Mitigar la deuda técnica con una seguridad impulsada por los desarrolladores
Hablemos de la deuda
Casi todo el mundo sabe ahora que la ciberdelincuencia se ha convertido en un problema importante que enfrenta nuestra economía global. En 2022, el coste medio de una violación de datos en los Estados Unidos ascendía a 9,44 millones de dólares, frente a los 9,05 millones del año anterior. Es importante no ignorar el coste del código inseguro y su deuda técnica acumulada. Según el 2022 Consorcio para la calidad de la información y el software: el costo de la mala calidad del software Según este informe, se estima que el costo de la mala calidad del software en los EE. UU. ha crecido hasta alcanzar los 2,41 billones de dólares y la deuda técnica acumulada por el software ha crecido hasta alcanzar los 1,52 billones de dólares.
Los crecientes costos de abordar el código inseguro y su deuda técnica se han convertido en el mayor obstáculo para realizar cualquier cambio en las bases de códigos existentes, dejándolas así vulnerables a la explotación y a las amenazas externas. El estado de la seguridad del software se enfrenta a una crisis existencial. Sabemos que tenemos que mejorar nuestra postura de seguridad y abordar la deuda técnica acumulada, pero los obstáculos son enormes:
- Se estima que hay 300 000 puestos vacantes de desarrolladores de software y relacionados con TI en los EE. UU., con una tasa de crecimiento proyectada del 15%
- Se prevé que para 2025, el 40% de los presupuestos de TI se gastará simplemente en mantener la deuda tecnológica
- En promedio, un tercio de las horas semanales de los desarrolladores se dedican a abordar la deuda tecnológica
Las soluciones rápidas son riesgosas y cuestan más a largo plazo
¿Qué es la deuda técnica y por qué es tan importante? La deuda tecnológica se acumula cuando los responsables de la toma de decisiones optan por una solución a corto plazo para un problema de desarrollo de software, en lugar de una solución más exhaustiva y a largo plazo. Esto conlleva un costo oculto sustancial que las organizaciones deben pagar más adelante. Al igual que una tarjeta de crédito al límite máximo, la deuda técnica tiene dos componentes principales:
- Director - se refiere al costo total de refactorizar o reparar el software para que alcance el nivel deseado de mantenimiento y seguridad.
- Interés - el esfuerzo adicional que los desarrolladores dedican a realizar esos cambios solo para abordar la deuda técnica y no las nuevas funcionalidades. Cada minuto dedicado a un código que no es del todo correcto añade interés a la deuda.
Con el tiempo, se puede llegar a un estado de «quiebra técnica» cuando el costo de las nuevas funciones, la corrección de errores y el mantenimiento supera el presupuesto del proyecto, lo que reduce significativamente el valor de la aplicación de software.
Sin embargo, una cierta acumulación de deuda, al igual que en la vida, es normal y, en la mayoría de los casos, algo esperada.
Lo ideal es que todos los desarrolladores de software reduzcan los errores en la medida de lo posible antes de enviar el código. Sin embargo, se enfrentan a una difícil disyuntiva: para ser competitivas, una organización puede querer ofrecer funciones o productos a los clientes con rapidez y a un coste mínimo. Como resultado, la calidad de la aplicación se ve afectada porque los KPI de los desarrolladores se basan en la velocidad de entrega y en el costo inicial de crearla. Lo que falta en el panorama son las deficiencias acumuladas y las posibles vulnerabilidades integradas en el código. Esto lo deja listo para errores o vulnerabilidades de seguridad en el futuro o, lo que es peor, para que sean explotados por actores malintencionados.
Pero ahí está el dilema: ¿hay alguna forma diferente de enviar productos rápidamente sin acumular una enorme cantidad de deuda técnica?
El costo de encontrar y corregir deficiencias y vulnerabilidades es el mayor gasto individual en el ciclo de vida del desarrollo de software. Cuanto antes se detecten los problemas en el ciclo de vida del desarrollo, más rentable será la entrega en general.
La deuda técnica puede convertirse en deuda de seguridad
Muchos desarrolladores intentan sortear esta disyuntiva utilizando código fuente abierto que les ayude a avanzar con rapidez e, idealmente, utilizar una solución ya examinada. Sin embargo, dependen en gran medida del software de código abierto a menudo presenta sus propios riesgos:
- Se encontró que el 82% de los componentes de código abierto estaban desactualizados (es decir, no tenían parches o no eran compatibles)
- El 75% de las bases de código contenían vulnerabilidades (frente al 60% en 2018) y el 49% contenía vulnerabilidades de alto riesgo
- Se identificaron un promedio de 82 vulnerabilidades por base de código
Esto hace proliferar un subconjunto de deuda técnica: deuda de seguridad. La deuda de seguridad es la acumulación de vulnerabilidades en una aplicación de software que hace que sea más difícil o incluso imposible proteger los datos y los sistemas de un ataque.
