Desarrollador Tournaments: El arma secreta de AppSec para mejorar la cultura de seguridad y el compromiso
Imagina que creas algo desde cero, que utilizas tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o en equipo, pones tu corazón y tu alma en construir algo de la nada. Dedicas cientos -quizá incluso miles- de horas a ello, asegurándote de que tu bebé es lo mejor que puede ser. Al terminar, esa ola de logros puede parecer una recompensa en sí misma.
Ahora, imagina que llega un aguafiestas y te dice que no es tan bueno. Tal vez vayan un paso más allá y te digan que no, que a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede utilizar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior está destinado a causar cierta tensión; después de todo, ¿quién quiere que su duro trabajo sea criticado y condenado como inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de seguridad de las aplicaciones. Un desarrollador tiene la responsabilidad principal de construir un software que sea funcional, rico en características y que se entregue dentro de los estrictos plazos del proyecto. La seguridad no suele ser la prioridad, e incluso puede verse como un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de revisar meticulosamente el código, hacer pruebas de penetración y luego informar de las malas noticias: la presencia de vulnerabilidades de seguridad en un código que a menudo ya está comprometido. Se trata de un proceso costoso en un entorno que a menudo tiene pocos recursos y tiempo, y cuya configuración está destinada a provocar una ruptura entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar enfrentados.
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera de las aulas, al terreno de juego
Dado que muchos desarrolladores terminan su formación profesional sin aprender mucho sobre codificación de forma segura, a menudo su primer contacto con la educación en seguridad se produce al entrar en la plantilla. La formación en el aula es una solución muy utilizada, pero resta un tiempo precioso a la impartición de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También están los vídeos courses, los exámenes en papel y la formación genérica sobre la política de seguridad de la empresa... todos ellos pueden ser tan poco específicos que resultan inútiles en el día a día del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de "marque la casilla y siga adelante", y con demasiada frecuencia tiene el efecto contrario: sólo conduce a una mayor brecha entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional tenga el efecto positivo sobre la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos tan desesperadamente. Seguimos cometiendo los mismos errores.
Según la comunidad Common Weakness Enumeration(CWE), hay más de 700 debilidades de seguridad de software comunes contra las que luchar. Algunas, como la inyección SQL, son como cucarachas que no han sido aplastadas a pesar de existir desde hace más de veinte años. Sabemos cómo solucionarlo; la formación está ahí para capacitar a los desarrolladores para detenerlo y tantos otros, pero las pruebas de penetración y los procesos de revisión manual del código identifican continuamente estas violaciones.
Tal vez lo hayamos enfocado mal, y nosotros, como industria, tengamos que abordar la educación viable desde un ángulo diferente... uno que aproveche las increíbles habilidades tan valoradas en nuestros desarrolladores. Son creativos, inquisitivos y solucionadores de problemas que adoran los retos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, puede que se enamoren de la seguridad por el camino.
Un poco de sana competencia
Una dependencia básica de herramientas (bastante inexactas), de costosas pruebas de penetración y de escasos especialistas en seguridad de aplicaciones nos va a hundir más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad existe en línea como para que las empresas sigan tirando la cautela al viento con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, tenemos que recurrir a los superhéroes que hemos tenido sentados en la oficina todo el tiempo: el equipo de desarrollo.
La formación gamificada, en lenguajes y marcos relevantes, es una potente herramienta para que los responsables de AppSec empiecen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden flexionar sus músculos de seguridad recién construidos en un entorno divertido tournament , que puede ser tan emocionante como su imaginación pueda conjurar: basta con echar un vistazo a cómo el "Juego de Códigos" de IAG hizo que todo el mundo hablara de seguridad dentro de su organización.
El módulotournament Secure Code Warrior's proporciona algo más que un pequeño tope para un compromiso de formación medido: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación, así como identificar las áreas que pueden necesitar mejorar. El aspecto de la competición actúa realmente como un motivador para comprometerse positivamente con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el crecimiento de una sólida cultura de seguridad dentro del equipo y de la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa -si no desalentadora- puede contribuir en gran medida a cambiar la mentalidad negativa y a inspirar la participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (sano)?
