. Como parte de su investigación, Secure Code Warrior examinó los datos de 75 000 desarrolladores (alrededor del 30% de su base) y descubrió que los desarrolladores que habían estudiado seguridad con su formación basada en la metodología ágil presentaban un 53% menos de vulnerabilidades que sus homólogos. Los desarrolladores que apliquen esas habilidades para comprobar el código generado por la IA pueden corregir más rápidamente los errores de sus socios de IA antes de que el software entre en producción.

Gracias a la formación ágil de Secure Code Warrior, los desarrolladores de Workday, que ofrece aplicaciones en la nube para la gestión del ciclo de vida de estudiantes y profesores financieros, de RRHH y de gestión del ciclo de vida de los estudiantes y profesores, se hicieron una idea clara del objetivo para el que se diseñó la formación y aprendieron rápidamente cómo identificar y actuar ante los problemas dentro de su código base y ciclo de vida del software.

La experiencia de Workday ofrece un claro ejemplo de lo que puede hacer una formación ágil y práctica. Antes de asociarse con Secure Code Warrior, Workday se dio cuenta de que sus desarrolladores estaban desencantados con la formación en seguridad de la empresa basada en presentaciones de diapositivas. Sin embargo, toda la comunidad de desarrolladores respondió favorablemente a la formación sobre Secure Code Warrior, que se adaptó tanto a sus necesidades como a sus preferencias de aprendizaje. Y los resultados hablan por sí solos. En tan solo un ejemplo, un equipo de Dublín pasó de tener 4.662 problemas de seguridad al año a no tener ninguno en tan solo 18 meses.

En un panorama de amenazas plagado de ataques cada vez más sofisticados, las empresas de servicios financieros deben hacer todo lo posible para garantizar la seguridad de los datos y las aplicaciones. La creación de código seguro al principio del ciclo de vida del desarrollo de software (SDLC) es un componente fundamental de la seguridad. Los desarrolladores con la formación ágil adecuada pueden hacer mucho para garantizar la seguridad del software y, al mismo tiempo, reducir los riesgos generales para su empresa.

Integrations

Learn how Workday focused on creating secure agile learning that drove developer engagement and helped achieve their goals of improving Workday’s overall security posture.

Learn More

TENDENCIA 4: CRECIMIENTO DE APLICACIONES Y API DE TERCEROS

La responsabilidad por la seguridad también se aplica a las aplicaciones de terceros

En el entorno empresarial hiperconectado de hoy en día, ninguna empresa opera en el vacío. Las instituciones financieras se asocian con otras empresas para prestar determinados servicios, utilizan aplicaciones de terceros en las comunicaciones y transacciones diarias y, en muchos casos, contratan a contratistas externos que escriben el código del software. Los desarrolladores de las empresas también utilizan repositorios de software de código abierto y, cada vez más, código generado por IA para desarrollar aplicaciones.

Independientemente de la fuente del software, las personas que trabajan con una empresa de servicios financieros tienen la expectativa de que todas las aplicaciones que utilizan tengan el mismo nivel de seguridad. En cualquier transacción o intercambio de información, la empresa anfitriona sigue siendo responsable de los datos del cliente. Además, los reguladores no permitirán que una institución transfiera la responsabilidad del incumplimiento a un tercero.

¿Cómo se asegura una institución financiera de que todas las aplicaciones sean seguras y confiables? Todo comienza con un código seguro y con dotar a los desarrolladores de las habilidades que necesitan para crear código de software seguro al principio del proceso de desarrollo, además de identificar los casos en los que el código de terceros que utilizan es insuficiente.

Poner la capacitación a disposición de los equipos de contratistas

Las empresas se beneficiarían de la implementación de un programa de capacitación ágil y práctico para enseñar a los desarrolladores sobre el código seguro. Los resultados de este tipo de formación son claros: los desarrolladores con formación en codificación segura producen código con un 53% menos de vulnerabilidades que los que no tienen la formación. Además, van a detectar más errores de codificación en el código generado por terceros.

Incluso si los desarrolladores de una empresa están capacitados para escribir código seguro, es necesario abordar las posibles fallas en el código de terceros. Muchos equipos de desarrolladores están compuestos tanto por empleados a tiempo completo (FTE) como por contratistas, especialmente en grandes instituciones con ubicaciones remotas en todo el país o en todo el mundo, incluidas ubicaciones primarias, secundarias y terciarias.

