El camino hacia los campeones en seguridad: Cómo Workday utilizó el aprendizaje ágil para mejorar las competencias de los desarrolladores

Publicado el 02 de octubre de 2023
por
Estudio de caso

El camino hacia los campeones en seguridad: Cómo Workday utilizó el aprendizaje ágil para mejorar las competencias de los desarrolladores

Publicado el 02 de octubre de 2023
por
Descargar PDF
Ver recurso
Descargar PDF
Ver recurso
decorativo
decorativo

Situación

Antes de que Workday implementara el aprendizaje ágil con Secure Code Warrior, utilizaban internamente courses que consistía en grabaciones de presentaciones de PowerPoint que cubrían las 10 vulnerabilidades principales de OWASP con algunos ejemplos de pseudocódigo. Alex Uda, director del programa de formación de desarrolladores de seguridad, se dio cuenta de que esto no ayudaba a su equipo ni al equipo de seguridad en general a alcanzar sus objetivos de mejorar la postura general de seguridad de Workday. Dado que los desarrolladores se estaban desinteresando rápidamente de su formación, decidieron empezar a solicitar sus comentarios y observaron que había dos puntos que seguían surgiendo:

  1. Necesidad de una formación más práctica 
  2. La necesidad de contenidos más específicos para cada lengua

Acción 

En su trabajo con los desarrolladores, Alex y su equipo identificaron dos prioridades principales a la hora de conseguir su aceptación para crear un programa de aprendizaje de código seguro, atractivo y de éxito.

Claridad y sencillez 

La mayoría de los desarrolladores no llegan a su trabajo con conocimientos de seguridad. Cualquier cosa que resulte frustrante o lleve mucho tiempo llevará a los desarrolladores a buscar soluciones alternativas y pirateos. Lo que Workday destacó de SCW es que permitía a los desarrolladores tener una idea clara del proceso, apropiárselo e integrarlo en sus flujos de trabajo.

Accionabilidad y valor 

Los desarrolladores, ante todo, quieren ser capaces de actuar sobre algo que está afectando al ciclo de vida del código base, y actuar con rapidez. Para ello, los desarrolladores necesitan que se les enseñe cómo hacerlo. Si quieres que un desarrollador se interese por algo como la seguridad, destaca el valor de estos temas.

En cuanto a la estructuración del programa, Alex y su equipo recogieron primero los comentarios sobre la plataforma de un grupo piloto de campeones de seguridad y trabajaron con su director de éxito de clientes para aplicar sus sugerencias. A continuación, Alex y su equipo examinaron sus herramientas SAST y diferentes métricas sobre el número de incidentes y eventos de seguridad para evaluar cuáles son los mayores riesgos en su entorno actual y qué está ocurriendo en todo el sector. Inicialmente se centraron en el top 10 de OWASP y en las vulnerabilidades de alto riesgo más comunes en Workday

"Al dar a los desarrolladores ese aprendizaje y esa agencia, SCW hizo que pudiéramos mejorar activamente la seguridad de nuestro software. No se trata sólo de escribir código, sino también de oportunidades de crecimiento y de hacer carrera. El apoyo de Workday al programa de seguridad existe porque es un área en la que toda la empresa está alineada, así que los desarrolladores dispusieron de ese tiempo para el aprendizaje y el desarrollo. Dedicar dos horas a la semana al aprendizaje durante un periodo de tiempo ayuda a crear esa memoria muscular con constancia".

Resultados

Tradicionalmente, es fácil pensar en la seguridad al final del proceso de desarrollo. Al trabajar con el equipo de seguridad, los desarrolladores de Workday ven ahora la seguridad como un componente importante del ciclo de desarrollo. Pueden actuar sobre los elementos de seguridad con rapidez y en una fase más temprana del SDLC, lo que ha supuesto el mayor impacto de este programa. En un equipo con sede en Dublín, sus desarrolladores pasaron de 4662 problemas de seguridad -con una media de casi 31,08 problemas al día- a 0 en un periodo de unos 18 meses.

