Blog

¡Deja de interrumpir mi flujo de trabajo! ¿Cómo puede obtener la formación en seguridad adecuada en el momento adecuado

July 1, 2020
Matias Madou, Ph.D.

Piense en la última vez que estuvo en el trabajo, tal vez en un equipo de proyecto de software trabajando con una fecha límite imposible. Y luego, tu jefe llega y te dice que tienes que realizar algún tipo de formación obligatoria en seguridad y que, además de todo lo demás, tienes que incorporarla a tu jornada laboral.

Ellos lo saben y tú lo sabes. Es un PITA enorme, pero por motivos de cumplimiento, estarás reproduciendo algunos aburridos vídeos de entrenamiento en segundo plano mientras sigues programando, sintonizando y desconectando ambas tareas y sin prestar toda tu atención a ninguna de ellas. Este es un escenario habitual; es muy perturbador y hace perder el tiempo a todos. La mayoría de las capacitaciones en seguridad son demasiado genéricas y es fácil ignorar algo que entra y sale de una jornada laboral sin ningún valor real.

Como empresa, nuestro objetivo es brindarle un tipo de capacitación en seguridad mejor y más eficaz, y esto nace de saber exactamente lo que es desconectarse de lo que el equipo de AppSec le dice que es importante, cuando cada una de sus prioridades no está alineada. Sin embargo, lo interesante es que empezamos a pensar en lo que podríamos hacer para reducir las barreras que impiden obtener formación cuando la necesitas. Incluso con nuestra plataforma completa, hay algunos pasos que te alejan del trabajo, en momentos en los que todavía necesitas un empujón útil pero no puedes dedicar ni un bloque de concentración a una sesión de entrenamiento.

Analizamos cómo se podría implementar el microaprendizaje en su flujo de trabajo, en el IDE o en el rastreador de problemas, de una manera más fluida. Y esto es lo que se nos ocurrió:

Esto se basa en los principios de Just-in-Time (JiT), en los que se le brindan los conocimientos correctos en el momento adecuado para que sean efectivos y útiles de inmediato. Es lo opuesto al enfoque del aprendizaje por si acaso, que suele consistir en un estado de sobrecarga de información que quita tiempo y espacio valiosos a la hora de crear funciones.

El código de calidad es código seguro, y si necesitas un compañero de seguridad no invasivo con quien colaborar de vez en cuando, puede que valga la pena probarlo.

Elimine las barreras y traiga la capacitación a sus manos.

La ciberseguridad puede interesar a algunos, pero no a todos. Y nadie debería esperar que los desarrolladores se conviertan en expertos en seguridad; esa sigue siendo la tarea de los equipos especializados en AppSec. Sin embargo, los desarrolladores que se preocupan por la seguridad son venerados por sus habilidades y por la protección que pueden ofrecer a las organizaciones desde la fase de creación de código. Es un puesto muy demandado y, con el tiempo, se pueden sentar las bases con el microaprendizaje contextual.

Ahora, si estás pensando en una formación integrada más parecida a Clippy (que descanse en paz), entonces es importante tener en cuenta que, en el caso de las integraciones de Secure Code Warrior, las crean desarrolladores para desarrolladores, por lo que se ha considerado y eliminado el factor de irritación.

Vamos a comprobarlo en acción:

Secure Code Warrior | Integración con GitHub

Secure Code Warrior para Github inspecciona el código en busca de referencias a la enumeración de debilidades comunes (CWE) o a OWASP en las etiquetas, el título del número y el cuerpo de los números para mostrar una formación contextual puntual. La forma en que funciona es que, si se encuentra una referencia a una vulnerabilidad, se publicará un comentario sobre el problema para ayudar a resolver y prevenir rápidamente las vulnerabilidades recurrentes. Se integra con el problema sin interrumpir su proceso ni hacer que tenga que hacer todo lo posible para encontrar una solución.

Y si usas Jira, el proceso es similar:

SCW para Jira Server
SCW para Jira Cloud

Ahora, para las superestrellas actuales preocupadas por la seguridad, es importante recordar que no todo depende de ustedes hacer que la magia suceda. Necesitarás apoyo, formación y una razón para tomarte en serio la seguridad e incorporarla a tu propio flujo de trabajo. Afortunadamente, todo esto forma parte de un proceso de DevSecOps en funcionamiento, y muchas organizaciones ya lo están tomando nota. ¿Por qué no empezar con ventaja?

Descárgalos ahora, y dinos lo que piensas.

Share on social
Lema

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
book a demo
Lema

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Post-Quantum Cryptography: Quantum Computers Will Break Today’s Encryption – Are You Ready?

Post-quantum cryptography (PQC) is critical for protecting data from quantum computing threats. Learn how “harvest now, decrypt later” exposes risk and how developers can prepare for quantum-safe security.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Enabler 2: Senior Leadership Sponsorship

Explore Enabler 2: Senior Leadership Sponsorship. Learn why active buy-in from the CIO, CTO, and CISO is vital to drive developer adoption and program credibility.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI

While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo