Desarrollador Tournaments: El arma secreta de AppSec para mejorar la cultura de seguridad y el compromiso
Imagina que creas algo desde cero, que utilizas tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o en equipo, pones tu corazón y tu alma en construir algo de la nada. Dedicas cientos -quizá incluso miles- de horas a ello, asegurándote de que tu bebé es lo mejor que puede ser. Al terminar, esa ola de logros puede parecer una recompensa en sí misma.
Ahora, imagina que llega un aguafiestas y te dice que no es tan bueno. Tal vez vayan un paso más allá y te digan que no, que a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede utilizar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior está destinado a causar cierta tensión; después de todo, ¿quién quiere que su duro trabajo sea criticado y condenado como inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de seguridad de las aplicaciones. Un desarrollador tiene la responsabilidad principal de construir un software que sea funcional, rico en características y que se entregue dentro de los estrictos plazos del proyecto. La seguridad no suele ser la prioridad, e incluso puede verse como un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de revisar meticulosamente el código, hacer pruebas de penetración y luego informar de las malas noticias: la presencia de vulnerabilidades de seguridad en un código que a menudo ya está comprometido. Se trata de un proceso costoso en un entorno que a menudo tiene pocos recursos y tiempo, y cuya configuración está destinada a provocar una ruptura entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar enfrentados.
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera de las aulas, al terreno de juego
Dado que muchos desarrolladores terminan su formación profesional sin aprender mucho sobre codificación de forma segura, a menudo su primer contacto con la educación en seguridad se produce al entrar en la plantilla. La formación en el aula es una solución muy utilizada, pero resta un tiempo precioso a la impartición de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También están los vídeos courses, los exámenes en papel y la formación genérica sobre la política de seguridad de la empresa... todos ellos pueden ser tan poco específicos que resultan inútiles en el día a día del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de "marque la casilla y siga adelante", y con demasiada frecuencia tiene el efecto contrario: sólo conduce a una mayor brecha entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional tenga el efecto positivo sobre la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos tan desesperadamente. Seguimos cometiendo los mismos errores.
Según la comunidad Common Weakness Enumeration(CWE), hay más de 700 debilidades de seguridad de software comunes contra las que luchar. Algunas, como la inyección SQL, son como cucarachas que no han sido aplastadas a pesar de existir desde hace más de veinte años. Sabemos cómo solucionarlo; la formación está ahí para capacitar a los desarrolladores para detenerlo y tantos otros, pero las pruebas de penetración y los procesos de revisión manual del código identifican continuamente estas violaciones.
Tal vez lo hayamos enfocado mal, y nosotros, como industria, tengamos que abordar la educación viable desde un ángulo diferente... uno que aproveche las increíbles habilidades tan valoradas en nuestros desarrolladores. Son creativos, inquisitivos y solucionadores de problemas que adoran los retos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, puede que se enamoren de la seguridad por el camino.
Un poco de sana competencia
Una dependencia básica de herramientas (bastante inexactas), de costosas pruebas de penetración y de escasos especialistas en seguridad de aplicaciones nos va a hundir más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad existe en línea como para que las empresas sigan tirando la cautela al viento con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, tenemos que recurrir a los superhéroes que hemos tenido sentados en la oficina todo el tiempo: el equipo de desarrollo.
La formación gamificada, en lenguajes y marcos relevantes, es una potente herramienta para que los responsables de AppSec empiecen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden flexionar sus músculos de seguridad recién construidos en un entorno divertido tournament , que puede ser tan emocionante como su imaginación pueda conjurar: basta con echar un vistazo a cómo el "Juego de Códigos" de IAG hizo que todo el mundo hablara de seguridad dentro de su organización.
El módulotournament Secure Code Warrior's proporciona algo más que un pequeño tope para un compromiso de formación medido: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación, así como identificar las áreas que pueden necesitar mejorar. El aspecto de la competición actúa realmente como un motivador para comprometerse positivamente con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el crecimiento de una sólida cultura de seguridad dentro del equipo y de la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa -si no desalentadora- puede contribuir en gran medida a cambiar la mentalidad negativa y a inspirar la participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (sano)?
