Cómo impartir una formación eficaz en seguridad para desarrolladores: 5 lecciones importantes
¿Por qué un programa de formación en seguridad de aplicaciones para desarrolladores produce mejores resultados que otro?
Durante mis más de 10 años como formador de SANS y los últimos tres años fundando y creando Secure Code Warrior (SCW), he visto el valor de invertir tiempo y recursos para que los programas de capacitación produzcan los mejores resultados.
En nuestro primer año de ventas, nuestra empresa contrató a más de 10 000 desarrolladores en entrenamiento de código seguro, y observé una serie de tendencias entre quienes tuvieron la implementación más eficaz. Sus resultados son alentadores: un gran compromiso, un aumento de la concienciación sobre la seguridad y un sólido retorno de la inversión del programa, ya que se detectan las debilidades de seguridad antes de que se vuelvan costosas.
Odio admitirlo, pero también hubo algunos que adoptaron el enfoque de «poco esfuerzo» e intentaron implementar un programa enviando un correo electrónico con un enlace a la capacitación. No es sorprendente que no funcione tan bien y que hayamos tenido que corregir estas implementaciones.
A continuación, comparto lo que creo que son cinco lecciones importantes que mejorarán significativamente los niveles de participación, el impacto y el éxito de cualquier programa de formación en seguridad para desarrolladores, incluido el nuestro.
1. Pon un poco de diversión en el inicio si quieres que tu programa tenga un impacto
Organizar un evento especial para el día de lanzamiento o darle a tu programa un tema cinematográfico, geeksy o de videojuegos puede marcar una gran diferencia en el nivel de emoción y participación desde el principio. Uno de nuestros grandes clientes ha creado todo un programa fantástico en torno a una popular serie de televisión, con camisetas, insignias y pegatinas, lo que convierte todo el programa de formación en una experiencia que ningún desarrollador querría perderse. Otro evento tuvo como tema la Guerra de las Galaxias, que se celebró convenientemente el 4 de mayo. Un poco de diversión contribuye en gran medida a que los empleados se involucren, haciendo que las sesiones breves de formación importante para desarrolladores en código seguro parezcan un descanso del trabajo, en lugar de otra tarea pendiente. Lograr el hito #1 es captar su atención y ellos conocen el programa.
2. Encuentre al campeón de formación en seguridad para desarrolladores adecuado (una pista: ¡necesitan habilidades de comunicación más que habilidades de seguridad!)
Ser capaz de encontrar a los campeones de seguridad adecuados en cada equipo de scrum es fundamental para el éxito continuo del programa, especialmente en las organizaciones más grandes. Según mi experiencia, no todos los expertos en seguridad o desarrolladores altamente cualificados tienen personas o habilidades de comunicación altamente desarrolladas. Los mejores defensores de la seguridad, aquellos que harán que su programa tenga un impacto positivo y continuo, son aquellas personas apasionadas por la seguridad y que tienen sólidas habilidades interpersonales, de influencia y de comunicación. Elige con prudencia y ten en cuenta las habilidades de personalidad y comunicación.
3. Obtenga recompensas geniales que reconozcan las habilidades
En general, a todos los fanáticos de la informática (incluidos los desarrolladores) les gusta que se les reconozca por su inteligencia y habilidades. Cuando los recompenses con pegatinas de estado específicas, artilugios curiosos, insignias especiales o camisetas estampadas personalizadas que reconozcan sus habilidades, las llevarán puestas o las mostrarán con orgullo. Si alguien consigue algo importante en el programa de formación, es importante pensar en formas de reconocerlo y darle visibilidad. Vi una gran iniciativa con un cliente que, con frecuencia, sacaba fotos de sus campeones de Secure Code Warrior y las publicaba junto con una foto y un mensaje del director de seguridad de la empresa en el boletín informativo para empleados.
