Por qué el aprendizaje con andamios crea desarrolladores fuertes en materia de seguridad
Con sólo unos minutos de navegación por las noticias tecnológicas, queda claro lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece traer consigo un informe de una brecha importante, una nueva vulnerabilidad o una amenaza extrema de explotación activa por parte de ciberatacantes y delincuentes. Y casi todas las métricas e informes del sector muestran un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará durante los próximos años.
Para hacer frente a estas nuevas amenazas hay una primera línea de trabajadores de seguridad informática agotada y con poco personal. A pesar de los elevados salarios y de ser casi indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad. En una encuesta reciente llevada a cabo por el Centro de Estudios Estratégicos e Internacionales, el 82% de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones sufrían una escasez de competencias en materia de ciberseguridad, y el 71% dijo que la escasez había provocado daños directos y cuantificables en sus organizaciones. Sólo en Estados Unidos, el informe señalaba que había más de 520.000 puestos de trabajo de ciberseguridad sin cubrir en un campo en el que sólo hay unos 940.000 empleados.
En todo el mundo hay actualmente unos 3,5 millones de puestos de trabajo de c iberseguridad sin cubrir, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes cantidades de dinero para contratar y retener a profesionales de alto nivel tienen problemas para encontrar candidatos adecuados. De media, se tarda un 21% más en cubrir un puesto de ciberseguridad que cualquier otro trabajo, si es que se puede cubrir.
La capacitación de los desarrolladores ha sido ignorada durante demasiado tiempo
En muchos blogs anteriores hemos señalado que se puede recurrir a los desarrolladores para cubrir algunas de esas lagunas críticas en las defensas de ciberseguridad. Lo que ocurre es que, tradicionalmente, los desarrolladores nunca han recibido formación en materia de ciberseguridad. Su rendimiento laboral se basaba casi por completo en la velocidad y el tiempo de despliegue. La seguridad era el trabajo de los equipos de AppSec más adelante.
Desgraciadamente, no es sólo cuestión de cambiar de marcha y pedir a los desarrolladores que de repente empiecen a añadir seguridad a sus aplicaciones y programas. Incluso si están dispuestos a hacer esos cambios, y las encuestas han demostrado que muchos de ellos lo están, siguen necesitando formación para hacerlo. También necesitan el estímulo y el apoyo de la alta dirección, pero el primer obstáculo, y a menudo el más grande, es que se les facilite un aprendizaje significativo.
Hay una razón por la que millones de puestos de trabajo de seguridad informática altamente remunerados y seguros siguen sin cubrirse en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Tratar de enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no puede hacerse de forma eficiente utilizando una formación estática que caduca rápidamente y no es memorable, y tendrá un impacto positivo mínimo, especialmente si esos requisitos se añaden a sus ya sobrecargados horarios.
Construir un andamio para llegar a un terreno más alto
Enseñar conocimientos de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin levantar los pies del suelo. No es posible porque los estudiantes no tienen la base necesaria para dominar los numerosos conceptos de alto nivel de un campo complejo como la ciberseguridad. Para compensar, se puede emplear el concepto de aprendizaje con andamios.
Cuando se utiliza un enfoque de andamiaje o "por capas" para mejorar las competencias, los temas más amplios se suelen dividir en experiencias de aprendizaje o conceptos discretos. Esto garantiza que los alumnos puedan dominar cada concepto mediante ejercicios e instrucciones adecuadas, proporcionando todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los que ya se dominan, al igual que se construye un andamiaje físico a medida que un edificio crece. De este modo, los alumnos son capaces de alcanzar niveles de comprensión y adquisición de destrezas superiores a los que podrían dominar sin ayuda.
Y, al igual que el andamiaje físico, ese apoyo se retira gradualmente cuando ya no es necesario, con más responsabilidad para los estudiantes a medida que se vuelven cada vez más competentes.
El aprendizaje con andamios se utiliza principalmente para reducir las emociones negativas y la autopercepción que los estudiantes pueden experimentar cuando se sienten frustrados, intimidados o desanimados al intentar una tarea difícil sin ayuda. Pero también puede tener mucho valor cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, es inmensamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto de ser frustrante y desalentador, especialmente cuando su duro trabajo es devuelto con correcciones de errores y una nueva ración de críticas.
