Torneos para desarrolladores: el arma secreta de AppSec para mejorar la cultura de seguridad y el compromiso
Imagina crear algo desde cero, ejerciendo tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o formando parte de un equipo, dedicas tu corazón y tu alma a construir algo de la nada. Dedicas cientos, tal vez incluso miles, de horas a ello, asegurándote de que tu bebé esté lo mejor posible. Al completarla, esa oleada de logros puede parecer una recompensa por sí sola.
Ahora, imagina que aparece un spoilsport y te dice que no es tan bueno. Quizás vayan un paso más allá y te digan que no, a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede usar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior seguramente causará cierta tensión; después de todo, ¿quién quiere que su arduo trabajo sea desmentido y condenado por inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de AppSec. Un desarrollador tiene la responsabilidad principal de crear un software que sea funcional, rico en funciones y que se entregue dentro de los estrictos plazos del proyecto. La seguridad rara vez es la prioridad, e incluso puede considerarse un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de comprobar meticulosamente el código, realizar pruebas con bolígrafos y, a continuación, informar de la mala noticia: la presencia de vulnerabilidades de seguridad en un código que, a menudo, ya está comprometido. Se trata de un proceso caro en un entorno en el que a menudo se agotan los recursos y el tiempo necesarios, ya que la configuración puede provocar desacuerdos entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar en desacuerdo.
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera del aula, al campo de juego
Dado que muchos desarrolladores completan su formación profesional sin aprender mucho sobre programación de forma segura, suele ocurrir que su primer punto de contacto con la educación en seguridad es al entrar en el mundo laboral. La formación presencial es una solución que se utiliza con frecuencia, pero quita un tiempo precioso a la entrega de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También hay cursos en vídeo, exámenes en papel y cursos genéricos sobre políticas de seguridad empresariales... todo lo cual puede resultar tan poco específico que resulta inútil en la vida laboral diaria del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de «marcar la casilla y seguir adelante» y, con demasiada frecuencia, tiene el efecto contrario: solo genera una brecha más amplia entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional esté teniendo el efecto positivo en la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos con tanta urgencia. Seguimos cometiendo los mismos errores.
Según la enumeración de debilidades comunes (CWE) comunidad, hay más de 700 común debilidades de seguridad del software contra las que luchar. Algunas, como la inyección de SQL, son como cucarachas que no han sido aplastadas a pesar de su existencia desde hace más de veinte años. ¡Nosotros conocer cómo solucionarlo; la formación está ahí para que los desarrolladores puedan detenerlo y muchos otros, pero los procesos de revisión manual del código y pruebas con lápiz identifican continuamente estas infracciones.
Quizás lo hemos analizado todo mal y, como industria, necesitamos abordar la educación viable desde un ángulo diferente, uno que aproveche las increíbles habilidades que tanto valoran nuestros desarrolladores. Son solucionadores de problemas creativos e inquisitivos a los que les encantan los desafíos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, es posible que al final se enamoren de la seguridad.
Un poco de competencia sana
La confianza en herramientas (bastante imprecisas), las costosas pruebas con lápiz y la escasez de especialistas en AppSec nos hundirán aún más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad están en línea como para que las empresas sigan siendo cautelosas con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, necesitamos recurrir a los superhéroes que siempre hemos tenido en la oficina: el equipo de desarrollo.
La formación gamificada, en los lenguajes y marcos pertinentes, es una herramienta potente para que los administradores de AppSec comiencen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden poner a prueba sus habilidades de seguridad recién adquiridas en un entorno de torneo divertido, que puede resultar tan emocionante como lo imagine: basta con echar un vistazo a cómo El «Juego de códigos» de IAG tengo todos hablando sobre la seguridad dentro de su organización.
Código seguro: Warrior's módulo de torneo proporciona algo más que un pequeño límite a un compromiso de formación mesurado: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación e identificar las áreas que pueden necesitar mejoras. El aspecto competitivo realmente actúa como un motivador para comprometerse de manera positiva con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el desarrollo de una cultura de seguridad sólida en el equipo y en la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa, si no abrumadora, puede contribuir en gran medida a cambiar las mentalidades negativas e inspirar una participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (saludable)?