Los campeones caminan entre vosotros
La formación gamificada y la posterior tournaments ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo adquieren mucha más información sobre el trabajo diario de cada uno. Un desarrollador seguro es un activo que soluciona las vulnerabilidades comunes y deja los problemas complejos a los escasos especialistas en AppSec sobre el terreno. Las relaciones crecen y prosperan, y el preciado presupuesto de seguridad no se consume en arreglar un escenario de "Día de la Marmota" con los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Tournaments puede descubrir a aquellos que no sólo tienen una aptitud para la seguridad, sino que muestran activamente una pasión por ella. Estos campeones son vitales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y mantener las políticas de mejores prácticas. Poner en marcha un sólido programa de campeones, que incluya el reconocimiento y el apoyo de los ejecutivos, es un punto de referencia para la organización, así como una poderosa inclusión en el currículum de la persona y en su futura carrera.
¿La conclusión? Debemos exigir mejores resultados en las pruebas de seguridad. Menos errores comunes, más apoyo para los que están en primera línea. ¿Por qué no ver cómo un desarrollador tournament puede conseguirlo antes de lo que piensa?
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Imagina que creas algo desde cero, que utilizas tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o en equipo, pones tu corazón y tu alma en construir algo de la nada. Dedicas cientos -quizá incluso miles- de horas a ello, asegurándote de que tu bebé es lo mejor que puede ser. Al terminar, esa ola de logros puede parecer una recompensa en sí misma.
Ahora, imagina que llega un aguafiestas y te dice que no es tan bueno. Tal vez vayan un paso más allá y te digan que no, que a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede utilizar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior está destinado a causar cierta tensión; después de todo, ¿quién quiere que su duro trabajo sea criticado y condenado como inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de seguridad de las aplicaciones. Un desarrollador tiene la responsabilidad principal de construir un software que sea funcional, rico en características y que se entregue dentro de los estrictos plazos del proyecto. La seguridad no suele ser la prioridad, e incluso puede verse como un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de revisar meticulosamente el código, hacer pruebas de penetración y luego informar de las malas noticias: la presencia de vulnerabilidades de seguridad en un código que a menudo ya está comprometido. Se trata de un proceso costoso en un entorno que a menudo tiene pocos recursos y tiempo, y cuya configuración está destinada a provocar una ruptura entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar enfrentados.
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera de las aulas, al terreno de juego
Dado que muchos desarrolladores terminan su formación profesional sin aprender mucho sobre codificación de forma segura, a menudo su primer contacto con la educación en seguridad se produce al entrar en la plantilla. La formación en el aula es una solución muy utilizada, pero resta un tiempo precioso a la impartición de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También están los vídeos courses, los exámenes en papel y la formación genérica sobre la política de seguridad de la empresa... todos ellos pueden ser tan poco específicos que resultan inútiles en el día a día del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de "marque la casilla y siga adelante", y con demasiada frecuencia tiene el efecto contrario: sólo conduce a una mayor brecha entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional tenga el efecto positivo sobre la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos tan desesperadamente. Seguimos cometiendo los mismos errores.
Según la comunidad Common Weakness Enumeration(CWE), hay más de 700 debilidades de seguridad de software comunes contra las que luchar. Algunas, como la inyección SQL, son como cucarachas que no han sido aplastadas a pesar de existir desde hace más de veinte años. Sabemos cómo solucionarlo; la formación está ahí para capacitar a los desarrolladores para detenerlo y tantos otros, pero las pruebas de penetración y los procesos de revisión manual del código identifican continuamente estas violaciones.
Tal vez lo hayamos enfocado mal, y nosotros, como industria, tengamos que abordar la educación viable desde un ángulo diferente... uno que aproveche las increíbles habilidades tan valoradas en nuestros desarrolladores. Son creativos, inquisitivos y solucionadores de problemas que adoran los retos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, puede que se enamoren de la seguridad por el camino.
Un poco de sana competencia
Una dependencia básica de herramientas (bastante inexactas), de costosas pruebas de penetración y de escasos especialistas en seguridad de aplicaciones nos va a hundir más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad existe en línea como para que las empresas sigan tirando la cautela al viento con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, tenemos que recurrir a los superhéroes que hemos tenido sentados en la oficina todo el tiempo: el equipo de desarrollo.
La formación gamificada, en lenguajes y marcos relevantes, es una potente herramienta para que los responsables de AppSec empiecen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden flexionar sus músculos de seguridad recién construidos en un entorno divertido tournament , que puede ser tan emocionante como su imaginación pueda conjurar: basta con echar un vistazo a cómo el "Juego de Códigos" de IAG hizo que todo el mundo hablara de seguridad dentro de su organización.
