Blog

Por qué la gamificación es la clave para mejorar la seguridad de su software

August 1, 2018
Pieter Danhieux

Gerentes de AppSec, CISO, CIO y expertos en ciberseguridad: he hablado con muchos de ellos, que trabajan en todo tipo de empresas en todo el mundo, a lo largo de mi propia carrera en desarrollo de software y seguridad.

No importa lo diferente que sea su situación, la experiencia de su equipo o el tiempo que pase en este mundo digital en constante cambio, hay un problema que siempre es el mismo: rara vez son capaces de involucrar positivamente a su equipo de desarrollo en materia de seguridad. La seguridad sigue siendo la mala palabra, la fuente de conflictos entre los equipos y el verdadero dolor de cabeza del sector.

Sin embargo, la seguridad del software es simplemente demasiado importante para que nuestra mentalidad general continúe por este camino. Debemos trabajar para cambiar la conversación y hacer de la seguridad una parte integral de la vida laboral de cada desarrollador. Y creo que una de las mejores maneras de hacerlo es empoderar a los desarrolladores e interactuar con ellos en materia de seguridad mediante, por ejemplo, la gamificación.

El panorama actual

Los desarrolladores salen de la universidad con muy pocos conocimientos prácticos sobre la entrega de código seguro, y trabajan en trabajos en los que la formación en seguridad rara vez es una prioridad (y cuando lo es, suele formar parte de los vídeos obligatorios de cumplimiento sobre salud y seguridad, que son tan aburridos que nadie se dejaría llevar por la codificación segura). Con mucha frecuencia, su primera experiencia con la seguridad es un informe sobre un error en una auditoría o prueba que, de repente, detiene la publicación de una versión futura y se convierte en una interrupción inmediata y prioritaria de su mente creativa. Se encuentran en desacuerdo con los responsables de los informes de seguridad, por lo que piensan que «seguridad» se convierte en sinónimo de «crítica». Qué asco.

Sinceramente, es una verdadera lástima que esta percepción negativa de la seguridad del software esté tan extendida. Después de todo, algunos de los mejores recuerdos que guardo de mi carrera están relacionados con el aprendizaje sobre la seguridad del software. Pasé mis primeros días como hacker asistiendo a conferencias, en las que no solo podía poner a prueba mis habilidades (y, sinceramente, presumir un poco) frente a mis compañeros, sino que también me divertía muchísimo conociendo a personas de ideas afines que disfrutaban tanto como yo de crear software.

BruCon, DefCon, BlackHat... estos eventos proporcionaron a personas como yo la posibilidad de utilizar nuestras habilidades en una competencia amistosa. Aunque nunca admitiría haber participado en eventos tan antisociales, algunos incluso muestran su destreza como piratas informáticos robando los teléfonos de otros asistentes y mostrando su información en las pantallas de presentación para que todos la vean. Se convirtió en un juego en el que se buscaban estos defectos (explotándolos y solucionándolos) con el fin de mejorar el software. Hace unos años, tuve el privilegio de estar frente a cientos de niños en Oriente Medio y enseñarles acerca de la ciberseguridad. Todavía recuerdo a una niña de ocho años de entre mis alumnos, que estaba aprendiendo a usar contraseñas por fuerza bruta y a codificar en base64 mientras jugaba.

La gamificación también se usa para enseñar habilidades de codificación. Las instituciones educativas de todo el mundo están utilizando este enfoque para enseñar a programar a niños muy pequeños, incluso hasta la edad de asistir a la escuela secundaria. Los niños de tan solo cuatro años ahora asisten regularmente a iniciativas navideñas como CodeCamp, y hay una serie de fantásticos programas en línea que enseñan a los niños a programar en Python y otros lenguajes. Incluso compré la increíble herramienta de codificación sin pantalla, Cubetto, para mi hija de cuatro años.

Sin embargo, a pesar de toda esta diversión y progreso, hay una brecha. Nadie pensó en la posibilidad de aprovechar la gamificación para capacitar a los desarrolladores sobre cómo escribir código seguro.

Bueno... casi nadie. Hace unos años, me di cuenta de que teníamos que hacer que la seguridad volviera a ser inspiradora y motivar realmente a los desarrolladores para que se involucraran y empezaran a jugar.

Gamificación: el camino más sencillo a seguir.

Tengo un profundo deseo de impulsar y capacitar a los desarrolladores con conocimientos de seguridad, y es esta pasión la que me llevó a crear Secure Code Warrior. La seguridad del software es muy importante y puede resultar realmente emocionante.

No estoy solo en mis pensamientos.

La gamificación puede hacer que incluso las tareas más mundanas sean más divertidas y mantener a las personas lo suficientemente comprometidas como para querer seguir jugando, ganando y progresando. ¡Solo mira cómo funciona Pokémon Go! hizo que incluso a la persona más perezosa se levantara del sofá, al aire libre y en busca de criaturas imaginarias, o cómo FitBit se convierte en una meta diaria para muchos alcanzar su recuento de pasos... se produce una verdadera sensación de decepción si no se cumplen esos objetivos, si se terminan las rachas y no se ganan las insignias.

Así que volvamos a la formación en seguridad. Hemos demostrado con muchos clientes que la gamificación es clave para transformar realmente la cultura de seguridad de sus organizaciones, tender puentes entre AppSec y los equipos de desarrollo y, en general, ayudarlos a crear software de un nivel más alto.

En este momento, la seguridad no es la prioridad del desarrollador. Al añadir un elemento amistoso, competitivo y atractivo a tus métodos de entrenamiento, estás motivándolos no solo a «jugar», sino también a seguir acumulando puntos, batiendo puntuaciones altas, aumentando su precisión y desafiando a sus compañeros de equipo.

Ya sabemos que una formación exitosa es algo parecido a esto:

  • Los desarrolladores pueden trabajar en código real y en sus propios lenguajes/marcos
  • Los desafíos son breves y cubren todas las vulnerabilidades de seguridad comunes
  • Los desafíos se amplían y actualizan constantemente para que los desarrolladores puedan seguir desarrollando sus habilidades con el tiempo.
  • Los desafíos varían en complejidad, por lo que son atractivos tanto para los desarrolladores sénior como para los menos experimentados.
  • Los desarrolladores y sus gerentes pueden ver el progreso, incluidos los desafíos que han completado, sus puntos fuertes y débiles, el tiempo dedicado a la capacitación y su precisión general.

Uno de nuestros principales clientes mostró la verdadera magia de una plataforma gamificada en su lanzamiento, obsequiando a sus desarrolladores con equipo temático, ofreciendo premios increíbles a los ganadores de los juegos y haciendo de su torneo un día inolvidable. Desde entonces, han ofrecido competiciones internacionales y, a día de hoy, todo su equipo sigue acumulando largas horas de entrenamiento.

Su propia revolución de software comienza aquí. El sector bancario australiano está a la vanguardia en la adopción de una formación gamificada para luchar contra los códigos incorrectos, con un enfoque verdaderamente innovador que da un vuelco a la formación tradicional (o aburrida). Basta con ver lo que nuestro cliente hizo con sus torneo de siguiente nivel. ¿Estás listo para Sube de nivel a tu equipo con nosotros?

Debemos trabajar para cambiar la conversación y hacer de la seguridad una parte integral de la vida laboral de cada desarrollador. Y creo que una de las mejores maneras de hacerlo es empoderar a los desarrolladores e interactuar con ellos en materia de seguridad mediante, por ejemplo, la gamificación.
Lema

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
Lema

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo