Torneos para desarrolladores: el arma secreta de AppSec para mejorar la cultura de seguridad y el compromiso
Imagina crear algo desde cero, ejerciendo tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o formando parte de un equipo, dedicas tu corazón y tu alma a construir algo de la nada. Dedicas cientos, tal vez incluso miles, de horas a ello, asegurándote de que tu bebé esté lo mejor posible. Al completarla, esa oleada de logros puede parecer una recompensa por sí sola.
Ahora, imagina que aparece un spoilsport y te dice que no es tan bueno. Quizás vayan un paso más allá y te digan que no, a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede usar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior seguramente causará cierta tensión; después de todo, ¿quién quiere que su arduo trabajo sea desmentido y condenado por inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de AppSec. Un desarrollador tiene la responsabilidad principal de crear un software que sea funcional, rico en funciones y que se entregue dentro de los estrictos plazos del proyecto. La seguridad rara vez es la prioridad, e incluso puede considerarse un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de comprobar meticulosamente el código, realizar pruebas con bolígrafos y, a continuación, informar de la mala noticia: la presencia de vulnerabilidades de seguridad en un código que, a menudo, ya está comprometido. Se trata de un proceso caro en un entorno en el que a menudo se agotan los recursos y el tiempo necesarios, ya que la configuración puede provocar desacuerdos entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar en desacuerdo.
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera del aula, al campo de juego
Dado que muchos desarrolladores completan su formación profesional sin aprender mucho sobre programación de forma segura, suele ocurrir que su primer punto de contacto con la educación en seguridad es al entrar en el mundo laboral. La formación presencial es una solución que se utiliza con frecuencia, pero quita un tiempo precioso a la entrega de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También hay cursos en vídeo, exámenes en papel y cursos genéricos sobre políticas de seguridad empresariales... todo lo cual puede resultar tan poco específico que resulta inútil en la vida laboral diaria del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de «marcar la casilla y seguir adelante» y, con demasiada frecuencia, tiene el efecto contrario: solo genera una brecha más amplia entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional esté teniendo el efecto positivo en la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos con tanta urgencia. Seguimos cometiendo los mismos errores.
Según la enumeración de debilidades comunes (CWE) comunidad, hay más de 700 común debilidades de seguridad del software contra las que luchar. Algunas, como la inyección de SQL, son como cucarachas que no han sido aplastadas a pesar de su existencia desde hace más de veinte años. ¡Nosotros conocer cómo solucionarlo; la formación está ahí para que los desarrolladores puedan detenerlo y muchos otros, pero los procesos de revisión manual del código y pruebas con lápiz identifican continuamente estas infracciones.
Quizás lo hemos analizado todo mal y, como industria, necesitamos abordar la educación viable desde un ángulo diferente, uno que aproveche las increíbles habilidades que tanto valoran nuestros desarrolladores. Son solucionadores de problemas creativos e inquisitivos a los que les encantan los desafíos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, es posible que al final se enamoren de la seguridad.
Un poco de competencia sana
La confianza en herramientas (bastante imprecisas), las costosas pruebas con lápiz y la escasez de especialistas en AppSec nos hundirán aún más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad están en línea como para que las empresas sigan siendo cautelosas con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, necesitamos recurrir a los superhéroes que siempre hemos tenido en la oficina: el equipo de desarrollo.
La formación gamificada, en los lenguajes y marcos pertinentes, es una herramienta potente para que los administradores de AppSec comiencen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden poner a prueba sus habilidades de seguridad recién adquiridas en un entorno de torneo divertido, que puede resultar tan emocionante como lo imagine: basta con echar un vistazo a cómo El «Juego de códigos» de IAG tengo todos hablando sobre la seguridad dentro de su organización.
