Cambie a la izquierda (y logre el cumplimiento) con habilidades de codificación segura y repetibles

Hoy en día, casi todos los equipos de desarrolladores emplean algún tipo de formación sobre cumplimiento, ya sea como parte de un proceso de certificación inicial que se utiliza para garantizar que una empresa se mantenga dentro de los límites de los marcos industriales o las regulaciones gubernamentales, o como parte de un requisito o revisión anual. Es un paso importante, porque si una organización no puede cumplir con los requisitos básicos de cumplimiento, sus trabajadores no pueden desempeñar sus funciones de manera realista.

Las reglas de cumplimiento existen por una razón, porque cualquier persona que trabaje en el campo que cubren esas reglas debe tener al menos un conocimiento fundamental de todos los procesos y procedimientos relevantes, así como de cualquier ley aplicable.

Si bien la capacitación en cumplimiento es importante, completar los requisitos mínimos obligatorios no garantiza una verdadera seguridad de las aplicaciones. Esto es especialmente cierto en el caso de los desarrolladores que intentan integrar habilidades de codificación seguras en su flujo de trabajo diario. Casi todos los desarrolladores reciben algún tipo de formación sobre cumplimiento y, sin embargo, cuando son encuestados, El 67% admitió que con frecuencia dejaban vulnerabilidades en su código.

¿Por qué?

Por segundo año consecutivo, Secure Code Warrior llevó a cabo la «Encuesta sobre el estado de la seguridad impulsada por los desarrolladores, 2022" en colaboración con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para comprender las habilidades, las percepciones y los comportamientos en lo que respecta a las prácticas de codificación seguras, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).

En cuanto a por qué la capacitación en cumplimiento no logra mejorar la seguridad del software, este es un tema del que hemos estado hablando durante mucho tiempo. La encuesta reciente simplemente pone de relieve este problema.

Por un lado, se pide a los desarrolladores que asuman nuevas funciones al incluir la ciberseguridad en todo el proceso de desarrollo del software, incluso cuando escriben inicialmente el código de las aplicaciones y los programas. Sin embargo, escribir código seguro, o simplemente aprender todo sobre los problemas de ciberseguridad y las vulnerabilidades que podrían afectarlo, no es una tarea fácil. En la encuesta, el 63% de los desarrolladores afirmó que escribir código seguro era una tarea difícil.

La dificultad de escribir código seguro no debería sorprendernos. Hay una razón por la que tantos puestos de trabajo de ciberseguridad bien remunerados están sin cubrir: según el último recuento, hay más de 3,5 millones de vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. La formación estática sobre cumplimiento normativo o las clases puntuales no pueden mantener el ritmo ni proporcionar el tipo de formación que necesitan los desarrolladores. Puede marcar una casilla en términos de cumplimiento, pero no puede ofrecer garantías reales de seguridad de las aplicaciones a tu organización ni permitir a los desarrolladores escribir código seguro ni adquirir las habilidades necesarias para encontrar y corregir las vulnerabilidades del código.

La capacitación en cumplimiento y seguridad es importante, pero diferente

Las organizaciones deben empezar a darse cuenta y reconocer lo que la formación sobre cumplimiento puede hacer y lo que no. No abandone la formación sobre cumplimiento, especialmente si la exige la ley. Y sobre todo porque (incluso con los métodos de formación actuales) el 92% de los encuestados afirmó que necesitaba al menos algún tipo de formación en cuestiones relacionadas con el cumplimiento o los marcos de seguridad, y el 50% hizo hincapié en la necesidad de una formación importante en materia de cumplimiento.

Los marcos de cumplimiento en los que estaban más interesados en capacitarse incluían aquellos que son específicos de varias industrias, aunque también figuran en la lista varios marcos generales de ciberseguridad. Entre ellos figuraban el marco de seguridad del CIS, el PCI DSS, el Top 10 de OWASP, el MISRA C, la ISO/IEC y la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), entre otros.

Así que sí, capacitese en esos marcos, pero comprenda que marcar una casilla en la capacitación sobre cumplimiento no equivale a proporcionar una base para la creación continua de código seguro.

En su lugar, considera la formación sobre cumplimiento como parte de una oportunidad continua para ampliar las habilidades de codificación segura de tu desarrollador, que pueden repetirse fuera del ciclo de cumplimiento, de modo que puedan crear y publicar software seguro todos los días. Cambie la prioridad de lograr el cumplimiento a permitir que los equipos de desarrollo codifiquen de forma segura mediante un aprendizaje continuo. Al invertir tiempo y recursos en capacitar a los desarrolladores, los ejercicios o exámenes anuales de cumplimiento de las casillas serán muy fáciles de aprobar y completar para su personal, a la vez que se beneficiarán de una mejora de la productividad en general.

¿Cómo puede hacer el cambio a una seguridad impulsada por los desarrolladores?

La abrumadora mayoría de los desarrolladores dijeron que la formación era valiosa, pero se mostraron en desacuerdo con el tipo de formación que han recibido en relación con la codificación segura a lo largo de los años. Los desarrolladores dijeron que querían que se hiciera más hincapié en la formación práctica utilizando ejemplos del mundo real que fueran relevantes para su trabajo (un 30%). El 26% de los encuestados también consideró fundamental una mayor interactividad, especialmente si podían practicar la escritura de código seguro como parte de esos ejercicios.

El 23% de los desarrolladores encuestados consideró importante el deseo de recibir una formación más guiada centrada en las vulnerabilidades específicas que tenían más probabilidades de encontrar en su industria o sector, mientras que el 22% quería ver más ejemplos de vulnerabilidades del mundo real en sus cursos de formación.

Está claro que el simple hecho de ofrecer una formación estática y no interactiva (que suele ser la experiencia de la formación sobre cumplimiento) tiene poco valor en términos de habilidades de seguridad repetibles para los desarrolladores. Por el contrario, las organizaciones deberían centrarse en cosas como la formación puntual, en la que los desarrolladores aprenden sobre la seguridad mientras trabajan. Incluso podrías considerar la posibilidad de implementar un programa de aprendizaje por niveles.

Con un enfoque escalonado, los temas más amplios generalmente se dividen en experiencias o conceptos de aprendizaje discretos. A medida que los desarrolladores progresan, los conceptos más avanzados se superponen a los que ya dominan, del mismo modo que se construyen andamios físicos a medida que un edificio crece. Esto lo convierte en un método probado para enseñar un tema difícil y en constante evolución, como la ciberseguridad, dividiéndolo primero en partes más pequeñas y menos complejas y, después, creando más complejidad sobre esa base.

Independientemente de cómo decida abordar su programa de habilidades de seguridad para desarrolladores, la clave será mantenerlo separado de los ejercicios de cumplimiento. Tanto la formación en materia de cumplimiento como la de seguridad son importantes y ambas requieren enfoques diferentes para lograr el éxito.

Para leer más

Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software.

Libro blanco: El enfoque preventivo de los desarrolladores para la seguridad del software.

Informe: El estado de la seguridad impulsada por los desarrolladores.