Cómo convencer a tu jefe de que invierta en una formación de programación segura
Lo más probable es que si se ocupa del software de alguna manera, ya sea desarrollador, control de calidad, jefe de ingeniería o profesional de AppSec, la seguridad sea parte de su trabajo. La tarea del equipo de seguridad es señalar las vulnerabilidades del software, y la tarea del desarrollador es hacer todo lo posible para escribir código sin errores desde el principio. Sin embargo, para realizar esas tareas de la manera más eficiente y eficaz posible, es importante que todas las partes trabajen juntas contra las amenazas de seguridad, empezando por el código en el que se ejecutan las aplicaciones.
Sin embargo, aprender de manera efectiva sobre la codificación segura y retener ese conocimiento puede hacer que parezca que es intrínsecamente difícil. Con las herramientas adecuadas, no tiene por qué serlo. Sin embargo, no siempre es fácil convencer a las partes interesadas y a los superiores de que inviertan en el tipo de formación adecuado. La formación se elige con demasiada frecuencia con el único objetivo de cumplir con los requisitos y, en la mayoría de los casos, es irrelevante para el trabajo diario de un desarrollador. Pero, ¿qué pasaría si los desarrolladores pudieran aprender sobre la seguridad en tiempo real, en el lenguaje:framework en el que trabajan todos los días, y divertirse haciéndolo? ¿Y para colmo de males? Su organización cumple con los estándares de la industria al mismo tiempo.
Te respaldamos. Estas son algunas estrategias para ganarte el apoyo de tus colegas, líderes y responsables de la toma de decisiones más importantes de tu organización y así poder participar en un programa de formación sobre codificación de seguridad centrado en los desarrolladores.
Evitar las vulnerabilidades del software desde el principio ahorra una cantidad incalculable de tiempo y dinero
¿Dedica demasiado tiempo a buscar, denunciar o solucionar problemas de seguridad que se repiten? No estás solo.
Imagínese el siguiente escenario: tan pronto como AppSec encuentre una vulnerabilidad y la notifique al equipo de desarrollo, los desarrolladores comenzarán una lección de capacitación relevante y aprenderán no solo cómo corregir esa falla, sino también cómo evitar cometer el mismo error en el futuro. ¿Cuál cree que sería el resultado? Lo más probable es que ese desarrollador recuerde esa lección debido a su relevancia y sea menos probable que vuelva a cometer el mismo error. Esto significa que si trabajas en un equipo de seguridad, es menos probable que ese desarrollador vuelva a crear esa vulnerabilidad sin saberlo y es menos probable que ese mismo desarrollador tenga que volver a corregirla.
Vea este vídeo de nuestro cliente, Contrast Security, sobre la eficacia de la formación en tiempo real para su equipo de desarrollo.
Si todos los desarrolladores participaran en una formación regular sobre código seguro y tuvieran las herramientas al alcance de la mano para aprender sobre los problemas de seguridad en tiempo real, el tiempo que se recupera para crear software increíble y trabajar en programas de seguridad es inconmensurable. Parece un argumento bastante bueno para que su organización invierta en una herramienta como esa, ¿verdad?
Si has encontrado una gran herramienta que te encantaría usar para mejorar tus habilidades en seguridad, algo como (tos) Secure Code Warrior, este es un buen argumento para presentárselo al CISO o al CTO de su organización.
Los desarrolladores capacitados ofrecen mejores resultados y son más felices
El tiempo y el dinero son, por supuesto, muy importantes para su equipo de gestión, pero también lo es su satisfacción laboral. Los empleados satisfechos obtienen mejores resultados, permanecen más tiempo en sus puestos de trabajo y contribuyen a crear un entorno laboral positivo. Por eso, el desarrollo profesional y la formación son una inversión, no un coste. ¿Y si esa formación es realmente divertida y enseña algo relevante? Eso sí que es un billete dorado para el éxito.
La buena noticia es que los desarrolladores suelen estar muy motivados para aprender sobre seguridad porque saben lo importante que es para su trabajo. En un estudio realizado con Evans Data Corporation, encuestamos a desarrolladores de todo el mundo y descubrimos que los desarrolladores quieren aprender sobre seguridad porque:
- Aumenta la productividad y la eficiencia
- Sienten curiosidad y están personalmente interesados en conocerlo
- Quieren evitar los problemas asociados con el código inseguro
- Entienden que brinda la posibilidad de avanzar en la carrera
- Es un uso más eficiente de los recursos humanos
(Descargue el documento técnico completo) aquí.)
