Cambie a la izquierda (y logre el cumplimiento) con habilidades de codificación segura y repetibles
Hoy en día, casi todos los equipos de desarrolladores emplean algún tipo de formación sobre cumplimiento, ya sea como parte de un proceso de certificación inicial que se utiliza para garantizar que una empresa se mantenga dentro de los límites de los marcos industriales o las regulaciones gubernamentales, o como parte de un requisito o revisión anual. Es un paso importante, porque si una organización no puede cumplir con los requisitos básicos de cumplimiento, sus trabajadores no pueden desempeñar sus funciones de manera realista.
Las reglas de cumplimiento existen por una razón, porque cualquier persona que trabaje en el campo que cubren esas reglas debe tener al menos un conocimiento fundamental de todos los procesos y procedimientos relevantes, así como de cualquier ley aplicable.
Si bien la capacitación en cumplimiento es importante, completar los requisitos mínimos obligatorios no garantiza una verdadera seguridad de las aplicaciones. Esto es especialmente cierto en el caso de los desarrolladores que intentan integrar habilidades de codificación seguras en su flujo de trabajo diario. Casi todos los desarrolladores reciben algún tipo de formación sobre cumplimiento y, sin embargo, cuando son encuestados, El 67% admitió que con frecuencia dejaban vulnerabilidades en su código.
¿Por qué?
Por segundo año consecutivo, Secure Code Warrior llevó a cabo la «Encuesta sobre el estado de la seguridad impulsada por los desarrolladores, 2022" en colaboración con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para comprender las habilidades, las percepciones y los comportamientos en lo que respecta a las prácticas de codificación seguras, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
En cuanto a por qué la capacitación en cumplimiento no logra mejorar la seguridad del software, este es un tema del que hemos estado hablando durante mucho tiempo. La encuesta reciente simplemente pone de relieve este problema.
Por un lado, se pide a los desarrolladores que asuman nuevas funciones al incluir la ciberseguridad en todo el proceso de desarrollo del software, incluso cuando escriben inicialmente el código de las aplicaciones y los programas. Sin embargo, escribir código seguro, o simplemente aprender todo sobre los problemas de ciberseguridad y las vulnerabilidades que podrían afectarlo, no es una tarea fácil. En la encuesta, el 63% de los desarrolladores afirmó que escribir código seguro era una tarea difícil.
La dificultad de escribir código seguro no debería sorprendernos. Hay una razón por la que tantos puestos de trabajo de ciberseguridad bien remunerados están sin cubrir: según el último recuento, hay más de 3,5 millones de vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. La formación estática sobre cumplimiento normativo o las clases puntuales no pueden mantener el ritmo ni proporcionar el tipo de formación que necesitan los desarrolladores. Puede marcar una casilla en términos de cumplimiento, pero no puede ofrecer garantías reales de seguridad de las aplicaciones a tu organización ni permitir a los desarrolladores escribir código seguro ni adquirir las habilidades necesarias para encontrar y corregir las vulnerabilidades del código.
La capacitación en cumplimiento y seguridad es importante, pero diferente
Las organizaciones deben empezar a darse cuenta y reconocer lo que la formación sobre cumplimiento puede hacer y lo que no. No abandone la formación sobre cumplimiento, especialmente si la exige la ley. Y sobre todo porque (incluso con los métodos de formación actuales) el 92% de los encuestados afirmó que necesitaba al menos algún tipo de formación en cuestiones relacionadas con el cumplimiento o los marcos de seguridad, y el 50% hizo hincapié en la necesidad de una formación importante en materia de cumplimiento.
Los marcos de cumplimiento en los que estaban más interesados en capacitarse incluían aquellos que son específicos de varias industrias, aunque también figuran en la lista varios marcos generales de ciberseguridad. Entre ellos figuraban el marco de seguridad del CIS, el PCI DSS, el Top 10 de OWASP, el MISRA C, la ISO/IEC y la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), entre otros.
Así que sí, capacitese en esos marcos, pero comprenda que marcar una casilla en la capacitación sobre cumplimiento no equivale a proporcionar una base para la creación continua de código seguro.
