Por qué el aprendizaje con andamios crea desarrolladores fuertes en materia de seguridad
Por qué el aprendizaje con andamios crea desarrolladores fuertes en materia de seguridad
Con sólo unos minutos de navegación por las noticias tecnológicas, queda claro lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece traer consigo un informe de una brecha importante, una nueva vulnerabilidad o una amenaza extrema de explotación activa por parte de ciberatacantes y delincuentes. Y casi todas las métricas e informes del sector muestran un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará durante los próximos años.
Para hacer frente a estas nuevas amenazas hay una primera línea de trabajadores de seguridad informática agotada y con poco personal. A pesar de los elevados salarios y de ser casi indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad. En una encuesta reciente llevada a cabo por el Centro de Estudios Estratégicos e Internacionales, el 82% de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones sufrían una escasez de competencias en materia de ciberseguridad, y el 71% dijo que la escasez había provocado daños directos y cuantificables en sus organizaciones. Sólo en Estados Unidos, el informe señalaba que había más de 520.000 puestos de trabajo de ciberseguridad sin cubrir en un campo en el que sólo hay unos 940.000 empleados.
En todo el mundo hay actualmente unos 3,5 millones de puestos de trabajo de c iberseguridad sin cubrir, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes cantidades de dinero para contratar y retener a profesionales de alto nivel tienen problemas para encontrar candidatos adecuados. De media, se tarda un 21% más en cubrir un puesto de ciberseguridad que cualquier otro trabajo, si es que se puede cubrir.
La capacitación de los desarrolladores ha sido ignorada durante demasiado tiempo
En muchos blogs anteriores hemos señalado que se puede recurrir a los desarrolladores para cubrir algunas de esas lagunas críticas en las defensas de ciberseguridad. Lo que ocurre es que, tradicionalmente, los desarrolladores nunca han recibido formación en materia de ciberseguridad. Su rendimiento laboral se basaba casi por completo en la velocidad y el tiempo de despliegue. La seguridad era el trabajo de los equipos de AppSec más adelante.
Desgraciadamente, no es sólo cuestión de cambiar de marcha y pedir a los desarrolladores que de repente empiecen a añadir seguridad a sus aplicaciones y programas. Incluso si están dispuestos a hacer esos cambios, y las encuestas han demostrado que muchos de ellos lo están, siguen necesitando formación para hacerlo. También necesitan el estímulo y el apoyo de la alta dirección, pero el primer obstáculo, y a menudo el más grande, es que se les facilite un aprendizaje significativo.
Hay una razón por la que millones de puestos de trabajo de seguridad informática altamente remunerados y seguros siguen sin cubrirse en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Tratar de enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no puede hacerse de forma eficiente utilizando una formación estática que caduca rápidamente y no es memorable, y tendrá un impacto positivo mínimo, especialmente si esos requisitos se añaden a sus ya sobrecargados horarios.
Construir un andamio para llegar a un terreno más alto
Enseñar conocimientos de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin levantar los pies del suelo. No es posible porque los estudiantes no tienen la base necesaria para dominar los numerosos conceptos de alto nivel de un campo complejo como la ciberseguridad. Para compensar, se puede emplear el concepto de aprendizaje con andamios.
Cuando se utiliza un enfoque de andamiaje o "por capas" para mejorar las competencias, los temas más amplios se suelen dividir en experiencias de aprendizaje o conceptos discretos. Esto garantiza que los alumnos puedan dominar cada concepto mediante ejercicios e instrucciones adecuadas, proporcionando todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los que ya se dominan, al igual que se construye un andamiaje físico a medida que un edificio crece. De este modo, los alumnos son capaces de alcanzar niveles de comprensión y adquisición de destrezas superiores a los que podrían dominar sin ayuda.
Y, al igual que el andamiaje físico, ese apoyo se retira gradualmente cuando ya no es necesario, con más responsabilidad para los estudiantes a medida que se vuelven cada vez más competentes.
