El camino hacia los campeones en seguridad: Cómo Workday utilizó el aprendizaje ágil para mejorar las competencias de los desarrolladores
Situación
Antes de que Workday implementara el aprendizaje ágil con Secure Code Warrior, utilizaban internamente courses que consistía en grabaciones de presentaciones de PowerPoint que cubrían las 10 vulnerabilidades principales de OWASP con algunos ejemplos de pseudocódigo. Alex Uda, director del programa de formación de desarrolladores de seguridad, se dio cuenta de que esto no ayudaba a su equipo ni al equipo de seguridad en general a alcanzar sus objetivos de mejorar la postura general de seguridad de Workday. Dado que los desarrolladores se estaban desinteresando rápidamente de su formación, decidieron empezar a solicitar sus comentarios y observaron que había dos puntos que seguían surgiendo:
- Necesidad de una formación más práctica
- La necesidad de contenidos más específicos para cada lengua
Acción
En su trabajo con los desarrolladores, Alex y su equipo identificaron dos prioridades principales a la hora de conseguir su aceptación para crear un programa de aprendizaje de código seguro, atractivo y de éxito.
Claridad y sencillez
La mayoría de los desarrolladores no llegan a su trabajo con conocimientos de seguridad. Cualquier cosa que resulte frustrante o lleve mucho tiempo llevará a los desarrolladores a buscar soluciones alternativas y pirateos. Lo que Workday destacó de SCW es que permitía a los desarrolladores tener una idea clara del proceso, apropiárselo e integrarlo en sus flujos de trabajo.
Accionabilidad y valor
Los desarrolladores, ante todo, quieren ser capaces de actuar sobre algo que está afectando al ciclo de vida del código base, y actuar con rapidez. Para ello, los desarrolladores necesitan que se les enseñe cómo hacerlo. Si quieres que un desarrollador se interese por algo como la seguridad, destaca el valor de estos temas.
En cuanto a la estructuración del programa, Alex y su equipo recogieron primero los comentarios sobre la plataforma de un grupo piloto de campeones de seguridad y trabajaron con su director de éxito de clientes para aplicar sus sugerencias. A continuación, Alex y su equipo examinaron sus herramientas SAST y diferentes métricas sobre el número de incidentes y eventos de seguridad para evaluar cuáles son los mayores riesgos en su entorno actual y qué está ocurriendo en todo el sector. Inicialmente se centraron en el top 10 de OWASP y en las vulnerabilidades de alto riesgo más comunes en Workday
"Al dar a los desarrolladores ese aprendizaje y esa agencia, SCW hizo que pudiéramos mejorar activamente la seguridad de nuestro software. No se trata sólo de escribir código, sino también de oportunidades de crecimiento y de hacer carrera. El apoyo de Workday al programa de seguridad existe porque es un área en la que toda la empresa está alineada, así que los desarrolladores dispusieron de ese tiempo para el aprendizaje y el desarrollo. Dedicar dos horas a la semana al aprendizaje durante un periodo de tiempo ayuda a crear esa memoria muscular con constancia".
Resultados
Tradicionalmente, es fácil pensar en la seguridad al final del proceso de desarrollo. Al trabajar con el equipo de seguridad, los desarrolladores de Workday ven ahora la seguridad como un componente importante del ciclo de desarrollo. Pueden actuar sobre los elementos de seguridad con rapidez y en una fase más temprana del SDLC, lo que ha supuesto el mayor impacto de este programa. En un equipo con sede en Dublín, sus desarrolladores pasaron de 4662 problemas de seguridad -con una media de casi 31,08 problemas al día- a 0 en un periodo de unos 18 meses.
Alex describió el crecimiento del programa como "un efecto de bola de nieve después de que empezáramos con campeones de seguridad de primer orden. A medida que socializábamos el programa y sus beneficios entre los líderes y seguíamos aumentando el número de miembros, vimos un crecimiento casi natural debido al boca a boca". Desde el punto de vista de la formación, nuestro objetivo es dotar a nuestros desarrolladores de las habilidades necesarias para desarrollar código de forma segura. Esto es especialmente crítico a medida que Workday sigue creciendo".
Principales conclusiones
Según Alex, "para ampliar la seguridad con éxito es imprescindible que nuestros desarrolladores tengan una mentalidad de seguridad que les ayude a identificar los riesgos de seguridad durante la fase de diseño del desarrollo del software. Esto encaja en nuestra iniciativa de cambio a la izquierda de capacitar a nuestros desarrolladores para ayudar a ahorrar tiempo, dinero y algunos dolores de cabeza. Cuanto mejor trabajemos en el aprendizaje de código seguro, menos vulnerabilidades veremos en nuestros escaneos y resultados de pentest."