En su lugar, considera la formación sobre cumplimiento como parte de una oportunidad continua para ampliar las habilidades de codificación segura de tu desarrollador, que pueden repetirse fuera del ciclo de cumplimiento, de modo que puedan crear y publicar software seguro todos los días. Cambie la prioridad de lograr el cumplimiento a permitir que los equipos de desarrollo codifiquen de forma segura mediante un aprendizaje continuo. Al invertir tiempo y recursos en capacitar a los desarrolladores, los ejercicios o exámenes anuales de cumplimiento de las casillas serán muy fáciles de aprobar y completar para su personal, a la vez que se beneficiarán de una mejora de la productividad en general.
¿Cómo puede hacer el cambio a una seguridad impulsada por los desarrolladores?
La abrumadora mayoría de los desarrolladores dijeron que la formación era valiosa, pero se mostraron en desacuerdo con el tipo de formación que han recibido en relación con la codificación segura a lo largo de los años. Los desarrolladores dijeron que querían que se hiciera más hincapié en la formación práctica utilizando ejemplos del mundo real que fueran relevantes para su trabajo (un 30%). El 26% de los encuestados también consideró fundamental una mayor interactividad, especialmente si podían practicar la escritura de código seguro como parte de esos ejercicios.
El 23% de los desarrolladores encuestados consideró importante el deseo de recibir una formación más guiada centrada en las vulnerabilidades específicas que tenían más probabilidades de encontrar en su industria o sector, mientras que el 22% quería ver más ejemplos de vulnerabilidades del mundo real en sus cursos de formación.
Está claro que el simple hecho de ofrecer una formación estática y no interactiva (que suele ser la experiencia de la formación sobre cumplimiento) tiene poco valor en términos de habilidades de seguridad repetibles para los desarrolladores. Por el contrario, las organizaciones deberían centrarse en cosas como la formación puntual, en la que los desarrolladores aprenden sobre la seguridad mientras trabajan. Incluso podrías considerar la posibilidad de implementar un programa de aprendizaje por niveles.
Con un enfoque escalonado, los temas más amplios generalmente se dividen en experiencias o conceptos de aprendizaje discretos. A medida que los desarrolladores progresan, los conceptos más avanzados se superponen a los que ya dominan, del mismo modo que se construyen andamios físicos a medida que un edificio crece. Esto lo convierte en un método probado para enseñar un tema difícil y en constante evolución, como la ciberseguridad, dividiéndolo primero en partes más pequeñas y menos complejas y, después, creando más complejidad sobre esa base.
Independientemente de cómo decida abordar su programa de habilidades de seguridad para desarrolladores, la clave será mantenerlo separado de los ejercicios de cumplimiento. Tanto la formación en materia de cumplimiento como la de seguridad son importantes y ambas requieren enfoques diferentes para lograr el éxito.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software.
Libro blanco: El enfoque preventivo de los desarrolladores para la seguridad del software.
Informe: El estado de la seguridad impulsada por los desarrolladores.
Hoy en día, casi todos los equipos de desarrolladores emplean algún tipo de formación sobre cumplimiento, ya sea como parte de un proceso de certificación inicial que se utiliza para garantizar que una empresa se mantenga dentro de los límites de los marcos industriales o las regulaciones gubernamentales, o como parte de un requisito o revisión anual. Es un paso importante, porque si una organización no puede cumplir con los requisitos básicos de cumplimiento, sus trabajadores no pueden desempeñar sus funciones de manera realista.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Cet article a été écrit par Secure Code Warrior L'équipe d'experts du secteur de s'engage à fournir aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie des pratiques de codage sécurisé, des tendances du secteur et des connaissances du monde réel.
Hoy en día, casi todos los equipos de desarrolladores emplean algún tipo de formación sobre cumplimiento, ya sea como parte de un proceso de certificación inicial que se utiliza para garantizar que una empresa se mantenga dentro de los límites de los marcos industriales o las regulaciones gubernamentales, o como parte de un requisito o revisión anual. Es un paso importante, porque si una organización no puede cumplir con los requisitos básicos de cumplimiento, sus trabajadores no pueden desempeñar sus funciones de manera realista.