El aprendizaje con andamios se utiliza principalmente para reducir las emociones negativas y la autopercepción que los estudiantes pueden experimentar cuando se sienten frustrados, intimidados o desanimados al intentar una tarea difícil sin ayuda. Pero también puede tener mucho valor cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, es inmensamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto de ser frustrante y desalentador, especialmente cuando su duro trabajo es devuelto con correcciones de errores y una nueva ración de críticas.
Cuando los desarrolladores reciben herramientas para entender los fundamentos de la codificación segura (normalmente comenzando con el OWASP Top 10), pueden ver por sí mismos cómo se producen los fallos de seguridad, por qué son peligrosos y cómo remediarlos antes de que acaben en producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de buenas correcciones. Las capas crecen, poco a poco, y luego, cuando se trata de problemas de seguridad avanzados, como la arquitectura de software insegura, o la participación en el modelado de amenazas, estos saltos no parecen tan intimidantes y pueden ser abordados con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para la capacitación de los desarrolladores de manera que puedan producir software de mayor calidad. Como ventaja añadida para las organizaciones con ingenieros que están actualizando sus conocimientos, cada paso del camino, o cada nivel de andamiaje, se traducirá directamente en una mejor ciberseguridad a medida que vayan aprendiendo. No es necesario esperar hasta el final de un curso para ver los resultados.
Aprender sobre ciberseguridad es difícil, y dominarla es casi imposible sin el tipo adecuado de ayuda e instrucción. Adoptar un programa de seguridad con un aprendizaje andamiaje puede ayudar a sacar el máximo provecho, con beneficios que se hacen evidentes casi de inmediato. Las mejoras comenzarán casi inmediatamente, y mejorarán continuamente con el tiempo.
Empiece a crear desarrolladores fuertes en materia de seguridad con nosotros; eche un vistazo:
Courses
Missions
Formaciónpara desarrolladores
... ¡y mucho más!
Doctor Matias Madou
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Artículos relacionados que recomendamos
Artículos relacionados que recomendamos
Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.
Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.
Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores
Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.
Por qué el aprendizaje con andamios crea desarrolladores fuertes en materia de seguridad
Con sólo unos minutos de navegación por las noticias tecnológicas, queda claro lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece traer consigo un informe de una brecha importante, una nueva vulnerabilidad o una amenaza extrema de explotación activa por parte de ciberatacantes y delincuentes. Y casi todas las métricas e informes del sector muestran un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará durante los próximos años.
Para hacer frente a estas nuevas amenazas hay una primera línea de trabajadores de seguridad informática agotada y con poco personal. A pesar de los elevados salarios y de ser casi indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad. En una encuesta reciente llevada a cabo por el Centro de Estudios Estratégicos e Internacionales, el 82% de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones sufrían una escasez de competencias en materia de ciberseguridad, y el 71% dijo que la escasez había provocado daños directos y cuantificables en sus organizaciones. Sólo en Estados Unidos, el informe señalaba que había más de 520.000 puestos de trabajo de ciberseguridad sin cubrir en un campo en el que sólo hay unos 940.000 empleados.
En todo el mundo hay actualmente unos 3,5 millones de puestos de trabajo de c iberseguridad sin cubrir, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes cantidades de dinero para contratar y retener a profesionales de alto nivel tienen problemas para encontrar candidatos adecuados. De media, se tarda un 21% más en cubrir un puesto de ciberseguridad que cualquier otro trabajo, si es que se puede cubrir.
La capacitación de los desarrolladores ha sido ignorada durante demasiado tiempo
En muchos blogs anteriores hemos señalado que se puede recurrir a los desarrolladores para cubrir algunas de esas lagunas críticas en las defensas de ciberseguridad. Lo que ocurre es que, tradicionalmente, los desarrolladores nunca han recibido formación en materia de ciberseguridad. Su rendimiento laboral se basaba casi por completo en la velocidad y el tiempo de despliegue. La seguridad era el trabajo de los equipos de AppSec más adelante.
