Cómo Envestnet adoptó un código seguro ágil learning platform y triplicó la eficacia de los desarrolladores en la reducción de vulnerabilidades.
Fondo
Envestnet, Inc. es una empresa de tecnología financiera que cotiza en bolsa con 5,3 billones de dólares en activos y más de 18,5 millones de cuentas de inversores. La misión de Envestnet es empoderar a los asesores y proveedores de servicios financieros con tecnología innovadora, soluciones e inteligencia para hacer del bienestar financiero una realidad para todos. Envestnet se ha consolidado como uno de los líderes del mercado en tecnología de gestión de patrimonios con su emblemática plataforma de asesoramiento que integra los servicios y el software utilizados por los asesores financieros en la gestión de patrimonios en todo el mundo.
El compromiso de Envestnet con las mejores prácticas de gestión de datos incluye la supervisión continua de su plataforma de gestión de patrimonios a través de medidas de cumplimiento basadas en el riesgo que pueden identificar y corregir rápidamente cualquier problema de cumplimiento o fallo potencial. Envestnet lidera la protección de los datos de sus clientes adoptando medidas de seguridad de primer orden en la prestación de sus servicios.
Descubra cómo Derek Fisher, responsable de seguridad de productos en Envestnet y autor de "The Application Security Handbook", trabajó con Secure Code Warrior para desarrollar un enfoque holístico que redujera las vulnerabilidades mediante la habilitación ágil de código seguro para sus equipos de desarrolladores. Derek lleva más de una década trabajando en la seguridad de aplicaciones, donde ha sido testigo directo de numerosos éxitos y fracasos en materia de seguridad, y aporta su singular experiencia en el desarrollo de un entorno de aprendizaje de código seguro para desarrolladores en Envestnet.
Situación
Cuando Derek accedió por primera vez a su puesto en Seguridad de Aplicaciones, quería ir más allá del top ten de OWASP y de la formación básica en cumplimiento de normativas. Tenían algunos procesos SDLC seguros, pero se centraban en gran medida en encontrar vulnerabilidades, no necesariamente en abordarlas en su origen.
Según Derek, "Todos estamos bastante familiarizados con la formación anual sobre cumplimiento a la que nos someten en cualquier organización. Suele ser lo que yo llamo 'la muerte por Powerpoint', un montón de diapositivas y tal vez un assessment al final... realmente ineficaz y lleva mucho tiempo. Teníamos formación, pero era la habitual basada en el cumplimiento, con alguna formación específica sobre seguridad basada en diapositivas y grabaciones de audio. Nos dimos cuenta de que los desarrolladores no se implicaban mucho ni aprendían de los materiales, así que tuvimos que cambiar de estrategia."
Esta estrategia heredada de simplemente formar a los desarrolladores a través de una formación de cumplimiento pasiva y centrada en OWASP fue especialmente dolorosa para Derek y su equipo porque no podían medir el impacto de la formación, por lo que en su lugar se encontraron dedicando cada vez más tiempo a la gestión de vulnerabilidades.
Derek reconoció que era importante analizar el origen de las vulnerabilidades -el código inseguro que los desarrolladores envían a producción- y que la solución no iba a ser simplemente lanzar más herramientas.
En su lugar, Derek y su equipo cambiaron su enfoque en 2020 hacia la mitigación de vulnerabilidades, con el objetivo de escribir código más seguro desde el principio. Derek y su equipo adoptaron una estrategia de "desplazamiento a la izquierda" para abordar y corregir las vulnerabilidades mucho antes en el SDLC, cuando cuesta mucho menos corregirlas.
Pero primero, necesitaban abordar la baja participación histórica de los desarrolladores en el App Sectraining existente. Quería evitar la mera implementación de una mentalidad de "casilla de verificación" en su estrategia de aprendizaje de código seguro y ofrecer una experiencia de aprendizaje más eficaz y ágil para el código seguro a los desarrolladores de Envestnet.
"Una vez que vi SCW y lo que puede hacer, supe que un enfoque más práctico e interactivo era el adecuado para nosotros. Quería que los ingenieros y desarrolladores salieran de la formación con un conocimiento más práctico de los problemas reales. Queríamos crear esa memoria muscular de: "Esto es algo que he visto antes en la formación, sé cómo abordar este problema de codificación que veo". La plataforma Secure Code Warrior nos ha permitido proporcionar ese tipo de entorno en el que los ingenieros y desarrolladores pueden ponerse manos a la obra y comprender realmente cuáles son las buenas prácticas de codificación segura, qué aspecto tienen las malas y cómo resolver las vulnerabilidades rápidamente."
Derek Fisher, Jefe de Seguridad de Productos de Envestnet
Acción
Derek tenía especial interés en implantar una estrategia de cinturones que recompensara la capacitación en código seguro con certificaciones. El programa de cuatro niveles se centraría en crear una sólida base de concienciación sobre la seguridad (niveles 1 y 2) y luego allanaría el camino para que los desarrolladores se convirtieran en campeones de la seguridad (niveles 3 y 4). Esto resolvía el problema de no poder medir cómo los desarrolladores retenían los conceptos de código seguro, al tiempo que garantizaba que los desarrolladores concienciados con la seguridad tuvieran una trayectoria profesional hacia la mejora de sus habilidades con retos de seguridad más complejos.