4. No intentes convertir a tus desarrolladores en expertos en seguridad
Si bien desea convertir a sus desarrolladores en la «primera línea de defensa» de su programa de seguridad ayudándolos a programar de forma segura, eso no significa que tengan que ser los expertos en seguridad más expertos de su empresa ni que deba ofrecerles continuamente nuevos ejemplos de vulnerabilidades de seguridad y violaciones de datos. Si bien la seguridad es importante, su objetivo principal suele ser crear un producto o servicio excelente y seguir el ritmo de la empresa. Si sobrecargas a alguien con demasiada seguridad, corres el riesgo de desconectarlo. Las principales lecciones aprendidas son que tienen que entender la higiene básica de la seguridad y apoyarlos con herramientas para programar de forma segura, pero no es necesario que sean los expertos en seguridad de la empresa.
5. No midas la formación, mide el impacto
No midas el número de horas de formación que reciben tus desarrolladores ni el número de vídeos que ven, mide el número de puntos débiles que se detectan durante el ciclo de vida del desarrollo mediante el análisis de código, las recompensas por errores o las clásicas pruebas de vulnerabilidad antes de iniciar el programa en cada equipo. Si tu programa de formación funciona, el número de vulnerabilidades que se identifiquen disminuirá. Lo segundo que hay que medir es el tiempo que lleva corregir una vulnerabilidad. Si un desarrollador tarda un mes en solucionarlo, esto demuestra claramente que no entiende cómo hacerlo, pero si puede solucionarlo en una hora, sabrás que domina las habilidades. Estas son las dos métricas que emplean las empresas inteligentes para medir el impacto de su formación en programación segura para desarrolladores.
5 lecciones importantes sobre cómo impartir una formación eficaz en seguridad para desarrolladores:
- Pon un poco de diversión en el inicio si quieres que tu programa tenga un impacto
- Encuentre al campeón de formación en seguridad para desarrolladores adecuado (una pista: ¡necesitan habilidades de comunicación más que habilidades de seguridad!)
- Obtén recompensas geniales que reconozcan tus habilidades
- No intentes convertir a tus desarrolladores en expertos en seguridad
- No mida la formación, mida el impacto
5 lecciones importantes sobre cómo impartir una formación eficaz en seguridad para desarrolladores
首席执行官、主席和联合创始人
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
¿Por qué un programa de formación en seguridad de aplicaciones para desarrolladores produce mejores resultados que otro?
Durante mis más de 10 años como formador de SANS y los últimos tres años fundando y creando Secure Code Warrior (SCW), he visto el valor de invertir tiempo y recursos para que los programas de capacitación produzcan los mejores resultados.
En nuestro primer año de ventas, nuestra empresa contrató a más de 10 000 desarrolladores en entrenamiento de código seguro, y observé una serie de tendencias entre quienes tuvieron la implementación más eficaz. Sus resultados son alentadores: un gran compromiso, un aumento de la concienciación sobre la seguridad y un sólido retorno de la inversión del programa, ya que se detectan las debilidades de seguridad antes de que se vuelvan costosas.
Odio admitirlo, pero también hubo algunos que adoptaron el enfoque de «poco esfuerzo» e intentaron implementar un programa enviando un correo electrónico con un enlace a la capacitación. No es sorprendente que no funcione tan bien y que hayamos tenido que corregir estas implementaciones.
A continuación, comparto lo que creo que son cinco lecciones importantes que mejorarán significativamente los niveles de participación, el impacto y el éxito de cualquier programa de formación en seguridad para desarrolladores, incluido el nuestro.
1. Pon un poco de diversión en el inicio si quieres que tu programa tenga un impacto
Organizar un evento especial para el día de lanzamiento o darle a tu programa un tema cinematográfico, geeksy o de videojuegos puede marcar una gran diferencia en el nivel de emoción y participación desde el principio. Uno de nuestros grandes clientes ha creado todo un programa fantástico en torno a una popular serie de televisión, con camisetas, insignias y pegatinas, lo que convierte todo el programa de formación en una experiencia que ningún desarrollador querría perderse. Otro evento tuvo como tema la Guerra de las Galaxias, que se celebró convenientemente el 4 de mayo. Un poco de diversión contribuye en gran medida a que los empleados se involucren, haciendo que las sesiones breves de formación importante para desarrolladores en código seguro parezcan un descanso del trabajo, en lugar de otra tarea pendiente. Lograr el hito #1 es captar su atención y ellos conocen el programa.
