Cómo Envestnet adoptó un código seguro ágil learning platform y triplicó la eficacia de los desarrolladores en la reducción de vulnerabilidades.
Fondo
Envestnet, Inc. es una empresa de tecnología financiera que cotiza en bolsa con 5,3 billones de dólares en activos y más de 18,5 millones de cuentas de inversores. La misión de Envestnet es empoderar a los asesores y proveedores de servicios financieros con tecnología innovadora, soluciones e inteligencia para hacer del bienestar financiero una realidad para todos. Envestnet se ha consolidado como uno de los líderes del mercado en tecnología de gestión de patrimonios con su emblemática plataforma de asesoramiento que integra los servicios y el software utilizados por los asesores financieros en la gestión de patrimonios en todo el mundo.
El compromiso de Envestnet con las mejores prácticas de gestión de datos incluye la supervisión continua de su plataforma de gestión de patrimonios a través de medidas de cumplimiento basadas en el riesgo que pueden identificar y corregir rápidamente cualquier problema de cumplimiento o fallo potencial. Envestnet lidera la protección de los datos de sus clientes adoptando medidas de seguridad de primer orden en la prestación de sus servicios.
Descubra cómo Derek Fisher, responsable de seguridad de productos en Envestnet y autor de "The Application Security Handbook", trabajó con Secure Code Warrior para desarrollar un enfoque holístico que redujera las vulnerabilidades mediante la habilitación ágil de código seguro para sus equipos de desarrolladores. Derek lleva más de una década trabajando en la seguridad de aplicaciones, donde ha sido testigo directo de numerosos éxitos y fracasos en materia de seguridad, y aporta su singular experiencia en el desarrollo de un entorno de aprendizaje de código seguro para desarrolladores en Envestnet.
Situación
Cuando Derek accedió por primera vez a su puesto en Seguridad de Aplicaciones, quería ir más allá del top ten de OWASP y de la formación básica en cumplimiento de normativas. Tenían algunos procesos SDLC seguros, pero se centraban en gran medida en encontrar vulnerabilidades, no necesariamente en abordarlas en su origen.
Según Derek, "Todos estamos bastante familiarizados con la formación anual sobre cumplimiento a la que nos someten en cualquier organización. Suele ser lo que yo llamo 'la muerte por Powerpoint', un montón de diapositivas y tal vez un assessment al final... realmente ineficaz y lleva mucho tiempo. Teníamos formación, pero era la habitual basada en el cumplimiento, con alguna formación específica sobre seguridad basada en diapositivas y grabaciones de audio. Nos dimos cuenta de que los desarrolladores no se implicaban mucho ni aprendían de los materiales, así que tuvimos que cambiar de estrategia."
Esta estrategia heredada de simplemente formar a los desarrolladores a través de una formación de cumplimiento pasiva y centrada en OWASP fue especialmente dolorosa para Derek y su equipo porque no podían medir el impacto de la formación, por lo que en su lugar se encontraron dedicando cada vez más tiempo a la gestión de vulnerabilidades.
Derek reconoció que era importante analizar el origen de las vulnerabilidades -el código inseguro que los desarrolladores envían a producción- y que la solución no iba a ser simplemente lanzar más herramientas.
En su lugar, Derek y su equipo cambiaron su enfoque en 2020 hacia la mitigación de vulnerabilidades, con el objetivo de escribir código más seguro desde el principio. Derek y su equipo adoptaron una estrategia de "desplazamiento a la izquierda" para abordar y corregir las vulnerabilidades mucho antes en el SDLC, cuando cuesta mucho menos corregirlas.
Pero primero, necesitaban abordar la baja participación histórica de los desarrolladores en el App Sectraining existente. Quería evitar la mera implementación de una mentalidad de "casilla de verificación" en su estrategia de aprendizaje de código seguro y ofrecer una experiencia de aprendizaje más eficaz y ágil para el código seguro a los desarrolladores de Envestnet.
"Una vez que vi SCW y lo que puede hacer, supe que un enfoque más práctico e interactivo era el adecuado para nosotros. Quería que los ingenieros y desarrolladores salieran de la formación con un conocimiento más práctico de los problemas reales. Queríamos crear esa memoria muscular de: "Esto es algo que he visto antes en la formación, sé cómo abordar este problema de codificación que veo". La plataforma Secure Code Warrior nos ha permitido proporcionar ese tipo de entorno en el que los ingenieros y desarrolladores pueden ponerse manos a la obra y comprender realmente cuáles son las buenas prácticas de codificación segura, qué aspecto tienen las malas y cómo resolver las vulnerabilidades rápidamente."
Derek Fisher, Jefe de Seguridad de Productos de Envestnet
Acción
Derek tenía especial interés en implantar una estrategia de cinturones que recompensara la capacitación en código seguro con certificaciones. El programa de cuatro niveles se centraría en crear una sólida base de concienciación sobre la seguridad (niveles 1 y 2) y luego allanaría el camino para que los desarrolladores se convirtieran en campeones de la seguridad (niveles 3 y 4). Esto resolvía el problema de no poder medir cómo los desarrolladores retenían los conceptos de código seguro, al tiempo que garantizaba que los desarrolladores concienciados con la seguridad tuvieran una trayectoria profesional hacia la mejora de sus habilidades con retos de seguridad más complejos.
