El ROI de la seguridad impulsada por los desarrolladores
El costo de un código deficiente
Los avances tecnológicos hacen que sea más fácil que nunca para los desarrolladores enviar código más rápido que nunca. Esto puede resultar emocionante para la innovación, pero abrumador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costos de las herramientas adicionales, los programas de capacitación y la inversión en mejorar las habilidades de los desarrolladores puede parecer una «ventaja» frente a una función empresarial crítica si se mantiene la velocidad con la que se distribuye el código.
El código de envío más rápido puede haberse vuelto más fácil, pero desafortunadamente el envío seguro el código no lo ha hecho, lo que deja a las organizaciones vulnerables a más amenazas que nunca. El costo de la ciberdelincuencia es asombroso en todo el mundo y está aumentando rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. En promedio, el coste de una violación de datos es de 4,35 millones de dólares, lo que se reparte entre las pérdidas de negocio de los clientes actuales y potenciales, así como los recursos invertidos en la detección, la escalación y la reelaboración.
A pesar de estos costos astronómicos, más de la mitad de las organizaciones no requieren que los desarrolladores realicen una capacitación formal sobre código seguro cada año.
Todos los profesionales de la seguridad saben que encontrar y corregir vulnerabilidades puede parecer como jugar a golpear a un topo. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay posibilidades de mejora. La mayoría de las organizaciones descubren que, cuando se pone a prueba su capacidad de recuperación ante desastres o de respaldo, su enfoque de seguridad no es tan sólido como pensaban. Si reforzar la resiliencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva de los desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. La forma más rentable de mitigar el riesgo es contar con un equipo de desarrolladores capacitado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir las vulnerabilidades con rapidez.
Una idea errónea cuando se trata de la formación de desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguro. Según Klaus Klaus Klinger, especialista en concienciación sobre DevSec en Allianz, «todo tiene que empezar por la cabeza de la dirección. Invertir en la formación de desarrolladores no es una inversión perdida, sino una inversión en la calidad, la productividad y la reputación de la empresa».
El ROI a menudo puede ser difícil de cuantificar en este ámbito, pero, en última instancia, lo que las organizaciones deberían tener en cuenta es cómo su postura de seguridad les ayuda a reducir el riesgo, optimizar su enfoque y ahorrar tiempo y productividad para sus equipos de desarrolladores.
¿Cómo se puede cuantificar el ROI en los costos de ciberseguridad?
En lo que respecta al ROI, es importante considerarlo desde dos puntos de vista diferentes: el ahorro de costes que supone la mitigación del riesgo frente al impacto de la formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o una infracción hace que un sitio de comercio electrónico se vea obligado a desconectarse durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de la falta de solución se puede cuantificar teniendo en cuenta la pérdida de ingresos durante la interrupción, el impacto del robo de credenciales, la pérdida de confianza de los clientes (lo que se traduce en una reducción de las ventas a largo plazo) y la pérdida de productividad general al solucionar el problema.
En realidad, esto se reduce a un análisis de costo/beneficio. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que deben mantenerse o mejorarse.
Las personas a menudo se centran en las métricas incorrectas para determinar el éxito y el valor. Quizás deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en cambio, medir el impactar del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, debe crear objetivos medibles. Esto comienza con la evaluación de los conocimientos de codificación segura de los desarrolladores y con la comprensión de dónde necesitan desarrollar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarlo a tomar decisiones estratégicas sobre cómo crear programas de capacitación más ricos. Lo más importante es medir el impacto. Empieza por analizar el número de puntos débiles que se detectan durante el ciclo de vida del desarrollo de software mediante el análisis del código, las recompensas por errores o las clásicas pruebas de vulnerabilidad antes de iniciar el programa en cada equipo. Una de las maneras más sencillas de saber si tu programa de formación está obteniendo el resultado deseado es medir la disminución de las vulnerabilidades que se introducen en tu base de código en general.
Preguntas principales para evaluar el ROI:
1. ¿Estamos racionalizando nuestro enfoque?
