El mundo es cada vez más una prerrogativa del software y el auditor de Código Seguro trabaja duro para garantizar que sea fiable e intacto. La codificación segura es cada vez más esencial para proporcionar software de calidad que asegure el éxito tanto de quienes lo desarrollan como de quienes lo utilizan.
Es el hombre o la mujer quien trabaja detrás de las líneas, forma parte de las líneas de defensa y debe poseer conocimientos tecnológicos y otros más suaves como, por ejemplo, la capacidad de predecir las consecuencias, aunque sean teóricas, de las debilidades del software.
Dado que el software gobernará el futuro y que las amenazas tienden a evolucionar en número y sofisticación, es fácil deducir que la profesión de auditor de códigos seguros tendrá cada vez más demanda.
Introducción a la profesión de auditor de código seguro
El software y las aplicaciones en general son cruciales. No hablamos sólo de software de gestión o específico, incluido el desarrollado dentro de las organizaciones que lo utilizan, existe un mundo infinito de dispositivos IoT y IIoT que están revolucionando la forma de hacer negocios y que a su vez son gestionados mediante código desarrollado expresamente.
También existe un hemisferio de API que permite la integración de aplicaciones con otras aplicaciones y, independientemente, hay software que se comunican entre sí a través de interfaces especiales capaces de reverberar cualquier falla en el código.
Encontrar fallos antes de que sean descubiertos y utilizados de forma deshonesta es una de las tareas del auditor de código seguro.
¿Quién es el auditor de código seguro? Definición y función
La tarea del auditor de código seguro, sin embargo, no se limita a identificar fallos en el código, sino que debe comprender las arquitecturas de software (incluidas, por tanto, las API y los protocolos de red) para evaluar los riesgos en su complejidad y sugerir soluciones para mitigarlos.
Esto, como veremos, requiere habilidades amplias y variadas, así como atención al detalle y capacidad de anticipación y resolución de problemas. Estamos ante una de las muchas nuevas profesiones de ciberseguridad que tienen la peculiaridad de ser explosivas y estar siempre evolucionando a medida que aumenta la sofisticación de las técnicas de los atacantes.
Por lo tanto, la verificación del código fuente de aplicaciones y sistemas, la identificación de vulnerabilidades y las medidas de mitigación son partes integrales de la profesión de auditor de código seguro.
Las contramedidas y mejoras sugeridas por el auditor de Código Seguro impactan tanto a quienes desarrollan el código como al departamento jurídico de la empresa, llamado a elaborar políticas de uso del software teniendo en cuenta los riesgos potenciales a los que están expuestos los usuarios.
Campo de acción: ¿Dónde trabaja un auditor de Secure Code?
Cuando forma parte de una empresa pública o privada, aporta sus habilidades dentro del Centro de Operaciones de Seguridad (SOC). Como veremos, el auditor de códigos seguros es una figura que también encuentra espacio en los campos de la educación y la investigación.
Antes incluso, hay que considerar que en un SOC existen figuras profesionales cuyas tareas, al menos en parte, tienden a superponerse a las del auditor de Código Seguro: entre ellos, por ejemplo, el auditor de Seguridad y el analista de Seguridad.
El primero, en la medida en que también está llamado a evaluar las políticas de seguridad, debe trabajar en estrecha colaboración con el Auditor del código seguro, al igual que el Analista de seguridad que, en virtud de sus funciones, es responsable de difundir la cibercultura en la empresa.
La importancia del auditor de Código Seguro
Lo que se ha escrito hasta ahora ayuda a resaltar la importancia del Auditor del Código Seguro. Es una figura fundamental cuyas habilidades y trabajo forman parte del éxito (o el fracaso) del software producido y, en consecuencia, de la continuidad del negocio de quienes lo utilizan.
Una empresa que produce software defectuoso desde el punto de vista de la seguridad está destinada a desaparecer y, del mismo modo, las organizaciones que lo utilizan pagan el precio.
La tarea del auditor de Código Seguro es detectar y mitigar las amenazas antes de que puedan ser explotadas por los atacantes y esto, directamente, también tiene que ver con la protección de los datos y los servicios digitales en su conjunto.
