Más allá de la conformidad: Cómo Secure Code Warrior capacitó a los desarrolladores de Netskope para codificar soluciones en la nube a escala.

Publicado el 15 de noviembre de 2023
por
ESTUDIO DE CASO

Más allá de la conformidad: Cómo Secure Code Warrior capacitó a los desarrolladores de Netskope para codificar soluciones en la nube a escala.

Publicado el 15 de noviembre de 2023
por
Descargar PDF
Ver recurso
Descargar PDF
Ver recurso

Fondo

Netskope, líder mundial en SASE, ayuda a las organizaciones a aplicar los principios de confianza cero y las innovaciones de IA/ML para proteger los datos y defenderse de las ciberamenazas. Rápida y fácil de usar, la plataforma Netskope proporciona acceso optimizado y seguridad en tiempo real para personas, dispositivos y datos en cualquier lugar. Netskope ayuda a los clientes a reducir riesgos, acelerar el rendimiento y obtener una visibilidad inigualable de cualquier actividad en la nube, la web y las aplicaciones privadas. Miles de clientes confían en Netskope y en su potente red NewEdge para hacer frente a las amenazas en evolución, los nuevos riesgos, los cambios tecnológicos, los cambios organizativos y de red, y los nuevos requisitos normativos.

Situación

La velocidad de la innovación en la computación en nube y la inteligencia artificial ha acelerado enormemente el ciclo de vida del desarrollo de software. James Robinson -CISO de Netskope- reconoció que la forma de hacer formación para desarrolladores cumpliendo los objetivos de conformidad con vídeos sobre desarrollo seguro en solo un puñado de lenguajes no era sostenible en el mercado actual. Su rápida adopción y los rápidos cambios en su organización creaban un reto a la hora de mantener a los desarrolladores de Netskope al día sobre los nuevos lenguajes y tecnologías, pero también de mantenerlos capacitados en materia de seguridad.

Netskope intentó crear más conexiones personalizadas para ampliar los lenguajes y la cobertura que recibían los desarrolladores, pero el compromiso seguía siendo muy bajo y pronto, la formación empezó a suponer un reto para la productividad. James quería cambiar su enfoque para que los desarrolladores se entusiasmaran con el tema a través de enfoques de aprendizaje más prácticos.

Acción

La formación que se realizaba anualmente, o que estaba disponible ad-hoc, no abordaba de forma holística la variedad de herramientas SAST, infraestructuras como escáneres de código, y podía integrarse en los pasos de seguridad de CI y CD en Netskope. Netskope necesitaba poder integrar la participación de los desarrolladores en la seguridad en el proceso de análisis y pruebas. Esto proporcionó una línea de base para la educación en desarrollo seguro que complementó sus requisitos de cumplimiento.

Desplazamiento a la izquierda

Cuando Netskope empezó a hablar del "desplazamiento a la izquierda", surgió la pregunta: ¿qué significa realmente desplazarse a la izquierda? ¿Hasta dónde hay que desplazarse? La dirección tomó la decisión de cambiar el nombre internamente a "adopción de autoservicio". Lo que esto hizo, en principio, fue capacitar a los desarrolladores para que fueran proactivos en su educación sobre código seguro. En colaboración con Secure Code Warriorcrearon un programa que hacía que los contenidos de seguridad fueran visibles y accesibles para los desarrolladores, de modo que no se dejaran llevar por soluciones no probadas.

Accionabilidad y valor

El contenido personalizable y las numerosas actividades prácticas de aprendizaje de Secure Code Warrior también dieron pie a conversaciones más abiertas y productivas entre los equipos de seguridad y de desarrollo. Cuando los desarrolladores empezaron a darse cuenta del valor de la seguridad, más allá del mero cumplimiento de las normas, se mostraron más comprometidos e interesados. También se abrió la oportunidad de examinar las vulnerabilidades críticas y recurrentes con el fin de crear más contenido educativo para complementar su programa.

Resultados

Tras poner en marcha su programa, Netskope recogió con diligencia los comentarios de los desarrolladores para asegurarse de que sacaban el máximo partido a la plataforma. Los resultados fueron abrumadoramente positivos.