Uno de los ejemplos más notorios es Equifax, el gigante de los informes crediticios violado en 2017 porque no había podido corregir una vulnerabilidad conocida en Apache Struts, un popular marco de aplicaciones web de código abierto. El parche llevaba meses disponible, pero la violación puso en peligro los datos personales cruciales de más de 147 millones de personas.
Por lo tanto, se debe prestar mayor atención a las prácticas de codificación seguras, ya que muchas aplicaciones han alcanzado una masa crítica no solo en lo que respecta a su deuda técnica, sino también a la densidad de debilidades y vulnerabilidades de seguridad en la propia aplicación.
Esto puede provocar enormes pérdidas, que pueden ser tangibles o intangibles:
Daño a la reputación: La pérdida de la confianza de los clientes puede tener un impacto extremadamente negativo en el futuro. Esto puede incluir daños a la marca, pérdidas de ventas y costosos problemas legales como resultado de una infracción.
Impacto regulatorio y de cumplimiento: Si una violación de seguridad puede hacer que una empresa no cumpla con una fecha límite y/o con obligaciones contractuales. El incumplimiento de un SLA puede provocar que una empresa tenga problemas con los reguladores y conllevar importantes multas.
Costos de remediación: A menudo es necesario trabajar más después de un fallo o una interrupción para compensar la pérdida de productividad.
Prevención de la deuda técnica y de seguridad en el SDLC
Muchas organizaciones ya están modificando su presupuesto para crear una postura de seguridad más sólida. El año pasado, Google comprometió 10 mil millones de dólares en 5 años para financiar un programa para fortalecer la ciberseguridad. La administración de Biden también solicitó 2.100 millones de dólares en el presupuesto discrecional de 2022 para la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA).
Proporcionar más recursos y formación para ayudar a impulsar el crecimiento profesional y los conocimientos de sus desarrolladores puede ser el primer paso para establecer estándares de calidad para todo el código que se envía a la producción.
Los costos para encontrar y corregir una vulnerabilidad o un defecto aumentan exponencialmente a medida que se encuentra y aborda más adelante en el ciclo de desarrollo de software. Y, como hemos visto, al dedicar tanto tiempo a abordar la deuda técnica y de seguridad, las organizaciones están creando sus propias pérdidas al renunciar a la innovación y al tiempo que dedican a nuevas funciones o productos.
En 2022, la mayoría de los equipos de desarrolladores dijeron que DevOps o DevSecOps era su metodología preferida, y no sorprende por qué. DevSecOps integra la seguridad en cada etapa del ciclo de vida del desarrollo del software para ofrecer aplicaciones mejores y más seguras. Los equipos de seguridad y desarrollo siguen trabajando de forma aislada y con tensiones, pero está claro que esto debe cambiar para ayudar a las empresas a tener éxito. DevOps forma parte de la forma en que las organizaciones intentan derribar las barreras y remodelar la cultura. El objetivo fundamental de DevSecOps es aumentar la colaboración entre AppSec/Security y los desarrolladores desde el principio del ciclo de vida del desarrollo del software.
Implementar una nueva forma de pensar para abordar la deuda técnica y la seguridad no tiene por qué ser una hazaña monumental. Establecer una mentalidad proactiva a través de la formación es fundamental cuando se trata de mejorar la conciencia y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Una sólida formación en codificación segura para los desarrolladores garantiza que el aprendizaje sea continuo, interactivo, relevante y contextual, es una necesidad. Un enfoque verdaderamente holístico debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
Crear un cambio cultural no es fácil, pero Secure Code Warrior le ayuda a identificar a sus defensores de la seguridad y a dotar a los desarrolladores y las organizaciones de las habilidades adecuadas para hacer frente a los desafíos de seguridad actuales, que cambian constantemente.
Lanzar un programa de código seguro atractivo y escalable es una inversión que vale la pena debido al enfoque preventivo a largo plazo de la seguridad, en lugar del enfoque reactivo del pasado. En última instancia, esto ayuda a mitigar los costosos riesgos de una infracción, a educar a los desarrolladores sobre cómo encontrar y corregir las vulnerabilidades con rapidez y a facilitar una forma más ágil de centrarse en el desarrollo de productos y en acelerar el tiempo de comercialización.
