Los desarrolladores profesionales quieren hacer lo correcto, pero en t\u00e9rminos de seguridad, rara vez est\u00e1n preparados para el \u00e9xito. Las organizaciones deben respaldar su mejora con capacitaci\u00f3n e incentivos de precisi\u00f3n si desean un software seguro desde cero.<\/em><\/p>\n El panorama de las amenazas cibern\u00e9ticas se vuelve m\u00e1s complejo cada d\u00eda, y nuestros datos son ampliamente considerados como “oro digital” altamente deseable. Los atacantes escanean constantemente las redes en busca de aplicaciones, programas e instancias en la nube vulnerables, y la \u00faltima novedad del mes son las API, con Gartner. predecir correctamente<\/a> que se convertir\u00edan en el vector de ataque m\u00e1s com\u00fan en 2022, y eso se debe en gran parte a sus controles de seguridad a menudo laxos. <\/p>\n Los actores de amenazas son tan persistentes que, a veces, las nuevas aplicaciones pueden verse comprometidas y explotadas a las pocas horas de su implementaci\u00f3n. los Informe de investigaciones de violaci\u00f3n de datos de Verizon 2022<\/a> revela que los errores y las configuraciones incorrectas fueron la causa del 13 % de las infracciones, siendo el elemento humano responsable en general del 82 % de los 23\u00a0000 incidentes analizados.<\/p>\n Se est\u00e1 volviendo muy claro que la \u00fanica forma de fortalecer verdaderamente el software que se est\u00e1 creando es asegurarse de que est\u00e9 construido sobre un c\u00f3digo seguro. En otras palabras, la mejor manera de detener la invasi\u00f3n de los actores de amenazas es negarles un punto de apoyo en su software en primer lugar. Los ciberdelincuentes tienen una clara ventaja frente a las organizaciones que se esfuerzan por defender su superficie de ataque, a menudo amplia, y cualquier ventana de oportunidad que se pueda cerrar definitivamente reduce significativamente el riesgo.<\/p>\n El statu quo actual para los desarrolladores en muchas organizaciones es tal que su funci\u00f3n principal es crear caracter\u00edsticas incre\u00edbles e implementar software a gran velocidad. Cuanto m\u00e1s r\u00e1pido puedan codificar e implementar los desarrolladores, m\u00e1s valiosos tienden a ser vistos en t\u00e9rminos de sus revisiones de rendimiento.<\/p>\n La seguridad puede ser una idea de \u00faltimo momento, si es que se tiene en cuenta, y brilla por su ausencia como medida del \u00e9xito del desarrollador. los Encuesta sobre el estado de la seguridad impulsada por los desarrolladores de 2022<\/a> junto con Evans Data respalda esta perspectiva, ya que el 86 % de los desarrolladores encuestados revelaron que no ven la seguridad de las aplicaciones como una prioridad principal. En cambio, gran parte de eso se deja a los equipos de seguridad de aplicaciones (AppSec) para que lo averig\u00fcen. Los equipos de AppSec tienden a ser una fuente de frustraci\u00f3n para la mayor\u00eda de los desarrolladores, porque a menudo env\u00edan las aplicaciones completas nuevamente al desarrollo para aplicar parches de seguridad o reescribir el c\u00f3digo para remediar las vulnerabilidades. Y cada hora que un desarrollador pasaba trabajando en una aplicaci\u00f3n que ya estaba “terminada” era una hora en la que no creaba nuevas aplicaciones y funciones, lo que disminu\u00eda su rendimiento (y su valor, a los ojos de una empresa particularmente punitiva).<\/p>\n Sin embargo, el entorno de amenazas moderno ha obligado a todos, desde las empresas hasta los departamentos gubernamentales, a repensar la importancia y la priorizaci\u00f3n de la seguridad, y estar\u00edan bien ubicados para considerar c\u00f3mo la cohorte de desarrollo encaja en un enfoque defensivo. Seg\u00fan el reciente 2022 Costo de un informe de violaci\u00f3n de datos<\/a> de IBM y Ponemon Institute, la brecha de seguridad cibern\u00e9tica promedio ahora cuesta alrededor de $ 4.24 millones por incidente, aunque ese no es el l\u00edmite superior. Las empresas de hoy quieren la seguridad que ofrece DevSecOps, pero, lamentablemente, han tardado en recompensar a los desarrolladores que responden a esa llamada.<\/p>\n Simplemente decirles a los equipos de desarrollo que consideren la seguridad no funcionar\u00e1, especialmente si todav\u00eda est\u00e1n siendo incentivados bas\u00e1ndose \u00fanicamente en la velocidad. De hecho, dentro de un sistema de este tipo, los desarrolladores que se toman el tiempo para aprender sobre seguridad y proteger su c\u00f3digo podr\u00edan estar perdiendo mejores revisiones de rendimiento y bonificaciones lucrativas que sus colegas menos conscientes de la seguridad contin\u00faan ganando. Es casi como si las empresas estuvieran manipulando el sistema sin darse cuenta de sus propias deficiencias de seguridad, y se trata de su percepci\u00f3n del equipo de desarrollo. Si no los ven como la primera l\u00ednea de seguridad, entonces es muy poco probable que un plan viable para utilizar su fuerza laboral llegue a buen t\u00e9rmino.