Código seguro: Warrior's módulo de torneo proporciona algo más que un pequeño límite a un compromiso de formación mesurado: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación e identificar las áreas que pueden necesitar mejoras. El aspecto competitivo realmente actúa como un motivador para comprometerse de manera positiva con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el desarrollo de una cultura de seguridad sólida en el equipo y en la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa, si no abrumadora, puede contribuir en gran medida a cambiar las mentalidades negativas e inspirar una participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (saludable)?
Los campeones caminan entre vosotros
La formación gamificada y los torneos posteriores ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo obtienen mucha más información sobre el trabajo diario de los demás. Un desarrollador seguro es un activo, ya que corrige las vulnerabilidades más comunes y deja que los problemas complejos se encarguen de los escasos especialistas en AppSec sobre el terreno. Las mejores relaciones crecen y prosperan, y el valioso presupuesto de seguridad no se agota solucionando el escenario del «Día de la Marmota» en el que se repiten los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Los torneos pueden descubrir a aquellos que no solo tienen aptitudes para la seguridad, sino que muestran una pasión por ella de forma activa. Estos campeones son fundamentales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y defender las políticas de mejores prácticas. La implementación de un programa de promoción sólido, que incluya el reconocimiento y el apoyo de los ejecutivos, es un tanto a favor de la organización, además de un poderoso aporte para el currículum y la futura carrera profesional de la persona.
¿El resultado final? Debemos exigir mejores resultados en las pruebas de seguridad. Errores menos comunes, más apoyo para quienes están en primera línea. ¿Por qué no te das cuenta de cómo un torneo de desarrolladores puede ayudarte a conseguirlo antes de lo que crees?
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Imagina crear algo desde cero, ejerciendo tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o formando parte de un equipo, dedicas tu corazón y tu alma a construir algo de la nada. Dedicas cientos, tal vez incluso miles, de horas a ello, asegurándote de que tu bebé esté lo mejor posible. Al completarla, esa oleada de logros puede parecer una recompensa por sí sola.
Ahora, imagina que aparece un spoilsport y te dice que no es tan bueno. Quizás vayan un paso más allá y te digan que no, a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede usar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior seguramente causará cierta tensión; después de todo, ¿quién quiere que su arduo trabajo sea desmentido y condenado por inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de AppSec. Un desarrollador tiene la responsabilidad principal de crear un software que sea funcional, rico en funciones y que se entregue dentro de los estrictos plazos del proyecto. La seguridad rara vez es la prioridad, e incluso puede considerarse un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de comprobar meticulosamente el código, realizar pruebas con bolígrafos y, a continuación, informar de la mala noticia: la presencia de vulnerabilidades de seguridad en un código que, a menudo, ya está comprometido. Se trata de un proceso caro en un entorno en el que a menudo se agotan los recursos y el tiempo necesarios, ya que la configuración puede provocar desacuerdos entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar en desacuerdo.
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera del aula, al campo de juego
Dado que muchos desarrolladores completan su formación profesional sin aprender mucho sobre programación de forma segura, suele ocurrir que su primer punto de contacto con la educación en seguridad es al entrar en el mundo laboral. La formación presencial es una solución que se utiliza con frecuencia, pero quita un tiempo precioso a la entrega de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También hay cursos en vídeo, exámenes en papel y cursos genéricos sobre políticas de seguridad empresariales... todo lo cual puede resultar tan poco específico que resulta inútil en la vida laboral diaria del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de «marcar la casilla y seguir adelante» y, con demasiada frecuencia, tiene el efecto contrario: solo genera una brecha más amplia entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional esté teniendo el efecto positivo en la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos con tanta urgencia. Seguimos cometiendo los mismos errores.
Según la enumeración de debilidades comunes (CWE) comunidad, hay más de 700 común debilidades de seguridad del software contra las que luchar. Algunas, como la inyección de SQL, son como cucarachas que no han sido aplastadas a pesar de su existencia desde hace más de veinte años. ¡Nosotros conocer cómo solucionarlo; la formación está ahí para que los desarrolladores puedan detenerlo y muchos otros, pero los procesos de revisión manual del código y pruebas con lápiz identifican continuamente estas infracciones.
