Aprendizaje contextual y práctico: La forma más eficaz de entrenar el cerebro para la seguridad
Lo siento, tengo que dar una mala noticia.
La formación tradicional ha muerto.
Bueno, vale, no lo es... pero probablemente debería serlo. Una y otra vez, los estudios han demostrado que meter a un grupo de personas en un aula para que aprendan algo nuevo, marquen una tarea de cumplimiento o se sometan a un reciclaje es una de las formas más ineficaces de que la gente reciba una educación. Y cuando se trata de formación corporativa, esas estadísticas no mejoran. La revista Harvard Business Review publicó un estudio sobre la eficacia de la formación presencial para las nuevas contrataciones de las grandes empresas, y descubrió que este método de aprendizaje tardaba una media de ocho a doce meses en conseguir que los nuevos empleados se pusieran al día y fueran productivos. Eso es mucho tiempo para aprovechar al máximo las habilidades de una persona (y mucho tiempo para sentirse cómodo, si eres el nuevo contratado). Hoy en día, la mayoría de los lugares no disponen de ese tiempo; inevitablemente, se cortan las esquinas, la gente no recibe la formación que necesita y la empresa pierde mucho valor que podría obtenerse mucho antes.
Resulta realmente sorprendente que muchos lugares sigan confiando en las aulas, los libros de texto y los vídeos de formación aburridos para conseguir que los mejores y más brillantes se incorporen a las mejores prácticas de la empresa o a las nuevas iniciativas, especialmente cuando hay una forma mucho mejor, más atractiva y más valiosa de aprender: la formación contextual. Resulta que los seres humanos retenemos mejor la información cuando ponemos en práctica nuevas ideas y procesos.
Ahora, cuando se trata de desarrolladores... somos un grupo especial. Por mi propia experiencia como desarrollador, la formación tradicional no me parece precisamente un éxito. Los desarrolladores tienden a ser creativos, ingeniosos y solucionadores de problemas que preferirían utilizar las herramientas en lugar de ser instruidos en un aula, o sentados frente a interminables vídeos de una cabeza parlante cuando intentan aprender nueva información. Si nos fijamos en la formación en materia de seguridad en particular, parece haber una clara desconexión en el panorama actual: los desarrolladores no abordan las vulnerabilidades comunes en su código, lo que hace que los profesionales de la seguridad de las aplicaciones se rasguen las vestiduras cuando se enfrentan a los mismos problemas de fácil solución una y otra vez. La relación entre estos equipos es tensa, y los desarrolladores no reciben las herramientas y la formación adecuadas para seguir las mejores prácticas de desarrollo seguro. Su principal objetivo es la creación de funciones, pero con el rápido aumento del riesgo cibernético para todas las empresas, simplemente no podemos permitirnos seguir ignorando y quitando prioridad a los conocimientos sobre seguridad.
¿Y la mejor parte? Si los desarrolladores son conscientes de la seguridad, esas vulnerabilidades comunes empiezan a desaparecer. El riesgo se reduce, junto con los costes de arreglar los fallos de última hora (y a los responsables de seguridad de las aplicaciones se les acaba el pelo a puñados).
Entonces, ¿en qué consiste exactamente la participación de los desarrolladores en la formación contextual?
Los ejemplos del mundo real son ridículamente poderosos.
Imagina que todos tuviéramos que aprender a conducir viendo vídeos en YouTube. Aunque puedes hacerte una idea general de cómo funciona un coche, así como de la secuencia de eventos que se inicia para moverte por la carretera, sería prácticamente imposible aprender a conducir bien hasta que te subas a un coche y lo pruebes en persona.
La formación contextual es muy valiosa porque pone al alumno en el asiento del conductor de lo que se le enseña. Cuando se tiene un contexto real para algo, el aprendizaje resulta mucho más atractivo y significativo.
En lo que se refiere a la codificación segura, cualquiera puede ver un vídeo y entender los fundamentos de la inyección SQL, pero la esencia de la solución del problema se olvida fácilmente cuando se acercan los plazos y la entrega de las funciones tiene prioridad. Sin embargo, si fuera posible revisar ejemplos de código real, identificar la inyección y solucionarla como parte de un ejercicio de formación, eso es mucho más aplicable al trabajo diario de un desarrollador que tratar de retener la información en un solo sentido. También es más relacionable para un desarrollador, si ve código que es similar a lo que suele escribir, se levantará y prestará atención.