Según James Robinson, CISO de Netskope:

Nuestro equipo de desarrolladores, gracias en gran parte a la plataforma Secure Code Warrior, ha conseguido cambiar de rumbo adoptando un enfoque de aprendizaje más atractivo y de autoservicio que pone antes en manos de los desarrolladores las vías de aprendizaje. Y lo que es más importante, creemos que estamos obteniendo un mayor retorno de la inversión gracias a una mayor participación y al hecho de que estos esfuerzos ya no se sienten como una actividad obligatoria de cumplimiento. El subproducto de todo esto es que estamos capacitando a nuestros desarrolladores para que sean campeones de la seguridad".

Principales conclusiones

  • ‍Las organizacionesque no invierten en un sólido equipo de seguridad de aplicaciones permiten que se introduzcan más riesgos a través de su código. En última instancia, esto supone una pérdida de tiempo y dinero para solucionar vulnerabilidades y resolver problemas de seguridad.
  • Aproveche un programa que le ayuda a ahorrar tiempo con sólo un par de aprendizajes clave cada mes a través de contenido relevante, en lugar de una formación anual de una hora orientada al cumplimiento. El tiempo ahorrado a través de la educación de los desarrolladores se manifestará en la reducción de retrabajo necesario para corregir las vulnerabilidades que no deberían haber sido introducidos en el primer lugar.‍
  • Existe un nuevo mandato para codificar soluciones en la nube a escala. Hace años, se esperaba que los desarrolladores se dedicaran por completo a asegurar el código mediante un único lenguaje de programación. Esto ya no es así en el mercado actual de la alta tecnología. Es necesario elegir varios lenguajes que se adapten mejor a la infraestructura de nube y a las aplicaciones que una empresa desea crear y llevar a cabo.
Descargar PDF
Ver recurso
Descargar PDF
Ver recurso

¿Quiere saber más?

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Reservar una demostración
Autor

¿Quieres más?

Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.

Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.

Ver blog
¿Quieres más?

Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores

Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.

Centro de recursos

Más allá de la conformidad: Cómo Secure Code Warrior capacitó a los desarrolladores de Netskope para codificar soluciones en la nube a escala.

Publicado el 15 de noviembre de 2023
Por

Fondo

Netskope, líder mundial en SASE, ayuda a las organizaciones a aplicar los principios de confianza cero y las innovaciones de IA/ML para proteger los datos y defenderse de las ciberamenazas. Rápida y fácil de usar, la plataforma Netskope proporciona acceso optimizado y seguridad en tiempo real para personas, dispositivos y datos en cualquier lugar. Netskope ayuda a los clientes a reducir riesgos, acelerar el rendimiento y obtener una visibilidad inigualable de cualquier actividad en la nube, la web y las aplicaciones privadas. Miles de clientes confían en Netskope y en su potente red NewEdge para hacer frente a las amenazas en evolución, los nuevos riesgos, los cambios tecnológicos, los cambios organizativos y de red, y los nuevos requisitos normativos.

Situación

La velocidad de la innovación en la computación en nube y la inteligencia artificial ha acelerado enormemente el ciclo de vida del desarrollo de software. James Robinson -CISO de Netskope- reconoció que la forma de hacer formación para desarrolladores cumpliendo los objetivos de conformidad con vídeos sobre desarrollo seguro en solo un puñado de lenguajes no era sostenible en el mercado actual. Su rápida adopción y los rápidos cambios en su organización creaban un reto a la hora de mantener a los desarrolladores de Netskope al día sobre los nuevos lenguajes y tecnologías, pero también de mantenerlos capacitados en materia de seguridad.

Netskope intentó crear más conexiones personalizadas para ampliar los lenguajes y la cobertura que recibían los desarrolladores, pero el compromiso seguía siendo muy bajo y pronto, la formación empezó a suponer un reto para la productividad. James quería cambiar su enfoque para que los desarrolladores se entusiasmaran con el tema a través de enfoques de aprendizaje más prácticos.

