Fondo

Netskope, líder mundial en SASE, ayuda a las organizaciones a aplicar los principios de confianza cero y las innovaciones de IA/ML para proteger los datos y defenderse de las ciberamenazas. Rápida y fácil de usar, la plataforma Netskope proporciona acceso optimizado y seguridad en tiempo real para personas, dispositivos y datos en cualquier lugar. Netskope ayuda a los clientes a reducir riesgos, acelerar el rendimiento y obtener una visibilidad inigualable de cualquier actividad en la nube, la web y las aplicaciones privadas. Miles de clientes confían en Netskope y en su potente red NewEdge para hacer frente a las amenazas en evolución, los nuevos riesgos, los cambios tecnológicos, los cambios organizativos y de red, y los nuevos requisitos normativos.

Situación

La velocidad de la innovación en la computación en nube y la inteligencia artificial ha acelerado enormemente el ciclo de vida del desarrollo de software. James Robinson - CISO adjunto de Netskope - reconoció que la forma de hacer formación para desarrolladores cumpliendo los objetivos de conformidad con vídeos sobre desarrollo seguro en solo un puñado de lenguajes no era sostenible en el mercado actual. Su rápida adopción y los rápidos cambios en su organización creaban un reto a la hora de mantener a los desarrolladores de Netskope al día sobre los nuevos lenguajes y tecnologías, pero también de mantenerlos capacitados en materia de seguridad.

Netskope intentó crear más conexiones personalizadas para ampliar los lenguajes y la cobertura que recibían los desarrolladores, pero el compromiso seguía siendo muy bajo y pronto, la formación empezó a suponer un reto para la productividad. James quería cambiar su enfoque para que los desarrolladores se entusiasmaran con el tema a través de enfoques de aprendizaje más prácticos.

Acción

La formación que se realizaba anualmente, o que estaba disponible ad-hoc, no abordaba de forma holística la variedad de herramientas SAST, infraestructuras como escáneres de código, y podía integrarse en los pasos de seguridad de CI y CD en Netskope. Netskope necesitaba poder integrar la participación de los desarrolladores en la seguridad en el proceso de análisis y pruebas. Esto proporcionó una línea de base para la educación en desarrollo seguro que complementó sus requisitos de cumplimiento.

Desplazamiento a la izquierda

Cuando Netskope empezó a hablar del "desplazamiento a la izquierda", surgió la pregunta: ¿qué significa realmente desplazarse a la izquierda? ¿Hasta dónde hay que desplazarse? La dirección tomó la decisión de cambiar el nombre internamente a "adopción de autoservicio". Lo que esto hizo, en principio, fue capacitar a los desarrolladores para que fueran proactivos en su educación sobre código seguro. En colaboración con Secure Code Warriorcrearon un programa que hacía que los contenidos de seguridad fueran visibles y accesibles para los desarrolladores, de modo que no se dejaran llevar por soluciones no probadas.

Accionabilidad y valor

El contenido personalizable y las numerosas actividades prácticas de aprendizaje de Secure Code Warrior también dieron pie a conversaciones más abiertas y productivas entre los equipos de seguridad y de desarrollo. Cuando los desarrolladores empezaron a darse cuenta del valor de la seguridad, más allá del mero cumplimiento de las normas, se mostraron más comprometidos e interesados. También se abrió la oportunidad de examinar las vulnerabilidades críticas y recurrentes con el fin de crear más contenido educativo para complementar su programa.

Resultados

Tras poner en marcha su programa, Netskope recogió con diligencia los comentarios de los desarrolladores para asegurarse de que sacaban el máximo partido a la plataforma. Los resultados fueron abrumadoramente positivos.

Según James Robinson, CISO adjunto de Netskope:

Nuestro equipo de desarrolladores, gracias en gran parte a la plataforma Secure Code Warrior, ha conseguido cambiar de rumbo adoptando un enfoque de aprendizaje más atractivo y de autoservicio que pone antes en manos de los desarrolladores las vías de aprendizaje. Y lo que es más importante, creemos que estamos obteniendo un mayor retorno de la inversión gracias a una mayor participación y al hecho de que estos esfuerzos ya no se sienten como una actividad obligatoria de cumplimiento. El subproducto de todo esto es que estamos capacitando a nuestros desarrolladores para que sean campeones de la seguridad".

Principales conclusiones

• ‍Las organizacionesque no invierten en un sólido equipo de seguridad de aplicaciones permiten que se introduzcan más riesgos a través de su código. En última instancia, esto supone una pérdida de tiempo y dinero para solucionar vulnerabilidades y resolver problemas de seguridad.
• Aproveche un programa que le ayuda a ahorrar tiempo con sólo un par de aprendizajes clave cada mes a través de contenido relevante, en lugar de una formación anual de una hora orientada al cumplimiento. El tiempo ahorrado a través de la educación de los desarrolladores se manifestará en la reducción de retrabajo necesario para corregir las vulnerabilidades que no deberían haber sido introducidos en el primer lugar.‍
• Existe un nuevo mandato para codificar soluciones en la nube a escala. Hace años, se esperaba que los desarrolladores se dedicaran por completo a asegurar el código mediante un único lenguaje de programación. Esto ya no es así en el mercado actual de la alta tecnología. Es necesario elegir varios lenguajes que se adapten mejor a la infraestructura de nube y a las aplicaciones que una empresa desea crear y llevar a cabo.