Cómo una institución financiera de primer nivel creó una experiencia revolucionaria de certificación de seguridad ¿Podría un juego ser el camino hacia el corazón de un desarrollador en lo que respecta al cumplimiento de la seguridad? Con millones de clientes, una rica historia como institución financiera global de confianza y un compromiso con la innovación y el ritmo de la transformación digital, este cliente bancario de primer nivel utilizó Secure Code Warrior como parte de una experiencia educativa verdaderamente única dentro de su organización.
Crearon una iniciativa interna de educación tecnológica, con el objetivo de ayudar a miles de empleados a aprender habilidades prácticas y de vanguardia en una serie de disciplinas, como el aprendizaje automático y la ciberseguridad.
La industria de servicios financieros se encuentra actualmente en un período de transformación rápida y radical, en el que muchas empresas están cambiando sus ofertas de servicios para alinearlas con el rápido desarrollo de las tecnologías emergentes. En esencia, se están convirtiendo en empresas de tecnología de pleno derecho con un enfoque financiero. El enfoque de nuestros clientes no solo les ha permitido mantenerse al día con esta tendencia, sino también lograr mejores (y más inteligentes) resultados que la mayoría. Han invertido enormemente en su propio personal para mantenerse al día en campos tan vitales y emergentes y, como resultado, están a la vanguardia de la innovación y la experiencia en tecnología financiera.
Para ejecutar este programa con éxito, nuestro cliente y el equipo en general vieron la necesidad de garantizar que sus desarrolladores estuvieran completamente versados en la codificación segura, con un alto nivel de conciencia sobre la ciberseguridad. El director de concienciación en materia de seguridad procuró que el equipo interactuara de manera positiva, haciendo que se entusiasmaran con la seguridad desde el principio.
El desafío El director de concienciación sobre seguridad de nuestro cliente tiene una larga trayectoria en la industria de la seguridad, lo que le ha permitido ocupar un puesto de primera fila ante el explosivo crecimiento de la adopción de aplicaciones en línea por parte de empresas grandes y pequeñas, así como ante el rápido aumento del número de equipos centrados en la tecnología digital. Ha visto de primera mano el inevitable aislamiento de la experiencia que puede conllevar una expansión tan intensa y, en última instancia, esto ha supuesto un problema para muchos equipos de seguridad y desarrollo: «En las primeras etapas de la adopción de Internet, los desarrolladores sí pensaron en la seguridad y la aplicaron a sus compilaciones de software. Sin embargo, en un entorno cada vez más aislado, un equipo trabajará en, por ejemplo, un sistema operativo que luego se enviará a un equipo de seguridad para su análisis y, a menudo, aparecerá con un montón de marcas rojas y notas sobre cómo solucionarlo. Inevitablemente, es seguro, pero los descubrimientos y los conocimientos desaparecen en un agujero negro, solo para repetirse una y otra vez», afirmó.
Hizo referencia al «desafío de las personas» cuando habló de los problemas de seguridad que ve con frecuencia en su puesto:
A los ingenieros de software se les paga para crear funciones, y la seguridad puede considerarse un gran impedimento para un desarrollo ágil. Están ocupados con sus propias prioridades y, a menudo, ven el aspecto de la seguridad como el trabajo de otra persona. En el extremo más extremo de la escala, algunos opinan: «Bueno, todavía no ha pasado nada. ¿Por qué nos preocupa tanto proteger este software y por qué interrumpe mi ciclo de vida de desarrollo? En un mundo en el que la digitalización es cada vez mayor, esta actitud tiene que cambiar. En lugar de considerarnos una molestia, debemos recalcar la importancia de compartir la responsabilidad por la seguridad del software. Con la creciente dependencia del desarrollo para impulsar nuestras vidas digitales, vio lo que está escrito en la pared: como sociedad, somos blancos fáciles para los piratas informáticos en un campo de juego cada vez más injusto para los buenos. Los desarrolladores tenían que tomarse en serio la seguridad, despertar un gran interés y convertirse en la primera línea de defensa de su organización (y, de hecho, de la de cualquier empresa tecnológica seria).
Así que se dedicó a darle la vuelta al entrenamiento tradicional.
La implementación El Security Awareness Manager impulsó la filosofía general de nuestro cliente de establecer un nuevo estándar de calidad del software. En concreto, la idea de que el nivel de seguridad inherente a un software es un indicador de su calidad general y de la viabilidad del producto. En la actualidad, la seguridad no está estrechamente vinculada a las medidas de calidad en la mayoría de los casos y, desde luego, no de la misma manera en que se tienen en cuenta la interfaz de usuario, la velocidad y la capacidad de servicio generales al evaluar el software.
«La seguridad debe convertirse en un requisito no negociable para una alta calidad del software», afirmó. «Se correlaciona con la confiabilidad, que es una gran preocupación para la mayoría de las empresas, especialmente aquellas con un modelo de negocio que se transforma y se digitaliza rápidamente».
Dado que los costos de corregir las vulnerabilidades en el código comprometido son hasta treinta veces más caros que si se hubiera escrito de forma segura desde el principio, se ha convertido en un objetivo clave «incorporar» una cultura de seguridad viable a sus equipos de desarrollo. Al fin y al cabo, hay ciertas vulnerabilidades que las herramientas de análisis no detectan, y la solución más eficaz para combatirlas es contar con un equipo de desarrollo preocupado por la seguridad.
