Desarrollador Tournaments: El arma secreta de AppSec para mejorar la cultura de seguridad y el compromiso
Imagina que creas algo desde cero, que utilizas tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o en equipo, pones tu corazón y tu alma en construir algo de la nada. Dedicas cientos -quizá incluso miles- de horas a ello, asegurándote de que tu bebé es lo mejor que puede ser. Al terminar, esa ola de logros puede parecer una recompensa en sí misma.
Ahora, imagina que llega un aguafiestas y te dice que no es tan bueno. Tal vez vayan un paso más allá y te digan que no, que a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede utilizar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior está destinado a causar cierta tensión; después de todo, ¿quién quiere que su duro trabajo sea criticado y condenado como inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de seguridad de las aplicaciones. Un desarrollador tiene la responsabilidad principal de construir un software que sea funcional, rico en características y que se entregue dentro de los estrictos plazos del proyecto. La seguridad no suele ser la prioridad, e incluso puede verse como un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de revisar meticulosamente el código, hacer pruebas de penetración y luego informar de las malas noticias: la presencia de vulnerabilidades de seguridad en un código que a menudo ya está comprometido. Se trata de un proceso costoso en un entorno que a menudo tiene pocos recursos y tiempo, y cuya configuración está destinada a provocar una ruptura entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar enfrentados.
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera de las aulas, al terreno de juego
Dado que muchos desarrolladores terminan su formación profesional sin aprender mucho sobre codificación de forma segura, a menudo su primer contacto con la educación en seguridad se produce al entrar en la plantilla. La formación en el aula es una solución muy utilizada, pero resta un tiempo precioso a la impartición de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También están los vídeos courses, los exámenes en papel y la formación genérica sobre la política de seguridad de la empresa... todos ellos pueden ser tan poco específicos que resultan inútiles en el día a día del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de "marque la casilla y siga adelante", y con demasiada frecuencia tiene el efecto contrario: sólo conduce a una mayor brecha entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional tenga el efecto positivo sobre la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos tan desesperadamente. Seguimos cometiendo los mismos errores.
Según la comunidad Common Weakness Enumeration(CWE), hay más de 700 debilidades de seguridad de software comunes contra las que luchar. Algunas, como la inyección SQL, son como cucarachas que no han sido aplastadas a pesar de existir desde hace más de veinte años. Sabemos cómo solucionarlo; la formación está ahí para capacitar a los desarrolladores para detenerlo y tantos otros, pero las pruebas de penetración y los procesos de revisión manual del código identifican continuamente estas violaciones.
Tal vez lo hayamos enfocado mal, y nosotros, como industria, tengamos que abordar la educación viable desde un ángulo diferente... uno que aproveche las increíbles habilidades tan valoradas en nuestros desarrolladores. Son creativos, inquisitivos y solucionadores de problemas que adoran los retos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, puede que se enamoren de la seguridad por el camino.
Un poco de sana competencia
Una dependencia básica de herramientas (bastante inexactas), de costosas pruebas de penetración y de escasos especialistas en seguridad de aplicaciones nos va a hundir más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad existe en línea como para que las empresas sigan tirando la cautela al viento con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, tenemos que recurrir a los superhéroes que hemos tenido sentados en la oficina todo el tiempo: el equipo de desarrollo.
La formación gamificada, en lenguajes y marcos relevantes, es una potente herramienta para que los responsables de AppSec empiecen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden flexionar sus músculos de seguridad recién construidos en un entorno divertido tournament , que puede ser tan emocionante como su imaginación pueda conjurar: basta con echar un vistazo a cómo el "Juego de Códigos" de IAG hizo que todo el mundo hablara de seguridad dentro de su organización.
El módulotournament Secure Code Warrior's proporciona algo más que un pequeño tope para un compromiso de formación medido: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación, así como identificar las áreas que pueden necesitar mejorar. El aspecto de la competición actúa realmente como un motivador para comprometerse positivamente con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el crecimiento de una sólida cultura de seguridad dentro del equipo y de la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa -si no desalentadora- puede contribuir en gran medida a cambiar la mentalidad negativa y a inspirar la participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (sano)?
