如何通过“代码游戏”引领IAG集团迈向更安全的编码未来
IAG Group es el nombre detrás de muchas de las principales compañías de seguros de la región Asia-Pacífico, que suscriben pólizas para millones de clientes por un importe de aproximadamente 11 400 millones de dólares australianos en primas al año. Bianca Wirth es la directora de educación y concienciación sobre seguridad corporativa del Grupo IAG. Consciente de la necesidad de que el equipo de desarrollo tuviera una conciencia y unas prácticas estrictas en materia de seguridad, se propuso crear un entorno realmente innovador y óptimo en el que el equipo pudiera aprender técnicas fundamentales de codificación segura.
ENTER: Juego de códigos
El desafío
Los desarrolladores suelen tener poco tiempo, con múltiples entregas y proyectos a punto de ebullición. Sin embargo, mantenerse al día con las mejores prácticas de seguridad es de suma importancia para cualquier organización, y mucho menos para una que tenga millones de perfiles de datos confidenciales de clientes a los que mantenerse a salvo de los piratas informáticos. Bianca y su equipo se fijan objetivos claros para hacer que sus iniciativas de ciberseguridad sean más sólidas. Determinaron que la prioridad era minimizar la superficie de ataque de las aplicaciones desarrolladas por el INIAG, y abordarían este objetivo educando a los desarrolladores para que identificaran y corrigieran las vulnerabilidades críticas y de alto riesgo. No cabe duda de que existen cursos prolongados de formación sobre programación segura, pero pueden resultar laboriosos y tediosos y alejar al personal clave de los proyectos de desarrollo con plazos de entrega estrictos, lo que genera presión en toda la empresa. Se hizo evidente la necesidad de mejorar rápidamente las habilidades del equipo de desarrollo, con un impacto mínimo en la carga de trabajo y las operaciones. Y dado que los desarrolladores de Australia y Nueva Zelanda trabajaban en sistemas que no eran necesariamente los mismos, no fue poca cosa.
«Este año, realicé un cambio en nuestro código fuente que eliminó una vulnerabilidad de inyección de SQL. Por su conocimiento de esto, doy crédito a Game of Codes. Incluso es útil tener en cuenta la codificación segura. La competencia es una buena forma de motivar a las personas a que den lo mejor de sí mismas... porque, seamos sinceros, la seguridad no es un tema que le guste a todo el mundo, por lo que es una buena forma de hacer que la gente participe». R, desarrollador de IAG
La implementación
Bianca diseñó una estrategia para implementar una experiencia de entrenamiento gamificada y trabajó en conjunto con su equipo y Secure Code Warrior en la implementación de torneos y capacitaciones para promover las habilidades de sus desarrolladores internos. Para ello, era fundamental establecer una estrategia de comunicación sólida, así como tener en cuenta las diferentes motivaciones y personalidades del personal a la hora de adoptar una plataforma completamente nueva y utilizarla al máximo de su potencial:
«Diseñamos un plan de comunicación que consiste en cómo comunicaremos al personal y a las principales partes interesadas los puntos que necesitan saber, los mensajes clave y los incentivos que también les estamos ofreciendo para que respondan. La mayoría de las personas realmente disfrutan de la experiencia gamificada. Solo depende de sus personalidades, su motivación y lo que los impulsa. Por eso intentamos satisfacer una gama completamente diferente de motivaciones para las personas. Para algunos, les encantan los premios, para otros, el aspecto de los logros en sí mismo es un factor suficiente». ella dijo
Bianca e IAG mostraron de manera experta la plataforma de aprendizaje gamificada de Secure Code Warrior, transformando su torneo en una divertida experiencia de competición conocida como el «Juego de códigos», en la que el personal se alojaba en casas de temática medieval (con productos de marca para los jugadores) que se enfrentaban cara a cara en una batalla digna de su homónimo producido por HBO.
El torneo incluso se ha llevado a la escena internacional, y pronto se lanzará el próximo partido entre Australia y Nueva Zelanda. Esto brinda a IAG la oportunidad de identificar a los principales campeones de seguridad de ambos países, así como de garantizar que los equipos estén mejorando sus habilidades juntos.