En la plataforma Secure Code Warrior hemos gamificado la formación en código seguro, ofreciendo una amplia variedad de retos en múltiples lenguajes y marcos de trabajo. El sistema fomenta la repetición del juego y, lo que es más importante, se puede personalizar al instante para ofrecer el entorno adecuado para un verdadero aprendizaje contextual.
Proporcionar conocimientos cuando son más útiles
Según la teoría del aprendizaje contextual, sólo se produce un aprendizaje eficaz cuando los alumnos procesan la nueva información o los conocimientos de forma que tengan sentido para ellos, dentro de sus propios marcos de referencia individuales.
Imagina que un desarrollador recibe una lista de vulnerabilidades de seguridad de los programas de recompensa de errores, herramientas SAST o software de seguimiento de errores. Pueden quedarse perplejos -incluso abrumados- si nunca se han topado con estas vulnerabilidades antes. Y lo que es peor, la mayoría de los informes están diseñados para expertos en seguridad de aplicaciones y no para desarrolladores. La información de los informes es difícil de analizar y a menudo contiene consejos genéricos que no son directamente aplicables a un desarrollador.
Recientemente, hemos añadido la capacidad de enlazar directamente con la formación práctica sobre las vulnerabilidades de los programas de recompensa de errores, las herramientas SAST, el software de seguimiento de errores y los informes de pruebas de penetración. Los desarrolladores pueden entender inmediatamente los fundamentos y aprender buenas recetas de codificación para su marco particular.
El aprendizaje de este modo garantiza que los desarrolladores reciban conocimientos y formación sobre los conceptos cuando son más relevantes, y es mucho más probable que retengan esa información a largo plazo.
Resultados más rápidos, menos interrupciones, campistas más felices.
Con cualquier formación, un contexto inmediato con tus actividades cotidianas va a ser mucho más poderoso que intentar aplicar algo genérico a tu trabajo. Pasas menos tiempo en "modo de estudio", o peor aún, teniendo que volver a las cosas que ya has "aprendido" cuando necesitas una respuesta para algo.
Uno de los principios de la formación contextual es la capacidad de construir sobre el conocimiento de manera que cada componente de la formación se suma al anterior, permitiendo un proceso escalonado que da a los participantes un camino hacia la maestría. Una vez más, esto es algo que apoyamos en nuestra plataforma, con un sistema de cinturones similar al que se puede encontrar en un dojo de karate. Todo el mundo empieza siendo cinturón blanco, antes de progresar hasta el codiciado nivel de cinturón negro, o "campeón de seguridad", después de dedicar las horas de entrenamiento necesarias y de participar en tournament . Se trata de un enfoque divertido con valor real y aplicación práctica.
¿Quiere retener a los mejores talentos y mantenerlos conscientes de la seguridad? Déles las herramientas para que tengan éxito.
Es una desafortunada realidad que, en este momento, los desarrolladores y especialistas en seguridad de las aplicaciones son un recurso escaso (aunque vital). También son notoriamente difíciles de retener.
Cybrary realizó una encuesta entre 3100 profesionales de TI y seguridad en 2018, revelando que un elemento clave para retener a los empleados valiosos era invertir en su formación. Sus hallazgos muestran que las empresas que proporcionan las herramientas y la formación para nutrir sus habilidades de seguridad internas fueron capaces de retener a los profesionales de la seguridad un 60% más que los que no lo hicieron, y la friolera del 65% de los encuestados prefirió que esa formación fuera práctica. Bastante bueno, ¿no?
Sin embargo, los resultados de la encuesta también proporcionaron una revelación bastante alarmante: el 80% de los encuestados no se sienten adecuadamente preparados para defender a su organización contra las ciberamenazas. Esas amenazas no van a desaparecer, y la formación adecuada para combatir el creciente riesgo de costosas violaciones de datos y ataques es más necesaria ahora que nunca. Y, bueno, puede que yo sea parcial, pero la plataforma de Secure Code Warrior podría ser la herramienta que necesita para despertar una cultura de seguridad positiva, capacitar y apoyar a los desarrolladores con la formación contextual que les gusta y proteger a su organización de los malos. Solicite una demostración y le mostraremos más.