Lo probaron en un pequeño piloto y solicitaron la opinión de los desarrolladores implicados. Las reacciones fueron muy positivas. Derek señaló,
"No siempre se obtienen comentarios positivos de estas cosas; no me canso de repetirlo: siempre que se obtienen comentarios positivos sobre la formación, es algo inusual. Es un buen indicador de que es la herramienta adecuada".
Envestnet organizó su primer tournament en la primavera de 2021 y observó resultados más positivos desde la perspectiva del compromiso de los desarrolladores. Derek lanzó entonces una serie de courses integrados en su LMS para desarrolladores de DB, Front End, API yCloud. Cuando Envestnet organizó su segundo tournament en otoño de 2021, el número total de desarrolladores participantes se había duplicado.
Según Derek, Envestnet obtuvo un gran éxito con tournaments porque,
"Todos sabemos que la competición es una motivación. Todos queremos asegurarnos de que nuestros compañeros reconocen lo bien que lo estamos haciendo en ciertas cosas y eso motiva realmente a la gente a participar y hacerlo bien en esos tournaments. Eso y la integración con nuestras herramientas de desarrollo nos demostraron realmente el valor de Secure Code Warrior".
Derek y el equipo también trabajaron para integrar Secure Code Warrior con Jira, de modo que cuando ciertas vulnerabilidades aparecieran repetidamente, el desarrollador pudiera acceder a consejos inmediatos para remediarlas directamente dentro de su ticket de Jira, y sin salir de ese entorno familiar. Esto proporcionaba a los desarrolladores un contexto valioso, así como formación en el momento y a petición sobre cómo abordar esa vulnerabilidad, justo donde se necesitaba y en el punto de impacto. El equipo de Derek también colaboró con Secure Code Warrior para patrocinar un evento del Día de la Seguridad, que dio lugar a un mayor apoyo de los directores generales y reforzó la importancia que la ingeniería y la seguridad desempeñan en el éxito de Envestnet. Con este tipo de apoyo de ejecutivos y desarrolladores, Envestnet pudo ampliar su programa hasta lo que es hoy. Ahora, Envestnet ha inscrito en el programa a todos sus campeones de seguridad identificados y el 60% de todo el equipo ha completado su certificación de nivel 1 o 2.
Resultados
Una forma en que Envestnet midió su éxito fue observar a los equipos que habían pasado por la experiencia de aprendizaje del SCW y medir si estaban produciendo menos vulnerabilidades y/o solucionándolas más rápidamente. Lo que encontraron fue impresionante:
- Los desarrolladores con formación en CCT solucionaron 2,7 veces más vulnerabilidades que sus compañeros.
- 100 desarrolladores formados en el SCW solucionaron 450 vulnerabilidades en poco tiempo
- 1.200 desarrolladores formados en el SCW permitieron a Envestnet aumentar la remediación en un 120% en su cola respectiva
- En un año, en dos líneas de productos, los desarrolladores formados en SCW cerraron problemas con vulnerabilidades a un ritmo de 4,5 por desarrollador, en comparación con sus homólogos, que sólo cerraron vulnerabilidades a un ritmo de 1,82 por desarrollador.
- Todos los Campeones de Seguridad pasaron por su programa de certificación en 2022
- El 60% de los desarrolladores concienciados con la seguridad pasaron por los niveles 1 y 2
Principales conclusiones
Derek ofrece este consejo a quienes se inician en el aprendizaje del código seguro:
"Nuestro trabajo en seguridad es reducir el riesgo en la organización. Ese es nuestro verdadero norte y es por lo que siempre nos esforzamos. Una vulnerabilidad crítica puede no ser el riesgo más alto o lo más impactante para tu organización. Podría ser un par de medianas, una baja y una alta unidas para crear una cadena que es mucho más impactante. Cuantas más vulnerabilidades se acumulen a lo largo del tiempo, mayor será el riesgo acumulado. Con Secure Code Warrior, puedes adelantarte y adoptar un enfoque proactivo para mitigar esa cadena potencial de vulnerabilidades mediante el aprendizaje ágil de código seguro."
- No se limite a realizar pruebas para detectar vulnerabilidades e informar sobre ellas: esto acaba creando ruido para sus desarrolladores.
- En lugar de ello, AppSec debería ser un socio de los desarrolladores y asegurarse de contar con su apoyo antes de implantar una estrategia de aprendizaje de código seguro.
- Roma no se construyó en un día. Su programa tendrá que evolucionar a medida que cambie su perfil de riesgo, su empresa y su tecnología y herramientas.