Lo probaron en un pequeño piloto y solicitaron la opinión de los desarrolladores implicados. Las reacciones fueron muy positivas. Derek señaló,
"No siempre se obtienen comentarios positivos de estas cosas; no me canso de repetirlo: siempre que se obtienen comentarios positivos sobre la formación, es algo inusual. Es un buen indicador de que es la herramienta adecuada".
Envestnet organizó su primer tournament en la primavera de 2021 y observó resultados más positivos desde la perspectiva del compromiso de los desarrolladores. Derek lanzó entonces una serie de courses integrados en su LMS para desarrolladores de DB, Front End, API yCloud. Cuando Envestnet organizó su segundo tournament en otoño de 2021, el número total de desarrolladores participantes se había duplicado.
Según Derek, Envestnet obtuvo un gran éxito con tournaments porque,
"Todos sabemos que la competición es una motivación. Todos queremos asegurarnos de que nuestros compañeros reconocen lo bien que lo estamos haciendo en ciertas cosas y eso motiva realmente a la gente a participar y hacerlo bien en esos tournaments. Eso y la integración con nuestras herramientas de desarrollo nos demostraron realmente el valor de Secure Code Warrior".
Derek y el equipo también trabajaron para integrar Secure Code Warrior con Jira, de modo que cuando ciertas vulnerabilidades aparecieran repetidamente, el desarrollador pudiera acceder a consejos inmediatos para remediarlas directamente dentro de su ticket de Jira, y sin salir de ese entorno familiar. Esto proporcionaba a los desarrolladores un contexto valioso, así como formación en el momento y a petición sobre cómo abordar esa vulnerabilidad, justo donde se necesitaba y en el punto de impacto. El equipo de Derek también colaboró con Secure Code Warrior para patrocinar un evento del Día de la Seguridad, que dio lugar a un mayor apoyo de los directores generales y reforzó la importancia que la ingeniería y la seguridad desempeñan en el éxito de Envestnet. Con este tipo de apoyo de ejecutivos y desarrolladores, Envestnet pudo ampliar su programa hasta lo que es hoy. Ahora, Envestnet ha inscrito en el programa a todos sus campeones de seguridad identificados y el 60% de todo el equipo ha completado su certificación de nivel 1 o 2.
Resultados
Una forma en que Envestnet midió su éxito fue observar a los equipos que habían pasado por la experiencia de aprendizaje del SCW y medir si estaban produciendo menos vulnerabilidades y/o solucionándolas más rápidamente. Lo que encontraron fue impresionante:
- Los desarrolladores con formación en CCT solucionaron 2,7 veces más vulnerabilidades que sus compañeros.
- 100 desarrolladores formados en el SCW solucionaron 450 vulnerabilidades en poco tiempo
- 1.200 desarrolladores formados en el SCW permitieron a Envestnet aumentar la remediación en un 120% en su cola respectiva
- En un año, en dos líneas de productos, los desarrolladores formados en SCW cerraron problemas con vulnerabilidades a un ritmo de 4,5 por desarrollador, en comparación con sus homólogos, que sólo cerraron vulnerabilidades a un ritmo de 1,82 por desarrollador.
- Todos los Campeones de Seguridad pasaron por su programa de certificación en 2022
- El 60% de los desarrolladores concienciados con la seguridad pasaron por los niveles 1 y 2
Principales conclusiones
Derek ofrece este consejo a quienes se inician en el aprendizaje del código seguro:
"Nuestro trabajo en seguridad es reducir el riesgo en la organización. Ese es nuestro verdadero norte y es por lo que siempre nos esforzamos. Una vulnerabilidad crítica puede no ser el riesgo más alto o lo más impactante para tu organización. Podría ser un par de medianas, una baja y una alta unidas para crear una cadena que es mucho más impactante. Cuantas más vulnerabilidades se acumulen a lo largo del tiempo, mayor será el riesgo acumulado. Con Secure Code Warrior, puedes adelantarte y adoptar un enfoque proactivo para mitigar esa cadena potencial de vulnerabilidades mediante el aprendizaje ágil de código seguro."
- No se limite a realizar pruebas para detectar vulnerabilidades e informar sobre ellas: esto acaba creando ruido para sus desarrolladores.
- En lugar de ello, AppSec debería ser un socio de los desarrolladores y asegurarse de contar con su apoyo antes de implantar una estrategia de aprendizaje de código seguro.
- Roma no se construyó en un día. Su programa tendrá que evolucionar a medida que cambie su perfil de riesgo, su empresa y su tecnología y herramientas.