Hace un par de décadas, hubo un gran impulso en la industria para subcontratar el desarrollo de software para que las empresas pudieran satisfacer la demanda de nuevas aplicaciones. Esa tendencia duró cinco o diez años antes de empezar a revertirse, pero en algunos lugares de las instituciones financieras aún permanecen equipos combinados de trabajadores a tiempo completo y contratistas. Con tantas aplicaciones en continuo desarrollo, algunas de ellas van a ser subcontratadas.

Sin embargo, independientemente de si el código es desarrollado por FTE o por terceros, las expectativas de los clientes y los reguladores se mantienen. Todo el código de software que utiliza una empresa debe cumplir los mismos estándares, lo que significa que todos los desarrolladores tienen el mismo nivel de competencia.

Las empresas pueden tener límites contractuales para exigir capacitación a los contratistas, aunque es importante que al menos la capacitación esté disponible. Algunas compañías financieras han creado sus propios programas de capacitación, como Capital One, que lanzó su Escuela de Tecnología en 2016. Otros bancos y compañías financieras, como Synchrony Bank y North American Bancard, están adoptando la idea de la metodología ágil aprendizaje continuo para aumentar el nivel de talento que tienen.

Es posible que las empresas incluso adopten un enfoque de «licencia para codificar», exigiendo ciertas certificaciones antes de permitir a los desarrolladores acceder a sistemas específicos.

En medio de la continua escasez de habilidades de TI, las empresas han optado por intentar mejorar las habilidades de los empleados actuales en lugar de competir por el talento en un mercado con pocos suministros. La formación beneficia tanto a los empleados, que pueden avanzar en sus propias carreras, como a la empresa, que consigue empleados con las habilidades que la empresa necesita. Los programas de formación también pueden mejorar la retención al mejorar la experiencia de los empleados.

El aprendizaje continuo es importante en el entorno actual. El panorama de la ciberseguridad evoluciona continuamente y se vuelve más sofisticado. Además, los requisitos de los reguladores también cambian cada año, lo que aumenta la complejidad que implica cumplir con los requisitos. El incumplimiento de esos requisitos puede resultar en multas, otros costos y daños a la reputación que afectan considerablemente a la empresa.

La clave es involucrar a los desarrolladores

Las empresas están dejando de lado la formación sobre cumplimiento como un ejercicio engorroso y con casillas de verificación, con sesiones de formación que se realizan una vez al año, y optan por una formación que dura todo el año diseñada para aumentar el nivel de compromiso que los desarrolladores y otros empleados tienen con la seguridad. La clave está en disponer de una plataforma ágil que ofrezca a los empleados la formación que necesitan, cuando la necesitan y en un formato que se adapte a su entorno de trabajo.

Por ejemplo, la empresa de soluciones de software con sede en el Reino Unido Salvia, que adoptó la plataforma de Secure Code Warrior, imparte formación trimestral dirigida a la tecnología con la que trabajan los desarrolladores en ese momento.

La formación es lo más personalizada posible y también se adapta a la forma en que les gusta trabajar a los desarrolladores, afirmó Mads Howard, especialista en seguridad de Sage, durante un reciente seminario web con SCW. Sage también fomenta la comunicación bidireccional a través de un circuito de retroalimentación. La formación se centra más en el compromiso que en cumplir las casillas de verificación, y se organizan torneos con regularidad y se intenta combinar el programa de formación con otras iniciativas de la empresa diseñadas para aumentar el compromiso de los empleados con los problemas de seguridad.

Un resultado: el año pasado, Sage registró una reducción del 82% en el tiempo promedio que lleva solucionar problemas de software, dijo Howard. La empresa también ha registrado un mayor nivel de compromiso por parte de los empleados.

La codificación es parte de la construcción de una cultura de seguridad, dijo Howard, y el objetivo final es generar confianza en los clientes. La cultura de seguridad gira en torno a las actitudes, percepciones y creencias de las personas, y también involucra a las personas de toda la empresa, incluida la dirección ejecutiva. Un programa flexible de formación sobre código seguro que imparta formación específica en microráfagas fáciles de consumir puede ser una parte esencial de esa cultura.

Integrations

Discover how Sage implemented best practices in building a secure code learning program, learn the do's and don'ts of a secure code learning program, and see the business and financial impacts including productivity gained and time saved.

Discover

‍TENDENCIA 5: MAYOR ENFOQUE EN EL ROI ENTRE LOS EQUIPOS Y PROVEEDORES

Cómo la codificación segura beneficia directamente al retorno de la inversión

La industria de servicios financieros abarca una amplia gama de sectores, que van desde la gestión bancaria y financiera hasta los servicios de tarjetas de crédito y pagos digitales. Incluso los seguros suelen caer bajo esa bandera. Las empresas de cada sector se enfrentan a requisitos de cumplimiento diferentes, aunque a menudo superpuestos, según las transacciones que gestionen y si se trata de empresas nacionales o multinacionales.

Sin embargo, independientemente del campo en el que trabajen las empresas, las consideraciones económicas tienen un efecto en las estrategias empresariales. Los mercados bursátiles han ido bien, pero los mercados bursátiles no siempre son indicativos del éxito futuro. Mientras tanto, existe cierta inquietud en el sector financiero ante la posibilidad de una recesión y otros desafíos críticos.

Como resultado, muchas organizaciones se están apretando el cinturón, buscando una mayor eficiencia y enfatizando la importancia de tener un buen retorno de la inversión (ROI) para cualquier gasto nuevo. Una forma de aumentar el ROI es invertir en un aprendizaje de código seguro. En el ciclo de vida del desarrollo de software (SDLC), en el que confluyen la ingeniería y la seguridad, garantizar la creación de un código seguro al principio del proceso y corregir las fallas lo antes posible generará beneficios claros y cuantificables para la empresa.

Los altos costos del software no seguro

Los datos son la base de cualquier institución de servicios financieros, y los costos de manejar esos datos con un software inseguro e ineficiente pueden aumentar rápidamente. Secure Code Warriors investigación descubrió que los problemas de calidad del software costaron a las empresas estadounidenses un total de 2,41 billones de dólares en 2022. Además, los costos se extienden hasta los desarrolladores, que dedican cada vez más tiempo a mantener y subsanar la deuda técnica. Actualmente, los desarrolladores dedican alrededor de un tercio de su tiempo a mantener la deuda técnica, pero se prevé que esa cifra alcance el 40% en 2025.

La formación ágil sobre prácticas de codificación seguras puede reducir significativamente esas cifras negativas. Se ha descubierto que los desarrolladores que se forman con Secure Code Warrior introducen un 53% menos de vulnerabilidades que los colegas que no han recibido la formación, y los tiempos de corrección se reducen a la mitad. Un importante banco internacional logró reducir las vulnerabilidades en un 50% gracias a la formación en SCW, que prácticamente eliminó las fallas en la inyección de SQL y en el Cross-Site Scripting (XSS).

Los beneficios de una formación ágil en código seguro también son considerablemente mayores cuanto más se desplaza una organización a la izquierda. Los costos de la deuda técnica, por ejemplo, se reducen a la mitad si se abordan durante las pruebas, pero se reducen 14 veces más si se abordan durante la fase de codificación.

Un ejemplo: cómo Envestnet involucró a sus desarrolladores

El impacto de la codificación segura puede generar ganancias cuantificables en el ROI. En un ejemplo, la gran empresa de tecnología financiera Envestnet quería ir más allá de su formación pasiva sobre seguridad y cumplimiento «muerta por PowerPoint», que se centraba principalmente en los diez principales riesgos de las aplicaciones web del Open Worldwide Application Security Project (OWASP).

Envestnet adoptó una estrategia de giro a la izquierda centrada en escribir código seguro y abordar cualquier problema al principio del SDLC, pero primero tuvo que abordar la falta de compromiso de los desarrolladores con la formación de seguridad existente en la empresa. Con SCW, implementaron un programa práctico de cuatro niveles que incluía formación sobre situaciones reales y otorgaba certificados a los desarrolladores por cada nivel de rendimiento, lo que no solo mejoraba la seguridad de las aplicaciones, sino que también ayudaba a los desarrolladores a avanzar en sus carreras.

Los dos primeros niveles se centraron en la conciencia de seguridad, y los niveles tres y cuatro reconocieron a los campeones de la seguridad. El programa de formación incluía torneos, lo que también aumentó el nivel de participación de los desarrolladores. Entre los dos primeros torneos, con unos seis meses de diferencia, la participación se duplicó.

Los resultados: los desarrolladores con formación en SCW corrigieron 2,7 veces más vulnerabilidades que sus pares y aumentaron sus tasas de corrección en un 120%. Los desarrolladores formados en SCW también solucionaron los problemas de vulnerabilidad a un ritmo de 4,5 por desarrollador, en comparación con un ratio de 1,82 por desarrollador entre sus compañeros que no habían recibido el beneficio de la formación.

Empezar por la izquierda mejora el resultado final

Los programas ágiles de codificación segura se pueden adaptar a cada empresa, según el tipo de servicios financieros que presten, el tamaño de sus sistemas y sus requisitos individuales.