Acción

La formación que se realizaba anualmente, o que estaba disponible ad-hoc, no abordaba de forma holística la variedad de herramientas SAST, infraestructuras como escáneres de código, y podía integrarse en los pasos de seguridad de CI y CD en Netskope. Netskope necesitaba poder integrar la participación de los desarrolladores en la seguridad en el proceso de análisis y pruebas. Esto proporcionó una línea de base para la educación en desarrollo seguro que complementó sus requisitos de cumplimiento.

Desplazamiento a la izquierda

Cuando Netskope empezó a hablar del "desplazamiento a la izquierda", surgió la pregunta: ¿qué significa realmente desplazarse a la izquierda? ¿Hasta dónde hay que desplazarse? La dirección tomó la decisión de cambiar el nombre internamente a "adopción de autoservicio". Lo que esto hizo, en principio, fue capacitar a los desarrolladores para que fueran proactivos en su educación sobre código seguro. En colaboración con Secure Code Warriorcrearon un programa que hacía que los contenidos de seguridad fueran visibles y accesibles para los desarrolladores, de modo que no se dejaran llevar por soluciones no probadas.

Accionabilidad y valor

El contenido personalizable y las numerosas actividades prácticas de aprendizaje de Secure Code Warrior también dieron pie a conversaciones más abiertas y productivas entre los equipos de seguridad y de desarrollo. Cuando los desarrolladores empezaron a darse cuenta del valor de la seguridad, más allá del mero cumplimiento de las normas, se mostraron más comprometidos e interesados. También se abrió la oportunidad de examinar las vulnerabilidades críticas y recurrentes con el fin de crear más contenido educativo para complementar su programa.

Resultados

Tras poner en marcha su programa, Netskope recogió con diligencia los comentarios de los desarrolladores para asegurarse de que sacaban el máximo partido a la plataforma. Los resultados fueron abrumadoramente positivos.

Según James Robinson, CISO de Netskope:

Nuestro equipo de desarrolladores, gracias en gran parte a la plataforma Secure Code Warrior, ha conseguido cambiar de rumbo adoptando un enfoque de aprendizaje más atractivo y de autoservicio que pone antes en manos de los desarrolladores las vías de aprendizaje. Y lo que es más importante, creemos que estamos obteniendo un mayor retorno de la inversión gracias a una mayor participación y al hecho de que estos esfuerzos ya no se sienten como una actividad obligatoria de cumplimiento. El subproducto de todo esto es que estamos capacitando a nuestros desarrolladores para que sean campeones de la seguridad".

Principales conclusiones

  • ‍Las organizacionesque no invierten en un sólido equipo de seguridad de aplicaciones permiten que se introduzcan más riesgos a través de su código. En última instancia, esto supone una pérdida de tiempo y dinero para solucionar vulnerabilidades y resolver problemas de seguridad.
  • Aproveche un programa que le ayuda a ahorrar tiempo con sólo un par de aprendizajes clave cada mes a través de contenido relevante, en lugar de una formación anual de una hora orientada al cumplimiento. El tiempo ahorrado a través de la educación de los desarrolladores se manifestará en la reducción de retrabajo necesario para corregir las vulnerabilidades que no deberían haber sido introducidos en el primer lugar.‍
  • Existe un nuevo mandato para codificar soluciones en la nube a escala. Hace años, se esperaba que los desarrolladores se dedicaran por completo a asegurar el código mediante un único lenguaje de programación. Esto ya no es así en el mercado actual de la alta tecnología. Es necesario elegir varios lenguajes que se adapten mejor a la infraestructura de nube y a las aplicaciones que una empresa desea crear y llevar a cabo.

Nos gustaría contar con su permiso para enviarle información sobre nuestros productos y/o temas relacionados con la codificación segura. Siempre trataremos sus datos personales con el máximo cuidado y nunca los venderemos a otras empresas con fines de marketing.

Enviar
Para enviar el formulario, habilite las cookies "Analytics". Siéntase libre de desactivarlas de nuevo una vez que haya terminado.