Campeones contra entrenadores: por qué todos los equipos de desarrollo necesitan ambos
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.