Torneos para desarrolladores: el arma secreta de AppSec para mejorar la cultura de seguridad y el compromiso
Imagina crear algo desde cero, ejerciendo tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o formando parte de un equipo, dedicas tu corazón y tu alma a construir algo de la nada. Dedicas cientos, tal vez incluso miles, de horas a ello, asegurándote de que tu bebé esté lo mejor posible. Al completarla, esa oleada de logros puede parecer una recompensa por sí sola.
Ahora, imagina que aparece un spoilsport y te dice que no es tan bueno. Quizás vayan un paso más allá y te digan que no, a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede usar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior seguramente causará cierta tensión; después de todo, ¿quién quiere que su arduo trabajo sea desmentido y condenado por inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de AppSec. Un desarrollador tiene la responsabilidad principal de crear un software que sea funcional, rico en funciones y que se entregue dentro de los estrictos plazos del proyecto. La seguridad rara vez es la prioridad, e incluso puede considerarse un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de comprobar meticulosamente el código, realizar pruebas con bolígrafos y, a continuación, informar de la mala noticia: la presencia de vulnerabilidades de seguridad en un código que, a menudo, ya está comprometido. Se trata de un proceso caro en un entorno en el que a menudo se agotan los recursos y el tiempo necesarios, ya que la configuración puede provocar desacuerdos entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar en desacuerdo.
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera del aula, al campo de juego
Dado que muchos desarrolladores completan su formación profesional sin aprender mucho sobre programación de forma segura, suele ocurrir que su primer punto de contacto con la educación en seguridad es al entrar en el mundo laboral. La formación presencial es una solución que se utiliza con frecuencia, pero quita un tiempo precioso a la entrega de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También hay cursos en vídeo, exámenes en papel y cursos genéricos sobre políticas de seguridad empresariales... todo lo cual puede resultar tan poco específico que resulta inútil en la vida laboral diaria del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de «marcar la casilla y seguir adelante» y, con demasiada frecuencia, tiene el efecto contrario: solo genera una brecha más amplia entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional esté teniendo el efecto positivo en la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos con tanta urgencia. Seguimos cometiendo los mismos errores.
Según la enumeración de debilidades comunes (CWE) comunidad, hay más de 700 común debilidades de seguridad del software contra las que luchar. Algunas, como la inyección de SQL, son como cucarachas que no han sido aplastadas a pesar de su existencia desde hace más de veinte años. ¡Nosotros conocer cómo solucionarlo; la formación está ahí para que los desarrolladores puedan detenerlo y muchos otros, pero los procesos de revisión manual del código y pruebas con lápiz identifican continuamente estas infracciones.
Quizás lo hemos analizado todo mal y, como industria, necesitamos abordar la educación viable desde un ángulo diferente, uno que aproveche las increíbles habilidades que tanto valoran nuestros desarrolladores. Son solucionadores de problemas creativos e inquisitivos a los que les encantan los desafíos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, es posible que al final se enamoren de la seguridad.
Un poco de competencia sana
La confianza en herramientas (bastante imprecisas), las costosas pruebas con lápiz y la escasez de especialistas en AppSec nos hundirán aún más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad están en línea como para que las empresas sigan siendo cautelosas con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, necesitamos recurrir a los superhéroes que siempre hemos tenido en la oficina: el equipo de desarrollo.
La formación gamificada, en los lenguajes y marcos pertinentes, es una herramienta potente para que los administradores de AppSec comiencen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden poner a prueba sus habilidades de seguridad recién adquiridas en un entorno de torneo divertido, que puede resultar tan emocionante como lo imagine: basta con echar un vistazo a cómo El «Juego de códigos» de IAG tengo todos hablando sobre la seguridad dentro de su organización.
Código seguro: Warrior's módulo de torneo proporciona algo más que un pequeño límite a un compromiso de formación mesurado: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación e identificar las áreas que pueden necesitar mejoras. El aspecto competitivo realmente actúa como un motivador para comprometerse de manera positiva con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el desarrollo de una cultura de seguridad sólida en el equipo y en la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa, si no abrumadora, puede contribuir en gran medida a cambiar las mentalidades negativas e inspirar una participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (saludable)?
