El camino hacia los campeones en seguridad: Cómo Workday utilizó el aprendizaje ágil para mejorar las competencias de los desarrolladores
El camino hacia los campeones en seguridad: Cómo Workday utilizó el aprendizaje ágil para mejorar las competencias de los desarrolladores
Situación
Antes de que Workday implementara el aprendizaje ágil con Secure Code Warrior, utilizaban internamente courses que consistía en grabaciones de presentaciones de PowerPoint que cubrían las 10 vulnerabilidades principales de OWASP con algunos ejemplos de pseudocódigo. Alex Uda, director del programa de formación de desarrolladores de seguridad, se dio cuenta de que esto no ayudaba a su equipo ni al equipo de seguridad en general a alcanzar sus objetivos de mejorar la postura general de seguridad de Workday. Dado que los desarrolladores se estaban desinteresando rápidamente de su formación, decidieron empezar a solicitar sus comentarios y observaron que había dos puntos que seguían surgiendo:
- Necesidad de una formación más práctica
- La necesidad de contenidos más específicos para cada lengua
Acción
En su trabajo con los desarrolladores, Alex y su equipo identificaron dos prioridades principales a la hora de conseguir su aceptación para crear un programa de aprendizaje de código seguro, atractivo y de éxito.
Claridad y sencillez
La mayoría de los desarrolladores no llegan a su trabajo con conocimientos de seguridad. Cualquier cosa que resulte frustrante o lleve mucho tiempo llevará a los desarrolladores a buscar soluciones alternativas y pirateos. Lo que Workday destacó de SCW es que permitía a los desarrolladores tener una idea clara del proceso, apropiárselo e integrarlo en sus flujos de trabajo.
Accionabilidad y valor
Los desarrolladores, ante todo, quieren ser capaces de actuar sobre algo que está afectando al ciclo de vida del código base, y actuar con rapidez. Para ello, los desarrolladores necesitan que se les enseñe cómo hacerlo. Si quieres que un desarrollador se interese por algo como la seguridad, destaca el valor de estos temas.
En cuanto a la estructuración del programa, Alex y su equipo recogieron primero los comentarios sobre la plataforma de un grupo piloto de campeones de seguridad y trabajaron con su director de éxito de clientes para aplicar sus sugerencias. A continuación, Alex y su equipo examinaron sus herramientas SAST y diferentes métricas sobre el número de incidentes y eventos de seguridad para evaluar cuáles son los mayores riesgos en su entorno actual y qué está ocurriendo en todo el sector. Inicialmente se centraron en el top 10 de OWASP y en las vulnerabilidades de alto riesgo más comunes en Workday
"Al dar a los desarrolladores ese aprendizaje y esa agencia, SCW hizo que pudiéramos mejorar activamente la seguridad de nuestro software. No se trata sólo de escribir código, sino también de oportunidades de crecimiento y de hacer carrera. El apoyo de Workday al programa de seguridad existe porque es un área en la que toda la empresa está alineada, así que los desarrolladores dispusieron de ese tiempo para el aprendizaje y el desarrollo. Dedicar dos horas a la semana al aprendizaje durante un periodo de tiempo ayuda a crear esa memoria muscular con constancia".
Resultados
Tradicionalmente, es fácil pensar en la seguridad al final del proceso de desarrollo. Al trabajar con el equipo de seguridad, los desarrolladores de Workday ven ahora la seguridad como un componente importante del ciclo de desarrollo. Pueden actuar sobre los elementos de seguridad con rapidez y en una fase más temprana del SDLC, lo que ha supuesto el mayor impacto de este programa. En un equipo con sede en Dublín, sus desarrolladores pasaron de 4662 problemas de seguridad -con una media de casi 31,08 problemas al día- a 0 en un periodo de unos 18 meses.
Alex describió el crecimiento del programa como "un efecto de bola de nieve después de que empezáramos con campeones de seguridad de primer orden. A medida que socializábamos el programa y sus beneficios entre los líderes y seguíamos aumentando el número de miembros, vimos un crecimiento casi natural debido al boca a boca". Desde el punto de vista de la formación, nuestro objetivo es dotar a nuestros desarrolladores de las habilidades necesarias para desarrollar código de forma segura. Esto es especialmente crítico a medida que Workday sigue creciendo".
Principales conclusiones
Según Alex, "para ampliar la seguridad con éxito es imprescindible que nuestros desarrolladores tengan una mentalidad de seguridad que les ayude a identificar los riesgos de seguridad durante la fase de diseño del desarrollo del software. Esto encaja en nuestra iniciativa de cambio a la izquierda de capacitar a nuestros desarrolladores para ayudar a ahorrar tiempo, dinero y algunos dolores de cabeza. Cuanto mejor trabajemos en el aprendizaje de código seguro, menos vulnerabilidades veremos en nuestros escaneos y resultados de pentest."
Para los desarrolladores, es importante divertirse cuando aprenden sobre seguridad
SCW es excelente a la hora de mostrar lo emocionante que puede ser. Si te estás involucrando en el aprendizaje sobre seguridad, abrázalo por completo. Considéralo parte de tu proceso de desarrollo y del crecimiento de tu carrera.
Animea los desarrolladores a ponerse en contacto con el equipo si sienten curiosidad por la seguridad
Mantenga una conversación e inicie esa colaboración.
La seguridad como una caja negra o como un añadido a su proyecto es arcaica y, en última instancia, perjudica a su software
Adoptar la seguridad como parte del proceso de desarrollo -del mismo modo que adoptamos TDD, agile y linting- mejorará el flujo y aumentará la calidad del software que se entrega a los clientes.