- La estrategia más eficaz a largo plazo consiste en aumentar el coeficiente intelectual de seguridad de las personas que le rodean para reducir el número total de vulnerabilidades que se crean
Descubra cómo Derek Fisher, responsable de seguridad de productos en Envestnet y autor de "The Application Security Handbook", trabajó con Secure Code Warrior para desarrollar un enfoque holístico que redujera las vulnerabilidades mediante la habilitación ágil de código seguro para sus equipos de desarrolladores.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Fondo
Envestnet, Inc. es una empresa de tecnología financiera que cotiza en bolsa con 5,3 billones de dólares en activos y más de 18,5 millones de cuentas de inversores. La misión de Envestnet es empoderar a los asesores y proveedores de servicios financieros con tecnología innovadora, soluciones e inteligencia para hacer del bienestar financiero una realidad para todos. Envestnet se ha consolidado como uno de los líderes del mercado en tecnología de gestión de patrimonios con su emblemática plataforma de asesoramiento que integra los servicios y el software utilizados por los asesores financieros en la gestión de patrimonios en todo el mundo.
El compromiso de Envestnet con las mejores prácticas de gestión de datos incluye la supervisión continua de su plataforma de gestión de patrimonios a través de medidas de cumplimiento basadas en el riesgo que pueden identificar y corregir rápidamente cualquier problema de cumplimiento o fallo potencial. Envestnet lidera la protección de los datos de sus clientes adoptando medidas de seguridad de primer orden en la prestación de sus servicios.
Descubra cómo Derek Fisher, responsable de seguridad de productos en Envestnet y autor de "The Application Security Handbook", trabajó con Secure Code Warrior para desarrollar un enfoque holístico que redujera las vulnerabilidades mediante la habilitación ágil de código seguro para sus equipos de desarrolladores. Derek lleva más de una década trabajando en la seguridad de aplicaciones, donde ha sido testigo directo de numerosos éxitos y fracasos en materia de seguridad, y aporta su singular experiencia en el desarrollo de un entorno de aprendizaje de código seguro para desarrolladores en Envestnet.
Situación
Cuando Derek accedió por primera vez a su puesto en Seguridad de Aplicaciones, quería ir más allá del top ten de OWASP y de la formación básica en cumplimiento de normativas. Tenían algunos procesos SDLC seguros, pero se centraban en gran medida en encontrar vulnerabilidades, no necesariamente en abordarlas en su origen.
Según Derek, "Todos estamos bastante familiarizados con la formación anual sobre cumplimiento a la que nos someten en cualquier organización. Suele ser lo que yo llamo 'la muerte por Powerpoint', un montón de diapositivas y tal vez un assessment al final... realmente ineficaz y lleva mucho tiempo. Teníamos formación, pero era la habitual basada en el cumplimiento, con alguna formación específica sobre seguridad basada en diapositivas y grabaciones de audio. Nos dimos cuenta de que los desarrolladores no se implicaban mucho ni aprendían de los materiales, así que tuvimos que cambiar de estrategia."
Esta estrategia heredada de simplemente formar a los desarrolladores a través de una formación de cumplimiento pasiva y centrada en OWASP fue especialmente dolorosa para Derek y su equipo porque no podían medir el impacto de la formación, por lo que en su lugar se encontraron dedicando cada vez más tiempo a la gestión de vulnerabilidades.
Derek reconoció que era importante analizar el origen de las vulnerabilidades -el código inseguro que los desarrolladores envían a producción- y que la solución no iba a ser simplemente lanzar más herramientas.
En su lugar, Derek y su equipo cambiaron su enfoque en 2020 hacia la mitigación de vulnerabilidades, con el objetivo de escribir código más seguro desde el principio. Derek y su equipo adoptaron una estrategia de "desplazamiento a la izquierda" para abordar y corregir las vulnerabilidades mucho antes en el SDLC, cuando cuesta mucho menos corregirlas.
Pero primero, necesitaban abordar la baja participación histórica de los desarrolladores en el App Sectraining existente. Quería evitar la mera implementación de una mentalidad de "casilla de verificación" en su estrategia de aprendizaje de código seguro y ofrecer una experiencia de aprendizaje más eficaz y ágil para el código seguro a los desarrolladores de Envestnet.
"Una vez que vi SCW y lo que puede hacer, supe que un enfoque más práctico e interactivo era el adecuado para nosotros. Quería que los ingenieros y desarrolladores salieran de la formación con un conocimiento más práctico de los problemas reales. Queríamos crear esa memoria muscular de: "Esto es algo que he visto antes en la formación, sé cómo abordar este problema de codificación que veo". La plataforma Secure Code Warrior nos ha permitido proporcionar ese tipo de entorno en el que los ingenieros y desarrolladores pueden ponerse manos a la obra y comprender realmente cuáles son las buenas prácticas de codificación segura, qué aspecto tienen las malas y cómo resolver las vulnerabilidades rápidamente."