Las reglas de cumplimiento existen por una razón, porque cualquier persona que trabaje en el campo que cubren esas reglas debe tener al menos un conocimiento fundamental de todos los procesos y procedimientos relevantes, así como de cualquier ley aplicable.
Si bien la capacitación en cumplimiento es importante, completar los requisitos mínimos obligatorios no garantiza una verdadera seguridad de las aplicaciones. Esto es especialmente cierto en el caso de los desarrolladores que intentan integrar habilidades de codificación seguras en su flujo de trabajo diario. Casi todos los desarrolladores reciben algún tipo de formación sobre cumplimiento y, sin embargo, cuando son encuestados, El 67% admitió que con frecuencia dejaban vulnerabilidades en su código.
¿Por qué?
Por segundo año consecutivo, Secure Code Warrior llevó a cabo la «Encuesta sobre el estado de la seguridad impulsada por los desarrolladores, 2022" en colaboración con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para comprender las habilidades, las percepciones y los comportamientos en lo que respecta a las prácticas de codificación seguras, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
En cuanto a por qué la capacitación en cumplimiento no logra mejorar la seguridad del software, este es un tema del que hemos estado hablando durante mucho tiempo. La encuesta reciente simplemente pone de relieve este problema.
Por un lado, se pide a los desarrolladores que asuman nuevas funciones al incluir la ciberseguridad en todo el proceso de desarrollo del software, incluso cuando escriben inicialmente el código de las aplicaciones y los programas. Sin embargo, escribir código seguro, o simplemente aprender todo sobre los problemas de ciberseguridad y las vulnerabilidades que podrían afectarlo, no es una tarea fácil. En la encuesta, el 63% de los desarrolladores afirmó que escribir código seguro era una tarea difícil.
La dificultad de escribir código seguro no debería sorprendernos. Hay una razón por la que tantos puestos de trabajo de ciberseguridad bien remunerados están sin cubrir: según el último recuento, hay más de 3,5 millones de vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. La formación estática sobre cumplimiento normativo o las clases puntuales no pueden mantener el ritmo ni proporcionar el tipo de formación que necesitan los desarrolladores. Puede marcar una casilla en términos de cumplimiento, pero no puede ofrecer garantías reales de seguridad de las aplicaciones a tu organización ni permitir a los desarrolladores escribir código seguro ni adquirir las habilidades necesarias para encontrar y corregir las vulnerabilidades del código.
La capacitación en cumplimiento y seguridad es importante, pero diferente
Las organizaciones deben empezar a darse cuenta y reconocer lo que la formación sobre cumplimiento puede hacer y lo que no. No abandone la formación sobre cumplimiento, especialmente si la exige la ley. Y sobre todo porque (incluso con los métodos de formación actuales) el 92% de los encuestados afirmó que necesitaba al menos algún tipo de formación en cuestiones relacionadas con el cumplimiento o los marcos de seguridad, y el 50% hizo hincapié en la necesidad de una formación importante en materia de cumplimiento.
Los marcos de cumplimiento en los que estaban más interesados en capacitarse incluían aquellos que son específicos de varias industrias, aunque también figuran en la lista varios marcos generales de ciberseguridad. Entre ellos figuraban el marco de seguridad del CIS, el PCI DSS, el Top 10 de OWASP, el MISRA C, la ISO/IEC y la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), entre otros.
Así que sí, capacitese en esos marcos, pero comprenda que marcar una casilla en la capacitación sobre cumplimiento no equivale a proporcionar una base para la creación continua de código seguro.
En su lugar, considera la formación sobre cumplimiento como parte de una oportunidad continua para ampliar las habilidades de codificación segura de tu desarrollador, que pueden repetirse fuera del ciclo de cumplimiento, de modo que puedan crear y publicar software seguro todos los días. Cambie la prioridad de lograr el cumplimiento a permitir que los equipos de desarrollo codifiquen de forma segura mediante un aprendizaje continuo. Al invertir tiempo y recursos en capacitar a los desarrolladores, los ejercicios o exámenes anuales de cumplimiento de las casillas serán muy fáciles de aprobar y completar para su personal, a la vez que se beneficiarán de una mejora de la productividad en general.
