Fondo

Envestnet, Inc. es una empresa de tecnología financiera que cotiza en bolsa con 5,3 billones de dólares en activos y más de 18,5 millones de cuentas de inversores. La misión de Envestnet es empoderar a los asesores y proveedores de servicios financieros con tecnología innovadora, soluciones e inteligencia para hacer del bienestar financiero una realidad para todos. Envestnet se ha consolidado como uno de los líderes del mercado en tecnología de gestión de patrimonios con su emblemática plataforma de asesoramiento que integra los servicios y el software utilizados por los asesores financieros en la gestión de patrimonios en todo el mundo.

El compromiso de Envestnet con las mejores prácticas de gestión de datos incluye la supervisión continua de su plataforma de gestión de patrimonios a través de medidas de cumplimiento basadas en el riesgo que pueden identificar y corregir rápidamente cualquier problema de cumplimiento o fallo potencial. Envestnet lidera la protección de los datos de sus clientes adoptando medidas de seguridad de primer orden en la prestación de sus servicios.

Descubra cómo Derek Fisher, responsable de seguridad de productos en Envestnet y autor de "The Application Security Handbook", trabajó con Secure Code Warrior para desarrollar un enfoque holístico que redujera las vulnerabilidades mediante la habilitación ágil de código seguro para sus equipos de desarrolladores. Derek lleva más de una década trabajando en la seguridad de aplicaciones, donde ha sido testigo directo de numerosos éxitos y fracasos en materia de seguridad, y aporta su singular experiencia en el desarrollo de un entorno de aprendizaje de código seguro para desarrolladores en Envestnet.

Situación

Cuando Derek accedió por primera vez a su puesto en Seguridad de Aplicaciones, quería ir más allá del top ten de OWASP y de la formación básica en cumplimiento de normativas. Tenían algunos procesos SDLC seguros, pero se centraban en gran medida en encontrar vulnerabilidades, no necesariamente en abordarlas en su origen.

Según Derek, "Todos estamos bastante familiarizados con la formación anual sobre cumplimiento a la que nos someten en cualquier organización. Suele ser lo que yo llamo 'la muerte por Powerpoint', un montón de diapositivas y tal vez un assessment al final... realmente ineficaz y lleva mucho tiempo. Teníamos formación, pero era la habitual basada en el cumplimiento, con alguna formación específica sobre seguridad basada en diapositivas y grabaciones de audio. Nos dimos cuenta de que los desarrolladores no se implicaban mucho ni aprendían de los materiales, así que tuvimos que cambiar de estrategia."

Esta estrategia heredada de simplemente formar a los desarrolladores a través de una formación de cumplimiento pasiva y centrada en OWASP fue especialmente dolorosa para Derek y su equipo porque no podían medir el impacto de la formación, por lo que en su lugar se encontraron dedicando cada vez más tiempo a la gestión de vulnerabilidades.



Derek reconoció que era importante analizar el origen de las vulnerabilidades -el código inseguro que los desarrolladores envían a producción- y que la solución no iba a ser simplemente lanzar más herramientas.

En su lugar, Derek y su equipo cambiaron su enfoque en 2020 hacia la mitigación de vulnerabilidades, con el objetivo de escribir código más seguro desde el principio. Derek y su equipo adoptaron una estrategia de "desplazamiento a la izquierda" para abordar y corregir las vulnerabilidades mucho antes en el SDLC, cuando cuesta mucho menos corregirlas.

Pero primero, necesitaban abordar la baja participación histórica de los desarrolladores en el App Sectraining existente. Quería evitar la mera implementación de una mentalidad de "casilla de verificación" en su estrategia de aprendizaje de código seguro y ofrecer una experiencia de aprendizaje más eficaz y ágil para el código seguro a los desarrolladores de Envestnet.

"Una vez que vi SCW y lo que puede hacer, supe que un enfoque más práctico e interactivo era el adecuado para nosotros. Quería que los ingenieros y desarrolladores salieran de la formación con un conocimiento más práctico de los problemas reales. Queríamos crear esa memoria muscular de: "Esto es algo que he visto antes en la formación, sé cómo abordar este problema de codificación que veo". La plataforma Secure Code Warrior nos ha permitido proporcionar ese tipo de entorno en el que los ingenieros y desarrolladores pueden ponerse manos a la obra y comprender realmente cuáles son las buenas prácticas de codificación segura, qué aspecto tienen las malas y cómo resolver las vulnerabilidades rápidamente."

Derek Fisher, Jefe de Seguridad de Productos de Envestnet

Acción

Derek tenía especial interés en implantar una estrategia de cinturones que recompensara la capacitación en código seguro con certificaciones. El programa de cuatro niveles se centraría en crear una sólida base de concienciación sobre la seguridad (niveles 1 y 2) y luego allanaría el camino para que los desarrolladores se convirtieran en campeones de la seguridad (niveles 3 y 4). Esto resolvía el problema de no poder medir cómo los desarrolladores retenían los conceptos de código seguro, al tiempo que garantizaba que los desarrolladores concienciados con la seguridad tuvieran una trayectoria profesional hacia la mejora de sus habilidades con retos de seguridad más complejos.