Derek Fisher, Jefe de Seguridad de Productos de Envestnet
Acción
Derek tenía especial interés en implantar una estrategia de cinturones que recompensara la capacitación en código seguro con certificaciones. El programa de cuatro niveles se centraría en crear una sólida base de concienciación sobre la seguridad (niveles 1 y 2) y luego allanaría el camino para que los desarrolladores se convirtieran en campeones de la seguridad (niveles 3 y 4). Esto resolvía el problema de no poder medir cómo los desarrolladores retenían los conceptos de código seguro, al tiempo que garantizaba que los desarrolladores concienciados con la seguridad tuvieran una trayectoria profesional hacia la mejora de sus habilidades con retos de seguridad más complejos.
Lo probaron en un pequeño piloto y solicitaron la opinión de los desarrolladores implicados. Las reacciones fueron muy positivas. Derek señaló,
"No siempre se obtienen comentarios positivos de estas cosas; no me canso de repetirlo: siempre que se obtienen comentarios positivos sobre la formación, es algo inusual. Es un buen indicador de que es la herramienta adecuada".
Envestnet organizó su primer tournament en la primavera de 2021 y observó resultados más positivos desde la perspectiva del compromiso de los desarrolladores. Derek lanzó entonces una serie de courses integrados en su LMS para desarrolladores de DB, Front End, API yCloud. Cuando Envestnet organizó su segundo tournament en otoño de 2021, el número total de desarrolladores participantes se había duplicado.
Según Derek, Envestnet obtuvo un gran éxito con tournaments porque,
"Todos sabemos que la competición es una motivación. Todos queremos asegurarnos de que nuestros compañeros reconocen lo bien que lo estamos haciendo en ciertas cosas y eso motiva realmente a la gente a participar y hacerlo bien en esos tournaments. Eso y la integración con nuestras herramientas de desarrollo nos demostraron realmente el valor de Secure Code Warrior".
Derek y el equipo también trabajaron para integrar Secure Code Warrior con Jira, de modo que cuando ciertas vulnerabilidades aparecieran repetidamente, el desarrollador pudiera acceder a consejos inmediatos para remediarlas directamente dentro de su ticket de Jira, y sin salir de ese entorno familiar. Esto proporcionaba a los desarrolladores un contexto valioso, así como formación en el momento y a petición sobre cómo abordar esa vulnerabilidad, justo donde se necesitaba y en el punto de impacto. El equipo de Derek también colaboró con Secure Code Warrior para patrocinar un evento del Día de la Seguridad, que dio lugar a un mayor apoyo de los directores generales y reforzó la importancia que la ingeniería y la seguridad desempeñan en el éxito de Envestnet. Con este tipo de apoyo de ejecutivos y desarrolladores, Envestnet pudo ampliar su programa hasta lo que es hoy. Ahora, Envestnet ha inscrito en el programa a todos sus campeones de seguridad identificados y el 60% de todo el equipo ha completado su certificación de nivel 1 o 2.
Resultados
Una forma en que Envestnet midió su éxito fue observar a los equipos que habían pasado por la experiencia de aprendizaje del SCW y medir si estaban produciendo menos vulnerabilidades y/o solucionándolas más rápidamente. Lo que encontraron fue impresionante:
- Los desarrolladores con formación en CCT solucionaron 2,7 veces más vulnerabilidades que sus compañeros.
- 100 desarrolladores formados en el SCW solucionaron 450 vulnerabilidades en poco tiempo
- 1.200 desarrolladores formados en el SCW permitieron a Envestnet aumentar la remediación en un 120% en su cola respectiva
- En un año, en dos líneas de productos, los desarrolladores formados en SCW cerraron problemas con vulnerabilidades a un ritmo de 4,5 por desarrollador, en comparación con sus homólogos, que sólo cerraron vulnerabilidades a un ritmo de 1,82 por desarrollador.
- Todos los Campeones de Seguridad pasaron por su programa de certificación en 2022
- El 60% de los desarrolladores concienciados con la seguridad pasaron por los niveles 1 y 2
Principales conclusiones
Derek ofrece este consejo a quienes se inician en el aprendizaje del código seguro:
"Nuestro trabajo en seguridad es reducir el riesgo en la organización. Ese es nuestro verdadero norte y es por lo que siempre nos esforzamos. Una vulnerabilidad crítica puede no ser el riesgo más alto o lo más impactante para tu organización. Podría ser un par de medianas, una baja y una alta unidas para crear una cadena que es mucho más impactante. Cuantas más vulnerabilidades se acumulen a lo largo del tiempo, mayor será el riesgo acumulado. Con Secure Code Warrior, puedes adelantarte y adoptar un enfoque proactivo para mitigar esa cadena potencial de vulnerabilidades mediante el aprendizaje ágil de código seguro."
- No se limite a realizar pruebas para detectar vulnerabilidades e informar sobre ellas: esto acaba creando ruido para sus desarrolladores.
- En lugar de ello, AppSec debería ser un socio de los desarrolladores y asegurarse de contar con su apoyo antes de implantar una estrategia de aprendizaje de código seguro.
- Roma no se construyó en un día. Su programa tendrá que evolucionar a medida que cambie su perfil de riesgo, su empresa y su tecnología y herramientas.