Habilidades necesarias para convertirse en auditor de Secure Code
Las habilidades son transversales y no todas son atribuibles a disciplinas técnicas o tecnológicas. De hecho, como veremos a continuación, también se necesitan habilidades en los campos de la lógica y la comunicación, entre otros. Pero veamos en detalle cuáles son las habilidades fundamentales de un auditor de Secure Code.
Habilidades matemáticas y lógicas
Las matemáticas son el hilo conductor que une a las profesiones de seguridad cibernética, cuyos principios clave incluyen el cifrado y el análisis de datos para identificar y prevenir amenazas potenciales.
Aunque son disciplinas diferentes, las matemáticas y la lógica propiamente dicha a menudo van de la mano. En el caso del auditor de código seguro, también responsable de predecir fallos funcionales y lógicos en el código, no hace falta decir que la lógica en sí misma es una habilidad fundamental, así como es crucial para evaluar cuidadosamente las evidencias resultantes del análisis de datos.
Profundizando en la lógica en sentido amplio, la lógica booleana desempeña un papel esencial que también sirve para definir los procedimientos de ofuscación del código que limitan los riesgos de la ingeniería inversa tan apreciada por los piratas informáticos.
Familiaridad con las tecnologías informáticas y los lenguajes de programación
Sin tener un conocimiento sólido de lógicas y lenguajes de programación, el auditor de código seguro no sería capaz de realizar su trabajo. Además, también deben formar parte de su conocimiento vulnerabilidades como, por ejemplo, Cross-Site Scripting (XSS), inyección SQL, desbordamiento de búfer y muchas otras, aún más recientes y por tanto menos conocidas.
Capacidad para resolver problemas y pensar analíticamente
El análisis crítico es esencial para llevar a cabo revisiones de código efectivas que sean realmente útiles para identificar riesgos y vulnerabilidades que no aparecen a primera vista. Esto se refiere a la necesaria predisposición al detalle y la precisión, precisamente porque los piratas informáticos también se basan (y en algunos casos, sobre todo) en vulnerabilidades más pequeñas.
No menos importante es que la capacidad de un auditor de código seguro para proponer soluciones que mitiguen los riesgos requiere una fuerte predisposición a la resolución de problemas, otra habilidad común a todas las profesiones de ciberseguridad.
Herramientas y técnicas que un auditor de Secure Code debe conocer
En primer lugar, el auditor de código seguro debe ser un evangelista de las mejores prácticas de seguridad como, por ejemplo, OWASP (Open Web Application Security Project) y SANS (SysAdmin, Audit, Network, and Security Institute).
A ellas, siempre en primera instancia, hay que sumar herramientas automáticas de análisis de código. Los más populares son Checkmarx, Fortify y SonarQube.
Sin embargo, hay más habilidades y técnicas que un auditor de código seguro debe tener.
Modelos estadísticos
Las amenazas evolucionan constantemente y los modelos estadísticos son valiosos para identificar patrones inusuales que pueden coincidir con violaciones de seguridad, lo que ayuda a responder a incidentes.
Los modelos cuantitativos, útiles para la gestión de riesgos, también favorecen la priorización de estrategias de respuesta.
El uso de modelos y el análisis de grandes cantidades de datos son esenciales para identificar tendencias de amenazas. Una vez más, vuelve una predisposición natural por la lógica y las matemáticas, ambas útiles para las interpretaciones de los datos que entran dentro de las tareas del auditor de Código Seguro.
Habilidades de comunicación
El auditor de Secure Code tiene sobre sus hombros, entre otras cosas, la tarea de comunicar el fruto de su trabajo a todas las partes implicadas, a las partes interesadas.
La claridad se vuelve esencial porque no todo el mundo está acostumbrado a los términos típicos de ITC y ciberseguridad. Del mismo modo, las recomendaciones que resulten del análisis del código deben ser detalladas y claras.
Saber comunicarse es una de las habilidades sociales indispensables y es una de esas cualidades que pueden perfeccionarse hasta cierto punto, pero que se basan en las habilidades innatas del individuo.
Trayectoria formativa para convertirse en auditor de Secure Code
Un título en Ciencias de la Computación, en Informática, Ingeniería de Software o una titulación equivalente es lo que suele exigir el mercado laboral que, sin embargo, no desdeña la experiencia adquirida en el campo.