¿Estás dedicando más herramientas al problema o resolviéndolo desde su raíz? Al añadir más herramientas a tu arsenal tecnológico, se crea un enfoque basado en el método «sin queso» para encontrar y corregir las vulnerabilidades. También aumentan los costos operativos con poco impacto en el origen de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de tu arsenal, no deberían ser tu última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la revisión del código devuelto desde AppSec puede provocar una pérdida importante de productividad. Reducir los simulacros de incendio al empoderar y permitir que los equipos de desarrolladores trabajen de forma práctica con sus entrenamiento de código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y corregir una vulnerabilidad puede ser como resolver un gran acertijo, que a veces puede tardar días, semanas o incluso meses en completarse con una solución sólida. Al permitir que los desarrolladores se encarguen de la solución desde el origen, AppSec se centra en la supervisión de los riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
El código de envío rápido no siempre es bueno. Reducir gastos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deudas técnicas. Pensar a corto plazo no es la respuesta en este caso. Se puede mitigar el riesgo asegurando su código desde el principio, de modo que el problema no se agrave en el futuro.
Métricas recomendadas para realizar un seguimiento:
- Participación: ¿cuánto tiempo presupuestas para la formación y cómo participan los desarrolladores? ¿Están completando los cursos, las evaluaciones y participando en torneos?
- Habilidades: ¿dónde están las áreas de fortaleza? ¿Qué áreas ha identificado que necesitan mejoras?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec ha reducido las modificaciones de trabajo?
- Productividad: ¿cuánto tiempo lleva solucionar un problema? ¿Ha notado un aumento en la productividad o la velocidad gracias a la reducción de la vulnerabilidad?
Crea valor desplazándote a la izquierda
Las brechas y vulnerabilidades han aumentado rápidamente cada año. Es importante empezar a crear de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: su personal, en lugar de gastar dinero en herramientas que solo resuelven una parte del problema
- Mejore la eficiencia y la eficacia general al limitar los retrabajos o las correcciones que normalmente identificaría AppSec después el código está desplegado
- Mitigue el riesgo y logre el cumplimiento, evitando multas costosas, la pérdida de la confianza de los clientes o, lo que es peor, el costo de una violación de datos
Evite el pensamiento a corto plazo y las soluciones rápidas. Solo pueden generar deuda técnica y más costos en el futuro. Planifique a largo plazo aprovechando el poder de mejorar sus habilidades y permitir que sus desarrolladores sean su mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y compruebe usted mismo el impacto y el ahorro de costes.
Todo el mundo quiere obtener un buen retorno de su inversión cuando se trata de invertir en su paquete tecnológico o en programas de formación adicionales, pero cuando se trata de seguridad, hay que jugar a largo plazo que vaya más allá del simple cálculo del ROI. Descubra cómo invertir en una seguridad impulsada por los desarrolladores no solo permitirá ahorrar en lo que respecta a las costosas brechas de seguridad, la pérdida de productividad y la deuda tecnológica acumulada, sino que también creará una estrategia proactiva y rentable para mantenerse a la vanguardia del panorama actual de amenazas.
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
이 기사는 다음에 의해 작성되었습니다. Secure Code Warrior 업계 전문가로 구성된 팀은 개발자에게 처음부터 안전한 소프트웨어를 구축할 수 있는 지식과 기술을 제공하기 위해 최선을 다하고 있습니다. 안전한 코딩 관행, 업계 동향 및 실제 통찰력에 대한 심층적인 전문 지식을 활용합니다.
El costo de un código deficiente
Los avances tecnológicos hacen que sea más fácil que nunca para los desarrolladores enviar código más rápido que nunca. Esto puede resultar emocionante para la innovación, pero abrumador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costos de las herramientas adicionales, los programas de capacitación y la inversión en mejorar las habilidades de los desarrolladores puede parecer una «ventaja» frente a una función empresarial crítica si se mantiene la velocidad con la que se distribuye el código.
El código de envío más rápido puede haberse vuelto más fácil, pero desafortunadamente el envío seguro el código no lo ha hecho, lo que deja a las organizaciones vulnerables a más amenazas que nunca. El costo de la ciberdelincuencia es asombroso en todo el mundo y está aumentando rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. En promedio, el coste de una violación de datos es de 4,35 millones de dólares, lo que se reparte entre las pérdidas de negocio de los clientes actuales y potenciales, así como los recursos invertidos en la detección, la escalación y la reelaboración.