¿Cómo puede hacer el cambio a una seguridad impulsada por los desarrolladores?
La abrumadora mayoría de los desarrolladores dijeron que la formación era valiosa, pero se mostraron en desacuerdo con el tipo de formación que han recibido en relación con la codificación segura a lo largo de los años. Los desarrolladores dijeron que querían que se hiciera más hincapié en la formación práctica utilizando ejemplos del mundo real que fueran relevantes para su trabajo (un 30%). El 26% de los encuestados también consideró fundamental una mayor interactividad, especialmente si podían practicar la escritura de código seguro como parte de esos ejercicios.
El 23% de los desarrolladores encuestados consideró importante el deseo de recibir una formación más guiada centrada en las vulnerabilidades específicas que tenían más probabilidades de encontrar en su industria o sector, mientras que el 22% quería ver más ejemplos de vulnerabilidades del mundo real en sus cursos de formación.
Está claro que el simple hecho de ofrecer una formación estática y no interactiva (que suele ser la experiencia de la formación sobre cumplimiento) tiene poco valor en términos de habilidades de seguridad repetibles para los desarrolladores. Por el contrario, las organizaciones deberían centrarse en cosas como la formación puntual, en la que los desarrolladores aprenden sobre la seguridad mientras trabajan. Incluso podrías considerar la posibilidad de implementar un programa de aprendizaje por niveles.
Con un enfoque escalonado, los temas más amplios generalmente se dividen en experiencias o conceptos de aprendizaje discretos. A medida que los desarrolladores progresan, los conceptos más avanzados se superponen a los que ya dominan, del mismo modo que se construyen andamios físicos a medida que un edificio crece. Esto lo convierte en un método probado para enseñar un tema difícil y en constante evolución, como la ciberseguridad, dividiéndolo primero en partes más pequeñas y menos complejas y, después, creando más complejidad sobre esa base.
Independientemente de cómo decida abordar su programa de habilidades de seguridad para desarrolladores, la clave será mantenerlo separado de los ejercicios de cumplimiento. Tanto la formación en materia de cumplimiento como la de seguridad son importantes y ambas requieren enfoques diferentes para lograr el éxito.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software.
Libro blanco: El enfoque preventivo de los desarrolladores para la seguridad del software.
Informe: El estado de la seguridad impulsada por los desarrolladores.
Hoy en día, casi todos los equipos de desarrolladores emplean algún tipo de formación sobre cumplimiento, ya sea como parte de un proceso de certificación inicial que se utiliza para garantizar que una empresa se mantenga dentro de los límites de los marcos industriales o las regulaciones gubernamentales, o como parte de un requisito o revisión anual. Es un paso importante, porque si una organización no puede cumplir con los requisitos básicos de cumplimiento, sus trabajadores no pueden desempeñar sus funciones de manera realista.
Las reglas de cumplimiento existen por una razón, porque cualquier persona que trabaje en el campo que cubren esas reglas debe tener al menos un conocimiento fundamental de todos los procesos y procedimientos relevantes, así como de cualquier ley aplicable.
Si bien la capacitación en cumplimiento es importante, completar los requisitos mínimos obligatorios no garantiza una verdadera seguridad de las aplicaciones. Esto es especialmente cierto en el caso de los desarrolladores que intentan integrar habilidades de codificación seguras en su flujo de trabajo diario. Casi todos los desarrolladores reciben algún tipo de formación sobre cumplimiento y, sin embargo, cuando son encuestados, El 67% admitió que con frecuencia dejaban vulnerabilidades en su código.
¿Por qué?
Por segundo año consecutivo, Secure Code Warrior llevó a cabo la «Encuesta sobre el estado de la seguridad impulsada por los desarrolladores, 2022" en colaboración con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para comprender las habilidades, las percepciones y los comportamientos en lo que respecta a las prácticas de codificación seguras, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
En cuanto a por qué la capacitación en cumplimiento no logra mejorar la seguridad del software, este es un tema del que hemos estado hablando durante mucho tiempo. La encuesta reciente simplemente pone de relieve este problema.