Los campeones caminan entre vosotros
La formación gamificada y los torneos posteriores ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo obtienen mucha más información sobre el trabajo diario de los demás. Un desarrollador seguro es un activo, ya que corrige las vulnerabilidades más comunes y deja que los problemas complejos se encarguen de los escasos especialistas en AppSec sobre el terreno. Las mejores relaciones crecen y prosperan, y el valioso presupuesto de seguridad no se agota solucionando el escenario del «Día de la Marmota» en el que se repiten los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Los torneos pueden descubrir a aquellos que no solo tienen aptitudes para la seguridad, sino que muestran una pasión por ella de forma activa. Estos campeones son fundamentales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y defender las políticas de mejores prácticas. La implementación de un programa de promoción sólido, que incluya el reconocimiento y el apoyo de los ejecutivos, es un tanto a favor de la organización, además de un poderoso aporte para el currículum y la futura carrera profesional de la persona.
¿El resultado final? Debemos exigir mejores resultados en las pruebas de seguridad. Errores menos comunes, más apoyo para quienes están en primera línea. ¿Por qué no te das cuenta de cómo un torneo de desarrolladores puede ayudarte a conseguirlo antes de lo que crees?
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Imagina crear algo desde cero, ejerciendo tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o formando parte de un equipo, dedicas tu corazón y tu alma a construir algo de la nada. Dedicas cientos, tal vez incluso miles, de horas a ello, asegurándote de que tu bebé esté lo mejor posible. Al completarla, esa oleada de logros puede parecer una recompensa por sí sola.
Ahora, imagina que aparece un spoilsport y te dice que no es tan bueno. Quizás vayan un paso más allá y te digan que no, a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede usar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior seguramente causará cierta tensión; después de todo, ¿quién quiere que su arduo trabajo sea desmentido y condenado por inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de AppSec. Un desarrollador tiene la responsabilidad principal de crear un software que sea funcional, rico en funciones y que se entregue dentro de los estrictos plazos del proyecto. La seguridad rara vez es la prioridad, e incluso puede considerarse un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de comprobar meticulosamente el código, realizar pruebas con bolígrafos y, a continuación, informar de la mala noticia: la presencia de vulnerabilidades de seguridad en un código que, a menudo, ya está comprometido. Se trata de un proceso caro en un entorno en el que a menudo se agotan los recursos y el tiempo necesarios, ya que la configuración puede provocar desacuerdos entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar en desacuerdo.
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera del aula, al campo de juego
Dado que muchos desarrolladores completan su formación profesional sin aprender mucho sobre programación de forma segura, suele ocurrir que su primer punto de contacto con la educación en seguridad es al entrar en el mundo laboral. La formación presencial es una solución que se utiliza con frecuencia, pero quita un tiempo precioso a la entrega de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También hay cursos en vídeo, exámenes en papel y cursos genéricos sobre políticas de seguridad empresariales... todo lo cual puede resultar tan poco específico que resulta inútil en la vida laboral diaria del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de «marcar la casilla y seguir adelante» y, con demasiada frecuencia, tiene el efecto contrario: solo genera una brecha más amplia entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional esté teniendo el efecto positivo en la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos con tanta urgencia. Seguimos cometiendo los mismos errores.
Según la enumeración de debilidades comunes (CWE) comunidad, hay más de 700 común debilidades de seguridad del software contra las que luchar. Algunas, como la inyección de SQL, son como cucarachas que no han sido aplastadas a pesar de su existencia desde hace más de veinte años. ¡Nosotros conocer cómo solucionarlo; la formación está ahí para que los desarrolladores puedan detenerlo y muchos otros, pero los procesos de revisión manual del código y pruebas con lápiz identifican continuamente estas infracciones.
Quizás lo hemos analizado todo mal y, como industria, necesitamos abordar la educación viable desde un ángulo diferente, uno que aproveche las increíbles habilidades que tanto valoran nuestros desarrolladores. Son solucionadores de problemas creativos e inquisitivos a los que les encantan los desafíos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, es posible que al final se enamoren de la seguridad.
Un poco de competencia sana
La confianza en herramientas (bastante imprecisas), las costosas pruebas con lápiz y la escasez de especialistas en AppSec nos hundirán aún más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad están en línea como para que las empresas sigan siendo cautelosas con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, necesitamos recurrir a los superhéroes que siempre hemos tenido en la oficina: el equipo de desarrollo.
