IAG Group es el nombre que está detrás de muchas de las principales compañías de seguros de la región Asia-Pacífico, suscribiendo pólizas para millones de clientes por un valor aproximado de 11.400 millones de dólares australianos en primas al año. Bianca Wirth es la Directora de Educación y Concienciación sobre Seguridad Corporativa del Grupo IAG. Altamente sensibilizada con la necesidad de una concienciación y unas prácticas de seguridad estrictas en el equipo de desarrollo, se propuso crear un entorno óptimo y verdaderamente innovador en el que el equipo pudiera aprender técnicas de codificación seguras y vitales.

ENTRAR: Juego de Códigos

El reto

Sin embargo, mantenerse al día con las mejores prácticas de seguridad es de suma importancia para cualquier organización, y más aún para una con millones de perfiles de datos sensibles de clientes que mantener a salvo de los piratas informáticos. Bianca y su equipo se fijaron objetivos claros para reforzar sus iniciativas de ciberseguridad. Decidieron que la prioridad era minimizar la superficie de ataque en las aplicaciones desarrolladas por la AIG, y que para ello educarían a los desarrolladores para que identificaran y corrigieran las vulnerabilidades críticas y de alto riesgo. Existe una larga formación en codificación segura en courses , pero puede resultar laboriosa, tediosa y alejar al personal clave de los proyectos de desarrollo con plazos de entrega estrictos, lo que genera presión en toda la empresa. Se hizo evidente la necesidad de mejorar la capacitación del equipo de desarrollo rápidamente, con un impacto mínimo en la carga de trabajo y las operaciones. Y con desarrolladores en Australia y Nueva Zelanda, cada uno trabajando en sistemas que no eran necesariamente los mismos, no era tarea fácil.

"Este año, hice un cambio en nuestro código fuente que eliminó una vulnerabilidad de inyección SQL. Se lo debo a Game of Codes. Incluso el mero hecho de tener presente la seguridad en la codificación es útil. El concurso es una buena forma de empujar a la gente a esforzarse al máximo... porque, admitámoslo, la seguridad no es el tema que más gusta a todo el mundo, así que es una buena forma de implicar a la gente". R, Desarrollador de IAG

La aplicación

Bianca diseñó la estrategia de lanzamiento de una experiencia de formación gamificada, trabajando conjuntamente con su equipo y Secure Code Warrior en la implementación de tournaments y la formación para promover las habilidades de sus desarrolladores internos. Para ello, era esencial establecer una estrategia de comunicación sólida, así como atender a las diferentes motivaciones y personalidades que tiene el personal a la hora de adoptar una plataforma totalmente nueva y utilizarla en todo su potencial:

"Diseñamos un plan de comunicación, que consiste en cómo vamos a comunicar al personal y a las principales partes interesadas los puntos que es necesario conocer, los mensajes clave y qué incentivos les vamos a dar para que también respondan. A la mayoría de la gente le gusta la experiencia gamificada. Sólo depende de su personalidad, su motivación y lo que les mueve. Por eso intentamos responder a las distintas motivaciones de la gente. A algunos les encantan los premios, a otros les basta con el logro" .

Bianca e IAG mostraron de forma experta Secure Code Warrior's gamified learning platform, transformando su tournament en una divertida experiencia de competición anunciada como el "Juego de los Códigos", con el personal colocado en casas de temática medieval (completas con artículos de marca para los jugadores) enfrentándose en una batalla digna de su homónimo producido por HBO.

tournament se ha llevado incluso a la escena internacional, con un próximo enfrentamiento entre Australia y Nueva Zelanda. Esto ofrece a IAG la oportunidad de identificar a los principales campeones en seguridad de ambos países, así como de garantizar que los equipos se actualizan juntos.

El resultado

Game of Codes es, en efecto, un programa de formación especializado. Su puesta en marcha como un tournament interactivo y divertido garantizó que el personal siguiera participando de diversas maneras, pero el objetivo principal del ejercicio seguía siendo práctico: proporcionar a los desarrolladores las habilidades necesarias para identificar y frustrar las vulnerabilidades de alto riesgo en las aplicaciones desarrolladas por IAG.

Al garantizar que tanto los desarrolladores como los equipos de seguridad trabajan con la mentalidad de que la seguridad es lo primero, y al estar equipados no sólo para identificar las vulnerabilidades, sino también para corregirlas desde el principio, IAG prevé que se reduzcan los costosos ejercicios de pruebas de penetración y la presión sobre el equipo que los lleva a cabo.

Además de seguir desarrollando esta competencia vital, Game of Codes también ayudó a establecer relaciones, inyectando un sentimiento de camaradería y competitividad amistosa entre los equipos participantes, al tiempo que ayudaba a las personas a sentirse más seguras de sus capacidades de codificación al verlas evaluadas en un entorno de puntuación tournament .

Bianca declaró que el apoyo interno al programa fue inmenso, con una acogida positiva por parte de la alta dirección. Esto también dio lugar a un programa de embajadores, en el que podían participar personas dispuestas a promover el programa y defender la seguridad dentro de la organización:

"Ha sido una exposición fantástica para algunos desarrolladores y una excelente promoción de sus habilidades. También se benefician de ello en sus propios trabajos, lo cual es importante de ver".

Lejos de ser "sólo un juego", o simplemente una forma más agradable para los directores de departamento de quemar a través de la formación de cumplimiento, Game of Codes ofrece una alta retención, solución atractiva que convierte a los novatos de seguridad en campeones de seguridad rápidamente, lo cual es esencial para minimizar el riesgo de una violación a gran escala.

Y el consejo definitivo, de la propia Bianca:

"Si ponemos en marcha un programa y esperamos que la gente se limite a utilizarlo, no funcionará. Tienes que diseñar un programa a su alrededor en el que inicies y motives el cambio de comportamiento. Lo que creamos fue esencialmente un programa de gestión del cambio para desarrolladores, centrado en la seguridad".

"Después de pasar por las sesiones de formación sobre Game of Codes, me doy cuenta de que estoy más interesado en la seguridad y en pensar en la seguridad a la hora de crear pruebas de automatización.Soy tester senior en un equipo ágil y estas sesiones de formación me han motivado para aprender más sobre pruebas de seguridad y pensar en ello como una posible especialización." A, IAG Senior Tester

DATOS RÁPIDOS 

• Además del aprendizaje gamificado, IAG también está utilizando Secure Code Warrior como herramienta de prueba de habilidades en la contratación de desarrolladores.
• El programa se está extendiendo al 100% de su equipo de desarrollo, con un 55% ya activo en el sistema.  
• Han desarrollado un conjunto clave de parámetros internos que les permiten medir el éxito del programa a la hora de minimizar riesgos y reducir costes a lo largo del tiempo.
  ‍