Inicio
Inicio
Solicite una demostración

Por último, formación en seguridad de aplicaciones para desarrolladores, por desarrolladores

Compartir
  • Gyan Chawdhary, Jefe de Seguridad de Aplicaciones, División Empresarial de ThriveDX

Los desarrolladores están ocupados. Nadie tiene tiempo para la "formación en seguridad", que probablemente incluya a un hombre de dibujos animados con gafas de sol y sombrero, merodeando por ahí haciendo cosas nefastas con los ordenadores.

Los desarrolladores tienen código que escribir y trabajos que mantener. A menos que les ayude a mejorar en su profesión, ¿para qué molestarse?

Si no les queda más remedio que seguir una formación obligatoria, lo más probable es que inicien el programa y lo dejen funcionando en segundo plano mientras realizan sus tareas cotidianas.

Al parecer, uno o dos desarrolladores podrían estar haciendo esto porque el 83% de las aplicaciones contienen un fallo de seguridad.

Formación en seguridad de aplicaciones para desarrolladores

Kontra, de Thrive DX adopta un enfoque diferente: es formación en seguridad de aplicaciones para desarrolladores, por desarrolladores.

Gyan Chawdhary era uno de esos desarrolladores hastiados a los que no se podía molestar. Pero como él mismo era desarrollador, comprendió que había una forma de llegar a la comunidad de desarrolladores e impartir valor real.

Desde el principio, inculcó cinco principios básicos en Kontra para que la formación sobre aplicaciones de seguridad fuera pertinente y útil para los desarrolladores.

1. Hazlo mejor, hazlo creíble

Alguna versión de "esto es cursi", "esto ya lo sabemos" y "no es algo que pasaría en la vida real" se ha escuchado en algún lugar durante la formación de concienciación sobre seguridad.

Aunque la mayoría de los empleados entienden que son el eslabón débil en el ciberespacio, no todos saben qué hacer con esta información. Han oído mucho alarmismo, pero muchas menos soluciones.

Dígales lo que aún no saben. Comuníqueles algo de valor. En lugar de sembrar el miedo, la incertidumbre y la duda, practique la empatía y la comprensión hacia la posición en la que se encuentran. Muestre visión de lo que probablemente van a encontrar. 

En otras palabras, haga que su formación sobre concienciación en materia de seguridad sea creíble y se inspire en ataques de la vida real. Utilice páginas web reales con las que es probable que se encuentren en sus ejemplos.

Los ataques de inyección SQL no ocurren en las páginas de inicio de sesión, pero pueden ocurrir en las páginas de pago. Incluso es más probable que ocurran en lugares aleatorios y semi-arcanas.

Utilícelos como ejemplos, para que su audiencia sepa que usted sabe de lo que está hablando. Enséñeles a identificar, desactivar y poner en cuarentena los ataques antes de que se conviertan en problemas costosos.

Por ejemplo, ThriveDX adquirió recientemente Kontra que ofrece formación en seguridad de aplicaciones dirigida directamente a los desarrolladores.

Mientras que normalmente los desarrolladores encuentran fallos y los comunican, Kontra en cambio les enseña a identificar y corregir vulnerabilidades de seguridad y otros fallos en tiempo real, ahorrando cuatro o más semanas en la siguiente revisión.

2. Practicar la franqueza radical

Reconozca de entrada que la formación en seguridad no es la primera opción de nadie en cuanto a gestión del tiempo. Lo entendemos.

Al mismo tiempo, la gente suele estar de acuerdo en que tener trabajo es algo bueno. Si una empresa es víctima de un ransomware, el descuido de una persona puede acabar costando la carrera a docenas de personas, si no a la propia empresa.

Así que, por supuesto, la formación sobre concienciación en materia de seguridad va a ser obligatoria. Aprovechémosla al máximo. 

3. La talla única no sirve para todos

No todos los empleados son iguales. Algunos son más propensos a sufrir agresiones que otros.

En concreto, las personas con acceso privilegiado a datos confidenciales son mucho más propensas a convertirse en objetivo. La formación debe tener en cuenta estos mayores riesgos humanos, separándoles del grupo y ofreciéndoles una formación más intensiva, preparándoles para los posibles escenarios a los que puedan enfrentarse. 

4. Apretarlo

¿Por qué dedicar 20 minutos a exponer un argumento que se puede transmitir en cinco? Los desarrolladores suelen ser los más listos de la sala, así que no los subestimes.

Aborde la formación como si no fuera su primer día con un ordenador y una conexión a Internet. A estas alturas, la mayoría de la gente tiene una idea general de las amenazas que les esperan tras tomar decisiones imprudentes en Internet. Lo que no tienen es mucho tiempo.

Gyan Chawdhary es fundador y CEO de Kontraque él denomina Formación en seguridad de aplicaciones por desarrolladores, para desarrolladores.