- La estrategia más eficaz a largo plazo consiste en aumentar el coeficiente intelectual de seguridad de las personas que le rodean para reducir el número total de vulnerabilidades que se crean
Descubra cómo Derek Fisher, responsable de seguridad de productos en Envestnet y autor de "The Application Security Handbook", trabajó con Secure Code Warrior para desarrollar un enfoque holístico que redujera las vulnerabilidades mediante la habilitación ágil de código seguro para sus equipos de desarrolladores.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónFondo
Envestnet, Inc. es una empresa de tecnología financiera que cotiza en bolsa con 5,3 billones de dólares en activos y más de 18,5 millones de cuentas de inversores. La misión de Envestnet es empoderar a los asesores y proveedores de servicios financieros con tecnología innovadora, soluciones e inteligencia para hacer del bienestar financiero una realidad para todos. Envestnet se ha consolidado como uno de los líderes del mercado en tecnología de gestión de patrimonios con su emblemática plataforma de asesoramiento que integra los servicios y el software utilizados por los asesores financieros en la gestión de patrimonios en todo el mundo.
El compromiso de Envestnet con las mejores prácticas de gestión de datos incluye la supervisión continua de su plataforma de gestión de patrimonios a través de medidas de cumplimiento basadas en el riesgo que pueden identificar y corregir rápidamente cualquier problema de cumplimiento o fallo potencial. Envestnet lidera la protección de los datos de sus clientes adoptando medidas de seguridad de primer orden en la prestación de sus servicios.
Descubra cómo Derek Fisher, responsable de seguridad de productos en Envestnet y autor de "The Application Security Handbook", trabajó con Secure Code Warrior para desarrollar un enfoque holístico que redujera las vulnerabilidades mediante la habilitación ágil de código seguro para sus equipos de desarrolladores. Derek lleva más de una década trabajando en la seguridad de aplicaciones, donde ha sido testigo directo de numerosos éxitos y fracasos en materia de seguridad, y aporta su singular experiencia en el desarrollo de un entorno de aprendizaje de código seguro para desarrolladores en Envestnet.
Situación
Cuando Derek accedió por primera vez a su puesto en Seguridad de Aplicaciones, quería ir más allá del top ten de OWASP y de la formación básica en cumplimiento de normativas. Tenían algunos procesos SDLC seguros, pero se centraban en gran medida en encontrar vulnerabilidades, no necesariamente en abordarlas en su origen.
Según Derek, "Todos estamos bastante familiarizados con la formación anual sobre cumplimiento a la que nos someten en cualquier organización. Suele ser lo que yo llamo 'la muerte por Powerpoint', un montón de diapositivas y tal vez un assessment al final... realmente ineficaz y lleva mucho tiempo. Teníamos formación, pero era la habitual basada en el cumplimiento, con alguna formación específica sobre seguridad basada en diapositivas y grabaciones de audio. Nos dimos cuenta de que los desarrolladores no se implicaban mucho ni aprendían de los materiales, así que tuvimos que cambiar de estrategia."
Esta estrategia heredada de simplemente formar a los desarrolladores a través de una formación de cumplimiento pasiva y centrada en OWASP fue especialmente dolorosa para Derek y su equipo porque no podían medir el impacto de la formación, por lo que en su lugar se encontraron dedicando cada vez más tiempo a la gestión de vulnerabilidades.
Derek reconoció que era importante analizar el origen de las vulnerabilidades -el código inseguro que los desarrolladores envían a producción- y que la solución no iba a ser simplemente lanzar más herramientas.
En su lugar, Derek y su equipo cambiaron su enfoque en 2020 hacia la mitigación de vulnerabilidades, con el objetivo de escribir código más seguro desde el principio. Derek y su equipo adoptaron una estrategia de "desplazamiento a la izquierda" para abordar y corregir las vulnerabilidades mucho antes en el SDLC, cuando cuesta mucho menos corregirlas.
Pero primero, necesitaban abordar la baja participación histórica de los desarrolladores en el App Sectraining existente. Quería evitar la mera implementación de una mentalidad de "casilla de verificación" en su estrategia de aprendizaje de código seguro y ofrecer una experiencia de aprendizaje más eficaz y ágil para el código seguro a los desarrolladores de Envestnet.
"Una vez que vi SCW y lo que puede hacer, supe que un enfoque más práctico e interactivo era el adecuado para nosotros. Quería que los ingenieros y desarrolladores salieran de la formación con un conocimiento más práctico de los problemas reales. Queríamos crear esa memoria muscular de: "Esto es algo que he visto antes en la formación, sé cómo abordar este problema de codificación que veo". La plataforma Secure Code Warrior nos ha permitido proporcionar ese tipo de entorno en el que los ingenieros y desarrolladores pueden ponerse manos a la obra y comprender realmente cuáles son las buenas prácticas de codificación segura, qué aspecto tienen las malas y cómo resolver las vulnerabilidades rápidamente."
