Campeones contra entrenadores: por qué todos los equipos de desarrollo necesitan ambos
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
Tabla de contenido
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El habilitador 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