Para los desarrolladores, es importante divertirse cuando aprenden sobre seguridad
SCW es excelente a la hora de mostrar lo emocionante que puede ser. Si te estás involucrando en el aprendizaje sobre seguridad, abrázalo por completo. Considéralo parte de tu proceso de desarrollo y del crecimiento de tu carrera.
Animea los desarrolladores a ponerse en contacto con el equipo si sienten curiosidad por la seguridad
Mantenga una conversación e inicie esa colaboración.
La seguridad como una caja negra o como un añadido a su proyecto es arcaica y, en última instancia, perjudica a su software
Adoptar la seguridad como parte del proceso de desarrollo -del mismo modo que adoptamos TDD, agile y linting- mejorará el flujo y aumentará la calidad del software que se entrega a los clientes.
Descubra cómo Workday transformó la formación de desarrolladores con un aprendizaje ágil a través de Secure Code Warrior. Al capacitar a los desarrolladores con formación práctica en lenguajes específicos, Workday redujo las vulnerabilidades en las primeras fases del SDLC. Vea sus impresionantes resultados y los puntos clave para crear una cultura de código seguro.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Situación
Antes de que Workday implementara el aprendizaje ágil con Secure Code Warrior, utilizaban internamente courses que consistía en grabaciones de presentaciones de PowerPoint que cubrían las 10 vulnerabilidades principales de OWASP con algunos ejemplos de pseudocódigo. Alex Uda, director del programa de formación de desarrolladores de seguridad, se dio cuenta de que esto no ayudaba a su equipo ni al equipo de seguridad en general a alcanzar sus objetivos de mejorar la postura general de seguridad de Workday. Dado que los desarrolladores se estaban desinteresando rápidamente de su formación, decidieron empezar a solicitar sus comentarios y observaron que había dos puntos que seguían surgiendo:
- Necesidad de una formación más práctica
- La necesidad de contenidos más específicos para cada lengua
Acción
En su trabajo con los desarrolladores, Alex y su equipo identificaron dos prioridades principales a la hora de conseguir su aceptación para crear un programa de aprendizaje de código seguro, atractivo y de éxito.
Claridad y sencillez
La mayoría de los desarrolladores no llegan a su trabajo con conocimientos de seguridad. Cualquier cosa que resulte frustrante o lleve mucho tiempo llevará a los desarrolladores a buscar soluciones alternativas y pirateos. Lo que Workday destacó de SCW es que permitía a los desarrolladores tener una idea clara del proceso, apropiárselo e integrarlo en sus flujos de trabajo.
Accionabilidad y valor
Los desarrolladores, ante todo, quieren ser capaces de actuar sobre algo que está afectando al ciclo de vida del código base, y actuar con rapidez. Para ello, los desarrolladores necesitan que se les enseñe cómo hacerlo. Si quieres que un desarrollador se interese por algo como la seguridad, destaca el valor de estos temas.
En cuanto a la estructuración del programa, Alex y su equipo recogieron primero los comentarios sobre la plataforma de un grupo piloto de campeones de seguridad y trabajaron con su director de éxito de clientes para aplicar sus sugerencias. A continuación, Alex y su equipo examinaron sus herramientas SAST y diferentes métricas sobre el número de incidentes y eventos de seguridad para evaluar cuáles son los mayores riesgos en su entorno actual y qué está ocurriendo en todo el sector. Inicialmente se centraron en el top 10 de OWASP y en las vulnerabilidades de alto riesgo más comunes en Workday
"Al dar a los desarrolladores ese aprendizaje y esa agencia, SCW hizo que pudiéramos mejorar activamente la seguridad de nuestro software. No se trata sólo de escribir código, sino también de oportunidades de crecimiento y de hacer carrera. El apoyo de Workday al programa de seguridad existe porque es un área en la que toda la empresa está alineada, así que los desarrolladores dispusieron de ese tiempo para el aprendizaje y el desarrollo. Dedicar dos horas a la semana al aprendizaje durante un periodo de tiempo ayuda a crear esa memoria muscular con constancia".
Resultados
Tradicionalmente, es fácil pensar en la seguridad al final del proceso de desarrollo. Al trabajar con el equipo de seguridad, los desarrolladores de Workday ven ahora la seguridad como un componente importante del ciclo de desarrollo. Pueden actuar sobre los elementos de seguridad con rapidez y en una fase más temprana del SDLC, lo que ha supuesto el mayor impacto de este programa. En un equipo con sede en Dublín, sus desarrolladores pasaron de 4662 problemas de seguridad -con una media de casi 31,08 problemas al día- a 0 en un periodo de unos 18 meses.