Derek Fisher, Jefe de Seguridad de Productos de Envestnet
Acción
Derek tenía especial interés en implantar una estrategia de cinturones que recompensara la capacitación en código seguro con certificaciones. El programa de cuatro niveles se centraría en crear una sólida base de concienciación sobre la seguridad (niveles 1 y 2) y luego allanaría el camino para que los desarrolladores se convirtieran en campeones de la seguridad (niveles 3 y 4). Esto resolvía el problema de no poder medir cómo los desarrolladores retenían los conceptos de código seguro, al tiempo que garantizaba que los desarrolladores concienciados con la seguridad tuvieran una trayectoria profesional hacia la mejora de sus habilidades con retos de seguridad más complejos.
Lo probaron en un pequeño piloto y solicitaron la opinión de los desarrolladores implicados. Las reacciones fueron muy positivas. Derek señaló,
"No siempre se obtienen comentarios positivos de estas cosas; no me canso de repetirlo: siempre que se obtienen comentarios positivos sobre la formación, es algo inusual. Es un buen indicador de que es la herramienta adecuada".
Envestnet organizó su primer tournament en la primavera de 2021 y observó resultados más positivos desde la perspectiva del compromiso de los desarrolladores. Derek lanzó entonces una serie de courses integrados en su LMS para desarrolladores de DB, Front End, API yCloud. Cuando Envestnet organizó su segundo tournament en otoño de 2021, el número total de desarrolladores participantes se había duplicado.
Según Derek, Envestnet obtuvo un gran éxito con tournaments porque,
"Todos sabemos que la competición es una motivación. Todos queremos asegurarnos de que nuestros compañeros reconocen lo bien que lo estamos haciendo en ciertas cosas y eso motiva realmente a la gente a participar y hacerlo bien en esos tournaments. Eso y la integración con nuestras herramientas de desarrollo nos demostraron realmente el valor de Secure Code Warrior".
Derek y el equipo también trabajaron para integrar Secure Code Warrior con Jira, de modo que cuando ciertas vulnerabilidades aparecieran repetidamente, el desarrollador pudiera acceder a consejos inmediatos para remediarlas directamente dentro de su ticket de Jira, y sin salir de ese entorno familiar. Esto proporcionaba a los desarrolladores un contexto valioso, así como formación en el momento y a petición sobre cómo abordar esa vulnerabilidad, justo donde se necesitaba y en el punto de impacto. El equipo de Derek también colaboró con Secure Code Warrior para patrocinar un evento del Día de la Seguridad, que dio lugar a un mayor apoyo de los directores generales y reforzó la importancia que la ingeniería y la seguridad desempeñan en el éxito de Envestnet. Con este tipo de apoyo de ejecutivos y desarrolladores, Envestnet pudo ampliar su programa hasta lo que es hoy. Ahora, Envestnet ha inscrito en el programa a todos sus campeones de seguridad identificados y el 60% de todo el equipo ha completado su certificación de nivel 1 o 2.
Resultados
Una forma en que Envestnet midió su éxito fue observar a los equipos que habían pasado por la experiencia de aprendizaje del SCW y medir si estaban produciendo menos vulnerabilidades y/o solucionándolas más rápidamente. Lo que encontraron fue impresionante:
- Los desarrolladores con formación en CCT solucionaron 2,7 veces más vulnerabilidades que sus compañeros.
- 100 desarrolladores formados en el SCW solucionaron 450 vulnerabilidades en poco tiempo
- 1.200 desarrolladores formados en el SCW permitieron a Envestnet aumentar la remediación en un 120% en su cola respectiva
- En un año, en dos líneas de productos, los desarrolladores formados en SCW cerraron problemas con vulnerabilidades a un ritmo de 4,5 por desarrollador, en comparación con sus homólogos, que sólo cerraron vulnerabilidades a un ritmo de 1,82 por desarrollador.
- Todos los Campeones de Seguridad pasaron por su programa de certificación en 2022
- El 60% de los desarrolladores concienciados con la seguridad pasaron por los niveles 1 y 2
Principales conclusiones
Derek ofrece este consejo a quienes se inician en el aprendizaje del código seguro:
"Nuestro trabajo en seguridad es reducir el riesgo en la organización. Ese es nuestro verdadero norte y es por lo que siempre nos esforzamos. Una vulnerabilidad crítica puede no ser el riesgo más alto o lo más impactante para tu organización. Podría ser un par de medianas, una baja y una alta unidas para crear una cadena que es mucho más impactante. Cuantas más vulnerabilidades se acumulen a lo largo del tiempo, mayor será el riesgo acumulado. Con Secure Code Warrior, puedes adelantarte y adoptar un enfoque proactivo para mitigar esa cadena potencial de vulnerabilidades mediante el aprendizaje ágil de código seguro."
- No se limite a realizar pruebas para detectar vulnerabilidades e informar sobre ellas: esto acaba creando ruido para sus desarrolladores.
- En lugar de ello, AppSec debería ser un socio de los desarrolladores y asegurarse de contar con su apoyo antes de implantar una estrategia de aprendizaje de código seguro.
- Roma no se construyó en un día. Su programa tendrá que evolucionar a medida que cambie su perfil de riesgo, su empresa y su tecnología y herramientas.