Cuando los desarrolladores reciben herramientas para entender los fundamentos de la codificación segura (normalmente comenzando con el OWASP Top 10), pueden ver por sí mismos cómo se producen los fallos de seguridad, por qué son peligrosos y cómo remediarlos antes de que acaben en producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de buenas correcciones. Las capas crecen, poco a poco, y luego, cuando se trata de problemas de seguridad avanzados, como la arquitectura de software insegura, o la participación en el modelado de amenazas, estos saltos no parecen tan intimidantes y pueden ser abordados con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para la capacitación de los desarrolladores de manera que puedan producir software de mayor calidad. Como ventaja añadida para las organizaciones con ingenieros que están actualizando sus conocimientos, cada paso del camino, o cada nivel de andamiaje, se traducirá directamente en una mejor ciberseguridad a medida que vayan aprendiendo. No es necesario esperar hasta el final de un curso para ver los resultados.
Aprender sobre ciberseguridad es difícil, y dominarla es casi imposible sin el tipo adecuado de ayuda e instrucción. Adoptar un programa de seguridad con un aprendizaje andamiaje puede ayudar a sacar el máximo provecho, con beneficios que se hacen evidentes casi de inmediato. Las mejoras comenzarán casi inmediatamente, y mejorarán continuamente con el tiempo.
Empiece a crear desarrolladores fuertes en materia de seguridad con nosotros; eche un vistazo:
Courses
Missions
Formaciónpara desarrolladores
... ¡y mucho más!
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevas normas para capacitar a los desarrolladores de modo que puedan producir software de mayor calidad.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Con sólo unos minutos de navegación por las noticias tecnológicas, queda claro lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece traer consigo un informe de una brecha importante, una nueva vulnerabilidad o una amenaza extrema de explotación activa por parte de ciberatacantes y delincuentes. Y casi todas las métricas e informes del sector muestran un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará durante los próximos años.
Para hacer frente a estas nuevas amenazas hay una primera línea de trabajadores de seguridad informática agotada y con poco personal. A pesar de los elevados salarios y de ser casi indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad. En una encuesta reciente llevada a cabo por el Centro de Estudios Estratégicos e Internacionales, el 82% de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones sufrían una escasez de competencias en materia de ciberseguridad, y el 71% dijo que la escasez había provocado daños directos y cuantificables en sus organizaciones. Sólo en Estados Unidos, el informe señalaba que había más de 520.000 puestos de trabajo de ciberseguridad sin cubrir en un campo en el que sólo hay unos 940.000 empleados.
En todo el mundo hay actualmente unos 3,5 millones de puestos de trabajo de c iberseguridad sin cubrir, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes cantidades de dinero para contratar y retener a profesionales de alto nivel tienen problemas para encontrar candidatos adecuados. De media, se tarda un 21% más en cubrir un puesto de ciberseguridad que cualquier otro trabajo, si es que se puede cubrir.
La capacitación de los desarrolladores ha sido ignorada durante demasiado tiempo
En muchos blogs anteriores hemos señalado que se puede recurrir a los desarrolladores para cubrir algunas de esas lagunas críticas en las defensas de ciberseguridad. Lo que ocurre es que, tradicionalmente, los desarrolladores nunca han recibido formación en materia de ciberseguridad. Su rendimiento laboral se basaba casi por completo en la velocidad y el tiempo de despliegue. La seguridad era el trabajo de los equipos de AppSec más adelante.
Desgraciadamente, no es sólo cuestión de cambiar de marcha y pedir a los desarrolladores que de repente empiecen a añadir seguridad a sus aplicaciones y programas. Incluso si están dispuestos a hacer esos cambios, y las encuestas han demostrado que muchos de ellos lo están, siguen necesitando formación para hacerlo. También necesitan el estímulo y el apoyo de la alta dirección, pero el primer obstáculo, y a menudo el más grande, es que se les facilite un aprendizaje significativo.
Hay una razón por la que millones de puestos de trabajo de seguridad informática altamente remunerados y seguros siguen sin cubrirse en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Tratar de enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no puede hacerse de forma eficiente utilizando una formación estática que caduca rápidamente y no es memorable, y tendrá un impacto positivo mínimo, especialmente si esos requisitos se añaden a sus ya sobrecargados horarios.
Construir un andamio para llegar a un terreno más alto
Enseñar conocimientos de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin levantar los pies del suelo. No es posible porque los estudiantes no tienen la base necesaria para dominar los numerosos conceptos de alto nivel de un campo complejo como la ciberseguridad. Para compensar, se puede emplear el concepto de aprendizaje con andamios.
Cuando se utiliza un enfoque de andamiaje o "por capas" para mejorar las competencias, los temas más amplios se suelen dividir en experiencias de aprendizaje o conceptos discretos. Esto garantiza que los alumnos puedan dominar cada concepto mediante ejercicios e instrucciones adecuadas, proporcionando todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los que ya se dominan, al igual que se construye un andamiaje físico a medida que un edificio crece. De este modo, los alumnos son capaces de alcanzar niveles de comprensión y adquisición de destrezas superiores a los que podrían dominar sin ayuda.
Y, al igual que el andamiaje físico, ese apoyo se retira gradualmente cuando ya no es necesario, con más responsabilidad para los estudiantes a medida que se vuelven cada vez más competentes.
El aprendizaje con andamios se utiliza principalmente para reducir las emociones negativas y la autopercepción que los estudiantes pueden experimentar cuando se sienten frustrados, intimidados o desanimados al intentar una tarea difícil sin ayuda. Pero también puede tener mucho valor cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, es inmensamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto de ser frustrante y desalentador, especialmente cuando su duro trabajo es devuelto con correcciones de errores y una nueva ración de críticas.
Cuando los desarrolladores reciben herramientas para entender los fundamentos de la codificación segura (normalmente comenzando con el OWASP Top 10), pueden ver por sí mismos cómo se producen los fallos de seguridad, por qué son peligrosos y cómo remediarlos antes de que acaben en producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de buenas correcciones. Las capas crecen, poco a poco, y luego, cuando se trata de problemas de seguridad avanzados, como la arquitectura de software insegura, o la participación en el modelado de amenazas, estos saltos no parecen tan intimidantes y pueden ser abordados con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para la capacitación de los desarrolladores de manera que puedan producir software de mayor calidad. Como ventaja añadida para las organizaciones con ingenieros que están actualizando sus conocimientos, cada paso del camino, o cada nivel de andamiaje, se traducirá directamente en una mejor ciberseguridad a medida que vayan aprendiendo. No es necesario esperar hasta el final de un curso para ver los resultados.
Aprender sobre ciberseguridad es difícil, y dominarla es casi imposible sin el tipo adecuado de ayuda e instrucción. Adoptar un programa de seguridad con un aprendizaje andamiaje puede ayudar a sacar el máximo provecho, con beneficios que se hacen evidentes casi de inmediato. Las mejoras comenzarán casi inmediatamente, y mejorarán continuamente con el tiempo.
Empiece a crear desarrolladores fuertes en materia de seguridad con nosotros; eche un vistazo:
Courses
Missions
Formaciónpara desarrolladores
... ¡y mucho más!
Con sólo unos minutos de navegación por las noticias tecnológicas, queda claro lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece traer consigo un informe de una brecha importante, una nueva vulnerabilidad o una amenaza extrema de explotación activa por parte de ciberatacantes y delincuentes. Y casi todas las métricas e informes del sector muestran un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará durante los próximos años.
Para hacer frente a estas nuevas amenazas hay una primera línea de trabajadores de seguridad informática agotada y con poco personal. A pesar de los elevados salarios y de ser casi indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad. En una encuesta reciente llevada a cabo por el Centro de Estudios Estratégicos e Internacionales, el 82% de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones sufrían una escasez de competencias en materia de ciberseguridad, y el 71% dijo que la escasez había provocado daños directos y cuantificables en sus organizaciones. Sólo en Estados Unidos, el informe señalaba que había más de 520.000 puestos de trabajo de ciberseguridad sin cubrir en un campo en el que sólo hay unos 940.000 empleados.
En todo el mundo hay actualmente unos 3,5 millones de puestos de trabajo de c iberseguridad sin cubrir, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes cantidades de dinero para contratar y retener a profesionales de alto nivel tienen problemas para encontrar candidatos adecuados. De media, se tarda un 21% más en cubrir un puesto de ciberseguridad que cualquier otro trabajo, si es que se puede cubrir.
La capacitación de los desarrolladores ha sido ignorada durante demasiado tiempo
En muchos blogs anteriores hemos señalado que se puede recurrir a los desarrolladores para cubrir algunas de esas lagunas críticas en las defensas de ciberseguridad. Lo que ocurre es que, tradicionalmente, los desarrolladores nunca han recibido formación en materia de ciberseguridad. Su rendimiento laboral se basaba casi por completo en la velocidad y el tiempo de despliegue. La seguridad era el trabajo de los equipos de AppSec más adelante.
Desgraciadamente, no es sólo cuestión de cambiar de marcha y pedir a los desarrolladores que de repente empiecen a añadir seguridad a sus aplicaciones y programas. Incluso si están dispuestos a hacer esos cambios, y las encuestas han demostrado que muchos de ellos lo están, siguen necesitando formación para hacerlo. También necesitan el estímulo y el apoyo de la alta dirección, pero el primer obstáculo, y a menudo el más grande, es que se les facilite un aprendizaje significativo.
