Cómo una institución financiera de primer nivel creó una revolucionaria experiencia de certificación de seguridad ¿Podría ser un juego el camino al corazón de un desarrollador cuando se trata de cumplir las normas de seguridad? Con millones de clientes, una rica historia como institución financiera global de confianza y un compromiso con la innovación y el mantenimiento del ritmo de la transformación digital, este cliente bancario de primer nivel utilizó Secure Code Warrior como parte de una experiencia educativa verdaderamente única dentro de su organización.
Crearon una iniciativa de educación tecnológica interna, destinada a apoyar a miles de empleados para que aprendieran habilidades prácticas y de vanguardia en una serie de disciplinas, incluido el aprendizaje automático y la ciberseguridad.
El sector de los servicios financieros se encuentra actualmente en un periodo de transformación rápida y radical, en el que muchas empresas están cambiando su oferta de servicios para adaptarse al rápido desarrollo de las tecnologías emergentes. En esencia, se están convirtiendo en empresas tecnológicas de pleno derecho centradas en las finanzas. El enfoque de nuestro cliente no sólo le ha permitido seguir el ritmo de esta tendencia, sino también lograr mejores (y más inteligentes) resultados que la mayoría. Han invertido enormemente en su propio personal para mantenerse al día en campos tan vitales y en alza, y como resultado, están a la vanguardia de la innovación y la experiencia FinTech.
Para ejecutar con éxito este programa, nuestro cliente y el equipo en general vieron la necesidad de garantizar que sus desarrolladores estuvieran plenamente versados en la codificación segura, con un alto nivel de concienciación en materia de ciberseguridad. El responsable de concienciación sobre seguridad trató de implicar positivamente al equipo, entusiasmándolo con la seguridad desde el principio.
El reto El responsable de concienciación sobre seguridad de nuestro cliente lleva mucho tiempo en el sector de la seguridad, lo que le ha permitido asistir en primera fila al crecimiento explosivo de la adopción de aplicaciones en línea por parte de empresas grandes y pequeñas, así como al rápido aumento de los equipos centrados en lo digital. Ha visto de primera mano el inevitable aislamiento de conocimientos que puede seguir a tal hiperexpansión, y en última instancia, esto ha sido un problema para muchos equipos de seguridad y desarrollo: "En las primeras fases de la adopción de Internet, los desarrolladores pensaban en la seguridad y la aplicaban a sus programas. Sin embargo, en un entorno cada vez más compartimentado, un equipo trabajará, por ejemplo, en un sistema operativo que luego se enviará a un equipo de seguridad para su análisis, y a menudo volverá con un montón de marcas rojas y notas sobre cómo solucionarlo. Inevitablemente se asegura, pero las conclusiones y los conocimientos desaparecen en un agujero negro, para repetirse una y otra vez", afirma.
Se refirió al "reto de las personas" al hablar de los problemas de seguridad que ve con frecuencia en su función:
A los ingenieros de software se les paga por crear funcionalidades, y la seguridad puede verse como un gran impedimento para el desarrollo ágil. Están ocupados con sus propias prioridades, y a menudo ven el aspecto de la seguridad como el trabajo de otra persona. En el extremo más extremo de la escala, algunos adoptan el punto de vista de "Bueno, todavía no ha pasado nada. En un mundo cada vez más digitalizado, esta actitud tiene que cambiar. En lugar de considerarla una molestia, tenemos que hacer hincapié en la importancia de compartir la responsabilidad de la seguridad del software. Con la creciente dependencia del desarrollo para impulsar nuestras vidas digitales, se dio cuenta de lo que estaba escrito en la pared: como sociedad, somos blancos fáciles para los hackers en un campo de juego cada vez más injusto para los buenos. Los desarrolladores tenían que tomarse en serio la seguridad, desarrollar un gran interés y convertirse en la primera línea de defensa de su organización (y, de hecho, de cualquier empresa tecnológica seria).
Así que se propuso darle la vuelta a la formación tradicional.
La aplicación El Director de Concienciación sobre Seguridad impulsó la filosofía general de nuestro cliente de establecer un nuevo estándar en la calidad del software. En concreto, la idea de que el nivel de seguridad inherente a un programa informático es un indicador de su calidad general y de la viabilidad del producto. En la actualidad, la seguridad no está estrechamente vinculada a las medidas de calidad en la mayoría de los casos, y desde luego no del mismo modo que la interfaz de usuario, la velocidad y la facilidad de uso cuando se evalúa el software.
"La seguridad debe convertirse en un requisito no negociable para la alta calidad del software", afirmó. "Se correlaciona con la fiabilidad, que es una gran preocupación para la mayoría de las corporaciones, especialmente aquellas con un modelo de negocio en rápida transformación y digitalización".
Dado que los costes de corrección de vulnerabilidades en el código comprometido son hasta treinta veces más caros que si se hubiera escrito de forma segura desde el principio, se ha convertido en un objetivo clave "hornear" una cultura de seguridad viable en sus equipos de desarrollo. Al fin y al cabo, hay ciertas vulnerabilidades que las herramientas de escaneado no detectan, y la solución más eficaz para combatirlas es un equipo de desarrollo consciente de la seguridad.
El responsable de concienciación sobre seguridad detalló su experiencia con otras formas de formación, muchas de las cuales se siguen utilizando habitualmente para "ganarse" y preparar a los desarrolladores para hacer frente a los crecientes problemas de seguridad: "Cuando se deja que los desarrolladores aprendan sobre seguridad a través de una tonelada de trabajo teórico o, peor aún, a través de la infrecuente formación sobre el cumplimiento de las normas, simplemente no hay suficiente aprendizaje práctico ni tiempo para lograr un impacto duradero. Estaba decidido a cambiar esta situación aplicando una solución más eficaz", afirma.
Las ventajas de un alto grado de compromiso Con el asesoramiento de un avispado Director de Concienciación sobre Seguridad y su equipo, nuestro cliente implantó un programa de certificación a medida, del que la plataforma Secure Code Warrior forma parte integrante.
Su investigación sobre una solución de formación de desarrolladores más eficaz y atractiva les llevó a convertirse en uno de los primeros en adoptar la gamificación, maximizando su potencia y potencial con su propio plan de estudios estructurado y a gran escala.
"Era vital que hiciéramos de la formación de alto compromiso parte de la cultura, y que hiciéramos que los estudiantes volvieran para ampliar su aprendizaje. El sistema es un enfoque deliberado para crear conocimientos, habilidades y un sentido de valor hacia la seguridad, lo que en última instancia se traduce en que trabajen con código fuente real que utilizan todos los días", afirmó.
Nuestro cliente se aseguró de que la solución fuera integral y cubriera tanto las mejores prácticas de seguridad estándar del sector como las directrices internas, lo que le permitió movilizar la formación rápidamente y repercutir positivamente en la seguridad del software dentro de la organización.
* Estadísticas exactas a octubre de 2019. El resultado El programa de certificación de nuestro cliente es un formato de formación exitoso y en constante evolución, perfecto para iniciativas con visión de futuro como sus instalaciones de formación tecnológica internas. El curso en profundidad, impartido de una forma tan divertida, interactiva e incentivada, garantiza que todos los estudiantes tengan la mejor oportunidad de retener los conocimientos, así como el apoyo para desarrollar realmente una cultura y una mentalidad de seguridad ante todo. Si bien es cierto que la ludificación hace que el aprendizaje sea más ameno, el objetivo principal del programa sigue siendo proporcionar a los desarrolladores los conocimientos necesarios para identificar y frustrar las vulnerabilidades de alto riesgo en sus aplicaciones.
Es importante señalar que la formación no era obligatoria, sino que requería un elemento de motivación por parte del desarrollador. Aunque, sin duda, esto se vio apoyado por la oferta de incentivos y recompensas, la adopción del programa por parte del equipo en general fue el resultado del apoyo y la aprobación del proceso por parte del equipo.
Además de seguir desarrollando competencias vitales, el programa también ayuda a salvar las distancias en las relaciones entre los equipos de desarrollo y AppSec, poniéndolos en la misma página, hablando el mismo idioma y formando un interés mutuo.
Lejos de ser una casilla de verificación de cumplimiento, este programa se ha convertido en fundamental para el apoyo continuo de personal valioso y su carrera, proporcionando una mejora cuantificable de las cualificaciones en una de las industrias de mayor crecimiento del planeta: la ciberseguridad. Este tipo de programas de formación se convertirán en la referencia para mejorar la seguridad del software desde el principio.
Datos básicos Ha habido una respuesta sin precedentes por parte de los estudiantes que han completado la certificación y han expresado su interés en convertirse en instructores. Esta evangelización desde la base es un poderoso factor para difundir el apoyo de boca en boca, la aceptación y la concienciación general sobre la seguridad. Nuestro cliente está en proceso de extender el programa a más de 2.500 desarrolladores dentro de su organización, con más del 90% ya activos en el sistema. Utilizan esta formación para ayudar al personal en el desarrollo general de su carrera, asegurándose de que cuentan con los conocimientos necesarios para utilizar sus habilidades en un espacio tecnológico en constante cambio.
Consejos para el éxito
→ Tómese el tiempo necesario para explicar los beneficios de la formación, la implantación prevista y los resultados proyectados
a los principales interesados, participantes y jefes de equipo. Si se les incluye desde el principio,
puede ser más fácil conseguir apoyo en áreas vitales a medida que el programa crezca.
→ Es un maratón, no un sprint: cualquier programa de formación debe crecer y adaptarse a las cambiantes
necesidades del sector y de la organización. No tiene por qué estar grabado en piedra desde el primer día.
→ ¡Hágalo divertido! La formación no tiene por qué ser aburrida, y una plataforma gamificada como Secure Code
Warrior es la oportunidad perfecta para convertir una tarea tan importante en un evento memorable.
Se verá recompensado con un alto compromiso cuando haga un esfuerzo adicional para incluir premios,
certificados, e incluso un tema - las posibilidades son infinitas.