El costo de abordar el código inseguro y la consiguiente deuda técnica es uno de los mayores obstáculos a los que se enfrenta la tecnología en la actualidad. Descubra cómo la implementación de un programa de formación sobre código seguro y escalable ayuda a reducir la deuda técnica al abordar los patrones de codificación deficientes y detectar las vulnerabilidades en las primeras etapas del ciclo de desarrollo del software.
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
Taylor Broadfoot-Nymark 是Secure Code Warrior 的产品营销经理。她撰写了多篇关于网络安全和敏捷学习的文章,还负责产品发布、GTM 战略和客户宣传。
Hablemos de la deuda
Casi todo el mundo sabe ahora que la ciberdelincuencia se ha convertido en un problema importante que enfrenta nuestra economía global. En 2022, el coste medio de una violación de datos en los Estados Unidos ascendía a 9,44 millones de dólares, frente a los 9,05 millones del año anterior. Es importante no ignorar el coste del código inseguro y su deuda técnica acumulada. Según el 2022 Consorcio para la calidad de la información y el software: el costo de la mala calidad del software Según este informe, se estima que el costo de la mala calidad del software en los EE. UU. ha crecido hasta alcanzar los 2,41 billones de dólares y la deuda técnica acumulada por el software ha crecido hasta alcanzar los 1,52 billones de dólares.
Los crecientes costos de abordar el código inseguro y su deuda técnica se han convertido en el mayor obstáculo para realizar cualquier cambio en las bases de códigos existentes, dejándolas así vulnerables a la explotación y a las amenazas externas. El estado de la seguridad del software se enfrenta a una crisis existencial. Sabemos que tenemos que mejorar nuestra postura de seguridad y abordar la deuda técnica acumulada, pero los obstáculos son enormes:
- Se estima que hay 300 000 puestos vacantes de desarrolladores de software y relacionados con TI en los EE. UU., con una tasa de crecimiento proyectada del 15%
- Se prevé que para 2025, el 40% de los presupuestos de TI se gastará simplemente en mantener la deuda tecnológica
- En promedio, un tercio de las horas semanales de los desarrolladores se dedican a abordar la deuda tecnológica
Las soluciones rápidas son riesgosas y cuestan más a largo plazo
¿Qué es la deuda técnica y por qué es tan importante? La deuda tecnológica se acumula cuando los responsables de la toma de decisiones optan por una solución a corto plazo para un problema de desarrollo de software, en lugar de una solución más exhaustiva y a largo plazo. Esto conlleva un costo oculto sustancial que las organizaciones deben pagar más adelante. Al igual que una tarjeta de crédito al límite máximo, la deuda técnica tiene dos componentes principales:
- Director - se refiere al costo total de refactorizar o reparar el software para que alcance el nivel deseado de mantenimiento y seguridad.
- Interés - el esfuerzo adicional que los desarrolladores dedican a realizar esos cambios solo para abordar la deuda técnica y no las nuevas funcionalidades. Cada minuto dedicado a un código que no es del todo correcto añade interés a la deuda.
Con el tiempo, se puede llegar a un estado de «quiebra técnica» cuando el costo de las nuevas funciones, la corrección de errores y el mantenimiento supera el presupuesto del proyecto, lo que reduce significativamente el valor de la aplicación de software.
Sin embargo, una cierta acumulación de deuda, al igual que en la vida, es normal y, en la mayoría de los casos, algo esperada.
Lo ideal es que todos los desarrolladores de software reduzcan los errores en la medida de lo posible antes de enviar el código. Sin embargo, se enfrentan a una difícil disyuntiva: para ser competitivas, una organización puede querer ofrecer funciones o productos a los clientes con rapidez y a un coste mínimo. Como resultado, la calidad de la aplicación se ve afectada porque los KPI de los desarrolladores se basan en la velocidad de entrega y en el costo inicial de crearla. Lo que falta en el panorama son las deficiencias acumuladas y las posibles vulnerabilidades integradas en el código. Esto lo deja listo para errores o vulnerabilidades de seguridad en el futuro o, lo que es peor, para que sean explotados por actores malintencionados.
Pero ahí está el dilema: ¿hay alguna forma diferente de enviar productos rápidamente sin acumular una enorme cantidad de deuda técnica?
El costo de encontrar y corregir deficiencias y vulnerabilidades es el mayor gasto individual en el ciclo de vida del desarrollo de software. Cuanto antes se detecten los problemas en el ciclo de vida del desarrollo, más rentable será la entrega en general.