El único problema es que la formación de codificación más segura los está decepcionando. No es relevante para su trabajo diario y, seamos sinceros, es francamente aburrido. Se trata de funciones que no suelen ofrecer buenos resultados en términos de retención de información y, de hecho, de aprendizaje. Sin embargo, cuando la plataforma de aprendizaje está centrada en el desarrollador, es divertida, atractiva y relevante para su trabajo, puede ofrecer resultados reales y crear personas empoderadas que quiero para escribir código seguro. ¿Y por qué su jefe, ya sea un jefe de desarrollo, un CISO o un CTO, no querría que los desarrolladores estuvieran interesados en programar de forma segura y tuvieran las habilidades necesarias para hacerlo?
La comprensión de la seguridad hace que los ingenieros sean mejores en general
Cuando los ingenieros comprenden cómo el software puede ser vulnerable a los ataques, hacen su trabajo teniendo eso en cuenta. Cuanto más comprenda una persona lo que puede salir mal, más trabajará con un enfoque preventivo.
No solo eso, sino que el código de mala calidad tiene más probabilidades de contener vulnerabilidades de software y es más fácil para un desarrollador introducir una vulnerabilidad en ese código sin saberlo. ¿Por qué? Porque mucho de lo que hacen es leer y modificar el código. Cuando ese código está mal organizado y utiliza una lógica deficiente, lleva más tiempo realizar esas tareas y resulta más fácil cambiar algo e introducir accidentalmente un error de seguridad crítico.
Cuando se entiende la seguridad y cómo evitar problemas, también hay que pensar más en la calidad general de ese código y en cómo escribirlo de forma que no se pueda introducir un error fácilmente por accidente. La formación en seguridad es beneficiosa para todos. Los desarrolladores aprenden a programar de forma segura, pero mientras tanto también se convierten en mejores ingenieros.
Hay poder en los números
Otra gran táctica para conseguir la aceptación de sus líderes para adoptar una plataforma segura de aprendizaje de programación es hacer que sus colegas se unan. Cuantos más desarrolladores estén interesados en mejorar sus conocimientos de seguridad, más fácil será convencer a la dirección o a la alta dirección de que inviertan en ellos.
Entonces, ¿cómo se hace eso? Dado que la mayoría de los desarrolladores entienden la necesidad de mejorar en seguridad y quieren aprender, no debería ser demasiado difícil. También puedes hacer que echen un vistazo a esto presentación para desarrolladores de Secure Code Warrior y eche un vistazo a nuestro producto y comience a probar sus habilidades de codificación segura. Una vez que vean el impacto del código inseguro y aprendan que aprender sobre seguridad puede ser divertido, se sentirán capacitados para aprender más.
Una vez que hayas adoptado la herramienta adecuada, una excelente manera de hacer que tus desarrolladores se involucren es con una competencia sana. Intenta iniciar tu programa de entrenamiento con un torneo.
Descubra cómo Nelnet se volvió realmente creativa con los torneos para crear una cultura de seguridad en su empresa.
La formación continua en seguridad promueve una cultura empresarial deseable
El entrenamiento no tiene por qué ser aburrido, y realmente no debería serlo. Sabemos que las clases son caras y difíciles de organizar, especialmente con equipos distribuidos, y es poco probable que les quites mucho provecho. Sin embargo, las organizaciones siguen ofreciendo formación sobre programación segura a los desarrolladores, que no hacen más que marcar una casilla cada año para comprobar el cumplimiento. Ya no basta con mantener el status quo. Es hora de que los gerentes de desarrollo y AppSec den un paso adelante y trabajen juntos para implementar una herramienta de capacitación que promueva el aprendizaje continuo y atractivo. Y eso empieza por convencer a los responsables de la toma de decisiones.
La formación continua y práctica es necesaria por varias razones. Las amenazas de ciberseguridad están en constante evolución, por lo que es natural que la formación para combatir esas amenazas también se realice de forma continua. No solo eso, sino que, como ya se mencionó, cuando aprendemos en tiempo real, es mucho más probable que retengamos lo que hemos aprendido. La programación teniendo en cuenta la seguridad es difícil de implementar, porque esperar que un desarrollador recuerde algo que ha aprendido en una presentación de diapositivas fuera de contexto (quizás casi un año antes) no es realista. Pero si aprenden a evitar una vulnerabilidad de software concreta en el momento en que se les informa de ella y sienten que están jugando a un juego al mismo tiempo, es un juego completamente nuevo.
Tan pronto como se implementa una formación práctica y relevante, la seguridad pasa a formar parte de la cultura de la empresa y ya no se trata como una idea de último momento. Se incorpora al proceso de desarrollo desde el inicio del ciclo de vida del desarrollo del software.
Entonces, ¿qué estás esperando? Comience su camino hacia la mejora de la seguridad en su organización y la protección de los datos vitales de la empresa y los clientes. Haga que sus desarrolladores y jefes se unan para llevar la codificación segura al siguiente nivel en su organización. Deje de experimentar las mismas vulnerabilidades una y otra vez y piense en la seguridad desde el principio.
¿Necesitas más recursos?
Aprender de manera efectiva sobre la codificación segura y retener ese conocimiento puede hacer que parezca que es intrínsecamente difícil, pero con las herramientas y la cultura adecuadas, no tiene por qué serlo. Sin embargo, no siempre es fácil convencer a las partes interesadas y a los superiores de que inviertan en el tipo de formación adecuado. Estos son algunos consejos útiles que te ayudarán a ganarte su lealtad.
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
Lo más probable es que si se ocupa del software de alguna manera, ya sea desarrollador, control de calidad, jefe de ingeniería o profesional de AppSec, la seguridad sea parte de su trabajo. La tarea del equipo de seguridad es señalar las vulnerabilidades del software, y la tarea del desarrollador es hacer todo lo posible para escribir código sin errores desde el principio. Sin embargo, para realizar esas tareas de la manera más eficiente y eficaz posible, es importante que todas las partes trabajen juntas contra las amenazas de seguridad, empezando por el código en el que se ejecutan las aplicaciones.
Sin embargo, aprender de manera efectiva sobre la codificación segura y retener ese conocimiento puede hacer que parezca que es intrínsecamente difícil. Con las herramientas adecuadas, no tiene por qué serlo. Sin embargo, no siempre es fácil convencer a las partes interesadas y a los superiores de que inviertan en el tipo de formación adecuado. La formación se elige con demasiada frecuencia con el único objetivo de cumplir con los requisitos y, en la mayoría de los casos, es irrelevante para el trabajo diario de un desarrollador. Pero, ¿qué pasaría si los desarrolladores pudieran aprender sobre la seguridad en tiempo real, en el lenguaje:framework en el que trabajan todos los días, y divertirse haciéndolo? ¿Y para colmo de males? Su organización cumple con los estándares de la industria al mismo tiempo.
Te respaldamos. Estas son algunas estrategias para ganarte el apoyo de tus colegas, líderes y responsables de la toma de decisiones más importantes de tu organización y así poder participar en un programa de formación sobre codificación de seguridad centrado en los desarrolladores.
Evitar las vulnerabilidades del software desde el principio ahorra una cantidad incalculable de tiempo y dinero
¿Dedica demasiado tiempo a buscar, denunciar o solucionar problemas de seguridad que se repiten? No estás solo.
Imagínese el siguiente escenario: tan pronto como AppSec encuentre una vulnerabilidad y la notifique al equipo de desarrollo, los desarrolladores comenzarán una lección de capacitación relevante y aprenderán no solo cómo corregir esa falla, sino también cómo evitar cometer el mismo error en el futuro. ¿Cuál cree que sería el resultado? Lo más probable es que ese desarrollador recuerde esa lección debido a su relevancia y sea menos probable que vuelva a cometer el mismo error. Esto significa que si trabajas en un equipo de seguridad, es menos probable que ese desarrollador vuelva a crear esa vulnerabilidad sin saberlo y es menos probable que ese mismo desarrollador tenga que volver a corregirla.
Vea este vídeo de nuestro cliente, Contrast Security, sobre la eficacia de la formación en tiempo real para su equipo de desarrollo.
Si todos los desarrolladores participaran en una formación regular sobre código seguro y tuvieran las herramientas al alcance de la mano para aprender sobre los problemas de seguridad en tiempo real, el tiempo que se recupera para crear software increíble y trabajar en programas de seguridad es inconmensurable. Parece un argumento bastante bueno para que su organización invierta en una herramienta como esa, ¿verdad?
Si has encontrado una gran herramienta que te encantaría usar para mejorar tus habilidades en seguridad, algo como (tos) Secure Code Warrior, este es un buen argumento para presentárselo al CISO o al CTO de su organización.
Los desarrolladores capacitados ofrecen mejores resultados y son más felices
El tiempo y el dinero son, por supuesto, muy importantes para su equipo de gestión, pero también lo es su satisfacción laboral. Los empleados satisfechos obtienen mejores resultados, permanecen más tiempo en sus puestos de trabajo y contribuyen a crear un entorno laboral positivo. Por eso, el desarrollo profesional y la formación son una inversión, no un coste. ¿Y si esa formación es realmente divertida y enseña algo relevante? Eso sí que es un billete dorado para el éxito.
La buena noticia es que los desarrolladores suelen estar muy motivados para aprender sobre seguridad porque saben lo importante que es para su trabajo. En un estudio realizado con Evans Data Corporation, encuestamos a desarrolladores de todo el mundo y descubrimos que los desarrolladores quieren aprender sobre seguridad porque:
- Aumenta la productividad y la eficiencia
- Sienten curiosidad y están personalmente interesados en conocerlo
- Quieren evitar los problemas asociados con el código inseguro
- Entienden que brinda la posibilidad de avanzar en la carrera
- Es un uso más eficiente de los recursos humanos
(Descargue el documento técnico completo) aquí.)