Por un lado, se pide a los desarrolladores que asuman nuevas funciones al incluir la ciberseguridad en todo el proceso de desarrollo del software, incluso cuando escriben inicialmente el código de las aplicaciones y los programas. Sin embargo, escribir código seguro, o simplemente aprender todo sobre los problemas de ciberseguridad y las vulnerabilidades que podrían afectarlo, no es una tarea fácil. En la encuesta, el 63% de los desarrolladores afirmó que escribir código seguro era una tarea difícil.
La dificultad de escribir código seguro no debería sorprendernos. Hay una razón por la que tantos puestos de trabajo de ciberseguridad bien remunerados están sin cubrir: según el último recuento, hay más de 3,5 millones de vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. La formación estática sobre cumplimiento normativo o las clases puntuales no pueden mantener el ritmo ni proporcionar el tipo de formación que necesitan los desarrolladores. Puede marcar una casilla en términos de cumplimiento, pero no puede ofrecer garantías reales de seguridad de las aplicaciones a tu organización ni permitir a los desarrolladores escribir código seguro ni adquirir las habilidades necesarias para encontrar y corregir las vulnerabilidades del código.
La capacitación en cumplimiento y seguridad es importante, pero diferente
Las organizaciones deben empezar a darse cuenta y reconocer lo que la formación sobre cumplimiento puede hacer y lo que no. No abandone la formación sobre cumplimiento, especialmente si la exige la ley. Y sobre todo porque (incluso con los métodos de formación actuales) el 92% de los encuestados afirmó que necesitaba al menos algún tipo de formación en cuestiones relacionadas con el cumplimiento o los marcos de seguridad, y el 50% hizo hincapié en la necesidad de una formación importante en materia de cumplimiento.
Los marcos de cumplimiento en los que estaban más interesados en capacitarse incluían aquellos que son específicos de varias industrias, aunque también figuran en la lista varios marcos generales de ciberseguridad. Entre ellos figuraban el marco de seguridad del CIS, el PCI DSS, el Top 10 de OWASP, el MISRA C, la ISO/IEC y la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), entre otros.
Así que sí, capacitese en esos marcos, pero comprenda que marcar una casilla en la capacitación sobre cumplimiento no equivale a proporcionar una base para la creación continua de código seguro.
En su lugar, considera la formación sobre cumplimiento como parte de una oportunidad continua para ampliar las habilidades de codificación segura de tu desarrollador, que pueden repetirse fuera del ciclo de cumplimiento, de modo que puedan crear y publicar software seguro todos los días. Cambie la prioridad de lograr el cumplimiento a permitir que los equipos de desarrollo codifiquen de forma segura mediante un aprendizaje continuo. Al invertir tiempo y recursos en capacitar a los desarrolladores, los ejercicios o exámenes anuales de cumplimiento de las casillas serán muy fáciles de aprobar y completar para su personal, a la vez que se beneficiarán de una mejora de la productividad en general.
¿Cómo puede hacer el cambio a una seguridad impulsada por los desarrolladores?
La abrumadora mayoría de los desarrolladores dijeron que la formación era valiosa, pero se mostraron en desacuerdo con el tipo de formación que han recibido en relación con la codificación segura a lo largo de los años. Los desarrolladores dijeron que querían que se hiciera más hincapié en la formación práctica utilizando ejemplos del mundo real que fueran relevantes para su trabajo (un 30%). El 26% de los encuestados también consideró fundamental una mayor interactividad, especialmente si podían practicar la escritura de código seguro como parte de esos ejercicios.
El 23% de los desarrolladores encuestados consideró importante el deseo de recibir una formación más guiada centrada en las vulnerabilidades específicas que tenían más probabilidades de encontrar en su industria o sector, mientras que el 22% quería ver más ejemplos de vulnerabilidades del mundo real en sus cursos de formación.
Está claro que el simple hecho de ofrecer una formación estática y no interactiva (que suele ser la experiencia de la formación sobre cumplimiento) tiene poco valor en términos de habilidades de seguridad repetibles para los desarrolladores. Por el contrario, las organizaciones deberían centrarse en cosas como la formación puntual, en la que los desarrolladores aprenden sobre la seguridad mientras trabajan. Incluso podrías considerar la posibilidad de implementar un programa de aprendizaje por niveles.
