Los desarrolladores profesionales quieren adoptar DevSecOps y escribir código seguro, pero si quieren que sus esfuerzos crezcan, sus organizaciones deben apoyar este cambio.

El entorno de las amenazas cibernéticas se vuelve más complejo día a día. Los atacantes escanean constantemente las redes en busca de vulnerabilidades, programas, instancias en la nube, y la última variante del mes son las API, que generalmente se consideran una victoria fácil debido a sus controles de seguridad a menudo laxos.

Son tan persistentes que, en ocasiones, las nuevas aplicaciones pueden verse comprometidas y explotadas a las pocas horas de su implementación. El Informe de investigaciones de violación de datos de Verizon 2021 deja muy claro que las amenazas a las empresas y organizaciones son más peligrosas hoy que en cualquier otro momento de la historia.

Cada vez es más claro que la única forma de fortalecer realmente el software que se está creando es asegurarse de que esté construido sobre un código seguro. En otras palabras, la mejor manera de detener la invasión de amenazas es negarles el soporte en sus aplicaciones. Una vez que comienzas a luchar en esta guerra, la mayoría de los beneficios se desvían hacia los invasores.

Esta situación dio origen primero al desarrollo ágil y DevOps, y luego a todo el movimiento DevSecOps, donde la seguridad es una responsabilidad compartida de todos los involucrados en el proceso de desarrollo de software desde el desarrollo hasta la implementación. Pero la base de esta pirámide y probablemente la parte más importante son los desarrolladores. Si bien la mayoría de los desarrolladores quieren hacer su parte y escribir código seguro, muchas organizaciones para las que trabajan no apoyan los cambios que requiere un cambio tan significativo en las prioridades.

Derrota según el diseño.

Durante muchos años, a los desarrolladores se les ha dicho que su función principal en sus organizaciones es crear e implementar rápidamente aplicaciones en un entorno que cambia rápidamente, donde el negocio nunca se detiene y los clientes nunca duermen. Cuanto más rápido codificaban los desarrolladores y más funciones podían implementar, más valiosos eran en términos de evaluación del rendimiento.

La seguridad era una idea adicional, en todo caso. En cambio, todo quedó en manos de los equipos de seguridad de aplicaciones (AppSec) para averiguarlo. A los equipos de AppSec no les agradaba la mayoría de los desarrolladores porque a menudo enviaban las aplicaciones completas nuevamente al desarrollo para aplicar parches de seguridad o reescribir el código para corregir vulnerabilidades. Y cada hora que un desarrollador pasaba trabajando en una aplicación que ya estaba «terminada» era una hora en la que no estaba creando nuevas aplicaciones y características, reduciendo su rendimiento (y su valor a los ojos de una empresa particularmente castigada).

Y luego, el entorno de amenazas cambió la importancia y la prioridad de la seguridad para la mayoría de las empresas. Según un informe reciente sobre el costo de una violación de datos de IBM y Ponemon Institute, la violación de seguridad cibernética promedio ahora cuesta alrededor de $ 3.8 millones por incidente, aunque es apenas el límite superior. Solo una empresa incurrió en $ 1.3 mil millones en pérdidas después de interrumpir su red. Las empresas de hoy quieren la seguridad que ofrece DevSecOps, pero lamentablemente han tardado en recompensar a los desarrolladores que han respondido a esta llamada.

Simplemente decirles a los equipos de desarrollo que consideren la seguridad no funcionará, especialmente si todavía están motivados únicamente por la velocidad. De hecho, en un sistema de este tipo, los desarrolladores que se toman el tiempo para aprender sobre seguridad y asegurar su código pueden perder las mejores calificaciones de rendimiento y las bonificaciones lucrativas que sus colegas no conscientes de la seguridad continúan recibiendo. Es casi como si las empresas estuvieran modificando el sistema sin saberlo debido a sus propias fallas de seguridad, y el equipo de desarrollo vuelve a percibirlo. Si no los ven como la primera línea de seguridad, es muy poco probable que se materialice un plan viable para utilizar su fuerza laboral.