El único problema es que la formación de codificación más segura los está decepcionando. No es relevante para su trabajo diario y, seamos sinceros, es francamente aburrido. Se trata de funciones que no suelen ofrecer buenos resultados en términos de retención de información y, de hecho, de aprendizaje. Sin embargo, cuando la plataforma de aprendizaje está centrada en el desarrollador, es divertida, atractiva y relevante para su trabajo, puede ofrecer resultados reales y crear personas empoderadas que quiero para escribir código seguro. ¿Y por qué su jefe, ya sea un jefe de desarrollo, un CISO o un CTO, no querría que los desarrolladores estuvieran interesados en programar de forma segura y tuvieran las habilidades necesarias para hacerlo?
La comprensión de la seguridad hace que los ingenieros sean mejores en general
Cuando los ingenieros comprenden cómo el software puede ser vulnerable a los ataques, hacen su trabajo teniendo eso en cuenta. Cuanto más comprenda una persona lo que puede salir mal, más trabajará con un enfoque preventivo.
No solo eso, sino que el código de mala calidad tiene más probabilidades de contener vulnerabilidades de software y es más fácil para un desarrollador introducir una vulnerabilidad en ese código sin saberlo. ¿Por qué? Porque mucho de lo que hacen es leer y modificar el código. Cuando ese código está mal organizado y utiliza una lógica deficiente, lleva más tiempo realizar esas tareas y resulta más fácil cambiar algo e introducir accidentalmente un error de seguridad crítico.
Cuando se entiende la seguridad y cómo evitar problemas, también hay que pensar más en la calidad general de ese código y en cómo escribirlo de forma que no se pueda introducir un error fácilmente por accidente. La formación en seguridad es beneficiosa para todos. Los desarrolladores aprenden a programar de forma segura, pero mientras tanto también se convierten en mejores ingenieros.
Hay poder en los números
Otra gran táctica para conseguir la aceptación de sus líderes para adoptar una plataforma segura de aprendizaje de programación es hacer que sus colegas se unan. Cuantos más desarrolladores estén interesados en mejorar sus conocimientos de seguridad, más fácil será convencer a la dirección o a la alta dirección de que inviertan en ellos.
Entonces, ¿cómo se hace eso? Dado que la mayoría de los desarrolladores entienden la necesidad de mejorar en seguridad y quieren aprender, no debería ser demasiado difícil. También puedes hacer que echen un vistazo a esto presentación para desarrolladores de Secure Code Warrior y eche un vistazo a nuestro producto y comience a probar sus habilidades de codificación segura. Una vez que vean el impacto del código inseguro y aprendan que aprender sobre seguridad puede ser divertido, se sentirán capacitados para aprender más.
Una vez que hayas adoptado la herramienta adecuada, una excelente manera de hacer que tus desarrolladores se involucren es con una competencia sana. Intenta iniciar tu programa de entrenamiento con un torneo.
Descubra cómo Nelnet se volvió realmente creativa con los torneos para crear una cultura de seguridad en su empresa.
La formación continua en seguridad promueve una cultura empresarial deseable
El entrenamiento no tiene por qué ser aburrido, y realmente no debería serlo. Sabemos que las clases son caras y difíciles de organizar, especialmente con equipos distribuidos, y es poco probable que les quites mucho provecho. Sin embargo, las organizaciones siguen ofreciendo formación sobre programación segura a los desarrolladores, que no hacen más que marcar una casilla cada año para comprobar el cumplimiento. Ya no basta con mantener el status quo. Es hora de que los gerentes de desarrollo y AppSec den un paso adelante y trabajen juntos para implementar una herramienta de capacitación que promueva el aprendizaje continuo y atractivo. Y eso empieza por convencer a los responsables de la toma de decisiones.
La formación continua y práctica es necesaria por varias razones. Las amenazas de ciberseguridad están en constante evolución, por lo que es natural que la formación para combatir esas amenazas también se realice de forma continua. No solo eso, sino que, como ya se mencionó, cuando aprendemos en tiempo real, es mucho más probable que retengamos lo que hemos aprendido. La programación teniendo en cuenta la seguridad es difícil de implementar, porque esperar que un desarrollador recuerde algo que ha aprendido en una presentación de diapositivas fuera de contexto (quizás casi un año antes) no es realista. Pero si aprenden a evitar una vulnerabilidad de software concreta en el momento en que se les informa de ella y sienten que están jugando a un juego al mismo tiempo, es un juego completamente nuevo.
Tan pronto como se implementa una formación práctica y relevante, la seguridad pasa a formar parte de la cultura de la empresa y ya no se trata como una idea de último momento. Se incorpora al proceso de desarrollo desde el inicio del ciclo de vida del desarrollo del software.
Entonces, ¿qué estás esperando? Comience su camino hacia la mejora de la seguridad en su organización y la protección de los datos vitales de la empresa y los clientes. Haga que sus desarrolladores y jefes se unan para llevar la codificación segura al siguiente nivel en su organización. Deje de experimentar las mismas vulnerabilidades una y otra vez y piense en la seguridad desde el principio.
¿Necesitas más recursos?
Lo más probable es que si se ocupa del software de alguna manera, ya sea desarrollador, control de calidad, jefe de ingeniería o profesional de AppSec, la seguridad sea parte de su trabajo. La tarea del equipo de seguridad es señalar las vulnerabilidades del software, y la tarea del desarrollador es hacer todo lo posible para escribir código sin errores desde el principio. Sin embargo, para realizar esas tareas de la manera más eficiente y eficaz posible, es importante que todas las partes trabajen juntas contra las amenazas de seguridad, empezando por el código en el que se ejecutan las aplicaciones.
Sin embargo, aprender de manera efectiva sobre la codificación segura y retener ese conocimiento puede hacer que parezca que es intrínsecamente difícil. Con las herramientas adecuadas, no tiene por qué serlo. Sin embargo, no siempre es fácil convencer a las partes interesadas y a los superiores de que inviertan en el tipo de formación adecuado. La formación se elige con demasiada frecuencia con el único objetivo de cumplir con los requisitos y, en la mayoría de los casos, es irrelevante para el trabajo diario de un desarrollador. Pero, ¿qué pasaría si los desarrolladores pudieran aprender sobre la seguridad en tiempo real, en el lenguaje:framework en el que trabajan todos los días, y divertirse haciéndolo? ¿Y para colmo de males? Su organización cumple con los estándares de la industria al mismo tiempo.
Te respaldamos. Estas son algunas estrategias para ganarte el apoyo de tus colegas, líderes y responsables de la toma de decisiones más importantes de tu organización y así poder participar en un programa de formación sobre codificación de seguridad centrado en los desarrolladores.
Evitar las vulnerabilidades del software desde el principio ahorra una cantidad incalculable de tiempo y dinero
¿Dedica demasiado tiempo a buscar, denunciar o solucionar problemas de seguridad que se repiten? No estás solo.
Imagínese el siguiente escenario: tan pronto como AppSec encuentre una vulnerabilidad y la notifique al equipo de desarrollo, los desarrolladores comenzarán una lección de capacitación relevante y aprenderán no solo cómo corregir esa falla, sino también cómo evitar cometer el mismo error en el futuro. ¿Cuál cree que sería el resultado? Lo más probable es que ese desarrollador recuerde esa lección debido a su relevancia y sea menos probable que vuelva a cometer el mismo error. Esto significa que si trabajas en un equipo de seguridad, es menos probable que ese desarrollador vuelva a crear esa vulnerabilidad sin saberlo y es menos probable que ese mismo desarrollador tenga que volver a corregirla.
Vea este vídeo de nuestro cliente, Contrast Security, sobre la eficacia de la formación en tiempo real para su equipo de desarrollo.
Si todos los desarrolladores participaran en una formación regular sobre código seguro y tuvieran las herramientas al alcance de la mano para aprender sobre los problemas de seguridad en tiempo real, el tiempo que se recupera para crear software increíble y trabajar en programas de seguridad es inconmensurable. Parece un argumento bastante bueno para que su organización invierta en una herramienta como esa, ¿verdad?
Si has encontrado una gran herramienta que te encantaría usar para mejorar tus habilidades en seguridad, algo como (tos) Secure Code Warrior, este es un buen argumento para presentárselo al CISO o al CTO de su organización.
Los desarrolladores capacitados ofrecen mejores resultados y son más felices
El tiempo y el dinero son, por supuesto, muy importantes para su equipo de gestión, pero también lo es su satisfacción laboral. Los empleados satisfechos obtienen mejores resultados, permanecen más tiempo en sus puestos de trabajo y contribuyen a crear un entorno laboral positivo. Por eso, el desarrollo profesional y la formación son una inversión, no un coste. ¿Y si esa formación es realmente divertida y enseña algo relevante? Eso sí que es un billete dorado para el éxito.
La buena noticia es que los desarrolladores suelen estar muy motivados para aprender sobre seguridad porque saben lo importante que es para su trabajo. En un estudio realizado con Evans Data Corporation, encuestamos a desarrolladores de todo el mundo y descubrimos que los desarrolladores quieren aprender sobre seguridad porque:
- Aumenta la productividad y la eficiencia
- Sienten curiosidad y están personalmente interesados en conocerlo
- Quieren evitar los problemas asociados con el código inseguro
- Entienden que brinda la posibilidad de avanzar en la carrera
- Es un uso más eficiente de los recursos humanos
(Descargue el documento técnico completo) aquí.)
El único problema es que la formación de codificación más segura los está decepcionando. No es relevante para su trabajo diario y, seamos sinceros, es francamente aburrido. Se trata de funciones que no suelen ofrecer buenos resultados en términos de retención de información y, de hecho, de aprendizaje. Sin embargo, cuando la plataforma de aprendizaje está centrada en el desarrollador, es divertida, atractiva y relevante para su trabajo, puede ofrecer resultados reales y crear personas empoderadas que quiero para escribir código seguro. ¿Y por qué su jefe, ya sea un jefe de desarrollo, un CISO o un CTO, no querría que los desarrolladores estuvieran interesados en programar de forma segura y tuvieran las habilidades necesarias para hacerlo?
La comprensión de la seguridad hace que los ingenieros sean mejores en general
Cuando los ingenieros comprenden cómo el software puede ser vulnerable a los ataques, hacen su trabajo teniendo eso en cuenta. Cuanto más comprenda una persona lo que puede salir mal, más trabajará con un enfoque preventivo.
No solo eso, sino que el código de mala calidad tiene más probabilidades de contener vulnerabilidades de software y es más fácil para un desarrollador introducir una vulnerabilidad en ese código sin saberlo. ¿Por qué? Porque mucho de lo que hacen es leer y modificar el código. Cuando ese código está mal organizado y utiliza una lógica deficiente, lleva más tiempo realizar esas tareas y resulta más fácil cambiar algo e introducir accidentalmente un error de seguridad crítico.
Cuando se entiende la seguridad y cómo evitar problemas, también hay que pensar más en la calidad general de ese código y en cómo escribirlo de forma que no se pueda introducir un error fácilmente por accidente. La formación en seguridad es beneficiosa para todos. Los desarrolladores aprenden a programar de forma segura, pero mientras tanto también se convierten en mejores ingenieros.
Hay poder en los números
Otra gran táctica para conseguir la aceptación de sus líderes para adoptar una plataforma segura de aprendizaje de programación es hacer que sus colegas se unan. Cuantos más desarrolladores estén interesados en mejorar sus conocimientos de seguridad, más fácil será convencer a la dirección o a la alta dirección de que inviertan en ellos.
Entonces, ¿cómo se hace eso? Dado que la mayoría de los desarrolladores entienden la necesidad de mejorar en seguridad y quieren aprender, no debería ser demasiado difícil. También puedes hacer que echen un vistazo a esto presentación para desarrolladores de Secure Code Warrior y eche un vistazo a nuestro producto y comience a probar sus habilidades de codificación segura. Una vez que vean el impacto del código inseguro y aprendan que aprender sobre seguridad puede ser divertido, se sentirán capacitados para aprender más.
Una vez que hayas adoptado la herramienta adecuada, una excelente manera de hacer que tus desarrolladores se involucren es con una competencia sana. Intenta iniciar tu programa de entrenamiento con un torneo.
Descubra cómo Nelnet se volvió realmente creativa con los torneos para crear una cultura de seguridad en su empresa.
La formación continua en seguridad promueve una cultura empresarial deseable
El entrenamiento no tiene por qué ser aburrido, y realmente no debería serlo. Sabemos que las clases son caras y difíciles de organizar, especialmente con equipos distribuidos, y es poco probable que les quites mucho provecho. Sin embargo, las organizaciones siguen ofreciendo formación sobre programación segura a los desarrolladores, que no hacen más que marcar una casilla cada año para comprobar el cumplimiento. Ya no basta con mantener el status quo. Es hora de que los gerentes de desarrollo y AppSec den un paso adelante y trabajen juntos para implementar una herramienta de capacitación que promueva el aprendizaje continuo y atractivo. Y eso empieza por convencer a los responsables de la toma de decisiones.
La formación continua y práctica es necesaria por varias razones. Las amenazas de ciberseguridad están en constante evolución, por lo que es natural que la formación para combatir esas amenazas también se realice de forma continua. No solo eso, sino que, como ya se mencionó, cuando aprendemos en tiempo real, es mucho más probable que retengamos lo que hemos aprendido. La programación teniendo en cuenta la seguridad es difícil de implementar, porque esperar que un desarrollador recuerde algo que ha aprendido en una presentación de diapositivas fuera de contexto (quizás casi un año antes) no es realista. Pero si aprenden a evitar una vulnerabilidad de software concreta en el momento en que se les informa de ella y sienten que están jugando a un juego al mismo tiempo, es un juego completamente nuevo.
Tan pronto como se implementa una formación práctica y relevante, la seguridad pasa a formar parte de la cultura de la empresa y ya no se trata como una idea de último momento. Se incorpora al proceso de desarrollo desde el inicio del ciclo de vida del desarrollo del software.
Entonces, ¿qué estás esperando? Comience su camino hacia la mejora de la seguridad en su organización y la protección de los datos vitales de la empresa y los clientes. Haga que sus desarrolladores y jefes se unan para llevar la codificación segura al siguiente nivel en su organización. Deje de experimentar las mismas vulnerabilidades una y otra vez y piense en la seguridad desde el principio.
