El ROI de la seguridad impulsada por los desarrolladores
El costo de un código deficiente
Los avances tecnológicos hacen que sea más fácil que nunca para los desarrolladores enviar código más rápido que nunca. Esto puede resultar emocionante para la innovación, pero abrumador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costos de las herramientas adicionales, los programas de capacitación y la inversión en mejorar las habilidades de los desarrolladores puede parecer una «ventaja» frente a una función empresarial crítica si se mantiene la velocidad con la que se distribuye el código.
El código de envío más rápido puede haberse vuelto más fácil, pero desafortunadamente el envío seguro el código no lo ha hecho, lo que deja a las organizaciones vulnerables a más amenazas que nunca. El costo de la ciberdelincuencia es asombroso en todo el mundo y está aumentando rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. En promedio, el coste de una violación de datos es de 4,35 millones de dólares, lo que se reparte entre las pérdidas de negocio de los clientes actuales y potenciales, así como los recursos invertidos en la detección, la escalación y la reelaboración.
A pesar de estos costos astronómicos, más de la mitad de las organizaciones no requieren que los desarrolladores realicen una capacitación formal sobre código seguro cada año.
Todos los profesionales de la seguridad saben que encontrar y corregir vulnerabilidades puede parecer como jugar a golpear a un topo. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay posibilidades de mejora. La mayoría de las organizaciones descubren que, cuando se pone a prueba su capacidad de recuperación ante desastres o de respaldo, su enfoque de seguridad no es tan sólido como pensaban. Si reforzar la resiliencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva de los desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. La forma más rentable de mitigar el riesgo es contar con un equipo de desarrolladores capacitado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir las vulnerabilidades con rapidez.
Una idea errónea cuando se trata de la formación de desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguro. Según Klaus Klaus Klinger, especialista en concienciación sobre DevSec en Allianz, «todo tiene que empezar por la cabeza de la dirección. Invertir en la formación de desarrolladores no es una inversión perdida, sino una inversión en la calidad, la productividad y la reputación de la empresa».
El ROI a menudo puede ser difícil de cuantificar en este ámbito, pero, en última instancia, lo que las organizaciones deberían tener en cuenta es cómo su postura de seguridad les ayuda a reducir el riesgo, optimizar su enfoque y ahorrar tiempo y productividad para sus equipos de desarrolladores.
¿Cómo se puede cuantificar el ROI en los costos de ciberseguridad?
En lo que respecta al ROI, es importante considerarlo desde dos puntos de vista diferentes: el ahorro de costes que supone la mitigación del riesgo frente al impacto de la formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o una infracción hace que un sitio de comercio electrónico se vea obligado a desconectarse durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de la falta de solución se puede cuantificar teniendo en cuenta la pérdida de ingresos durante la interrupción, el impacto del robo de credenciales, la pérdida de confianza de los clientes (lo que se traduce en una reducción de las ventas a largo plazo) y la pérdida de productividad general al solucionar el problema.
En realidad, esto se reduce a un análisis de costo/beneficio. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que deben mantenerse o mejorarse.
Las personas a menudo se centran en las métricas incorrectas para determinar el éxito y el valor. Quizás deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en cambio, medir el impactar del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, debe crear objetivos medibles. Esto comienza con la evaluación de los conocimientos de codificación segura de los desarrolladores y con la comprensión de dónde necesitan desarrollar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarlo a tomar decisiones estratégicas sobre cómo crear programas de capacitación más ricos. Lo más importante es medir el impacto. Empieza por analizar el número de puntos débiles que se detectan durante el ciclo de vida del desarrollo de software mediante el análisis del código, las recompensas por errores o las clásicas pruebas de vulnerabilidad antes de iniciar el programa en cada equipo. Una de las maneras más sencillas de saber si tu programa de formación está obteniendo el resultado deseado es medir la disminución de las vulnerabilidades que se introducen en tu base de código en general.
Preguntas principales para evaluar el ROI:
1. ¿Estamos racionalizando nuestro enfoque?