Los campeones caminan entre vosotros
La formación gamificada y la posterior tournaments ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo adquieren mucha más información sobre el trabajo diario de cada uno. Un desarrollador seguro es un activo que soluciona las vulnerabilidades comunes y deja los problemas complejos a los escasos especialistas en AppSec sobre el terreno. Las relaciones crecen y prosperan, y el preciado presupuesto de seguridad no se consume en arreglar un escenario de "Día de la Marmota" con los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Tournaments puede descubrir a aquellos que no sólo tienen una aptitud para la seguridad, sino que muestran activamente una pasión por ella. Estos campeones son vitales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y mantener las políticas de mejores prácticas. Poner en marcha un sólido programa de campeones, que incluya el reconocimiento y el apoyo de los ejecutivos, es un punto de referencia para la organización, así como una poderosa inclusión en el currículum de la persona y en su futura carrera.
¿La conclusión? Debemos exigir mejores resultados en las pruebas de seguridad. Menos errores comunes, más apoyo para los que están en primera línea. ¿Por qué no ver cómo un desarrollador tournament puede conseguirlo antes de lo que piensa?
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Imagina que creas algo desde cero, que utilizas tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o en equipo, pones tu corazón y tu alma en construir algo de la nada. Dedicas cientos -quizá incluso miles- de horas a ello, asegurándote de que tu bebé es lo mejor que puede ser. Al terminar, esa ola de logros puede parecer una recompensa en sí misma.
Ahora, imagina que llega un aguafiestas y te dice que no es tan bueno. Tal vez vayan un paso más allá y te digan que no, que a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede utilizar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior está destinado a causar cierta tensión; después de todo, ¿quién quiere que su duro trabajo sea criticado y condenado como inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de seguridad de las aplicaciones. Un desarrollador tiene la responsabilidad principal de construir un software que sea funcional, rico en características y que se entregue dentro de los estrictos plazos del proyecto. La seguridad no suele ser la prioridad, e incluso puede verse como un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de revisar meticulosamente el código, hacer pruebas de penetración y luego informar de las malas noticias: la presencia de vulnerabilidades de seguridad en un código que a menudo ya está comprometido. Se trata de un proceso costoso en un entorno que a menudo tiene pocos recursos y tiempo, y cuya configuración está destinada a provocar una ruptura entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar enfrentados.
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera de las aulas, al terreno de juego
Dado que muchos desarrolladores terminan su formación profesional sin aprender mucho sobre codificación de forma segura, a menudo su primer contacto con la educación en seguridad se produce al entrar en la plantilla. La formación en el aula es una solución muy utilizada, pero resta un tiempo precioso a la impartición de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También están los vídeos courses, los exámenes en papel y la formación genérica sobre la política de seguridad de la empresa... todos ellos pueden ser tan poco específicos que resultan inútiles en el día a día del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de "marque la casilla y siga adelante", y con demasiada frecuencia tiene el efecto contrario: sólo conduce a una mayor brecha entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional tenga el efecto positivo sobre la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos tan desesperadamente. Seguimos cometiendo los mismos errores.
Según la comunidad Common Weakness Enumeration(CWE), hay más de 700 debilidades de seguridad de software comunes contra las que luchar. Algunas, como la inyección SQL, son como cucarachas que no han sido aplastadas a pesar de existir desde hace más de veinte años. Sabemos cómo solucionarlo; la formación está ahí para capacitar a los desarrolladores para detenerlo y tantos otros, pero las pruebas de penetración y los procesos de revisión manual del código identifican continuamente estas violaciones.
Tal vez lo hayamos enfocado mal, y nosotros, como industria, tengamos que abordar la educación viable desde un ángulo diferente... uno que aproveche las increíbles habilidades tan valoradas en nuestros desarrolladores. Son creativos, inquisitivos y solucionadores de problemas que adoran los retos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, puede que se enamoren de la seguridad por el camino.
Un poco de sana competencia
Una dependencia básica de herramientas (bastante inexactas), de costosas pruebas de penetración y de escasos especialistas en seguridad de aplicaciones nos va a hundir más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad existe en línea como para que las empresas sigan tirando la cautela al viento con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, tenemos que recurrir a los superhéroes que hemos tenido sentados en la oficina todo el tiempo: el equipo de desarrollo.
La formación gamificada, en lenguajes y marcos relevantes, es una potente herramienta para que los responsables de AppSec empiecen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden flexionar sus músculos de seguridad recién construidos en un entorno divertido tournament , que puede ser tan emocionante como su imaginación pueda conjurar: basta con echar un vistazo a cómo el "Juego de Códigos" de IAG hizo que todo el mundo hablara de seguridad dentro de su organización.