La formación gamificada, en los lenguajes y marcos pertinentes, es una herramienta potente para que los administradores de AppSec comiencen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden poner a prueba sus habilidades de seguridad recién adquiridas en un entorno de torneo divertido, que puede resultar tan emocionante como lo imagine: basta con echar un vistazo a cómo El «Juego de códigos» de IAG tengo todos hablando sobre la seguridad dentro de su organización.
Código seguro: Warrior's módulo de torneo proporciona algo más que un pequeño límite a un compromiso de formación mesurado: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación e identificar las áreas que pueden necesitar mejoras. El aspecto competitivo realmente actúa como un motivador para comprometerse de manera positiva con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el desarrollo de una cultura de seguridad sólida en el equipo y en la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa, si no abrumadora, puede contribuir en gran medida a cambiar las mentalidades negativas e inspirar una participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (saludable)?
Los campeones caminan entre vosotros
La formación gamificada y los torneos posteriores ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo obtienen mucha más información sobre el trabajo diario de los demás. Un desarrollador seguro es un activo, ya que corrige las vulnerabilidades más comunes y deja que los problemas complejos se encarguen de los escasos especialistas en AppSec sobre el terreno. Las mejores relaciones crecen y prosperan, y el valioso presupuesto de seguridad no se agota solucionando el escenario del «Día de la Marmota» en el que se repiten los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Los torneos pueden descubrir a aquellos que no solo tienen aptitudes para la seguridad, sino que muestran una pasión por ella de forma activa. Estos campeones son fundamentales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y defender las políticas de mejores prácticas. La implementación de un programa de promoción sólido, que incluya el reconocimiento y el apoyo de los ejecutivos, es un tanto a favor de la organización, además de un poderoso aporte para el currículum y la futura carrera profesional de la persona.
¿El resultado final? Debemos exigir mejores resultados en las pruebas de seguridad. Errores menos comunes, más apoyo para quienes están en primera línea. ¿Por qué no te das cuenta de cómo un torneo de desarrolladores puede ayudarte a conseguirlo antes de lo que crees?
Imagina crear algo desde cero, ejerciendo tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o formando parte de un equipo, dedicas tu corazón y tu alma a construir algo de la nada. Dedicas cientos, tal vez incluso miles, de horas a ello, asegurándote de que tu bebé esté lo mejor posible. Al completarla, esa oleada de logros puede parecer una recompensa por sí sola.
Ahora, imagina que aparece un spoilsport y te dice que no es tan bueno. Quizás vayan un paso más allá y te digan que no, a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede usar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior seguramente causará cierta tensión; después de todo, ¿quién quiere que su arduo trabajo sea desmentido y condenado por inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de AppSec. Un desarrollador tiene la responsabilidad principal de crear un software que sea funcional, rico en funciones y que se entregue dentro de los estrictos plazos del proyecto. La seguridad rara vez es la prioridad, e incluso puede considerarse un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de comprobar meticulosamente el código, realizar pruebas con bolígrafos y, a continuación, informar de la mala noticia: la presencia de vulnerabilidades de seguridad en un código que, a menudo, ya está comprometido. Se trata de un proceso caro en un entorno en el que a menudo se agotan los recursos y el tiempo necesarios, ya que la configuración puede provocar desacuerdos entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar en desacuerdo.
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera del aula, al campo de juego
Dado que muchos desarrolladores completan su formación profesional sin aprender mucho sobre programación de forma segura, suele ocurrir que su primer punto de contacto con la educación en seguridad es al entrar en el mundo laboral. La formación presencial es una solución que se utiliza con frecuencia, pero quita un tiempo precioso a la entrega de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También hay cursos en vídeo, exámenes en papel y cursos genéricos sobre políticas de seguridad empresariales... todo lo cual puede resultar tan poco específico que resulta inútil en la vida laboral diaria del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de «marcar la casilla y seguir adelante» y, con demasiada frecuencia, tiene el efecto contrario: solo genera una brecha más amplia entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional esté teniendo el efecto positivo en la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos con tanta urgencia. Seguimos cometiendo los mismos errores.
Según la enumeración de debilidades comunes (CWE) comunidad, hay más de 700 común debilidades de seguridad del software contra las que luchar. Algunas, como la inyección de SQL, son como cucarachas que no han sido aplastadas a pesar de su existencia desde hace más de veinte años. ¡Nosotros conocer cómo solucionarlo; la formación está ahí para que los desarrolladores puedan detenerlo y muchos otros, pero los procesos de revisión manual del código y pruebas con lápiz identifican continuamente estas infracciones.
Quizás lo hemos analizado todo mal y, como industria, necesitamos abordar la educación viable desde un ángulo diferente, uno que aproveche las increíbles habilidades que tanto valoran nuestros desarrolladores. Son solucionadores de problemas creativos e inquisitivos a los que les encantan los desafíos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, es posible que al final se enamoren de la seguridad.
Un poco de competencia sana
La confianza en herramientas (bastante imprecisas), las costosas pruebas con lápiz y la escasez de especialistas en AppSec nos hundirán aún más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad están en línea como para que las empresas sigan siendo cautelosas con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, necesitamos recurrir a los superhéroes que siempre hemos tenido en la oficina: el equipo de desarrollo.
La formación gamificada, en los lenguajes y marcos pertinentes, es una herramienta potente para que los administradores de AppSec comiencen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden poner a prueba sus habilidades de seguridad recién adquiridas en un entorno de torneo divertido, que puede resultar tan emocionante como lo imagine: basta con echar un vistazo a cómo El «Juego de códigos» de IAG tengo todos hablando sobre la seguridad dentro de su organización.
Código seguro: Warrior's módulo de torneo proporciona algo más que un pequeño límite a un compromiso de formación mesurado: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación e identificar las áreas que pueden necesitar mejoras. El aspecto competitivo realmente actúa como un motivador para comprometerse de manera positiva con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el desarrollo de una cultura de seguridad sólida en el equipo y en la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa, si no abrumadora, puede contribuir en gran medida a cambiar las mentalidades negativas e inspirar una participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (saludable)?
Los campeones caminan entre vosotros
La formación gamificada y los torneos posteriores ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo obtienen mucha más información sobre el trabajo diario de los demás. Un desarrollador seguro es un activo, ya que corrige las vulnerabilidades más comunes y deja que los problemas complejos se encarguen de los escasos especialistas en AppSec sobre el terreno. Las mejores relaciones crecen y prosperan, y el valioso presupuesto de seguridad no se agota solucionando el escenario del «Día de la Marmota» en el que se repiten los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Los torneos pueden descubrir a aquellos que no solo tienen aptitudes para la seguridad, sino que muestran una pasión por ella de forma activa. Estos campeones son fundamentales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y defender las políticas de mejores prácticas. La implementación de un programa de promoción sólido, que incluya el reconocimiento y el apoyo de los ejecutivos, es un tanto a favor de la organización, además de un poderoso aporte para el currículum y la futura carrera profesional de la persona.
¿El resultado final? Debemos exigir mejores resultados en las pruebas de seguridad. Errores menos comunes, más apoyo para quienes están en primera línea. ¿Por qué no te das cuenta de cómo un torneo de desarrolladores puede ayudarte a conseguirlo antes de lo que crees?
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Imagina crear algo desde cero, ejerciendo tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o formando parte de un equipo, dedicas tu corazón y tu alma a construir algo de la nada. Dedicas cientos, tal vez incluso miles, de horas a ello, asegurándote de que tu bebé esté lo mejor posible. Al completarla, esa oleada de logros puede parecer una recompensa por sí sola.
Ahora, imagina que aparece un spoilsport y te dice que no es tan bueno. Quizás vayan un paso más allá y te digan que no, a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede usar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior seguramente causará cierta tensión; después de todo, ¿quién quiere que su arduo trabajo sea desmentido y condenado por inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de AppSec. Un desarrollador tiene la responsabilidad principal de crear un software que sea funcional, rico en funciones y que se entregue dentro de los estrictos plazos del proyecto. La seguridad rara vez es la prioridad, e incluso puede considerarse un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de comprobar meticulosamente el código, realizar pruebas con bolígrafos y, a continuación, informar de la mala noticia: la presencia de vulnerabilidades de seguridad en un código que, a menudo, ya está comprometido. Se trata de un proceso caro en un entorno en el que a menudo se agotan los recursos y el tiempo necesarios, ya que la configuración puede provocar desacuerdos entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar en desacuerdo.