El módulotournament Secure Code Warrior's proporciona algo más que un pequeño tope para un compromiso de formación medido: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación, así como identificar las áreas que pueden necesitar mejorar. El aspecto de la competición actúa realmente como un motivador para comprometerse positivamente con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el crecimiento de una sólida cultura de seguridad dentro del equipo y de la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa -si no desalentadora- puede contribuir en gran medida a cambiar la mentalidad negativa y a inspirar la participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (sano)?
Los campeones caminan entre vosotros
La formación gamificada y la posterior tournaments ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo adquieren mucha más información sobre el trabajo diario de cada uno. Un desarrollador seguro es un activo que soluciona las vulnerabilidades comunes y deja los problemas complejos a los escasos especialistas en AppSec sobre el terreno. Las relaciones crecen y prosperan, y el preciado presupuesto de seguridad no se consume en arreglar un escenario de "Día de la Marmota" con los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Tournaments puede descubrir a aquellos que no sólo tienen una aptitud para la seguridad, sino que muestran activamente una pasión por ella. Estos campeones son vitales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y mantener las políticas de mejores prácticas. Poner en marcha un sólido programa de campeones, que incluya el reconocimiento y el apoyo de los ejecutivos, es un punto de referencia para la organización, así como una poderosa inclusión en el currículum de la persona y en su futura carrera.
¿La conclusión? Debemos exigir mejores resultados en las pruebas de seguridad. Menos errores comunes, más apoyo para los que están en primera línea. ¿Por qué no ver cómo un desarrollador tournament puede conseguirlo antes de lo que piensa?
Imagina que creas algo desde cero, que utilizas tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o en equipo, pones tu corazón y tu alma en construir algo de la nada. Dedicas cientos -quizá incluso miles- de horas a ello, asegurándote de que tu bebé es lo mejor que puede ser. Al terminar, esa ola de logros puede parecer una recompensa en sí misma.
Ahora, imagina que llega un aguafiestas y te dice que no es tan bueno. Tal vez vayan un paso más allá y te digan que no, que a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede utilizar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior está destinado a causar cierta tensión; después de todo, ¿quién quiere que su duro trabajo sea criticado y condenado como inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de seguridad de las aplicaciones. Un desarrollador tiene la responsabilidad principal de construir un software que sea funcional, rico en características y que se entregue dentro de los estrictos plazos del proyecto. La seguridad no suele ser la prioridad, e incluso puede verse como un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de revisar meticulosamente el código, hacer pruebas de penetración y luego informar de las malas noticias: la presencia de vulnerabilidades de seguridad en un código que a menudo ya está comprometido. Se trata de un proceso costoso en un entorno que a menudo tiene pocos recursos y tiempo, y cuya configuración está destinada a provocar una ruptura entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar enfrentados.
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera de las aulas, al terreno de juego
Dado que muchos desarrolladores terminan su formación profesional sin aprender mucho sobre codificación de forma segura, a menudo su primer contacto con la educación en seguridad se produce al entrar en la plantilla. La formación en el aula es una solución muy utilizada, pero resta un tiempo precioso a la impartición de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También están los vídeos courses, los exámenes en papel y la formación genérica sobre la política de seguridad de la empresa... todos ellos pueden ser tan poco específicos que resultan inútiles en el día a día del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de "marque la casilla y siga adelante", y con demasiada frecuencia tiene el efecto contrario: sólo conduce a una mayor brecha entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional tenga el efecto positivo sobre la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos tan desesperadamente. Seguimos cometiendo los mismos errores.
Según la comunidad Common Weakness Enumeration(CWE), hay más de 700 debilidades de seguridad de software comunes contra las que luchar. Algunas, como la inyección SQL, son como cucarachas que no han sido aplastadas a pesar de existir desde hace más de veinte años. Sabemos cómo solucionarlo; la formación está ahí para capacitar a los desarrolladores para detenerlo y tantos otros, pero las pruebas de penetración y los procesos de revisión manual del código identifican continuamente estas violaciones.
Tal vez lo hayamos enfocado mal, y nosotros, como industria, tengamos que abordar la educación viable desde un ángulo diferente... uno que aproveche las increíbles habilidades tan valoradas en nuestros desarrolladores. Son creativos, inquisitivos y solucionadores de problemas que adoran los retos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, puede que se enamoren de la seguridad por el camino.
Un poco de sana competencia
Una dependencia básica de herramientas (bastante inexactas), de costosas pruebas de penetración y de escasos especialistas en seguridad de aplicaciones nos va a hundir más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad existe en línea como para que las empresas sigan tirando la cautela al viento con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, tenemos que recurrir a los superhéroes que hemos tenido sentados en la oficina todo el tiempo: el equipo de desarrollo.