- La estrategia más eficaz a largo plazo consiste en aumentar el coeficiente intelectual de seguridad de las personas que le rodean para reducir el número total de vulnerabilidades que se crean
Fondo
Envestnet, Inc. es una empresa de tecnología financiera que cotiza en bolsa con 5,3 billones de dólares en activos y más de 18,5 millones de cuentas de inversores. La misión de Envestnet es empoderar a los asesores y proveedores de servicios financieros con tecnología innovadora, soluciones e inteligencia para hacer del bienestar financiero una realidad para todos. Envestnet se ha consolidado como uno de los líderes del mercado en tecnología de gestión de patrimonios con su emblemática plataforma de asesoramiento que integra los servicios y el software utilizados por los asesores financieros en la gestión de patrimonios en todo el mundo.
El compromiso de Envestnet con las mejores prácticas de gestión de datos incluye la supervisión continua de su plataforma de gestión de patrimonios a través de medidas de cumplimiento basadas en el riesgo que pueden identificar y corregir rápidamente cualquier problema de cumplimiento o fallo potencial. Envestnet lidera la protección de los datos de sus clientes adoptando medidas de seguridad de primer orden en la prestación de sus servicios.
Descubra cómo Derek Fisher, responsable de seguridad de productos en Envestnet y autor de "The Application Security Handbook", trabajó con Secure Code Warrior para desarrollar un enfoque holístico que redujera las vulnerabilidades mediante la habilitación ágil de código seguro para sus equipos de desarrolladores. Derek lleva más de una década trabajando en la seguridad de aplicaciones, donde ha sido testigo directo de numerosos éxitos y fracasos en materia de seguridad, y aporta su singular experiencia en el desarrollo de un entorno de aprendizaje de código seguro para desarrolladores en Envestnet.
Situación
Cuando Derek accedió por primera vez a su puesto en Seguridad de Aplicaciones, quería ir más allá del top ten de OWASP y de la formación básica en cumplimiento de normativas. Tenían algunos procesos SDLC seguros, pero se centraban en gran medida en encontrar vulnerabilidades, no necesariamente en abordarlas en su origen.
Según Derek, "Todos estamos bastante familiarizados con la formación anual sobre cumplimiento a la que nos someten en cualquier organización. Suele ser lo que yo llamo 'la muerte por Powerpoint', un montón de diapositivas y tal vez un assessment al final... realmente ineficaz y lleva mucho tiempo. Teníamos formación, pero era la habitual basada en el cumplimiento, con alguna formación específica sobre seguridad basada en diapositivas y grabaciones de audio. Nos dimos cuenta de que los desarrolladores no se implicaban mucho ni aprendían de los materiales, así que tuvimos que cambiar de estrategia."
Esta estrategia heredada de simplemente formar a los desarrolladores a través de una formación de cumplimiento pasiva y centrada en OWASP fue especialmente dolorosa para Derek y su equipo porque no podían medir el impacto de la formación, por lo que en su lugar se encontraron dedicando cada vez más tiempo a la gestión de vulnerabilidades.
Derek reconoció que era importante analizar el origen de las vulnerabilidades -el código inseguro que los desarrolladores envían a producción- y que la solución no iba a ser simplemente lanzar más herramientas.
En su lugar, Derek y su equipo cambiaron su enfoque en 2020 hacia la mitigación de vulnerabilidades, con el objetivo de escribir código más seguro desde el principio. Derek y su equipo adoptaron una estrategia de "desplazamiento a la izquierda" para abordar y corregir las vulnerabilidades mucho antes en el SDLC, cuando cuesta mucho menos corregirlas.
Pero primero, necesitaban abordar la baja participación histórica de los desarrolladores en el App Sectraining existente. Quería evitar la mera implementación de una mentalidad de "casilla de verificación" en su estrategia de aprendizaje de código seguro y ofrecer una experiencia de aprendizaje más eficaz y ágil para el código seguro a los desarrolladores de Envestnet.
"Una vez que vi SCW y lo que puede hacer, supe que un enfoque más práctico e interactivo era el adecuado para nosotros. Quería que los ingenieros y desarrolladores salieran de la formación con un conocimiento más práctico de los problemas reales. Queríamos crear esa memoria muscular de: "Esto es algo que he visto antes en la formación, sé cómo abordar este problema de codificación que veo". La plataforma Secure Code Warrior nos ha permitido proporcionar ese tipo de entorno en el que los ingenieros y desarrolladores pueden ponerse manos a la obra y comprender realmente cuáles son las buenas prácticas de codificación segura, qué aspecto tienen las malas y cómo resolver las vulnerabilidades rápidamente."
Derek Fisher, Jefe de Seguridad de Productos de Envestnet
Acción
Derek tenía especial interés en implantar una estrategia de cinturones que recompensara la capacitación en código seguro con certificaciones. El programa de cuatro niveles se centraría en crear una sólida base de concienciación sobre la seguridad (niveles 1 y 2) y luego allanaría el camino para que los desarrolladores se convirtieran en campeones de la seguridad (niveles 3 y 4). Esto resolvía el problema de no poder medir cómo los desarrolladores retenían los conceptos de código seguro, al tiempo que garantizaba que los desarrolladores concienciados con la seguridad tuvieran una trayectoria profesional hacia la mejora de sus habilidades con retos de seguridad más complejos.