Quizás lo hemos analizado todo mal y, como industria, necesitamos abordar la educación viable desde un ángulo diferente, uno que aproveche las increíbles habilidades que tanto valoran nuestros desarrolladores. Son solucionadores de problemas creativos e inquisitivos a los que les encantan los desafíos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, es posible que al final se enamoren de la seguridad.
Un poco de competencia sana
La confianza en herramientas (bastante imprecisas), las costosas pruebas con lápiz y la escasez de especialistas en AppSec nos hundirán aún más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad están en línea como para que las empresas sigan siendo cautelosas con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, necesitamos recurrir a los superhéroes que siempre hemos tenido en la oficina: el equipo de desarrollo.
La formación gamificada, en los lenguajes y marcos pertinentes, es una herramienta potente para que los administradores de AppSec comiencen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden poner a prueba sus habilidades de seguridad recién adquiridas en un entorno de torneo divertido, que puede resultar tan emocionante como lo imagine: basta con echar un vistazo a cómo El «Juego de códigos» de IAG tengo todos hablando sobre la seguridad dentro de su organización.
Código seguro: Warrior's módulo de torneo proporciona algo más que un pequeño límite a un compromiso de formación mesurado: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación e identificar las áreas que pueden necesitar mejoras. El aspecto competitivo realmente actúa como un motivador para comprometerse de manera positiva con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el desarrollo de una cultura de seguridad sólida en el equipo y en la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa, si no abrumadora, puede contribuir en gran medida a cambiar las mentalidades negativas e inspirar una participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (saludable)?
Los campeones caminan entre vosotros
La formación gamificada y los torneos posteriores ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo obtienen mucha más información sobre el trabajo diario de los demás. Un desarrollador seguro es un activo, ya que corrige las vulnerabilidades más comunes y deja que los problemas complejos se encarguen de los escasos especialistas en AppSec sobre el terreno. Las mejores relaciones crecen y prosperan, y el valioso presupuesto de seguridad no se agota solucionando el escenario del «Día de la Marmota» en el que se repiten los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Los torneos pueden descubrir a aquellos que no solo tienen aptitudes para la seguridad, sino que muestran una pasión por ella de forma activa. Estos campeones son fundamentales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y defender las políticas de mejores prácticas. La implementación de un programa de promoción sólido, que incluya el reconocimiento y el apoyo de los ejecutivos, es un tanto a favor de la organización, además de un poderoso aporte para el currículum y la futura carrera profesional de la persona.
¿El resultado final? Debemos exigir mejores resultados en las pruebas de seguridad. Errores menos comunes, más apoyo para quienes están en primera línea. ¿Por qué no te das cuenta de cómo un torneo de desarrolladores puede ayudarte a conseguirlo antes de lo que crees?
Imagina crear algo desde cero, ejerciendo tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o formando parte de un equipo, dedicas tu corazón y tu alma a construir algo de la nada. Dedicas cientos, tal vez incluso miles, de horas a ello, asegurándote de que tu bebé esté lo mejor posible. Al completarla, esa oleada de logros puede parecer una recompensa por sí sola.
Ahora, imagina que aparece un spoilsport y te dice que no es tan bueno. Quizás vayan un paso más allá y te digan que no, a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede usar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior seguramente causará cierta tensión; después de todo, ¿quién quiere que su arduo trabajo sea desmentido y condenado por inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de AppSec. Un desarrollador tiene la responsabilidad principal de crear un software que sea funcional, rico en funciones y que se entregue dentro de los estrictos plazos del proyecto. La seguridad rara vez es la prioridad, e incluso puede considerarse un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de comprobar meticulosamente el código, realizar pruebas con bolígrafos y, a continuación, informar de la mala noticia: la presencia de vulnerabilidades de seguridad en un código que, a menudo, ya está comprometido. Se trata de un proceso caro en un entorno en el que a menudo se agotan los recursos y el tiempo necesarios, ya que la configuración puede provocar desacuerdos entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar en desacuerdo.