Resulta verdaderamente sorprendente que muchos lugares sigan confiando en las aulas, los libros de texto áridos y los vídeos de formación aburridos para conseguir que los mejores y más brillantes se incorporen a las nuevas iniciativas, especialmente cuando hay una forma mucho mejor, más atractiva y más valiosa de aprender: la formación contextual.
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónJaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Lo siento, tengo que dar una mala noticia.
La formación tradicional ha muerto.
Bueno, vale, no lo es... pero probablemente debería serlo. Una y otra vez, los estudios han demostrado que meter a un grupo de personas en un aula para que aprendan algo nuevo, marquen una tarea de cumplimiento o se sometan a un reciclaje es una de las formas más ineficaces de que la gente reciba una educación. Y cuando se trata de formación corporativa, esas estadísticas no mejoran. La revista Harvard Business Review publicó un estudio sobre la eficacia de la formación presencial para las nuevas contrataciones de las grandes empresas, y descubrió que este método de aprendizaje tardaba una media de ocho a doce meses en conseguir que los nuevos empleados se pusieran al día y fueran productivos. Eso es mucho tiempo para aprovechar al máximo las habilidades de una persona (y mucho tiempo para sentirse cómodo, si eres el nuevo contratado). Hoy en día, la mayoría de los lugares no disponen de ese tiempo; inevitablemente, se cortan las esquinas, la gente no recibe la formación que necesita y la empresa pierde mucho valor que podría obtenerse mucho antes.
Resulta realmente sorprendente que muchos lugares sigan confiando en las aulas, los libros de texto y los vídeos de formación aburridos para conseguir que los mejores y más brillantes se incorporen a las mejores prácticas de la empresa o a las nuevas iniciativas, especialmente cuando hay una forma mucho mejor, más atractiva y más valiosa de aprender: la formación contextual. Resulta que los seres humanos retenemos mejor la información cuando ponemos en práctica nuevas ideas y procesos.
Ahora, cuando se trata de desarrolladores... somos un grupo especial. Por mi propia experiencia como desarrollador, la formación tradicional no me parece precisamente un éxito. Los desarrolladores tienden a ser creativos, ingeniosos y solucionadores de problemas que preferirían utilizar las herramientas en lugar de ser instruidos en un aula, o sentados frente a interminables vídeos de una cabeza parlante cuando intentan aprender nueva información. Si nos fijamos en la formación en materia de seguridad en particular, parece haber una clara desconexión en el panorama actual: los desarrolladores no abordan las vulnerabilidades comunes en su código, lo que hace que los profesionales de la seguridad de las aplicaciones se rasguen las vestiduras cuando se enfrentan a los mismos problemas de fácil solución una y otra vez. La relación entre estos equipos es tensa, y los desarrolladores no reciben las herramientas y la formación adecuadas para seguir las mejores prácticas de desarrollo seguro. Su principal objetivo es la creación de funciones, pero con el rápido aumento del riesgo cibernético para todas las empresas, simplemente no podemos permitirnos seguir ignorando y quitando prioridad a los conocimientos sobre seguridad.
¿Y la mejor parte? Si los desarrolladores son conscientes de la seguridad, esas vulnerabilidades comunes empiezan a desaparecer. El riesgo se reduce, junto con los costes de arreglar los fallos de última hora (y a los responsables de seguridad de las aplicaciones se les acaba el pelo a puñados).
Entonces, ¿en qué consiste exactamente la participación de los desarrolladores en la formación contextual?
Los ejemplos del mundo real son ridículamente poderosos.
Imagina que todos tuviéramos que aprender a conducir viendo vídeos en YouTube. Aunque puedes hacerte una idea general de cómo funciona un coche, así como de la secuencia de eventos que se inicia para moverte por la carretera, sería prácticamente imposible aprender a conducir bien hasta que te subas a un coche y lo pruebes en persona.
La formación contextual es muy valiosa porque pone al alumno en el asiento del conductor de lo que se le enseña. Cuando se tiene un contexto real para algo, el aprendizaje resulta mucho más atractivo y significativo.
