Por último, la formación en seguridad de las aplicaciones para los desarrolladores, por los desarrolladores

Compartir

Los desarrolladores están ocupados. Nadie tiene tiempo para la "formación en seguridad", que probablemente incluya a un hombre de dibujos animados con gafas de sol y sombrero, merodeando por ahí haciendo cosas nefastas con los ordenadores.

Los desarrolladores tienen código que escribir y trabajos que mantener. A menos que les haga mejorar en su carrera actual, ¿por qué molestarse? Si es absolutamente necesario que reciban una formación obligatoria, lo más probable es que inicien el programa y lo dejen funcionando en segundo plano mientras realizan su trabajo diario. Al parecer, uno o dos desarrolladores podrían estar haciendo esto porque el 83% de las aplicaciones contienen un fallo de seguridad.

Formación en seguridad de aplicaciones para desarrolladores

Kontra, de Thrive DX adopta un enfoque diferente. Gyan Chawdhary era uno de esos desarrolladores hastiados a los que no se les podía molestar. Pero al ser él mismo un desarrollador, comprendió que había una forma de llegar a la comunidad de desarrolladores e impartir valor real. Desde el principio, inculcó cinco principios básicos en Kontra para que la formación sobre aplicaciones de seguridad fuera relevante y útil para los desarrolladores.

1. Hazlo mejor, hazlo creíble

Alguna versión de "esto es cursi", "esto ya lo sabemos" y "no es algo que pasaría en la vida real" se ha escuchado en algún momento de la formación sobre seguridad. Aunque la mayoría de los empleados entienden que son el eslabón débil en materia de ciberseguridad, no todos saben qué hacer con esta información. Han escuchado mucho alarmismo, pero muchas menos soluciones. Dígales lo que aún no saben. Comunique algo de valor. En lugar de sembrar el miedo, la incertidumbre y la duda, practique la empatía y la comprensión de la posición en la que se encuentran y muestre una visión de lo que probablemente encontrarán. 

En otras palabras, haga que su formación en materia de seguridad sea creíble y se inspire en ataques de la vida real. Utilice páginas web reales con las que probablemente se encuentren en sus ejemplos. Los ataques de inyección SQL no se producen en las páginas de inicio de sesión, pero sí en las páginas de pago. Incluso es más probable que se produzcan en lugares aleatorios y semiclandestinos. Utiliza estos ejemplos para que tu audiencia sepa que sabes de lo que estás hablando. Enséñeles a identificar, desactivar y poner en cuarentena los ataques antes de que se conviertan en problemas costosos.

Por ejemplo, ThriveDX adquirió recientemente Kontra que ofrece formación en seguridad de aplicaciones dirigida directamente a los desarrolladores. Mientras que normalmente los desarrolladores encuentran los fallos y los comunican, Kontra les enseña a identificar y corregir las vulnerabilidades de seguridad y otros fallos en tiempo real, ahorrando cuatro o más semanas en la siguiente revisión.

2. Practicar la franqueza radical

Reconozca por adelantado que la formación en seguridad no es la primera opción de nadie en cuanto a la gestión del tiempo. Lo entendemos. Al mismo tiempo, la gente suele estar de acuerdo en que tener trabajo es algo bueno. Si una empresa es víctima de un ransomware, el descuido de una persona puede acabar costando la carrera a docenas de personas, si no a la propia empresa. Así que, por supuesto, la formación en materia de seguridad va a ser obligatoria. Aprovechémosla al máximo. 

3. La talla única no sirve para todos

No todos los empleados son iguales. Algunos son más propensos a ser atacados que otros. En concreto, las personas con acceso privilegiado a datos sensibles son mucho más propensas a ser atacadas. Su formación debe tener en cuenta estos riesgos humanos más elevados, separándolos del grupo y llevándolos a una formación más intensiva, preparándolos para los posibles escenarios que puedan encontrar.

4. Apretarlo

¿Por qué dedicar 20 minutos a exponer un punto que se puede transmitir en cinco? Los desarrolladores suelen ser las personas más inteligentes de la sala, así que no los subestimes. Enfoca la formación como si no fuera su primer día con un ordenador y una conexión a Internet. A estas alturas, la mayoría de la gente tiene un conocimiento general de las amenazas que les esperan después de tomar decisiones estúpidas en Internet. Lo que no tienen es mucho tiempo.