Con un enfoque escalonado, los temas más amplios generalmente se dividen en experiencias o conceptos de aprendizaje discretos. A medida que los desarrolladores progresan, los conceptos más avanzados se superponen a los que ya dominan, del mismo modo que se construyen andamios físicos a medida que un edificio crece. Esto lo convierte en un método probado para enseñar un tema difícil y en constante evolución, como la ciberseguridad, dividiéndolo primero en partes más pequeñas y menos complejas y, después, creando más complejidad sobre esa base.
Independientemente de cómo decida abordar su programa de habilidades de seguridad para desarrolladores, la clave será mantenerlo separado de los ejercicios de cumplimiento. Tanto la formación en materia de cumplimiento como la de seguridad son importantes y ambas requieren enfoques diferentes para lograr el éxito.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software.
Libro blanco: El enfoque preventivo de los desarrolladores para la seguridad del software.
Informe: El estado de la seguridad impulsada por los desarrolladores.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Cet article a été écrit par Secure Code Warrior L'équipe d'experts du secteur de s'engage à fournir aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie des pratiques de codage sécurisé, des tendances du secteur et des connaissances du monde réel.
Hoy en día, casi todos los equipos de desarrolladores emplean algún tipo de formación sobre cumplimiento, ya sea como parte de un proceso de certificación inicial que se utiliza para garantizar que una empresa se mantenga dentro de los límites de los marcos industriales o las regulaciones gubernamentales, o como parte de un requisito o revisión anual. Es un paso importante, porque si una organización no puede cumplir con los requisitos básicos de cumplimiento, sus trabajadores no pueden desempeñar sus funciones de manera realista.
Las reglas de cumplimiento existen por una razón, porque cualquier persona que trabaje en el campo que cubren esas reglas debe tener al menos un conocimiento fundamental de todos los procesos y procedimientos relevantes, así como de cualquier ley aplicable.
Si bien la capacitación en cumplimiento es importante, completar los requisitos mínimos obligatorios no garantiza una verdadera seguridad de las aplicaciones. Esto es especialmente cierto en el caso de los desarrolladores que intentan integrar habilidades de codificación seguras en su flujo de trabajo diario. Casi todos los desarrolladores reciben algún tipo de formación sobre cumplimiento y, sin embargo, cuando son encuestados, El 67% admitió que con frecuencia dejaban vulnerabilidades en su código.
¿Por qué?
Por segundo año consecutivo, Secure Code Warrior llevó a cabo la «Encuesta sobre el estado de la seguridad impulsada por los desarrolladores, 2022" en colaboración con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para comprender las habilidades, las percepciones y los comportamientos en lo que respecta a las prácticas de codificación seguras, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
En cuanto a por qué la capacitación en cumplimiento no logra mejorar la seguridad del software, este es un tema del que hemos estado hablando durante mucho tiempo. La encuesta reciente simplemente pone de relieve este problema.
Por un lado, se pide a los desarrolladores que asuman nuevas funciones al incluir la ciberseguridad en todo el proceso de desarrollo del software, incluso cuando escriben inicialmente el código de las aplicaciones y los programas. Sin embargo, escribir código seguro, o simplemente aprender todo sobre los problemas de ciberseguridad y las vulnerabilidades que podrían afectarlo, no es una tarea fácil. En la encuesta, el 63% de los desarrolladores afirmó que escribir código seguro era una tarea difícil.
La dificultad de escribir código seguro no debería sorprendernos. Hay una razón por la que tantos puestos de trabajo de ciberseguridad bien remunerados están sin cubrir: según el último recuento, hay más de 3,5 millones de vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. La formación estática sobre cumplimiento normativo o las clases puntuales no pueden mantener el ritmo ni proporcionar el tipo de formación que necesitan los desarrolladores. Puede marcar una casilla en términos de cumplimiento, pero no puede ofrecer garantías reales de seguridad de las aplicaciones a tu organización ni permitir a los desarrolladores escribir código seguro ni adquirir las habilidades necesarias para encontrar y corregir las vulnerabilidades del código.
