Blog

Gerentes y campeones de la seguridad: los flautistas y los principales responsables de las prácticas de codificación segura.

May 13, 2021
Secure Code Warrior

En este momento, solo el 15% de los desarrolladores está de acuerdo en que las prácticas de código seguro deben ser responsabilidad de todos. En un mundo en el que aumentan las amenazas a la seguridad, eso simplemente no es suficiente. Hay que hacer algo. Una clave para crear una cultura de AppSec saludable es comprender las principales influencias (¡y a las personas influyentes!) en juego. Por eso, en 2020, Secure Code Warrior contrató a Evans Data Corp. para llevar a cabo una investigación* primaria sobre las actitudes de los desarrolladores y gerentes hacia la codificación segura, las prácticas de código seguro y las operaciones de seguridad.


Cuando se trata de la adopción vital de prácticas de codificación seguras, ciertos roles tienen una influencia y una voz crecientes, lo que puede ayudar a obligar a otros a aprender y adoptar las mejores prácticas.

El primero de ellos es el director de desarrollo, que engaña a los desarrolladores reacios a AppSec para que adopten una mentalidad de codificación segura. Los directores de desarrollo son conscientes de que ellos y sus equipos necesitan aumentar y mejorar sus habilidades de programación segura. El 42% de los gerentes encuestados lamenta la falta de habilidades de codificación segura entre los nuevos empleados.

El segundo es el «campeón de la seguridad». Si bien la mayoría de los desarrolladores siguen considerando que la seguridad es responsabilidad de otra persona, hay un grupo pequeño, pero cada vez mayor, que apuesta por la codificación segura y la defiende entre sus compañeros programadores. El 25% de los desarrolladores encuestados coincide en que hay personas a las que acudir que lideran el cambio hacia la codificación segura.

Si bien es posible que estos campeones solo sean desarrolladores o desarrolladores sénior, pueden tener un impacto enorme en el avance de una organización hacia una postura de seguridad proactiva.

Pero primero, veamos el papel del gerente de desarrollo en este contexto.

Infographic about how dev managers compel developers to learn and adopt secure coding practices

El 83% de los gerentes encuestados dicen que piden a los desarrolladores que aprendan o adopten prácticas de codificación seguras. Aproximadamente las tres cuartas partes de los directivos encuestados afirman que ofrecen incentivos a los desarrolladores para que se dediquen a la formación sobre código seguro.

  • El 67% ofrece a los desarrolladores la posibilidad de asumir una mayor responsabilidad como reconocimiento por aprender prácticas de codificación seguras.
  • El 47% dice que ofrecen la posibilidad de un salario más alto.

Muchos gerentes valoran las habilidades de codificación segura cuando contratan a nuevos desarrolladores y valoran la experiencia en codificación segura entre los desarrolladores que ya forman parte de sus equipos.

Está claro que, a nivel organizacional, los gerentes de desarrollo son los impulsores fundamentales de la adopción de prácticas de codificación seguras y son fundamentales para identificar a los campeones de la seguridad en las filas de sus desarrolladores.

Identificación de los campeones de la seguridad

Una de las claves para mejorar la participación de los desarrolladores en los programas de formación y sensibilización sobre el código seguro es identificar a los defensores o defensores de la seguridad dentro de las filas de su cohorte de desarrolladores actual.

Algunos directores de desarrollo ya lo hacen: el 55% de los encuestados dice que reconoce a los desarrolladores que tienen un buen desempeño en los eventos especiales.

Como defensores del cambio en la codificación segura, Secure Code Warrior comprende el poder de los eventos y competencias especiales para sacar lo mejor de la base de desarrolladores de una organización. Por eso, hemos hecho de los torneos un elemento central de nuestra plataforma de aprendizaje.

Identifying security champions Tournaments

Aumentar la conciencia y la propiedad de la seguridad

Con una variedad de desafíos, límites de tiempo, tablas de clasificación y premios, los torneos generan un revuelo que hace que la programación segura sea genial y promueve la conciencia y la propiedad de la seguridad.

Cuando se trata de medir el efecto de la capacitación en código seguro, el 65% de los gerentes de desarrollo encuestados afirman que las evaluaciones periódicas de habilidades impulsan el enfoque organizacional en la codificación segura. Los torneos se pueden utilizar para medir las habilidades de seguridad de los programadores en un entorno activo pero seguro y establecer rápidamente una base para el desarrollo futuro de sus habilidades. Esta formación gamificada ofrece experiencias contextuales y prácticas en los lenguajes y marcos de programación pertinentes, con desafíos similares a los que se enfrentan los desarrolladores en el mundo real.

A lo largo del torneo, los desarrolladores ganan puntos y ven cómo suben a lo más alto de la clasificación. Observar la clasificación ayuda a la dirección a identificar a los posibles campeones de la seguridad dentro de su equipo de desarrollo.

Pseudocode Roadshow Tournament Leaderboard


Si quieres obtener más información sobre cómo desarrollar habilidades y crear conciencia sobre el código seguro con una formación gamificada que involucre a los desarrolladores e identifique a los campeones de la seguridad, reserve una demostración ahora.


*Pasar de la reacción a la prevención: la cara cambiante de la seguridad de las aplicaciones. Secure Code Warrior y Evans Data Corp. 2020

Share on social
Lema

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
book a demo
Lema

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Post-Quantum Cryptography: Quantum Computers Will Break Today’s Encryption – Are You Ready?

Post-quantum cryptography (PQC) is critical for protecting data from quantum computing threats. Learn how “harvest now, decrypt later” exposes risk and how developers can prepare for quantum-safe security.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Enabler 2: Senior Leadership Sponsorship

Explore Enabler 2: Senior Leadership Sponsorship. Learn why active buy-in from the CIO, CTO, and CISO is vital to drive developer adoption and program credibility.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI

While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo