Campeones contra entrenadores: por qué todos los equipos de desarrollo necesitan ambos
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Las palabras «campeón» y «entrenador» están adquiriendo cada vez más relevancia fuera del ámbito deportivo, y tienen una presencia poderosa en la mayoría de los contextos. Hay entrenadores de vida, entrenadores de bienestar, entrenadores de empatía y «campeones» que se están coronando en muchas organizaciones; títulos como «campeón de la seguridad» o «campeón del ambiente» se están generalizando y se están integrando en el espíritu y la cultura de la empresa. Cuando las cosas se ponen difíciles, ¿quién no querría tener un entrenador o un campeón a su lado?
Las instituciones de la industria de la ciberseguridad tienen una larga historia de utilizar campeones para difundir la buena noticia sobre la seguridad a nivel de desarrollo y mantener estándares más altos de seguridad del software. BSIMM las llama Grupo de satélites, mientras que OpenSAMM y Axway se encuentran entre los grupos pioneros que apoyan a los campeones de la seguridad como concepto y programa formalizado. Estas iniciativas se cruzan con uno de los principales objetivos del movimiento DevSecOps y lo respaldan, que es el compromiso de compartir la responsabilidad de la seguridad entre los equipos y funciones, desde el principio del proceso de desarrollo del software.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Sin embargo, es bastante evidente que el papel del «campeón de la seguridad» está cambiando, y una empresa con visión de futuro puede alcanzar nuevos niveles de mejores prácticas de seguridad escalables con un equipo ampliado, con entusiastas clave que apoyen funciones diferentes pero igualmente importantes.
Estamos redefiniendo y duplicando al campeón de la seguridad para tener un impacto real en un programa de seguridad preparado para el futuro. ¿Estás preparado para crear tu próximo Dream Team?
Todos los grandes equipos respaldan a un entrenador inspirador.
Si piensas en Lionel Messi, Michael Jordan y Serena Williams, normalmente solo los fanáticos más acérrimos podrían recitar datos sobre sus entrenadores, sin embargo, es ese pilar de apoyo cercano que perfecciona sus habilidades naturales, talento e impulso hacia sus objetivos lo que genera el inmenso éxito que vemos en el centro de atención.
Nadie espera que los desarrolladores ganen un Grand Slam o marquen un gol para Argentina, diablos, nadie debería esperar que los desarrolladores sean expertos en seguridad (al fin y al cabo, se inscribieron para crear funciones interesantes, no para profundizar en la seguridad), pero un gran «entrenador» de seguridad es su verdadero campeón en el equipo.
Un defensor de la seguridad del lado de los desarrolladores está mucho más alineado con lo que reconoceríamos como los fundamentos de un entrenador. Les apasiona la seguridad, saben lo que hacen y son el punto de contacto clave cuando un desarrollador tiene que resolver un problema de seguridad. Tienen los conocimientos prácticos que les ayudan a corregir el problema y aprender de sus errores, al mismo tiempo que se aseguran de que el equipo esté alineado con las mejores prácticas y valores fundamentales de seguridad.
¿Podría el campeón de AppSec ponerse de pie, por favor?
Un campeón del lado de AppSec es una pieza que a menudo falta en el rompecabezas de los programas de seguridad. Son absolutamente vitales para el éxito de un equipo de desarrollo y, al ser el puente entre el personal directivo y ejecutivo y los desarrolladores, pueden abogar activamente por ellos y ayudarlos a disponer de las herramientas que necesitan para tener un impacto positivo en la reducción de las vulnerabilidades, la seguridad del software y la confianza y la satisfacción de los clientes.
Un gran campeón de AppSec es reconocido como líder de seguridad dentro de la empresa, y debería desempeñar un papel importante en la formación de la seguridad. autobuses directamente, con el objetivo final de forjar mejores resultados y relaciones entre los equipos, todo ello en aras de un objetivo común: un código seguro e impenetrable.
Convocando a tu superentrenador.
Los campeones y los grandes entrenadores van de la mano y, juntos, crean magia. Los programas de promoción de la seguridad actuales tienden a centrarse en el desarrollador, pero, como ya hemos visto, los verdaderos defensores deberían estar en el lado de AppSec, dejando a los desarrolladores más apasionados y preocupados por la seguridad para que ayuden a lograr la excelencia en la codificación segura de forma clandestina, lo que motiva al resto del equipo.
Descubrir al entrenador ideal sigue siendo un proceso similar al del campeón tradicional: el mejor entrenador es no simplemente la persona que es «mejor» en seguridad. La persona a la que se le da bien programar de forma segura y producir código fortificado de alta calidad puede no tener ningún interés en desempeñar una función extracurricular, o tal vez no le entusiasme especialmente la seguridad a pesar de su aptitud.
En vez de eso, tu entrenador podría quedar descubierto si buscas a alguien que:
- Tiene un gran interés en la ciberseguridad, desde la programación práctica hasta mantenerse al día sobre los últimos incidentes, herramientas y desarrollos interesantes
- Tiene habilidades interpersonales decentes; les gusta ayudar a los demás, se sienten como la persona a la que acudir (o como expertos residentes) y son jugadores de equipo accesibles
- Pueden ser proactivos en la promoción por parte de los desarrolladores; saben lo que se necesita para ayudar al equipo y pueden trabajar con su enlace de AppSec (su defensor) para satisfacer las necesidades y lograr resultados de seguridad mutuos.
Incentiva el puesto de entrenador; a quien tú elijas voluntad tienen que asumir más responsabilidades y su volumen de trabajo tendrá que evaluarse en consecuencia. Si bien el interés personal y la progresión profesional son factores que influyen en la motivación de un posible entrenador, es una buena práctica ver en qué otro lugar puede ser recompensado por marcar goles. ¿Se les puede enviar a una conferencia increíble? ¿Pueden obtener un permiso extra? ¿Se les pueden financiar cursos y certificaciones? El tiempo y el dinero que se inviertan ahora en proteger el SDLC desde el principio permiten ahorrar mucho más al final del ciclo (o, lo que es peor, si se descubre una vulnerabilidad en tiempo real), y un buen entrenador mantendrá la concienciación al respecto. Busca la manera de ofrecer recompensas significativas.
Su programa de campeones de seguridad de siguiente nivel.
En última instancia, como industria, debemos hacer más para apoyar a los desarrolladores y convencerlos del lado oscuro de la seguridad, tanto como motivarlos para que vean que el código de calidad es un código seguro. Es difícil preocuparse por algo cuando no se ha invertido el tiempo y el esfuerzo necesarios para educar y lograr el éxito y, lamentablemente, ese suele ser el caso de la formación en programación segura. La mejora de las habilidades pertinentes y práctica, junto con un entrenador entre pares y un defensor de AppSec, es realmente el triple golpe que se necesita para reforzar al equipo de desarrollo y dar rienda suelta a su poder defensivo.
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