En lo que se refiere a la codificación segura, cualquiera puede ver un vídeo y entender los fundamentos de la inyección SQL, pero la esencia de la solución del problema se olvida fácilmente cuando se acercan los plazos y la entrega de las funciones tiene prioridad. Sin embargo, si fuera posible revisar ejemplos de código real, identificar la inyección y solucionarla como parte de un ejercicio de formación, eso es mucho más aplicable al trabajo diario de un desarrollador que tratar de retener la información en un solo sentido. También es más relacionable para un desarrollador, si ve código que es similar a lo que suele escribir, se levantará y prestará atención.
En la plataforma Secure Code Warrior hemos gamificado la formación en código seguro, ofreciendo una amplia variedad de retos en múltiples lenguajes y marcos de trabajo. El sistema fomenta la repetición del juego y, lo que es más importante, se puede personalizar al instante para ofrecer el entorno adecuado para un verdadero aprendizaje contextual.
Proporcionar conocimientos cuando son más útiles
Según la teoría del aprendizaje contextual, sólo se produce un aprendizaje eficaz cuando los alumnos procesan la nueva información o los conocimientos de forma que tengan sentido para ellos, dentro de sus propios marcos de referencia individuales.
Imagina que un desarrollador recibe una lista de vulnerabilidades de seguridad de los programas de recompensa de errores, herramientas SAST o software de seguimiento de errores. Pueden quedarse perplejos -incluso abrumados- si nunca se han topado con estas vulnerabilidades antes. Y lo que es peor, la mayoría de los informes están diseñados para expertos en seguridad de aplicaciones y no para desarrolladores. La información de los informes es difícil de analizar y a menudo contiene consejos genéricos que no son directamente aplicables a un desarrollador.
Recientemente, hemos añadido la capacidad de enlazar directamente con la formación práctica sobre las vulnerabilidades de los programas de recompensa de errores, las herramientas SAST, el software de seguimiento de errores y los informes de pruebas de penetración. Los desarrolladores pueden entender inmediatamente los fundamentos y aprender buenas recetas de codificación para su marco particular.
El aprendizaje de este modo garantiza que los desarrolladores reciban conocimientos y formación sobre los conceptos cuando son más relevantes, y es mucho más probable que retengan esa información a largo plazo.
Resultados más rápidos, menos interrupciones, campistas más felices.
Con cualquier formación, un contexto inmediato con tus actividades cotidianas va a ser mucho más poderoso que intentar aplicar algo genérico a tu trabajo. Pasas menos tiempo en "modo de estudio", o peor aún, teniendo que volver a las cosas que ya has "aprendido" cuando necesitas una respuesta para algo.
Uno de los principios de la formación contextual es la capacidad de construir sobre el conocimiento de manera que cada componente de la formación se suma al anterior, permitiendo un proceso escalonado que da a los participantes un camino hacia la maestría. Una vez más, esto es algo que apoyamos en nuestra plataforma, con un sistema de cinturones similar al que se puede encontrar en un dojo de karate. Todo el mundo empieza siendo cinturón blanco, antes de progresar hasta el codiciado nivel de cinturón negro, o "campeón de seguridad", después de dedicar las horas de entrenamiento necesarias y de participar en tournament . Se trata de un enfoque divertido con valor real y aplicación práctica.
¿Quiere retener a los mejores talentos y mantenerlos conscientes de la seguridad? Déles las herramientas para que tengan éxito.
Es una desafortunada realidad que, en este momento, los desarrolladores y especialistas en seguridad de las aplicaciones son un recurso escaso (aunque vital). También son notoriamente difíciles de retener.
Cybrary realizó una encuesta entre 3100 profesionales de TI y seguridad en 2018, revelando que un elemento clave para retener a los empleados valiosos era invertir en su formación. Sus hallazgos muestran que las empresas que proporcionan las herramientas y la formación para nutrir sus habilidades de seguridad internas fueron capaces de retener a los profesionales de la seguridad un 60% más que los que no lo hicieron, y la friolera del 65% de los encuestados prefirió que esa formación fuera práctica. Bastante bueno, ¿no?
Sin embargo, los resultados de la encuesta también proporcionaron una revelación bastante alarmante: el 80% de los encuestados no se sienten adecuadamente preparados para defender a su organización contra las ciberamenazas. Esas amenazas no van a desaparecer, y la formación adecuada para combatir el creciente riesgo de costosas violaciones de datos y ataques es más necesaria ahora que nunca. Y, bueno, puede que yo sea parcial, pero la plataforma de Secure Code Warrior podría ser la herramienta que necesita para despertar una cultura de seguridad positiva, capacitar y apoyar a los desarrolladores con la formación contextual que les gusta y proteger a su organización de los malos. Solicite una demostración y le mostraremos más.