La deuda técnica puede convertirse en deuda de seguridad
Muchos desarrolladores intentan sortear esta disyuntiva utilizando código fuente abierto que les ayude a avanzar con rapidez e, idealmente, utilizar una solución ya examinada. Sin embargo, dependen en gran medida del software de código abierto a menudo presenta sus propios riesgos:
- Se encontró que el 82% de los componentes de código abierto estaban desactualizados (es decir, no tenían parches o no eran compatibles)
- El 75% de las bases de código contenían vulnerabilidades (frente al 60% en 2018) y el 49% contenía vulnerabilidades de alto riesgo
- Se identificaron un promedio de 82 vulnerabilidades por base de código
Esto hace proliferar un subconjunto de deuda técnica: deuda de seguridad. La deuda de seguridad es la acumulación de vulnerabilidades en una aplicación de software que hace que sea más difícil o incluso imposible proteger los datos y los sistemas de un ataque.
Uno de los ejemplos más notorios es Equifax, el gigante de los informes crediticios violado en 2017 porque no había podido corregir una vulnerabilidad conocida en Apache Struts, un popular marco de aplicaciones web de código abierto. El parche llevaba meses disponible, pero la violación puso en peligro los datos personales cruciales de más de 147 millones de personas.
Por lo tanto, se debe prestar mayor atención a las prácticas de codificación seguras, ya que muchas aplicaciones han alcanzado una masa crítica no solo en lo que respecta a su deuda técnica, sino también a la densidad de debilidades y vulnerabilidades de seguridad en la propia aplicación.
Esto puede provocar enormes pérdidas, que pueden ser tangibles o intangibles:
Daño a la reputación: La pérdida de la confianza de los clientes puede tener un impacto extremadamente negativo en el futuro. Esto puede incluir daños a la marca, pérdidas de ventas y costosos problemas legales como resultado de una infracción.
Impacto regulatorio y de cumplimiento: Si una violación de seguridad puede hacer que una empresa no cumpla con una fecha límite y/o con obligaciones contractuales. El incumplimiento de un SLA puede provocar que una empresa tenga problemas con los reguladores y conllevar importantes multas.
Costos de remediación: A menudo es necesario trabajar más después de un fallo o una interrupción para compensar la pérdida de productividad.
Prevención de la deuda técnica y de seguridad en el SDLC
Muchas organizaciones ya están modificando su presupuesto para crear una postura de seguridad más sólida. El año pasado, Google comprometió 10 mil millones de dólares en 5 años para financiar un programa para fortalecer la ciberseguridad. La administración de Biden también solicitó 2.100 millones de dólares en el presupuesto discrecional de 2022 para la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA).
Proporcionar más recursos y formación para ayudar a impulsar el crecimiento profesional y los conocimientos de sus desarrolladores puede ser el primer paso para establecer estándares de calidad para todo el código que se envía a la producción.
Los costos para encontrar y corregir una vulnerabilidad o un defecto aumentan exponencialmente a medida que se encuentra y aborda más adelante en el ciclo de desarrollo de software. Y, como hemos visto, al dedicar tanto tiempo a abordar la deuda técnica y de seguridad, las organizaciones están creando sus propias pérdidas al renunciar a la innovación y al tiempo que dedican a nuevas funciones o productos.
En 2022, la mayoría de los equipos de desarrolladores dijeron que DevOps o DevSecOps era su metodología preferida, y no sorprende por qué. DevSecOps integra la seguridad en cada etapa del ciclo de vida del desarrollo del software para ofrecer aplicaciones mejores y más seguras. Los equipos de seguridad y desarrollo siguen trabajando de forma aislada y con tensiones, pero está claro que esto debe cambiar para ayudar a las empresas a tener éxito. DevOps forma parte de la forma en que las organizaciones intentan derribar las barreras y remodelar la cultura. El objetivo fundamental de DevSecOps es aumentar la colaboración entre AppSec/Security y los desarrolladores desde el principio del ciclo de vida del desarrollo del software.
Implementar una nueva forma de pensar para abordar la deuda técnica y la seguridad no tiene por qué ser una hazaña monumental. Establecer una mentalidad proactiva a través de la formación es fundamental cuando se trata de mejorar la conciencia y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Una sólida formación en codificación segura para los desarrolladores garantiza que el aprendizaje sea continuo, interactivo, relevante y contextual, es una necesidad. Un enfoque verdaderamente holístico debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
Crear un cambio cultural no es fácil, pero Secure Code Warrior le ayuda a identificar a sus defensores de la seguridad y a dotar a los desarrolladores y las organizaciones de las habilidades adecuadas para hacer frente a los desafíos de seguridad actuales, que cambian constantemente.
Lanzar un programa de código seguro atractivo y escalable es una inversión que vale la pena debido al enfoque preventivo a largo plazo de la seguridad, en lugar del enfoque reactivo del pasado. En última instancia, esto ayuda a mitigar los costosos riesgos de una infracción, a educar a los desarrolladores sobre cómo encontrar y corregir las vulnerabilidades con rapidez y a facilitar una forma más ágil de centrarse en el desarrollo de productos y en acelerar el tiempo de comercialización.