- La estrategia más eficaz a largo plazo consiste en aumentar el coeficiente intelectual de seguridad de las personas que le rodean para reducir el número total de vulnerabilidades que se crean
Fondo
Envestnet, Inc. es una empresa de tecnología financiera que cotiza en bolsa con 5,3 billones de dólares en activos y más de 18,5 millones de cuentas de inversores. La misión de Envestnet es empoderar a los asesores y proveedores de servicios financieros con tecnología innovadora, soluciones e inteligencia para hacer del bienestar financiero una realidad para todos. Envestnet se ha consolidado como uno de los líderes del mercado en tecnología de gestión de patrimonios con su emblemática plataforma de asesoramiento que integra los servicios y el software utilizados por los asesores financieros en la gestión de patrimonios en todo el mundo.
El compromiso de Envestnet con las mejores prácticas de gestión de datos incluye la supervisión continua de su plataforma de gestión de patrimonios a través de medidas de cumplimiento basadas en el riesgo que pueden identificar y corregir rápidamente cualquier problema de cumplimiento o fallo potencial. Envestnet lidera la protección de los datos de sus clientes adoptando medidas de seguridad de primer orden en la prestación de sus servicios.
Descubra cómo Derek Fisher, responsable de seguridad de productos en Envestnet y autor de "The Application Security Handbook", trabajó con Secure Code Warrior para desarrollar un enfoque holístico que redujera las vulnerabilidades mediante la habilitación ágil de código seguro para sus equipos de desarrolladores. Derek lleva más de una década trabajando en la seguridad de aplicaciones, donde ha sido testigo directo de numerosos éxitos y fracasos en materia de seguridad, y aporta su singular experiencia en el desarrollo de un entorno de aprendizaje de código seguro para desarrolladores en Envestnet.
Situación
Cuando Derek accedió por primera vez a su puesto en Seguridad de Aplicaciones, quería ir más allá del top ten de OWASP y de la formación básica en cumplimiento de normativas. Tenían algunos procesos SDLC seguros, pero se centraban en gran medida en encontrar vulnerabilidades, no necesariamente en abordarlas en su origen.
Según Derek, "Todos estamos bastante familiarizados con la formación anual sobre cumplimiento a la que nos someten en cualquier organización. Suele ser lo que yo llamo 'la muerte por Powerpoint', un montón de diapositivas y tal vez un assessment al final... realmente ineficaz y lleva mucho tiempo. Teníamos formación, pero era la habitual basada en el cumplimiento, con alguna formación específica sobre seguridad basada en diapositivas y grabaciones de audio. Nos dimos cuenta de que los desarrolladores no se implicaban mucho ni aprendían de los materiales, así que tuvimos que cambiar de estrategia."
Esta estrategia heredada de simplemente formar a los desarrolladores a través de una formación de cumplimiento pasiva y centrada en OWASP fue especialmente dolorosa para Derek y su equipo porque no podían medir el impacto de la formación, por lo que en su lugar se encontraron dedicando cada vez más tiempo a la gestión de vulnerabilidades.
Derek reconoció que era importante analizar el origen de las vulnerabilidades -el código inseguro que los desarrolladores envían a producción- y que la solución no iba a ser simplemente lanzar más herramientas.
En su lugar, Derek y su equipo cambiaron su enfoque en 2020 hacia la mitigación de vulnerabilidades, con el objetivo de escribir código más seguro desde el principio. Derek y su equipo adoptaron una estrategia de "desplazamiento a la izquierda" para abordar y corregir las vulnerabilidades mucho antes en el SDLC, cuando cuesta mucho menos corregirlas.
Pero primero, necesitaban abordar la baja participación histórica de los desarrolladores en el App Sectraining existente. Quería evitar la mera implementación de una mentalidad de "casilla de verificación" en su estrategia de aprendizaje de código seguro y ofrecer una experiencia de aprendizaje más eficaz y ágil para el código seguro a los desarrolladores de Envestnet.
"Una vez que vi SCW y lo que puede hacer, supe que un enfoque más práctico e interactivo era el adecuado para nosotros. Quería que los ingenieros y desarrolladores salieran de la formación con un conocimiento más práctico de los problemas reales. Queríamos crear esa memoria muscular de: "Esto es algo que he visto antes en la formación, sé cómo abordar este problema de codificación que veo". La plataforma Secure Code Warrior nos ha permitido proporcionar ese tipo de entorno en el que los ingenieros y desarrolladores pueden ponerse manos a la obra y comprender realmente cuáles son las buenas prácticas de codificación segura, qué aspecto tienen las malas y cómo resolver las vulnerabilidades rápidamente."