A pesar de estos costos astronómicos, más de la mitad de las organizaciones no requieren que los desarrolladores realicen una capacitación formal sobre código seguro cada año.
Todos los profesionales de la seguridad saben que encontrar y corregir vulnerabilidades puede parecer como jugar a golpear a un topo. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay posibilidades de mejora. La mayoría de las organizaciones descubren que, cuando se pone a prueba su capacidad de recuperación ante desastres o de respaldo, su enfoque de seguridad no es tan sólido como pensaban. Si reforzar la resiliencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva de los desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. La forma más rentable de mitigar el riesgo es contar con un equipo de desarrolladores capacitado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir las vulnerabilidades con rapidez.
Una idea errónea cuando se trata de la formación de desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguro. Según Klaus Klaus Klinger, especialista en concienciación sobre DevSec en Allianz, «todo tiene que empezar por la cabeza de la dirección. Invertir en la formación de desarrolladores no es una inversión perdida, sino una inversión en la calidad, la productividad y la reputación de la empresa».
El ROI a menudo puede ser difícil de cuantificar en este ámbito, pero, en última instancia, lo que las organizaciones deberían tener en cuenta es cómo su postura de seguridad les ayuda a reducir el riesgo, optimizar su enfoque y ahorrar tiempo y productividad para sus equipos de desarrolladores.
¿Cómo se puede cuantificar el ROI en los costos de ciberseguridad?
En lo que respecta al ROI, es importante considerarlo desde dos puntos de vista diferentes: el ahorro de costes que supone la mitigación del riesgo frente al impacto de la formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o una infracción hace que un sitio de comercio electrónico se vea obligado a desconectarse durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de la falta de solución se puede cuantificar teniendo en cuenta la pérdida de ingresos durante la interrupción, el impacto del robo de credenciales, la pérdida de confianza de los clientes (lo que se traduce en una reducción de las ventas a largo plazo) y la pérdida de productividad general al solucionar el problema.
En realidad, esto se reduce a un análisis de costo/beneficio. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que deben mantenerse o mejorarse.
Las personas a menudo se centran en las métricas incorrectas para determinar el éxito y el valor. Quizás deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en cambio, medir el impactar del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, debe crear objetivos medibles. Esto comienza con la evaluación de los conocimientos de codificación segura de los desarrolladores y con la comprensión de dónde necesitan desarrollar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarlo a tomar decisiones estratégicas sobre cómo crear programas de capacitación más ricos. Lo más importante es medir el impacto. Empieza por analizar el número de puntos débiles que se detectan durante el ciclo de vida del desarrollo de software mediante el análisis del código, las recompensas por errores o las clásicas pruebas de vulnerabilidad antes de iniciar el programa en cada equipo. Una de las maneras más sencillas de saber si tu programa de formación está obteniendo el resultado deseado es medir la disminución de las vulnerabilidades que se introducen en tu base de código en general.
Preguntas principales para evaluar el ROI:
1. ¿Estamos racionalizando nuestro enfoque?
¿Estás dedicando más herramientas al problema o resolviéndolo desde su raíz? Al añadir más herramientas a tu arsenal tecnológico, se crea un enfoque basado en el método «sin queso» para encontrar y corregir las vulnerabilidades. También aumentan los costos operativos con poco impacto en el origen de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de tu arsenal, no deberían ser tu última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la revisión del código devuelto desde AppSec puede provocar una pérdida importante de productividad. Reducir los simulacros de incendio al empoderar y permitir que los equipos de desarrolladores trabajen de forma práctica con sus entrenamiento de código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y corregir una vulnerabilidad puede ser como resolver un gran acertijo, que a veces puede tardar días, semanas o incluso meses en completarse con una solución sólida. Al permitir que los desarrolladores se encarguen de la solución desde el origen, AppSec se centra en la supervisión de los riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
El código de envío rápido no siempre es bueno. Reducir gastos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deudas técnicas. Pensar a corto plazo no es la respuesta en este caso. Se puede mitigar el riesgo asegurando su código desde el principio, de modo que el problema no se agrave en el futuro.