Hablemos de la deuda
Casi todo el mundo sabe ahora que la ciberdelincuencia se ha convertido en un problema importante que enfrenta nuestra economía global. En 2022, el coste medio de una violación de datos en los Estados Unidos ascendía a 9,44 millones de dólares, frente a los 9,05 millones del año anterior. Es importante no ignorar el coste del código inseguro y su deuda técnica acumulada. Según el 2022 Consorcio para la calidad de la información y el software: el costo de la mala calidad del software Según este informe, se estima que el costo de la mala calidad del software en los EE. UU. ha crecido hasta alcanzar los 2,41 billones de dólares y la deuda técnica acumulada por el software ha crecido hasta alcanzar los 1,52 billones de dólares.
Los crecientes costos de abordar el código inseguro y su deuda técnica se han convertido en el mayor obstáculo para realizar cualquier cambio en las bases de códigos existentes, dejándolas así vulnerables a la explotación y a las amenazas externas. El estado de la seguridad del software se enfrenta a una crisis existencial. Sabemos que tenemos que mejorar nuestra postura de seguridad y abordar la deuda técnica acumulada, pero los obstáculos son enormes:
- Se estima que hay 300 000 puestos vacantes de desarrolladores de software y relacionados con TI en los EE. UU., con una tasa de crecimiento proyectada del 15%
- Se prevé que para 2025, el 40% de los presupuestos de TI se gastará simplemente en mantener la deuda tecnológica
- En promedio, un tercio de las horas semanales de los desarrolladores se dedican a abordar la deuda tecnológica
Las soluciones rápidas son riesgosas y cuestan más a largo plazo
¿Qué es la deuda técnica y por qué es tan importante? La deuda tecnológica se acumula cuando los responsables de la toma de decisiones optan por una solución a corto plazo para un problema de desarrollo de software, en lugar de una solución más exhaustiva y a largo plazo. Esto conlleva un costo oculto sustancial que las organizaciones deben pagar más adelante. Al igual que una tarjeta de crédito al límite máximo, la deuda técnica tiene dos componentes principales:
- Director - se refiere al costo total de refactorizar o reparar el software para que alcance el nivel deseado de mantenimiento y seguridad.
- Interés - el esfuerzo adicional que los desarrolladores dedican a realizar esos cambios solo para abordar la deuda técnica y no las nuevas funcionalidades. Cada minuto dedicado a un código que no es del todo correcto añade interés a la deuda.
Con el tiempo, se puede llegar a un estado de «quiebra técnica» cuando el costo de las nuevas funciones, la corrección de errores y el mantenimiento supera el presupuesto del proyecto, lo que reduce significativamente el valor de la aplicación de software.
Sin embargo, una cierta acumulación de deuda, al igual que en la vida, es normal y, en la mayoría de los casos, algo esperada.
Lo ideal es que todos los desarrolladores de software reduzcan los errores en la medida de lo posible antes de enviar el código. Sin embargo, se enfrentan a una difícil disyuntiva: para ser competitivas, una organización puede querer ofrecer funciones o productos a los clientes con rapidez y a un coste mínimo. Como resultado, la calidad de la aplicación se ve afectada porque los KPI de los desarrolladores se basan en la velocidad de entrega y en el costo inicial de crearla. Lo que falta en el panorama son las deficiencias acumuladas y las posibles vulnerabilidades integradas en el código. Esto lo deja listo para errores o vulnerabilidades de seguridad en el futuro o, lo que es peor, para que sean explotados por actores malintencionados.
Pero ahí está el dilema: ¿hay alguna forma diferente de enviar productos rápidamente sin acumular una enorme cantidad de deuda técnica?
El costo de encontrar y corregir deficiencias y vulnerabilidades es el mayor gasto individual en el ciclo de vida del desarrollo de software. Cuanto antes se detecten los problemas en el ciclo de vida del desarrollo, más rentable será la entrega en general.
La deuda técnica puede convertirse en deuda de seguridad
Muchos desarrolladores intentan sortear esta disyuntiva utilizando código fuente abierto que les ayude a avanzar con rapidez e, idealmente, utilizar una solución ya examinada. Sin embargo, dependen en gran medida del software de código abierto a menudo presenta sus propios riesgos:
- Se encontró que el 82% de los componentes de código abierto estaban desactualizados (es decir, no tenían parches o no eran compatibles)
- El 75% de las bases de código contenían vulnerabilidades (frente al 60% en 2018) y el 49% contenía vulnerabilidades de alto riesgo
- Se identificaron un promedio de 82 vulnerabilidades por base de código
Esto hace proliferar un subconjunto de deuda técnica: deuda de seguridad. La deuda de seguridad es la acumulación de vulnerabilidades en una aplicación de software que hace que sea más difícil o incluso imposible proteger los datos y los sistemas de un ataque.