¿Estás dedicando más herramientas al problema o resolviéndolo desde su raíz? Al añadir más herramientas a tu arsenal tecnológico, se crea un enfoque basado en el método «sin queso» para encontrar y corregir las vulnerabilidades. También aumentan los costos operativos con poco impacto en el origen de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de tu arsenal, no deberían ser tu última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la revisión del código devuelto desde AppSec puede provocar una pérdida importante de productividad. Reducir los simulacros de incendio al empoderar y permitir que los equipos de desarrolladores trabajen de forma práctica con sus entrenamiento de código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y corregir una vulnerabilidad puede ser como resolver un gran acertijo, que a veces puede tardar días, semanas o incluso meses en completarse con una solución sólida. Al permitir que los desarrolladores se encarguen de la solución desde el origen, AppSec se centra en la supervisión de los riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
El código de envío rápido no siempre es bueno. Reducir gastos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deudas técnicas. Pensar a corto plazo no es la respuesta en este caso. Se puede mitigar el riesgo asegurando su código desde el principio, de modo que el problema no se agrave en el futuro.
Métricas recomendadas para realizar un seguimiento:
- Participación: ¿cuánto tiempo presupuestas para la formación y cómo participan los desarrolladores? ¿Están completando los cursos, las evaluaciones y participando en torneos?
- Habilidades: ¿dónde están las áreas de fortaleza? ¿Qué áreas ha identificado que necesitan mejoras?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec ha reducido las modificaciones de trabajo?
- Productividad: ¿cuánto tiempo lleva solucionar un problema? ¿Ha notado un aumento en la productividad o la velocidad gracias a la reducción de la vulnerabilidad?
Crea valor desplazándote a la izquierda
Las brechas y vulnerabilidades han aumentado rápidamente cada año. Es importante empezar a crear de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: su personal, en lugar de gastar dinero en herramientas que solo resuelven una parte del problema
- Mejore la eficiencia y la eficacia general al limitar los retrabajos o las correcciones que normalmente identificaría AppSec después el código está desplegado
- Mitigue el riesgo y logre el cumplimiento, evitando multas costosas, la pérdida de la confianza de los clientes o, lo que es peor, el costo de una violación de datos
Evite el pensamiento a corto plazo y las soluciones rápidas. Solo pueden generar deuda técnica y más costos en el futuro. Planifique a largo plazo aprovechando el poder de mejorar sus habilidades y permitir que sus desarrolladores sean su mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y compruebe usted mismo el impacto y el ahorro de costes.
Todo el mundo quiere obtener un buen retorno de su inversión cuando se trata de invertir en su paquete tecnológico o en programas de formación adicionales, pero cuando se trata de seguridad, hay que jugar a largo plazo que vaya más allá del simple cálculo del ROI. Descubra cómo invertir en una seguridad impulsada por los desarrolladores no solo permitirá ahorrar en lo que respecta a las costosas brechas de seguridad, la pérdida de productividad y la deuda tecnológica acumulada, sino que también creará una estrategia proactiva y rentable para mantenerse a la vanguardia del panorama actual de amenazas.
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
El costo de un código deficiente
Los avances tecnológicos hacen que sea más fácil que nunca para los desarrolladores enviar código más rápido que nunca. Esto puede resultar emocionante para la innovación, pero abrumador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costos de las herramientas adicionales, los programas de capacitación y la inversión en mejorar las habilidades de los desarrolladores puede parecer una «ventaja» frente a una función empresarial crítica si se mantiene la velocidad con la que se distribuye el código.
El código de envío más rápido puede haberse vuelto más fácil, pero desafortunadamente el envío seguro el código no lo ha hecho, lo que deja a las organizaciones vulnerables a más amenazas que nunca. El costo de la ciberdelincuencia es asombroso en todo el mundo y está aumentando rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. En promedio, el coste de una violación de datos es de 4,35 millones de dólares, lo que se reparte entre las pérdidas de negocio de los clientes actuales y potenciales, así como los recursos invertidos en la detección, la escalación y la reelaboración.
A pesar de estos costos astronómicos, más de la mitad de las organizaciones no requieren que los desarrolladores realicen una capacitación formal sobre código seguro cada año.
Todos los profesionales de la seguridad saben que encontrar y corregir vulnerabilidades puede parecer como jugar a golpear a un topo. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay posibilidades de mejora. La mayoría de las organizaciones descubren que, cuando se pone a prueba su capacidad de recuperación ante desastres o de respaldo, su enfoque de seguridad no es tan sólido como pensaban. Si reforzar la resiliencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva de los desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. La forma más rentable de mitigar el riesgo es contar con un equipo de desarrolladores capacitado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir las vulnerabilidades con rapidez.