¿Necesitas más recursos?
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
Lo más probable es que si se ocupa del software de alguna manera, ya sea desarrollador, control de calidad, jefe de ingeniería o profesional de AppSec, la seguridad sea parte de su trabajo. La tarea del equipo de seguridad es señalar las vulnerabilidades del software, y la tarea del desarrollador es hacer todo lo posible para escribir código sin errores desde el principio. Sin embargo, para realizar esas tareas de la manera más eficiente y eficaz posible, es importante que todas las partes trabajen juntas contra las amenazas de seguridad, empezando por el código en el que se ejecutan las aplicaciones.
Sin embargo, aprender de manera efectiva sobre la codificación segura y retener ese conocimiento puede hacer que parezca que es intrínsecamente difícil. Con las herramientas adecuadas, no tiene por qué serlo. Sin embargo, no siempre es fácil convencer a las partes interesadas y a los superiores de que inviertan en el tipo de formación adecuado. La formación se elige con demasiada frecuencia con el único objetivo de cumplir con los requisitos y, en la mayoría de los casos, es irrelevante para el trabajo diario de un desarrollador. Pero, ¿qué pasaría si los desarrolladores pudieran aprender sobre la seguridad en tiempo real, en el lenguaje:framework en el que trabajan todos los días, y divertirse haciéndolo? ¿Y para colmo de males? Su organización cumple con los estándares de la industria al mismo tiempo.
Te respaldamos. Estas son algunas estrategias para ganarte el apoyo de tus colegas, líderes y responsables de la toma de decisiones más importantes de tu organización y así poder participar en un programa de formación sobre codificación de seguridad centrado en los desarrolladores.
Evitar las vulnerabilidades del software desde el principio ahorra una cantidad incalculable de tiempo y dinero
¿Dedica demasiado tiempo a buscar, denunciar o solucionar problemas de seguridad que se repiten? No estás solo.
Imagínese el siguiente escenario: tan pronto como AppSec encuentre una vulnerabilidad y la notifique al equipo de desarrollo, los desarrolladores comenzarán una lección de capacitación relevante y aprenderán no solo cómo corregir esa falla, sino también cómo evitar cometer el mismo error en el futuro. ¿Cuál cree que sería el resultado? Lo más probable es que ese desarrollador recuerde esa lección debido a su relevancia y sea menos probable que vuelva a cometer el mismo error. Esto significa que si trabajas en un equipo de seguridad, es menos probable que ese desarrollador vuelva a crear esa vulnerabilidad sin saberlo y es menos probable que ese mismo desarrollador tenga que volver a corregirla.
Vea este vídeo de nuestro cliente, Contrast Security, sobre la eficacia de la formación en tiempo real para su equipo de desarrollo.
Si todos los desarrolladores participaran en una formación regular sobre código seguro y tuvieran las herramientas al alcance de la mano para aprender sobre los problemas de seguridad en tiempo real, el tiempo que se recupera para crear software increíble y trabajar en programas de seguridad es inconmensurable. Parece un argumento bastante bueno para que su organización invierta en una herramienta como esa, ¿verdad?
Si has encontrado una gran herramienta que te encantaría usar para mejorar tus habilidades en seguridad, algo como (tos) Secure Code Warrior, este es un buen argumento para presentárselo al CISO o al CTO de su organización.
Los desarrolladores capacitados ofrecen mejores resultados y son más felices
El tiempo y el dinero son, por supuesto, muy importantes para su equipo de gestión, pero también lo es su satisfacción laboral. Los empleados satisfechos obtienen mejores resultados, permanecen más tiempo en sus puestos de trabajo y contribuyen a crear un entorno laboral positivo. Por eso, el desarrollo profesional y la formación son una inversión, no un coste. ¿Y si esa formación es realmente divertida y enseña algo relevante? Eso sí que es un billete dorado para el éxito.
La buena noticia es que los desarrolladores suelen estar muy motivados para aprender sobre seguridad porque saben lo importante que es para su trabajo. En un estudio realizado con Evans Data Corporation, encuestamos a desarrolladores de todo el mundo y descubrimos que los desarrolladores quieren aprender sobre seguridad porque:
- Aumenta la productividad y la eficiencia
- Sienten curiosidad y están personalmente interesados en conocerlo
- Quieren evitar los problemas asociados con el código inseguro
- Entienden que brinda la posibilidad de avanzar en la carrera
- Es un uso más eficiente de los recursos humanos
(Descargue el documento técnico completo) aquí.)