Lo siento, tengo que dar una mala noticia.
La formación tradicional ha muerto.
Bueno, vale, no lo es... pero probablemente debería serlo. Una y otra vez, los estudios han demostrado que meter a un grupo de personas en un aula para que aprendan algo nuevo, marquen una tarea de cumplimiento o se sometan a un reciclaje es una de las formas más ineficaces de que la gente reciba una educación. Y cuando se trata de formación corporativa, esas estadísticas no mejoran. La revista Harvard Business Review publicó un estudio sobre la eficacia de la formación presencial para las nuevas contrataciones de las grandes empresas, y descubrió que este método de aprendizaje tardaba una media de ocho a doce meses en conseguir que los nuevos empleados se pusieran al día y fueran productivos. Eso es mucho tiempo para aprovechar al máximo las habilidades de una persona (y mucho tiempo para sentirse cómodo, si eres el nuevo contratado). Hoy en día, la mayoría de los lugares no disponen de ese tiempo; inevitablemente, se cortan las esquinas, la gente no recibe la formación que necesita y la empresa pierde mucho valor que podría obtenerse mucho antes.
Resulta realmente sorprendente que muchos lugares sigan confiando en las aulas, los libros de texto y los vídeos de formación aburridos para conseguir que los mejores y más brillantes se incorporen a las mejores prácticas de la empresa o a las nuevas iniciativas, especialmente cuando hay una forma mucho mejor, más atractiva y más valiosa de aprender: la formación contextual. Resulta que los seres humanos retenemos mejor la información cuando ponemos en práctica nuevas ideas y procesos.
Ahora, cuando se trata de desarrolladores... somos un grupo especial. Por mi propia experiencia como desarrollador, la formación tradicional no me parece precisamente un éxito. Los desarrolladores tienden a ser creativos, ingeniosos y solucionadores de problemas que preferirían utilizar las herramientas en lugar de ser instruidos en un aula, o sentados frente a interminables vídeos de una cabeza parlante cuando intentan aprender nueva información. Si nos fijamos en la formación en materia de seguridad en particular, parece haber una clara desconexión en el panorama actual: los desarrolladores no abordan las vulnerabilidades comunes en su código, lo que hace que los profesionales de la seguridad de las aplicaciones se rasguen las vestiduras cuando se enfrentan a los mismos problemas de fácil solución una y otra vez. La relación entre estos equipos es tensa, y los desarrolladores no reciben las herramientas y la formación adecuadas para seguir las mejores prácticas de desarrollo seguro. Su principal objetivo es la creación de funciones, pero con el rápido aumento del riesgo cibernético para todas las empresas, simplemente no podemos permitirnos seguir ignorando y quitando prioridad a los conocimientos sobre seguridad.
¿Y la mejor parte? Si los desarrolladores son conscientes de la seguridad, esas vulnerabilidades comunes empiezan a desaparecer. El riesgo se reduce, junto con los costes de arreglar los fallos de última hora (y a los responsables de seguridad de las aplicaciones se les acaba el pelo a puñados).
Entonces, ¿en qué consiste exactamente la participación de los desarrolladores en la formación contextual?
Los ejemplos del mundo real son ridículamente poderosos.
Imagina que todos tuviéramos que aprender a conducir viendo vídeos en YouTube. Aunque puedes hacerte una idea general de cómo funciona un coche, así como de la secuencia de eventos que se inicia para moverte por la carretera, sería prácticamente imposible aprender a conducir bien hasta que te subas a un coche y lo pruebes en persona.
La formación contextual es muy valiosa porque pone al alumno en el asiento del conductor de lo que se le enseña. Cuando se tiene un contexto real para algo, el aprendizaje resulta mucho más atractivo y significativo.
En lo que se refiere a la codificación segura, cualquiera puede ver un vídeo y entender los fundamentos de la inyección SQL, pero la esencia de la solución del problema se olvida fácilmente cuando se acercan los plazos y la entrega de las funciones tiene prioridad. Sin embargo, si fuera posible revisar ejemplos de código real, identificar la inyección y solucionarla como parte de un ejercicio de formación, eso es mucho más aplicable al trabajo diario de un desarrollador que tratar de retener la información en un solo sentido. También es más relacionable para un desarrollador, si ve código que es similar a lo que suele escribir, se levantará y prestará atención.