Los campeones caminan entre vosotros
La formación gamificada y la posterior tournaments ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo adquieren mucha más información sobre el trabajo diario de cada uno. Un desarrollador seguro es un activo que soluciona las vulnerabilidades comunes y deja los problemas complejos a los escasos especialistas en AppSec sobre el terreno. Las relaciones crecen y prosperan, y el preciado presupuesto de seguridad no se consume en arreglar un escenario de "Día de la Marmota" con los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Tournaments puede descubrir a aquellos que no sólo tienen una aptitud para la seguridad, sino que muestran activamente una pasión por ella. Estos campeones son vitales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y mantener las políticas de mejores prácticas. Poner en marcha un sólido programa de campeones, que incluya el reconocimiento y el apoyo de los ejecutivos, es un punto de referencia para la organización, así como una poderosa inclusión en el currículum de la persona y en su futura carrera.
¿La conclusión? Debemos exigir mejores resultados en las pruebas de seguridad. Menos errores comunes, más apoyo para los que están en primera línea. ¿Por qué no ver cómo un desarrollador tournament puede conseguirlo antes de lo que piensa?
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Imagina que creas algo desde cero, que utilizas tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o en equipo, pones tu corazón y tu alma en construir algo de la nada. Dedicas cientos -quizá incluso miles- de horas a ello, asegurándote de que tu bebé es lo mejor que puede ser. Al terminar, esa ola de logros puede parecer una recompensa en sí misma.
Ahora, imagina que llega un aguafiestas y te dice que no es tan bueno. Tal vez vayan un paso más allá y te digan que no, que a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede utilizar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior está destinado a causar cierta tensión; después de todo, ¿quién quiere que su duro trabajo sea criticado y condenado como inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de seguridad de las aplicaciones. Un desarrollador tiene la responsabilidad principal de construir un software que sea funcional, rico en características y que se entregue dentro de los estrictos plazos del proyecto. La seguridad no suele ser la prioridad, e incluso puede verse como un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de revisar meticulosamente el código, hacer pruebas de penetración y luego informar de las malas noticias: la presencia de vulnerabilidades de seguridad en un código que a menudo ya está comprometido. Se trata de un proceso costoso en un entorno que a menudo tiene pocos recursos y tiempo, y cuya configuración está destinada a provocar una ruptura entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar enfrentados.
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera de las aulas, al terreno de juego
Dado que muchos desarrolladores terminan su formación profesional sin aprender mucho sobre codificación de forma segura, a menudo su primer contacto con la educación en seguridad se produce al entrar en la plantilla. La formación en el aula es una solución muy utilizada, pero resta un tiempo precioso a la impartición de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También están los vídeos courses, los exámenes en papel y la formación genérica sobre la política de seguridad de la empresa... todos ellos pueden ser tan poco específicos que resultan inútiles en el día a día del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de "marque la casilla y siga adelante", y con demasiada frecuencia tiene el efecto contrario: sólo conduce a una mayor brecha entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional tenga el efecto positivo sobre la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos tan desesperadamente. Seguimos cometiendo los mismos errores.
Según la comunidad Common Weakness Enumeration(CWE), hay más de 700 debilidades de seguridad de software comunes contra las que luchar. Algunas, como la inyección SQL, son como cucarachas que no han sido aplastadas a pesar de existir desde hace más de veinte años. Sabemos cómo solucionarlo; la formación está ahí para capacitar a los desarrolladores para detenerlo y tantos otros, pero las pruebas de penetración y los procesos de revisión manual del código identifican continuamente estas violaciones.
Tal vez lo hayamos enfocado mal, y nosotros, como industria, tengamos que abordar la educación viable desde un ángulo diferente... uno que aproveche las increíbles habilidades tan valoradas en nuestros desarrolladores. Son creativos, inquisitivos y solucionadores de problemas que adoran los retos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, puede que se enamoren de la seguridad por el camino.
Un poco de sana competencia
Una dependencia básica de herramientas (bastante inexactas), de costosas pruebas de penetración y de escasos especialistas en seguridad de aplicaciones nos va a hundir más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad existe en línea como para que las empresas sigan tirando la cautela al viento con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, tenemos que recurrir a los superhéroes que hemos tenido sentados en la oficina todo el tiempo: el equipo de desarrollo.
La formación gamificada, en lenguajes y marcos relevantes, es una potente herramienta para que los responsables de AppSec empiecen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden flexionar sus músculos de seguridad recién construidos en un entorno divertido tournament , que puede ser tan emocionante como su imaginación pueda conjurar: basta con echar un vistazo a cómo el "Juego de Códigos" de IAG hizo que todo el mundo hablara de seguridad dentro de su organización.