El único problema es que la formación de codificación más segura los está decepcionando. No es relevante para su trabajo diario y, seamos sinceros, es francamente aburrido. Se trata de funciones que no suelen ofrecer buenos resultados en términos de retención de información y, de hecho, de aprendizaje. Sin embargo, cuando la plataforma de aprendizaje está centrada en el desarrollador, es divertida, atractiva y relevante para su trabajo, puede ofrecer resultados reales y crear personas empoderadas que quiero para escribir código seguro. ¿Y por qué su jefe, ya sea un jefe de desarrollo, un CISO o un CTO, no querría que los desarrolladores estuvieran interesados en programar de forma segura y tuvieran las habilidades necesarias para hacerlo?
La comprensión de la seguridad hace que los ingenieros sean mejores en general
Cuando los ingenieros comprenden cómo el software puede ser vulnerable a los ataques, hacen su trabajo teniendo eso en cuenta. Cuanto más comprenda una persona lo que puede salir mal, más trabajará con un enfoque preventivo.
No solo eso, sino que el código de mala calidad tiene más probabilidades de contener vulnerabilidades de software y es más fácil para un desarrollador introducir una vulnerabilidad en ese código sin saberlo. ¿Por qué? Porque mucho de lo que hacen es leer y modificar el código. Cuando ese código está mal organizado y utiliza una lógica deficiente, lleva más tiempo realizar esas tareas y resulta más fácil cambiar algo e introducir accidentalmente un error de seguridad crítico.
Cuando se entiende la seguridad y cómo evitar problemas, también hay que pensar más en la calidad general de ese código y en cómo escribirlo de forma que no se pueda introducir un error fácilmente por accidente. La formación en seguridad es beneficiosa para todos. Los desarrolladores aprenden a programar de forma segura, pero mientras tanto también se convierten en mejores ingenieros.
Hay poder en los números
Otra gran táctica para conseguir la aceptación de sus líderes para adoptar una plataforma segura de aprendizaje de programación es hacer que sus colegas se unan. Cuantos más desarrolladores estén interesados en mejorar sus conocimientos de seguridad, más fácil será convencer a la dirección o a la alta dirección de que inviertan en ellos.
Entonces, ¿cómo se hace eso? Dado que la mayoría de los desarrolladores entienden la necesidad de mejorar en seguridad y quieren aprender, no debería ser demasiado difícil. También puedes hacer que echen un vistazo a esto presentación para desarrolladores de Secure Code Warrior y eche un vistazo a nuestro producto y comience a probar sus habilidades de codificación segura. Una vez que vean el impacto del código inseguro y aprendan que aprender sobre seguridad puede ser divertido, se sentirán capacitados para aprender más.
Una vez que hayas adoptado la herramienta adecuada, una excelente manera de hacer que tus desarrolladores se involucren es con una competencia sana. Intenta iniciar tu programa de entrenamiento con un torneo.
Descubra cómo Nelnet se volvió realmente creativa con los torneos para crear una cultura de seguridad en su empresa.
La formación continua en seguridad promueve una cultura empresarial deseable
El entrenamiento no tiene por qué ser aburrido, y realmente no debería serlo. Sabemos que las clases son caras y difíciles de organizar, especialmente con equipos distribuidos, y es poco probable que les quites mucho provecho. Sin embargo, las organizaciones siguen ofreciendo formación sobre programación segura a los desarrolladores, que no hacen más que marcar una casilla cada año para comprobar el cumplimiento. Ya no basta con mantener el status quo. Es hora de que los gerentes de desarrollo y AppSec den un paso adelante y trabajen juntos para implementar una herramienta de capacitación que promueva el aprendizaje continuo y atractivo. Y eso empieza por convencer a los responsables de la toma de decisiones.
La formación continua y práctica es necesaria por varias razones. Las amenazas de ciberseguridad están en constante evolución, por lo que es natural que la formación para combatir esas amenazas también se realice de forma continua. No solo eso, sino que, como ya se mencionó, cuando aprendemos en tiempo real, es mucho más probable que retengamos lo que hemos aprendido. La programación teniendo en cuenta la seguridad es difícil de implementar, porque esperar que un desarrollador recuerde algo que ha aprendido en una presentación de diapositivas fuera de contexto (quizás casi un año antes) no es realista. Pero si aprenden a evitar una vulnerabilidad de software concreta en el momento en que se les informa de ella y sienten que están jugando a un juego al mismo tiempo, es un juego completamente nuevo.
Tan pronto como se implementa una formación práctica y relevante, la seguridad pasa a formar parte de la cultura de la empresa y ya no se trata como una idea de último momento. Se incorpora al proceso de desarrollo desde el inicio del ciclo de vida del desarrollo del software.
Entonces, ¿qué estás esperando? Comience su camino hacia la mejora de la seguridad en su organización y la protección de los datos vitales de la empresa y los clientes. Haga que sus desarrolladores y jefes se unan para llevar la codificación segura al siguiente nivel en su organización. Deje de experimentar las mismas vulnerabilidades una y otra vez y piense en la seguridad desde el principio.
%20(1).avif)
.avif)
