Cómo impartir una formación eficaz en materia de seguridad para desarrolladores: 5 lecciones importantes
Cómo impartir una formación eficaz en materia de seguridad para desarrolladores: 5 lecciones importantes
¿Por qué un programa de formación en seguridad de aplicaciones para desarrolladores produce mejores resultados que otro?
A lo largo de mis más de 10 años como formador de SANS y los últimos tres años fundando y construyendo Secure Code Warrior (SCW), he visto el valor de invertir tiempo y recursos en hacer que los programas de formación produzcan los mejores resultados.
En nuestro primer año de ventas, nuestra empresa consiguió que más de 10.000 desarrolladores recibieran formación sobre código seguro, y observé una serie de tendencias entre los que tuvieron la implantación más eficaz. Sus resultados son alentadores: gran compromiso, aumento de la concienciación sobre la seguridad y fuerte retorno de la inversión del programa al detectar antes los puntos débiles de seguridad, antes de que salgan caros.
Odio admitirlo, pero también ha habido algunos que han adoptado el enfoque de "poco esfuerzo" y han intentado desplegar un programa enviando un correo electrónico con un enlace a la formación. No es de extrañar que no les vaya tan bien y que tengamos que corregir estos despliegues.
A continuación, comparto lo que creo que son cinco lecciones importantes que mejorarán significativamente los niveles de compromiso, el impacto y el éxito de cualquier programa de formación en seguridad para desarrolladores, incluido el nuestro.
1. Poner algo de diversión en el arranque si quieres que tu programa tenga impacto
Organizar un evento especial el día de la inauguración, o dar a su programa un tema de película/juego/geeky puede marcar una gran diferencia en el nivel de entusiasmo y participación desde el principio. Uno de nuestros grandes clientes ha creado todo un programa de fantasía en torno a una popular serie de televisión, con camisetas, insignias y pegatinas, convirtiendo todo el programa de formación en una experiencia que ningún promotor querría perderse. Otro organizó su evento en torno a la Guerra de las Galaxias, celebrado convenientemente el 4 de mayo. Un poco de diversión ayuda mucho a que los empleados se incorporen, haciendo que las breves sesiones de formación en habilidades de código seguro para desarrolladores se sientan como una pausa en el trabajo, en lugar de otra tarea que hay que hacer. Hito nº 1 conseguido, hemos captado su atención y conocen el programa.
2. Encuentre al campeón de la formación en seguridad para desarrolladores (pista: ¡necesitan habilidades de comunicación más que de seguridad!)
Ser capaz de encontrar a los campeones de seguridad adecuados en cada equipo de scrum es fundamental para el éxito continuo del programa, especialmente en las organizaciones más grandes. Según mi experiencia, no todos los expertos en seguridad o desarrolladores altamente cualificados tienen habilidades de comunicación o humanas muy desarrolladas. Los mejores defensores de la seguridad, los que darán a su programa un impacto positivo continuo, son las personas que se apasionan por la seguridad y que tienen fuertes habilidades de comunicación, influencia y comunicación con las personas. Elige bien y ten en cuenta la personalidad y las habilidades de comunicación.
3. Tener recompensas geniales que reconozcan las habilidades
En general, a todos los frikis de la informática -incluidos los desarrolladores- les gusta que se reconozca su inteligencia y sus habilidades. Cuando se les recompensa con pegatinas de estatus específico, gadgets geek, insignias especiales o camisetas impresas personalizadas que reconocen sus habilidades, las llevarán o mostrarán con orgullo. Si alguien consigue algo importante en el programa de formación, es importante pensar en formas de darle reconocimiento y exposición. Vi una gran iniciativa con un cliente que tomaba regularmente fotos de sus campeones de Secure Code Warrior y las publicaba junto con una foto y un mensaje del CISO de la empresa en el boletín de los empleados.