Uno de los ejemplos más notorios es Equifax, el gigante de los informes crediticios violado en 2017 porque no había podido corregir una vulnerabilidad conocida en Apache Struts, un popular marco de aplicaciones web de código abierto. El parche llevaba meses disponible, pero la violación puso en peligro los datos personales cruciales de más de 147 millones de personas.
Por lo tanto, se debe prestar mayor atención a las prácticas de codificación seguras, ya que muchas aplicaciones han alcanzado una masa crítica no solo en lo que respecta a su deuda técnica, sino también a la densidad de debilidades y vulnerabilidades de seguridad en la propia aplicación.
Esto puede provocar enormes pérdidas, que pueden ser tangibles o intangibles:
Daño a la reputación: La pérdida de la confianza de los clientes puede tener un impacto extremadamente negativo en el futuro. Esto puede incluir daños a la marca, pérdidas de ventas y costosos problemas legales como resultado de una infracción.
Impacto regulatorio y de cumplimiento: Si una violación de seguridad puede hacer que una empresa no cumpla con una fecha límite y/o con obligaciones contractuales. El incumplimiento de un SLA puede provocar que una empresa tenga problemas con los reguladores y conllevar importantes multas.
Costos de remediación: A menudo es necesario trabajar más después de un fallo o una interrupción para compensar la pérdida de productividad.
Prevención de la deuda técnica y de seguridad en el SDLC
Muchas organizaciones ya están modificando su presupuesto para crear una postura de seguridad más sólida. El año pasado, Google comprometió 10 mil millones de dólares en 5 años para financiar un programa para fortalecer la ciberseguridad. La administración de Biden también solicitó 2.100 millones de dólares en el presupuesto discrecional de 2022 para la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA).
Proporcionar más recursos y formación para ayudar a impulsar el crecimiento profesional y los conocimientos de sus desarrolladores puede ser el primer paso para establecer estándares de calidad para todo el código que se envía a la producción.
Los costos para encontrar y corregir una vulnerabilidad o un defecto aumentan exponencialmente a medida que se encuentra y aborda más adelante en el ciclo de desarrollo de software. Y, como hemos visto, al dedicar tanto tiempo a abordar la deuda técnica y de seguridad, las organizaciones están creando sus propias pérdidas al renunciar a la innovación y al tiempo que dedican a nuevas funciones o productos.
En 2022, la mayoría de los equipos de desarrolladores dijeron que DevOps o DevSecOps era su metodología preferida, y no sorprende por qué. DevSecOps integra la seguridad en cada etapa del ciclo de vida del desarrollo del software para ofrecer aplicaciones mejores y más seguras. Los equipos de seguridad y desarrollo siguen trabajando de forma aislada y con tensiones, pero está claro que esto debe cambiar para ayudar a las empresas a tener éxito. DevOps forma parte de la forma en que las organizaciones intentan derribar las barreras y remodelar la cultura. El objetivo fundamental de DevSecOps es aumentar la colaboración entre AppSec/Security y los desarrolladores desde el principio del ciclo de vida del desarrollo del software.
Implementar una nueva forma de pensar para abordar la deuda técnica y la seguridad no tiene por qué ser una hazaña monumental. Establecer una mentalidad proactiva a través de la formación es fundamental cuando se trata de mejorar la conciencia y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Una sólida formación en codificación segura para los desarrolladores garantiza que el aprendizaje sea continuo, interactivo, relevante y contextual, es una necesidad. Un enfoque verdaderamente holístico debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
Crear un cambio cultural no es fácil, pero Secure Code Warrior le ayuda a identificar a sus defensores de la seguridad y a dotar a los desarrolladores y las organizaciones de las habilidades adecuadas para hacer frente a los desafíos de seguridad actuales, que cambian constantemente.