Una idea errónea cuando se trata de la formación de desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguro. Según Klaus Klaus Klinger, especialista en concienciación sobre DevSec en Allianz, «todo tiene que empezar por la cabeza de la dirección. Invertir en la formación de desarrolladores no es una inversión perdida, sino una inversión en la calidad, la productividad y la reputación de la empresa».
El ROI a menudo puede ser difícil de cuantificar en este ámbito, pero, en última instancia, lo que las organizaciones deberían tener en cuenta es cómo su postura de seguridad les ayuda a reducir el riesgo, optimizar su enfoque y ahorrar tiempo y productividad para sus equipos de desarrolladores.
¿Cómo se puede cuantificar el ROI en los costos de ciberseguridad?
En lo que respecta al ROI, es importante considerarlo desde dos puntos de vista diferentes: el ahorro de costes que supone la mitigación del riesgo frente al impacto de la formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o una infracción hace que un sitio de comercio electrónico se vea obligado a desconectarse durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de la falta de solución se puede cuantificar teniendo en cuenta la pérdida de ingresos durante la interrupción, el impacto del robo de credenciales, la pérdida de confianza de los clientes (lo que se traduce en una reducción de las ventas a largo plazo) y la pérdida de productividad general al solucionar el problema.
En realidad, esto se reduce a un análisis de costo/beneficio. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que deben mantenerse o mejorarse.
Las personas a menudo se centran en las métricas incorrectas para determinar el éxito y el valor. Quizás deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en cambio, medir el impactar del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, debe crear objetivos medibles. Esto comienza con la evaluación de los conocimientos de codificación segura de los desarrolladores y con la comprensión de dónde necesitan desarrollar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarlo a tomar decisiones estratégicas sobre cómo crear programas de capacitación más ricos. Lo más importante es medir el impacto. Empieza por analizar el número de puntos débiles que se detectan durante el ciclo de vida del desarrollo de software mediante el análisis del código, las recompensas por errores o las clásicas pruebas de vulnerabilidad antes de iniciar el programa en cada equipo. Una de las maneras más sencillas de saber si tu programa de formación está obteniendo el resultado deseado es medir la disminución de las vulnerabilidades que se introducen en tu base de código en general.
Preguntas principales para evaluar el ROI:
1. ¿Estamos racionalizando nuestro enfoque?
¿Estás dedicando más herramientas al problema o resolviéndolo desde su raíz? Al añadir más herramientas a tu arsenal tecnológico, se crea un enfoque basado en el método «sin queso» para encontrar y corregir las vulnerabilidades. También aumentan los costos operativos con poco impacto en el origen de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de tu arsenal, no deberían ser tu última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la revisión del código devuelto desde AppSec puede provocar una pérdida importante de productividad. Reducir los simulacros de incendio al empoderar y permitir que los equipos de desarrolladores trabajen de forma práctica con sus entrenamiento de código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y corregir una vulnerabilidad puede ser como resolver un gran acertijo, que a veces puede tardar días, semanas o incluso meses en completarse con una solución sólida. Al permitir que los desarrolladores se encarguen de la solución desde el origen, AppSec se centra en la supervisión de los riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
El código de envío rápido no siempre es bueno. Reducir gastos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deudas técnicas. Pensar a corto plazo no es la respuesta en este caso. Se puede mitigar el riesgo asegurando su código desde el principio, de modo que el problema no se agrave en el futuro.
Métricas recomendadas para realizar un seguimiento:
- Participación: ¿cuánto tiempo presupuestas para la formación y cómo participan los desarrolladores? ¿Están completando los cursos, las evaluaciones y participando en torneos?
- Habilidades: ¿dónde están las áreas de fortaleza? ¿Qué áreas ha identificado que necesitan mejoras?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec ha reducido las modificaciones de trabajo?
- Productividad: ¿cuánto tiempo lleva solucionar un problema? ¿Ha notado un aumento en la productividad o la velocidad gracias a la reducción de la vulnerabilidad?
Crea valor desplazándote a la izquierda
Las brechas y vulnerabilidades han aumentado rápidamente cada año. Es importante empezar a crear de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: su personal, en lugar de gastar dinero en herramientas que solo resuelven una parte del problema
- Mejore la eficiencia y la eficacia general al limitar los retrabajos o las correcciones que normalmente identificaría AppSec después el código está desplegado
- Mitigue el riesgo y logre el cumplimiento, evitando multas costosas, la pérdida de la confianza de los clientes o, lo que es peor, el costo de una violación de datos
Evite el pensamiento a corto plazo y las soluciones rápidas. Solo pueden generar deuda técnica y más costos en el futuro. Planifique a largo plazo aprovechando el poder de mejorar sus habilidades y permitir que sus desarrolladores sean su mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y compruebe usted mismo el impacto y el ahorro de costes.
