Lo más probable es que si tratas con el software de alguna manera, ya seas un desarrollador, QA, un líder de ingeniería o un profesional de AppSec, la seguridad es parte de tu trabajo. Es el trabajo del equipo de seguridad señalar las vulnerabilidades del software, y es el trabajo del desarrollador hacer todo lo posible para escribir el código sin defectos para empezar. Pero para hacer estos trabajos de la manera más eficiente y eficaz posible, es importante que todas las partes trabajen juntas contra las amenazas a la seguridad, empezando por el código que ejecutan sus aplicaciones. 

Sin embargo, el aprendizaje efectivo de la codificación segura y la retención de ese conocimiento puede hacer que parezca que es intrínsecamente difícil. Con las herramientas adecuadas, no tiene por qué serlo. Pero no siempre es fácil convencer a las partes interesadas y a los superiores de que inviertan en el tipo de formación adecuado. La formación se elige con demasiada frecuencia con el único objetivo de marcar una casilla de cumplimiento y, en la mayoría de los casos, es irrelevante para el trabajo diario del desarrollador. Pero, ¿qué pasaría si los desarrolladores pudieran aprender sobre seguridad en tiempo real, en el lenguaje:marco de trabajo con el que trabajan a diario, y se divirtieran haciéndolo? ¿Y por si fuera poco? Su organización cumple con los estándares de la industria al mismo tiempo.

Le cubrimos las espaldas. Estas son algunas de las estrategias para ganarse la confianza de sus compañeros, líderes y responsables de la toma de decisiones dentro de su organización para que se sumen a un programa de formación en codificación de seguridad centrado en los desarrolladores.   

Evitar las vulnerabilidades del software desde el principio ahorra cantidades inconmensurables de tiempo y dinero

¿Le parece que pasa demasiado tiempo buscando, informando o arreglando problemas de seguridad repetidos? No es el único. 

Imagine el siguiente escenario: Tan pronto como AppSec encuentre una vulnerabilidad y la comunique al departamento de desarrollo, los desarrolladores se incorporan a una lección de formación pertinente y aprenden no sólo a solucionar ese fallo, sino a evitar cometer el mismo error en el futuro. ¿Cuál cree que sería el resultado? Lo más probable es que ese desarrollador recuerde esa lección por su relevancia y sea menos probable que vuelva a cometer el mismo error. Esto significa que si trabaja en un equipo de seguridad, es menos probable que un desarrollador vuelva a crear esa vulnerabilidad sin saberlo y es menos probable que ese mismo desarrollador tenga que volver a arreglarla.

Vea este vídeo de nuestro cliente, Contrast Security, sobre la eficacia de la formación en tiempo real para su equipo de desarrollo.

Si todos los desarrolladores participaran en una formación periódica sobre código seguro y tuvieran a su alcance las herramientas necesarias para conocer los problemas de seguridad en tiempo real, el tiempo que se recupera para crear software increíble y trabajar en programas de seguridad es inconmensurable. Suena como un buen argumento para que su organización invierta en una herramienta así, ¿verdad? 

Si has encontrado una gran herramienta que te gustaría utilizar para mejorar la seguridad, algo como (tos) Secure Code Warriores un buen argumento para presentárselo al CISO o al CTO de tu organización. 

Los desarrolladores capacitados ofrecen mejores resultados y son más felices

El tiempo y el dinero son, por supuesto, muy importantes para su equipo directivo, pero también lo es su satisfacción laboral. Los empleados satisfechos ofrecen mejores resultados, permanecen más tiempo en sus puestos de trabajo y contribuyen a crear un entorno laboral positivo. Por eso, la formación y el desarrollo profesional son una inversión, no un coste. ¿Y si esa formación es realmente divertida y enseña algo relevante? Eso es un billete de oro para el éxito. 

La gran noticia es que los desarrolladores suelen estar muy motivados para aprender seguridad porque saben lo importante que es para sus trabajos. Hemos encuestado a desarrolladores de todo el mundo en un estudio con Evans Data Corporation y hemos descubierto que los desarrolladores quieren aprender seguridad porque: 

1. Aumenta la productividad y la eficiencia
2. Tienen curiosidad e interés personal por conocerlo
3. Quieren evitar los problemas asociados al código inseguro
4. Entienden que ofrece la posibilidad de avanzar en su carrera
5. Es un uso más eficiente de los recursos humanos
   

(Descargue el informe completo aquí).