"Nadie tiene tiempo para formación en seguridad... y mucho menos los desarrolladores", afirma Chawdhary. "Por eso uno de nuestros diferenciadores clave es que cada parte de nuestra formación dura cinco minutos, como máximo". 

5. Contar una historia

Además de mostrar un ataque y cómo solucionarlo, incluya una narración. Cuente una historia interactiva de ataques reales.

Muchos desarrolladores tienen curiosidad por saber cómo los atacantes encontraron este fallo en primer lugar.

  • ¿Qué herramientas utilizaban?
  • ¿Qué código buscaban?
  • ¿Cómo se descubrió esta vulnerabilidad de seguridad?

 

Kontra les muestra esta historia de fondo y les guía por los pasos desde la perspectiva de un ciberdelincuente. Les muestra los trucos de un hacker. Cuadra ese círculo, y sigue un buen código. 

6. Amplíe su contenido mediante la integración con otro software LMS

Con demasiada frecuencia, tanto la formación sobre concienciación en materia de seguridad como la formación sobre seguridad de las aplicaciones son cursos independientes que se imparten fuera del software de gestión del aprendizaje (LMS) de una empresa. Esto significa que se puede asignar formación sin imponer ningún cumplimiento.

Si los desarrolladores están escribiendo código mientras AppSec Training se ejecuta en segundo plano, ¿cómo lo sabría y qué podría hacer al respecto? 

El otro problema es que muchas veces la formación en seguridad obliga a las empresas a adoptar su sistemas LMS, con el fin de dar a las empresas visibilidad sobre el cumplimiento de los empleados. Esto presenta varios problemas.

En primer lugar, ¿por qué querría un desarrollador conectarse a otro sistema además de su propio LMS para completar la formación? Esto también tiene que ver con el hecho de que muchos sistemas LMS empresariales son mucho más sofisticados y complejos que todo lo que ofrece la formación en ciberseguridad.

Si bien una organización puede ganar algunas capacidades de aplicación y cumplimiento, perderá con creces en funcionalidad general. 

Resumen: Formación en seguridad de aplicaciones para desarrolladores, por desarrolladores

La seguridad de las aplicaciones es importante. El tiempo de los desarrolladores es valioso. ¿Por qué no combinar estas dos realidades en una formación útil?

A diferencia de otros programas de seguridad de aplicaciones, la formación en seguridad de aplicaciones de Kontra para desarrolladores está repleta de escenarios reales desafiantes pero didácticos que integrarán las mejores prácticas de seguridad en su código desde la base. Todas las partes salen ganando.

Para más información sobre los programas de formación en seguridad empresarial de ThriveDX, visítenos en https://thrivedx.com/for-enterprise.

Formación en habilidades digitales y soluciones EdTech | ThriveDX

Gyan Chawdhary es el fundador y director general de Kontra Application Security (adquirida por la división empresarial de ThriveDX). Anteriormente, Gyan fundó e inventó Codebashing, la primera solución interactiva de formación en seguridad de aplicaciones del sector, que fue adquirida por Checkmarx en 2018.

Proteja a su organización del phishing

solicite una demostración
Compartir

Explorar más recursos

  • Artículo

Los 9 consejos de ciberseguridad más importantes para sus empleados

Las organizaciones están inundadas de consejos de ciberseguridad, pero ¿cuáles son los más importantes?
  • Artículo

8 amenazas a la ciberseguridad móvil que deberías tomarte en serio

Entre el 80 y el 90% de las aplicaciones móviles contienen una vulnerabilidad de seguridad. Más información
  • Artículo

Zoom Estrategias de ciberseguridad y privacidad

El crecimiento de Zoom durante y después de Covid agilizó el trabajo en zonas remotas. Sin embargo, las videoconferencias
  • Artículo

8 razones sorprendentes por las que los piratas informáticos atacan a las escuelas

Los piratas informáticos atacan a las escuelas por varias razones. Para robar datos de investigación, conocer secretos comerciales
Recursos empresariales

Su fuente de confianza para la educación cibernética

Suscríbase al boletín trimestral de ThriveDX para recibir información sobre las últimas tendencias en ciberseguridad, opiniones de expertos, noticias sobre seguridad y recursos gratuitos.

Inscríbete
Twitter Facebook-square Linkedin

¡Nos hemos unido a ThriveDX!

Para profundizar en nuestro compromiso de crear un impacto generacional con la mejor educación cibernética global para transformar vidas, Cybint es ahora un orgulloso miembro de la familia ThriveDX.
DESCARGUE SU COPIA GRATUITA
enlace de cierre
Desarrollado por Convert Plus

Contactar con las asociaciones de ThriveDX

[forminator_form id="10629″]

Si desea ponerse en contacto con alguien de nuestro equipo in situ, deje su información de contacto aquí y nos pondremos en contacto con usted directamente durante la conferencia.

Conéctese con nuestro equipo

Nombre(Obligatorio)

Ir al contenido