4. No intente convertir a sus desarrolladores en expertos en seguridad
Si bien usted quiere que sus desarrolladores sean la "primera línea de defensa" de su programa de seguridad, ayudándoles a codificar de forma segura, eso no significa que tengan que ser los expertos en seguridad más profundos de su empresa; o que usted tenga que presentarles continuamente nuevas vulnerabilidades de seguridad y ejemplos de violaciones de datos. Aunque la seguridad es importante, su objetivo principal suele ser crear un gran producto o servicio y seguir el ritmo de la empresa. Si se sobrecarga a alguien con demasiada seguridad, se corre el riesgo de que se desentienda. Lecciones clave aprendidas, necesitan entender la higiene básica de la seguridad y apoyarles con herramientas para codificar de forma segura, pero no necesitan ser el experto en seguridad de la empresa.
5. No midas la formación, mide el impacto
No mida cuántas horas de formación reciben sus desarrolladores o cuántos vídeos ven, mida el número de debilidades que se detectan en el ciclo de vida del desarrollo a través del análisis de código, los bug-bounties o las clásicas pruebas de vulnerabilidad antes de iniciar el programa en cada equipo. Si su programa de formación está funcionando, el número de vulnerabilidades que se identifican disminuirá. Lo segundo que hay que medir es el tiempo que se tarda en solucionar una vulnerabilidad. Si un desarrollador tarda un mes en arreglarla, esto muestra claramente que no entiende cómo hacerlo, pero si puede arreglarla en una hora, sabes que domina las habilidades. Estas son las dos métricas que las empresas inteligentes están empleando para medir el impacto de su formación en codificación segura para desarrolladores.
5 lecciones importantes sobre cómo desplegar una formación eficaz en materia de seguridad para los desarrolladores:
- Poner algo de diversión en el arranque si quieres que tu programa tenga impacto
- Encontrar al campeón de la formación en seguridad para desarrolladores (pista: ¡necesitan habilidades de comunicación más que de seguridad!)
- Tener recompensas geniales que reconozcan las habilidades
- No intente convertir a sus desarrolladores en expertos en seguridad
- No midas la formación, mide el impacto
Pieter Danhieux
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Artículos relacionados que recomendamos
Artículos relacionados que recomendamos
Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.
Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.
Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores
Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.
Cómo impartir una formación eficaz en materia de seguridad para desarrolladores: 5 lecciones importantes
¿Por qué un programa de formación en seguridad de aplicaciones para desarrolladores produce mejores resultados que otro?
A lo largo de mis más de 10 años como formador de SANS y los últimos tres años fundando y construyendo Secure Code Warrior (SCW), he visto el valor de invertir tiempo y recursos en hacer que los programas de formación produzcan los mejores resultados.
En nuestro primer año de ventas, nuestra empresa consiguió que más de 10.000 desarrolladores recibieran formación sobre código seguro, y observé una serie de tendencias entre los que tuvieron la implantación más eficaz. Sus resultados son alentadores: gran compromiso, aumento de la concienciación sobre la seguridad y fuerte retorno de la inversión del programa al detectar antes los puntos débiles de seguridad, antes de que salgan caros.
Odio admitirlo, pero también ha habido algunos que han adoptado el enfoque de "poco esfuerzo" y han intentado desplegar un programa enviando un correo electrónico con un enlace a la formación. No es de extrañar que no les vaya tan bien y que tengamos que corregir estos despliegues.
A continuación, comparto lo que creo que son cinco lecciones importantes que mejorarán significativamente los niveles de compromiso, el impacto y el éxito de cualquier programa de formación en seguridad para desarrolladores, incluido el nuestro.
1. Poner algo de diversión en el arranque si quieres que tu programa tenga impacto
Organizar un evento especial el día de la inauguración, o dar a su programa un tema de película/juego/geeky puede marcar una gran diferencia en el nivel de entusiasmo y participación desde el principio. Uno de nuestros grandes clientes ha creado todo un programa de fantasía en torno a una popular serie de televisión, con camisetas, insignias y pegatinas, convirtiendo todo el programa de formación en una experiencia que ningún promotor querría perderse. Otro organizó su evento en torno a la Guerra de las Galaxias, celebrado convenientemente el 4 de mayo. Un poco de diversión ayuda mucho a que los empleados se incorporen, haciendo que las breves sesiones de formación en habilidades de código seguro para desarrolladores se sientan como una pausa en el trabajo, en lugar de otra tarea que hay que hacer. Hito nº 1 conseguido, hemos captado su atención y conocen el programa.