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera del aula, al campo de juego
Dado que muchos desarrolladores completan su formación profesional sin aprender mucho sobre programación de forma segura, suele ocurrir que su primer punto de contacto con la educación en seguridad es al entrar en el mundo laboral. La formación presencial es una solución que se utiliza con frecuencia, pero quita un tiempo precioso a la entrega de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También hay cursos en vídeo, exámenes en papel y cursos genéricos sobre políticas de seguridad empresariales... todo lo cual puede resultar tan poco específico que resulta inútil en la vida laboral diaria del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de «marcar la casilla y seguir adelante» y, con demasiada frecuencia, tiene el efecto contrario: solo genera una brecha más amplia entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional esté teniendo el efecto positivo en la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos con tanta urgencia. Seguimos cometiendo los mismos errores.
Según la enumeración de debilidades comunes (CWE) comunidad, hay más de 700 común debilidades de seguridad del software contra las que luchar. Algunas, como la inyección de SQL, son como cucarachas que no han sido aplastadas a pesar de su existencia desde hace más de veinte años. ¡Nosotros conocer cómo solucionarlo; la formación está ahí para que los desarrolladores puedan detenerlo y muchos otros, pero los procesos de revisión manual del código y pruebas con lápiz identifican continuamente estas infracciones.
Quizás lo hemos analizado todo mal y, como industria, necesitamos abordar la educación viable desde un ángulo diferente, uno que aproveche las increíbles habilidades que tanto valoran nuestros desarrolladores. Son solucionadores de problemas creativos e inquisitivos a los que les encantan los desafíos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, es posible que al final se enamoren de la seguridad.
Un poco de competencia sana
La confianza en herramientas (bastante imprecisas), las costosas pruebas con lápiz y la escasez de especialistas en AppSec nos hundirán aún más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad están en línea como para que las empresas sigan siendo cautelosas con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, necesitamos recurrir a los superhéroes que siempre hemos tenido en la oficina: el equipo de desarrollo.
La formación gamificada, en los lenguajes y marcos pertinentes, es una herramienta potente para que los administradores de AppSec comiencen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden poner a prueba sus habilidades de seguridad recién adquiridas en un entorno de torneo divertido, que puede resultar tan emocionante como lo imagine: basta con echar un vistazo a cómo El «Juego de códigos» de IAG tengo todos hablando sobre la seguridad dentro de su organización.
Código seguro: Warrior's módulo de torneo proporciona algo más que un pequeño límite a un compromiso de formación mesurado: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación e identificar las áreas que pueden necesitar mejoras. El aspecto competitivo realmente actúa como un motivador para comprometerse de manera positiva con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el desarrollo de una cultura de seguridad sólida en el equipo y en la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa, si no abrumadora, puede contribuir en gran medida a cambiar las mentalidades negativas e inspirar una participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (saludable)?
Los campeones caminan entre vosotros
La formación gamificada y los torneos posteriores ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo obtienen mucha más información sobre el trabajo diario de los demás. Un desarrollador seguro es un activo, ya que corrige las vulnerabilidades más comunes y deja que los problemas complejos se encarguen de los escasos especialistas en AppSec sobre el terreno. Las mejores relaciones crecen y prosperan, y el valioso presupuesto de seguridad no se agota solucionando el escenario del «Día de la Marmota» en el que se repiten los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Los torneos pueden descubrir a aquellos que no solo tienen aptitudes para la seguridad, sino que muestran una pasión por ella de forma activa. Estos campeones son fundamentales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y defender las políticas de mejores prácticas. La implementación de un programa de promoción sólido, que incluya el reconocimiento y el apoyo de los ejecutivos, es un tanto a favor de la organización, además de un poderoso aporte para el currículum y la futura carrera profesional de la persona.