Lo probaron en un pequeño piloto y solicitaron la opinión de los desarrolladores implicados. Las reacciones fueron muy positivas. Derek señaló,
"No siempre se obtienen comentarios positivos de estas cosas; no me canso de repetirlo: siempre que se obtienen comentarios positivos sobre la formación, es algo inusual. Es un buen indicador de que es la herramienta adecuada".
Envestnet organizó su primer tournament en la primavera de 2021 y observó resultados más positivos desde la perspectiva del compromiso de los desarrolladores. Derek lanzó entonces una serie de courses integrados en su LMS para desarrolladores de DB, Front End, API yCloud. Cuando Envestnet organizó su segundo tournament en otoño de 2021, el número total de desarrolladores participantes se había duplicado.
Según Derek, Envestnet obtuvo un gran éxito con tournaments porque,
"Todos sabemos que la competición es una motivación. Todos queremos asegurarnos de que nuestros compañeros reconocen lo bien que lo estamos haciendo en ciertas cosas y eso motiva realmente a la gente a participar y hacerlo bien en esos tournaments. Eso y la integración con nuestras herramientas de desarrollo nos demostraron realmente el valor de Secure Code Warrior".
Derek y el equipo también trabajaron para integrar Secure Code Warrior con Jira, de modo que cuando ciertas vulnerabilidades aparecieran repetidamente, el desarrollador pudiera acceder a consejos inmediatos para remediarlas directamente dentro de su ticket de Jira, y sin salir de ese entorno familiar. Esto proporcionaba a los desarrolladores un contexto valioso, así como formación en el momento y a petición sobre cómo abordar esa vulnerabilidad, justo donde se necesitaba y en el punto de impacto. El equipo de Derek también colaboró con Secure Code Warrior para patrocinar un evento del Día de la Seguridad, que dio lugar a un mayor apoyo de los directores generales y reforzó la importancia que la ingeniería y la seguridad desempeñan en el éxito de Envestnet. Con este tipo de apoyo de ejecutivos y desarrolladores, Envestnet pudo ampliar su programa hasta lo que es hoy. Ahora, Envestnet ha inscrito en el programa a todos sus campeones de seguridad identificados y el 60% de todo el equipo ha completado su certificación de nivel 1 o 2.
Resultados
Una forma en que Envestnet midió su éxito fue observar a los equipos que habían pasado por la experiencia de aprendizaje del SCW y medir si estaban produciendo menos vulnerabilidades y/o solucionándolas más rápidamente. Lo que encontraron fue impresionante:
- Los desarrolladores con formación en CCT solucionaron 2,7 veces más vulnerabilidades que sus compañeros.
- 100 desarrolladores formados en el SCW solucionaron 450 vulnerabilidades en poco tiempo
- 1.200 desarrolladores formados en el SCW permitieron a Envestnet aumentar la remediación en un 120% en su cola respectiva
- En un año, en dos líneas de productos, los desarrolladores formados en SCW cerraron problemas con vulnerabilidades a un ritmo de 4,5 por desarrollador, en comparación con sus homólogos, que sólo cerraron vulnerabilidades a un ritmo de 1,82 por desarrollador.
- Todos los Campeones de Seguridad pasaron por su programa de certificación en 2022
- El 60% de los desarrolladores concienciados con la seguridad pasaron por los niveles 1 y 2
Principales conclusiones
Derek ofrece este consejo a quienes se inician en el aprendizaje del código seguro:
"Nuestro trabajo en seguridad es reducir el riesgo en la organización. Ese es nuestro verdadero norte y es por lo que siempre nos esforzamos. Una vulnerabilidad crítica puede no ser el riesgo más alto o lo más impactante para tu organización. Podría ser un par de medianas, una baja y una alta unidas para crear una cadena que es mucho más impactante. Cuantas más vulnerabilidades se acumulen a lo largo del tiempo, mayor será el riesgo acumulado. Con Secure Code Warrior, puedes adelantarte y adoptar un enfoque proactivo para mitigar esa cadena potencial de vulnerabilidades mediante el aprendizaje ágil de código seguro."
- No se limite a realizar pruebas para detectar vulnerabilidades e informar sobre ellas: esto acaba creando ruido para sus desarrolladores.
- En lugar de ello, AppSec debería ser un socio de los desarrolladores y asegurarse de contar con su apoyo antes de implantar una estrategia de aprendizaje de código seguro.
- Roma no se construyó en un día. Su programa tendrá que evolucionar a medida que cambie su perfil de riesgo, su empresa y su tecnología y herramientas.