Gyan Chawdhary es fundador y director general de Kontraque denomina "Formación en seguridad de aplicaciones por desarrolladores, para desarrolladores". "Nadie tiene tiempo para la formación en seguridad... y menos aún los desarrolladores", dijo Chawdhary. "Por eso uno de nuestros diferenciadores clave es que cada parte de nuestra formación dura cinco minutos, como máximo".

5. Contar una historia

Además de mostrar un ataque y cómo solucionarlo, incluya una narración. Cuente una historia interactiva de ataques de la vida real. Muchos desarrolladores tienen curiosidad por saber cómo los atacantes encontraron este fallo en primer lugar. ¿Qué herramientas utilizaron? ¿Qué código buscaban? ¿Cómo se descubrió esta vulnerabilidad de seguridad? Kontra les muestra esta historia de fondo y les guía a través de los pasos desde la perspectiva de un ciberdelincuente. Les muestra los trucos de un hacker. Si se cuadra el círculo, se obtiene un buen código. 

6. Amplíe su contenido mediante la integración con otro software LMS

Con demasiada frecuencia, tanto la formación sobre concienciación en materia de seguridad como la formación sobre seguridad de las aplicaciones son cursos independientes que se imparten fuera del software de gestión del aprendizaje (LMS) de la empresa. Esto significa efectivamente que usted puede asignar la formación sin imponer ningún cumplimiento. Si los desarrolladores están escribiendo código mientras la formación en seguridad de las aplicaciones se ejecuta en segundo plano, ¿cómo lo sabría y qué podría hacer al respecto? 

El otro problema es que muchas veces la formación en seguridad obliga a las empresas a adoptar su sistemas LMS, con el fin de dar a las empresas visibilidad sobre el cumplimiento de los empleados. Esto presenta varios problemas. En primer lugar, ¿por qué querría un desarrollador iniciar sesión en otro sistema además de su propio LMS para completar la formación? Esto también se refiere al hecho de que muchos sistemas LMS empresariales son mucho más sofisticados y complejos que todo lo que ofrece la formación en ciberseguridad. Mientras que una organización podría ganar algunas capacidades de aplicación y cumplimiento, perderá más que nada en funcionalidad general.

 

En resumen:

La seguridad de las aplicaciones es importante. El tiempo de los desarrolladores es valioso. ¿Por qué no combinar estas dos realidades en una formación útil? A diferencia de otros programas de seguridad de aplicaciones, Kontra está repleto de escenarios reales desafiantes pero enseñables que integrarán las mejores prácticas de seguridad en su código desde la base. Todas las partes salen ganando.

Para más información sobre los programas de formación en seguridad empresarial de ThriveDX, visítenos en https://thrivedx.com/for-enterprise.

Formación en habilidades digitales y soluciones EdTech | ThriveDX

Gyan Chawdhary es el fundador y director general de Kontra Application Security (adquirida por la división empresarial de ThriveDX). Anteriormente, Gyan fundó e inventó Codebashing, la primera solución interactiva de formación en seguridad de aplicaciones del sector, que fue adquirida por Checkmarx en 2018.

Proteja a su organización del phishing

Compartir

Explorar más recursos

Esta guía analiza los riesgos de ciberseguridad de cada departamento. Lea para conocer las amenazas departamentales más comunes.
Estos 15 datos y estadísticas sobre ciberseguridad demuestran que debemos aplicar sólidas medidas de ciberseguridad y tomarnos en serio la seguridad de los datos.
Los ciberataques son ahora más frecuentes que nunca y suponen una grave amenaza para la seguridad de todos los sectores. Aquí están los cinco principales.

Su fuente de confianza para la educación cibernética

Suscríbase al boletín trimestral de ThriveDX para recibir información sobre las últimas tendencias en ciberseguridad, opiniones de expertos, noticias sobre seguridad y recursos gratuitos.

¡Nos hemos unido a ThriveDX!

Para profundizar en nuestro compromiso de crear un impacto generacional con la mejor educación cibernética global para transformar vidas, Cybint es ahora un orgulloso miembro de la familia ThriveDX.
DESCARGUE SU COPIA GRATUITA
enlace de cierre

Contactar con las asociaciones de ThriveDX


Si desea ponerse en contacto con alguien de nuestro equipo in situ, deje su información de contacto aquí y nos pondremos en contacto con usted directamente durante la conferencia.

Conéctese con nuestro equipo

Nombre(Obligatorio)

Ir al contenido