Métricas recomendadas para realizar un seguimiento:
- Participación: ¿cuánto tiempo presupuestas para la formación y cómo participan los desarrolladores? ¿Están completando los cursos, las evaluaciones y participando en torneos?
- Habilidades: ¿dónde están las áreas de fortaleza? ¿Qué áreas ha identificado que necesitan mejoras?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec ha reducido las modificaciones de trabajo?
- Productividad: ¿cuánto tiempo lleva solucionar un problema? ¿Ha notado un aumento en la productividad o la velocidad gracias a la reducción de la vulnerabilidad?
Crea valor desplazándote a la izquierda
Las brechas y vulnerabilidades han aumentado rápidamente cada año. Es importante empezar a crear de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: su personal, en lugar de gastar dinero en herramientas que solo resuelven una parte del problema
- Mejore la eficiencia y la eficacia general al limitar los retrabajos o las correcciones que normalmente identificaría AppSec después el código está desplegado
- Mitigue el riesgo y logre el cumplimiento, evitando multas costosas, la pérdida de la confianza de los clientes o, lo que es peor, el costo de una violación de datos
Evite el pensamiento a corto plazo y las soluciones rápidas. Solo pueden generar deuda técnica y más costos en el futuro. Planifique a largo plazo aprovechando el poder de mejorar sus habilidades y permitir que sus desarrolladores sean su mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y compruebe usted mismo el impacto y el ahorro de costes.
El costo de un código deficiente
Los avances tecnológicos hacen que sea más fácil que nunca para los desarrolladores enviar código más rápido que nunca. Esto puede resultar emocionante para la innovación, pero abrumador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costos de las herramientas adicionales, los programas de capacitación y la inversión en mejorar las habilidades de los desarrolladores puede parecer una «ventaja» frente a una función empresarial crítica si se mantiene la velocidad con la que se distribuye el código.
El código de envío más rápido puede haberse vuelto más fácil, pero desafortunadamente el envío seguro el código no lo ha hecho, lo que deja a las organizaciones vulnerables a más amenazas que nunca. El costo de la ciberdelincuencia es asombroso en todo el mundo y está aumentando rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. En promedio, el coste de una violación de datos es de 4,35 millones de dólares, lo que se reparte entre las pérdidas de negocio de los clientes actuales y potenciales, así como los recursos invertidos en la detección, la escalación y la reelaboración.
A pesar de estos costos astronómicos, más de la mitad de las organizaciones no requieren que los desarrolladores realicen una capacitación formal sobre código seguro cada año.
Todos los profesionales de la seguridad saben que encontrar y corregir vulnerabilidades puede parecer como jugar a golpear a un topo. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay posibilidades de mejora. La mayoría de las organizaciones descubren que, cuando se pone a prueba su capacidad de recuperación ante desastres o de respaldo, su enfoque de seguridad no es tan sólido como pensaban. Si reforzar la resiliencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva de los desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. La forma más rentable de mitigar el riesgo es contar con un equipo de desarrolladores capacitado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir las vulnerabilidades con rapidez.
Una idea errónea cuando se trata de la formación de desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguro. Según Klaus Klaus Klinger, especialista en concienciación sobre DevSec en Allianz, «todo tiene que empezar por la cabeza de la dirección. Invertir en la formación de desarrolladores no es una inversión perdida, sino una inversión en la calidad, la productividad y la reputación de la empresa».
El ROI a menudo puede ser difícil de cuantificar en este ámbito, pero, en última instancia, lo que las organizaciones deberían tener en cuenta es cómo su postura de seguridad les ayuda a reducir el riesgo, optimizar su enfoque y ahorrar tiempo y productividad para sus equipos de desarrolladores.
¿Cómo se puede cuantificar el ROI en los costos de ciberseguridad?
En lo que respecta al ROI, es importante considerarlo desde dos puntos de vista diferentes: el ahorro de costes que supone la mitigación del riesgo frente al impacto de la formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o una infracción hace que un sitio de comercio electrónico se vea obligado a desconectarse durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de la falta de solución se puede cuantificar teniendo en cuenta la pérdida de ingresos durante la interrupción, el impacto del robo de credenciales, la pérdida de confianza de los clientes (lo que se traduce en una reducción de las ventas a largo plazo) y la pérdida de productividad general al solucionar el problema.