Alex describió el crecimiento del programa como "un efecto de bola de nieve después de que empezáramos con campeones de seguridad de primer orden. A medida que socializábamos el programa y sus beneficios entre los líderes y seguíamos aumentando el número de miembros, vimos un crecimiento casi natural debido al boca a boca". Desde el punto de vista de la formación, nuestro objetivo es dotar a nuestros desarrolladores de las habilidades necesarias para desarrollar código de forma segura. Esto es especialmente crítico a medida que Workday sigue creciendo".
Principales conclusiones
Según Alex, "para ampliar la seguridad con éxito es imprescindible que nuestros desarrolladores tengan una mentalidad de seguridad que les ayude a identificar los riesgos de seguridad durante la fase de diseño del desarrollo del software. Esto encaja en nuestra iniciativa de cambio a la izquierda de capacitar a nuestros desarrolladores para ayudar a ahorrar tiempo, dinero y algunos dolores de cabeza. Cuanto mejor trabajemos en el aprendizaje de código seguro, menos vulnerabilidades veremos en nuestros escaneos y resultados de pentest."
Para los desarrolladores, es importante divertirse cuando aprenden sobre seguridad
SCW es excelente a la hora de mostrar lo emocionante que puede ser. Si te estás involucrando en el aprendizaje sobre seguridad, abrázalo por completo. Considéralo parte de tu proceso de desarrollo y del crecimiento de tu carrera.
Animea los desarrolladores a ponerse en contacto con el equipo si sienten curiosidad por la seguridad
Mantenga una conversación e inicie esa colaboración.
La seguridad como una caja negra o como un añadido a su proyecto es arcaica y, en última instancia, perjudica a su software
Adoptar la seguridad como parte del proceso de desarrollo -del mismo modo que adoptamos TDD, agile y linting- mejorará el flujo y aumentará la calidad del software que se entrega a los clientes.
Situación
Antes de que Workday implementara el aprendizaje ágil con Secure Code Warrior, utilizaban internamente courses que consistía en grabaciones de presentaciones de PowerPoint que cubrían las 10 vulnerabilidades principales de OWASP con algunos ejemplos de pseudocódigo. Alex Uda, director del programa de formación de desarrolladores de seguridad, se dio cuenta de que esto no ayudaba a su equipo ni al equipo de seguridad en general a alcanzar sus objetivos de mejorar la postura general de seguridad de Workday. Dado que los desarrolladores se estaban desinteresando rápidamente de su formación, decidieron empezar a solicitar sus comentarios y observaron que había dos puntos que seguían surgiendo:
- Necesidad de una formación más práctica
- La necesidad de contenidos más específicos para cada lengua
Acción
En su trabajo con los desarrolladores, Alex y su equipo identificaron dos prioridades principales a la hora de conseguir su aceptación para crear un programa de aprendizaje de código seguro, atractivo y de éxito.
Claridad y sencillez
La mayoría de los desarrolladores no llegan a su trabajo con conocimientos de seguridad. Cualquier cosa que resulte frustrante o lleve mucho tiempo llevará a los desarrolladores a buscar soluciones alternativas y pirateos. Lo que Workday destacó de SCW es que permitía a los desarrolladores tener una idea clara del proceso, apropiárselo e integrarlo en sus flujos de trabajo.
Accionabilidad y valor
Los desarrolladores, ante todo, quieren ser capaces de actuar sobre algo que está afectando al ciclo de vida del código base, y actuar con rapidez. Para ello, los desarrolladores necesitan que se les enseñe cómo hacerlo. Si quieres que un desarrollador se interese por algo como la seguridad, destaca el valor de estos temas.
En cuanto a la estructuración del programa, Alex y su equipo recogieron primero los comentarios sobre la plataforma de un grupo piloto de campeones de seguridad y trabajaron con su director de éxito de clientes para aplicar sus sugerencias. A continuación, Alex y su equipo examinaron sus herramientas SAST y diferentes métricas sobre el número de incidentes y eventos de seguridad para evaluar cuáles son los mayores riesgos en su entorno actual y qué está ocurriendo en todo el sector. Inicialmente se centraron en el top 10 de OWASP y en las vulnerabilidades de alto riesgo más comunes en Workday
"Al dar a los desarrolladores ese aprendizaje y esa agencia, SCW hizo que pudiéramos mejorar activamente la seguridad de nuestro software. No se trata sólo de escribir código, sino también de oportunidades de crecimiento y de hacer carrera. El apoyo de Workday al programa de seguridad existe porque es un área en la que toda la empresa está alineada, así que los desarrolladores dispusieron de ese tiempo para el aprendizaje y el desarrollo. Dedicar dos horas a la semana al aprendizaje durante un periodo de tiempo ayuda a crear esa memoria muscular con constancia".