El resultado
Game of Codes es, en efecto, un programa de formación especializado. Su implementación como un torneo interactivo y divertido garantizó que el personal mantuviera la participación de diversas maneras, pero el objetivo principal del ejercicio siguió siendo el de dotar a los desarrolladores de las habilidades necesarias para identificar y eliminar las vulnerabilidades de alto riesgo en las aplicaciones desarrolladas por IAG.
Al garantizar que tanto los desarrolladores como los equipos de seguridad trabajen con una mentalidad que priorice la seguridad, además de estar equipados no solo para identificar, sino también para corregir las vulnerabilidades desde el principio, IAG prevé reducir los costosos ejercicios de pruebas de penetración y la presión sobre el equipo que los lleva a cabo.
Además de seguir desarrollando esta competencia vital, Game of Codes también ayudó a construir relaciones, inyectando un sentido de camaradería y competitividad amistosa entre los equipos involucrados, al tiempo que ayudó a las personas a sentirse más seguras de sus habilidades de codificación seguras al ver cómo se les medía en un entorno de torneo en el que se anotan puntos.
Bianca declaró que el apoyo interno al programa fue inmenso, con una acogida positiva por parte de la suite ejecutiva. Esto también dio lugar a un programa de embajadores, en el que podían participar personas interesadas en promover el programa y defender la seguridad dentro de la organización:
«Ha sido una exposición fantástica para algunos desarrolladores y una excelente promoción de sus habilidades. También se están beneficiando de ello en sus propios trabajos, algo que es importante comprobar».
Lejos de ser «solo un juego», o simplemente una forma más agradable para que los gerentes de departamento aprendan sobre cumplimiento, Game of Codes ofrece una solución atractiva y de alta retención que convierte rápidamente a los novatos en campeones de la seguridad, lo cual es esencial para minimizar el riesgo de una violación a gran escala.
Y el mejor consejo, de la propia Bianca:
«Si implementas un programa y esperas que la gente simplemente lo use, no va a funcionar. Tienes que diseñar un programa en torno a él en el que puedas iniciar y motivar un cambio de comportamiento. Lo que creamos fue básicamente un programa de gestión de cambios para desarrolladores, centrado en la seguridad».
«Tras las sesiones de formación sobre Game of Codes, me doy cuenta de que me interesa más la seguridad y pienso en la seguridad a la hora de crear pruebas de automatización. Soy evaluador sénior en un equipo ágil y estas sesiones de formación me han motivado a aprender más sobre las pruebas de seguridad y a considerarlas una posible especialización». A. Probador sénior de IAG
DATOS RÁPIDOS
- Además del aprendizaje gamificado, IAG también utiliza Secure Code Warrior como una herramienta de prueba de habilidades para la contratación de desarrolladores.
- Están en proceso de extender el programa al 100% de su equipo de desarrollo, y el 55% ya está activo en el sistema.
- Han desarrollado un conjunto clave de métricas internas que les permiten medir el éxito del programa a la hora de minimizar los riesgos y reducir los costos a lo largo del tiempo.
IAG Group es el nombre detrás de muchas de las principales compañías de seguros de la región Asia-Pacífico, que suscriben pólizas para millones de clientes por un importe de aproximadamente 11 400 millones de dólares australianos en primas al año. Bianca Wirth es la directora de educación y concienciación sobre seguridad corporativa del Grupo IAG. Consciente de la necesidad de que el equipo de desarrollo tuviera una conciencia y unas prácticas estrictas en materia de seguridad, se propuso crear un entorno realmente innovador y óptimo en el que el equipo pudiera aprender técnicas fundamentales de codificación segura.