Los campeones caminan entre vosotros
La formación gamificada y los torneos posteriores ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo obtienen mucha más información sobre el trabajo diario de los demás. Un desarrollador seguro es un activo, ya que corrige las vulnerabilidades más comunes y deja que los problemas complejos se encarguen de los escasos especialistas en AppSec sobre el terreno. Las mejores relaciones crecen y prosperan, y el valioso presupuesto de seguridad no se agota solucionando el escenario del «Día de la Marmota» en el que se repiten los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Los torneos pueden descubrir a aquellos que no solo tienen aptitudes para la seguridad, sino que muestran una pasión por ella de forma activa. Estos campeones son fundamentales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y defender las políticas de mejores prácticas. La implementación de un programa de promoción sólido, que incluya el reconocimiento y el apoyo de los ejecutivos, es un tanto a favor de la organización, además de un poderoso aporte para el currículum y la futura carrera profesional de la persona.
¿El resultado final? Debemos exigir mejores resultados en las pruebas de seguridad. Errores menos comunes, más apoyo para quienes están en primera línea. ¿Por qué no te das cuenta de cómo un torneo de desarrolladores puede ayudarte a conseguirlo antes de lo que crees?
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
首席执行官、主席和联合创始人
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Imagina crear algo desde cero, ejerciendo tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o formando parte de un equipo, dedicas tu corazón y tu alma a construir algo de la nada. Dedicas cientos, tal vez incluso miles, de horas a ello, asegurándote de que tu bebé esté lo mejor posible. Al completarla, esa oleada de logros puede parecer una recompensa por sí sola.
Ahora, imagina que aparece un spoilsport y te dice que no es tan bueno. Quizás vayan un paso más allá y te digan que no, a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede usar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior seguramente causará cierta tensión; después de todo, ¿quién quiere que su arduo trabajo sea desmentido y condenado por inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de AppSec. Un desarrollador tiene la responsabilidad principal de crear un software que sea funcional, rico en funciones y que se entregue dentro de los estrictos plazos del proyecto. La seguridad rara vez es la prioridad, e incluso puede considerarse un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de comprobar meticulosamente el código, realizar pruebas con bolígrafos y, a continuación, informar de la mala noticia: la presencia de vulnerabilidades de seguridad en un código que, a menudo, ya está comprometido. Se trata de un proceso caro en un entorno en el que a menudo se agotan los recursos y el tiempo necesarios, ya que la configuración puede provocar desacuerdos entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar en desacuerdo.
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera del aula, al campo de juego
Dado que muchos desarrolladores completan su formación profesional sin aprender mucho sobre programación de forma segura, suele ocurrir que su primer punto de contacto con la educación en seguridad es al entrar en el mundo laboral. La formación presencial es una solución que se utiliza con frecuencia, pero quita un tiempo precioso a la entrega de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También hay cursos en vídeo, exámenes en papel y cursos genéricos sobre políticas de seguridad empresariales... todo lo cual puede resultar tan poco específico que resulta inútil en la vida laboral diaria del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de «marcar la casilla y seguir adelante» y, con demasiada frecuencia, tiene el efecto contrario: solo genera una brecha más amplia entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional esté teniendo el efecto positivo en la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos con tanta urgencia. Seguimos cometiendo los mismos errores.
Según la enumeración de debilidades comunes (CWE) comunidad, hay más de 700 común debilidades de seguridad del software contra las que luchar. Algunas, como la inyección de SQL, son como cucarachas que no han sido aplastadas a pesar de su existencia desde hace más de veinte años. ¡Nosotros conocer cómo solucionarlo; la formación está ahí para que los desarrolladores puedan detenerlo y muchos otros, pero los procesos de revisión manual del código y pruebas con lápiz identifican continuamente estas infracciones.
Quizás lo hemos analizado todo mal y, como industria, necesitamos abordar la educación viable desde un ángulo diferente, uno que aproveche las increíbles habilidades que tanto valoran nuestros desarrolladores. Son solucionadores de problemas creativos e inquisitivos a los que les encantan los desafíos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, es posible que al final se enamoren de la seguridad.
Un poco de competencia sana
La confianza en herramientas (bastante imprecisas), las costosas pruebas con lápiz y la escasez de especialistas en AppSec nos hundirán aún más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad están en línea como para que las empresas sigan siendo cautelosas con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, necesitamos recurrir a los superhéroes que siempre hemos tenido en la oficina: el equipo de desarrollo.