Derek Fisher, Jefe de Seguridad de Productos de Envestnet
Acción
Derek tenía especial interés en implantar una estrategia de cinturones que recompensara la capacitación en código seguro con certificaciones. El programa de cuatro niveles se centraría en crear una sólida base de concienciación sobre la seguridad (niveles 1 y 2) y luego allanaría el camino para que los desarrolladores se convirtieran en campeones de la seguridad (niveles 3 y 4). Esto resolvía el problema de no poder medir cómo los desarrolladores retenían los conceptos de código seguro, al tiempo que garantizaba que los desarrolladores concienciados con la seguridad tuvieran una trayectoria profesional hacia la mejora de sus habilidades con retos de seguridad más complejos.
Lo probaron en un pequeño piloto y solicitaron la opinión de los desarrolladores implicados. Las reacciones fueron muy positivas. Derek señaló,
"No siempre se obtienen comentarios positivos de estas cosas; no me canso de repetirlo: siempre que se obtienen comentarios positivos sobre la formación, es algo inusual. Es un buen indicador de que es la herramienta adecuada".
Envestnet organizó su primer tournament en la primavera de 2021 y observó resultados más positivos desde la perspectiva del compromiso de los desarrolladores. Derek lanzó entonces una serie de courses integrados en su LMS para desarrolladores de DB, Front End, API yCloud. Cuando Envestnet organizó su segundo tournament en otoño de 2021, el número total de desarrolladores participantes se había duplicado.
Según Derek, Envestnet obtuvo un gran éxito con tournaments porque,
"Todos sabemos que la competición es una motivación. Todos queremos asegurarnos de que nuestros compañeros reconocen lo bien que lo estamos haciendo en ciertas cosas y eso motiva realmente a la gente a participar y hacerlo bien en esos tournaments. Eso y la integración con nuestras herramientas de desarrollo nos demostraron realmente el valor de Secure Code Warrior".
Derek y el equipo también trabajaron para integrar Secure Code Warrior con Jira, de modo que cuando ciertas vulnerabilidades aparecieran repetidamente, el desarrollador pudiera acceder a consejos inmediatos para remediarlas directamente dentro de su ticket de Jira, y sin salir de ese entorno familiar. Esto proporcionaba a los desarrolladores un contexto valioso, así como formación en el momento y a petición sobre cómo abordar esa vulnerabilidad, justo donde se necesitaba y en el punto de impacto. El equipo de Derek también colaboró con Secure Code Warrior para patrocinar un evento del Día de la Seguridad, que dio lugar a un mayor apoyo de los directores generales y reforzó la importancia que la ingeniería y la seguridad desempeñan en el éxito de Envestnet. Con este tipo de apoyo de ejecutivos y desarrolladores, Envestnet pudo ampliar su programa hasta lo que es hoy. Ahora, Envestnet ha inscrito en el programa a todos sus campeones de seguridad identificados y el 60% de todo el equipo ha completado su certificación de nivel 1 o 2.
Resultados
Una forma en que Envestnet midió su éxito fue observar a los equipos que habían pasado por la experiencia de aprendizaje del SCW y medir si estaban produciendo menos vulnerabilidades y/o solucionándolas más rápidamente. Lo que encontraron fue impresionante:
- Los desarrolladores con formación en CCT solucionaron 2,7 veces más vulnerabilidades que sus compañeros.
- 100 desarrolladores formados en el SCW solucionaron 450 vulnerabilidades en poco tiempo
- 1.200 desarrolladores formados en el SCW permitieron a Envestnet aumentar la remediación en un 120% en su cola respectiva
- En un año, en dos líneas de productos, los desarrolladores formados en SCW cerraron problemas con vulnerabilidades a un ritmo de 4,5 por desarrollador, en comparación con sus homólogos, que sólo cerraron vulnerabilidades a un ritmo de 1,82 por desarrollador.
- Todos los Campeones de Seguridad pasaron por su programa de certificación en 2022
- El 60% de los desarrolladores concienciados con la seguridad pasaron por los niveles 1 y 2
Principales conclusiones
Derek ofrece este consejo a quienes se inician en el aprendizaje del código seguro:
"Nuestro trabajo en seguridad es reducir el riesgo en la organización. Ese es nuestro verdadero norte y es por lo que siempre nos esforzamos. Una vulnerabilidad crítica puede no ser el riesgo más alto o lo más impactante para tu organización. Podría ser un par de medianas, una baja y una alta unidas para crear una cadena que es mucho más impactante. Cuantas más vulnerabilidades se acumulen a lo largo del tiempo, mayor será el riesgo acumulado. Con Secure Code Warrior, puedes adelantarte y adoptar un enfoque proactivo para mitigar esa cadena potencial de vulnerabilidades mediante el aprendizaje ágil de código seguro."
- No se limite a realizar pruebas para detectar vulnerabilidades e informar sobre ellas: esto acaba creando ruido para sus desarrolladores.
- En lugar de ello, AppSec debería ser un socio de los desarrolladores y asegurarse de contar con su apoyo antes de implantar una estrategia de aprendizaje de código seguro.
- Roma no se construyó en un día. Su programa tendrá que evolucionar a medida que cambie su perfil de riesgo, su empresa y su tecnología y herramientas.