El módulotournament Secure Code Warrior's proporciona algo más que un pequeño tope para un compromiso de formación medido: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación, así como identificar las áreas que pueden necesitar mejorar. El aspecto de la competición actúa realmente como un motivador para comprometerse positivamente con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el crecimiento de una sólida cultura de seguridad dentro del equipo y de la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa -si no desalentadora- puede contribuir en gran medida a cambiar la mentalidad negativa y a inspirar la participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (sano)?
Los campeones caminan entre vosotros
La formación gamificada y la posterior tournaments ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo adquieren mucha más información sobre el trabajo diario de cada uno. Un desarrollador seguro es un activo que soluciona las vulnerabilidades comunes y deja los problemas complejos a los escasos especialistas en AppSec sobre el terreno. Las relaciones crecen y prosperan, y el preciado presupuesto de seguridad no se consume en arreglar un escenario de "Día de la Marmota" con los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Tournaments puede descubrir a aquellos que no sólo tienen una aptitud para la seguridad, sino que muestran activamente una pasión por ella. Estos campeones son vitales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y mantener las políticas de mejores prácticas. Poner en marcha un sólido programa de campeones, que incluya el reconocimiento y el apoyo de los ejecutivos, es un punto de referencia para la organización, así como una poderosa inclusión en el currículum de la persona y en su futura carrera.
¿La conclusión? Debemos exigir mejores resultados en las pruebas de seguridad. Menos errores comunes, más apoyo para los que están en primera línea. ¿Por qué no ver cómo un desarrollador tournament puede conseguirlo antes de lo que piensa?
Imagina que creas algo desde cero, que utilizas tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o en equipo, pones tu corazón y tu alma en construir algo de la nada. Dedicas cientos -quizá incluso miles- de horas a ello, asegurándote de que tu bebé es lo mejor que puede ser. Al terminar, esa ola de logros puede parecer una recompensa en sí misma.
Ahora, imagina que llega un aguafiestas y te dice que no es tan bueno. Tal vez vayan un paso más allá y te digan que no, que a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede utilizar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior está destinado a causar cierta tensión; después de todo, ¿quién quiere que su duro trabajo sea criticado y condenado como inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de seguridad de las aplicaciones. Un desarrollador tiene la responsabilidad principal de construir un software que sea funcional, rico en características y que se entregue dentro de los estrictos plazos del proyecto. La seguridad no suele ser la prioridad, e incluso puede verse como un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de revisar meticulosamente el código, hacer pruebas de penetración y luego informar de las malas noticias: la presencia de vulnerabilidades de seguridad en un código que a menudo ya está comprometido. Se trata de un proceso costoso en un entorno que a menudo tiene pocos recursos y tiempo, y cuya configuración está destinada a provocar una ruptura entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar enfrentados.
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera de las aulas, al terreno de juego
Dado que muchos desarrolladores terminan su formación profesional sin aprender mucho sobre codificación de forma segura, a menudo su primer contacto con la educación en seguridad se produce al entrar en la plantilla. La formación en el aula es una solución muy utilizada, pero resta un tiempo precioso a la impartición de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También están los vídeos courses, los exámenes en papel y la formación genérica sobre la política de seguridad de la empresa... todos ellos pueden ser tan poco específicos que resultan inútiles en el día a día del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de "marque la casilla y siga adelante", y con demasiada frecuencia tiene el efecto contrario: sólo conduce a una mayor brecha entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional tenga el efecto positivo sobre la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos tan desesperadamente. Seguimos cometiendo los mismos errores.
Según la comunidad Common Weakness Enumeration(CWE), hay más de 700 debilidades de seguridad de software comunes contra las que luchar. Algunas, como la inyección SQL, son como cucarachas que no han sido aplastadas a pesar de existir desde hace más de veinte años. Sabemos cómo solucionarlo; la formación está ahí para capacitar a los desarrolladores para detenerlo y tantos otros, pero las pruebas de penetración y los procesos de revisión manual del código identifican continuamente estas violaciones.
Tal vez lo hayamos enfocado mal, y nosotros, como industria, tengamos que abordar la educación viable desde un ángulo diferente... uno que aproveche las increíbles habilidades tan valoradas en nuestros desarrolladores. Son creativos, inquisitivos y solucionadores de problemas que adoran los retos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, puede que se enamoren de la seguridad por el camino.