El director de concienciación sobre seguridad detalló su experiencia con otras formas de formación, muchas de las cuales se siguen utilizando habitualmente para «convencer» a los desarrolladores y prepararlos para hacer frente a los crecientes problemas de seguridad: «Cuando los desarrolladores tienen que aprender sobre la seguridad a través de un montón de trabajo basado en la teoría o, lo que es peor, una formación poco frecuente sobre cumplimiento normativo para marcar la casilla y seguir adelante, simplemente no hay suficiente aprendizaje práctico ni tiempo para lograr un impacto duradero. Estaba decidido a cambiar esta situación mediante la aplicación de una solución más eficaz», afirmó.
Los beneficios de un alto nivel de compromiso Con el asesoramiento de un experto administrador de conciencia de seguridad y su equipo, nuestro cliente implementó un programa de certificación personalizado, del que la plataforma Secure Code Warrior es una parte integral.
Su investigación sobre una solución de formación para desarrolladores más eficaz y atractiva los llevó a convertirse en uno de los primeros en adoptar la gamificación, maximizando su potencia y potencial con su propio plan de estudios estructurado y a gran escala.
«Era vital que hiciéramos que la formación de alto compromiso formara parte de la cultura y que lográramos que los estudiantes regresaran para continuar su aprendizaje. El sistema es un enfoque deliberado para desarrollar conocimientos, habilidades y un sentido de valor en materia de seguridad, lo que, en última instancia, permite que trabajen con un código fuente real que utilizan todos los días», afirmó.
Al garantizar que la solución fuera holística y cubriera tanto las mejores prácticas de seguridad estándar del sector como las directrices internas, nuestro cliente pudo movilizar la capacitación rápidamente, lo que tuvo un impacto positivo en la seguridad del software dentro de la organización.
* Estadísticas precisas a octubre de 2019. El resultado El programa de certificación de nuestros clientes es un formato de formación exitoso y en constante evolución que es perfecto para iniciativas con visión de futuro como sus instalaciones de educación tecnológica internas. El curso exhaustivo, que se imparte de una manera tan divertida, interactiva e incentivada, garantiza que todos los estudiantes tengan las mejores posibilidades de retener sus conocimientos, así como el apoyo necesario para desarrollar verdaderamente una cultura y una mentalidad que prioricen la seguridad. Si bien es cierto que la gamificación hace que el aprendizaje sea aceptable, el objetivo fundamental del programa sigue siendo el de proporcionar a los desarrolladores las habilidades necesarias para identificar y eliminar las vulnerabilidades de alto riesgo en sus aplicaciones.
Es importante tener en cuenta que la formación no era obligatoria, sino que requería un elemento de motivación por parte del desarrollador. Si bien no cabe duda de que esto se vio respaldado por la oferta de incentivos y recompensas, la adopción del programa por parte del equipo en general fue el resultado de un aumento del apoyo del equipo y de la aprobación del proceso.
Además de seguir desarrollando competencias vitales, el programa también ayuda a cerrar las brechas en las relaciones entre los equipos de desarrollo y AppSec, haciendo que estén en sintonía, hablen el mismo idioma y generen intereses mutuos.
Este programa, que dista mucho de ser una casilla de cumplimiento, se ha convertido en fundamental para el apoyo continuo de un valioso personal y su carrera, proporcionando una mejora medible de las habilidades en una de las industrias de mayor crecimiento del planeta: la ciberseguridad. Son programas de formación como este los que se convertirán en el punto de referencia para mejorar la seguridad del software desde el principio.
Datos rápidos Ha habido una respuesta sin precedentes por parte de los estudiantes que han completado la certificación y han expresado su interés en convertirse en instructores. Esta evangelización básica es un factor poderoso para difundir el apoyo de boca en boca, la aceptación y la conciencia general sobre la seguridad. Nuestro cliente está en proceso de implementar el programa para más de 2500 desarrolladores dentro de su organización, y más del 90% ya está activo en el sistema. Utilizan esta capacitación para ayudar al personal en el desarrollo profesional general, asegurándose de que cuentan con los conocimientos necesarios para utilizar sus habilidades en un espacio tecnológico en constante cambio.
Conseils pour réussir
→ Prenez le temps d'expliquer les avantages de la formation, le déploiement prévu et les résultats escomptés
aux principales parties prenantes, aux participants et aux chefs d'équipe. S'ils sont inclus dès le début,
il peut être plus facile d'obtenir un soutien dans des domaines essentiels au fur et à mesure que le programme prend de l'ampleur.
→ C'est un marathon, pas un sprint : tout programme de formation doit évoluer et s'adapter aux besoins changeants du secteur et de l'organisation.
besoins changeants du secteur et de l'organisation. Ils ne doivent pas être figés dès le premier jour.
→ Rendez-le amusant ! La formation ne doit pas être ennuyeuse, et une plateforme gamifiée comme Secure Code
Warrior est l'occasion parfaite de transformer une tâche aussi importante en un événement mémorable.
Vous serez récompensé par un engagement élevé si vous vous donnez la peine d'inclure des prix, des certificats et même un thème,
certificats, et même un thème - les possibilités sont infinies.
%20(1).avif)