Torneos para desarrolladores: el arma secreta de AppSec para mejorar la cultura de seguridad y el compromiso
Imagina crear algo desde cero, ejerciendo tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o formando parte de un equipo, dedicas tu corazón y tu alma a construir algo de la nada. Dedicas cientos, tal vez incluso miles, de horas a ello, asegurándote de que tu bebé esté lo mejor posible. Al completarla, esa oleada de logros puede parecer una recompensa por sí sola.
Ahora, imagina que aparece un spoilsport y te dice que no es tan bueno. Quizás vayan un paso más allá y te digan que no, a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede usar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior seguramente causará cierta tensión; después de todo, ¿quién quiere que su arduo trabajo sea desmentido y condenado por inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de AppSec. Un desarrollador tiene la responsabilidad principal de crear un software que sea funcional, rico en funciones y que se entregue dentro de los estrictos plazos del proyecto. La seguridad rara vez es la prioridad, e incluso puede considerarse un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de comprobar meticulosamente el código, realizar pruebas con bolígrafos y, a continuación, informar de la mala noticia: la presencia de vulnerabilidades de seguridad en un código que, a menudo, ya está comprometido. Se trata de un proceso caro en un entorno en el que a menudo se agotan los recursos y el tiempo necesarios, ya que la configuración puede provocar desacuerdos entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar en desacuerdo.
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera del aula, al campo de juego
Dado que muchos desarrolladores completan su formación profesional sin aprender mucho sobre programación de forma segura, suele ocurrir que su primer punto de contacto con la educación en seguridad es al entrar en el mundo laboral. La formación presencial es una solución que se utiliza con frecuencia, pero quita un tiempo precioso a la entrega de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También hay cursos en vídeo, exámenes en papel y cursos genéricos sobre políticas de seguridad empresariales... todo lo cual puede resultar tan poco específico que resulta inútil en la vida laboral diaria del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de «marcar la casilla y seguir adelante» y, con demasiada frecuencia, tiene el efecto contrario: solo genera una brecha más amplia entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional esté teniendo el efecto positivo en la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos con tanta urgencia. Seguimos cometiendo los mismos errores.
Según la enumeración de debilidades comunes (CWE) comunidad, hay más de 700 común debilidades de seguridad del software contra las que luchar. Algunas, como la inyección de SQL, son como cucarachas que no han sido aplastadas a pesar de su existencia desde hace más de veinte años. ¡Nosotros conocer cómo solucionarlo; la formación está ahí para que los desarrolladores puedan detenerlo y muchos otros, pero los procesos de revisión manual del código y pruebas con lápiz identifican continuamente estas infracciones.
Quizás lo hemos analizado todo mal y, como industria, necesitamos abordar la educación viable desde un ángulo diferente, uno que aproveche las increíbles habilidades que tanto valoran nuestros desarrolladores. Son solucionadores de problemas creativos e inquisitivos a los que les encantan los desafíos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, es posible que al final se enamoren de la seguridad.
Un poco de competencia sana
La confianza en herramientas (bastante imprecisas), las costosas pruebas con lápiz y la escasez de especialistas en AppSec nos hundirán aún más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad están en línea como para que las empresas sigan siendo cautelosas con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, necesitamos recurrir a los superhéroes que siempre hemos tenido en la oficina: el equipo de desarrollo.
La formación gamificada, en los lenguajes y marcos pertinentes, es una herramienta potente para que los administradores de AppSec comiencen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden poner a prueba sus habilidades de seguridad recién adquiridas en un entorno de torneo divertido, que puede resultar tan emocionante como lo imagine: basta con echar un vistazo a cómo El «Juego de códigos» de IAG tengo todos hablando sobre la seguridad dentro de su organización.
Código seguro: Warrior's módulo de torneo proporciona algo más que un pequeño límite a un compromiso de formación mesurado: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación e identificar las áreas que pueden necesitar mejoras. El aspecto competitivo realmente actúa como un motivador para comprometerse de manera positiva con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el desarrollo de una cultura de seguridad sólida en el equipo y en la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa, si no abrumadora, puede contribuir en gran medida a cambiar las mentalidades negativas e inspirar una participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (saludable)?
Los campeones caminan entre vosotros
La formación gamificada y los torneos posteriores ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo obtienen mucha más información sobre el trabajo diario de los demás. Un desarrollador seguro es un activo, ya que corrige las vulnerabilidades más comunes y deja que los problemas complejos se encarguen de los escasos especialistas en AppSec sobre el terreno. Las mejores relaciones crecen y prosperan, y el valioso presupuesto de seguridad no se agota solucionando el escenario del «Día de la Marmota» en el que se repiten los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Los torneos pueden descubrir a aquellos que no solo tienen aptitudes para la seguridad, sino que muestran una pasión por ella de forma activa. Estos campeones son fundamentales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y defender las políticas de mejores prácticas. La implementación de un programa de promoción sólido, que incluya el reconocimiento y el apoyo de los ejecutivos, es un tanto a favor de la organización, además de un poderoso aporte para el currículum y la futura carrera profesional de la persona.
¿El resultado final? Debemos exigir mejores resultados en las pruebas de seguridad. Errores menos comunes, más apoyo para quienes están en primera línea. ¿Por qué no te das cuenta de cómo un torneo de desarrolladores puede ayudarte a conseguirlo antes de lo que crees?
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Director General, Presidente y Cofundador
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Imagina crear algo desde cero, ejerciendo tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o formando parte de un equipo, dedicas tu corazón y tu alma a construir algo de la nada. Dedicas cientos, tal vez incluso miles, de horas a ello, asegurándote de que tu bebé esté lo mejor posible. Al completarla, esa oleada de logros puede parecer una recompensa por sí sola.
Ahora, imagina que aparece un spoilsport y te dice que no es tan bueno. Quizás vayan un paso más allá y te digan que no, a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede usar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior seguramente causará cierta tensión; después de todo, ¿quién quiere que su arduo trabajo sea desmentido y condenado por inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de AppSec. Un desarrollador tiene la responsabilidad principal de crear un software que sea funcional, rico en funciones y que se entregue dentro de los estrictos plazos del proyecto. La seguridad rara vez es la prioridad, e incluso puede considerarse un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de comprobar meticulosamente el código, realizar pruebas con bolígrafos y, a continuación, informar de la mala noticia: la presencia de vulnerabilidades de seguridad en un código que, a menudo, ya está comprometido. Se trata de un proceso caro en un entorno en el que a menudo se agotan los recursos y el tiempo necesarios, ya que la configuración puede provocar desacuerdos entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar en desacuerdo.
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera del aula, al campo de juego
Dado que muchos desarrolladores completan su formación profesional sin aprender mucho sobre programación de forma segura, suele ocurrir que su primer punto de contacto con la educación en seguridad es al entrar en el mundo laboral. La formación presencial es una solución que se utiliza con frecuencia, pero quita un tiempo precioso a la entrega de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También hay cursos en vídeo, exámenes en papel y cursos genéricos sobre políticas de seguridad empresariales... todo lo cual puede resultar tan poco específico que resulta inútil en la vida laboral diaria del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de «marcar la casilla y seguir adelante» y, con demasiada frecuencia, tiene el efecto contrario: solo genera una brecha más amplia entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional esté teniendo el efecto positivo en la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos con tanta urgencia. Seguimos cometiendo los mismos errores.
Según la enumeración de debilidades comunes (CWE) comunidad, hay más de 700 común debilidades de seguridad del software contra las que luchar. Algunas, como la inyección de SQL, son como cucarachas que no han sido aplastadas a pesar de su existencia desde hace más de veinte años. ¡Nosotros conocer cómo solucionarlo; la formación está ahí para que los desarrolladores puedan detenerlo y muchos otros, pero los procesos de revisión manual del código y pruebas con lápiz identifican continuamente estas infracciones.
Quizás lo hemos analizado todo mal y, como industria, necesitamos abordar la educación viable desde un ángulo diferente, uno que aproveche las increíbles habilidades que tanto valoran nuestros desarrolladores. Son solucionadores de problemas creativos e inquisitivos a los que les encantan los desafíos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, es posible que al final se enamoren de la seguridad.
Un poco de competencia sana
La confianza en herramientas (bastante imprecisas), las costosas pruebas con lápiz y la escasez de especialistas en AppSec nos hundirán aún más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad están en línea como para que las empresas sigan siendo cautelosas con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, necesitamos recurrir a los superhéroes que siempre hemos tenido en la oficina: el equipo de desarrollo.
La formación gamificada, en los lenguajes y marcos pertinentes, es una herramienta potente para que los administradores de AppSec comiencen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden poner a prueba sus habilidades de seguridad recién adquiridas en un entorno de torneo divertido, que puede resultar tan emocionante como lo imagine: basta con echar un vistazo a cómo El «Juego de códigos» de IAG tengo todos hablando sobre la seguridad dentro de su organización.
Código seguro: Warrior's módulo de torneo proporciona algo más que un pequeño límite a un compromiso de formación mesurado: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación e identificar las áreas que pueden necesitar mejoras. El aspecto competitivo realmente actúa como un motivador para comprometerse de manera positiva con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el desarrollo de una cultura de seguridad sólida en el equipo y en la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa, si no abrumadora, puede contribuir en gran medida a cambiar las mentalidades negativas e inspirar una participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (saludable)?
Los campeones caminan entre vosotros
La formación gamificada y los torneos posteriores ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo obtienen mucha más información sobre el trabajo diario de los demás. Un desarrollador seguro es un activo, ya que corrige las vulnerabilidades más comunes y deja que los problemas complejos se encarguen de los escasos especialistas en AppSec sobre el terreno. Las mejores relaciones crecen y prosperan, y el valioso presupuesto de seguridad no se agota solucionando el escenario del «Día de la Marmota» en el que se repiten los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Los torneos pueden descubrir a aquellos que no solo tienen aptitudes para la seguridad, sino que muestran una pasión por ella de forma activa. Estos campeones son fundamentales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y defender las políticas de mejores prácticas. La implementación de un programa de promoción sólido, que incluya el reconocimiento y el apoyo de los ejecutivos, es un tanto a favor de la organización, además de un poderoso aporte para el currículum y la futura carrera profesional de la persona.
¿El resultado final? Debemos exigir mejores resultados en las pruebas de seguridad. Errores menos comunes, más apoyo para quienes están en primera línea. ¿Por qué no te das cuenta de cómo un torneo de desarrolladores puede ayudarte a conseguirlo antes de lo que crees?
Imagina crear algo desde cero, ejerciendo tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o formando parte de un equipo, dedicas tu corazón y tu alma a construir algo de la nada. Dedicas cientos, tal vez incluso miles, de horas a ello, asegurándote de que tu bebé esté lo mejor posible. Al completarla, esa oleada de logros puede parecer una recompensa por sí sola.
Ahora, imagina que aparece un spoilsport y te dice que no es tan bueno. Quizás vayan un paso más allá y te digan que no, a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede usar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior seguramente causará cierta tensión; después de todo, ¿quién quiere que su arduo trabajo sea desmentido y condenado por inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de AppSec. Un desarrollador tiene la responsabilidad principal de crear un software que sea funcional, rico en funciones y que se entregue dentro de los estrictos plazos del proyecto. La seguridad rara vez es la prioridad, e incluso puede considerarse un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de comprobar meticulosamente el código, realizar pruebas con bolígrafos y, a continuación, informar de la mala noticia: la presencia de vulnerabilidades de seguridad en un código que, a menudo, ya está comprometido. Se trata de un proceso caro en un entorno en el que a menudo se agotan los recursos y el tiempo necesarios, ya que la configuración puede provocar desacuerdos entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar en desacuerdo.
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera del aula, al campo de juego
Dado que muchos desarrolladores completan su formación profesional sin aprender mucho sobre programación de forma segura, suele ocurrir que su primer punto de contacto con la educación en seguridad es al entrar en el mundo laboral. La formación presencial es una solución que se utiliza con frecuencia, pero quita un tiempo precioso a la entrega de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También hay cursos en vídeo, exámenes en papel y cursos genéricos sobre políticas de seguridad empresariales... todo lo cual puede resultar tan poco específico que resulta inútil en la vida laboral diaria del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de «marcar la casilla y seguir adelante» y, con demasiada frecuencia, tiene el efecto contrario: solo genera una brecha más amplia entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional esté teniendo el efecto positivo en la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos con tanta urgencia. Seguimos cometiendo los mismos errores.