2. Encuentre al campeón de formación en seguridad para desarrolladores adecuado (una pista: ¡necesitan habilidades de comunicación más que habilidades de seguridad!)
Ser capaz de encontrar a los campeones de seguridad adecuados en cada equipo de scrum es fundamental para el éxito continuo del programa, especialmente en las organizaciones más grandes. Según mi experiencia, no todos los expertos en seguridad o desarrolladores altamente cualificados tienen personas o habilidades de comunicación altamente desarrolladas. Los mejores defensores de la seguridad, aquellos que harán que su programa tenga un impacto positivo y continuo, son aquellas personas apasionadas por la seguridad y que tienen sólidas habilidades interpersonales, de influencia y de comunicación. Elige con prudencia y ten en cuenta las habilidades de personalidad y comunicación.
3. Obtenga recompensas geniales que reconozcan las habilidades
En general, a todos los fanáticos de la informática (incluidos los desarrolladores) les gusta que se les reconozca por su inteligencia y habilidades. Cuando los recompenses con pegatinas de estado específicas, artilugios curiosos, insignias especiales o camisetas estampadas personalizadas que reconozcan sus habilidades, las llevarán puestas o las mostrarán con orgullo. Si alguien consigue algo importante en el programa de formación, es importante pensar en formas de reconocerlo y darle visibilidad. Vi una gran iniciativa con un cliente que, con frecuencia, sacaba fotos de sus campeones de Secure Code Warrior y las publicaba junto con una foto y un mensaje del director de seguridad de la empresa en el boletín informativo para empleados.
4. No intentes convertir a tus desarrolladores en expertos en seguridad
Si bien desea convertir a sus desarrolladores en la «primera línea de defensa» de su programa de seguridad ayudándolos a programar de forma segura, eso no significa que tengan que ser los expertos en seguridad más expertos de su empresa ni que deba ofrecerles continuamente nuevos ejemplos de vulnerabilidades de seguridad y violaciones de datos. Si bien la seguridad es importante, su objetivo principal suele ser crear un producto o servicio excelente y seguir el ritmo de la empresa. Si sobrecargas a alguien con demasiada seguridad, corres el riesgo de desconectarlo. Las principales lecciones aprendidas son que tienen que entender la higiene básica de la seguridad y apoyarlos con herramientas para programar de forma segura, pero no es necesario que sean los expertos en seguridad de la empresa.
5. No midas la formación, mide el impacto
No midas el número de horas de formación que reciben tus desarrolladores ni el número de vídeos que ven, mide el número de puntos débiles que se detectan durante el ciclo de vida del desarrollo mediante el análisis de código, las recompensas por errores o las clásicas pruebas de vulnerabilidad antes de iniciar el programa en cada equipo. Si tu programa de formación funciona, el número de vulnerabilidades que se identifiquen disminuirá. Lo segundo que hay que medir es el tiempo que lleva corregir una vulnerabilidad. Si un desarrollador tarda un mes en solucionarlo, esto demuestra claramente que no entiende cómo hacerlo, pero si puede solucionarlo en una hora, sabrás que domina las habilidades. Estas son las dos métricas que emplean las empresas inteligentes para medir el impacto de su formación en programación segura para desarrolladores.
5 lecciones importantes sobre cómo impartir una formación eficaz en seguridad para desarrolladores:
- Pon un poco de diversión en el inicio si quieres que tu programa tenga un impacto
- Encuentre al campeón de formación en seguridad para desarrolladores adecuado (una pista: ¡necesitan habilidades de comunicación más que habilidades de seguridad!)