En la plataforma Secure Code Warrior hemos gamificado la formación en código seguro, ofreciendo una amplia variedad de retos en múltiples lenguajes y marcos de trabajo. El sistema fomenta la repetición del juego y, lo que es más importante, se puede personalizar al instante para ofrecer el entorno adecuado para un verdadero aprendizaje contextual.
Proporcionar conocimientos cuando son más útiles
Según la teoría del aprendizaje contextual, sólo se produce un aprendizaje eficaz cuando los alumnos procesan la nueva información o los conocimientos de forma que tengan sentido para ellos, dentro de sus propios marcos de referencia individuales.
Imagina que un desarrollador recibe una lista de vulnerabilidades de seguridad de los programas de recompensa de errores, herramientas SAST o software de seguimiento de errores. Pueden quedarse perplejos -incluso abrumados- si nunca se han topado con estas vulnerabilidades antes. Y lo que es peor, la mayoría de los informes están diseñados para expertos en seguridad de aplicaciones y no para desarrolladores. La información de los informes es difícil de analizar y a menudo contiene consejos genéricos que no son directamente aplicables a un desarrollador.
Recientemente, hemos añadido la capacidad de enlazar directamente con la formación práctica sobre las vulnerabilidades de los programas de recompensa de errores, las herramientas SAST, el software de seguimiento de errores y los informes de pruebas de penetración. Los desarrolladores pueden entender inmediatamente los fundamentos y aprender buenas recetas de codificación para su marco particular.
El aprendizaje de este modo garantiza que los desarrolladores reciban conocimientos y formación sobre los conceptos cuando son más relevantes, y es mucho más probable que retengan esa información a largo plazo.
Resultados más rápidos, menos interrupciones, campistas más felices.
Con cualquier formación, un contexto inmediato con tus actividades cotidianas va a ser mucho más poderoso que intentar aplicar algo genérico a tu trabajo. Pasas menos tiempo en "modo de estudio", o peor aún, teniendo que volver a las cosas que ya has "aprendido" cuando necesitas una respuesta para algo.
Uno de los principios de la formación contextual es la capacidad de construir sobre el conocimiento de manera que cada componente de la formación se suma al anterior, permitiendo un proceso escalonado que da a los participantes un camino hacia la maestría. Una vez más, esto es algo que apoyamos en nuestra plataforma, con un sistema de cinturones similar al que se puede encontrar en un dojo de karate. Todo el mundo empieza siendo cinturón blanco, antes de progresar hasta el codiciado nivel de cinturón negro, o "campeón de seguridad", después de dedicar las horas de entrenamiento necesarias y de participar en tournament . Se trata de un enfoque divertido con valor real y aplicación práctica.
¿Quiere retener a los mejores talentos y mantenerlos conscientes de la seguridad? Déles las herramientas para que tengan éxito.
Es una desafortunada realidad que, en este momento, los desarrolladores y especialistas en seguridad de las aplicaciones son un recurso escaso (aunque vital). También son notoriamente difíciles de retener.
Cybrary realizó una encuesta entre 3100 profesionales de TI y seguridad en 2018, revelando que un elemento clave para retener a los empleados valiosos era invertir en su formación. Sus hallazgos muestran que las empresas que proporcionan las herramientas y la formación para nutrir sus habilidades de seguridad internas fueron capaces de retener a los profesionales de la seguridad un 60% más que los que no lo hicieron, y la friolera del 65% de los encuestados prefirió que esa formación fuera práctica. Bastante bueno, ¿no?
Sin embargo, los resultados de la encuesta también proporcionaron una revelación bastante alarmante: el 80% de los encuestados no se sienten adecuadamente preparados para defender a su organización contra las ciberamenazas. Esas amenazas no van a desaparecer, y la formación adecuada para combatir el creciente riesgo de costosas violaciones de datos y ataques es más necesaria ahora que nunca. Y, bueno, puede que yo sea parcial, pero la plataforma de Secure Code Warrior podría ser la herramienta que necesita para despertar una cultura de seguridad positiva, capacitar y apoyar a los desarrolladores con la formación contextual que les gusta y proteger a su organización de los malos. Solicite una demostración y le mostraremos más.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostraciónJaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Lo siento, tengo que dar una mala noticia.
La formación tradicional ha muerto.
Bueno, vale, no lo es... pero probablemente debería serlo. Una y otra vez, los estudios han demostrado que meter a un grupo de personas en un aula para que aprendan algo nuevo, marquen una tarea de cumplimiento o se sometan a un reciclaje es una de las formas más ineficaces de que la gente reciba una educación. Y cuando se trata de formación corporativa, esas estadísticas no mejoran. La revista Harvard Business Review publicó un estudio sobre la eficacia de la formación presencial para las nuevas contrataciones de las grandes empresas, y descubrió que este método de aprendizaje tardaba una media de ocho a doce meses en conseguir que los nuevos empleados se pusieran al día y fueran productivos. Eso es mucho tiempo para aprovechar al máximo las habilidades de una persona (y mucho tiempo para sentirse cómodo, si eres el nuevo contratado). Hoy en día, la mayoría de los lugares no disponen de ese tiempo; inevitablemente, se cortan las esquinas, la gente no recibe la formación que necesita y la empresa pierde mucho valor que podría obtenerse mucho antes.
Resulta realmente sorprendente que muchos lugares sigan confiando en las aulas, los libros de texto y los vídeos de formación aburridos para conseguir que los mejores y más brillantes se incorporen a las mejores prácticas de la empresa o a las nuevas iniciativas, especialmente cuando hay una forma mucho mejor, más atractiva y más valiosa de aprender: la formación contextual. Resulta que los seres humanos retenemos mejor la información cuando ponemos en práctica nuevas ideas y procesos.
Ahora, cuando se trata de desarrolladores... somos un grupo especial. Por mi propia experiencia como desarrollador, la formación tradicional no me parece precisamente un éxito. Los desarrolladores tienden a ser creativos, ingeniosos y solucionadores de problemas que preferirían utilizar las herramientas en lugar de ser instruidos en un aula, o sentados frente a interminables vídeos de una cabeza parlante cuando intentan aprender nueva información. Si nos fijamos en la formación en materia de seguridad en particular, parece haber una clara desconexión en el panorama actual: los desarrolladores no abordan las vulnerabilidades comunes en su código, lo que hace que los profesionales de la seguridad de las aplicaciones se rasguen las vestiduras cuando se enfrentan a los mismos problemas de fácil solución una y otra vez. La relación entre estos equipos es tensa, y los desarrolladores no reciben las herramientas y la formación adecuadas para seguir las mejores prácticas de desarrollo seguro. Su principal objetivo es la creación de funciones, pero con el rápido aumento del riesgo cibernético para todas las empresas, simplemente no podemos permitirnos seguir ignorando y quitando prioridad a los conocimientos sobre seguridad.
¿Y la mejor parte? Si los desarrolladores son conscientes de la seguridad, esas vulnerabilidades comunes empiezan a desaparecer. El riesgo se reduce, junto con los costes de arreglar los fallos de última hora (y a los responsables de seguridad de las aplicaciones se les acaba el pelo a puñados).
Entonces, ¿en qué consiste exactamente la participación de los desarrolladores en la formación contextual?
Los ejemplos del mundo real son ridículamente poderosos.
Imagina que todos tuviéramos que aprender a conducir viendo vídeos en YouTube. Aunque puedes hacerte una idea general de cómo funciona un coche, así como de la secuencia de eventos que se inicia para moverte por la carretera, sería prácticamente imposible aprender a conducir bien hasta que te subas a un coche y lo pruebes en persona.
La formación contextual es muy valiosa porque pone al alumno en el asiento del conductor de lo que se le enseña. Cuando se tiene un contexto real para algo, el aprendizaje resulta mucho más atractivo y significativo.
En lo que se refiere a la codificación segura, cualquiera puede ver un vídeo y entender los fundamentos de la inyección SQL, pero la esencia de la solución del problema se olvida fácilmente cuando se acercan los plazos y la entrega de las funciones tiene prioridad. Sin embargo, si fuera posible revisar ejemplos de código real, identificar la inyección y solucionarla como parte de un ejercicio de formación, eso es mucho más aplicable al trabajo diario de un desarrollador que tratar de retener la información en un solo sentido. También es más relacionable para un desarrollador, si ve código que es similar a lo que suele escribir, se levantará y prestará atención.
