Início
Início
Solicite uma demonstração

Finalmente, Formação em Segurança de Aplicações para Desenvolvedores, por Devs

Partilhar
  • Gyan Chawdhary, Chefe de Segurança de Aplicações, Divisão Empresarial da ThriveDX

Os promotores estão ocupados. Ninguém tem tempo para "treino de segurança" que provavelmente envolverá um homem de desenhos animados a usar óculos de sol e um chapéu, a andar por aí a fazer coisas com aspecto nefasto com computadores.

Os dispositivos têm código para escrever e empregos para manter. A menos que isso os torne melhores na sua carreira actual, porquê incomodar?

Se tiverem absolutamente de seguir uma formação obrigatória, as probabilidades são altas, lançarão o programa e deixá-lo-ão a funcionar em segundo plano enquanto fazem o seu trabalho diário.

Aparentemente, um ou dois dispositivos podem estar a fazer isto porque 83% das aplicações contêm uma falha de segurança.

Formação em Segurança de Aplicações para Desenvolvedores

Kontra, por Thrive DX adopta uma abordagem diferente; é a formação em segurança de aplicações para programadores, por programadores.

Gyan Chawdhary era um daqueles deves exaustos que não podiam ser incomodados. Mas, sendo ele próprio um desenvolvedor, ele compreendeu que havia uma forma de chegar à comunidade de devs e de transmitir o valor real.

Desde o início, ele incutiu cinco princípios fundamentais dentro da Kontra para tornar a formação de aplicações de segurança relevante e útil para os desenvolvedores.

1. Torná-lo Melhor, Torná-lo Acreditável

Alguma versão de "isto é foleiro", "já sabemos isto" e "nada do que aconteceria na vida real" foi ouvida algures durante a formação de sensibilização para a segurança.

Embora a maioria dos empregados compreenda que são o elo fraco cibernético, nem todos os empregados sabem o que fazer com esta informação. Ouviram muitos receios, mas muito menos soluções.

Diz-lhes o que eles ainda não sabem. Comunicar-lhes algo de valor. Em vez de semear o medo, a incerteza e a dúvida, praticar a empatia e a compreensão pela posição em que se encontram. Mostrar visão para o que é provável que encontrem. 

Por outras palavras, torne a sua formação de sensibilização para a segurança credível e inspirada por ataques da vida real. Use páginas da web reais que provavelmente irão atravessar nos seus exemplos.

Ataques de injecção SQL não acontecem em páginas de login, mas podem acontecer em páginas de checkout. São ainda mais prováveis de acontecer em locais aleatórios, semi-arquosos.

Use estes como exemplos, para que o seu público saiba que sabe do que está a falar. Ensine-os a identificar, desactivar e colocar em quarentena os ataques antes que se tornem problemas dispendiosos.

Por exemplo, ThriveDX Kontra recentemente adquirida que fornece formação em segurança de aplicações destinada directamente aos programadores.

Enquanto que normalmente os criadores encontram bugs e os reportam, a Kontra ensina-os a identificar e corrigir vulnerabilidades de segurança e outros bugs em tempo real, poupando quatro ou mais semanas na próxima revisão.

2. Praticar a candura radical

Reconhecer antecipadamente que a formação em segurança não é a primeira escolha de ninguém na gestão do tempo. Nós percebemos.

Ao mesmo tempo, as pessoas geralmente concordam que ter emprego é uma coisa boa. Se uma empresa for vítima de um resgate, o descuido de uma pessoa pode acabar por custar a dezenas de pessoas as suas carreiras, se não o próprio negócio.

Portanto, é claro que a formação de sensibilização para a segurança vai ser obrigatória. Vamos aproveitá-la ao máximo, vamos? 

3. Tamanho Único Não Cabe Tudo

Nem todos os empregados são iguais. Alguns são mais propensos a serem atacados do que outros.

Especificamente, as pessoas com acesso privilegiado a dados sensíveis são muito mais bem recebidas para serem visadas. A sua formação deve ser responsável por estes riscos humanos acrescidos, separando-os do grupo e acompanhando-os através de uma formação mais intensiva, preparando-os para cenários prováveis que possam encontrar. 

4. Aperte-o

Porquê passar 20 minutos a fazer um ponto que pode transmitir em cinco? Os programadores são normalmente as pessoas mais inteligentes na sala, por isso não os subestime.

Abordam a formação como se não fosse o seu primeiro dia com um computador e uma ligação à Internet. Neste momento, a maioria das pessoas já tem uma compreensão geral das ameaças que os esperam depois de tomarem decisões em linha. O que eles não têm muito é tempo.

Gyan Chawdhary é fundador e CEO da Kontraque ele chama Formação em Segurança de Aplicações por programadores, para programadores.

