Campeones contra entrenadores: por qué todos los equipos de desarrollo necesitan ambos
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostración
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserva una demostración
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
Tabla de contenido
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Habilitador 1: Criterios de éxito definidos y medibles
Enabler 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