En realidad, esto se reduce a un análisis de costo/beneficio. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que deben mantenerse o mejorarse.
Las personas a menudo se centran en las métricas incorrectas para determinar el éxito y el valor. Quizás deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en cambio, medir el impactar del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, debe crear objetivos medibles. Esto comienza con la evaluación de los conocimientos de codificación segura de los desarrolladores y con la comprensión de dónde necesitan desarrollar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarlo a tomar decisiones estratégicas sobre cómo crear programas de capacitación más ricos. Lo más importante es medir el impacto. Empieza por analizar el número de puntos débiles que se detectan durante el ciclo de vida del desarrollo de software mediante el análisis del código, las recompensas por errores o las clásicas pruebas de vulnerabilidad antes de iniciar el programa en cada equipo. Una de las maneras más sencillas de saber si tu programa de formación está obteniendo el resultado deseado es medir la disminución de las vulnerabilidades que se introducen en tu base de código en general.
Preguntas principales para evaluar el ROI:
1. ¿Estamos racionalizando nuestro enfoque?
¿Estás dedicando más herramientas al problema o resolviéndolo desde su raíz? Al añadir más herramientas a tu arsenal tecnológico, se crea un enfoque basado en el método «sin queso» para encontrar y corregir las vulnerabilidades. También aumentan los costos operativos con poco impacto en el origen de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de tu arsenal, no deberían ser tu última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la revisión del código devuelto desde AppSec puede provocar una pérdida importante de productividad. Reducir los simulacros de incendio al empoderar y permitir que los equipos de desarrolladores trabajen de forma práctica con sus entrenamiento de código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y corregir una vulnerabilidad puede ser como resolver un gran acertijo, que a veces puede tardar días, semanas o incluso meses en completarse con una solución sólida. Al permitir que los desarrolladores se encarguen de la solución desde el origen, AppSec se centra en la supervisión de los riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
El código de envío rápido no siempre es bueno. Reducir gastos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deudas técnicas. Pensar a corto plazo no es la respuesta en este caso. Se puede mitigar el riesgo asegurando su código desde el principio, de modo que el problema no se agrave en el futuro.
Métricas recomendadas para realizar un seguimiento:
- Participación: ¿cuánto tiempo presupuestas para la formación y cómo participan los desarrolladores? ¿Están completando los cursos, las evaluaciones y participando en torneos?
- Habilidades: ¿dónde están las áreas de fortaleza? ¿Qué áreas ha identificado que necesitan mejoras?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec ha reducido las modificaciones de trabajo?
- Productividad: ¿cuánto tiempo lleva solucionar un problema? ¿Ha notado un aumento en la productividad o la velocidad gracias a la reducción de la vulnerabilidad?
Crea valor desplazándote a la izquierda
Las brechas y vulnerabilidades han aumentado rápidamente cada año. Es importante empezar a crear de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: su personal, en lugar de gastar dinero en herramientas que solo resuelven una parte del problema
- Mejore la eficiencia y la eficacia general al limitar los retrabajos o las correcciones que normalmente identificaría AppSec después el código está desplegado
- Mitigue el riesgo y logre el cumplimiento, evitando multas costosas, la pérdida de la confianza de los clientes o, lo que es peor, el costo de una violación de datos
Evite el pensamiento a corto plazo y las soluciones rápidas. Solo pueden generar deuda técnica y más costos en el futuro. Planifique a largo plazo aprovechando el poder de mejorar sus habilidades y permitir que sus desarrolladores sean su mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y compruebe usted mismo el impacto y el ahorro de costes.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
이 기사는 다음에 의해 작성되었습니다. Secure Code Warrior 업계 전문가로 구성된 팀은 개발자에게 처음부터 안전한 소프트웨어를 구축할 수 있는 지식과 기술을 제공하기 위해 최선을 다하고 있습니다. 안전한 코딩 관행, 업계 동향 및 실제 통찰력에 대한 심층적인 전문 지식을 활용합니다.