ENTER: Juego de códigos
El desafío
Los desarrolladores suelen tener poco tiempo, con múltiples entregas y proyectos a punto de ebullición. Sin embargo, mantenerse al día con las mejores prácticas de seguridad es de suma importancia para cualquier organización, y mucho menos para una que tenga millones de perfiles de datos confidenciales de clientes a los que mantenerse a salvo de los piratas informáticos. Bianca y su equipo se fijan objetivos claros para hacer que sus iniciativas de ciberseguridad sean más sólidas. Determinaron que la prioridad era minimizar la superficie de ataque de las aplicaciones desarrolladas por el INIAG, y abordarían este objetivo educando a los desarrolladores para que identificaran y corrigieran las vulnerabilidades críticas y de alto riesgo. No cabe duda de que existen cursos prolongados de formación sobre programación segura, pero pueden resultar laboriosos y tediosos y alejar al personal clave de los proyectos de desarrollo con plazos de entrega estrictos, lo que genera presión en toda la empresa. Se hizo evidente la necesidad de mejorar rápidamente las habilidades del equipo de desarrollo, con un impacto mínimo en la carga de trabajo y las operaciones. Y dado que los desarrolladores de Australia y Nueva Zelanda trabajaban en sistemas que no eran necesariamente los mismos, no fue poca cosa.
«Este año, realicé un cambio en nuestro código fuente que eliminó una vulnerabilidad de inyección de SQL. Por su conocimiento de esto, doy crédito a Game of Codes. Incluso es útil tener en cuenta la codificación segura. La competencia es una buena forma de motivar a las personas a que den lo mejor de sí mismas... porque, seamos sinceros, la seguridad no es un tema que le guste a todo el mundo, por lo que es una buena forma de hacer que la gente participe». R, desarrollador de IAG
La implementación
Bianca diseñó una estrategia para implementar una experiencia de entrenamiento gamificada y trabajó en conjunto con su equipo y Secure Code Warrior en la implementación de torneos y capacitaciones para promover las habilidades de sus desarrolladores internos. Para ello, era fundamental establecer una estrategia de comunicación sólida, así como tener en cuenta las diferentes motivaciones y personalidades del personal a la hora de adoptar una plataforma completamente nueva y utilizarla al máximo de su potencial:
«Diseñamos un plan de comunicación que consiste en cómo comunicaremos al personal y a las principales partes interesadas los puntos que necesitan saber, los mensajes clave y los incentivos que también les estamos ofreciendo para que respondan. La mayoría de las personas realmente disfrutan de la experiencia gamificada. Solo depende de sus personalidades, su motivación y lo que los impulsa. Por eso intentamos satisfacer una gama completamente diferente de motivaciones para las personas. Para algunos, les encantan los premios, para otros, el aspecto de los logros en sí mismo es un factor suficiente». ella dijo
Bianca e IAG mostraron de manera experta la plataforma de aprendizaje gamificada de Secure Code Warrior, transformando su torneo en una divertida experiencia de competición conocida como el «Juego de códigos», en la que el personal se alojaba en casas de temática medieval (con productos de marca para los jugadores) que se enfrentaban cara a cara en una batalla digna de su homónimo producido por HBO.
El torneo incluso se ha llevado a la escena internacional, y pronto se lanzará el próximo partido entre Australia y Nueva Zelanda. Esto brinda a IAG la oportunidad de identificar a los principales campeones de seguridad de ambos países, así como de garantizar que los equipos estén mejorando sus habilidades juntos.
El resultado
Game of Codes es, en efecto, un programa de formación especializado. Su implementación como un torneo interactivo y divertido garantizó que el personal mantuviera la participación de diversas maneras, pero el objetivo principal del ejercicio siguió siendo el de dotar a los desarrolladores de las habilidades necesarias para identificar y eliminar las vulnerabilidades de alto riesgo en las aplicaciones desarrolladas por IAG.
Al garantizar que tanto los desarrolladores como los equipos de seguridad trabajen con una mentalidad que priorice la seguridad, además de estar equipados no solo para identificar, sino también para corregir las vulnerabilidades desde el principio, IAG prevé reducir los costosos ejercicios de pruebas de penetración y la presión sobre el equipo que los lleva a cabo.
Además de seguir desarrollando esta competencia vital, Game of Codes también ayudó a construir relaciones, inyectando un sentido de camaradería y competitividad amistosa entre los equipos involucrados, al tiempo que ayudó a las personas a sentirse más seguras de sus habilidades de codificación seguras al ver cómo se les medía en un entorno de torneo en el que se anotan puntos.