En la plataforma Secure Code Warrior hemos gamificado la formación en código seguro, ofreciendo una amplia variedad de retos en múltiples lenguajes y marcos de trabajo. El sistema fomenta la repetición del juego y, lo que es más importante, se puede personalizar al instante para ofrecer el entorno adecuado para un verdadero aprendizaje contextual.
Proporcionar conocimientos cuando son más útiles
Según la teoría del aprendizaje contextual, sólo se produce un aprendizaje eficaz cuando los alumnos procesan la nueva información o los conocimientos de forma que tengan sentido para ellos, dentro de sus propios marcos de referencia individuales.
Imagina que un desarrollador recibe una lista de vulnerabilidades de seguridad de los programas de recompensa de errores, herramientas SAST o software de seguimiento de errores. Pueden quedarse perplejos -incluso abrumados- si nunca se han topado con estas vulnerabilidades antes. Y lo que es peor, la mayoría de los informes están diseñados para expertos en seguridad de aplicaciones y no para desarrolladores. La información de los informes es difícil de analizar y a menudo contiene consejos genéricos que no son directamente aplicables a un desarrollador.
Recientemente, hemos añadido la capacidad de enlazar directamente con la formación práctica sobre las vulnerabilidades de los programas de recompensa de errores, las herramientas SAST, el software de seguimiento de errores y los informes de pruebas de penetración. Los desarrolladores pueden entender inmediatamente los fundamentos y aprender buenas recetas de codificación para su marco particular.
El aprendizaje de este modo garantiza que los desarrolladores reciban conocimientos y formación sobre los conceptos cuando son más relevantes, y es mucho más probable que retengan esa información a largo plazo.
Resultados más rápidos, menos interrupciones, campistas más felices.
Con cualquier formación, un contexto inmediato con tus actividades cotidianas va a ser mucho más poderoso que intentar aplicar algo genérico a tu trabajo. Pasas menos tiempo en "modo de estudio", o peor aún, teniendo que volver a las cosas que ya has "aprendido" cuando necesitas una respuesta para algo.
Uno de los principios de la formación contextual es la capacidad de construir sobre el conocimiento de manera que cada componente de la formación se suma al anterior, permitiendo un proceso escalonado que da a los participantes un camino hacia la maestría. Una vez más, esto es algo que apoyamos en nuestra plataforma, con un sistema de cinturones similar al que se puede encontrar en un dojo de karate. Todo el mundo empieza siendo cinturón blanco, antes de progresar hasta el codiciado nivel de cinturón negro, o "campeón de seguridad", después de dedicar las horas de entrenamiento necesarias y de participar en tournament . Se trata de un enfoque divertido con valor real y aplicación práctica.
¿Quiere retener a los mejores talentos y mantenerlos conscientes de la seguridad? Déles las herramientas para que tengan éxito.
Es una desafortunada realidad que, en este momento, los desarrolladores y especialistas en seguridad de las aplicaciones son un recurso escaso (aunque vital). También son notoriamente difíciles de retener.
Cybrary realizó una encuesta entre 3100 profesionales de TI y seguridad en 2018, revelando que un elemento clave para retener a los empleados valiosos era invertir en su formación. Sus hallazgos muestran que las empresas que proporcionan las herramientas y la formación para nutrir sus habilidades de seguridad internas fueron capaces de retener a los profesionales de la seguridad un 60% más que los que no lo hicieron, y la friolera del 65% de los encuestados prefirió que esa formación fuera práctica. Bastante bueno, ¿no?
Sin embargo, los resultados de la encuesta también proporcionaron una revelación bastante alarmante: el 80% de los encuestados no se sienten adecuadamente preparados para defender a su organización contra las ciberamenazas. Esas amenazas no van a desaparecer, y la formación adecuada para combatir el creciente riesgo de costosas violaciones de datos y ataques es más necesaria ahora que nunca. Y, bueno, puede que yo sea parcial, pero la plataforma de Secure Code Warrior podría ser la herramienta que necesita para despertar una cultura de seguridad positiva, capacitar y apoyar a los desarrolladores con la formación contextual que les gusta y proteger a su organización de los malos. Solicite una demostración y le mostraremos más.
Índice
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.