El costo de un código deficiente
Los avances tecnológicos hacen que sea más fácil que nunca para los desarrolladores enviar código más rápido que nunca. Esto puede resultar emocionante para la innovación, pero abrumador cuando se trata de aumentar la calidad y la seguridad del software. Justificar los costos de las herramientas adicionales, los programas de capacitación y la inversión en mejorar las habilidades de los desarrolladores puede parecer una «ventaja» frente a una función empresarial crítica si se mantiene la velocidad con la que se distribuye el código.
El código de envío más rápido puede haberse vuelto más fácil, pero desafortunadamente el envío seguro el código no lo ha hecho, lo que deja a las organizaciones vulnerables a más amenazas que nunca. El costo de la ciberdelincuencia es asombroso en todo el mundo y está aumentando rápidamente. De hecho, en 2020, el coste de la ciberdelincuencia fue de aproximadamente 1 billón de dólares. En promedio, el coste de una violación de datos es de 4,35 millones de dólares, lo que se reparte entre las pérdidas de negocio de los clientes actuales y potenciales, así como los recursos invertidos en la detección, la escalación y la reelaboración.
A pesar de estos costos astronómicos, más de la mitad de las organizaciones no requieren que los desarrolladores realicen una capacitación formal sobre código seguro cada año.
Todos los profesionales de la seguridad saben que encontrar y corregir vulnerabilidades puede parecer como jugar a golpear a un topo. Incluso si ya dispone de un programa de seguridad con una estrategia de corrección, siempre hay posibilidades de mejora. La mayoría de las organizaciones descubren que, cuando se pone a prueba su capacidad de recuperación ante desastres o de respaldo, su enfoque de seguridad no es tan sólido como pensaban. Si reforzar la resiliencia de su organización frente a los ciberataques es una de sus principales prioridades, cambiar la perspectiva de los desarrolladores debería estar dentro de sus planes para seguir mejorando su postura de seguridad. La forma más rentable de mitigar el riesgo es contar con un equipo de desarrolladores capacitado y capacitado que cree código seguro desde el principio y que tenga los conocimientos suficientes para localizar y corregir las vulnerabilidades con rapidez.
Una idea errónea cuando se trata de la formación de desarrolladores es que se trata simplemente de un coste para la empresa o incluso de una póliza de seguro. Según Klaus Klaus Klinger, especialista en concienciación sobre DevSec en Allianz, «todo tiene que empezar por la cabeza de la dirección. Invertir en la formación de desarrolladores no es una inversión perdida, sino una inversión en la calidad, la productividad y la reputación de la empresa».
El ROI a menudo puede ser difícil de cuantificar en este ámbito, pero, en última instancia, lo que las organizaciones deberían tener en cuenta es cómo su postura de seguridad les ayuda a reducir el riesgo, optimizar su enfoque y ahorrar tiempo y productividad para sus equipos de desarrolladores.
¿Cómo se puede cuantificar el ROI en los costos de ciberseguridad?
En lo que respecta al ROI, es importante considerarlo desde dos puntos de vista diferentes: el ahorro de costes que supone la mitigación del riesgo frente al impacto de la formación en seguridad.
Consideremos este ejemplo demasiado común: una vulnerabilidad o una infracción hace que un sitio de comercio electrónico se vea obligado a desconectarse durante varios días mientras sus equipos buscan el problema y cómo solucionarlo. El coste de la falta de solución se puede cuantificar teniendo en cuenta la pérdida de ingresos durante la interrupción, el impacto del robo de credenciales, la pérdida de confianza de los clientes (lo que se traduce en una reducción de las ventas a largo plazo) y la pérdida de productividad general al solucionar el problema.
En realidad, esto se reduce a un análisis de costo/beneficio. Las áreas clave que querrá evaluar son el nivel de madurez de seguridad de su empresa, los niveles de aceptación de riesgos de su empresa y las áreas de su código que deben mantenerse o mejorarse.
Las personas a menudo se centran en las métricas incorrectas para determinar el éxito y el valor. Quizás deberíamos preocuparnos menos por el rendimiento de la inversión inicial del programa y, en cambio, medir el impactar del propio programa.
Medida para demostrar el impacto
Para establecer el ROI, debe crear objetivos medibles. Esto comienza con la evaluación de los conocimientos de codificación segura de los desarrolladores y con la comprensión de dónde necesitan desarrollar sus habilidades.