Según la enumeración de debilidades comunes (CWE) comunidad, hay más de 700 común debilidades de seguridad del software contra las que luchar. Algunas, como la inyección de SQL, son como cucarachas que no han sido aplastadas a pesar de su existencia desde hace más de veinte años. ¡Nosotros conocer cómo solucionarlo; la formación está ahí para que los desarrolladores puedan detenerlo y muchos otros, pero los procesos de revisión manual del código y pruebas con lápiz identifican continuamente estas infracciones.
Quizás lo hemos analizado todo mal y, como industria, necesitamos abordar la educación viable desde un ángulo diferente, uno que aproveche las increíbles habilidades que tanto valoran nuestros desarrolladores. Son solucionadores de problemas creativos e inquisitivos a los que les encantan los desafíos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, es posible que al final se enamoren de la seguridad.
Un poco de competencia sana
La confianza en herramientas (bastante imprecisas), las costosas pruebas con lápiz y la escasez de especialistas en AppSec nos hundirán aún más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad están en línea como para que las empresas sigan siendo cautelosas con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, necesitamos recurrir a los superhéroes que siempre hemos tenido en la oficina: el equipo de desarrollo.
La formación gamificada, en los lenguajes y marcos pertinentes, es una herramienta potente para que los administradores de AppSec comiencen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden poner a prueba sus habilidades de seguridad recién adquiridas en un entorno de torneo divertido, que puede resultar tan emocionante como lo imagine: basta con echar un vistazo a cómo El «Juego de códigos» de IAG tengo todos hablando sobre la seguridad dentro de su organización.
Código seguro: Warrior's módulo de torneo proporciona algo más que un pequeño límite a un compromiso de formación mesurado: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación e identificar las áreas que pueden necesitar mejoras. El aspecto competitivo realmente actúa como un motivador para comprometerse de manera positiva con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el desarrollo de una cultura de seguridad sólida en el equipo y en la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa, si no abrumadora, puede contribuir en gran medida a cambiar las mentalidades negativas e inspirar una participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (saludable)?
Los campeones caminan entre vosotros
La formación gamificada y los torneos posteriores ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo obtienen mucha más información sobre el trabajo diario de los demás. Un desarrollador seguro es un activo, ya que corrige las vulnerabilidades más comunes y deja que los problemas complejos se encarguen de los escasos especialistas en AppSec sobre el terreno. Las mejores relaciones crecen y prosperan, y el valioso presupuesto de seguridad no se agota solucionando el escenario del «Día de la Marmota» en el que se repiten los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Los torneos pueden descubrir a aquellos que no solo tienen aptitudes para la seguridad, sino que muestran una pasión por ella de forma activa. Estos campeones son fundamentales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y defender las políticas de mejores prácticas. La implementación de un programa de promoción sólido, que incluya el reconocimiento y el apoyo de los ejecutivos, es un tanto a favor de la organización, además de un poderoso aporte para el currículum y la futura carrera profesional de la persona.
¿El resultado final? Debemos exigir mejores resultados en las pruebas de seguridad. Errores menos comunes, más apoyo para quienes están en primera línea. ¿Por qué no te das cuenta de cómo un torneo de desarrolladores puede ayudarte a conseguirlo antes de lo que crees?
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Imagina crear algo desde cero, ejerciendo tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o formando parte de un equipo, dedicas tu corazón y tu alma a construir algo de la nada. Dedicas cientos, tal vez incluso miles, de horas a ello, asegurándote de que tu bebé esté lo mejor posible. Al completarla, esa oleada de logros puede parecer una recompensa por sí sola.
Ahora, imagina que aparece un spoilsport y te dice que no es tan bueno. Quizás vayan un paso más allá y te digan que no, a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede usar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior seguramente causará cierta tensión; después de todo, ¿quién quiere que su arduo trabajo sea desmentido y condenado por inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de AppSec. Un desarrollador tiene la responsabilidad principal de crear un software que sea funcional, rico en funciones y que se entregue dentro de los estrictos plazos del proyecto. La seguridad rara vez es la prioridad, e incluso puede considerarse un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de comprobar meticulosamente el código, realizar pruebas con bolígrafos y, a continuación, informar de la mala noticia: la presencia de vulnerabilidades de seguridad en un código que, a menudo, ya está comprometido. Se trata de un proceso caro en un entorno en el que a menudo se agotan los recursos y el tiempo necesarios, ya que la configuración puede provocar desacuerdos entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar en desacuerdo.