Desgraciadamente, no es sólo cuestión de cambiar de marcha y pedir a los desarrolladores que de repente empiecen a añadir seguridad a sus aplicaciones y programas. Incluso si están dispuestos a hacer esos cambios, y las encuestas han demostrado que muchos de ellos lo están, siguen necesitando formación para hacerlo. También necesitan el estímulo y el apoyo de la alta dirección, pero el primer obstáculo, y a menudo el más grande, es que se les facilite un aprendizaje significativo.
Hay una razón por la que millones de puestos de trabajo de seguridad informática altamente remunerados y seguros siguen sin cubrirse en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Tratar de enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no puede hacerse de forma eficiente utilizando una formación estática que caduca rápidamente y no es memorable, y tendrá un impacto positivo mínimo, especialmente si esos requisitos se añaden a sus ya sobrecargados horarios.
Construir un andamio para llegar a un terreno más alto
Enseñar conocimientos de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin levantar los pies del suelo. No es posible porque los estudiantes no tienen la base necesaria para dominar los numerosos conceptos de alto nivel de un campo complejo como la ciberseguridad. Para compensar, se puede emplear el concepto de aprendizaje con andamios.
Cuando se utiliza un enfoque de andamiaje o "por capas" para mejorar las competencias, los temas más amplios se suelen dividir en experiencias de aprendizaje o conceptos discretos. Esto garantiza que los alumnos puedan dominar cada concepto mediante ejercicios e instrucciones adecuadas, proporcionando todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los que ya se dominan, al igual que se construye un andamiaje físico a medida que un edificio crece. De este modo, los alumnos son capaces de alcanzar niveles de comprensión y adquisición de destrezas superiores a los que podrían dominar sin ayuda.
Y, al igual que el andamiaje físico, ese apoyo se retira gradualmente cuando ya no es necesario, con más responsabilidad para los estudiantes a medida que se vuelven cada vez más competentes.
El aprendizaje con andamios se utiliza principalmente para reducir las emociones negativas y la autopercepción que los estudiantes pueden experimentar cuando se sienten frustrados, intimidados o desanimados al intentar una tarea difícil sin ayuda. Pero también puede tener mucho valor cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, es inmensamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto de ser frustrante y desalentador, especialmente cuando su duro trabajo es devuelto con correcciones de errores y una nueva ración de críticas.
Cuando los desarrolladores reciben herramientas para entender los fundamentos de la codificación segura (normalmente comenzando con el OWASP Top 10), pueden ver por sí mismos cómo se producen los fallos de seguridad, por qué son peligrosos y cómo remediarlos antes de que acaben en producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de buenas correcciones. Las capas crecen, poco a poco, y luego, cuando se trata de problemas de seguridad avanzados, como la arquitectura de software insegura, o la participación en el modelado de amenazas, estos saltos no parecen tan intimidantes y pueden ser abordados con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para la capacitación de los desarrolladores de manera que puedan producir software de mayor calidad. Como ventaja añadida para las organizaciones con ingenieros que están actualizando sus conocimientos, cada paso del camino, o cada nivel de andamiaje, se traducirá directamente en una mejor ciberseguridad a medida que vayan aprendiendo. No es necesario esperar hasta el final de un curso para ver los resultados.
Aprender sobre ciberseguridad es difícil, y dominarla es casi imposible sin el tipo adecuado de ayuda e instrucción. Adoptar un programa de seguridad con un aprendizaje andamiaje puede ayudar a sacar el máximo provecho, con beneficios que se hacen evidentes casi de inmediato. Las mejoras comenzarán casi inmediatamente, y mejorarán continuamente con el tiempo.
Empiece a crear desarrolladores fuertes en materia de seguridad con nosotros; eche un vistazo:
Courses
Missions
Formaciónpara desarrolladores
... ¡y mucho más!