El único problema es que la mayor parte de la formación en codificación segura les defrauda. No es relevante para su trabajo diario y, admitámoslo, es francamente aburrida. Son características que no suelen dar buenos resultados en cuanto a la retención de información y el aprendizaje real. Sin embargo, cuando la página learning platform se centra en el desarrollador, es divertida y atractiva, y es relevante para su trabajo, puede ofrecer resultados reales y crear individuos capacitados que quieran escribir código seguro. ¿Y por qué su jefe, ya sea un jefe de desarrollo o un CISO o CTO, no querría que los desarrolladores estuvieran interesados en codificar de forma segura y tuvieran las habilidades para hacerlo?

La comprensión de la seguridad hace que todos los ingenieros sean mejores 

Cuando los ingenieros entienden cómo el software puede ser vulnerable a los ataques, entonces hacen su trabajo con eso en mente. Cuanto más entienda alguien lo que puede salir mal, más trabajará con un enfoque preventivo.

No sólo eso, sino que es más probable que un código de mala calidad contenga vulnerabilidades de software y es más fácil que un desarrollador introduzca una vulnerabilidad en ese código sin saberlo. ¿Por qué? Porque gran parte de lo que hacen es leer y alterar el código. Cuando ese código está mal organizado y utiliza una lógica pobre, se tarda más en realizar esas tareas y es más fácil cambiar algo e introducir accidentalmente un fallo de seguridad crítico.

Cuando se entiende la seguridad y cómo evitar problemas, también se piensa más en la calidad general de ese código y en cómo escribirlo de manera que no se pueda introducir fácilmente un error por accidente. La formación en seguridad es una ventaja para todos. Los desarrolladores aprenden a codificar de forma segura, pero al mismo tiempo se convierten en mejores ingenieros. 

El poder está en los números

Otra gran táctica para conseguir que los líderes adopten una codificación segura learning platform es conseguir que sus colegas se unan. Cuantos más desarrolladores estén interesados en mejorar sus conocimientos de seguridad, más fácil será convencer a la dirección o a los altos cargos de que inviertan en ello.

Entonces, ¿cómo hacerlo? Dado que la mayoría de los desarrolladores entienden la necesidad de mejorar la seguridad y quieren aprender, no debería ser demasiado difícil. También puedes hacer que echen un vistazo a este escaparate para desarrolladores desecure code warrior para que conozcan nuestro producto y empiecen a poner a prueba sus habilidades de codificación segura. Una vez que vean el impacto del código inseguro y aprendan que aprender sobre seguridad puede ser divertido, se sentirán motivados para aprender más.

Una vez que haya adoptado la herramienta adecuada, una buena manera de hacer que sus desarrolladores se comprometan es con una sana competencia. Prueba a iniciar tu programa de formación con un concurso tournament. 

Vea cómo Nelnet se puso muy creativa con tournaments para crear una cultura de seguridad en su empresa.

La formación continua en materia de seguridad fomenta una cultura empresarial deseable

La formación no tiene por qué ser aburrida, y realmente no debería serlo. Sabemos que las conferencias son caras, difíciles de organizar -especialmente con equipos distribuidos- y es poco probable que se saque mucho provecho de ellas. Pero las organizaciones siguen ofreciendo a los desarrolladores una formación en codificación segura que no hace más que marcar una casilla cada año para cumplir con la normativa. Ya no basta con mantener el statu quo. Es hora de que los directores de desarrollo y la seguridad de las aplicaciones intensifiquen su labor y trabajen juntos para implementar una herramienta de formación que promueva un aprendizaje continuo y atractivo. Y eso empieza por convencer a los responsables de la toma de decisiones.

La formación continua y práctica es necesaria por varias razones. Las amenazas a la ciberseguridad evolucionan constantemente, por lo que es natural que la formación para combatirlas también sea continua. No sólo eso, sino que, como ya se ha mencionado, cuando aprendemos en tiempo real, es mucho más probable que retengamos lo aprendido. Codificar teniendo en cuenta la seguridad es difícil de implementar, porque esperar que un desarrollador recuerde algo que aprendió de una presentación de diapositivas fuera de contexto quizás casi un año antes es poco realista. Pero si aprenden a evitar una determinada vulnerabilidad de software en el momento en que se les informa de ella y sienten que están jugando al mismo tiempo, eso es un juego completamente nuevo. 

En cuanto se imparte una formación práctica y pertinente, la seguridad pasa a formar parte de la cultura de la empresa y deja de tratarse como una idea de última hora. Se incorpora al proceso de desarrollo desde el principio del ciclo de vida del software. 

¿A qué espera? Comience su viaje para mejorar la seguridad dentro de su organización y proteger los datos vitales de la empresa y de los clientes. Consiga que sus desarrolladores y jefes se unan para llevar la codificación segura al siguiente nivel en su organización. Deje de experimentar las mismas vulnerabilidades una y otra vez pensando en la seguridad desde el principio. 

¿Necesita más recursos?

Descargue el kit completo "Convenza a su CISO / CTO"