El módulotournament Secure Code Warrior's proporciona algo más que un pequeño tope para un compromiso de formación medido: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación, así como identificar las áreas que pueden necesitar mejorar. El aspecto de la competición actúa realmente como un motivador para comprometerse positivamente con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el crecimiento de una sólida cultura de seguridad dentro del equipo y de la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa -si no desalentadora- puede contribuir en gran medida a cambiar la mentalidad negativa y a inspirar la participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (sano)?
Los campeones caminan entre vosotros
La formación gamificada y la posterior tournaments ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo adquieren mucha más información sobre el trabajo diario de cada uno. Un desarrollador seguro es un activo que soluciona las vulnerabilidades comunes y deja los problemas complejos a los escasos especialistas en AppSec sobre el terreno. Las relaciones crecen y prosperan, y el preciado presupuesto de seguridad no se consume en arreglar un escenario de "Día de la Marmota" con los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Tournaments puede descubrir a aquellos que no sólo tienen una aptitud para la seguridad, sino que muestran activamente una pasión por ella. Estos campeones son vitales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y mantener las políticas de mejores prácticas. Poner en marcha un sólido programa de campeones, que incluya el reconocimiento y el apoyo de los ejecutivos, es un punto de referencia para la organización, así como una poderosa inclusión en el currículum de la persona y en su futura carrera.
¿La conclusión? Debemos exigir mejores resultados en las pruebas de seguridad. Menos errores comunes, más apoyo para los que están en primera línea. ¿Por qué no ver cómo un desarrollador tournament puede conseguirlo antes de lo que piensa?
Imagina que creas algo desde cero, que utilizas tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o en equipo, pones tu corazón y tu alma en construir algo de la nada. Dedicas cientos -quizá incluso miles- de horas a ello, asegurándote de que tu bebé es lo mejor que puede ser. Al terminar, esa ola de logros puede parecer una recompensa en sí misma.
Ahora, imagina que llega un aguafiestas y te dice que no es tan bueno. Tal vez vayan un paso más allá y te digan que no, que a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede utilizar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior está destinado a causar cierta tensión; después de todo, ¿quién quiere que su duro trabajo sea criticado y condenado como inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de seguridad de las aplicaciones. Un desarrollador tiene la responsabilidad principal de construir un software que sea funcional, rico en características y que se entregue dentro de los estrictos plazos del proyecto. La seguridad no suele ser la prioridad, e incluso puede verse como un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de revisar meticulosamente el código, hacer pruebas de penetración y luego informar de las malas noticias: la presencia de vulnerabilidades de seguridad en un código que a menudo ya está comprometido. Se trata de un proceso costoso en un entorno que a menudo tiene pocos recursos y tiempo, y cuya configuración está destinada a provocar una ruptura entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar enfrentados.
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera de las aulas, al terreno de juego
Dado que muchos desarrolladores terminan su formación profesional sin aprender mucho sobre codificación de forma segura, a menudo su primer contacto con la educación en seguridad se produce al entrar en la plantilla. La formación en el aula es una solución muy utilizada, pero resta un tiempo precioso a la impartición de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También están los vídeos courses, los exámenes en papel y la formación genérica sobre la política de seguridad de la empresa... todos ellos pueden ser tan poco específicos que resultan inútiles en el día a día del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de "marque la casilla y siga adelante", y con demasiada frecuencia tiene el efecto contrario: sólo conduce a una mayor brecha entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional tenga el efecto positivo sobre la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos tan desesperadamente. Seguimos cometiendo los mismos errores.
Según la comunidad Common Weakness Enumeration(CWE), hay más de 700 debilidades de seguridad de software comunes contra las que luchar. Algunas, como la inyección SQL, son como cucarachas que no han sido aplastadas a pesar de existir desde hace más de veinte años. Sabemos cómo solucionarlo; la formación está ahí para capacitar a los desarrolladores para detenerlo y tantos otros, pero las pruebas de penetración y los procesos de revisión manual del código identifican continuamente estas violaciones.
Tal vez lo hayamos enfocado mal, y nosotros, como industria, tengamos que abordar la educación viable desde un ángulo diferente... uno que aproveche las increíbles habilidades tan valoradas en nuestros desarrolladores. Son creativos, inquisitivos y solucionadores de problemas que adoran los retos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, puede que se enamoren de la seguridad por el camino.
Un poco de sana competencia
Una dependencia básica de herramientas (bastante inexactas), de costosas pruebas de penetración y de escasos especialistas en seguridad de aplicaciones nos va a hundir más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad existe en línea como para que las empresas sigan tirando la cautela al viento con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, tenemos que recurrir a los superhéroes que hemos tenido sentados en la oficina todo el tiempo: el equipo de desarrollo.
