Las organizaciones no conocen las habilidades de seguridad de sus ingenieros de software porque no las evalúan en el proceso de entrevistas. Intentar hacerlo en una entrevista es un desafío, por supuesto, dado el tiempo que lleva una evaluación adecuada.

Sin embargo, dada la tendencia de la industria a adoptar un enfoque más radical, no es suficiente (ni para el desarrollador ni para la organización) considerar la seguridad como una habilidad que se puede enseñar y seguir adelante con los mismos procesos. Si se cuentan con las herramientas adecuadas, los desarrolladores de todos los niveles pueden adquirir conocimientos acelerados sobre ciberseguridad tan pronto como se incorporen.

Progreso en la seguridad del código

Primero, establezcamos los pasos para que los ingenieros avancen en la seguridad del código. Estos son los cinco niveles de competencia que utilizaremos como punto de referencia:

  • Comprender el riesgo y las consecuencias: saber por qué una vulnerabilidad es un problema, sus ramificaciones y sus efectos en cascada.
  • Creación de código seguro sin vulnerabilidades: la capacidad de escribir y enviar código limpio
  • Capacidad de sensibilizar o crear conciencia: la capacidad de la persona para llamar la atención dentro de su equipo a través del énfasis y la educación.
  • Definir/liderar procesos y estrategias de seguridad: la capacidad de conceptualizar e implementar programas de ciberseguridad a nivel departamental.
  • Coach: la capacidad de inculcar una cultura de seguridad desde el nivel organizacional hasta el empleado individual.

Estos niveles presentan una medida clara de la efectividad de la seguridad y una evidencia tangible de la propia progresión del conocimiento de seguridad de un desarrollador.

Donde estamos

Excepto las empresas más grandes y maduras, no todas incorporan la competencia en ciberseguridad a la escala profesional. La ciberseguridad suele considerarse una habilidad que se puede adquirir y, como tal, no es una habilidad que los desarrolladores deban tener; por lo tanto, primero debemos establecer en qué punto de esa progresión se encuentran actualmente los equipos de ingeniería. La siguiente matriz muestra dónde se encuentra la industria, con los puestos agrupados en cuatro categorías.

Progreso actual de la seguridad del código del desarrollador

Ciberseguridad para desarrolladores

Con herramientas de detección y remediación que trivializan la seguridad del código en los mismos entornos en los que se entrenaron, no es descabellado pensar que los ingenieros jóvenes podrían mantener la capacidad de realizar esta tarea básica y, al mismo tiempo, mantener una comprensión de los riesgos y las consecuencias de las vulnerabilidades que crean a medida que redactan el código.

Para los ingenieros de nivel medio, dada la mayor competencia en seguridad al principio de sus carreras, ahora se puede esperar que sea su responsabilidad exigir seguridad del código a sus ingenieros, incluso antes de que lo revisen los desarrolladores sénior.

Los desarrolladores senior ahora tienen la libertad de asumir la responsabilidad de elegir e implementar tecnología de seguridad para su equipo, además de actuar como entrenadores de seguridad y fomentar esa cultura de seguridad en todo su departamento.

Los líderes tecnológicos ahora se han liberado de todas sus responsabilidades más tácticas, mientras que supervisan todo el departamento. Sin embargo, en un cambio extraordinario, ahora pueden adoptar una postura proactiva en ciberseguridad y fortalecer los programas de seguridad de código de sus equipos para detectar las vulnerabilidades más recientes, e incluso buscar reforzar otras partes de la superficie de ataque con la que interactúan los desarrolladores.

Dónde podríamos estar

Dado que finalmente se están poniendo a disposición herramientas de ciberseguridad diseñadas específicamente para desarrolladores, muy pronto deberíamos presenciar un cambio fascinante en el conocimiento sobre seguridad del código.

El progreso de la seguridad del código del desarrollador tal como podría ser

Ciberseguridad para desarrolladores

Con herramientas de detección y remediación que trivializan la seguridad del código en los mismos entornos en los que se entrenaron, no es descabellado pensar que los ingenieros jóvenes podrían mantener la capacidad de realizar esta tarea básica y, al mismo tiempo, mantener una comprensión de los riesgos y las consecuencias de las vulnerabilidades que crean a medida que redactan el código.

Para los ingenieros de nivel medio, dada la mayor competencia en seguridad al principio de sus carreras, ahora se puede esperar que sea su responsabilidad exigir seguridad del código a sus ingenieros, incluso antes de que lo revisen los desarrolladores sénior.

Los desarrolladores senior ahora tienen la libertad de asumir la responsabilidad de elegir e implementar tecnología de seguridad para su equipo, además de actuar como entrenadores de seguridad y fomentar esa cultura de seguridad en todo su departamento.

Los líderes tecnológicos ahora se han liberado de todas sus responsabilidades más tácticas, mientras que supervisan todo el departamento. Sin embargo, en un cambio extraordinario, ahora pueden adoptar una postura proactiva en ciberseguridad y fortalecer los programas de seguridad de código de sus equipos para detectar las vulnerabilidades más recientes, e incluso buscar reforzar otras partes de la superficie de ataque con la que interactúan los desarrolladores.

¿Qué significa todo esto?

Gracias a este esfuerzo, los desarrolladores obtienen un impulso bastante sustancial a sus habilidades con este conocimiento de seguridad más profundo, lo que puede ser muy valioso dado el estado actual de la situación para la contratación de profesionales de la ciberseguridad con una escasez de talento disponible, retrasos crecientes y riesgos de ciberseguridad cada vez mayores en número y alcance.

Y lo más importante, pueden lograrlo sin sacrificar la productividad: detectar y corregir vulnerabilidades es tan fácil como el corrector ortográfico detecta errores ortográficos, y la capacitación puede ser breve y adaptada a su trabajo, todo dentro del entorno de desarrollo integrado (IDE) en el que trabajan a diario. De hecho, herramientas como estas acelerarán los flujos de trabajo al eliminar casi por completo la necesidad de corrección posterior, lo que permitirá que el ciclo de vida del desarrollo de software (SDLC) fluya con mayor rapidez.

Además, las organizaciones pueden finalmente lograr la visión de un verdadero cambio hacia la izquierda al integrar la seguridad en todos los niveles del SDLC y adoptar la cultura de seguridad que con razón han estado reclamando.

La experiencia en seguridad de nivel medio ahora también se convierte en el mínimo de base para el conocimiento de ciberseguridad dentro de sus equipos de desarrollo, lo que eleva sustancialmente el piso del conocimiento de ciberseguridad y hace que el SDLC sea aún más seguro.

¿Qué viene a continuación?

Para que todo esto suceda, la industria necesita acciones que estén a la altura de la retórica. Si la responsabilidad en materia de ciberseguridad se está desplazando hacia la izquierda y las organizaciones están creando una cultura de seguridad, entonces deben poner a disposición de esos ingenieros las herramientas, la educación y los recursos necesarios para que no solo sobrevivan, sino que prosperen, y esto debe suceder mediante la ampliación y la mejora de los flujos de trabajo existentes de los desarrolladores, no forzando el cambio de los buenos procesos.

Fuente y redacción: helpnetsecurity.com / Edouard Viot, director técnico de Symbiotic Security

Compartir