Además, certificaciones como la de Certified Ethical Hacker (CEH), la de Certified Information Systems Security Professional (CISSP) o la de Offensive Security Certified Professional (OSCP) son credenciales más que válidas en el currículum vitae de quienes aspiran a la profesión de Secure.
La educación formal, aunque fundamental, constituye sólo una parte de los conocimientos necesarios. En otras palabras, el camino formativo para convertirse en auditor de códigos seguros es complejo y también incluye experiencia práctica.
Cursos y actualización continua
La formación también incluye cursos de ciberseguridad pero también de programación segura. Los talleres y conferencias más populares ofrecen muchas ideas, que a menudo se centran en las últimas técnicas en el campo de la seguridad. Seguir conferencias y eventos como Black Hat, Defcon o OWASP AppSec es crucial para una actualización que también puede garantizarse mediante lecturas del sector o uniéndose a foros específicos.
Experiencia de campo y oportunidades de pasantías
Las oportunidades de pasantías siempre son beneficiosas, especialmente para aquellos que comienzan en puestos de desarrollador o analista de seguridad.
Sin embargo, después de haber realizado varias búsquedas online, podemos afirmar que el mercado laboral italiano no es muy receptivo a la figura del auditor de códigos seguros.
Por tanto, es más factible ejercer una de las muchas profesiones relacionadas con la ciberseguridad y, a medida que pasa el tiempo, aprovechar todas las posibilidades que se abren para abordar la función de Auditor de código seguro pasando, por ejemplo, por los roles de Ingeniero de seguridad de aplicaciones o Seguro. revisor de código.
La carrera y las perspectivas de futuro de un auditor de Secure Code
La profesión de auditor de código seguro puede considerarse intermedia para aquellos que tienen mayores ambiciones y quieren desempeñar el papel de arquitecto de seguridad, gerente de seguridad e incluso el de director de seguridad de la información (Ciso).
Las perspectivas de futuro están estrechamente ligadas a la evolución de las ciberamenazas, un aspecto que no ha dejado de ocurrir en los últimos cinco años y que, a la espera de indicios claros en sentido contrario, seguirá aumentando tanto en número como en sofisticación.
Sin embargo, las normativas cada vez más estrictas (pensemos sobre todo en el RGPD ) exigen a los productores una mayor diligencia a la hora de garantizar la seguridad de lo que desarrollan.
Diversas oportunidades en los sectores público y privado
Especialmente en el extranjero y solo en la costa italiana, hay muchas oportunidades laborales para un auditor de Secure Code, del mismo modo que existen diferentes tipos de organizaciones en las que puede entrar. Entre estas se encuentran:
- Empresas comerciales dedicadas al desarrollo de software.
- Grandes empresas que desarrollan software internamente, como bancos. compañías de telecomunicaciones, compañías de seguros o actores de la salud.
- Firmas consultoras.
- Agencias gubernamentales que se ocupan de la defensa o que gestionan datos de personas físicas o jurídicas.
- Instituciones educativas y de investigación. La protección de los sistemas y los códigos no es solo una prerrogativa de los sectores comerciales típicos.
Luego está el camino siempre válido de la profesión, que, sin embargo, puede tener más atractivo en otros países que en Italia.
Compensación esperada y crecimiento profesional
Las búsquedas en línea también han arrojado resultados diferentes en lo que respecta a la remuneración. En Europa, oscila entre 60 mil y 75 mil euros al año. En los Estados Unidos, puede esperar una compensación mayor, del orden de los 100 mil dólares, o algo menos de 92 mil euros al año.
Según el sitio web Indeed, el salario promedio de un auditor de calidad en Colombia es de 1.482.328 pesos mensuales. No obstante, este monto puede fluctuar en función de factores como la empresa, la ubicación del empleo, los años de experiencia, la educación, las competencias y las certificaciones del profesional.
El crecimiento profesional, incluso si nos movemos en el campo de las hipótesis, vendrá dictado cada vez más por la nube y la seguridad del IoT.
A medida que aumente la adopción de estas dos tecnologías, incluso las empresas más pequeñas necesitarán escribir código propietario para crear aplicaciones e interfaces en la nube para recopilar datos y procesarlos.
De este modo, los auditores de código seguro podrán especializarse y convertirse en una parte cada vez más integral de las organizaciones para las que trabajan.