- La estrategia más eficaz a largo plazo consiste en aumentar el coeficiente intelectual de seguridad de las personas que le rodean para reducir el número total de vulnerabilidades que se crean
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Fondo
Envestnet, Inc. es una empresa de tecnología financiera que cotiza en bolsa con 5,3 billones de dólares en activos y más de 18,5 millones de cuentas de inversores. La misión de Envestnet es empoderar a los asesores y proveedores de servicios financieros con tecnología innovadora, soluciones e inteligencia para hacer del bienestar financiero una realidad para todos. Envestnet se ha consolidado como uno de los líderes del mercado en tecnología de gestión de patrimonios con su emblemática plataforma de asesoramiento que integra los servicios y el software utilizados por los asesores financieros en la gestión de patrimonios en todo el mundo.
El compromiso de Envestnet con las mejores prácticas de gestión de datos incluye la supervisión continua de su plataforma de gestión de patrimonios a través de medidas de cumplimiento basadas en el riesgo que pueden identificar y corregir rápidamente cualquier problema de cumplimiento o fallo potencial. Envestnet lidera la protección de los datos de sus clientes adoptando medidas de seguridad de primer orden en la prestación de sus servicios.
Descubra cómo Derek Fisher, responsable de seguridad de productos en Envestnet y autor de "The Application Security Handbook", trabajó con Secure Code Warrior para desarrollar un enfoque holístico que redujera las vulnerabilidades mediante la habilitación ágil de código seguro para sus equipos de desarrolladores. Derek lleva más de una década trabajando en la seguridad de aplicaciones, donde ha sido testigo directo de numerosos éxitos y fracasos en materia de seguridad, y aporta su singular experiencia en el desarrollo de un entorno de aprendizaje de código seguro para desarrolladores en Envestnet.
Situación
Cuando Derek accedió por primera vez a su puesto en Seguridad de Aplicaciones, quería ir más allá del top ten de OWASP y de la formación básica en cumplimiento de normativas. Tenían algunos procesos SDLC seguros, pero se centraban en gran medida en encontrar vulnerabilidades, no necesariamente en abordarlas en su origen.
Según Derek, "Todos estamos bastante familiarizados con la formación anual sobre cumplimiento a la que nos someten en cualquier organización. Suele ser lo que yo llamo 'la muerte por Powerpoint', un montón de diapositivas y tal vez un assessment al final... realmente ineficaz y lleva mucho tiempo. Teníamos formación, pero era la habitual basada en el cumplimiento, con alguna formación específica sobre seguridad basada en diapositivas y grabaciones de audio. Nos dimos cuenta de que los desarrolladores no se implicaban mucho ni aprendían de los materiales, así que tuvimos que cambiar de estrategia."
Esta estrategia heredada de simplemente formar a los desarrolladores a través de una formación de cumplimiento pasiva y centrada en OWASP fue especialmente dolorosa para Derek y su equipo porque no podían medir el impacto de la formación, por lo que en su lugar se encontraron dedicando cada vez más tiempo a la gestión de vulnerabilidades.
Derek reconoció que era importante analizar el origen de las vulnerabilidades -el código inseguro que los desarrolladores envían a producción- y que la solución no iba a ser simplemente lanzar más herramientas.
En su lugar, Derek y su equipo cambiaron su enfoque en 2020 hacia la mitigación de vulnerabilidades, con el objetivo de escribir código más seguro desde el principio. Derek y su equipo adoptaron una estrategia de "desplazamiento a la izquierda" para abordar y corregir las vulnerabilidades mucho antes en el SDLC, cuando cuesta mucho menos corregirlas.
Pero primero, necesitaban abordar la baja participación histórica de los desarrolladores en el App Sectraining existente. Quería evitar la mera implementación de una mentalidad de "casilla de verificación" en su estrategia de aprendizaje de código seguro y ofrecer una experiencia de aprendizaje más eficaz y ágil para el código seguro a los desarrolladores de Envestnet.
"Una vez que vi SCW y lo que puede hacer, supe que un enfoque más práctico e interactivo era el adecuado para nosotros. Quería que los ingenieros y desarrolladores salieran de la formación con un conocimiento más práctico de los problemas reales. Queríamos crear esa memoria muscular de: "Esto es algo que he visto antes en la formación, sé cómo abordar este problema de codificación que veo". La plataforma Secure Code Warrior nos ha permitido proporcionar ese tipo de entorno en el que los ingenieros y desarrolladores pueden ponerse manos a la obra y comprender realmente cuáles son las buenas prácticas de codificación segura, qué aspecto tienen las malas y cómo resolver las vulnerabilidades rápidamente."
Derek Fisher, Jefe de Seguridad de Productos de Envestnet
Acción
Derek tenía especial interés en implantar una estrategia de cinturones que recompensara la capacitación en código seguro con certificaciones. El programa de cuatro niveles se centraría en crear una sólida base de concienciación sobre la seguridad (niveles 1 y 2) y luego allanaría el camino para que los desarrolladores se convirtieran en campeones de la seguridad (niveles 3 y 4). Esto resolvía el problema de no poder medir cómo los desarrolladores retenían los conceptos de código seguro, al tiempo que garantizaba que los desarrolladores concienciados con la seguridad tuvieran una trayectoria profesional hacia la mejora de sus habilidades con retos de seguridad más complejos.
