Las organizaciones no conocen las habilidades de seguridad de sus ingenieros de software porque no las evalúan en el proceso de entrevistas. Intentar hacerlo en una entrevista es un desafío, por supuesto, dado el tiempo que lleva una evaluación adecuada.

Sin embargo, dada la tendencia de la industria a adoptar un enfoque más radical, no es suficiente (ni para el desarrollador ni para la organización) considerar la seguridad como una habilidad que se puede enseñar y seguir adelante con los mismos procesos. Si se cuentan con las herramientas adecuadas, los desarrolladores de todos los niveles pueden adquirir conocimientos acelerados sobre ciberseguridad tan pronto como se incorporen.

Progreso en la seguridad del código

Primero, establezcamos los pasos para que los ingenieros avancen en la seguridad del código. Estos son los cinco niveles de competencia que utilizaremos como punto de referencia:

  • Comprender el riesgo y las consecuencias: saber por qué una vulnerabilidad es un problema, sus ramificaciones y sus efectos en cascada.
  • Creación de código seguro sin vulnerabilidades: la capacidad de escribir y enviar código limpio
  • Capacidad de sensibilizar o crear conciencia: la capacidad de la persona para llamar la atención dentro de su equipo a través del énfasis y la educación.
  • Definir/liderar procesos y estrategias de seguridad: la capacidad de conceptualizar e implementar programas de ciberseguridad a nivel departamental.
  • Coach: la capacidad de inculcar una cultura de seguridad desde el nivel organizacional hasta el empleado individual.

Estos niveles presentan una medida clara de la efectividad de la seguridad y una evidencia tangible de la propia progresión del conocimiento de seguridad de un desarrollador.

Donde estamos

Excepto las empresas más grandes y maduras, no todas incorporan la competencia en ciberseguridad a la escala profesional. La ciberseguridad suele considerarse una habilidad que se puede adquirir y, como tal, no es una habilidad que los desarrolladores deban tener; por lo tanto, primero debemos establecer en qué punto de esa progresión se encuentran los equipos de ingeniería en la actualidad. La siguiente matriz muestra dónde se encuentra la industria, con los puestos agrupados en cuatro categorías.

Progreso actual de la seguridad del código del desarrollador

Ciberseguridad para desarrolladores

Con herramientas de detección y remediación que trivializan la seguridad del código en los mismos entornos en los que se entrenaron, no es descabellado pensar que los ingenieros jóvenes podrían mantener la capacidad de realizar esta tarea básica y, al mismo tiempo, mantener una comprensión de los riesgos y las consecuencias de las vulnerabilidades que crean a medida que redactan el código.

Para los ingenieros de nivel medio, dada la mayor competencia en seguridad al principio de sus carreras, ahora se puede esperar que sea su responsabilidad exigir seguridad del código a sus ingenieros, incluso antes de que lo revisen los desarrolladores sénior.

Los desarrolladores senior ahora tienen la libertad de asumir la responsabilidad de elegir e implementar tecnología de seguridad para su equipo, además de actuar como entrenadores de seguridad, fomentando esa cultura de seguridad en todo su departamento.

Los líderes tecnológicos ahora tienen todas sus responsabilidades más tácticas a su cargo, mientras que ellos mantienen la supervisión de todo el departamento. Sin embargo, en un cambio extraordinario, ahora pueden adoptar una postura proactiva en materia de ciberseguridad y fortalecer los programas de seguridad de código de sus equipos para las vulnerabilidades más recientes, e incluso buscar reforzar otras partes de la superficie de ataque con las que interactúan los desarrolladores.

Donde podríamos estar

Dado que finalmente se están poniendo a disposición herramientas de ciberseguridad creadas específicamente para desarrolladores, deberíamos ver muy pronto un cambio fascinante en el conocimiento sobre seguridad del código.

El progreso de la seguridad del código del desarrollador tal como podría ser

Ciberseguridad para desarrolladores

Con herramientas de detección y remediación que trivializan la seguridad del código en los mismos entornos en los que se entrenaron, no es descabellado pensar que los ingenieros jóvenes podrían mantener la capacidad de realizar esta tarea básica y, al mismo tiempo, mantener una comprensión de los riesgos y las consecuencias de las vulnerabilidades que crean a medida que redactan el código.

Para los ingenieros de nivel medio, dada la mayor competencia en seguridad al principio de sus carreras, ahora se puede esperar que sea su responsabilidad exigir seguridad del código a sus ingenieros, incluso antes de que lo revisen los desarrolladores sénior.

Los desarrolladores senior ahora tienen la libertad de asumir la responsabilidad de elegir e implementar tecnología de seguridad para su equipo, además de actuar como entrenadores de seguridad, fomentando esa cultura de seguridad en todo su departamento.

Los líderes tecnológicos ahora tienen todas sus responsabilidades más tácticas a su cargo, mientras que ellos mantienen la supervisión de todo el departamento. Sin embargo, en un cambio extraordinario, ahora pueden adoptar una postura proactiva en materia de ciberseguridad y fortalecer los programas de seguridad de código de sus equipos para las vulnerabilidades más recientes, e incluso buscar reforzar otras partes de la superficie de ataque con las que interactúan los desarrolladores.

¿Qué significa todo esto?

Por este esfuerzo, los desarrolladores obtienen un impulso bastante sustancial a su conjunto de habilidades con este conocimiento de seguridad más profundo, lo que puede ser muy valioso dado el estado actual de las cosas para la contratación de profesionales de ciberseguridad con una escasez de talento disponible, crecientes retrasos y crecientes riesgos de ciberseguridad en número y alcance.

Lo más importante es que pueden lograrlo sin sacrificar la productividad: detectar y remediar vulnerabilidades se puede hacer con la misma facilidad con la que el corrector ortográfico encuentra errores ortográficos, y la capacitación puede ser breve y adaptada a lo que están haciendo, todo dentro del entorno de desarrollo integrado (IDE) en el que trabajan todos los días. De hecho, herramientas como estas acelerarán los flujos de trabajo al eliminar casi por completo la necesidad de remediación posterior, lo que permitirá que el ciclo de vida del desarrollo de software (SDLC) fluya más rápidamente.

Además, las organizaciones pueden finalmente lograr la visión de un verdadero cambio hacia la izquierda al integrar la seguridad en cada nivel del SDLC y adoptar la cultura de seguridad que con razón han estado reclamando.

La experiencia en seguridad de nivel medio ahora también se convierte en el mínimo de base para el conocimiento de ciberseguridad dentro de sus equipos de desarrollo, lo que eleva sustancialmente el piso del conocimiento de ciberseguridad y hace que el SDLC sea aún más seguro.

¿Qué viene a continuación?

Para que todo esto suceda, la industria necesita acciones que estén a la altura de la retórica. Si la responsabilidad en materia de ciberseguridad se está desplazando hacia la izquierda y las organizaciones están creando una cultura de seguridad, entonces deben poner a disposición de esos ingenieros las herramientas, la educación y los recursos necesarios para que no solo sobrevivan, sino que prosperen, y esto debe suceder mediante la ampliación y la mejora de los flujos de trabajo existentes de los desarrolladores, no forzando el cambio de los buenos procesos.

Fuente y redacción: helpnetsecurity.com

Compartir