Desarrollador Tournaments: El arma secreta de AppSec para mejorar la cultura de seguridad y el compromiso
Imagina que creas algo desde cero, que utilizas tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o en equipo, pones tu corazón y tu alma en construir algo de la nada. Dedicas cientos -quizá incluso miles- de horas a ello, asegurándote de que tu bebé es lo mejor que puede ser. Al terminar, esa ola de logros puede parecer una recompensa en sí misma.
Ahora, imagina que llega un aguafiestas y te dice que no es tan bueno. Tal vez vayan un paso más allá y te digan que no, que a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede utilizar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior está destinado a causar cierta tensión; después de todo, ¿quién quiere que su duro trabajo sea criticado y condenado como inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de seguridad de las aplicaciones. Un desarrollador tiene la responsabilidad principal de construir un software que sea funcional, rico en características y que se entregue dentro de los estrictos plazos del proyecto. La seguridad no suele ser la prioridad, e incluso puede verse como un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de revisar meticulosamente el código, hacer pruebas de penetración y luego informar de las malas noticias: la presencia de vulnerabilidades de seguridad en un código que a menudo ya está comprometido. Se trata de un proceso costoso en un entorno que a menudo tiene pocos recursos y tiempo, y cuya configuración está destinada a provocar una ruptura entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar enfrentados.
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera de las aulas, al terreno de juego
Dado que muchos desarrolladores terminan su formación profesional sin aprender mucho sobre codificación de forma segura, a menudo su primer contacto con la educación en seguridad se produce al entrar en la plantilla. La formación en el aula es una solución muy utilizada, pero resta un tiempo precioso a la impartición de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También están los vídeos courses, los exámenes en papel y la formación genérica sobre la política de seguridad de la empresa... todos ellos pueden ser tan poco específicos que resultan inútiles en el día a día del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de "marque la casilla y siga adelante", y con demasiada frecuencia tiene el efecto contrario: sólo conduce a una mayor brecha entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional tenga el efecto positivo sobre la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos tan desesperadamente. Seguimos cometiendo los mismos errores.
Según la comunidad Common Weakness Enumeration(CWE), hay más de 700 debilidades de seguridad de software comunes contra las que luchar. Algunas, como la inyección SQL, son como cucarachas que no han sido aplastadas a pesar de existir desde hace más de veinte años. Sabemos cómo solucionarlo; la formación está ahí para capacitar a los desarrolladores para detenerlo y tantos otros, pero las pruebas de penetración y los procesos de revisión manual del código identifican continuamente estas violaciones.
Tal vez lo hayamos enfocado mal, y nosotros, como industria, tengamos que abordar la educación viable desde un ángulo diferente... uno que aproveche las increíbles habilidades tan valoradas en nuestros desarrolladores. Son creativos, inquisitivos y solucionadores de problemas que adoran los retos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, puede que se enamoren de la seguridad por el camino.
Un poco de sana competencia
Una dependencia básica de herramientas (bastante inexactas), de costosas pruebas de penetración y de escasos especialistas en seguridad de aplicaciones nos va a hundir más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad existe en línea como para que las empresas sigan tirando la cautela al viento con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, tenemos que recurrir a los superhéroes que hemos tenido sentados en la oficina todo el tiempo: el equipo de desarrollo.
La formación gamificada, en lenguajes y marcos relevantes, es una potente herramienta para que los responsables de AppSec empiecen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden flexionar sus músculos de seguridad recién construidos en un entorno divertido tournament , que puede ser tan emocionante como su imaginación pueda conjurar: basta con echar un vistazo a cómo el "Juego de Códigos" de IAG hizo que todo el mundo hablara de seguridad dentro de su organización.
El módulotournament Secure Code Warrior's proporciona algo más que un pequeño tope para un compromiso de formación medido: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación, así como identificar las áreas que pueden necesitar mejorar. El aspecto de la competición actúa realmente como un motivador para comprometerse positivamente con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el crecimiento de una sólida cultura de seguridad dentro del equipo y de la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa -si no desalentadora- puede contribuir en gran medida a cambiar la mentalidad negativa y a inspirar la participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (sano)?