Un poco de sana competencia
Una dependencia básica de herramientas (bastante inexactas), de costosas pruebas de penetración y de escasos especialistas en seguridad de aplicaciones nos va a hundir más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad existe en línea como para que las empresas sigan tirando la cautela al viento con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, tenemos que recurrir a los superhéroes que hemos tenido sentados en la oficina todo el tiempo: el equipo de desarrollo.
La formación gamificada, en lenguajes y marcos relevantes, es una potente herramienta para que los responsables de AppSec empiecen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden flexionar sus músculos de seguridad recién construidos en un entorno divertido tournament , que puede ser tan emocionante como su imaginación pueda conjurar: basta con echar un vistazo a cómo el "Juego de Códigos" de IAG hizo que todo el mundo hablara de seguridad dentro de su organización.
El módulotournament Secure Code Warrior's proporciona algo más que un pequeño tope para un compromiso de formación medido: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación, así como identificar las áreas que pueden necesitar mejorar. El aspecto de la competición actúa realmente como un motivador para comprometerse positivamente con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el crecimiento de una sólida cultura de seguridad dentro del equipo y de la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa -si no desalentadora- puede contribuir en gran medida a cambiar la mentalidad negativa y a inspirar la participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (sano)?
Los campeones caminan entre vosotros
La formación gamificada y la posterior tournaments ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo adquieren mucha más información sobre el trabajo diario de cada uno. Un desarrollador seguro es un activo que soluciona las vulnerabilidades comunes y deja los problemas complejos a los escasos especialistas en AppSec sobre el terreno. Las relaciones crecen y prosperan, y el preciado presupuesto de seguridad no se consume en arreglar un escenario de "Día de la Marmota" con los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Tournaments puede descubrir a aquellos que no sólo tienen una aptitud para la seguridad, sino que muestran activamente una pasión por ella. Estos campeones son vitales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y mantener las políticas de mejores prácticas. Poner en marcha un sólido programa de campeones, que incluya el reconocimiento y el apoyo de los ejecutivos, es un punto de referencia para la organización, así como una poderosa inclusión en el currículum de la persona y en su futura carrera.
¿La conclusión? Debemos exigir mejores resultados en las pruebas de seguridad. Menos errores comunes, más apoyo para los que están en primera línea. ¿Por qué no ver cómo un desarrollador tournament puede conseguirlo antes de lo que piensa?
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Imagina que creas algo desde cero, que utilizas tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o en equipo, pones tu corazón y tu alma en construir algo de la nada. Dedicas cientos -quizá incluso miles- de horas a ello, asegurándote de que tu bebé es lo mejor que puede ser. Al terminar, esa ola de logros puede parecer una recompensa en sí misma.
Ahora, imagina que llega un aguafiestas y te dice que no es tan bueno. Tal vez vayan un paso más allá y te digan que no, que a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede utilizar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior está destinado a causar cierta tensión; después de todo, ¿quién quiere que su duro trabajo sea criticado y condenado como inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de seguridad de las aplicaciones. Un desarrollador tiene la responsabilidad principal de construir un software que sea funcional, rico en características y que se entregue dentro de los estrictos plazos del proyecto. La seguridad no suele ser la prioridad, e incluso puede verse como un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de revisar meticulosamente el código, hacer pruebas de penetración y luego informar de las malas noticias: la presencia de vulnerabilidades de seguridad en un código que a menudo ya está comprometido. Se trata de un proceso costoso en un entorno que a menudo tiene pocos recursos y tiempo, y cuya configuración está destinada a provocar una ruptura entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar enfrentados.
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera de las aulas, al terreno de juego
Dado que muchos desarrolladores terminan su formación profesional sin aprender mucho sobre codificación de forma segura, a menudo su primer contacto con la educación en seguridad se produce al entrar en la plantilla. La formación en el aula es una solución muy utilizada, pero resta un tiempo precioso a la impartición de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También están los vídeos courses, los exámenes en papel y la formación genérica sobre la política de seguridad de la empresa... todos ellos pueden ser tan poco específicos que resultan inútiles en el día a día del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de "marque la casilla y siga adelante", y con demasiada frecuencia tiene el efecto contrario: sólo conduce a una mayor brecha entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional tenga el efecto positivo sobre la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos tan desesperadamente. Seguimos cometiendo los mismos errores.