Resultados
Tradicionalmente, es fácil pensar en la seguridad al final del proceso de desarrollo. Al trabajar con el equipo de seguridad, los desarrolladores de Workday ven ahora la seguridad como un componente importante del ciclo de desarrollo. Pueden actuar sobre los elementos de seguridad con rapidez y en una fase más temprana del SDLC, lo que ha supuesto el mayor impacto de este programa. En un equipo con sede en Dublín, sus desarrolladores pasaron de 4662 problemas de seguridad -con una media de casi 31,08 problemas al día- a 0 en un periodo de unos 18 meses.
Alex describió el crecimiento del programa como "un efecto de bola de nieve después de que empezáramos con campeones de seguridad de primer orden. A medida que socializábamos el programa y sus beneficios entre los líderes y seguíamos aumentando el número de miembros, vimos un crecimiento casi natural debido al boca a boca". Desde el punto de vista de la formación, nuestro objetivo es dotar a nuestros desarrolladores de las habilidades necesarias para desarrollar código de forma segura. Esto es especialmente crítico a medida que Workday sigue creciendo".
Principales conclusiones
Según Alex, "para ampliar la seguridad con éxito es imprescindible que nuestros desarrolladores tengan una mentalidad de seguridad que les ayude a identificar los riesgos de seguridad durante la fase de diseño del desarrollo del software. Esto encaja en nuestra iniciativa de cambio a la izquierda de capacitar a nuestros desarrolladores para ayudar a ahorrar tiempo, dinero y algunos dolores de cabeza. Cuanto mejor trabajemos en el aprendizaje de código seguro, menos vulnerabilidades veremos en nuestros escaneos y resultados de pentest."
Para los desarrolladores, es importante divertirse cuando aprenden sobre seguridad
SCW es excelente a la hora de mostrar lo emocionante que puede ser. Si te estás involucrando en el aprendizaje sobre seguridad, abrázalo por completo. Considéralo parte de tu proceso de desarrollo y del crecimiento de tu carrera.
Animea los desarrolladores a ponerse en contacto con el equipo si sienten curiosidad por la seguridad
Mantenga una conversación e inicie esa colaboración.
La seguridad como una caja negra o como un añadido a su proyecto es arcaica y, en última instancia, perjudica a su software
Adoptar la seguridad como parte del proceso de desarrollo -del mismo modo que adoptamos TDD, agile y linting- mejorará el flujo y aumentará la calidad del software que se entrega a los clientes.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Situación
Antes de que Workday implementara el aprendizaje ágil con Secure Code Warrior, utilizaban internamente courses que consistía en grabaciones de presentaciones de PowerPoint que cubrían las 10 vulnerabilidades principales de OWASP con algunos ejemplos de pseudocódigo. Alex Uda, director del programa de formación de desarrolladores de seguridad, se dio cuenta de que esto no ayudaba a su equipo ni al equipo de seguridad en general a alcanzar sus objetivos de mejorar la postura general de seguridad de Workday. Dado que los desarrolladores se estaban desinteresando rápidamente de su formación, decidieron empezar a solicitar sus comentarios y observaron que había dos puntos que seguían surgiendo:
- Necesidad de una formación más práctica
- La necesidad de contenidos más específicos para cada lengua
Acción
En su trabajo con los desarrolladores, Alex y su equipo identificaron dos prioridades principales a la hora de conseguir su aceptación para crear un programa de aprendizaje de código seguro, atractivo y de éxito.
Claridad y sencillez
La mayoría de los desarrolladores no llegan a su trabajo con conocimientos de seguridad. Cualquier cosa que resulte frustrante o lleve mucho tiempo llevará a los desarrolladores a buscar soluciones alternativas y pirateos. Lo que Workday destacó de SCW es que permitía a los desarrolladores tener una idea clara del proceso, apropiárselo e integrarlo en sus flujos de trabajo.
Accionabilidad y valor
Los desarrolladores, ante todo, quieren ser capaces de actuar sobre algo que está afectando al ciclo de vida del código base, y actuar con rapidez. Para ello, los desarrolladores necesitan que se les enseñe cómo hacerlo. Si quieres que un desarrollador se interese por algo como la seguridad, destaca el valor de estos temas.