La formación gamificada, en lenguajes y marcos relevantes, es una potente herramienta para que los responsables de AppSec empiecen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden flexionar sus músculos de seguridad recién construidos en un entorno divertido tournament , que puede ser tan emocionante como su imaginación pueda conjurar: basta con echar un vistazo a cómo el "Juego de Códigos" de IAG hizo que todo el mundo hablara de seguridad dentro de su organización.
El módulotournament Secure Code Warrior's proporciona algo más que un pequeño tope para un compromiso de formación medido: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación, así como identificar las áreas que pueden necesitar mejorar. El aspecto de la competición actúa realmente como un motivador para comprometerse positivamente con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el crecimiento de una sólida cultura de seguridad dentro del equipo y de la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa -si no desalentadora- puede contribuir en gran medida a cambiar la mentalidad negativa y a inspirar la participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (sano)?
Los campeones caminan entre vosotros
La formación gamificada y la posterior tournaments ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo adquieren mucha más información sobre el trabajo diario de cada uno. Un desarrollador seguro es un activo que soluciona las vulnerabilidades comunes y deja los problemas complejos a los escasos especialistas en AppSec sobre el terreno. Las relaciones crecen y prosperan, y el preciado presupuesto de seguridad no se consume en arreglar un escenario de "Día de la Marmota" con los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Tournaments puede descubrir a aquellos que no sólo tienen una aptitud para la seguridad, sino que muestran activamente una pasión por ella. Estos campeones son vitales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y mantener las políticas de mejores prácticas. Poner en marcha un sólido programa de campeones, que incluya el reconocimiento y el apoyo de los ejecutivos, es un punto de referencia para la organización, así como una poderosa inclusión en el currículum de la persona y en su futura carrera.
¿La conclusión? Debemos exigir mejores resultados en las pruebas de seguridad. Menos errores comunes, más apoyo para los que están en primera línea. ¿Por qué no ver cómo un desarrollador tournament puede conseguirlo antes de lo que piensa?
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Imagina que creas algo desde cero, que utilizas tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o en equipo, pones tu corazón y tu alma en construir algo de la nada. Dedicas cientos -quizá incluso miles- de horas a ello, asegurándote de que tu bebé es lo mejor que puede ser. Al terminar, esa ola de logros puede parecer una recompensa en sí misma.
Ahora, imagina que llega un aguafiestas y te dice que no es tan bueno. Tal vez vayan un paso más allá y te digan que no, que a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede utilizar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior está destinado a causar cierta tensión; después de todo, ¿quién quiere que su duro trabajo sea criticado y condenado como inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de seguridad de las aplicaciones. Un desarrollador tiene la responsabilidad principal de construir un software que sea funcional, rico en características y que se entregue dentro de los estrictos plazos del proyecto. La seguridad no suele ser la prioridad, e incluso puede verse como un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de revisar meticulosamente el código, hacer pruebas de penetración y luego informar de las malas noticias: la presencia de vulnerabilidades de seguridad en un código que a menudo ya está comprometido. Se trata de un proceso costoso en un entorno que a menudo tiene pocos recursos y tiempo, y cuya configuración está destinada a provocar una ruptura entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar enfrentados.
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera de las aulas, al terreno de juego
Dado que muchos desarrolladores terminan su formación profesional sin aprender mucho sobre codificación de forma segura, a menudo su primer contacto con la educación en seguridad se produce al entrar en la plantilla. La formación en el aula es una solución muy utilizada, pero resta un tiempo precioso a la impartición de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También están los vídeos courses, los exámenes en papel y la formación genérica sobre la política de seguridad de la empresa... todos ellos pueden ser tan poco específicos que resultan inútiles en el día a día del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de "marque la casilla y siga adelante", y con demasiada frecuencia tiene el efecto contrario: sólo conduce a una mayor brecha entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional tenga el efecto positivo sobre la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos tan desesperadamente. Seguimos cometiendo los mismos errores.
Según la comunidad Common Weakness Enumeration(CWE), hay más de 700 debilidades de seguridad de software comunes contra las que luchar. Algunas, como la inyección SQL, son como cucarachas que no han sido aplastadas a pesar de existir desde hace más de veinte años. Sabemos cómo solucionarlo; la formación está ahí para capacitar a los desarrolladores para detenerlo y tantos otros, pero las pruebas de penetración y los procesos de revisión manual del código identifican continuamente estas violaciones.