Según la comunidad Common Weakness Enumeration(CWE), hay más de 700 debilidades de seguridad de software comunes contra las que luchar. Algunas, como la inyección SQL, son como cucarachas que no han sido aplastadas a pesar de existir desde hace más de veinte años. Sabemos cómo solucionarlo; la formación está ahí para capacitar a los desarrolladores para detenerlo y tantos otros, pero las pruebas de penetración y los procesos de revisión manual del código identifican continuamente estas violaciones.
Tal vez lo hayamos enfocado mal, y nosotros, como industria, tengamos que abordar la educación viable desde un ángulo diferente... uno que aproveche las increíbles habilidades tan valoradas en nuestros desarrolladores. Son creativos, inquisitivos y solucionadores de problemas que adoran los retos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, puede que se enamoren de la seguridad por el camino.
Un poco de sana competencia
Una dependencia básica de herramientas (bastante inexactas), de costosas pruebas de penetración y de escasos especialistas en seguridad de aplicaciones nos va a hundir más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad existe en línea como para que las empresas sigan tirando la cautela al viento con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, tenemos que recurrir a los superhéroes que hemos tenido sentados en la oficina todo el tiempo: el equipo de desarrollo.
La formación gamificada, en lenguajes y marcos relevantes, es una potente herramienta para que los responsables de AppSec empiecen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden flexionar sus músculos de seguridad recién construidos en un entorno divertido tournament , que puede ser tan emocionante como su imaginación pueda conjurar: basta con echar un vistazo a cómo el "Juego de Códigos" de IAG hizo que todo el mundo hablara de seguridad dentro de su organización.
El módulotournament Secure Code Warrior's proporciona algo más que un pequeño tope para un compromiso de formación medido: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación, así como identificar las áreas que pueden necesitar mejorar. El aspecto de la competición actúa realmente como un motivador para comprometerse positivamente con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el crecimiento de una sólida cultura de seguridad dentro del equipo y de la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa -si no desalentadora- puede contribuir en gran medida a cambiar la mentalidad negativa y a inspirar la participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (sano)?
Los campeones caminan entre vosotros
La formación gamificada y la posterior tournaments ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo adquieren mucha más información sobre el trabajo diario de cada uno. Un desarrollador seguro es un activo que soluciona las vulnerabilidades comunes y deja los problemas complejos a los escasos especialistas en AppSec sobre el terreno. Las relaciones crecen y prosperan, y el preciado presupuesto de seguridad no se consume en arreglar un escenario de "Día de la Marmota" con los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Tournaments puede descubrir a aquellos que no sólo tienen una aptitud para la seguridad, sino que muestran activamente una pasión por ella. Estos campeones son vitales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y mantener las políticas de mejores prácticas. Poner en marcha un sólido programa de campeones, que incluya el reconocimiento y el apoyo de los ejecutivos, es un punto de referencia para la organización, así como una poderosa inclusión en el currículum de la persona y en su futura carrera.
¿La conclusión? Debemos exigir mejores resultados en las pruebas de seguridad. Menos errores comunes, más apoyo para los que están en primera línea. ¿Por qué no ver cómo un desarrollador tournament puede conseguirlo antes de lo que piensa?
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Temas y contenidos de la formación sobre código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Temas que cubren todo, desde IA a XQuery Injection, ofrecidos para una variedad de roles desde Arquitectos e Ingenieros a Product Managers y QA. Eche un vistazo a lo que ofrece nuestro catálogo de contenidos por tema y función.
Búsqueda: Aprendizaje líder en la industria para mantener a los desarrolladores por delante mitigando el riesgo.
Quests es una learning platform que ayuda a los desarrolladores a mitigar los riesgos de seguridad del software mediante la mejora de sus habilidades de codificación segura. Con rutas de aprendizaje curadas, desafíos prácticos y actividades interactivas, capacita a los desarrolladores para identificar y prevenir vulnerabilidades.
Recursos para empezar
Inyección indirecta y riesgos de seguridad de las herramientas de codificación agéntica
Cómo se engañó a un agente de codificación para que escribiera código propenso a inyecciones SQL, instalara herramientas de shell y tal vez incluso acechara a su usuario.
La Década de los Defensores: Secure Code Warrior Cumple Diez Años
Secure Code Warriorha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.
10 predicciones clave: Secure Code Warrior sobre la influencia de la IA y el diseño seguro en 2025
Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de seguridad por diseño, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