La formación gamificada, en lenguajes y marcos relevantes, es una potente herramienta para que los responsables de AppSec empiecen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden flexionar sus músculos de seguridad recién construidos en un entorno divertido tournament , que puede ser tan emocionante como su imaginación pueda conjurar: basta con echar un vistazo a cómo el "Juego de Códigos" de IAG hizo que todo el mundo hablara de seguridad dentro de su organización.
El módulotournament Secure Code Warrior's proporciona algo más que un pequeño tope para un compromiso de formación medido: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación, así como identificar las áreas que pueden necesitar mejorar. El aspecto de la competición actúa realmente como un motivador para comprometerse positivamente con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el crecimiento de una sólida cultura de seguridad dentro del equipo y de la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa -si no desalentadora- puede contribuir en gran medida a cambiar la mentalidad negativa y a inspirar la participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (sano)?
Los campeones caminan entre vosotros
La formación gamificada y la posterior tournaments ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo adquieren mucha más información sobre el trabajo diario de cada uno. Un desarrollador seguro es un activo que soluciona las vulnerabilidades comunes y deja los problemas complejos a los escasos especialistas en AppSec sobre el terreno. Las relaciones crecen y prosperan, y el preciado presupuesto de seguridad no se consume en arreglar un escenario de "Día de la Marmota" con los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Tournaments puede descubrir a aquellos que no sólo tienen una aptitud para la seguridad, sino que muestran activamente una pasión por ella. Estos campeones son vitales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y mantener las políticas de mejores prácticas. Poner en marcha un sólido programa de campeones, que incluya el reconocimiento y el apoyo de los ejecutivos, es un punto de referencia para la organización, así como una poderosa inclusión en el currículum de la persona y en su futura carrera.
¿La conclusión? Debemos exigir mejores resultados en las pruebas de seguridad. Menos errores comunes, más apoyo para los que están en primera línea. ¿Por qué no ver cómo un desarrollador tournament puede conseguirlo antes de lo que piensa?
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Imagina que creas algo desde cero, que utilizas tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o en equipo, pones tu corazón y tu alma en construir algo de la nada. Dedicas cientos -quizá incluso miles- de horas a ello, asegurándote de que tu bebé es lo mejor que puede ser. Al terminar, esa ola de logros puede parecer una recompensa en sí misma.
Ahora, imagina que llega un aguafiestas y te dice que no es tan bueno. Tal vez vayan un paso más allá y te digan que no, que a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede utilizar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior está destinado a causar cierta tensión; después de todo, ¿quién quiere que su duro trabajo sea criticado y condenado como inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de seguridad de las aplicaciones. Un desarrollador tiene la responsabilidad principal de construir un software que sea funcional, rico en características y que se entregue dentro de los estrictos plazos del proyecto. La seguridad no suele ser la prioridad, e incluso puede verse como un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de revisar meticulosamente el código, hacer pruebas de penetración y luego informar de las malas noticias: la presencia de vulnerabilidades de seguridad en un código que a menudo ya está comprometido. Se trata de un proceso costoso en un entorno que a menudo tiene pocos recursos y tiempo, y cuya configuración está destinada a provocar una ruptura entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar enfrentados.
¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera de las aulas, al terreno de juego
Dado que muchos desarrolladores terminan su formación profesional sin aprender mucho sobre codificación de forma segura, a menudo su primer contacto con la educación en seguridad se produce al entrar en la plantilla. La formación en el aula es una solución muy utilizada, pero resta un tiempo precioso a la impartición de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También están los vídeos courses, los exámenes en papel y la formación genérica sobre la política de seguridad de la empresa... todos ellos pueden ser tan poco específicos que resultan inútiles en el día a día del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de "marque la casilla y siga adelante", y con demasiada frecuencia tiene el efecto contrario: sólo conduce a una mayor brecha entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional tenga el efecto positivo sobre la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos tan desesperadamente. Seguimos cometiendo los mismos errores.
Según la comunidad Common Weakness Enumeration(CWE), hay más de 700 debilidades de seguridad de software comunes contra las que luchar. Algunas, como la inyección SQL, son como cucarachas que no han sido aplastadas a pesar de existir desde hace más de veinte años. Sabemos cómo solucionarlo; la formación está ahí para capacitar a los desarrolladores para detenerlo y tantos otros, pero las pruebas de penetración y los procesos de revisión manual del código identifican continuamente estas violaciones.