- Obtén recompensas geniales que reconozcan tus habilidades
- No intentes convertir a tus desarrolladores en expertos en seguridad
- No mida la formación, mida el impacto
¿Por qué un programa de formación en seguridad de aplicaciones para desarrolladores produce mejores resultados que otro?
Durante mis más de 10 años como formador de SANS y los últimos tres años fundando y creando Secure Code Warrior (SCW), he visto el valor de invertir tiempo y recursos para que los programas de capacitación produzcan los mejores resultados.
En nuestro primer año de ventas, nuestra empresa contrató a más de 10 000 desarrolladores en entrenamiento de código seguro, y observé una serie de tendencias entre quienes tuvieron la implementación más eficaz. Sus resultados son alentadores: un gran compromiso, un aumento de la concienciación sobre la seguridad y un sólido retorno de la inversión del programa, ya que se detectan las debilidades de seguridad antes de que se vuelvan costosas.
Odio admitirlo, pero también hubo algunos que adoptaron el enfoque de «poco esfuerzo» e intentaron implementar un programa enviando un correo electrónico con un enlace a la capacitación. No es sorprendente que no funcione tan bien y que hayamos tenido que corregir estas implementaciones.
A continuación, comparto lo que creo que son cinco lecciones importantes que mejorarán significativamente los niveles de participación, el impacto y el éxito de cualquier programa de formación en seguridad para desarrolladores, incluido el nuestro.
1. Pon un poco de diversión en el inicio si quieres que tu programa tenga un impacto
Organizar un evento especial para el día de lanzamiento o darle a tu programa un tema cinematográfico, geeksy o de videojuegos puede marcar una gran diferencia en el nivel de emoción y participación desde el principio. Uno de nuestros grandes clientes ha creado todo un programa fantástico en torno a una popular serie de televisión, con camisetas, insignias y pegatinas, lo que convierte todo el programa de formación en una experiencia que ningún desarrollador querría perderse. Otro evento tuvo como tema la Guerra de las Galaxias, que se celebró convenientemente el 4 de mayo. Un poco de diversión contribuye en gran medida a que los empleados se involucren, haciendo que las sesiones breves de formación importante para desarrolladores en código seguro parezcan un descanso del trabajo, en lugar de otra tarea pendiente. Lograr el hito #1 es captar su atención y ellos conocen el programa.
2. Encuentre al campeón de formación en seguridad para desarrolladores adecuado (una pista: ¡necesitan habilidades de comunicación más que habilidades de seguridad!)
Ser capaz de encontrar a los campeones de seguridad adecuados en cada equipo de scrum es fundamental para el éxito continuo del programa, especialmente en las organizaciones más grandes. Según mi experiencia, no todos los expertos en seguridad o desarrolladores altamente cualificados tienen personas o habilidades de comunicación altamente desarrolladas. Los mejores defensores de la seguridad, aquellos que harán que su programa tenga un impacto positivo y continuo, son aquellas personas apasionadas por la seguridad y que tienen sólidas habilidades interpersonales, de influencia y de comunicación. Elige con prudencia y ten en cuenta las habilidades de personalidad y comunicación.
3. Obtenga recompensas geniales que reconozcan las habilidades
En general, a todos los fanáticos de la informática (incluidos los desarrolladores) les gusta que se les reconozca por su inteligencia y habilidades. Cuando los recompenses con pegatinas de estado específicas, artilugios curiosos, insignias especiales o camisetas estampadas personalizadas que reconozcan sus habilidades, las llevarán puestas o las mostrarán con orgullo. Si alguien consigue algo importante en el programa de formación, es importante pensar en formas de reconocerlo y darle visibilidad. Vi una gran iniciativa con un cliente que, con frecuencia, sacaba fotos de sus campeones de Secure Code Warrior y las publicaba junto con una foto y un mensaje del director de seguridad de la empresa en el boletín informativo para empleados.