Bianca declaró que el apoyo interno al programa fue inmenso, con una acogida positiva por parte de la suite ejecutiva. Esto también dio lugar a un programa de embajadores, en el que podían participar personas interesadas en promover el programa y defender la seguridad dentro de la organización:
«Ha sido una exposición fantástica para algunos desarrolladores y una excelente promoción de sus habilidades. También se están beneficiando de ello en sus propios trabajos, algo que es importante comprobar».
Lejos de ser «solo un juego», o simplemente una forma más agradable para que los gerentes de departamento aprendan sobre cumplimiento, Game of Codes ofrece una solución atractiva y de alta retención que convierte rápidamente a los novatos en campeones de la seguridad, lo cual es esencial para minimizar el riesgo de una violación a gran escala.
Y el mejor consejo, de la propia Bianca:
«Si implementas un programa y esperas que la gente simplemente lo use, no va a funcionar. Tienes que diseñar un programa en torno a él en el que puedas iniciar y motivar un cambio de comportamiento. Lo que creamos fue básicamente un programa de gestión de cambios para desarrolladores, centrado en la seguridad».
«Tras las sesiones de formación sobre Game of Codes, me doy cuenta de que me interesa más la seguridad y pienso en la seguridad a la hora de crear pruebas de automatización. Soy evaluador sénior en un equipo ágil y estas sesiones de formación me han motivado a aprender más sobre las pruebas de seguridad y a considerarlas una posible especialización». A. Probador sénior de IAG
DATOS RÁPIDOS
- Además del aprendizaje gamificado, IAG también utiliza Secure Code Warrior como una herramienta de prueba de habilidades para la contratación de desarrolladores.
- Están en proceso de extender el programa al 100% de su equipo de desarrollo, y el 55% ya está activo en el sistema.
- Han desarrollado un conjunto clave de métricas internas que les permiten medir el éxito del programa a la hora de minimizar los riesgos y reducir los costos a lo largo del tiempo.
IAG Group es el nombre detrás de muchas de las principales compañías de seguros de la región Asia-Pacífico, que suscriben pólizas para millones de clientes por un importe de aproximadamente 11 400 millones de dólares australianos en primas al año. Bianca Wirth es la directora de educación y concienciación sobre seguridad corporativa del Grupo IAG. Consciente de la necesidad de que el equipo de desarrollo tuviera una conciencia y unas prácticas estrictas en materia de seguridad, se propuso crear un entorno realmente innovador y óptimo en el que el equipo pudiera aprender técnicas fundamentales de codificación segura.
ENTER: Juego de códigos
El desafío
Los desarrolladores suelen tener poco tiempo, con múltiples entregas y proyectos a punto de ebullición. Sin embargo, mantenerse al día con las mejores prácticas de seguridad es de suma importancia para cualquier organización, y mucho menos para una que tenga millones de perfiles de datos confidenciales de clientes a los que mantenerse a salvo de los piratas informáticos. Bianca y su equipo se fijan objetivos claros para hacer que sus iniciativas de ciberseguridad sean más sólidas. Determinaron que la prioridad era minimizar la superficie de ataque de las aplicaciones desarrolladas por el INIAG, y abordarían este objetivo educando a los desarrolladores para que identificaran y corrigieran las vulnerabilidades críticas y de alto riesgo. No cabe duda de que existen cursos prolongados de formación sobre programación segura, pero pueden resultar laboriosos y tediosos y alejar al personal clave de los proyectos de desarrollo con plazos de entrega estrictos, lo que genera presión en toda la empresa. Se hizo evidente la necesidad de mejorar rápidamente las habilidades del equipo de desarrollo, con un impacto mínimo en la carga de trabajo y las operaciones. Y dado que los desarrolladores de Australia y Nueva Zelanda trabajaban en sistemas que no eran necesariamente los mismos, no fue poca cosa.