La capacitación en cumplimiento y seguridad es importante, pero diferente
Las organizaciones deben empezar a darse cuenta y reconocer lo que la formación sobre cumplimiento puede hacer y lo que no. No abandone la formación sobre cumplimiento, especialmente si la exige la ley. Y sobre todo porque (incluso con los métodos de formación actuales) el 92% de los encuestados afirmó que necesitaba al menos algún tipo de formación en cuestiones relacionadas con el cumplimiento o los marcos de seguridad, y el 50% hizo hincapié en la necesidad de una formación importante en materia de cumplimiento.
Los marcos de cumplimiento en los que estaban más interesados en capacitarse incluían aquellos que son específicos de varias industrias, aunque también figuran en la lista varios marcos generales de ciberseguridad. Entre ellos figuraban el marco de seguridad del CIS, el PCI DSS, el Top 10 de OWASP, el MISRA C, la ISO/IEC y la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), entre otros.
Así que sí, capacitese en esos marcos, pero comprenda que marcar una casilla en la capacitación sobre cumplimiento no equivale a proporcionar una base para la creación continua de código seguro.
En su lugar, considera la formación sobre cumplimiento como parte de una oportunidad continua para ampliar las habilidades de codificación segura de tu desarrollador, que pueden repetirse fuera del ciclo de cumplimiento, de modo que puedan crear y publicar software seguro todos los días. Cambie la prioridad de lograr el cumplimiento a permitir que los equipos de desarrollo codifiquen de forma segura mediante un aprendizaje continuo. Al invertir tiempo y recursos en capacitar a los desarrolladores, los ejercicios o exámenes anuales de cumplimiento de las casillas serán muy fáciles de aprobar y completar para su personal, a la vez que se beneficiarán de una mejora de la productividad en general.
¿Cómo puede hacer el cambio a una seguridad impulsada por los desarrolladores?
La abrumadora mayoría de los desarrolladores dijeron que la formación era valiosa, pero se mostraron en desacuerdo con el tipo de formación que han recibido en relación con la codificación segura a lo largo de los años. Los desarrolladores dijeron que querían que se hiciera más hincapié en la formación práctica utilizando ejemplos del mundo real que fueran relevantes para su trabajo (un 30%). El 26% de los encuestados también consideró fundamental una mayor interactividad, especialmente si podían practicar la escritura de código seguro como parte de esos ejercicios.
El 23% de los desarrolladores encuestados consideró importante el deseo de recibir una formación más guiada centrada en las vulnerabilidades específicas que tenían más probabilidades de encontrar en su industria o sector, mientras que el 22% quería ver más ejemplos de vulnerabilidades del mundo real en sus cursos de formación.
Está claro que el simple hecho de ofrecer una formación estática y no interactiva (que suele ser la experiencia de la formación sobre cumplimiento) tiene poco valor en términos de habilidades de seguridad repetibles para los desarrolladores. Por el contrario, las organizaciones deberían centrarse en cosas como la formación puntual, en la que los desarrolladores aprenden sobre la seguridad mientras trabajan. Incluso podrías considerar la posibilidad de implementar un programa de aprendizaje por niveles.
Con un enfoque escalonado, los temas más amplios generalmente se dividen en experiencias o conceptos de aprendizaje discretos. A medida que los desarrolladores progresan, los conceptos más avanzados se superponen a los que ya dominan, del mismo modo que se construyen andamios físicos a medida que un edificio crece. Esto lo convierte en un método probado para enseñar un tema difícil y en constante evolución, como la ciberseguridad, dividiéndolo primero en partes más pequeñas y menos complejas y, después, creando más complejidad sobre esa base.
Independientemente de cómo decida abordar su programa de habilidades de seguridad para desarrolladores, la clave será mantenerlo separado de los ejercicios de cumplimiento. Tanto la formación en materia de cumplimiento como la de seguridad son importantes y ambas requieren enfoques diferentes para lograr el éxito.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software.
Libro blanco: El enfoque preventivo de los desarrolladores para la seguridad del software.
Informe: El estado de la seguridad impulsada por los desarrolladores.
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