En el caso de un equipo con sede en Dublín, sus desarrolladores pasaron de 4662 problemas de seguridad -con una media de casi 31,08 problemas al día- a 0 en un periodo de unos 18 meses.
Alex describió el crecimiento del programa como "un efecto de bola de nieve después de que empezáramos con campeones de seguridad de primer orden. A medida que socializábamos el programa y sus beneficios entre los líderes y seguíamos aumentando el número de miembros, vimos un crecimiento casi natural debido al boca a boca". Desde el punto de vista de la formación, nuestro objetivo es dotar a nuestros desarrolladores de las habilidades necesarias para desarrollar código de forma segura. Esto es especialmente crítico a medida que Workday sigue creciendo".

Principales conclusiones

Según Alex, "para ampliar la seguridad con éxito es imprescindible que nuestros desarrolladores tengan una mentalidad de seguridad que les ayude a identificar los riesgos de seguridad durante la fase de diseño del desarrollo del software. Esto encaja en nuestra iniciativa de cambio a la izquierda de capacitar a nuestros desarrolladores para ayudar a ahorrar tiempo, dinero y algunos dolores de cabeza. Cuanto mejor trabajemos en el aprendizaje de código seguro, menos vulnerabilidades veremos en nuestros escaneos y resultados de pentest."


Icono de una bombilla

Para los desarrolladores, es importante divertirse cuando aprenden sobre seguridad
SCW es excelente a la hora de mostrar lo emocionante que puede ser. Si te estás involucrando en el aprendizaje sobre seguridad, abrázalo por completo. Considéralo parte de tu proceso de desarrollo y del crecimiento de tu carrera.

Icono de una bombilla

‍Animea los desarrolladores a ponerse en contacto con el equipo si sienten curiosidad por la seguridad
Mantenga una conversación e inicie esa colaboración.

Icono de una bombilla

La seguridad como una caja negra o como un añadido a su proyecto es arcaica y, en última instancia, perjudica a su software
Adoptar la seguridad como parte del proceso de desarrollo -del mismo modo que adoptamos TDD, agile y linting- mejorará el flujo y aumentará la calidad del software que se entrega a los clientes.

Descargar PDF
Ver recurso
Descargar PDF
Ver recurso

Autor

Centro de recursos

Recursos para empezar

Más entradas
Centro de recursos

Recursos para empezar

Más entradas

El camino hacia los campeones en seguridad: Cómo Workday utilizó el aprendizaje ágil para mejorar las competencias de los desarrolladores

Publicado el 02 de octubre de 2023
Por

Situación

Antes de que Workday implementara el aprendizaje ágil con Secure Code Warrior, utilizaban internamente courses que consistía en grabaciones de presentaciones de PowerPoint que cubrían las 10 vulnerabilidades principales de OWASP con algunos ejemplos de pseudocódigo. Alex Uda, director del programa de formación de desarrolladores de seguridad, se dio cuenta de que esto no ayudaba a su equipo ni al equipo de seguridad en general a alcanzar sus objetivos de mejorar la postura general de seguridad de Workday. Dado que los desarrolladores se estaban desinteresando rápidamente de su formación, decidieron empezar a solicitar sus comentarios y observaron que había dos puntos que seguían surgiendo:

  1. Necesidad de una formación más práctica 
  2. La necesidad de contenidos más específicos para cada lengua

Acción 

En su trabajo con los desarrolladores, Alex y su equipo identificaron dos prioridades principales a la hora de conseguir su aceptación para crear un programa de aprendizaje de código seguro, atractivo y de éxito.

Claridad y sencillez 

La mayoría de los desarrolladores no llegan a su trabajo con conocimientos de seguridad. Cualquier cosa que resulte frustrante o lleve mucho tiempo llevará a los desarrolladores a buscar soluciones alternativas y pirateos. Lo que Workday destacó de SCW es que permitía a los desarrolladores tener una idea clara del proceso, apropiárselo e integrarlo en sus flujos de trabajo.

Accionabilidad y valor 

Los desarrolladores, ante todo, quieren ser capaces de actuar sobre algo que está afectando al ciclo de vida del código base, y actuar con rapidez. Para ello, los desarrolladores necesitan que se les enseñe cómo hacerlo. Si quieres que un desarrollador se interese por algo como la seguridad, destaca el valor de estos temas.