Lo probaron en un pequeño piloto y solicitaron la opinión de los desarrolladores implicados. Las reacciones fueron muy positivas. Derek señaló,
"No siempre se obtienen comentarios positivos de estas cosas; no me canso de repetirlo: siempre que se obtienen comentarios positivos sobre la formación, es algo inusual. Es un buen indicador de que es la herramienta adecuada".
Envestnet organizó su primer tournament en la primavera de 2021 y observó resultados más positivos desde la perspectiva del compromiso de los desarrolladores. Derek lanzó entonces una serie de courses integrados en su LMS para desarrolladores de DB, Front End, API yCloud. Cuando Envestnet organizó su segundo tournament en otoño de 2021, el número total de desarrolladores participantes se había duplicado.
Según Derek, Envestnet obtuvo un gran éxito con tournaments porque,
"Todos sabemos que la competición es una motivación. Todos queremos asegurarnos de que nuestros compañeros reconocen lo bien que lo estamos haciendo en ciertas cosas y eso motiva realmente a la gente a participar y hacerlo bien en esos tournaments. Eso y la integración con nuestras herramientas de desarrollo nos demostraron realmente el valor de Secure Code Warrior".
Derek y el equipo también trabajaron para integrar Secure Code Warrior con Jira, de modo que cuando ciertas vulnerabilidades aparecieran repetidamente, el desarrollador pudiera acceder a consejos inmediatos para remediarlas directamente dentro de su ticket de Jira, y sin salir de ese entorno familiar. Esto proporcionaba a los desarrolladores un contexto valioso, así como formación en el momento y a petición sobre cómo abordar esa vulnerabilidad, justo donde se necesitaba y en el punto de impacto. El equipo de Derek también colaboró con Secure Code Warrior para patrocinar un evento del Día de la Seguridad, que dio lugar a un mayor apoyo de los directores generales y reforzó la importancia que la ingeniería y la seguridad desempeñan en el éxito de Envestnet. Con este tipo de apoyo de ejecutivos y desarrolladores, Envestnet pudo ampliar su programa hasta lo que es hoy. Ahora, Envestnet ha inscrito en el programa a todos sus campeones de seguridad identificados y el 60% de todo el equipo ha completado su certificación de nivel 1 o 2.
Resultados
Una forma en que Envestnet midió su éxito fue observar a los equipos que habían pasado por la experiencia de aprendizaje del SCW y medir si estaban produciendo menos vulnerabilidades y/o solucionándolas más rápidamente. Lo que encontraron fue impresionante:
- Los desarrolladores con formación en CCT solucionaron 2,7 veces más vulnerabilidades que sus compañeros.
- 100 desarrolladores formados en el SCW solucionaron 450 vulnerabilidades en poco tiempo
- 1.200 desarrolladores formados en el SCW permitieron a Envestnet aumentar la remediación en un 120% en su cola respectiva
- En un año, en dos líneas de productos, los desarrolladores formados en SCW cerraron problemas con vulnerabilidades a un ritmo de 4,5 por desarrollador, en comparación con sus homólogos, que sólo cerraron vulnerabilidades a un ritmo de 1,82 por desarrollador.
- Todos los Campeones de Seguridad pasaron por su programa de certificación en 2022
- El 60% de los desarrolladores concienciados con la seguridad pasaron por los niveles 1 y 2
Principales conclusiones
Derek ofrece este consejo a quienes se inician en el aprendizaje del código seguro:
"Nuestro trabajo en seguridad es reducir el riesgo en la organización. Ese es nuestro verdadero norte y es por lo que siempre nos esforzamos. Una vulnerabilidad crítica puede no ser el riesgo más alto o lo más impactante para tu organización. Podría ser un par de medianas, una baja y una alta unidas para crear una cadena que es mucho más impactante. Cuantas más vulnerabilidades se acumulen a lo largo del tiempo, mayor será el riesgo acumulado. Con Secure Code Warrior, puedes adelantarte y adoptar un enfoque proactivo para mitigar esa cadena potencial de vulnerabilidades mediante el aprendizaje ágil de código seguro."
- No se limite a realizar pruebas para detectar vulnerabilidades e informar sobre ellas: esto acaba creando ruido para sus desarrolladores.
- En lugar de ello, AppSec debería ser un socio de los desarrolladores y asegurarse de contar con su apoyo antes de implantar una estrategia de aprendizaje de código seguro.
- Roma no se construyó en un día. Su programa tendrá que evolucionar a medida que cambie su perfil de riesgo, su empresa y su tecnología y herramientas.
- La estrategia más eficaz a largo plazo consiste en aumentar el coeficiente intelectual de seguridad de las personas que le rodean para reducir el número total de vulnerabilidades que se crean
Índice
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Panorama de la gestión de riesgos de los promotores
La gestión de riesgos del desarrollador es un enfoque holístico y proactivo de la seguridad de las aplicaciones, centrado en quienes contribuyen al código y no en los bits y bytes de la propia capa de la aplicación.
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Recursos para empezar
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