4. No intentes convertir a tus desarrolladores en expertos en seguridad
Si bien desea convertir a sus desarrolladores en la «primera línea de defensa» de su programa de seguridad ayudándolos a programar de forma segura, eso no significa que tengan que ser los expertos en seguridad más expertos de su empresa ni que deba ofrecerles continuamente nuevos ejemplos de vulnerabilidades de seguridad y violaciones de datos. Si bien la seguridad es importante, su objetivo principal suele ser crear un producto o servicio excelente y seguir el ritmo de la empresa. Si sobrecargas a alguien con demasiada seguridad, corres el riesgo de desconectarlo. Las principales lecciones aprendidas son que tienen que entender la higiene básica de la seguridad y apoyarlos con herramientas para programar de forma segura, pero no es necesario que sean los expertos en seguridad de la empresa.
5. No midas la formación, mide el impacto
No midas el número de horas de formación que reciben tus desarrolladores ni el número de vídeos que ven, mide el número de puntos débiles que se detectan durante el ciclo de vida del desarrollo mediante el análisis de código, las recompensas por errores o las clásicas pruebas de vulnerabilidad antes de iniciar el programa en cada equipo. Si tu programa de formación funciona, el número de vulnerabilidades que se identifiquen disminuirá. Lo segundo que hay que medir es el tiempo que lleva corregir una vulnerabilidad. Si un desarrollador tarda un mes en solucionarlo, esto demuestra claramente que no entiende cómo hacerlo, pero si puede solucionarlo en una hora, sabrás que domina las habilidades. Estas son las dos métricas que emplean las empresas inteligentes para medir el impacto de su formación en programación segura para desarrolladores.
5 lecciones importantes sobre cómo impartir una formación eficaz en seguridad para desarrolladores:
- Pon un poco de diversión en el inicio si quieres que tu programa tenga un impacto
- Encuentre al campeón de formación en seguridad para desarrolladores adecuado (una pista: ¡necesitan habilidades de comunicación más que habilidades de seguridad!)
- Obtén recompensas geniales que reconozcan tus habilidades
- No intentes convertir a tus desarrolladores en expertos en seguridad
- No mida la formación, mida el impacto
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
¿Por qué un programa de formación en seguridad de aplicaciones para desarrolladores produce mejores resultados que otro?
Durante mis más de 10 años como formador de SANS y los últimos tres años fundando y creando Secure Code Warrior (SCW), he visto el valor de invertir tiempo y recursos para que los programas de capacitación produzcan los mejores resultados.
En nuestro primer año de ventas, nuestra empresa contrató a más de 10 000 desarrolladores en entrenamiento de código seguro, y observé una serie de tendencias entre quienes tuvieron la implementación más eficaz. Sus resultados son alentadores: un gran compromiso, un aumento de la concienciación sobre la seguridad y un sólido retorno de la inversión del programa, ya que se detectan las debilidades de seguridad antes de que se vuelvan costosas.
Odio admitirlo, pero también hubo algunos que adoptaron el enfoque de «poco esfuerzo» e intentaron implementar un programa enviando un correo electrónico con un enlace a la capacitación. No es sorprendente que no funcione tan bien y que hayamos tenido que corregir estas implementaciones.
A continuación, comparto lo que creo que son cinco lecciones importantes que mejorarán significativamente los niveles de participación, el impacto y el éxito de cualquier programa de formación en seguridad para desarrolladores, incluido el nuestro.
1. Pon un poco de diversión en el inicio si quieres que tu programa tenga un impacto
Organizar un evento especial para el día de lanzamiento o darle a tu programa un tema cinematográfico, geeksy o de videojuegos puede marcar una gran diferencia en el nivel de emoción y participación desde el principio. Uno de nuestros grandes clientes ha creado todo un programa fantástico en torno a una popular serie de televisión, con camisetas, insignias y pegatinas, lo que convierte todo el programa de formación en una experiencia que ningún desarrollador querría perderse. Otro evento tuvo como tema la Guerra de las Galaxias, que se celebró convenientemente el 4 de mayo. Un poco de diversión contribuye en gran medida a que los empleados se involucren, haciendo que las sesiones breves de formación importante para desarrolladores en código seguro parezcan un descanso del trabajo, en lugar de otra tarea pendiente. Lograr el hito #1 es captar su atención y ellos conocen el programa.