La formación gamificada, en los lenguajes y marcos pertinentes, es una herramienta potente para que los administradores de AppSec comiencen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden poner a prueba sus habilidades de seguridad recién adquiridas en un entorno de torneo divertido, que puede resultar tan emocionante como lo imagine: basta con echar un vistazo a cómo El «Juego de códigos» de IAG tengo todos hablando sobre la seguridad dentro de su organización.
Código seguro: Warrior's módulo de torneo proporciona algo más que un pequeño límite a un compromiso de formación mesurado: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación e identificar las áreas que pueden necesitar mejoras. El aspecto competitivo realmente actúa como un motivador para comprometerse de manera positiva con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el desarrollo de una cultura de seguridad sólida en el equipo y en la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa, si no abrumadora, puede contribuir en gran medida a cambiar las mentalidades negativas e inspirar una participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (saludable)?
Los campeones caminan entre vosotros
La formación gamificada y los torneos posteriores ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo obtienen mucha más información sobre el trabajo diario de los demás. Un desarrollador seguro es un activo, ya que corrige las vulnerabilidades más comunes y deja que los problemas complejos se encarguen de los escasos especialistas en AppSec sobre el terreno. Las mejores relaciones crecen y prosperan, y el valioso presupuesto de seguridad no se agota solucionando el escenario del «Día de la Marmota» en el que se repiten los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Los torneos pueden descubrir a aquellos que no solo tienen aptitudes para la seguridad, sino que muestran una pasión por ella de forma activa. Estos campeones son fundamentales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y defender las políticas de mejores prácticas. La implementación de un programa de promoción sólido, que incluya el reconocimiento y el apoyo de los ejecutivos, es un tanto a favor de la organización, además de un poderoso aporte para el currículum y la futura carrera profesional de la persona.
¿El resultado final? Debemos exigir mejores resultados en las pruebas de seguridad. Errores menos comunes, más apoyo para quienes están en primera línea. ¿Por qué no te das cuenta de cómo un torneo de desarrolladores puede ayudarte a conseguirlo antes de lo que crees?
Imagina crear algo desde cero, ejerciendo tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o formando parte de un equipo, dedicas tu corazón y tu alma a construir algo de la nada. Dedicas cientos, tal vez incluso miles, de horas a ello, asegurándote de que tu bebé esté lo mejor posible. Al completarla, esa oleada de logros puede parecer una recompensa por sí sola.
Ahora, imagina que aparece un spoilsport y te dice que no es tan bueno. Quizás vayan un paso más allá y te digan que no, a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede usar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior seguramente causará cierta tensión; después de todo, ¿quién quiere que su arduo trabajo sea desmentido y condenado por inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de AppSec. Un desarrollador tiene la responsabilidad principal de crear un software que sea funcional, rico en funciones y que se entregue dentro de los estrictos plazos del proyecto. La seguridad rara vez es la prioridad, e incluso puede considerarse un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de comprobar meticulosamente el código, realizar pruebas con bolígrafos y, a continuación, informar de la mala noticia: la presencia de vulnerabilidades de seguridad en un código que, a menudo, ya está comprometido. Se trata de un proceso caro en un entorno en el que a menudo se agotan los recursos y el tiempo necesarios, ya que la configuración puede provocar desacuerdos entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar en desacuerdo.
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera del aula, al campo de juego
Dado que muchos desarrolladores completan su formación profesional sin aprender mucho sobre programación de forma segura, suele ocurrir que su primer punto de contacto con la educación en seguridad es al entrar en el mundo laboral. La formación presencial es una solución que se utiliza con frecuencia, pero quita un tiempo precioso a la entrega de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También hay cursos en vídeo, exámenes en papel y cursos genéricos sobre políticas de seguridad empresariales... todo lo cual puede resultar tan poco específico que resulta inútil en la vida laboral diaria del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de «marcar la casilla y seguir adelante» y, con demasiada frecuencia, tiene el efecto contrario: solo genera una brecha más amplia entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional esté teniendo el efecto positivo en la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos con tanta urgencia. Seguimos cometiendo los mismos errores.