Hay una razón por la que millones de puestos de trabajo de seguridad informática altamente remunerados y seguros siguen sin cubrirse en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Tratar de enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no puede hacerse de forma eficiente utilizando una formación estática que caduca rápidamente y no es memorable, y tendrá un impacto positivo mínimo, especialmente si esos requisitos se añaden a sus ya sobrecargados horarios.
Construir un andamio para llegar a un terreno más alto
Enseñar conocimientos de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin levantar los pies del suelo. No es posible porque los estudiantes no tienen la base necesaria para dominar los numerosos conceptos de alto nivel de un campo complejo como la ciberseguridad. Para compensar, se puede emplear el concepto de aprendizaje con andamios.
Cuando se utiliza un enfoque de andamiaje o "por capas" para mejorar las competencias, los temas más amplios se suelen dividir en experiencias de aprendizaje o conceptos discretos. Esto garantiza que los alumnos puedan dominar cada concepto mediante ejercicios e instrucciones adecuadas, proporcionando todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los que ya se dominan, al igual que se construye un andamiaje físico a medida que un edificio crece. De este modo, los alumnos son capaces de alcanzar niveles de comprensión y adquisición de destrezas superiores a los que podrían dominar sin ayuda.
Y, al igual que el andamiaje físico, ese apoyo se retira gradualmente cuando ya no es necesario, con más responsabilidad para los estudiantes a medida que se vuelven cada vez más competentes.
El aprendizaje con andamios se utiliza principalmente para reducir las emociones negativas y la autopercepción que los estudiantes pueden experimentar cuando se sienten frustrados, intimidados o desanimados al intentar una tarea difícil sin ayuda. Pero también puede tener mucho valor cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, es inmensamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto de ser frustrante y desalentador, especialmente cuando su duro trabajo es devuelto con correcciones de errores y una nueva ración de críticas.
Cuando los desarrolladores reciben herramientas para entender los fundamentos de la codificación segura (normalmente comenzando con el OWASP Top 10), pueden ver por sí mismos cómo se producen los fallos de seguridad, por qué son peligrosos y cómo remediarlos antes de que acaben en producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de buenas correcciones. Las capas crecen, poco a poco, y luego, cuando se trata de problemas de seguridad avanzados, como la arquitectura de software insegura, o la participación en el modelado de amenazas, estos saltos no parecen tan intimidantes y pueden ser abordados con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para la capacitación de los desarrolladores de manera que puedan producir software de mayor calidad. Como ventaja añadida para las organizaciones con ingenieros que están actualizando sus conocimientos, cada paso del camino, o cada nivel de andamiaje, se traducirá directamente en una mejor ciberseguridad a medida que vayan aprendiendo. No es necesario esperar hasta el final de un curso para ver los resultados.
Aprender sobre ciberseguridad es difícil, y dominarla es casi imposible sin el tipo adecuado de ayuda e instrucción. Adoptar un programa de seguridad con un aprendizaje andamiaje puede ayudar a sacar el máximo provecho, con beneficios que se hacen evidentes casi de inmediato. Las mejoras comenzarán casi inmediatamente, y mejorarán continuamente con el tiempo.
Empiece a crear desarrolladores fuertes en materia de seguridad con nosotros; eche un vistazo:
Courses
Missions
Formaciónpara desarrolladores
... ¡y mucho más!
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Con sólo unos minutos de navegación por las noticias tecnológicas, queda claro lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece traer consigo un informe de una brecha importante, una nueva vulnerabilidad o una amenaza extrema de explotación activa por parte de ciberatacantes y delincuentes. Y casi todas las métricas e informes del sector muestran un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará durante los próximos años.
Para hacer frente a estas nuevas amenazas hay una primera línea de trabajadores de seguridad informática agotada y con poco personal. A pesar de los elevados salarios y de ser casi indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad. En una encuesta reciente llevada a cabo por el Centro de Estudios Estratégicos e Internacionales, el 82% de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones sufrían una escasez de competencias en materia de ciberseguridad, y el 71% dijo que la escasez había provocado daños directos y cuantificables en sus organizaciones. Sólo en Estados Unidos, el informe señalaba que había más de 520.000 puestos de trabajo de ciberseguridad sin cubrir en un campo en el que sólo hay unos 940.000 empleados.