Los campeones caminan entre vosotros
La formación gamificada y la posterior tournaments ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo adquieren mucha más información sobre el trabajo diario de cada uno. Un desarrollador seguro es un activo que soluciona las vulnerabilidades comunes y deja los problemas complejos a los escasos especialistas en AppSec sobre el terreno. Las relaciones crecen y prosperan, y el preciado presupuesto de seguridad no se consume en arreglar un escenario de "Día de la Marmota" con los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Tournaments puede descubrir a aquellos que no sólo tienen una aptitud para la seguridad, sino que muestran activamente una pasión por ella. Estos campeones son vitales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y mantener las políticas de mejores prácticas. Poner en marcha un sólido programa de campeones, que incluya el reconocimiento y el apoyo de los ejecutivos, es un punto de referencia para la organización, así como una poderosa inclusión en el currículum de la persona y en su futura carrera.
¿La conclusión? Debemos exigir mejores resultados en las pruebas de seguridad. Menos errores comunes, más apoyo para los que están en primera línea. ¿Por qué no ver cómo un desarrollador tournament puede conseguirlo antes de lo que piensa?
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Imagina que creas algo desde cero, que utilizas tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o en equipo, pones tu corazón y tu alma en construir algo de la nada. Dedicas cientos -quizá incluso miles- de horas a ello, asegurándote de que tu bebé es lo mejor que puede ser. Al terminar, esa ola de logros puede parecer una recompensa en sí misma.
Ahora, imagina que llega un aguafiestas y te dice que no es tan bueno. Tal vez vayan un paso más allá y te digan que no, que a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede utilizar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior está destinado a causar cierta tensión; después de todo, ¿quién quiere que su duro trabajo sea criticado y condenado como inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de seguridad de las aplicaciones. Un desarrollador tiene la responsabilidad principal de construir un software que sea funcional, rico en características y que se entregue dentro de los estrictos plazos del proyecto. La seguridad no suele ser la prioridad, e incluso puede verse como un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de revisar meticulosamente el código, hacer pruebas de penetración y luego informar de las malas noticias: la presencia de vulnerabilidades de seguridad en un código que a menudo ya está comprometido. Se trata de un proceso costoso en un entorno que a menudo tiene pocos recursos y tiempo, y cuya configuración está destinada a provocar una ruptura entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar enfrentados.
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera de las aulas, al terreno de juego
Dado que muchos desarrolladores terminan su formación profesional sin aprender mucho sobre codificación de forma segura, a menudo su primer contacto con la educación en seguridad se produce al entrar en la plantilla. La formación en el aula es una solución muy utilizada, pero resta un tiempo precioso a la impartición de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También están los vídeos courses, los exámenes en papel y la formación genérica sobre la política de seguridad de la empresa... todos ellos pueden ser tan poco específicos que resultan inútiles en el día a día del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de "marque la casilla y siga adelante", y con demasiada frecuencia tiene el efecto contrario: sólo conduce a una mayor brecha entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional tenga el efecto positivo sobre la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos tan desesperadamente. Seguimos cometiendo los mismos errores.
Según la comunidad Common Weakness Enumeration(CWE), hay más de 700 debilidades de seguridad de software comunes contra las que luchar. Algunas, como la inyección SQL, son como cucarachas que no han sido aplastadas a pesar de existir desde hace más de veinte años. Sabemos cómo solucionarlo; la formación está ahí para capacitar a los desarrolladores para detenerlo y tantos otros, pero las pruebas de penetración y los procesos de revisión manual del código identifican continuamente estas violaciones.
Tal vez lo hayamos enfocado mal, y nosotros, como industria, tengamos que abordar la educación viable desde un ángulo diferente... uno que aproveche las increíbles habilidades tan valoradas en nuestros desarrolladores. Son creativos, inquisitivos y solucionadores de problemas que adoran los retos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, puede que se enamoren de la seguridad por el camino.
Un poco de sana competencia
Una dependencia básica de herramientas (bastante inexactas), de costosas pruebas de penetración y de escasos especialistas en seguridad de aplicaciones nos va a hundir más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad existe en línea como para que las empresas sigan tirando la cautela al viento con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, tenemos que recurrir a los superhéroes que hemos tenido sentados en la oficina todo el tiempo: el equipo de desarrollo.
La formación gamificada, en lenguajes y marcos relevantes, es una potente herramienta para que los responsables de AppSec empiecen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden flexionar sus músculos de seguridad recién construidos en un entorno divertido tournament , que puede ser tan emocionante como su imaginación pueda conjurar: basta con echar un vistazo a cómo el "Juego de Códigos" de IAG hizo que todo el mundo hablara de seguridad dentro de su organización.
El módulotournament Secure Code Warrior's proporciona algo más que un pequeño tope para un compromiso de formación medido: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación, así como identificar las áreas que pueden necesitar mejorar. El aspecto de la competición actúa realmente como un motivador para comprometerse positivamente con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el crecimiento de una sólida cultura de seguridad dentro del equipo y de la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa -si no desalentadora- puede contribuir en gran medida a cambiar la mentalidad negativa y a inspirar la participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (sano)?