Tal vez lo hayamos enfocado mal, y nosotros, como industria, tengamos que abordar la educación viable desde un ángulo diferente... uno que aproveche las increíbles habilidades tan valoradas en nuestros desarrolladores. Son creativos, inquisitivos y solucionadores de problemas que adoran los retos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, puede que se enamoren de la seguridad por el camino.
Un poco de sana competencia
Una dependencia básica de herramientas (bastante inexactas), de costosas pruebas de penetración y de escasos especialistas en seguridad de aplicaciones nos va a hundir más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad existe en línea como para que las empresas sigan tirando la cautela al viento con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, tenemos que recurrir a los superhéroes que hemos tenido sentados en la oficina todo el tiempo: el equipo de desarrollo.
La formación gamificada, en lenguajes y marcos relevantes, es una potente herramienta para que los responsables de AppSec empiecen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden flexionar sus músculos de seguridad recién construidos en un entorno divertido tournament , que puede ser tan emocionante como su imaginación pueda conjurar: basta con echar un vistazo a cómo el "Juego de Códigos" de IAG hizo que todo el mundo hablara de seguridad dentro de su organización.
El módulotournament Secure Code Warrior's proporciona algo más que un pequeño tope para un compromiso de formación medido: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación, así como identificar las áreas que pueden necesitar mejorar. El aspecto de la competición actúa realmente como un motivador para comprometerse positivamente con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el crecimiento de una sólida cultura de seguridad dentro del equipo y de la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa -si no desalentadora- puede contribuir en gran medida a cambiar la mentalidad negativa y a inspirar la participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (sano)?
Los campeones caminan entre vosotros
La formación gamificada y la posterior tournaments ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo adquieren mucha más información sobre el trabajo diario de cada uno. Un desarrollador seguro es un activo que soluciona las vulnerabilidades comunes y deja los problemas complejos a los escasos especialistas en AppSec sobre el terreno. Las relaciones crecen y prosperan, y el preciado presupuesto de seguridad no se consume en arreglar un escenario de "Día de la Marmota" con los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Tournaments puede descubrir a aquellos que no sólo tienen una aptitud para la seguridad, sino que muestran activamente una pasión por ella. Estos campeones son vitales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y mantener las políticas de mejores prácticas. Poner en marcha un sólido programa de campeones, que incluya el reconocimiento y el apoyo de los ejecutivos, es un punto de referencia para la organización, así como una poderosa inclusión en el currículum de la persona y en su futura carrera.
¿La conclusión? Debemos exigir mejores resultados en las pruebas de seguridad. Menos errores comunes, más apoyo para los que están en primera línea. ¿Por qué no ver cómo un desarrollador tournament puede conseguirlo antes de lo que piensa?
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Asistentes de codificación de IA: Guía de navegación segura para la próxima generación de desarrolladores
Los grandes modelos lingüísticos ofrecen ventajas irresistibles en velocidad y productividad, pero también introducen riesgos innegables para la empresa. Las barandillas de seguridad tradicionales no bastan para controlar el diluvio. Los desarrolladores necesitan conocimientos de seguridad precisos y verificados para identificar y prevenir los fallos de seguridad desde el principio del ciclo de vida de desarrollo del software.
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Recursos para empezar
Más de 10.000 actividades de aprendizaje sobre código seguro: Una década de gestión de riesgos para desarrolladores
Más de 10 000 actividades de aprendizaje de código seguro y una década ayudando a los desarrolladores a reducir riesgos, mejorar la calidad del código y abordar con confianza el desarrollo asistido por IA.
.jpg)
Estableciendo el estándar: SCW publica reglas de seguridad de codificación de IA gratuitas en GitHub
El desarrollo asistido por IA ya no es una posibilidad: ya está aquí y está transformando rápidamente la forma de escribir software. Herramientas como GitHub Copilot, Cline, Roo, Cursor, Aider y Windsurf están transformando a los desarrolladores en sus propios copilotos, permitiendo iteraciones más rápidas y acelerando todo, desde la creación de prototipos hasta grandes proyectos de refactorización.
Cierre el círculo de las vulnerabilidades con Secure Code Warrior + HackerOne
Secure Code Warrior se complace en anunciar nuestra nueva integración con HackerOne, líder en soluciones de seguridad ofensiva. Juntos, estamos construyendo un ecosistema potente e integrado. HackerOne señala dónde se producen realmente las vulnerabilidades en entornos reales, exponiendo el "qué" y el "dónde" de los problemas de seguridad.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