2. Encuentre al campeón de formación en seguridad para desarrolladores adecuado (una pista: ¡necesitan habilidades de comunicación más que habilidades de seguridad!)
Ser capaz de encontrar a los campeones de seguridad adecuados en cada equipo de scrum es fundamental para el éxito continuo del programa, especialmente en las organizaciones más grandes. Según mi experiencia, no todos los expertos en seguridad o desarrolladores altamente cualificados tienen personas o habilidades de comunicación altamente desarrolladas. Los mejores defensores de la seguridad, aquellos que harán que su programa tenga un impacto positivo y continuo, son aquellas personas apasionadas por la seguridad y que tienen sólidas habilidades interpersonales, de influencia y de comunicación. Elige con prudencia y ten en cuenta las habilidades de personalidad y comunicación.
3. Obtenga recompensas geniales que reconozcan las habilidades
En general, a todos los fanáticos de la informática (incluidos los desarrolladores) les gusta que se les reconozca por su inteligencia y habilidades. Cuando los recompenses con pegatinas de estado específicas, artilugios curiosos, insignias especiales o camisetas estampadas personalizadas que reconozcan sus habilidades, las llevarán puestas o las mostrarán con orgullo. Si alguien consigue algo importante en el programa de formación, es importante pensar en formas de reconocerlo y darle visibilidad. Vi una gran iniciativa con un cliente que, con frecuencia, sacaba fotos de sus campeones de Secure Code Warrior y las publicaba junto con una foto y un mensaje del director de seguridad de la empresa en el boletín informativo para empleados.
4. No intentes convertir a tus desarrolladores en expertos en seguridad
Si bien desea convertir a sus desarrolladores en la «primera línea de defensa» de su programa de seguridad ayudándolos a programar de forma segura, eso no significa que tengan que ser los expertos en seguridad más expertos de su empresa ni que deba ofrecerles continuamente nuevos ejemplos de vulnerabilidades de seguridad y violaciones de datos. Si bien la seguridad es importante, su objetivo principal suele ser crear un producto o servicio excelente y seguir el ritmo de la empresa. Si sobrecargas a alguien con demasiada seguridad, corres el riesgo de desconectarlo. Las principales lecciones aprendidas son que tienen que entender la higiene básica de la seguridad y apoyarlos con herramientas para programar de forma segura, pero no es necesario que sean los expertos en seguridad de la empresa.
5. No midas la formación, mide el impacto
No midas el número de horas de formación que reciben tus desarrolladores ni el número de vídeos que ven, mide el número de puntos débiles que se detectan durante el ciclo de vida del desarrollo mediante el análisis de código, las recompensas por errores o las clásicas pruebas de vulnerabilidad antes de iniciar el programa en cada equipo. Si tu programa de formación funciona, el número de vulnerabilidades que se identifiquen disminuirá. Lo segundo que hay que medir es el tiempo que lleva corregir una vulnerabilidad. Si un desarrollador tarda un mes en solucionarlo, esto demuestra claramente que no entiende cómo hacerlo, pero si puede solucionarlo en una hora, sabrás que domina las habilidades. Estas son las dos métricas que emplean las empresas inteligentes para medir el impacto de su formación en programación segura para desarrolladores.
5 lecciones importantes sobre cómo impartir una formación eficaz en seguridad para desarrolladores:
- Pon un poco de diversión en el inicio si quieres que tu programa tenga un impacto
- Encuentre al campeón de formación en seguridad para desarrolladores adecuado (una pista: ¡necesitan habilidades de comunicación más que habilidades de seguridad!)
- Obtén recompensas geniales que reconozcan tus habilidades
- No intentes convertir a tus desarrolladores en expertos en seguridad
- No mida la formación, mida el impacto
%20(1).avif)
.avif)