Los campeones caminan entre vosotros
La formación gamificada y la posterior tournaments ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo adquieren mucha más información sobre el trabajo diario de cada uno. Un desarrollador seguro es un activo que soluciona las vulnerabilidades comunes y deja los problemas complejos a los escasos especialistas en AppSec sobre el terreno. Las relaciones crecen y prosperan, y el preciado presupuesto de seguridad no se consume en arreglar un escenario de "Día de la Marmota" con los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Tournaments puede descubrir a aquellos que no sólo tienen una aptitud para la seguridad, sino que muestran activamente una pasión por ella. Estos campeones son vitales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y mantener las políticas de mejores prácticas. Poner en marcha un sólido programa de campeones, que incluya el reconocimiento y el apoyo de los ejecutivos, es un punto de referencia para la organización, así como una poderosa inclusión en el currículum de la persona y en su futura carrera.
¿La conclusión? Debemos exigir mejores resultados en las pruebas de seguridad. Menos errores comunes, más apoyo para los que están en primera línea. ¿Por qué no ver cómo un desarrollador tournament puede conseguirlo antes de lo que piensa?
Imagina que creas algo desde cero, que utilizas tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o en equipo, pones tu corazón y tu alma en construir algo de la nada. Dedicas cientos -quizá incluso miles- de horas a ello, asegurándote de que tu bebé es lo mejor que puede ser. Al terminar, esa ola de logros puede parecer una recompensa en sí misma.
Ahora, imagina que llega un aguafiestas y te dice que no es tan bueno. Tal vez vayan un paso más allá y te digan que no, que a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede utilizar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior está destinado a causar cierta tensión; después de todo, ¿quién quiere que su duro trabajo sea criticado y condenado como inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de seguridad de las aplicaciones. Un desarrollador tiene la responsabilidad principal de construir un software que sea funcional, rico en características y que se entregue dentro de los estrictos plazos del proyecto. La seguridad no suele ser la prioridad, e incluso puede verse como un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de revisar meticulosamente el código, hacer pruebas de penetración y luego informar de las malas noticias: la presencia de vulnerabilidades de seguridad en un código que a menudo ya está comprometido. Se trata de un proceso costoso en un entorno que a menudo tiene pocos recursos y tiempo, y cuya configuración está destinada a provocar una ruptura entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar enfrentados.
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera de las aulas, al terreno de juego
Dado que muchos desarrolladores terminan su formación profesional sin aprender mucho sobre codificación de forma segura, a menudo su primer contacto con la educación en seguridad se produce al entrar en la plantilla. La formación en el aula es una solución muy utilizada, pero resta un tiempo precioso a la impartición de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También están los vídeos courses, los exámenes en papel y la formación genérica sobre la política de seguridad de la empresa... todos ellos pueden ser tan poco específicos que resultan inútiles en el día a día del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de "marque la casilla y siga adelante", y con demasiada frecuencia tiene el efecto contrario: sólo conduce a una mayor brecha entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional tenga el efecto positivo sobre la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos tan desesperadamente. Seguimos cometiendo los mismos errores.
Según la comunidad Common Weakness Enumeration(CWE), hay más de 700 debilidades de seguridad de software comunes contra las que luchar. Algunas, como la inyección SQL, son como cucarachas que no han sido aplastadas a pesar de existir desde hace más de veinte años. Sabemos cómo solucionarlo; la formación está ahí para capacitar a los desarrolladores para detenerlo y tantos otros, pero las pruebas de penetración y los procesos de revisión manual del código identifican continuamente estas violaciones.
Tal vez lo hayamos enfocado mal, y nosotros, como industria, tengamos que abordar la educación viable desde un ángulo diferente... uno que aproveche las increíbles habilidades tan valoradas en nuestros desarrolladores. Son creativos, inquisitivos y solucionadores de problemas que adoran los retos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, puede que se enamoren de la seguridad por el camino.
Un poco de sana competencia
Una dependencia básica de herramientas (bastante inexactas), de costosas pruebas de penetración y de escasos especialistas en seguridad de aplicaciones nos va a hundir más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad existe en línea como para que las empresas sigan tirando la cautela al viento con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, tenemos que recurrir a los superhéroes que hemos tenido sentados en la oficina todo el tiempo: el equipo de desarrollo.