¿El resultado final? Debemos exigir mejores resultados en las pruebas de seguridad. Errores menos comunes, más apoyo para quienes están en primera línea. ¿Por qué no te das cuenta de cómo un torneo de desarrolladores puede ayudarte a conseguirlo antes de lo que crees?
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Imagina crear algo desde cero, ejerciendo tus habilidades y experiencia con maestría para dejar una pequeña, pero especial, marca en el mundo. Ya sea solo o formando parte de un equipo, dedicas tu corazón y tu alma a construir algo de la nada. Dedicas cientos, tal vez incluso miles, de horas a ello, asegurándote de que tu bebé esté lo mejor posible. Al completarla, esa oleada de logros puede parecer una recompensa por sí sola.
Ahora, imagina que aparece un spoilsport y te dice que no es tan bueno. Quizás vayan un paso más allá y te digan que no, a pesar de la energía, el tiempo y el amor que has sacrificado, en realidad ni siquiera se puede usar: está roto. En esencia, te han dicho que tu bebé es feo.
El escenario anterior seguramente causará cierta tensión; después de todo, ¿quién quiere que su arduo trabajo sea desmentido y condenado por inadecuado? Lamentablemente, para muchos desarrolladores, esta puede ser la realidad de su relación con el equipo de AppSec. Un desarrollador tiene la responsabilidad principal de crear un software que sea funcional, rico en funciones y que se entregue dentro de los estrictos plazos del proyecto. La seguridad rara vez es la prioridad, e incluso puede considerarse un obstáculo para la entrega rápida y la innovación. AppSec tiene la poco envidiable tarea de comprobar meticulosamente el código, realizar pruebas con bolígrafos y, a continuación, informar de la mala noticia: la presencia de vulnerabilidades de seguridad en un código que, a menudo, ya está comprometido. Se trata de un proceso caro en un entorno en el que a menudo se agotan los recursos y el tiempo necesarios, ya que la configuración puede provocar desacuerdos entre dos equipos que tienen el mismo objetivo, pero que hablan idiomas tan diferentes que parecen estar en desacuerdo.
¿No crees que es hora de renovar la seguridad? Es tan simple como cambiar la conversación y hacer que todo sea un poco más positivo (¡sin mencionar que es divertido!) para ambas partes, especialmente para el equipo de desarrollo.
Fuera del aula, al campo de juego
Dado que muchos desarrolladores completan su formación profesional sin aprender mucho sobre programación de forma segura, suele ocurrir que su primer punto de contacto con la educación en seguridad es al entrar en el mundo laboral. La formación presencial es una solución que se utiliza con frecuencia, pero quita un tiempo precioso a la entrega de funciones (y, seamos sinceros: si el profesor y el contenido son poco estimulantes, puede ser una pérdida de tiempo fácil de olvidar para todos). También hay cursos en vídeo, exámenes en papel y cursos genéricos sobre políticas de seguridad empresariales... todo lo cual puede resultar tan poco específico que resulta inútil en la vida laboral diaria del desarrollador medio.
Con demasiada frecuencia, se trata como un ejercicio de cumplimiento de «marcar la casilla y seguir adelante» y, con demasiada frecuencia, tiene el efecto contrario: solo genera una brecha más amplia entre AppSec y el equipo de desarrollo. Al fin y al cabo, no parece que la formación convencional esté teniendo el efecto positivo en la cultura de seguridad y el cumplimiento que nosotros, como industria, buscamos con tanta urgencia. Seguimos cometiendo los mismos errores.
Según la enumeración de debilidades comunes (CWE) comunidad, hay más de 700 común debilidades de seguridad del software contra las que luchar. Algunas, como la inyección de SQL, son como cucarachas que no han sido aplastadas a pesar de su existencia desde hace más de veinte años. ¡Nosotros conocer cómo solucionarlo; la formación está ahí para que los desarrolladores puedan detenerlo y muchos otros, pero los procesos de revisión manual del código y pruebas con lápiz identifican continuamente estas infracciones.