El costo de un código deficiente
Los avances tecnológicos hacen que sea más fácil que nunca para los desarrolladores enviar código más rápido que nunca. Esto puede resultar emocionante para la innovación, pero abrumador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costos de las herramientas adicionales, los programas de capacitación y la inversión en mejorar las habilidades de los desarrolladores puede parecer una «ventaja» frente a una función empresarial crítica si se mantiene la velocidad con la que se distribuye el código.
El código de envío más rápido puede haberse vuelto más fácil, pero desafortunadamente el envío seguro el código no lo ha hecho, lo que deja a las organizaciones vulnerables a más amenazas que nunca. El costo de la ciberdelincuencia es asombroso en todo el mundo y está aumentando rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. En promedio, el coste de una violación de datos es de 4,35 millones de dólares, lo que se reparte entre las pérdidas de negocio de los clientes actuales y potenciales, así como los recursos invertidos en la detección, la escalación y la reelaboración.
A pesar de estos costos astronómicos, más de la mitad de las organizaciones no requieren que los desarrolladores realicen una capacitación formal sobre código seguro cada año.
Todos los profesionales de la seguridad saben que encontrar y corregir vulnerabilidades puede parecer como jugar a golpear a un topo. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay posibilidades de mejora. La mayoría de las organizaciones descubren que, cuando se pone a prueba su capacidad de recuperación ante desastres o de respaldo, su enfoque de seguridad no es tan sólido como pensaban. Si reforzar la resiliencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva de los desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. La forma más rentable de mitigar el riesgo es contar con un equipo de desarrolladores capacitado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir las vulnerabilidades con rapidez.
Una idea errónea cuando se trata de la formación de desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguro. Según Klaus Klaus Klinger, especialista en concienciación sobre DevSec en Allianz, «todo tiene que empezar por la cabeza de la dirección. Invertir en la formación de desarrolladores no es una inversión perdida, sino una inversión en la calidad, la productividad y la reputación de la empresa».
El ROI a menudo puede ser difícil de cuantificar en este ámbito, pero, en última instancia, lo que las organizaciones deberían tener en cuenta es cómo su postura de seguridad les ayuda a reducir el riesgo, optimizar su enfoque y ahorrar tiempo y productividad para sus equipos de desarrolladores.
¿Cómo se puede cuantificar el ROI en los costos de ciberseguridad?
En lo que respecta al ROI, es importante considerarlo desde dos puntos de vista diferentes: el ahorro de costes que supone la mitigación del riesgo frente al impacto de la formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o una infracción hace que un sitio de comercio electrónico se vea obligado a desconectarse durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de la falta de solución se puede cuantificar teniendo en cuenta la pérdida de ingresos durante la interrupción, el impacto del robo de credenciales, la pérdida de confianza de los clientes (lo que se traduce en una reducción de las ventas a largo plazo) y la pérdida de productividad general al solucionar el problema.
En realidad, esto se reduce a un análisis de costo/beneficio. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que deben mantenerse o mejorarse.
Las personas a menudo se centran en las métricas incorrectas para determinar el éxito y el valor. Quizás deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en cambio, medir el impactar del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, debe crear objetivos medibles. Esto comienza con la evaluación de los conocimientos de codificación segura de los desarrolladores y con la comprensión de dónde necesitan desarrollar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarlo a tomar decisiones estratégicas sobre cómo crear programas de capacitación más ricos. Lo más importante es medir el impacto. Empieza por analizar el número de puntos débiles que se detectan durante el ciclo de vida del desarrollo de software mediante el análisis del código, las recompensas por errores o las clásicas pruebas de vulnerabilidad antes de iniciar el programa en cada equipo. Una de las maneras más sencillas de saber si tu programa de formación está obteniendo el resultado deseado es medir la disminución de las vulnerabilidades que se introducen en tu base de código en general.
Preguntas principales para evaluar el ROI:
1. ¿Estamos racionalizando nuestro enfoque?