La formación gamificada, en lenguajes y marcos relevantes, es una potente herramienta para que los responsables de AppSec empiecen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden flexionar sus músculos de seguridad recién construidos en un entorno divertido tournament , que puede ser tan emocionante como su imaginación pueda conjurar: basta con echar un vistazo a cómo el "Juego de Códigos" de IAG hizo que todo el mundo hablara de seguridad dentro de su organización.
El módulotournament Secure Code Warrior's proporciona algo más que un pequeño tope para un compromiso de formación medido: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación, así como identificar las áreas que pueden necesitar mejorar. El aspecto de la competición actúa realmente como un motivador para comprometerse positivamente con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el crecimiento de una sólida cultura de seguridad dentro del equipo y de la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa -si no desalentadora- puede contribuir en gran medida a cambiar la mentalidad negativa y a inspirar la participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (sano)?
Los campeones caminan entre vosotros
La formación gamificada y la posterior tournaments ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo adquieren mucha más información sobre el trabajo diario de cada uno. Un desarrollador seguro es un activo que soluciona las vulnerabilidades comunes y deja los problemas complejos a los escasos especialistas en AppSec sobre el terreno. Las relaciones crecen y prosperan, y el preciado presupuesto de seguridad no se consume en arreglar un escenario de "Día de la Marmota" con los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Tournaments puede descubrir a aquellos que no sólo tienen una aptitud para la seguridad, sino que muestran activamente una pasión por ella. Estos campeones son vitales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y mantener las políticas de mejores prácticas. Poner en marcha un sólido programa de campeones, que incluya el reconocimiento y el apoyo de los ejecutivos, es un punto de referencia para la organización, así como una poderosa inclusión en el currículum de la persona y en su futura carrera.
¿La conclusión? Debemos exigir mejores resultados en las pruebas de seguridad. Menos errores comunes, más apoyo para los que están en primera línea. ¿Por qué no ver cómo un desarrollador tournament puede conseguirlo antes de lo que piensa?
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Imagina que creas algo desde cero, que utilizas tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o en equipo, pones tu corazón y tu alma en construir algo de la nada. Dedicas cientos -quizá incluso miles- de horas a ello, asegurándote de que tu bebé es lo mejor que puede ser. Al terminar, esa ola de logros puede parecer una recompensa en sí misma.
Ahora, imagina que llega un aguafiestas y te dice que no es tan bueno. Tal vez vayan un paso más allá y te digan que no, que a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede utilizar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior está destinado a causar cierta tensión; después de todo, ¿quién quiere que su duro trabajo sea criticado y condenado como inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de seguridad de las aplicaciones. Un desarrollador tiene la responsabilidad principal de construir un software que sea funcional, rico en características y que se entregue dentro de los estrictos plazos del proyecto. La seguridad no suele ser la prioridad, e incluso puede verse como un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de revisar meticulosamente el código, hacer pruebas de penetración y luego informar de las malas noticias: la presencia de vulnerabilidades de seguridad en un código que a menudo ya está comprometido. Se trata de un proceso costoso en un entorno que a menudo tiene pocos recursos y tiempo, y cuya configuración está destinada a provocar una ruptura entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar enfrentados.
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera de las aulas, al terreno de juego
Dado que muchos desarrolladores terminan su formación profesional sin aprender mucho sobre codificación de forma segura, a menudo su primer contacto con la educación en seguridad se produce al entrar en la plantilla. La formación en el aula es una solución muy utilizada, pero resta un tiempo precioso a la impartición de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También están los vídeos courses, los exámenes en papel y la formación genérica sobre la política de seguridad de la empresa... todos ellos pueden ser tan poco específicos que resultan inútiles en el día a día del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de "marque la casilla y siga adelante", y con demasiada frecuencia tiene el efecto contrario: sólo conduce a una mayor brecha entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional tenga el efecto positivo sobre la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos tan desesperadamente. Seguimos cometiendo los mismos errores.
Según la comunidad Common Weakness Enumeration(CWE), hay más de 700 debilidades de seguridad de software comunes contra las que luchar. Algunas, como la inyección SQL, son como cucarachas que no han sido aplastadas a pesar de existir desde hace más de veinte años. Sabemos cómo solucionarlo; la formación está ahí para capacitar a los desarrolladores para detenerlo y tantos otros, pero las pruebas de penetración y los procesos de revisión manual del código identifican continuamente estas violaciones.
Tal vez lo hayamos enfocado mal, y nosotros, como industria, tengamos que abordar la educación viable desde un ángulo diferente... uno que aproveche las increíbles habilidades tan valoradas en nuestros desarrolladores. Son creativos, inquisitivos y solucionadores de problemas que adoran los retos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, puede que se enamoren de la seguridad por el camino.