Un punto de partida sería medir el compromiso para ayudarlo a tomar decisiones estratégicas sobre cómo crear programas de capacitación más ricos. Lo más importante es medir el impacto. Empieza por analizar el número de puntos débiles que se detectan durante el ciclo de vida del desarrollo de software mediante el análisis del código, las recompensas por errores o las clásicas pruebas de vulnerabilidad antes de iniciar el programa en cada equipo. Una de las maneras más sencillas de saber si tu programa de formación está obteniendo el resultado deseado es medir la disminución de las vulnerabilidades que se introducen en tu base de código en general.
Preguntas principales para evaluar el ROI:
1. ¿Estamos racionalizando nuestro enfoque?
¿Estás dedicando más herramientas al problema o resolviéndolo desde su raíz? Al añadir más herramientas a tu arsenal tecnológico, se crea un enfoque basado en el método «sin queso» para encontrar y corregir las vulnerabilidades. También aumentan los costos operativos con poco impacto en el origen de muchas vulnerabilidades: el código. Aunque las herramientas de escaneo y pentesting deberían formar parte de tu arsenal, no deberían ser tu última línea de defensa.
2. ¿Estamos mejorando la eficiencia y la productividad?
El tiempo dedicado a revisiones exhaustivas del código y a la revisión del código devuelto desde AppSec puede provocar una pérdida importante de productividad. Reducir los simulacros de incendio al empoderar y permitir que los equipos de desarrolladores trabajen de forma práctica con sus entrenamiento de código seguro debería ser un buen punto de referencia para evaluar el impacto positivo de su programa de seguridad.
3. ¿Estamos reduciendo los riesgos?
Encontrar y corregir una vulnerabilidad puede ser como resolver un gran acertijo, que a veces puede tardar días, semanas o incluso meses en completarse con una solución sólida. Al permitir que los desarrolladores se encarguen de la solución desde el origen, AppSec se centra en la supervisión de los riesgos y en reforzar la postura de seguridad de la organización.
4. ¿Estamos aumentando la velocidad (pero manteniendo la calidad)?
El código de envío rápido no siempre es bueno. Reducir gastos e introducir vulnerabilidades en el código puede crear muchos quebraderos de cabeza en el futuro y acumular deudas técnicas. Pensar a corto plazo no es la respuesta en este caso. Se puede mitigar el riesgo asegurando su código desde el principio, de modo que el problema no se agrave en el futuro.
Métricas recomendadas para realizar un seguimiento:
- Participación: ¿cuánto tiempo presupuestas para la formación y cómo participan los desarrolladores? ¿Están completando los cursos, las evaluaciones y participando en torneos?
- Habilidades: ¿dónde están las áreas de fortaleza? ¿Qué áreas ha identificado que necesitan mejoras?
- Reducción de vulnerabilidades: ¿ha notado una disminución apreciable de las vulnerabilidades durante la revisión del código? ¿Está viendo que AppSec ha reducido las modificaciones de trabajo?
- Productividad: ¿cuánto tiempo lleva solucionar un problema? ¿Ha notado un aumento en la productividad o la velocidad gracias a la reducción de la vulnerabilidad?
Crea valor desplazándote a la izquierda
Las brechas y vulnerabilidades han aumentado rápidamente cada año. Es importante empezar a crear de forma proactiva un enfoque holístico de la seguridad, empezando por el código. Esto ayudará a:
- Reduzca la complejidad invirtiendo en sus recursos más valiosos: su personal, en lugar de gastar dinero en herramientas que solo resuelven una parte del problema
- Mejore la eficiencia y la eficacia general al limitar los retrabajos o las correcciones que normalmente identificaría AppSec después el código está desplegado
- Mitigue el riesgo y logre el cumplimiento, evitando multas costosas, la pérdida de la confianza de los clientes o, lo que es peor, el costo de una violación de datos
Evite el pensamiento a corto plazo y las soluciones rápidas. Solo pueden generar deuda técnica y más costos en el futuro. Planifique a largo plazo aprovechando el poder de mejorar sus habilidades y permitir que sus desarrolladores sean su mejor línea de defensa contra las vulnerabilidades y la ciberdelincuencia, y compruebe usted mismo el impacto y el ahorro de costes.
목차
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