¿Estás dedicando más herramientas al problema o resolviéndolo desde su raíz? Al añadir más herramientas a tu arsenal tecnológico, se crea un enfoque basado en el método «sin queso» para encontrar y corregir las vulnerabilidades. También aumentan los costos operativos con poco impacto en el origen de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de tu arsenal, no deberían ser tu última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la revisión del código devuelto desde AppSec puede provocar una pérdida importante de productividad. Reducir los simulacros de incendio al empoderar y permitir que los equipos de desarrolladores trabajen de forma práctica con sus entrenamiento de código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y corregir una vulnerabilidad puede ser como resolver un gran acertijo, que a veces puede tardar días, semanas o incluso meses en completarse con una solución sólida. Al permitir que los desarrolladores se encarguen de la solución desde el origen, AppSec se centra en la supervisión de los riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
El código de envío rápido no siempre es bueno. Reducir gastos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deudas técnicas. Pensar a corto plazo no es la respuesta en este caso. Se puede mitigar el riesgo asegurando su código desde el principio, de modo que el problema no se agrave en el futuro.
Métricas recomendadas para realizar un seguimiento:
- Participación: ¿cuánto tiempo presupuestas para la formación y cómo participan los desarrolladores? ¿Están completando los cursos, las evaluaciones y participando en torneos?
- Habilidades: ¿dónde están las áreas de fortaleza? ¿Qué áreas ha identificado que necesitan mejoras?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec ha reducido las modificaciones de trabajo?
- Productividad: ¿cuánto tiempo lleva solucionar un problema? ¿Ha notado un aumento en la productividad o la velocidad gracias a la reducción de la vulnerabilidad?
Crea valor desplazándote a la izquierda
Las brechas y vulnerabilidades han aumentado rápidamente cada año. Es importante empezar a crear de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: su personal, en lugar de gastar dinero en herramientas que solo resuelven una parte del problema
- Mejore la eficiencia y la eficacia general al limitar los retrabajos o las correcciones que normalmente identificaría AppSec después el código está desplegado
- Mitigue el riesgo y logre el cumplimiento, evitando multas costosas, la pérdida de la confianza de los clientes o, lo que es peor, el costo de una violación de datos
Evite el pensamiento a corto plazo y las soluciones rápidas. Solo pueden generar deuda técnica y más costos en el futuro. Planifique a largo plazo aprovechando el poder de mejorar sus habilidades y permitir que sus desarrolladores sean su mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y compruebe usted mismo el impacto y el ahorro de costes.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
El costo de un código deficiente
Los avances tecnológicos hacen que sea más fácil que nunca para los desarrolladores enviar código más rápido que nunca. Esto puede resultar emocionante para la innovación, pero abrumador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costos de las herramientas adicionales, los programas de capacitación y la inversión en mejorar las habilidades de los desarrolladores puede parecer una «ventaja» frente a una función empresarial crítica si se mantiene la velocidad con la que se distribuye el código.
El código de envío más rápido puede haberse vuelto más fácil, pero desafortunadamente el envío seguro el código no lo ha hecho, lo que deja a las organizaciones vulnerables a más amenazas que nunca. El costo de la ciberdelincuencia es asombroso en todo el mundo y está aumentando rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. En promedio, el coste de una violación de datos es de 4,35 millones de dólares, lo que se reparte entre las pérdidas de negocio de los clientes actuales y potenciales, así como los recursos invertidos en la detección, la escalación y la reelaboración.
A pesar de estos costos astronómicos, más de la mitad de las organizaciones no requieren que los desarrolladores realicen una capacitación formal sobre código seguro cada año.
Todos los profesionales de la seguridad saben que encontrar y corregir vulnerabilidades puede parecer como jugar a golpear a un topo. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay posibilidades de mejora. La mayoría de las organizaciones descubren que, cuando se pone a prueba su capacidad de recuperación ante desastres o de respaldo, su enfoque de seguridad no es tan sólido como pensaban. Si reforzar la resiliencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva de los desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. La forma más rentable de mitigar el riesgo es contar con un equipo de desarrolladores capacitado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir las vulnerabilidades con rapidez.
Una idea errónea cuando se trata de la formación de desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguro. Según Klaus Klaus Klinger, especialista en concienciación sobre DevSec en Allianz, «todo tiene que empezar por la cabeza de la dirección. Invertir en la formación de desarrolladores no es una inversión perdida, sino una inversión en la calidad, la productividad y la reputación de la empresa».