«Este año, realicé un cambio en nuestro código fuente que eliminó una vulnerabilidad de inyección de SQL. Por su conocimiento de esto, doy crédito a Game of Codes. Incluso es útil tener en cuenta la codificación segura. La competencia es una buena forma de motivar a las personas a que den lo mejor de sí mismas... porque, seamos sinceros, la seguridad no es un tema que le guste a todo el mundo, por lo que es una buena forma de hacer que la gente participe». R, desarrollador de IAG
La implementación
Bianca diseñó una estrategia para implementar una experiencia de entrenamiento gamificada y trabajó en conjunto con su equipo y Secure Code Warrior en la implementación de torneos y capacitaciones para promover las habilidades de sus desarrolladores internos. Para ello, era fundamental establecer una estrategia de comunicación sólida, así como tener en cuenta las diferentes motivaciones y personalidades del personal a la hora de adoptar una plataforma completamente nueva y utilizarla al máximo de su potencial:
«Diseñamos un plan de comunicación que consiste en cómo comunicaremos al personal y a las principales partes interesadas los puntos que necesitan saber, los mensajes clave y los incentivos que también les estamos ofreciendo para que respondan. La mayoría de las personas realmente disfrutan de la experiencia gamificada. Solo depende de sus personalidades, su motivación y lo que los impulsa. Por eso intentamos satisfacer una gama completamente diferente de motivaciones para las personas. Para algunos, les encantan los premios, para otros, el aspecto de los logros en sí mismo es un factor suficiente». ella dijo
Bianca e IAG mostraron de manera experta la plataforma de aprendizaje gamificada de Secure Code Warrior, transformando su torneo en una divertida experiencia de competición conocida como el «Juego de códigos», en la que el personal se alojaba en casas de temática medieval (con productos de marca para los jugadores) que se enfrentaban cara a cara en una batalla digna de su homónimo producido por HBO.
El torneo incluso se ha llevado a la escena internacional, y pronto se lanzará el próximo partido entre Australia y Nueva Zelanda. Esto brinda a IAG la oportunidad de identificar a los principales campeones de seguridad de ambos países, así como de garantizar que los equipos estén mejorando sus habilidades juntos.
El resultado
Game of Codes es, en efecto, un programa de formación especializado. Su implementación como un torneo interactivo y divertido garantizó que el personal mantuviera la participación de diversas maneras, pero el objetivo principal del ejercicio siguió siendo el de dotar a los desarrolladores de las habilidades necesarias para identificar y eliminar las vulnerabilidades de alto riesgo en las aplicaciones desarrolladas por IAG.
Al garantizar que tanto los desarrolladores como los equipos de seguridad trabajen con una mentalidad que priorice la seguridad, además de estar equipados no solo para identificar, sino también para corregir las vulnerabilidades desde el principio, IAG prevé reducir los costosos ejercicios de pruebas de penetración y la presión sobre el equipo que los lleva a cabo.
Además de seguir desarrollando esta competencia vital, Game of Codes también ayudó a construir relaciones, inyectando un sentido de camaradería y competitividad amistosa entre los equipos involucrados, al tiempo que ayudó a las personas a sentirse más seguras de sus habilidades de codificación seguras al ver cómo se les medía en un entorno de torneo en el que se anotan puntos.
Bianca declaró que el apoyo interno al programa fue inmenso, con una acogida positiva por parte de la suite ejecutiva. Esto también dio lugar a un programa de embajadores, en el que podían participar personas interesadas en promover el programa y defender la seguridad dentro de la organización:
«Ha sido una exposición fantástica para algunos desarrolladores y una excelente promoción de sus habilidades. También se están beneficiando de ello en sus propios trabajos, algo que es importante comprobar».
Lejos de ser «solo un juego», o simplemente una forma más agradable para que los gerentes de departamento aprendan sobre cumplimiento, Game of Codes ofrece una solución atractiva y de alta retención que convierte rápidamente a los novatos en campeones de la seguridad, lo cual es esencial para minimizar el riesgo de una violación a gran escala.
Y el mejor consejo, de la propia Bianca:
«Si implementas un programa y esperas que la gente simplemente lo use, no va a funcionar. Tienes que diseñar un programa en torno a él en el que puedas iniciar y motivar un cambio de comportamiento. Lo que creamos fue básicamente un programa de gestión de cambios para desarrolladores, centrado en la seguridad».
