Campeones contra entrenadores: por qué todos los equipos de desarrollo necesitan ambos
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