<\/p>\n Y esto ni siquiera tiene en cuenta la falta de formaci\u00f3n. Algunos desarrolladores muy h\u00e1biles tienen d\u00e9cadas de experiencia en codificaci\u00f3n, pero muy poca cuando se trata de seguridad… despu\u00e9s de todo, nunca se les exigi\u00f3, ni una medida de \u00e9xito o trabajo de calidad. A menos que una empresa proporcione un buen programa de capacitaci\u00f3n, dif\u00edcilmente puede esperar que sus desarrolladores adquieran repentinamente nuevas habilidades y las pongan en pr\u00e1ctica de una manera significativa que reduzca activamente las vulnerabilidades.<\/p>\n (\u00bfQuiere competir contra otros desarrolladores de \u00e9lite de todo el mundo o nominar a su propio equipo de desarrollo de superestrellas de la seguridad? Unirse <\/em><\/strong>Guerrero del c\u00f3digo seguro<\/em><\/strong><\/a>‘s <\/em><\/strong>Juegos Ol\u00edmpicos de Desarrollo 2022<\/em><\/strong><\/a>nuestro mayor y mejor torneo mundial de codificaci\u00f3n segura, \u00a1y podr\u00edas ganar a lo grande!)<\/em><\/strong><\/p>\n La buena noticia es que la gran mayor\u00eda de los desarrolladores hacen su trabajo porque lo encuentran desafiante y gratificante, y porque disfrutan del respeto que implica su puesto. Ingeniero de software de toda la vida Michael Shpilt recientemente escribi\u00f3 sobre<\/a> todas las cosas que lo motivan a \u00e9l y a sus colegas en su trabajo de desarrollo. S\u00ed, enumera la compensaci\u00f3n monetaria entre esos incentivos, pero sorprendentemente est\u00e1 muy abajo en la lista. En cambio, prioriza la emoci\u00f3n de crear algo nuevo, el desarrollo de habilidades y la satisfacci\u00f3n de saber que su trabajo se utilizar\u00e1 directamente para ayudar a otros. Tambi\u00e9n habla de querer sentirse valorado dentro de su empresa y comunidad. En resumen, los desarrolladores no son diferentes a muchas buenas personas que se enorgullecen de su trabajo.<\/p>\n Los desarrolladores como Shpilt no quieren que los actores de amenazas comprometan su c\u00f3digo y lo usen para da\u00f1ar a su empresa o a los mismos usuarios a los que intentan ayudar. Pero no pueden cambiar repentinamente sus prioridades a la seguridad sin apoyo. <\/p>\n Para ayudar a los equipos de desarrollo a mejorar su destreza en ciberseguridad, primero se les debe ense\u00f1ar las habilidades necesarias. El uso de un enfoque escalonado para el aprendizaje, as\u00ed como herramientas dise\u00f1adas espec\u00edficamente para integrarse sin problemas en su flujo de trabajo real, puede hacer que este proceso sea mucho menos doloroso y ayudar a desarrollar el conocimiento existente en el contexto adecuado. <\/p>\n Con el compromiso de mejorar las habilidades, es necesario eliminar los m\u00e9todos antiguos de evaluar a los desarrolladores basados \u200b\u200b\u00fanicamente en la velocidad. En cambio, los desarrolladores deben ser recompensados \u200b\u200ben funci\u00f3n de su capacidad para crear patrones de codificaci\u00f3n buenos y seguros, y los mejores candidatos se convierten en campeones de seguridad<\/a> que ayudan al resto del equipo a mejorar sus habilidades. Y esos campeones deben ser recompensados \u200b\u200btanto con el prestigio de la empresa como con una compensaci\u00f3n monetaria. Tambi\u00e9n es importante recordar que los desarrolladores no suelen tener una experiencia positiva con la seguridad, y animarlos con aprendizaje e incentivos positivos y divertidos que hablen de sus intereses contribuir\u00e1 en gran medida a garantizar tanto la retenci\u00f3n del conocimiento como el deseo de seguir desarrollando habilidades. .<\/p>\n (\u00bfQuiere competir contra otros desarrolladores de \u00e9lite de todo el mundo o nominar a su propio equipo de desarrollo de superestrellas de la seguridad? Unirse <\/em><\/strong>Guerrero del c\u00f3digo seguro<\/em><\/strong><\/a>‘s <\/em><\/strong>Juegos Ol\u00edmpicos de Desarrollo 2022<\/em><\/strong><\/a>\u00a1y podr\u00edas llevarte un gran premio en efectivo en nuestros torneos globales!)<\/em><\/strong><\/p>\n <\/p>\n<\/div>\nHacemos que sea dif\u00edcil que brillen las estrellas de la seguridad<\/strong><\/h2>\n
Recompensar a los desarrolladores por las buenas pr\u00e1cticas de seguridad<\/strong><\/h2>\n