Lanzar un programa de código seguro atractivo y escalable es una inversión que vale la pena debido al enfoque preventivo a largo plazo de la seguridad, en lugar del enfoque reactivo del pasado. En última instancia, esto ayuda a mitigar los costosos riesgos de una infracción, a educar a los desarrolladores sobre cómo encontrar y corregir las vulnerabilidades con rapidez y a facilitar una forma más ágil de centrarse en el desarrollo de productos y en acelerar el tiempo de comercialización.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示Taylor Broadfoot-Nymark 是Secure Code Warrior 的产品营销经理。她撰写了多篇关于网络安全和敏捷学习的文章,还负责产品发布、GTM 战略和客户宣传。
Hablemos de la deuda
Casi todo el mundo sabe ahora que la ciberdelincuencia se ha convertido en un problema importante que enfrenta nuestra economía global. En 2022, el coste medio de una violación de datos en los Estados Unidos ascendía a 9,44 millones de dólares, frente a los 9,05 millones del año anterior. Es importante no ignorar el coste del código inseguro y su deuda técnica acumulada. Según el 2022 Consorcio para la calidad de la información y el software: el costo de la mala calidad del software Según este informe, se estima que el costo de la mala calidad del software en los EE. UU. ha crecido hasta alcanzar los 2,41 billones de dólares y la deuda técnica acumulada por el software ha crecido hasta alcanzar los 1,52 billones de dólares.
Los crecientes costos de abordar el código inseguro y su deuda técnica se han convertido en el mayor obstáculo para realizar cualquier cambio en las bases de códigos existentes, dejándolas así vulnerables a la explotación y a las amenazas externas. El estado de la seguridad del software se enfrenta a una crisis existencial. Sabemos que tenemos que mejorar nuestra postura de seguridad y abordar la deuda técnica acumulada, pero los obstáculos son enormes:
- Se estima que hay 300 000 puestos vacantes de desarrolladores de software y relacionados con TI en los EE. UU., con una tasa de crecimiento proyectada del 15%
- Se prevé que para 2025, el 40% de los presupuestos de TI se gastará simplemente en mantener la deuda tecnológica
- En promedio, un tercio de las horas semanales de los desarrolladores se dedican a abordar la deuda tecnológica
Las soluciones rápidas son riesgosas y cuestan más a largo plazo
¿Qué es la deuda técnica y por qué es tan importante? La deuda tecnológica se acumula cuando los responsables de la toma de decisiones optan por una solución a corto plazo para un problema de desarrollo de software, en lugar de una solución más exhaustiva y a largo plazo. Esto conlleva un costo oculto sustancial que las organizaciones deben pagar más adelante. Al igual que una tarjeta de crédito al límite máximo, la deuda técnica tiene dos componentes principales:
- Director - se refiere al costo total de refactorizar o reparar el software para que alcance el nivel deseado de mantenimiento y seguridad.
- Interés - el esfuerzo adicional que los desarrolladores dedican a realizar esos cambios solo para abordar la deuda técnica y no las nuevas funcionalidades. Cada minuto dedicado a un código que no es del todo correcto añade interés a la deuda.
Con el tiempo, se puede llegar a un estado de «quiebra técnica» cuando el costo de las nuevas funciones, la corrección de errores y el mantenimiento supera el presupuesto del proyecto, lo que reduce significativamente el valor de la aplicación de software.
Sin embargo, una cierta acumulación de deuda, al igual que en la vida, es normal y, en la mayoría de los casos, algo esperada.
Lo ideal es que todos los desarrolladores de software reduzcan los errores en la medida de lo posible antes de enviar el código. Sin embargo, se enfrentan a una difícil disyuntiva: para ser competitivas, una organización puede querer ofrecer funciones o productos a los clientes con rapidez y a un coste mínimo. Como resultado, la calidad de la aplicación se ve afectada porque los KPI de los desarrolladores se basan en la velocidad de entrega y en el costo inicial de crearla. Lo que falta en el panorama son las deficiencias acumuladas y las posibles vulnerabilidades integradas en el código. Esto lo deja listo para errores o vulnerabilidades de seguridad en el futuro o, lo que es peor, para que sean explotados por actores malintencionados.
Pero ahí está el dilema: ¿hay alguna forma diferente de enviar productos rápidamente sin acumular una enorme cantidad de deuda técnica?
El costo de encontrar y corregir deficiencias y vulnerabilidades es el mayor gasto individual en el ciclo de vida del desarrollo de software. Cuanto antes se detecten los problemas en el ciclo de vida del desarrollo, más rentable será la entrega en general.
La deuda técnica puede convertirse en deuda de seguridad
Muchos desarrolladores intentan sortear esta disyuntiva utilizando código fuente abierto que les ayude a avanzar con rapidez e, idealmente, utilizar una solución ya examinada. Sin embargo, dependen en gran medida del software de código abierto a menudo presenta sus propios riesgos:
- Se encontró que el 82% de los componentes de código abierto estaban desactualizados (es decir, no tenían parches o no eran compatibles)
- El 75% de las bases de código contenían vulnerabilidades (frente al 60% en 2018) y el 49% contenía vulnerabilidades de alto riesgo
- Se identificaron un promedio de 82 vulnerabilidades por base de código
Esto hace proliferar un subconjunto de deuda técnica: deuda de seguridad. La deuda de seguridad es la acumulación de vulnerabilidades en una aplicación de software que hace que sea más difícil o incluso imposible proteger los datos y los sistemas de un ataque.