Quizás lo hemos analizado todo mal y, como industria, necesitamos abordar la educación viable desde un ángulo diferente, uno que aproveche las increíbles habilidades que tanto valoran nuestros desarrolladores. Son solucionadores de problemas creativos e inquisitivos a los que les encantan los desafíos. Gamificar la formación en seguridad es hablar su idioma, permitirles practicar con la práctica y, quién sabe, es posible que al final se enamoren de la seguridad.
Un poco de competencia sana
La confianza en herramientas (bastante imprecisas), las costosas pruebas con lápiz y la escasez de especialistas en AppSec nos hundirán aún más en el agujero negro de la seguridad. Gran parte de nuestras vidas y de nuestra privacidad están en línea como para que las empresas sigan siendo cautelosas con las fortalezas virtuales que protegen nuestros datos. A medida que la transformación digital de nuestro mundo aumenta nuestra dependencia del software, necesitamos recurrir a los superhéroes que siempre hemos tenido en la oficina: el equipo de desarrollo.
La formación gamificada, en los lenguajes y marcos pertinentes, es una herramienta potente para que los administradores de AppSec comiencen a transformar la cultura de seguridad dentro de la empresa. A partir de la formación, los desarrolladores pueden poner a prueba sus habilidades de seguridad recién adquiridas en un entorno de torneo divertido, que puede resultar tan emocionante como lo imagine: basta con echar un vistazo a cómo El «Juego de códigos» de IAG tengo todos hablando sobre la seguridad dentro de su organización.
Código seguro: Warrior's módulo de torneo proporciona algo más que un pequeño límite a un compromiso de formación mesurado: es una plataforma desde la que cada desarrollador puede validar sus habilidades, ver cuánto ha avanzado desde que comenzó la formación e identificar las áreas que pueden necesitar mejoras. El aspecto competitivo realmente actúa como un motivador para comprometerse de manera positiva con la seguridad, utilizando la recompensa y el reconocimiento para apoyar el desarrollo de una cultura de seguridad sólida en el equipo y en la empresa en general.
Inyectar un poco de diversión en lo que puede considerarse una tarea laboriosa, si no abrumadora, puede contribuir en gran medida a cambiar las mentalidades negativas e inspirar una participación continua. Después de todo, ¿a quién no le gusta la gloria de conseguir más puntos que sus compañeros en un entorno competitivo (saludable)?
Los campeones caminan entre vosotros
La formación gamificada y los torneos posteriores ayudan enormemente a impulsar una cultura de seguridad positiva, ya que los equipos de AppSec y de desarrollo obtienen mucha más información sobre el trabajo diario de los demás. Un desarrollador seguro es un activo, ya que corrige las vulnerabilidades más comunes y deja que los problemas complejos se encarguen de los escasos especialistas en AppSec sobre el terreno. Las mejores relaciones crecen y prosperan, y el valioso presupuesto de seguridad no se agota solucionando el escenario del «Día de la Marmota» en el que se repiten los mismos errores una y otra vez.
Sin embargo, hay otro poderoso subproducto: la revelación de los campeones de seguridad que no sabías que tenías. Los torneos pueden descubrir a aquellos que no solo tienen aptitudes para la seguridad, sino que muestran una pasión por ella de forma activa. Estos campeones son fundamentales para mantener el impulso y actuar como punto de contacto entre los equipos, supervisar a los compañeros y defender las políticas de mejores prácticas. La implementación de un programa de promoción sólido, que incluya el reconocimiento y el apoyo de los ejecutivos, es un tanto a favor de la organización, además de un poderoso aporte para el currículum y la futura carrera profesional de la persona.
¿El resultado final? Debemos exigir mejores resultados en las pruebas de seguridad. Errores menos comunes, más apoyo para quienes están en primera línea. ¿Por qué no te das cuenta de cómo un torneo de desarrolladores puede ayudarte a conseguirlo antes de lo que crees?
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.