Lo probaron en un pequeño piloto y solicitaron la opinión de los desarrolladores implicados. Las reacciones fueron muy positivas. Derek señaló,

"No siempre se obtienen comentarios positivos de estas cosas; no me canso de repetirlo: siempre que se obtienen comentarios positivos sobre la formación, es algo inusual. Es un buen indicador de que es la herramienta adecuada".

Envestnet organizó su primer tournament en la primavera de 2021 y observó resultados más positivos desde la perspectiva del compromiso de los desarrolladores. Derek lanzó entonces una serie de courses integrados en su LMS para desarrolladores de DB, Front End, API yCloud. Cuando Envestnet organizó su segundo tournament en otoño de 2021, el número total de desarrolladores participantes se había duplicado.

Según Derek, Envestnet obtuvo un gran éxito con tournaments porque,

"Todos sabemos que la competición es una motivación. Todos queremos asegurarnos de que nuestros compañeros reconocen lo bien que lo estamos haciendo en ciertas cosas y eso motiva realmente a la gente a participar y hacerlo bien en esos tournaments. Eso y la integración con nuestras herramientas de desarrollo nos demostraron realmente el valor de Secure Code Warrior".

Derek y el equipo también trabajaron para integrar Secure Code Warrior con Jira, de modo que cuando ciertas vulnerabilidades aparecieran repetidamente, el desarrollador pudiera acceder a consejos inmediatos para remediarlas directamente dentro de su ticket de Jira, y sin salir de ese entorno familiar. Esto proporcionaba a los desarrolladores un contexto valioso, así como formación en el momento y a petición sobre cómo abordar esa vulnerabilidad, justo donde se necesitaba y en el punto de impacto. El equipo de Derek también colaboró con Secure Code Warrior para patrocinar un evento del Día de la Seguridad, que dio lugar a un mayor apoyo de los directores generales y reforzó la importancia que la ingeniería y la seguridad desempeñan en el éxito de Envestnet. Con este tipo de apoyo de ejecutivos y desarrolladores, Envestnet pudo ampliar su programa hasta lo que es hoy. Ahora, Envestnet ha inscrito en el programa a todos sus campeones de seguridad identificados y el 60% de todo el equipo ha completado su certificación de nivel 1 o 2.

Resultados

Una forma en que Envestnet midió su éxito fue observar a los equipos que habían pasado por la experiencia de aprendizaje del SCW y medir si estaban produciendo menos vulnerabilidades y/o solucionándolas más rápidamente. Lo que encontraron fue impresionante:

• Los desarrolladores con formación en CCT solucionaron 2,7 veces más vulnerabilidades que sus compañeros.
• 100 desarrolladores formados en el SCW solucionaron 450 vulnerabilidades en poco tiempo
• 1.200 desarrolladores formados en el SCW permitieron a Envestnet aumentar la remediación en un 120% en su cola respectiva
• En un año, en dos líneas de productos, los desarrolladores formados en SCW cerraron problemas con vulnerabilidades a un ritmo de 4,5 por desarrollador, en comparación con sus homólogos, que sólo cerraron vulnerabilidades a un ritmo de 1,82 por desarrollador.
• Todos los Campeones de Seguridad pasaron por su programa de certificación en 2022
• El 60% de los desarrolladores concienciados con la seguridad pasaron por los niveles 1 y 2


Principales conclusiones

Derek ofrece este consejo a quienes se inician en el aprendizaje del código seguro:

"Nuestro trabajo en seguridad es reducir el riesgo en la organización. Ese es nuestro verdadero norte y es por lo que siempre nos esforzamos. Una vulnerabilidad crítica puede no ser el riesgo más alto o lo más impactante para tu organización. Podría ser un par de medianas, una baja y una alta unidas para crear una cadena que es mucho más impactante. Cuantas más vulnerabilidades se acumulen a lo largo del tiempo, mayor será el riesgo acumulado. Con Secure Code Warrior, puedes adelantarte y adoptar un enfoque proactivo para mitigar esa cadena potencial de vulnerabilidades mediante el aprendizaje ágil de código seguro."

• No se limite a realizar pruebas para detectar vulnerabilidades e informar sobre ellas: esto acaba creando ruido para sus desarrolladores.
• En lugar de ello, AppSec debería ser un socio de los desarrolladores y asegurarse de contar con su apoyo antes de implantar una estrategia de aprendizaje de código seguro.
• Roma no se construyó en un día. Su programa tendrá que evolucionar a medida que cambie su perfil de riesgo, su empresa y su tecnología y herramientas.
• La estrategia más eficaz a largo plazo consiste en aumentar el coeficiente intelectual de seguridad de las personas que le rodean para reducir el número total de vulnerabilidades que se crean