Artículos relacionados que recomendamos
Artículos relacionados que recomendamos
Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.
Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.
Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores
Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.
El camino hacia los campeones en seguridad: Cómo Workday utilizó el aprendizaje ágil para mejorar las competencias de los desarrolladores
Situación
Antes de que Workday implementara el aprendizaje ágil con Secure Code Warrior, utilizaban internamente courses que consistía en grabaciones de presentaciones de PowerPoint que cubrían las 10 vulnerabilidades principales de OWASP con algunos ejemplos de pseudocódigo. Alex Uda, director del programa de formación de desarrolladores de seguridad, se dio cuenta de que esto no ayudaba a su equipo ni al equipo de seguridad en general a alcanzar sus objetivos de mejorar la postura general de seguridad de Workday. Dado que los desarrolladores se estaban desinteresando rápidamente de su formación, decidieron empezar a solicitar sus comentarios y observaron que había dos puntos que seguían surgiendo:
- Necesidad de una formación más práctica
- La necesidad de contenidos más específicos para cada lengua
Acción
En su trabajo con los desarrolladores, Alex y su equipo identificaron dos prioridades principales a la hora de conseguir su aceptación para crear un programa de aprendizaje de código seguro, atractivo y de éxito.
Claridad y sencillez
La mayoría de los desarrolladores no llegan a su trabajo con conocimientos de seguridad. Cualquier cosa que resulte frustrante o lleve mucho tiempo llevará a los desarrolladores a buscar soluciones alternativas y pirateos. Lo que Workday destacó de SCW es que permitía a los desarrolladores tener una idea clara del proceso, apropiárselo e integrarlo en sus flujos de trabajo.
Accionabilidad y valor
Los desarrolladores, ante todo, quieren ser capaces de actuar sobre algo que está afectando al ciclo de vida del código base, y actuar con rapidez. Para ello, los desarrolladores necesitan que se les enseñe cómo hacerlo. Si quieres que un desarrollador se interese por algo como la seguridad, destaca el valor de estos temas.
En cuanto a la estructuración del programa, Alex y su equipo recogieron primero los comentarios sobre la plataforma de un grupo piloto de campeones de seguridad y trabajaron con su director de éxito de clientes para aplicar sus sugerencias. A continuación, Alex y su equipo examinaron sus herramientas SAST y diferentes métricas sobre el número de incidentes y eventos de seguridad para evaluar cuáles son los mayores riesgos en su entorno actual y qué está ocurriendo en todo el sector. Inicialmente se centraron en el top 10 de OWASP y en las vulnerabilidades de alto riesgo más comunes en Workday
"Al dar a los desarrolladores ese aprendizaje y esa agencia, SCW hizo que pudiéramos mejorar activamente la seguridad de nuestro software. No se trata sólo de escribir código, sino también de oportunidades de crecimiento y de hacer carrera. El apoyo de Workday al programa de seguridad existe porque es un área en la que toda la empresa está alineada, así que los desarrolladores dispusieron de ese tiempo para el aprendizaje y el desarrollo. Dedicar dos horas a la semana al aprendizaje durante un periodo de tiempo ayuda a crear esa memoria muscular con constancia".
Resultados
Tradicionalmente, es fácil pensar en la seguridad al final del proceso de desarrollo. Al trabajar con el equipo de seguridad, los desarrolladores de Workday ven ahora la seguridad como un componente importante del ciclo de desarrollo. Pueden actuar sobre los elementos de seguridad con rapidez y en una fase más temprana del SDLC, lo que ha supuesto el mayor impacto de este programa. En un equipo con sede en Dublín, sus desarrolladores pasaron de 4662 problemas de seguridad -con una media de casi 31,08 problemas al día- a 0 en un periodo de unos 18 meses.
Alex describió el crecimiento del programa como "un efecto de bola de nieve después de que empezáramos con campeones de seguridad de primer orden. A medida que socializábamos el programa y sus beneficios entre los líderes y seguíamos aumentando el número de miembros, vimos un crecimiento casi natural debido al boca a boca". Desde el punto de vista de la formación, nuestro objetivo es dotar a nuestros desarrolladores de las habilidades necesarias para desarrollar código de forma segura. Esto es especialmente crítico a medida que Workday sigue creciendo".
Principales conclusiones
Según Alex, "para ampliar la seguridad con éxito es imprescindible que nuestros desarrolladores tengan una mentalidad de seguridad que les ayude a identificar los riesgos de seguridad durante la fase de diseño del desarrollo del software. Esto encaja en nuestra iniciativa de cambio a la izquierda de capacitar a nuestros desarrolladores para ayudar a ahorrar tiempo, dinero y algunos dolores de cabeza. Cuanto mejor trabajemos en el aprendizaje de código seguro, menos vulnerabilidades veremos en nuestros escaneos y resultados de pentest."
Para los desarrolladores, es importante divertirse cuando aprenden sobre seguridad
SCW es excelente a la hora de mostrar lo emocionante que puede ser. Si te estás involucrando en el aprendizaje sobre seguridad, abrázalo por completo. Considéralo parte de tu proceso de desarrollo y del crecimiento de tu carrera.
Animea los desarrolladores a ponerse en contacto con el equipo si sienten curiosidad por la seguridad
Mantenga una conversación e inicie esa colaboración.
La seguridad como una caja negra o como un añadido a su proyecto es arcaica y, en última instancia, perjudica a su software
Adoptar la seguridad como parte del proceso de desarrollo -del mismo modo que adoptamos TDD, agile y linting- mejorará el flujo y aumentará la calidad del software que se entrega a los clientes.
