Lo siento, tengo que dar una mala noticia.

La formación tradicional ha muerto.

Bueno, vale, no lo es... pero probablemente debería serlo. Una y otra vez, los estudios han demostrado que meter a un grupo de personas en un aula para que aprendan algo nuevo, marquen una tarea de cumplimiento o se sometan a un reciclaje es una de las formas más ineficaces de que la gente reciba una educación. Y cuando se trata de formación corporativa, esas estadísticas no mejoran. La revista Harvard Business Review publicó un estudio sobre la eficacia de la formación presencial para las nuevas contrataciones de las grandes empresas, y descubrió que este método de aprendizaje tardaba una media de ocho a doce meses en conseguir que los nuevos empleados se pusieran al día y fueran productivos. Eso es mucho tiempo para aprovechar al máximo las habilidades de una persona (y mucho tiempo para sentirse cómodo, si eres el nuevo contratado). Hoy en día, la mayoría de los lugares no disponen de ese tiempo; inevitablemente, se cortan las esquinas, la gente no recibe la formación que necesita y la empresa pierde mucho valor que podría obtenerse mucho antes.

Resulta realmente sorprendente que muchos lugares sigan confiando en las aulas, los libros de texto y los vídeos de formación aburridos para conseguir que los mejores y más brillantes se incorporen a las mejores prácticas de la empresa o a las nuevas iniciativas, especialmente cuando hay una forma mucho mejor, más atractiva y más valiosa de aprender: la formación contextual. Resulta que los seres humanos retenemos mejor la información cuando ponemos en práctica nuevas ideas y procesos.

Ahora, cuando se trata de desarrolladores... somos un grupo especial. Por mi propia experiencia como desarrollador, la formación tradicional no me parece precisamente un éxito. Los desarrolladores tienden a ser creativos, ingeniosos y solucionadores de problemas que preferirían utilizar las herramientas en lugar de ser instruidos en un aula, o sentados frente a interminables vídeos de una cabeza parlante cuando intentan aprender nueva información. Si nos fijamos en la formación en materia de seguridad en particular, parece haber una clara desconexión en el panorama actual: los desarrolladores no abordan las vulnerabilidades comunes en su código, lo que hace que los profesionales de la seguridad de las aplicaciones se rasguen las vestiduras cuando se enfrentan a los mismos problemas de fácil solución una y otra vez. La relación entre estos equipos es tensa, y los desarrolladores no reciben las herramientas y la formación adecuadas para seguir las mejores prácticas de desarrollo seguro. Su principal objetivo es la creación de funciones, pero con el rápido aumento del riesgo cibernético para todas las empresas, simplemente no podemos permitirnos seguir ignorando y quitando prioridad a los conocimientos sobre seguridad.

¿Y la mejor parte? Si los desarrolladores son conscientes de la seguridad, esas vulnerabilidades comunes empiezan a desaparecer. El riesgo se reduce, junto con los costes de arreglar los fallos de última hora (y a los responsables de seguridad de las aplicaciones se les acaba el pelo a puñados).

Entonces, ¿en qué consiste exactamente la participación de los desarrolladores en la formación contextual?

Los ejemplos del mundo real son ridículamente poderosos.

Imagina que todos tuviéramos que aprender a conducir viendo vídeos en YouTube. Aunque puedes hacerte una idea general de cómo funciona un coche, así como de la secuencia de eventos que se inicia para moverte por la carretera, sería prácticamente imposible aprender a conducir bien hasta que te subas a un coche y lo pruebes en persona.

La formación contextual es muy valiosa porque pone al alumno en el asiento del conductor de lo que se le enseña. Cuando se tiene un contexto real para algo, el aprendizaje resulta mucho más atractivo y significativo.

En lo que se refiere a la codificación segura, cualquiera puede ver un vídeo y entender los fundamentos de la inyección SQL, pero la esencia de la solución del problema se olvida fácilmente cuando se acercan los plazos y la entrega de las funciones tiene prioridad. Sin embargo, si fuera posible revisar ejemplos de código real, identificar la inyección y solucionarla como parte de un ejercicio de formación, eso es mucho más aplicable al trabajo diario de un desarrollador que tratar de retener la información en un solo sentido. También es más relacionable para un desarrollador, si ve código que es similar a lo que suele escribir, se levantará y prestará atención.