En cuanto a la estructuración del programa, Alex y su equipo recogieron primero los comentarios sobre la plataforma de un grupo piloto de campeones de seguridad y trabajaron con su director de éxito de clientes para aplicar sus sugerencias. A continuación, Alex y su equipo examinaron sus herramientas SAST y diferentes métricas sobre el número de incidentes y eventos de seguridad para evaluar cuáles son los mayores riesgos en su entorno actual y qué está ocurriendo en todo el sector. Inicialmente se centraron en el top 10 de OWASP y en las vulnerabilidades de alto riesgo más comunes en Workday

"Al dar a los desarrolladores ese aprendizaje y esa agencia, SCW hizo que pudiéramos mejorar activamente la seguridad de nuestro software. No se trata sólo de escribir código, sino también de oportunidades de crecimiento y de hacer carrera. El apoyo de Workday al programa de seguridad existe porque es un área en la que toda la empresa está alineada, así que los desarrolladores dispusieron de ese tiempo para el aprendizaje y el desarrollo. Dedicar dos horas a la semana al aprendizaje durante un periodo de tiempo ayuda a crear esa memoria muscular con constancia".

Resultados

Tradicionalmente, es fácil pensar en la seguridad al final del proceso de desarrollo. Al trabajar con el equipo de seguridad, los desarrolladores de Workday ven ahora la seguridad como un componente importante del ciclo de desarrollo. Pueden actuar sobre los elementos de seguridad con rapidez y en una fase más temprana del SDLC, lo que ha supuesto el mayor impacto de este programa. En un equipo con sede en Dublín, sus desarrolladores pasaron de 4662 problemas de seguridad -con una media de casi 31,08 problemas al día- a 0 en un periodo de unos 18 meses.

En el caso de un equipo con sede en Dublín, sus desarrolladores pasaron de 4662 problemas de seguridad -con una media de casi 31,08 problemas al día- a 0 en un periodo de unos 18 meses.
Alex describió el crecimiento del programa como "un efecto de bola de nieve después de que empezáramos con campeones de seguridad de primer orden. A medida que socializábamos el programa y sus beneficios entre los líderes y seguíamos aumentando el número de miembros, vimos un crecimiento casi natural debido al boca a boca". Desde el punto de vista de la formación, nuestro objetivo es dotar a nuestros desarrolladores de las habilidades necesarias para desarrollar código de forma segura. Esto es especialmente crítico a medida que Workday sigue creciendo".

Principales conclusiones

Según Alex, "para ampliar la seguridad con éxito es imprescindible que nuestros desarrolladores tengan una mentalidad de seguridad que les ayude a identificar los riesgos de seguridad durante la fase de diseño del desarrollo del software. Esto encaja en nuestra iniciativa de cambio a la izquierda de capacitar a nuestros desarrolladores para ayudar a ahorrar tiempo, dinero y algunos dolores de cabeza. Cuanto mejor trabajemos en el aprendizaje de código seguro, menos vulnerabilidades veremos en nuestros escaneos y resultados de pentest."


Icono de una bombilla

Para los desarrolladores, es importante divertirse cuando aprenden sobre seguridad
SCW es excelente a la hora de mostrar lo emocionante que puede ser. Si te estás involucrando en el aprendizaje sobre seguridad, abrázalo por completo. Considéralo parte de tu proceso de desarrollo y del crecimiento de tu carrera.

Icono de una bombilla

‍Animea los desarrolladores a ponerse en contacto con el equipo si sienten curiosidad por la seguridad
Mantenga una conversación e inicie esa colaboración.

Icono de una bombilla

La seguridad como una caja negra o como un añadido a su proyecto es arcaica y, en última instancia, perjudica a su software
Adoptar la seguridad como parte del proceso de desarrollo -del mismo modo que adoptamos TDD, agile y linting- mejorará el flujo y aumentará la calidad del software que se entrega a los clientes.

Nos gustaría contar con su permiso para enviarle información sobre nuestros productos y/o temas relacionados con la codificación segura. Siempre trataremos sus datos personales con el máximo cuidado y nunca los venderemos a otras empresas con fines de marketing.

Enviar
Para enviar el formulario, habilite las cookies "Analytics". Siéntase libre de desactivarlas de nuevo una vez que haya terminado.
Centro de recursos

Recursos para empezar

Más entradas