En cuanto a la estructuración del programa, Alex y su equipo recogieron primero los comentarios sobre la plataforma de un grupo piloto de campeones de seguridad y trabajaron con su director de éxito de clientes para aplicar sus sugerencias. A continuación, Alex y su equipo examinaron sus herramientas SAST y diferentes métricas sobre el número de incidentes y eventos de seguridad para evaluar cuáles son los mayores riesgos en su entorno actual y qué está ocurriendo en todo el sector. Inicialmente se centraron en el top 10 de OWASP y en las vulnerabilidades de alto riesgo más comunes en Workday
"Al dar a los desarrolladores ese aprendizaje y esa agencia, SCW hizo que pudiéramos mejorar activamente la seguridad de nuestro software. No se trata sólo de escribir código, sino también de oportunidades de crecimiento y de hacer carrera. El apoyo de Workday al programa de seguridad existe porque es un área en la que toda la empresa está alineada, así que los desarrolladores dispusieron de ese tiempo para el aprendizaje y el desarrollo. Dedicar dos horas a la semana al aprendizaje durante un periodo de tiempo ayuda a crear esa memoria muscular con constancia".
Resultados
Tradicionalmente, es fácil pensar en la seguridad al final del proceso de desarrollo. Al trabajar con el equipo de seguridad, los desarrolladores de Workday ven ahora la seguridad como un componente importante del ciclo de desarrollo. Pueden actuar sobre los elementos de seguridad con rapidez y en una fase más temprana del SDLC, lo que ha supuesto el mayor impacto de este programa. En un equipo con sede en Dublín, sus desarrolladores pasaron de 4662 problemas de seguridad -con una media de casi 31,08 problemas al día- a 0 en un periodo de unos 18 meses.
Alex describió el crecimiento del programa como "un efecto de bola de nieve después de que empezáramos con campeones de seguridad de primer orden. A medida que socializábamos el programa y sus beneficios entre los líderes y seguíamos aumentando el número de miembros, vimos un crecimiento casi natural debido al boca a boca". Desde el punto de vista de la formación, nuestro objetivo es dotar a nuestros desarrolladores de las habilidades necesarias para desarrollar código de forma segura. Esto es especialmente crítico a medida que Workday sigue creciendo".
Principales conclusiones
Según Alex, "para ampliar la seguridad con éxito es imprescindible que nuestros desarrolladores tengan una mentalidad de seguridad que les ayude a identificar los riesgos de seguridad durante la fase de diseño del desarrollo del software. Esto encaja en nuestra iniciativa de cambio a la izquierda de capacitar a nuestros desarrolladores para ayudar a ahorrar tiempo, dinero y algunos dolores de cabeza. Cuanto mejor trabajemos en el aprendizaje de código seguro, menos vulnerabilidades veremos en nuestros escaneos y resultados de pentest."
Para los desarrolladores, es importante divertirse cuando aprenden sobre seguridad
SCW es excelente a la hora de mostrar lo emocionante que puede ser. Si te estás involucrando en el aprendizaje sobre seguridad, abrázalo por completo. Considéralo parte de tu proceso de desarrollo y del crecimiento de tu carrera.
Animea los desarrolladores a ponerse en contacto con el equipo si sienten curiosidad por la seguridad
Mantenga una conversación e inicie esa colaboración.
La seguridad como una caja negra o como un añadido a su proyecto es arcaica y, en última instancia, perjudica a su software
Adoptar la seguridad como parte del proceso de desarrollo -del mismo modo que adoptamos TDD, agile y linting- mejorará el flujo y aumentará la calidad del software que se entrega a los clientes.
Índice
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.
Inmersión profunda: Navegando por la vulnerabilidad crítica CUPS en sistemas GNU-Linux
Descubra los últimos retos de seguridad a los que se enfrentan los usuarios de Linux mientras exploramos las recientes vulnerabilidades de alta gravedad en el Sistema de Impresión UNIX Común (CUPS). Aprenda cómo estos problemas pueden conducir a una potencial ejecución remota de código (RCE) y lo que puede hacer para proteger sus sistemas.
Los programadores conquistan la seguridad: Compartir y aprender - Cross-Site Scripting (XSS)
El cross-site scripting (XSS) utiliza la confianza de los navegadores y la ignorancia de los usuarios para robar datos, apoderarse de cuentas y desfigurar sitios web; es una vulnerabilidad que puede ponerse muy fea, muy rápidamente. Echemos un vistazo a cómo funciona el XSS, qué daño puede causar y cómo prevenirlo.
