Los desarrolladores profesionales quieren hacer lo correcto, pero en términos de seguridad, rara vez están preparados para el éxito. Las organizaciones deben respaldar su mejora con capacitación e incentivos de precisión si desean un software seguro desde cero.
El panorama de las amenazas cibernéticas se vuelve más complejo cada día, y nuestros datos son ampliamente considerados como «oro digital» altamente deseable. Los atacantes escanean constantemente las redes en busca de aplicaciones, programas e instancias en la nube vulnerables, y la última novedad del mes son las API, con Gartner. predecir correctamente que se convertirían en el vector de ataque más común en 2022, y eso se debe en gran parte a sus controles de seguridad a menudo laxos.
Los actores de amenazas son tan persistentes que, a veces, las nuevas aplicaciones pueden verse comprometidas y explotadas a las pocas horas de su implementación. los Informe de investigaciones de violación de datos de Verizon 2022 revela que los errores y las configuraciones incorrectas fueron la causa del 13 % de las infracciones, siendo el elemento humano responsable en general del 82 % de los 23 000 incidentes analizados.
Se está volviendo muy claro que la única forma de fortalecer verdaderamente el software que se está creando es asegurarse de que esté construido sobre un código seguro. En otras palabras, la mejor manera de detener la invasión de los actores de amenazas es negarles un punto de apoyo en su software en primer lugar. Los ciberdelincuentes tienen una clara ventaja frente a las organizaciones que se esfuerzan por defender su superficie de ataque, a menudo amplia, y cualquier ventana de oportunidad que se pueda cerrar definitivamente reduce significativamente el riesgo.
Hacemos que sea difícil que brillen las estrellas de la seguridad
El statu quo actual para los desarrolladores en muchas organizaciones es tal que su función principal es crear características increíbles e implementar software a gran velocidad. Cuanto más rápido puedan codificar e implementar los desarrolladores, más valiosos tienden a ser vistos en términos de sus revisiones de rendimiento.
La seguridad puede ser una idea de último momento, si es que se tiene en cuenta, y brilla por su ausencia como medida del éxito del desarrollador. los Encuesta sobre el estado de la seguridad impulsada por los desarrolladores de 2022 junto con Evans Data respalda esta perspectiva, ya que el 86 % de los desarrolladores encuestados revelaron que no ven la seguridad de las aplicaciones como una prioridad principal. En cambio, gran parte de eso se deja a los equipos de seguridad de aplicaciones (AppSec) para que lo averigüen. Los equipos de AppSec tienden a ser una fuente de frustración para la mayoría de los desarrolladores, porque a menudo envían las aplicaciones completas nuevamente al desarrollo para aplicar parches de seguridad o reescribir el código para remediar las vulnerabilidades. Y cada hora que un desarrollador pasaba trabajando en una aplicación que ya estaba «terminada» era una hora en la que no creaba nuevas aplicaciones y funciones, lo que disminuía su rendimiento (y su valor, a los ojos de una empresa particularmente punitiva).
Sin embargo, el entorno de amenazas moderno ha obligado a todos, desde las empresas hasta los departamentos gubernamentales, a repensar la importancia y la priorización de la seguridad, y estarían bien ubicados para considerar cómo la cohorte de desarrollo encaja en un enfoque defensivo. Según el reciente 2022 Costo de un informe de violación de datos de IBM y Ponemon Institute, la brecha de seguridad cibernética promedio ahora cuesta alrededor de $ 4.24 millones por incidente, aunque ese no es el límite superior. Las empresas de hoy quieren la seguridad que ofrece DevSecOps, pero, lamentablemente, han tardado en recompensar a los desarrolladores que responden a esa llamada.
Simplemente decirles a los equipos de desarrollo que consideren la seguridad no funcionará, especialmente si todavía están siendo incentivados basándose únicamente en la velocidad. De hecho, dentro de un sistema de este tipo, los desarrolladores que se toman el tiempo para aprender sobre seguridad y proteger su código podrían estar perdiendo mejores revisiones de rendimiento y bonificaciones lucrativas que sus colegas menos conscientes de la seguridad continúan ganando. Es casi como si las empresas estuvieran manipulando el sistema sin darse cuenta de sus propias deficiencias de seguridad, y se trata de su percepción del equipo de desarrollo. Si no los ven como la primera línea de seguridad, entonces es muy poco probable que un plan viable para utilizar su fuerza laboral llegue a buen término.
Y esto ni siquiera tiene en cuenta la falta de formación. Algunos desarrolladores muy hábiles tienen décadas de experiencia en codificación, pero muy poca cuando se trata de seguridad… después de todo, nunca se les exigió, ni una medida de éxito o trabajo de calidad. A menos que una empresa proporcione un buen programa de capacitación, difícilmente puede esperar que sus desarrolladores adquieran repentinamente nuevas habilidades y las pongan en práctica de una manera significativa que reduzca activamente las vulnerabilidades.
(¿Quiere competir contra otros desarrolladores de élite de todo el mundo o nominar a su propio equipo de desarrollo de superestrellas de la seguridad? Unirse Guerrero del código seguro‘s Juegos Olímpicos de Desarrollo 2022nuestro mayor y mejor torneo mundial de codificación segura, ¡y podrías ganar a lo grande!)
Recompensar a los desarrolladores por las buenas prácticas de seguridad
La buena noticia es que la gran mayoría de los desarrolladores hacen su trabajo porque lo encuentran desafiante y gratificante, y porque disfrutan del respeto que implica su puesto. Ingeniero de software de toda la vida Michael Shpilt recientemente escribió sobre todas las cosas que lo motivan a él y a sus colegas en su trabajo de desarrollo. Sí, enumera la compensación monetaria entre esos incentivos, pero sorprendentemente está muy abajo en la lista. En cambio, prioriza la emoción de crear algo nuevo, el desarrollo de habilidades y la satisfacción de saber que su trabajo se utilizará directamente para ayudar a otros. También habla de querer sentirse valorado dentro de su empresa y comunidad. En resumen, los desarrolladores no son diferentes a muchas buenas personas que se enorgullecen de su trabajo.
Los desarrolladores como Shpilt no quieren que los actores de amenazas comprometan su código y lo usen para dañar a su empresa o a los mismos usuarios a los que intentan ayudar. Pero no pueden cambiar repentinamente sus prioridades a la seguridad sin apoyo.
Para ayudar a los equipos de desarrollo a mejorar su destreza en ciberseguridad, primero se les debe enseñar las habilidades necesarias. El uso de un enfoque escalonado para el aprendizaje, así como herramientas diseñadas específicamente para integrarse sin problemas en su flujo de trabajo real, puede hacer que este proceso sea mucho menos doloroso y ayudar a desarrollar el conocimiento existente en el contexto adecuado.
Con el compromiso de mejorar las habilidades, es necesario eliminar los métodos antiguos de evaluar a los desarrolladores basados únicamente en la velocidad. En cambio, los desarrolladores deben ser recompensados en función de su capacidad para crear patrones de codificación buenos y seguros, y los mejores candidatos se convierten en campeones de seguridad que ayudan al resto del equipo a mejorar sus habilidades. Y esos campeones deben ser recompensados tanto con el prestigio de la empresa como con una compensación monetaria. También es importante recordar que los desarrolladores no suelen tener una experiencia positiva con la seguridad, y animarlos con aprendizaje e incentivos positivos y divertidos que hablen de sus intereses contribuirá en gran medida a garantizar tanto la retención del conocimiento como el deseo de seguir desarrollando habilidades. .
(¿Quiere competir contra otros desarrolladores de élite de todo el mundo o nominar a su propio equipo de desarrollo de superestrellas de la seguridad? Unirse Guerrero del código seguro‘s Juegos Olímpicos de Desarrollo 2022¡y podrías llevarte un gran premio en efectivo en nuestros torneos globales!)