Las empresas deben mantener el cumplimiento, por ejemplo, con el estándar de seguridad de datos del sector de tarjetas de pago (PCI DSS), el estándar de verificación de seguridad de aplicaciones (ASVS) OWASP u otros requisitos. Además, deben asegurarse de escribir código seguro en todo momento. Pero necesitan algo más que un programa de formación que simplemente marque una casilla, lo que no bastará para enseñar métodos de codificación seguros ni para alcanzar los niveles de eficiencia cada vez mayores que implica contar con desarrolladores altamente capacitados y conscientes de la seguridad.

La formación práctica que respalde una estrategia de introducción temprana de código seguro en el SDLC y su mantenimiento durante todo el ciclo de vida del producto reducirá el riesgo y acelerará el tiempo de comercialización, lo que inevitablemente aumentará el ROI. A medida que los sistemas, los procesos e incluso los ciberataques se vuelven cada vez más sofisticados, se necesita urgentemente una codificación segura. Tiene el poder de marcar una diferencia fundamental no solo en lo que respecta a la seguridad, sino también a la hora de beneficiar los resultados de cualquier organización.

Integrations

Explore how Envestnet adopted an agile secure code learning platform and tripled developer effectiveness in vulnerability reduction.

Explore

CONCLUSIÓN

La codificación segura mejora la seguridad y la productividad a la vez que genera confianza

Las instituciones de servicios financieros trabajan con productos muy valiosos, a saber, el dinero de las personas y la información personal altamente confidencial, pero en cierto modo lo más preciado que pueden tener las organizaciones es la confianza. Es esencial para atraer y mantener clientes leales. Y dado que muchas transacciones financieras se gestionan digitalmente, la fiabilidad y la seguridad del software dependen de un código de software seguro.

En entornos complejos de nube híbrida, las organizaciones financieras deben girar a la izquierda e introducir la seguridad al principio del ciclo de vida del desarrollo de software (SDLC). Esto significa capacitar a los desarrolladores para que escriban código seguro y sean capaces de identificar las vulnerabilidades en el código generado por IA o de terceros.

Es un cambio cultural para muchas empresas, donde los desarrolladores están acostumbrados a trabajar a kilómetros por minuto y a crear nuevas aplicaciones y servicios para satisfacer una demanda cada vez mayor. La clave es crear una cultura de seguridad dentro de la empresa e involucrar a los desarrolladores con una formación práctica y ágil sobre código seguro. Los beneficios de este enfoque son evidentes.

Fomentar un cambio cultural en el que todos salgan ganando

La investigación de Secure Code Warrior ha descubierto que los desarrolladores que aprenden prácticas de codificación segura con SCW producen un 53% menos de vulnerabilidades que los que no tienen la formación, lo que supone un ahorro de tiempo y dinero.

En la actualidad, los desarrolladores pierden alrededor de un tercio de su tiempo reelaborando el código de software, y el 67% de ellos admite haber lanzado código que sabía que tenía vulnerabilidades. Como resultado del aprendizaje ágil, los clientes de SCW han conseguido entre el doble y el triple de beneficios tanto en la reducción de riesgos como en la productividad de los desarrolladores.

Y cuanto más a la izquierda comience a girar una organización en el SDLC, mayores serán los ahorros. Los costos se pueden reducir a la mitad si se abordan durante las pruebas, pero se pueden reducir 14 veces si se abordan durante la fase de codificación.

Una plataforma de formación ágil beneficia tanto a la empresa como a los desarrolladores. Los desarrolladores pueden avanzar en sus carreras adquiriendo nuevas habilidades, y la empresa se beneficia porque es más probable que los desarrolladores cualificados se queden en una empresa que ofrece una formación eficaz y una experiencia laboral más gratificante.

No por casualidad, el 92% de los desarrolladores dicen que quieren más formación. Pero tiene que ser el tipo de formación adecuado. La formación tradicional sobre cumplimiento siguiendo las reglas (o siguiendo las diapositivas) puede provocar que se pongan los ojos en blanco y que se acepte a regañadientes que se cumple un requisito, pero se ha demostrado que una plataforma ágil como la de SCW atrae a los desarrolladores. La formación puede adaptarse al tema en el que están trabajando y a los lenguajes de programación con los que trabajan. Además, impartir formación en microráfagas específicas y fáciles de consumir, que aborden los problemas actuales del mundo real a los que se enfrentan los desarrolladores, aumenta el valor de la formación y el nivel de compromiso.

La capacitación en código seguro puede ser una piedra angular en un cambio cultural hacia una organización que prioriza la seguridad, ya que aumenta la ciberseguridad, el rendimiento y, en última instancia, la rentabilidad de una institución de servicios financieros.