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera del aula, al campo de juego
Dado que muchos desarrolladores completan su formación profesional sin aprender mucho sobre programación de forma segura, suele ocurrir que su primer punto de contacto con la educación en seguridad es al entrar en el mundo laboral. La formación presencial es una solución que se utiliza con frecuencia, pero quita un tiempo precioso a la entrega de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También hay cursos en vídeo, exámenes en papel y cursos genéricos sobre políticas de seguridad empresariales... todo lo cual puede resultar tan poco específico que resulta inútil en la vida laboral diaria del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de «marcar la casilla y seguir adelante» y, con demasiada frecuencia, tiene el efecto contrario: solo genera una brecha más amplia entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional esté teniendo el efecto positivo en la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos con tanta urgencia. Seguimos cometiendo los mismos errores.
Según la enumeración de debilidades comunes (CWE) comunidad, hay más de 700 común debilidades de seguridad del software contra las que luchar. Algunas, como la inyección de SQL, son como cucarachas que no han sido aplastadas a pesar de su existencia desde hace más de veinte años. ¡Nosotros conocer cómo solucionarlo; la formación está ahí para que los desarrolladores puedan detenerlo y muchos otros, pero los procesos de revisión manual del código y pruebas con lápiz identifican continuamente estas infracciones.
Quizás lo hemos analizado todo mal y, como industria, necesitamos abordar la educación viable desde un ángulo diferente, uno que aproveche las increíbles habilidades que tanto valoran nuestros desarrolladores. Son solucionadores de problemas creativos e inquisitivos a los que les encantan los desafíos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, es posible que al final se enamoren de la seguridad.
Un poco de competencia sana
La confianza en herramientas (bastante imprecisas), las costosas pruebas con lápiz y la escasez de especialistas en AppSec nos hundirán aún más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad están en línea como para que las empresas sigan siendo cautelosas con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, necesitamos recurrir a los superhéroes que siempre hemos tenido en la oficina: el equipo de desarrollo.
La formación gamificada, en los lenguajes y marcos pertinentes, es una herramienta potente para que los administradores de AppSec comiencen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden poner a prueba sus habilidades de seguridad recién adquiridas en un entorno de torneo divertido, que puede resultar tan emocionante como lo imagine: basta con echar un vistazo a cómo El «Juego de códigos» de IAG tengo todos hablando sobre la seguridad dentro de su organización.
Código seguro: Warrior's módulo de torneo proporciona algo más que un pequeño límite a un compromiso de formación mesurado: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación e identificar las áreas que pueden necesitar mejoras. El aspecto competitivo realmente actúa como un motivador para comprometerse de manera positiva con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el desarrollo de una cultura de seguridad sólida en el equipo y en la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa, si no abrumadora, puede contribuir en gran medida a cambiar las mentalidades negativas e inspirar una participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (saludable)?
Los campeones caminan entre vosotros
La formación gamificada y los torneos posteriores ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo obtienen mucha más información sobre el trabajo diario de los demás. Un desarrollador seguro es un activo, ya que corrige las vulnerabilidades más comunes y deja que los problemas complejos se encarguen de los escasos especialistas en AppSec sobre el terreno. Las mejores relaciones crecen y prosperan, y el valioso presupuesto de seguridad no se agota solucionando el escenario del «Día de la Marmota» en el que se repiten los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Los torneos pueden descubrir a aquellos que no solo tienen aptitudes para la seguridad, sino que muestran una pasión por ella de forma activa. Estos campeones son fundamentales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y defender las políticas de mejores prácticas. La implementación de un programa de promoción sólido, que incluya el reconocimiento y el apoyo de los ejecutivos, es un tanto a favor de la organización, además de un poderoso aporte para el currículum y la futura carrera profesional de la persona.
¿El resultado final? Debemos exigir mejores resultados en las pruebas de seguridad. Errores menos comunes, más apoyo para quienes están en primera línea. ¿Por qué no te das cuenta de cómo un torneo de desarrolladores puede ayudarte a conseguirlo antes de lo que crees?
Tabla de contenido
Director General, Presidente y Cofundador
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El habilitador 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
