Desarrollador Tournaments: El arma secreta de AppSec para mejorar la cultura de seguridad y el compromiso

Publicado el 30 de enero de 2019
por Pieter Danhieux
ESTUDIO DE CASO

Desarrollador Tournaments: El arma secreta de AppSec para mejorar la cultura de seguridad y el compromiso

Publicado el 30 de enero de 2019
por Pieter Danhieux
Ver recurso
Ver recurso

Imagina que creas algo desde cero, que utilizas tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o en equipo, pones tu corazón y tu alma en construir algo de la nada. Dedicas cientos -quizá incluso miles- de horas a ello, asegurándote de que tu bebé es lo mejor que puede ser. Al terminar, esa ola de logros puede parecer una recompensa en sí misma.

Ahora, imagina que llega un aguafiestas y te dice que no es tan bueno. Tal vez vayan un paso más allá y te digan que no, que a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede utilizar: está roto. En esencia, te han dicho que tu bebé es feo.

El escenario anterior está destinado a causar cierta tensión; después de todo, ¿quién quiere que su duro trabajo sea criticado y condenado como inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de seguridad de las aplicaciones. Un desarrollador tiene la responsabilidad principal de construir un software que sea funcional, rico en características y que se entregue dentro de los estrictos plazos del proyecto. La seguridad no suele ser la prioridad, e incluso puede verse como un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de revisar meticulosamente el código, hacer pruebas de penetración y luego informar de las malas noticias: la presencia de vulnerabilidades de seguridad en un código que a menudo ya está comprometido. Se trata de un proceso costoso en un entorno que a menudo tiene pocos recursos y tiempo, y cuya configuración está destinada a provocar una ruptura entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar enfrentados.

¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.

Fuera de las aulas, al terreno de juego

Dado que muchos desarrolladores terminan su formación profesional sin aprender mucho sobre codificación de forma segura, a menudo su primer contacto con la educación en seguridad se produce al entrar en la plantilla. La formación en el aula es una solución muy utilizada, pero resta un tiempo precioso a la impartición de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También están los vídeos courses, los exámenes en papel y la formación genérica sobre la política de seguridad de la empresa... todos ellos pueden ser tan poco específicos que resultan inútiles en el día a día del desarrollador medio.

Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de "marque la casilla y siga adelante", y con demasiada frecuencia tiene el efecto contrario: sólo conduce a una mayor brecha entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional tenga el efecto positivo sobre la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos tan desesperadamente. Seguimos cometiendo los mismos errores.

Según la comunidad Common Weakness Enumeration(CWE), hay más de 700 debilidades de seguridad de software comunes contra las que luchar. Algunas, como la inyección SQL, son como cucarachas que no han sido aplastadas a pesar de existir desde hace más de veinte años. Sabemos cómo solucionarlo; la formación está ahí para capacitar a los desarrolladores para detenerlo y tantos otros, pero las pruebas de penetración y los procesos de revisión manual del código identifican continuamente estas violaciones.

Tal vez lo hayamos enfocado mal, y nosotros, como industria, tengamos que abordar la educación viable desde un ángulo diferente... uno que aproveche las increíbles habilidades tan valoradas en nuestros desarrolladores. Son creativos, inquisitivos y solucionadores de problemas que adoran los retos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, puede que se enamoren de la seguridad por el camino.

La pirámide de aprendizaje

Un poco de sana competencia

Una dependencia básica de herramientas (bastante inexactas), de costosas pruebas de penetración y de escasos especialistas en seguridad de aplicaciones nos va a hundir más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad existe en línea como para que las empresas sigan tirando la cautela al viento con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, tenemos que recurrir a los superhéroes que hemos tenido sentados en la oficina todo el tiempo: el equipo de desarrollo.

La formación gamificada, en lenguajes y marcos relevantes, es una potente herramienta para que los responsables de AppSec empiecen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden flexionar sus músculos de seguridad recién construidos en un entorno divertido tournament , que puede ser tan emocionante como su imaginación pueda conjurar: basta con echar un vistazo a cómo el "Juego de Códigos" de IAG hizo que todo el mundo hablara de seguridad dentro de su organización.