2. Encuentre al campeón de la formación en seguridad para desarrolladores (pista: ¡necesitan habilidades de comunicación más que de seguridad!)
Ser capaz de encontrar a los campeones de seguridad adecuados en cada equipo de scrum es fundamental para el éxito continuo del programa, especialmente en las organizaciones más grandes. Según mi experiencia, no todos los expertos en seguridad o desarrolladores altamente cualificados tienen habilidades de comunicación o humanas muy desarrolladas. Los mejores defensores de la seguridad, los que darán a su programa un impacto positivo continuo, son las personas que se apasionan por la seguridad y que tienen fuertes habilidades de comunicación, influencia y comunicación con las personas. Elige bien y ten en cuenta la personalidad y las habilidades de comunicación.
3. Tener recompensas geniales que reconozcan las habilidades
En general, a todos los frikis de la informática -incluidos los desarrolladores- les gusta que se reconozca su inteligencia y sus habilidades. Cuando se les recompensa con pegatinas de estatus específico, gadgets geek, insignias especiales o camisetas impresas personalizadas que reconocen sus habilidades, las llevarán o mostrarán con orgullo. Si alguien consigue algo importante en el programa de formación, es importante pensar en formas de darle reconocimiento y exposición. Vi una gran iniciativa con un cliente que tomaba regularmente fotos de sus campeones de Secure Code Warrior y las publicaba junto con una foto y un mensaje del CISO de la empresa en el boletín de los empleados.
4. No intente convertir a sus desarrolladores en expertos en seguridad
Si bien usted quiere que sus desarrolladores sean la "primera línea de defensa" de su programa de seguridad, ayudándoles a codificar de forma segura, eso no significa que tengan que ser los expertos en seguridad más profundos de su empresa; o que usted tenga que presentarles continuamente nuevas vulnerabilidades de seguridad y ejemplos de violaciones de datos. Aunque la seguridad es importante, su objetivo principal suele ser crear un gran producto o servicio y seguir el ritmo de la empresa. Si se sobrecarga a alguien con demasiada seguridad, se corre el riesgo de que se desentienda. Lecciones clave aprendidas, necesitan entender la higiene básica de la seguridad y apoyarles con herramientas para codificar de forma segura, pero no necesitan ser el experto en seguridad de la empresa.
5. No midas la formación, mide el impacto
No mida cuántas horas de formación reciben sus desarrolladores o cuántos vídeos ven, mida el número de debilidades que se detectan en el ciclo de vida del desarrollo a través del análisis de código, los bug-bounties o las clásicas pruebas de vulnerabilidad antes de iniciar el programa en cada equipo. Si su programa de formación está funcionando, el número de vulnerabilidades que se identifican disminuirá. Lo segundo que hay que medir es el tiempo que se tarda en solucionar una vulnerabilidad. Si un desarrollador tarda un mes en arreglarla, esto muestra claramente que no entiende cómo hacerlo, pero si puede arreglarla en una hora, sabes que domina las habilidades. Estas son las dos métricas que las empresas inteligentes están empleando para medir el impacto de su formación en codificación segura para desarrolladores.
5 lecciones importantes sobre cómo desplegar una formación eficaz en materia de seguridad para los desarrolladores:
- Poner algo de diversión en el arranque si quieres que tu programa tenga impacto
- Encontrar al campeón de la formación en seguridad para desarrolladores (pista: ¡necesitan habilidades de comunicación más que de seguridad!)
- Tener recompensas geniales que reconozcan las habilidades
- No intente convertir a sus desarrolladores en expertos en seguridad
- No midas la formación, mide el impacto