"Ninguém tem tempo para formação em segurança...muito menos os programadores", disse Chawdhary. "É por isso que um dos nossos principais diferenciadores é que cada parte da nossa formação dura cinco minutos, no máximo". 

5. Contar uma história

Além de mostrar um ataque e a forma de o reparar, incluir uma narrativa. Contar uma história interactiva de ataques da vida real.

Muitos devs estão curiosos em saber como é que os atacantes encontraram este insecto em primeiro lugar.

  • Que ferramentas utilizaram?
  • Que código procuravam?
  • Como é que esta vulnerabilidade de segurança foi descoberta?

 

Kontra mostra-lhes esta história e acompanha-os através dos passos da perspectiva de um cibercriminoso. Mostra-lhes os truques de um hacker. Faz o quadrado desse círculo, e segue-se um bom código. 

6. Dimensione o seu conteúdo integrando com outro software LMS

Com demasiada frequência, tanto a formação de sensibilização para a segurança como a formação em segurança de aplicações são cursos autónomos sentados fora do Software de Gestão de Aprendizagem (LMS) de uma empresa. Isto significa efectivamente que se pode atribuir formação sem impor qualquer cumprimento.

Se os programadores estão a escrever código enquanto a Formação AppSec decorre em segundo plano, como é que saberia, e o que poderia sequer fazer a esse respeito? 

O outro problema é que muitas vezes a formação em segurança vai forçar as empresas a adoptar o seu sistemas LMS, a fim de dar às empresas visibilidade sobre a conformidade dos empregados. Isto apresenta vários problemas.

Em primeiro lugar, porque é que um programador quer entrar em mais um sistema para além do seu próprio LMS para completar a sua formação? Isto também se deve ao facto de muitos sistemas LMS empresariais serem muito mais sofisticados e complexos do que tudo o que é oferecido pela formação em cibersegurança.

Embora uma organização possa ganhar algumas capacidades de aplicação e conformidade, elas irão mais do que perder em funcionalidade geral. 

Resumo: Formação em Segurança de Aplicações para Desenvolvedores, por Desenvolvedores

A segurança da aplicação é importante. O tempo dos programadores é valioso. Porque não combinar estas duas realidades numa única formação útil?

Ao contrário de outros programas AppSec, a formação de segurança de aplicações Kontra para programadores está repleta de cenários da vida real desafiantes mas ainda ensináveis que irão integrar as melhores práticas de segurança no seu código de baixo para cima. É um win-win para todas as partes.

Para mais informações sobre os programas de formação em segurança empresarial da ThriveDX, por favor visite-nos em https://thrivedx.com/for-enterprise.

Formação em Competências Digitais e Soluções EdTech | ThriveDX

Gyan Chawdhary é o Fundador e CEO da Kontra Application Security (adquirida pela Divisão Empresarial da ThriveDX). Anteriormente, Gyan fundou e inventou a Codebashing, a primeira solução de formação interactiva de segurança de aplicações da indústria, que foi adquirida pela Checkmarx em 2018.

Proteja a sua Organização contra Phishing

solicitar uma demonstração
Partilhar

Explorar mais recursos

  • Artigo

9 Dicas mais importantes de Cibersegurança para os seus Empregados

As organizações estão inundadas com dicas de segurança cibernética - mas quais são as mais importantes
  • Artigo

8 Ameaças Cibernéticas de Segurança Móvel que Deve Levar a Sério

Entre 80 a 90% das aplicações móveis contêm uma vulnerabilidade de segurança. Saiba mais sobre a
  • Artigo

Zoom Cybersecurity and Privacy Strategies

O crescimento do Zoom durante e após a Covid acelerou o trabalho em áreas remotas. No entanto, a videoconferência
  • Artigo

8 Razões Surpreendentes Hackers Alvo das Escolas

Os hackers têm como alvo as escolas por uma série de razões. Para roubar dados de investigação, aprender segredos comerciais
Recursos da empresa

A sua Fonte Fidedigna para a Educação Cibernética

Inscreva-se na newsletter trimestral da ThriveDX para receber informação sobre as últimas tendências de segurança cibernética, tomadas de peritos, notícias de segurança e recursos gratuitos.

Inscrição
Twitter Facebook-square Linkedin

Juntámo-nos à ThriveDX!

Para aprofundar o nosso compromisso de criar impacto geracional com a melhor educação cibernética global para a transformação de vidas, a Cybint é agora um membro orgulhoso da família ThriveDX.
DESCARREGUE A SUA CÓPIA GRATUITA
Close-link
Powered by Convert Plus

Contactar as Parcerias ThriveDX

[forminator_form id="10629″]

Se estiver à procura de ligação com alguém da nossa equipa no local, por favor deixe aqui as suas informações de contacto e nós ligar-nos-emos directamente a si durante a conferência.

Ligue-se à nossa equipa

Nome(Obrigatório)

Saltar para o conteúdo