«Tras las sesiones de formación sobre Game of Codes, me doy cuenta de que me interesa más la seguridad y pienso en la seguridad a la hora de crear pruebas de automatización. Soy evaluador sénior en un equipo ágil y estas sesiones de formación me han motivado a aprender más sobre las pruebas de seguridad y a considerarlas una posible especialización». A. Probador sénior de IAG
DATOS RÁPIDOS
- Además del aprendizaje gamificado, IAG también utiliza Secure Code Warrior como una herramienta de prueba de habilidades para la contratación de desarrolladores.
- Están en proceso de extender el programa al 100% de su equipo de desarrollo, y el 55% ya está activo en el sistema.
- Han desarrollado un conjunto clave de métricas internas que les permiten medir el éxito del programa a la hora de minimizar los riesgos y reducir los costos a lo largo del tiempo.
IAG Group es el nombre detrás de muchas de las principales compañías de seguros de la región Asia-Pacífico, que suscriben pólizas para millones de clientes por un importe de aproximadamente 11 400 millones de dólares australianos en primas al año. Bianca Wirth es la directora de educación y concienciación sobre seguridad corporativa del Grupo IAG. Consciente de la necesidad de que el equipo de desarrollo tuviera una conciencia y unas prácticas estrictas en materia de seguridad, se propuso crear un entorno realmente innovador y óptimo en el que el equipo pudiera aprender técnicas fundamentales de codificación segura.
ENTER: Juego de códigos
El desafío
Los desarrolladores suelen tener poco tiempo, con múltiples entregas y proyectos a punto de ebullición. Sin embargo, mantenerse al día con las mejores prácticas de seguridad es de suma importancia para cualquier organización, y mucho menos para una que tenga millones de perfiles de datos confidenciales de clientes a los que mantenerse a salvo de los piratas informáticos. Bianca y su equipo se fijan objetivos claros para hacer que sus iniciativas de ciberseguridad sean más sólidas. Determinaron que la prioridad era minimizar la superficie de ataque de las aplicaciones desarrolladas por el INIAG, y abordarían este objetivo educando a los desarrolladores para que identificaran y corrigieran las vulnerabilidades críticas y de alto riesgo. No cabe duda de que existen cursos prolongados de formación sobre programación segura, pero pueden resultar laboriosos y tediosos y alejar al personal clave de los proyectos de desarrollo con plazos de entrega estrictos, lo que genera presión en toda la empresa. Se hizo evidente la necesidad de mejorar rápidamente las habilidades del equipo de desarrollo, con un impacto mínimo en la carga de trabajo y las operaciones. Y dado que los desarrolladores de Australia y Nueva Zelanda trabajaban en sistemas que no eran necesariamente los mismos, no fue poca cosa.
«Este año, realicé un cambio en nuestro código fuente que eliminó una vulnerabilidad de inyección de SQL. Por su conocimiento de esto, doy crédito a Game of Codes. Incluso es útil tener en cuenta la codificación segura. La competencia es una buena forma de motivar a las personas a que den lo mejor de sí mismas... porque, seamos sinceros, la seguridad no es un tema que le guste a todo el mundo, por lo que es una buena forma de hacer que la gente participe». R, desarrollador de IAG
La implementación
Bianca diseñó una estrategia para implementar una experiencia de entrenamiento gamificada y trabajó en conjunto con su equipo y Secure Code Warrior en la implementación de torneos y capacitaciones para promover las habilidades de sus desarrolladores internos. Para ello, era fundamental establecer una estrategia de comunicación sólida, así como tener en cuenta las diferentes motivaciones y personalidades del personal a la hora de adoptar una plataforma completamente nueva y utilizarla al máximo de su potencial:
«Diseñamos un plan de comunicación que consiste en cómo comunicaremos al personal y a las principales partes interesadas los puntos que necesitan saber, los mensajes clave y los incentivos que también les estamos ofreciendo para que respondan. La mayoría de las personas realmente disfrutan de la experiencia gamificada. Solo depende de sus personalidades, su motivación y lo que los impulsa. Por eso intentamos satisfacer una gama completamente diferente de motivaciones para las personas. Para algunos, les encantan los premios, para otros, el aspecto de los logros en sí mismo es un factor suficiente». ella dijo
Bianca e IAG mostraron de manera experta la plataforma de aprendizaje gamificada de Secure Code Warrior, transformando su torneo en una divertida experiencia de competición conocida como el «Juego de códigos», en la que el personal se alojaba en casas de temática medieval (con productos de marca para los jugadores) que se enfrentaban cara a cara en una batalla digna de su homónimo producido por HBO.