El módulotournament Secure Code Warrior's proporciona algo más que un pequeño tope para un compromiso de formación medido: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación, así como identificar las áreas que pueden necesitar mejorar. El aspecto de la competición actúa realmente como un motivador para comprometerse positivamente con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el crecimiento de una sólida cultura de seguridad dentro del equipo y de la empresa en general.

Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa -si no desalentadora- puede contribuir en gran medida a cambiar la mentalidad negativa y a inspirar la participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (sano)?

Los campeones caminan entre vosotros

La formación gamificada y la posterior tournaments ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo adquieren mucha más información sobre el trabajo diario de cada uno. Un desarrollador seguro es un activo que soluciona las vulnerabilidades comunes y deja los problemas complejos a los escasos especialistas en AppSec sobre el terreno. Las relaciones crecen y prosperan, y el preciado presupuesto de seguridad no se consume en arreglar un escenario de "Día de la Marmota" con los mismos errores una y otra vez.

Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Tournaments puede descubrir a aquellos que no sólo tienen una aptitud para la seguridad, sino que muestran activamente una pasión por ella. Estos campeones son vitales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y mantener las políticas de mejores prácticas. Poner en marcha un sólido programa de campeones, que incluya el reconocimiento y el apoyo de los ejecutivos, es un punto de referencia para la organización, así como una poderosa inclusión en el currículum de la persona y en su futura carrera.

¿La conclusión? Debemos exigir mejores resultados en las pruebas de seguridad. Menos errores comunes, más apoyo para los que están en primera línea. ¿Por qué no ver cómo un desarrollador tournament puede conseguirlo antes de lo que piensa?

Ver recurso
Ver recurso

Autor

Pieter Danhieux

Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

¿Quieres más?

Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.

Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.

Ver blog
¿Quieres más?

Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores

Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.

Centro de recursos

Desarrollador Tournaments: El arma secreta de AppSec para mejorar la cultura de seguridad y el compromiso

Publicado el 30 de enero de 2019
Por Pieter Danhieux

Imagina que creas algo desde cero, que utilizas tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o en equipo, pones tu corazón y tu alma en construir algo de la nada. Dedicas cientos -quizá incluso miles- de horas a ello, asegurándote de que tu bebé es lo mejor que puede ser. Al terminar, esa ola de logros puede parecer una recompensa en sí misma.

Ahora, imagina que llega un aguafiestas y te dice que no es tan bueno. Tal vez vayan un paso más allá y te digan que no, que a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede utilizar: está roto. En esencia, te han dicho que tu bebé es feo.

El escenario anterior está destinado a causar cierta tensión; después de todo, ¿quién quiere que su duro trabajo sea criticado y condenado como inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de seguridad de las aplicaciones. Un desarrollador tiene la responsabilidad principal de construir un software que sea funcional, rico en características y que se entregue dentro de los estrictos plazos del proyecto. La seguridad no suele ser la prioridad, e incluso puede verse como un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de revisar meticulosamente el código, hacer pruebas de penetración y luego informar de las malas noticias: la presencia de vulnerabilidades de seguridad en un código que a menudo ya está comprometido. Se trata de un proceso costoso en un entorno que a menudo tiene pocos recursos y tiempo, y cuya configuración está destinada a provocar una ruptura entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar enfrentados.

¿No crees que ha llegado el momento de dar una vuelta de tuerca a la seguridad? Es tan sencillo como cambiar la conversación y hacer que todo sea un poco más positivo (¡por no decir divertido!) para ambas partes, especialmente para el equipo de desarrollo.

Fuera de las aulas, al terreno de juego

Dado que muchos desarrolladores terminan su formación profesional sin aprender mucho sobre codificación de forma segura, a menudo su primer contacto con la educación en seguridad se produce al entrar en la plantilla. La formación en el aula es una solución muy utilizada, pero resta un tiempo precioso a la impartición de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También están los vídeos courses, los exámenes en papel y la formación genérica sobre la política de seguridad de la empresa... todos ellos pueden ser tan poco específicos que resultan inútiles en el día a día del desarrollador medio.

Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de "marque la casilla y siga adelante", y con demasiada frecuencia tiene el efecto contrario: sólo conduce a una mayor brecha entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional tenga el efecto positivo sobre la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos tan desesperadamente. Seguimos cometiendo los mismos errores.

Según la comunidad Common Weakness Enumeration(CWE), hay más de 700 debilidades de seguridad de software comunes contra las que luchar. Algunas, como la inyección SQL, son como cucarachas que no han sido aplastadas a pesar de existir desde hace más de veinte años. Sabemos cómo solucionarlo; la formación está ahí para capacitar a los desarrolladores para detenerlo y tantos otros, pero las pruebas de penetración y los procesos de revisión manual del código identifican continuamente estas violaciones.

Tal vez lo hayamos enfocado mal, y nosotros, como industria, tengamos que abordar la educación viable desde un ángulo diferente... uno que aproveche las increíbles habilidades tan valoradas en nuestros desarrolladores. Son creativos, inquisitivos y solucionadores de problemas que adoran los retos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, puede que se enamoren de la seguridad por el camino.

La pirámide de aprendizaje

Un poco de sana competencia

Una dependencia básica de herramientas (bastante inexactas), de costosas pruebas de penetración y de escasos especialistas en seguridad de aplicaciones nos va a hundir más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad existe en línea como para que las empresas sigan tirando la cautela al viento con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, tenemos que recurrir a los superhéroes que hemos tenido sentados en la oficina todo el tiempo: el equipo de desarrollo.

La formación gamificada, en lenguajes y marcos relevantes, es una potente herramienta para que los responsables de AppSec empiecen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden flexionar sus músculos de seguridad recién construidos en un entorno divertido tournament , que puede ser tan emocionante como su imaginación pueda conjurar: basta con echar un vistazo a cómo el "Juego de Códigos" de IAG hizo que todo el mundo hablara de seguridad dentro de su organización.

El módulotournament Secure Code Warrior's proporciona algo más que un pequeño tope para un compromiso de formación medido: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación, así como identificar las áreas que pueden necesitar mejorar. El aspecto de la competición actúa realmente como un motivador para comprometerse positivamente con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el crecimiento de una sólida cultura de seguridad dentro del equipo y de la empresa en general.

Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa -si no desalentadora- puede contribuir en gran medida a cambiar la mentalidad negativa y a inspirar la participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (sano)?

Los campeones caminan entre vosotros

La formación gamificada y la posterior tournaments ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo adquieren mucha más información sobre el trabajo diario de cada uno. Un desarrollador seguro es un activo que soluciona las vulnerabilidades comunes y deja los problemas complejos a los escasos especialistas en AppSec sobre el terreno. Las relaciones crecen y prosperan, y el preciado presupuesto de seguridad no se consume en arreglar un escenario de "Día de la Marmota" con los mismos errores una y otra vez.

Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Tournaments puede descubrir a aquellos que no sólo tienen una aptitud para la seguridad, sino que muestran activamente una pasión por ella. Estos campeones son vitales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y mantener las políticas de mejores prácticas. Poner en marcha un sólido programa de campeones, que incluya el reconocimiento y el apoyo de los ejecutivos, es un punto de referencia para la organización, así como una poderosa inclusión en el currículum de la persona y en su futura carrera.

¿La conclusión? Debemos exigir mejores resultados en las pruebas de seguridad. Menos errores comunes, más apoyo para los que están en primera línea. ¿Por qué no ver cómo un desarrollador tournament puede conseguirlo antes de lo que piensa?

Nos gustaría contar con su permiso para enviarle información sobre nuestros productos y/o temas relacionados con la codificación segura. Siempre trataremos sus datos personales con el máximo cuidado y nunca los venderemos a otras empresas con fines de marketing.

Para enviar el formulario, habilite las cookies "Analytics". Siéntase libre de desactivarlas de nuevo una vez que haya terminado.