Uno de los ejemplos más notorios es Equifax, el gigante de los informes crediticios violado en 2017 porque no había podido corregir una vulnerabilidad conocida en Apache Struts, un popular marco de aplicaciones web de código abierto. El parche llevaba meses disponible, pero la violación puso en peligro los datos personales cruciales de más de 147 millones de personas.
Por lo tanto, se debe prestar mayor atención a las prácticas de codificación seguras, ya que muchas aplicaciones han alcanzado una masa crítica no solo en lo que respecta a su deuda técnica, sino también a la densidad de debilidades y vulnerabilidades de seguridad en la propia aplicación.
Esto puede provocar enormes pérdidas, que pueden ser tangibles o intangibles:
Daño a la reputación: La pérdida de la confianza de los clientes puede tener un impacto extremadamente negativo en el futuro. Esto puede incluir daños a la marca, pérdidas de ventas y costosos problemas legales como resultado de una infracción.
Impacto regulatorio y de cumplimiento: Si una violación de seguridad puede hacer que una empresa no cumpla con una fecha límite y/o con obligaciones contractuales. El incumplimiento de un SLA puede provocar que una empresa tenga problemas con los reguladores y conllevar importantes multas.
Costos de remediación: A menudo es necesario trabajar más después de un fallo o una interrupción para compensar la pérdida de productividad.
Prevención de la deuda técnica y de seguridad en el SDLC
Muchas organizaciones ya están modificando su presupuesto para crear una postura de seguridad más sólida. El año pasado, Google comprometió 10 mil millones de dólares en 5 años para financiar un programa para fortalecer la ciberseguridad. La administración de Biden también solicitó 2.100 millones de dólares en el presupuesto discrecional de 2022 para la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA).
Proporcionar más recursos y formación para ayudar a impulsar el crecimiento profesional y los conocimientos de sus desarrolladores puede ser el primer paso para establecer estándares de calidad para todo el código que se envía a la producción.
Los costos para encontrar y corregir una vulnerabilidad o un defecto aumentan exponencialmente a medida que se encuentra y aborda más adelante en el ciclo de desarrollo de software. Y, como hemos visto, al dedicar tanto tiempo a abordar la deuda técnica y de seguridad, las organizaciones están creando sus propias pérdidas al renunciar a la innovación y al tiempo que dedican a nuevas funciones o productos.
En 2022, la mayoría de los equipos de desarrolladores dijeron que DevOps o DevSecOps era su metodología preferida, y no sorprende por qué. DevSecOps integra la seguridad en cada etapa del ciclo de vida del desarrollo del software para ofrecer aplicaciones mejores y más seguras. Los equipos de seguridad y desarrollo siguen trabajando de forma aislada y con tensiones, pero está claro que esto debe cambiar para ayudar a las empresas a tener éxito. DevOps forma parte de la forma en que las organizaciones intentan derribar las barreras y remodelar la cultura. El objetivo fundamental de DevSecOps es aumentar la colaboración entre AppSec/Security y los desarrolladores desde el principio del ciclo de vida del desarrollo del software.
Implementar una nueva forma de pensar para abordar la deuda técnica y la seguridad no tiene por qué ser una hazaña monumental. Establecer una mentalidad proactiva a través de la formación es fundamental cuando se trata de mejorar la conciencia y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Una sólida formación en codificación segura para los desarrolladores garantiza que el aprendizaje sea continuo, interactivo, relevante y contextual, es una necesidad. Un enfoque verdaderamente holístico debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
Crear un cambio cultural no es fácil, pero Secure Code Warrior le ayuda a identificar a sus defensores de la seguridad y a dotar a los desarrolladores y las organizaciones de las habilidades adecuadas para hacer frente a los desafíos de seguridad actuales, que cambian constantemente.
Lanzar un programa de código seguro atractivo y escalable es una inversión que vale la pena debido al enfoque preventivo a largo plazo de la seguridad, en lugar del enfoque reactivo del pasado. En última instancia, esto ayuda a mitigar los costosos riesgos de una infracción, a educar a los desarrolladores sobre cómo encontrar y corregir las vulnerabilidades con rapidez y a facilitar una forma más ágil de centrarse en el desarrollo de productos y en acelerar el tiempo de comercialización.
%20(1).avif)
.avif)