El ROI a menudo puede ser difícil de cuantificar en este ámbito, pero, en última instancia, lo que las organizaciones deberían tener en cuenta es cómo su postura de seguridad les ayuda a reducir el riesgo, optimizar su enfoque y ahorrar tiempo y productividad para sus equipos de desarrolladores.
¿Cómo se puede cuantificar el ROI en los costos de ciberseguridad?
En lo que respecta al ROI, es importante considerarlo desde dos puntos de vista diferentes: el ahorro de costes que supone la mitigación del riesgo frente al impacto de la formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o una infracción hace que un sitio de comercio electrónico se vea obligado a desconectarse durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de la falta de solución se puede cuantificar teniendo en cuenta la pérdida de ingresos durante la interrupción, el impacto del robo de credenciales, la pérdida de confianza de los clientes (lo que se traduce en una reducción de las ventas a largo plazo) y la pérdida de productividad general al solucionar el problema.
En realidad, esto se reduce a un análisis de costo/beneficio. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que deben mantenerse o mejorarse.
Las personas a menudo se centran en las métricas incorrectas para determinar el éxito y el valor. Quizás deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en cambio, medir el impactar del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, debe crear objetivos medibles. Esto comienza con la evaluación de los conocimientos de codificación segura de los desarrolladores y con la comprensión de dónde necesitan desarrollar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarlo a tomar decisiones estratégicas sobre cómo crear programas de capacitación más ricos. Lo más importante es medir el impacto. Empieza por analizar el número de puntos débiles que se detectan durante el ciclo de vida del desarrollo de software mediante el análisis del código, las recompensas por errores o las clásicas pruebas de vulnerabilidad antes de iniciar el programa en cada equipo. Una de las maneras más sencillas de saber si tu programa de formación está obteniendo el resultado deseado es medir la disminución de las vulnerabilidades que se introducen en tu base de código en general.
Preguntas principales para evaluar el ROI:
1. ¿Estamos racionalizando nuestro enfoque?
¿Estás dedicando más herramientas al problema o resolviéndolo desde su raíz? Al añadir más herramientas a tu arsenal tecnológico, se crea un enfoque basado en el método «sin queso» para encontrar y corregir las vulnerabilidades. También aumentan los costos operativos con poco impacto en el origen de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de tu arsenal, no deberían ser tu última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la revisión del código devuelto desde AppSec puede provocar una pérdida importante de productividad. Reducir los simulacros de incendio al empoderar y permitir que los equipos de desarrolladores trabajen de forma práctica con sus entrenamiento de código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y corregir una vulnerabilidad puede ser como resolver un gran acertijo, que a veces puede tardar días, semanas o incluso meses en completarse con una solución sólida. Al permitir que los desarrolladores se encarguen de la solución desde el origen, AppSec se centra en la supervisión de los riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
El código de envío rápido no siempre es bueno. Reducir gastos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deudas técnicas. Pensar a corto plazo no es la respuesta en este caso. Se puede mitigar el riesgo asegurando su código desde el principio, de modo que el problema no se agrave en el futuro.
Métricas recomendadas para realizar un seguimiento:
- Participación: ¿cuánto tiempo presupuestas para la formación y cómo participan los desarrolladores? ¿Están completando los cursos, las evaluaciones y participando en torneos?
- Habilidades: ¿dónde están las áreas de fortaleza? ¿Qué áreas ha identificado que necesitan mejoras?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec ha reducido las modificaciones de trabajo?
- Productividad: ¿cuánto tiempo lleva solucionar un problema? ¿Ha notado un aumento en la productividad o la velocidad gracias a la reducción de la vulnerabilidad?
Crea valor desplazándote a la izquierda
Las brechas y vulnerabilidades han aumentado rápidamente cada año. Es importante empezar a crear de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: su personal, en lugar de gastar dinero en herramientas que solo resuelven una parte del problema
- Mejore la eficiencia y la eficacia general al limitar los retrabajos o las correcciones que normalmente identificaría AppSec después el código está desplegado
- Mitigue el riesgo y logre el cumplimiento, evitando multas costosas, la pérdida de la confianza de los clientes o, lo que es peor, el costo de una violación de datos
Evite el pensamiento a corto plazo y las soluciones rápidas. Solo pueden generar deuda técnica y más costos en el futuro. Planifique a largo plazo aprovechando el poder de mejorar sus habilidades y permitir que sus desarrolladores sean su mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y compruebe usted mismo el impacto y el ahorro de costes.
%20(1).avif)
.avif)