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera del aula, al campo de juego
Dado que muchos desarrolladores completan su formación profesional sin aprender mucho sobre programación de forma segura, suele ocurrir que su primer punto de contacto con la educación en seguridad es al entrar en el mundo laboral. La formación presencial es una solución que se utiliza con frecuencia, pero quita un tiempo precioso a la entrega de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También hay cursos en vídeo, exámenes en papel y cursos genéricos sobre políticas de seguridad empresariales... todo lo cual puede resultar tan poco específico que resulta inútil en la vida laboral diaria del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de «marcar la casilla y seguir adelante» y, con demasiada frecuencia, tiene el efecto contrario: solo genera una brecha más amplia entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional esté teniendo el efecto positivo en la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos con tanta urgencia. Seguimos cometiendo los mismos errores.
Según la enumeración de debilidades comunes (CWE) comunidad, hay más de 700 común debilidades de seguridad del software contra las que luchar. Algunas, como la inyección de SQL, son como cucarachas que no han sido aplastadas a pesar de su existencia desde hace más de veinte años. ¡Nosotros conocer cómo solucionarlo; la formación está ahí para que los desarrolladores puedan detenerlo y muchos otros, pero los procesos de revisión manual del código y pruebas con lápiz identifican continuamente estas infracciones.
Quizás lo hemos analizado todo mal y, como industria, necesitamos abordar la educación viable desde un ángulo diferente, uno que aproveche las increíbles habilidades que tanto valoran nuestros desarrolladores. Son solucionadores de problemas creativos e inquisitivos a los que les encantan los desafíos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, es posible que al final se enamoren de la seguridad.
Un poco de competencia sana
La confianza en herramientas (bastante imprecisas), las costosas pruebas con lápiz y la escasez de especialistas en AppSec nos hundirán aún más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad están en línea como para que las empresas sigan siendo cautelosas con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, necesitamos recurrir a los superhéroes que siempre hemos tenido en la oficina: el equipo de desarrollo.
La formación gamificada, en los lenguajes y marcos pertinentes, es una herramienta potente para que los administradores de AppSec comiencen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden poner a prueba sus habilidades de seguridad recién adquiridas en un entorno de torneo divertido, que puede resultar tan emocionante como lo imagine: basta con echar un vistazo a cómo El «Juego de códigos» de IAG tengo todos hablando sobre la seguridad dentro de su organización.
Código seguro: Warrior's módulo de torneo proporciona algo más que un pequeño límite a un compromiso de formación mesurado: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación e identificar las áreas que pueden necesitar mejoras. El aspecto competitivo realmente actúa como un motivador para comprometerse de manera positiva con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el desarrollo de una cultura de seguridad sólida en el equipo y en la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa, si no abrumadora, puede contribuir en gran medida a cambiar las mentalidades negativas e inspirar una participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (saludable)?
Los campeones caminan entre vosotros
La formación gamificada y los torneos posteriores ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo obtienen mucha más información sobre el trabajo diario de los demás. Un desarrollador seguro es un activo, ya que corrige las vulnerabilidades más comunes y deja que los problemas complejos se encarguen de los escasos especialistas en AppSec sobre el terreno. Las mejores relaciones crecen y prosperan, y el valioso presupuesto de seguridad no se agota solucionando el escenario del «Día de la Marmota» en el que se repiten los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Los torneos pueden descubrir a aquellos que no solo tienen aptitudes para la seguridad, sino que muestran una pasión por ella de forma activa. Estos campeones son fundamentales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y defender las políticas de mejores prácticas. La implementación de un programa de promoción sólido, que incluya el reconocimiento y el apoyo de los ejecutivos, es un tanto a favor de la organización, además de un poderoso aporte para el currículum y la futura carrera profesional de la persona.
¿El resultado final? Debemos exigir mejores resultados en las pruebas de seguridad. Errores menos comunes, más apoyo para quienes están en primera línea. ¿Por qué no te das cuenta de cómo un torneo de desarrolladores puede ayudarte a conseguirlo antes de lo que crees?
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