Tal vez lo hayamos enfocado mal, y nosotros, como industria, tengamos que abordar la educación viable desde un ángulo diferente... uno que aproveche las increíbles habilidades tan valoradas en nuestros desarrolladores. Son creativos, inquisitivos y solucionadores de problemas que adoran los retos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, puede que se enamoren de la seguridad por el camino.
Un poco de sana competencia
Una dependencia básica de herramientas (bastante inexactas), de costosas pruebas de penetración y de escasos especialistas en seguridad de aplicaciones nos va a hundir más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad existe en línea como para que las empresas sigan tirando la cautela al viento con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, tenemos que recurrir a los superhéroes que hemos tenido sentados en la oficina todo el tiempo: el equipo de desarrollo.
La formación gamificada, en lenguajes y marcos relevantes, es una potente herramienta para que los responsables de AppSec empiecen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden flexionar sus músculos de seguridad recién construidos en un entorno divertido tournament , que puede ser tan emocionante como su imaginación pueda conjurar: basta con echar un vistazo a cómo el "Juego de Códigos" de IAG hizo que todo el mundo hablara de seguridad dentro de su organización.
El módulotournament Secure Code Warrior's proporciona algo más que un pequeño tope para un compromiso de formación medido: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación, así como identificar las áreas que pueden necesitar mejorar. El aspecto de la competición actúa realmente como un motivador para comprometerse positivamente con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el crecimiento de una sólida cultura de seguridad dentro del equipo y de la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa -si no desalentadora- puede contribuir en gran medida a cambiar la mentalidad negativa y a inspirar la participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (sano)?
Los campeones caminan entre vosotros
La formación gamificada y la posterior tournaments ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo adquieren mucha más información sobre el trabajo diario de cada uno. Un desarrollador seguro es un activo que soluciona las vulnerabilidades comunes y deja los problemas complejos a los escasos especialistas en AppSec sobre el terreno. Las relaciones crecen y prosperan, y el preciado presupuesto de seguridad no se consume en arreglar un escenario de "Día de la Marmota" con los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Tournaments puede descubrir a aquellos que no sólo tienen una aptitud para la seguridad, sino que muestran activamente una pasión por ella. Estos campeones son vitales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y mantener las políticas de mejores prácticas. Poner en marcha un sólido programa de campeones, que incluya el reconocimiento y el apoyo de los ejecutivos, es un punto de referencia para la organización, así como una poderosa inclusión en el currículum de la persona y en su futura carrera.
¿La conclusión? Debemos exigir mejores resultados en las pruebas de seguridad. Menos errores comunes, más apoyo para los que están en primera línea. ¿Por qué no ver cómo un desarrollador tournament puede conseguirlo antes de lo que piensa?
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
.png)
.png)
El poder de la marca en AppSec DevSec DevSecOps (¿Qué hay en un acrónimo?)
En AppSec, el impacto duradero de un programa exige algo más que tecnología: necesita una marca fuerte. Una identidad poderosa garantiza que sus iniciativas resuenen e impulsen un compromiso sostenido dentro de su comunidad de desarrolladores.
Recursos para empezar
¡Adopte RÁPIDAMENTE la IA Agéntica en el Desarrollo de Software! (Spoiler: Probablemente no deberías.)
¿Va el mundo de la ciberseguridad demasiado rápido con la IA agéntica? El futuro de la seguridad de la IA ya está aquí, y es hora de que los expertos pasen de la reflexión a la realidad.
Resolver la crisis de visibilidad: cómo Trust Agent salva la distancia entre aprendizaje y código
Trust Agent de Secure Code Warrior resuelve la crisis de la codificación segura, validando la competencia de los desarrolladores en cada commit. Descubre a todos los colaboradores y automatiza la gobernanza en su flujo de trabajo de desarrollo.
Recuperar el pensamiento crítico en el desarrollo seguro de software mejorado con IA
El debate sobre la IA no gira en torno al uso, sino a la aplicación. Descubra cómo equilibrar la necesidad de aumentar la productividad de la IA con una seguridad sólida confiando en desarrolladores que conozcan a fondo su código.
Asistentes de codificación de IA: La máxima productividad conlleva mayores riesgos
En nuestro último libro blanco, nuestros cofundadores Pieter Danhieux y el Dr. Matias Madou, Ph.D., exploran el arma de doble filo que son los Asistentes de Codificación de IA y cómo pueden ser una adición bienvenida y una importante responsabilidad de seguridad al mismo tiempo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