En la plataforma Secure Code Warrior hemos gamificado la formación en código seguro, ofreciendo una amplia variedad de retos en múltiples lenguajes y marcos de trabajo. El sistema fomenta la repetición del juego y, lo que es más importante, se puede personalizar al instante para ofrecer el entorno adecuado para un verdadero aprendizaje contextual.

Proporcionar conocimientos cuando son más útiles

Según la teoría del aprendizaje contextual, sólo se produce un aprendizaje eficaz cuando los alumnos procesan la nueva información o los conocimientos de forma que tengan sentido para ellos, dentro de sus propios marcos de referencia individuales.

Imagina que un desarrollador recibe una lista de vulnerabilidades de seguridad de los programas de recompensa de errores, herramientas SAST o software de seguimiento de errores. Pueden quedarse perplejos -incluso abrumados- si nunca se han topado con estas vulnerabilidades antes. Y lo que es peor, la mayoría de los informes están diseñados para expertos en seguridad de aplicaciones y no para desarrolladores. La información de los informes es difícil de analizar y a menudo contiene consejos genéricos que no son directamente aplicables a un desarrollador.

Recientemente, hemos añadido la capacidad de enlazar directamente con la formación práctica sobre las vulnerabilidades de los programas de recompensa de errores, las herramientas SAST, el software de seguimiento de errores y los informes de pruebas de penetración. Los desarrolladores pueden entender inmediatamente los fundamentos y aprender buenas recetas de codificación para su marco particular.

El aprendizaje de este modo garantiza que los desarrolladores reciban conocimientos y formación sobre los conceptos cuando son más relevantes, y es mucho más probable que retengan esa información a largo plazo.

Resultados más rápidos, menos interrupciones, campistas más felices.

Con cualquier formación, un contexto inmediato con tus actividades cotidianas va a ser mucho más poderoso que intentar aplicar algo genérico a tu trabajo. Pasas menos tiempo en "modo de estudio", o peor aún, teniendo que volver a las cosas que ya has "aprendido" cuando necesitas una respuesta para algo.

Uno de los principios de la formación contextual es la capacidad de construir sobre el conocimiento de manera que cada componente de la formación se suma al anterior, permitiendo un proceso escalonado que da a los participantes un camino hacia la maestría. Una vez más, esto es algo que apoyamos en nuestra plataforma, con un sistema de cinturones similar al que se puede encontrar en un dojo de karate. Todo el mundo empieza siendo cinturón blanco, antes de progresar hasta el codiciado nivel de cinturón negro, o "campeón de seguridad", después de dedicar las horas de entrenamiento necesarias y de participar en tournament . Se trata de un enfoque divertido con valor real y aplicación práctica.

¿Quiere retener a los mejores talentos y mantenerlos conscientes de la seguridad? Déles las herramientas para que tengan éxito.

Es una desafortunada realidad que, en este momento, los desarrolladores y especialistas en seguridad de las aplicaciones son un recurso escaso (aunque vital). También son notoriamente difíciles de retener.

Cybrary realizó una encuesta entre 3100 profesionales de TI y seguridad en 2018, revelando que un elemento clave para retener a los empleados valiosos era invertir en su formación. Sus hallazgos muestran que las empresas que proporcionan las herramientas y la formación para nutrir sus habilidades de seguridad internas fueron capaces de retener a los profesionales de la seguridad un 60% más que los que no lo hicieron, y la friolera del 65% de los encuestados prefirió que esa formación fuera práctica. Bastante bueno, ¿no?

Sin embargo, los resultados de la encuesta también proporcionaron una revelación bastante alarmante: el 80% de los encuestados no se sienten adecuadamente preparados para defender a su organización contra las ciberamenazas. Esas amenazas no van a desaparecer, y la formación adecuada para combatir el creciente riesgo de costosas violaciones de datos y ataques es más necesaria ahora que nunca. Y, bueno, puede que yo sea parcial, pero la plataforma de Secure Code Warrior podría ser la herramienta que necesita para despertar una cultura de seguridad positiva, capacitar y apoyar a los desarrolladores con la formación contextual que les gusta y proteger a su organización de los malos. Solicite una demostración y le mostraremos más.