En todo el mundo hay actualmente unos 3,5 millones de puestos de trabajo de c iberseguridad sin cubrir, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes cantidades de dinero para contratar y retener a profesionales de alto nivel tienen problemas para encontrar candidatos adecuados. De media, se tarda un 21% más en cubrir un puesto de ciberseguridad que cualquier otro trabajo, si es que se puede cubrir.
La capacitación de los desarrolladores ha sido ignorada durante demasiado tiempo
En muchos blogs anteriores hemos señalado que se puede recurrir a los desarrolladores para cubrir algunas de esas lagunas críticas en las defensas de ciberseguridad. Lo que ocurre es que, tradicionalmente, los desarrolladores nunca han recibido formación en materia de ciberseguridad. Su rendimiento laboral se basaba casi por completo en la velocidad y el tiempo de despliegue. La seguridad era el trabajo de los equipos de AppSec más adelante.
Desgraciadamente, no es sólo cuestión de cambiar de marcha y pedir a los desarrolladores que de repente empiecen a añadir seguridad a sus aplicaciones y programas. Incluso si están dispuestos a hacer esos cambios, y las encuestas han demostrado que muchos de ellos lo están, siguen necesitando formación para hacerlo. También necesitan el estímulo y el apoyo de la alta dirección, pero el primer obstáculo, y a menudo el más grande, es que se les facilite un aprendizaje significativo.
Hay una razón por la que millones de puestos de trabajo de seguridad informática altamente remunerados y seguros siguen sin cubrirse en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Tratar de enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no puede hacerse de forma eficiente utilizando una formación estática que caduca rápidamente y no es memorable, y tendrá un impacto positivo mínimo, especialmente si esos requisitos se añaden a sus ya sobrecargados horarios.
Construir un andamio para llegar a un terreno más alto
Enseñar conocimientos de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin levantar los pies del suelo. No es posible porque los estudiantes no tienen la base necesaria para dominar los numerosos conceptos de alto nivel de un campo complejo como la ciberseguridad. Para compensar, se puede emplear el concepto de aprendizaje con andamios.
Cuando se utiliza un enfoque de andamiaje o "por capas" para mejorar las competencias, los temas más amplios se suelen dividir en experiencias de aprendizaje o conceptos discretos. Esto garantiza que los alumnos puedan dominar cada concepto mediante ejercicios e instrucciones adecuadas, proporcionando todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los que ya se dominan, al igual que se construye un andamiaje físico a medida que un edificio crece. De este modo, los alumnos son capaces de alcanzar niveles de comprensión y adquisición de destrezas superiores a los que podrían dominar sin ayuda.
Y, al igual que el andamiaje físico, ese apoyo se retira gradualmente cuando ya no es necesario, con más responsabilidad para los estudiantes a medida que se vuelven cada vez más competentes.
El aprendizaje con andamios se utiliza principalmente para reducir las emociones negativas y la autopercepción que los estudiantes pueden experimentar cuando se sienten frustrados, intimidados o desanimados al intentar una tarea difícil sin ayuda. Pero también puede tener mucho valor cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, es inmensamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto de ser frustrante y desalentador, especialmente cuando su duro trabajo es devuelto con correcciones de errores y una nueva ración de críticas.
Cuando los desarrolladores reciben herramientas para entender los fundamentos de la codificación segura (normalmente comenzando con el OWASP Top 10), pueden ver por sí mismos cómo se producen los fallos de seguridad, por qué son peligrosos y cómo remediarlos antes de que acaben en producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de buenas correcciones. Las capas crecen, poco a poco, y luego, cuando se trata de problemas de seguridad avanzados, como la arquitectura de software insegura, o la participación en el modelado de amenazas, estos saltos no parecen tan intimidantes y pueden ser abordados con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para la capacitación de los desarrolladores de manera que puedan producir software de mayor calidad. Como ventaja añadida para las organizaciones con ingenieros que están actualizando sus conocimientos, cada paso del camino, o cada nivel de andamiaje, se traducirá directamente en una mejor ciberseguridad a medida que vayan aprendiendo. No es necesario esperar hasta el final de un curso para ver los resultados.
Aprender sobre ciberseguridad es difícil, y dominarla es casi imposible sin el tipo adecuado de ayuda e instrucción. Adoptar un programa de seguridad con un aprendizaje andamiaje puede ayudar a sacar el máximo provecho, con beneficios que se hacen evidentes casi de inmediato. Las mejoras comenzarán casi inmediatamente, y mejorarán continuamente con el tiempo.
Empiece a crear desarrolladores fuertes en materia de seguridad con nosotros; eche un vistazo:
Courses
Missions
Formaciónpara desarrolladores
... ¡y mucho más!
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
.png)
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