El torneo incluso se ha llevado a la escena internacional, y pronto se lanzará el próximo partido entre Australia y Nueva Zelanda. Esto brinda a IAG la oportunidad de identificar a los principales campeones de seguridad de ambos países, así como de garantizar que los equipos estén mejorando sus habilidades juntos.
El resultado
Game of Codes es, en efecto, un programa de formación especializado. Su implementación como un torneo interactivo y divertido garantizó que el personal mantuviera la participación de diversas maneras, pero el objetivo principal del ejercicio siguió siendo el de dotar a los desarrolladores de las habilidades necesarias para identificar y eliminar las vulnerabilidades de alto riesgo en las aplicaciones desarrolladas por IAG.
Al garantizar que tanto los desarrolladores como los equipos de seguridad trabajen con una mentalidad que priorice la seguridad, además de estar equipados no solo para identificar, sino también para corregir las vulnerabilidades desde el principio, IAG prevé reducir los costosos ejercicios de pruebas de penetración y la presión sobre el equipo que los lleva a cabo.
Además de seguir desarrollando esta competencia vital, Game of Codes también ayudó a construir relaciones, inyectando un sentido de camaradería y competitividad amistosa entre los equipos involucrados, al tiempo que ayudó a las personas a sentirse más seguras de sus habilidades de codificación seguras al ver cómo se les medía en un entorno de torneo en el que se anotan puntos.
Bianca declaró que el apoyo interno al programa fue inmenso, con una acogida positiva por parte de la suite ejecutiva. Esto también dio lugar a un programa de embajadores, en el que podían participar personas interesadas en promover el programa y defender la seguridad dentro de la organización:
«Ha sido una exposición fantástica para algunos desarrolladores y una excelente promoción de sus habilidades. También se están beneficiando de ello en sus propios trabajos, algo que es importante comprobar».
Lejos de ser «solo un juego», o simplemente una forma más agradable para que los gerentes de departamento aprendan sobre cumplimiento, Game of Codes ofrece una solución atractiva y de alta retención que convierte rápidamente a los novatos en campeones de la seguridad, lo cual es esencial para minimizar el riesgo de una violación a gran escala.
Y el mejor consejo, de la propia Bianca:
«Si implementas un programa y esperas que la gente simplemente lo use, no va a funcionar. Tienes que diseñar un programa en torno a él en el que puedas iniciar y motivar un cambio de comportamiento. Lo que creamos fue básicamente un programa de gestión de cambios para desarrolladores, centrado en la seguridad».
«Tras las sesiones de formación sobre Game of Codes, me doy cuenta de que me interesa más la seguridad y pienso en la seguridad a la hora de crear pruebas de automatización. Soy evaluador sénior en un equipo ágil y estas sesiones de formación me han motivado a aprender más sobre las pruebas de seguridad y a considerarlas una posible especialización». A. Probador sénior de IAG
DATOS RÁPIDOS
- Además del aprendizaje gamificado, IAG también utiliza Secure Code Warrior como una herramienta de prueba de habilidades para la contratación de desarrolladores.
- Están en proceso de extender el programa al 100% de su equipo de desarrollo, y el 55% ya está activo en el sistema.
- Han desarrollado un conjunto clave de métricas internas que les permiten medir el éxito del programa a la hora de minimizar los riesgos y reducir los costos a lo largo del tiempo.
%20(1).avif)
.avif)