Según la enumeración de debilidades comunes (CWE) comunidad, hay más de 700 común debilidades de seguridad del software contra las que luchar. Algunas, como la inyección de SQL, son como cucarachas que no han sido aplastadas a pesar de su existencia desde hace más de veinte años. ¡Nosotros conocer cómo solucionarlo; la formación está ahí para que los desarrolladores puedan detenerlo y muchos otros, pero los procesos de revisión manual del código y pruebas con lápiz identifican continuamente estas infracciones.
Quizás lo hemos analizado todo mal y, como industria, necesitamos abordar la educación viable desde un ángulo diferente, uno que aproveche las increíbles habilidades que tanto valoran nuestros desarrolladores. Son solucionadores de problemas creativos e inquisitivos a los que les encantan los desafíos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, es posible que al final se enamoren de la seguridad.
Un poco de competencia sana
La confianza en herramientas (bastante imprecisas), las costosas pruebas con lápiz y la escasez de especialistas en AppSec nos hundirán aún más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad están en línea como para que las empresas sigan siendo cautelosas con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, necesitamos recurrir a los superhéroes que siempre hemos tenido en la oficina: el equipo de desarrollo.
La formación gamificada, en los lenguajes y marcos pertinentes, es una herramienta potente para que los administradores de AppSec comiencen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden poner a prueba sus habilidades de seguridad recién adquiridas en un entorno de torneo divertido, que puede resultar tan emocionante como lo imagine: basta con echar un vistazo a cómo El «Juego de códigos» de IAG tengo todos hablando sobre la seguridad dentro de su organización.
Código seguro: Warrior's módulo de torneo proporciona algo más que un pequeño límite a un compromiso de formación mesurado: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación e identificar las áreas que pueden necesitar mejoras. El aspecto competitivo realmente actúa como un motivador para comprometerse de manera positiva con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el desarrollo de una cultura de seguridad sólida en el equipo y en la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa, si no abrumadora, puede contribuir en gran medida a cambiar las mentalidades negativas e inspirar una participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (saludable)?
Los campeones caminan entre vosotros
La formación gamificada y los torneos posteriores ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo obtienen mucha más información sobre el trabajo diario de los demás. Un desarrollador seguro es un activo, ya que corrige las vulnerabilidades más comunes y deja que los problemas complejos se encarguen de los escasos especialistas en AppSec sobre el terreno. Las mejores relaciones crecen y prosperan, y el valioso presupuesto de seguridad no se agota solucionando el escenario del «Día de la Marmota» en el que se repiten los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Los torneos pueden descubrir a aquellos que no solo tienen aptitudes para la seguridad, sino que muestran una pasión por ella de forma activa. Estos campeones son fundamentales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y defender las políticas de mejores prácticas. La implementación de un programa de promoción sólido, que incluya el reconocimiento y el apoyo de los ejecutivos, es un tanto a favor de la organización, además de un poderoso aporte para el currículum y la futura carrera profesional de la persona.
¿El resultado final? Debemos exigir mejores resultados en las pruebas de seguridad. Errores menos comunes, más apoyo para quienes están en primera línea. ¿Por qué no te das cuenta de cómo un torneo de desarrolladores puede ayudarte a conseguirlo antes de lo que crees?
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Imagina crear algo desde cero, ejerciendo tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o formando parte de un equipo, dedicas tu corazón y tu alma a construir algo de la nada. Dedicas cientos, tal vez incluso miles, de horas a ello, asegurándote de que tu bebé esté lo mejor posible. Al completarla, esa oleada de logros puede parecer una recompensa por sí sola.
Ahora, imagina que aparece un spoilsport y te dice que no es tan bueno. Quizás vayan un paso más allá y te digan que no, a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede usar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior seguramente causará cierta tensión; después de todo, ¿quién quiere que su arduo trabajo sea desmentido y condenado por inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de AppSec. Un desarrollador tiene la responsabilidad principal de crear un software que sea funcional, rico en funciones y que se entregue dentro de los estrictos plazos del proyecto. La seguridad rara vez es la prioridad, e incluso puede considerarse un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de comprobar meticulosamente el código, realizar pruebas con bolígrafos y, a continuación, informar de la mala noticia: la presencia de vulnerabilidades de seguridad en un código que, a menudo, ya está comprometido. Se trata de un proceso caro en un entorno en el que a menudo se agotan los recursos y el tiempo necesarios, ya que la configuración puede provocar desacuerdos entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar en desacuerdo.