- La estrategia más eficaz a largo plazo consiste en aumentar el coeficiente intelectual de seguridad de las personas que le rodean para reducir el número total de vulnerabilidades que se crean
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostraciónFondo
Envestnet, Inc. es una empresa de tecnología financiera que cotiza en bolsa con 5,3 billones de dólares en activos y más de 18,5 millones de cuentas de inversores. La misión de Envestnet es empoderar a los asesores y proveedores de servicios financieros con tecnología innovadora, soluciones e inteligencia para hacer del bienestar financiero una realidad para todos. Envestnet se ha consolidado como uno de los líderes del mercado en tecnología de gestión de patrimonios con su emblemática plataforma de asesoramiento que integra los servicios y el software utilizados por los asesores financieros en la gestión de patrimonios en todo el mundo.
El compromiso de Envestnet con las mejores prácticas de gestión de datos incluye la supervisión continua de su plataforma de gestión de patrimonios a través de medidas de cumplimiento basadas en el riesgo que pueden identificar y corregir rápidamente cualquier problema de cumplimiento o fallo potencial. Envestnet lidera la protección de los datos de sus clientes adoptando medidas de seguridad de primer orden en la prestación de sus servicios.
Descubra cómo Derek Fisher, responsable de seguridad de productos en Envestnet y autor de "The Application Security Handbook", trabajó con Secure Code Warrior para desarrollar un enfoque holístico que redujera las vulnerabilidades mediante la habilitación ágil de código seguro para sus equipos de desarrolladores. Derek lleva más de una década trabajando en la seguridad de aplicaciones, donde ha sido testigo directo de numerosos éxitos y fracasos en materia de seguridad, y aporta su singular experiencia en el desarrollo de un entorno de aprendizaje de código seguro para desarrolladores en Envestnet.
Situación
Cuando Derek accedió por primera vez a su puesto en Seguridad de Aplicaciones, quería ir más allá del top ten de OWASP y de la formación básica en cumplimiento de normativas. Tenían algunos procesos SDLC seguros, pero se centraban en gran medida en encontrar vulnerabilidades, no necesariamente en abordarlas en su origen.
Según Derek, "Todos estamos bastante familiarizados con la formación anual sobre cumplimiento a la que nos someten en cualquier organización. Suele ser lo que yo llamo 'la muerte por Powerpoint', un montón de diapositivas y tal vez un assessment al final... realmente ineficaz y lleva mucho tiempo. Teníamos formación, pero era la habitual basada en el cumplimiento, con alguna formación específica sobre seguridad basada en diapositivas y grabaciones de audio. Nos dimos cuenta de que los desarrolladores no se implicaban mucho ni aprendían de los materiales, así que tuvimos que cambiar de estrategia."
Esta estrategia heredada de simplemente formar a los desarrolladores a través de una formación de cumplimiento pasiva y centrada en OWASP fue especialmente dolorosa para Derek y su equipo porque no podían medir el impacto de la formación, por lo que en su lugar se encontraron dedicando cada vez más tiempo a la gestión de vulnerabilidades.
Derek reconoció que era importante analizar el origen de las vulnerabilidades -el código inseguro que los desarrolladores envían a producción- y que la solución no iba a ser simplemente lanzar más herramientas.
En su lugar, Derek y su equipo cambiaron su enfoque en 2020 hacia la mitigación de vulnerabilidades, con el objetivo de escribir código más seguro desde el principio. Derek y su equipo adoptaron una estrategia de "desplazamiento a la izquierda" para abordar y corregir las vulnerabilidades mucho antes en el SDLC, cuando cuesta mucho menos corregirlas.
Pero primero, necesitaban abordar la baja participación histórica de los desarrolladores en el App Sectraining existente. Quería evitar la mera implementación de una mentalidad de "casilla de verificación" en su estrategia de aprendizaje de código seguro y ofrecer una experiencia de aprendizaje más eficaz y ágil para el código seguro a los desarrolladores de Envestnet.
"Una vez que vi SCW y lo que puede hacer, supe que un enfoque más práctico e interactivo era el adecuado para nosotros. Quería que los ingenieros y desarrolladores salieran de la formación con un conocimiento más práctico de los problemas reales. Queríamos crear esa memoria muscular de: "Esto es algo que he visto antes en la formación, sé cómo abordar este problema de codificación que veo". La plataforma Secure Code Warrior nos ha permitido proporcionar ese tipo de entorno en el que los ingenieros y desarrolladores pueden ponerse manos a la obra y comprender realmente cuáles son las buenas prácticas de codificación segura, qué aspecto tienen las malas y cómo resolver las vulnerabilidades rápidamente."
Derek Fisher, Jefe de Seguridad de Productos de Envestnet
Acción
Derek tenía especial interés en implantar una estrategia de cinturones que recompensara la capacitación en código seguro con certificaciones. El programa de cuatro niveles se centraría en crear una sólida base de concienciación sobre la seguridad (niveles 1 y 2) y luego allanaría el camino para que los desarrolladores se convirtieran en campeones de la seguridad (niveles 3 y 4). Esto resolvía el problema de no poder medir cómo los desarrolladores retenían los conceptos de código seguro, al tiempo que garantizaba que los desarrolladores concienciados con la seguridad tuvieran una trayectoria profesional hacia la mejora de sus habilidades con retos de seguridad más complejos.