Y eso ni siquiera tiene en cuenta la falta de formación. Algunos desarrolladores muy experimentados tienen décadas de experiencia en codificación, pero muy poca en términos de seguridad… después de todo, nunca se les pidió que lo hicieran. A menos que una empresa proporcione a sus programadores experimentados un buen programa de capacitación, difícilmente puede esperar que sus desarrolladores adquieran repentinamente nuevas habilidades y las pongan en práctica de una manera significativa que reduzca activamente las vulnerabilidades.

(¿Ya estás seguro de la seguridad y quieres competir con otras estrellas en codificación segura? Entrar Guerrero del código seguro‘con Desviada 2021, nuestro mayor y mejor torneo de seguridad global y puedes ganar mucho!)

Recompensar a los desarrolladores por las buenas prácticas de seguridad

La buena noticia es que la gran mayoría de los desarrolladores hacen su trabajo porque lo encuentran desafiante y gratificante, y porque disfrutan del respeto que les brinda su puesto.

El codificador profesional de toda la vida, Michael Shpilt, escribió recientemente sobre todas las cosas que lo motivan a él y a sus colegas de codificación en su trabajo de desarrollo. Sí, hay compensaciones monetarias entre esos incentivos, pero sorprendentemente está lejos de la lista. En cambio, prioriza la emoción de crear algo nuevo, aprender nuevas habilidades y la satisfacción de saber que su trabajo se utilizará directamente para ayudar a otros. También habla sobre cómo quiere sentirse valorado dentro de su sociedad y comunidad. En resumen, los desarrolladores son como mucha gente buena que está orgullosa de su trabajo.

Los desarrolladores como Shpilt y otros no quieren que los actores vulnerables comprometan su código y lo usen para dañar a su empresa o a los usuarios a los que intentan ayudar. Sin embargo, no pueden cambiar repentinamente sus prioridades hacia la seguridad sin apoyo. De lo contrario, casi parece que el sistema funcionará en su contra.

Para que los equipos de desarrollo mejoren sus capacidades de ciberseguridad, primero deben aprender las habilidades necesarias. El uso de aprendizaje andamiado y herramientas como la capacitación Just-in-Time (JiT) puede hacer que este proceso sea mucho menos doloroso y ayudar a construir sobre el conocimiento existente en el contexto adecuado.

El principio de JiT es que los desarrolladores reciben el conocimiento correcto en el momento adecuado, por ejemplo, si una herramienta de capacitación para desarrolladores de JiT descubre que un programador está creando un código inseguro o introduce aleatoriamente una vulnerabilidad en su aplicación, los desarrolladores pueden activar y mostrar cómo podrían resolver y cómo escribir un código más seguro para realizar la misma función en el futuro.

Con un compromiso con el desarrollo de habilidades, es necesario eliminar los métodos antiguos de evaluar a los desarrolladores basados ​​solo en la velocidad. En cambio, los codificadores deben ser recompensados ​​por su capacidad para generar código seguro, y los mejores desarrolladores se convierten en campeones de seguridad que ayudan al resto del equipo a mejorar sus habilidades. Y estos campeones deben ser recompensados ​​con prestigio corporativo y compensación monetaria. También es importante darse cuenta de que los desarrolladores generalmente no tienen una experiencia de seguridad positiva, e invitarlos con un aprendizaje positivo y divertido e incentivos que hablen de sus intereses será un largo camino para garantizar tanto la retención del conocimiento como el deseo de mantener las habilidades. .

Las empresas aún pueden incluir la velocidad de codificación como parte de la evaluación de un desarrollador, pero esperan desarrollar aplicaciones seguras un poco más, especialmente a medida que los codificadores aprenden estas nuevas habilidades.

DevSecOps puede ser la defensa perfecta contra la magia oscura de un entorno de amenazas cada vez más peligroso. Solo recuerde que los campeones de este nuevo mundo, los desarrolladores que constantemente crean código nuevo, deben ser respetados y recompensados ​​por su trabajo.

¿Quiere probar sus habilidades de seguridad contra otros desarrolladores de todo el mundo? Cheque Guerrero del código seguro‘con Desviada 2021¡y puedes ganar el primer premio en nuestros torneos globales!