Un poco de sana competencia
Una dependencia básica de herramientas (bastante inexactas), de costosas pruebas de penetración y de escasos especialistas en seguridad de aplicaciones nos va a hundir más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad existe en línea como para que las empresas sigan tirando la cautela al viento con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, tenemos que recurrir a los superhéroes que hemos tenido sentados en la oficina todo el tiempo: el equipo de desarrollo.
La formación gamificada, en lenguajes y marcos relevantes, es una potente herramienta para que los responsables de AppSec empiecen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden flexionar sus músculos de seguridad recién construidos en un entorno divertido tournament , que puede ser tan emocionante como su imaginación pueda conjurar: basta con echar un vistazo a cómo el "Juego de Códigos" de IAG hizo que todo el mundo hablara de seguridad dentro de su organización.
El módulotournament Secure Code Warrior's proporciona algo más que un pequeño tope para un compromiso de formación medido: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación, así como identificar las áreas que pueden necesitar mejorar. El aspecto de la competición actúa realmente como un motivador para comprometerse positivamente con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el crecimiento de una sólida cultura de seguridad dentro del equipo y de la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa -si no desalentadora- puede contribuir en gran medida a cambiar la mentalidad negativa y a inspirar la participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (sano)?
Los campeones caminan entre vosotros
La formación gamificada y la posterior tournaments ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo adquieren mucha más información sobre el trabajo diario de cada uno. Un desarrollador seguro es un activo que soluciona las vulnerabilidades comunes y deja los problemas complejos a los escasos especialistas en AppSec sobre el terreno. Las relaciones crecen y prosperan, y el preciado presupuesto de seguridad no se consume en arreglar un escenario de "Día de la Marmota" con los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Tournaments puede descubrir a aquellos que no sólo tienen una aptitud para la seguridad, sino que muestran activamente una pasión por ella. Estos campeones son vitales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y mantener las políticas de mejores prácticas. Poner en marcha un sólido programa de campeones, que incluya el reconocimiento y el apoyo de los ejecutivos, es un punto de referencia para la organización, así como una poderosa inclusión en el currículum de la persona y en su futura carrera.
¿La conclusión? Debemos exigir mejores resultados en las pruebas de seguridad. Menos errores comunes, más apoyo para los que están en primera línea. ¿Por qué no ver cómo un desarrollador tournament puede conseguirlo antes de lo que piensa?
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
A por el oro: Aumentar la seguridad del código en Paysafe
Descubra cómo la asociación de Paysafe con Secure Code Warrior permitió aumentar en un 45% la productividad de los desarrolladores y reducir considerablemente las vulnerabilidades del código.
.png)
El poder de la marca en AppSec DevSec DevSecOps (¿Qué hay en un Acrynym?)
En AppSec, el impacto duradero de un programa exige algo más que tecnología: necesita una marca fuerte. Una identidad poderosa garantiza que sus iniciativas resuenen e impulsen un compromiso sostenido dentro de su comunidad de desarrolladores.
Agente de confianza: AI por Secure Code Warrior
Esta página presenta SCW Trust Agent: AI, un nuevo conjunto de capacidades que proporcionan una profunda observabilidad y gobernanza sobre las herramientas de codificación de IA. Descubra cómo nuestra solución correlaciona de forma única el uso de herramientas de IA con las habilidades de los desarrolladores para ayudarle a gestionar el riesgo, optimizar su SDLC y garantizar que cada línea de código generado por IA sea segura.
.avif)
Vibe Coding: Guía práctica para actualizar su estrategia AppSec para la IA
Vea el vídeo a la carta para aprender a capacitar a los administradores de AppSec para que se conviertan en facilitadores de IA, en lugar de bloqueadores, mediante un enfoque práctico que da prioridad a la formación. Le mostraremos cómo aprovechar Secure Code Warrior (SCW) para actualizar estratégicamente su estrategia de AppSec para la era de los asistentes de codificación de IA.
Recursos para empezar
Por qué el Mes de la Concienciación sobre Ciberseguridad debe evolucionar en la era de la IA
Los CISO no pueden confiar en el mismo manual de concienciación de siempre. En la era de la IA, deben adoptar enfoques modernos para proteger el código, los equipos y las organizaciones.
.avif)
Codificación segura en la era de la IA: pruebe nuestros nuevos retos interactivos de IA
La codificación asistida por IA está cambiando el desarrollo. Prueba nuestros nuevos retos de IA al estilo Copilot para revisar, analizar y corregir código de forma segura en flujos de trabajo realistas.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