Lo probaron en un pequeño piloto y solicitaron la opinión de los desarrolladores implicados. Las reacciones fueron muy positivas. Derek señaló,
"No siempre se obtienen comentarios positivos de estas cosas; no me canso de repetirlo: siempre que se obtienen comentarios positivos sobre la formación, es algo inusual. Es un buen indicador de que es la herramienta adecuada".
Envestnet organizó su primer tournament en la primavera de 2021 y observó resultados más positivos desde la perspectiva del compromiso de los desarrolladores. Derek lanzó entonces una serie de courses integrados en su LMS para desarrolladores de DB, Front End, API yCloud. Cuando Envestnet organizó su segundo tournament en otoño de 2021, el número total de desarrolladores participantes se había duplicado.
Según Derek, Envestnet obtuvo un gran éxito con tournaments porque,
"Todos sabemos que la competición es una motivación. Todos queremos asegurarnos de que nuestros compañeros reconocen lo bien que lo estamos haciendo en ciertas cosas y eso motiva realmente a la gente a participar y hacerlo bien en esos tournaments. Eso y la integración con nuestras herramientas de desarrollo nos demostraron realmente el valor de Secure Code Warrior".
Derek y el equipo también trabajaron para integrar Secure Code Warrior con Jira, de modo que cuando ciertas vulnerabilidades aparecieran repetidamente, el desarrollador pudiera acceder a consejos inmediatos para remediarlas directamente dentro de su ticket de Jira, y sin salir de ese entorno familiar. Esto proporcionaba a los desarrolladores un contexto valioso, así como formación en el momento y a petición sobre cómo abordar esa vulnerabilidad, justo donde se necesitaba y en el punto de impacto. El equipo de Derek también colaboró con Secure Code Warrior para patrocinar un evento del Día de la Seguridad, que dio lugar a un mayor apoyo de los directores generales y reforzó la importancia que la ingeniería y la seguridad desempeñan en el éxito de Envestnet. Con este tipo de apoyo de ejecutivos y desarrolladores, Envestnet pudo ampliar su programa hasta lo que es hoy. Ahora, Envestnet ha inscrito en el programa a todos sus campeones de seguridad identificados y el 60% de todo el equipo ha completado su certificación de nivel 1 o 2.
Resultados
Una forma en que Envestnet midió su éxito fue observar a los equipos que habían pasado por la experiencia de aprendizaje del SCW y medir si estaban produciendo menos vulnerabilidades y/o solucionándolas más rápidamente. Lo que encontraron fue impresionante:
- Los desarrolladores con formación en CCT solucionaron 2,7 veces más vulnerabilidades que sus compañeros.
- 100 desarrolladores formados en el SCW solucionaron 450 vulnerabilidades en poco tiempo
- 1.200 desarrolladores formados en el SCW permitieron a Envestnet aumentar la remediación en un 120% en su cola respectiva
- En un año, en dos líneas de productos, los desarrolladores formados en SCW cerraron problemas con vulnerabilidades a un ritmo de 4,5 por desarrollador, en comparación con sus homólogos, que sólo cerraron vulnerabilidades a un ritmo de 1,82 por desarrollador.
- Todos los Campeones de Seguridad pasaron por su programa de certificación en 2022
- El 60% de los desarrolladores concienciados con la seguridad pasaron por los niveles 1 y 2
Principales conclusiones
Derek ofrece este consejo a quienes se inician en el aprendizaje del código seguro:
"Nuestro trabajo en seguridad es reducir el riesgo en la organización. Ese es nuestro verdadero norte y es por lo que siempre nos esforzamos. Una vulnerabilidad crítica puede no ser el riesgo más alto o lo más impactante para tu organización. Podría ser un par de medianas, una baja y una alta unidas para crear una cadena que es mucho más impactante. Cuantas más vulnerabilidades se acumulen a lo largo del tiempo, mayor será el riesgo acumulado. Con Secure Code Warrior, puedes adelantarte y adoptar un enfoque proactivo para mitigar esa cadena potencial de vulnerabilidades mediante el aprendizaje ágil de código seguro."
- No se limite a realizar pruebas para detectar vulnerabilidades e informar sobre ellas: esto acaba creando ruido para sus desarrolladores.
- En lugar de ello, AppSec debería ser un socio de los desarrolladores y asegurarse de contar con su apoyo antes de implantar una estrategia de aprendizaje de código seguro.
- Roma no se construyó en un día. Su programa tendrá que evolucionar a medida que cambie su perfil de riesgo, su empresa y su tecnología y herramientas.
- La estrategia más eficaz a largo plazo consiste en aumentar el coeficiente intelectual de seguridad de las personas que le rodean para reducir el número total de vulnerabilidades que se crean
Índice
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.