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera del aula, al campo de juego
Dado que muchos desarrolladores completan su formación profesional sin aprender mucho sobre programación de forma segura, suele ocurrir que su primer punto de contacto con la educación en seguridad es al entrar en el mundo laboral. La formación presencial es una solución que se utiliza con frecuencia, pero quita un tiempo precioso a la entrega de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También hay cursos en vídeo, exámenes en papel y cursos genéricos sobre políticas de seguridad empresariales... todo lo cual puede resultar tan poco específico que resulta inútil en la vida laboral diaria del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de «marcar la casilla y seguir adelante» y, con demasiada frecuencia, tiene el efecto contrario: solo genera una brecha más amplia entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional esté teniendo el efecto positivo en la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos con tanta urgencia. Seguimos cometiendo los mismos errores.
Según la enumeración de debilidades comunes (CWE) comunidad, hay más de 700 común debilidades de seguridad del software contra las que luchar. Algunas, como la inyección de SQL, son como cucarachas que no han sido aplastadas a pesar de su existencia desde hace más de veinte años. ¡Nosotros conocer cómo solucionarlo; la formación está ahí para que los desarrolladores puedan detenerlo y muchos otros, pero los procesos de revisión manual del código y pruebas con lápiz identifican continuamente estas infracciones.
Quizás lo hemos analizado todo mal y, como industria, necesitamos abordar la educación viable desde un ángulo diferente, uno que aproveche las increíbles habilidades que tanto valoran nuestros desarrolladores. Son solucionadores de problemas creativos e inquisitivos a los que les encantan los desafíos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, es posible que al final se enamoren de la seguridad.
Un poco de competencia sana
La confianza en herramientas (bastante imprecisas), las costosas pruebas con lápiz y la escasez de especialistas en AppSec nos hundirán aún más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad están en línea como para que las empresas sigan siendo cautelosas con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, necesitamos recurrir a los superhéroes que siempre hemos tenido en la oficina: el equipo de desarrollo.
La formación gamificada, en los lenguajes y marcos pertinentes, es una herramienta potente para que los administradores de AppSec comiencen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden poner a prueba sus habilidades de seguridad recién adquiridas en un entorno de torneo divertido, que puede resultar tan emocionante como lo imagine: basta con echar un vistazo a cómo El «Juego de códigos» de IAG tengo todos hablando sobre la seguridad dentro de su organización.
Código seguro: Warrior's módulo de torneo proporciona algo más que un pequeño límite a un compromiso de formación mesurado: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación e identificar las áreas que pueden necesitar mejoras. El aspecto competitivo realmente actúa como un motivador para comprometerse de manera positiva con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el desarrollo de una cultura de seguridad sólida en el equipo y en la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa, si no abrumadora, puede contribuir en gran medida a cambiar las mentalidades negativas e inspirar una participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (saludable)?
Los campeones caminan entre vosotros
La formación gamificada y los torneos posteriores ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo obtienen mucha más información sobre el trabajo diario de los demás. Un desarrollador seguro es un activo, ya que corrige las vulnerabilidades más comunes y deja que los problemas complejos se encarguen de los escasos especialistas en AppSec sobre el terreno. Las mejores relaciones crecen y prosperan, y el valioso presupuesto de seguridad no se agota solucionando el escenario del «Día de la Marmota» en el que se repiten los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Los torneos pueden descubrir a aquellos que no solo tienen aptitudes para la seguridad, sino que muestran una pasión por ella de forma activa. Estos campeones son fundamentales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y defender las políticas de mejores prácticas. La implementación de un programa de promoción sólido, que incluya el reconocimiento y el apoyo de los ejecutivos, es un tanto a favor de la organización, además de un poderoso aporte para el currículum y la futura carrera profesional de la persona.
¿El resultado final? Debemos exigir mejores resultados en las pruebas de seguridad. Errores menos comunes, más apoyo para quienes están en primera línea. ¿Por qué no te das cuenta de cómo un torneo de desarrolladores puede ayudarte a conseguirlo antes de lo que crees?
%20(1).avif)
.avif)
