Por qué el aprendizaje por andamiaje genera desarrolladores conscientes de la seguridad
Después de solo unos minutos navegando por las noticias técnicas, rápidamente queda claro lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece traer consigo un informe sobre una infracción grave, una nueva vulnerabilidad de seguridad o el grave peligro de un aprovechamiento activo por parte de ciberatacantes y delincuentes. Y casi todos los indicadores y informes del sector muestran un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos pronostican que esta tendencia continuará en los próximos años.
Contra estas nuevas amenazas se ha creado una primera línea de defensa agotada y con falta de personal, formada por empleados de seguridad informática. Aunque reciben salarios elevados y son casi indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones en materia de TI afirmaron que sus empresas sufrían una falta de competencias en ciberseguridad, y el 71 % indicaron que esta carencia había provocado daños directos y cuantificables a sus empresas. Solo en Estados Unidos, el informe reveló que había más de 520 000 puestos vacantes en el ámbito de la ciberseguridad, en un sector que solo cuenta con unos 940 000 empleados.
En la actualidad, hay aproximadamente 3,5 millones de puestos de trabajo sin cubrir en el ámbito de la ciberseguridad en todo el mundo, lo que significa que incluso las empresas que están dispuestas a pagar grandes sumas de dinero para contratar y retener a profesionales de alto nivel tienen dificultades para encontrar candidatos adecuados. Por término medio, se tarda un 21 % más en cubrir un puesto de ciberseguridad que cualquier otro puesto, si es que se puede cubrir.
La activación por parte de los desarrolladores se ha ignorado durante demasiado tiempo.
Hemos señalado en muchos blogs anteriores que se puede recurrir a los desarrolladores para cubrir algunas de estas lagunas críticas en la defensa de la ciberseguridad. El problema es que, tradicionalmente, los desarrolladores nunca han recibido formación en materia de ciberseguridad. Su rendimiento laboral dependía casi exclusivamente de la velocidad y el tiempo de implementación. La seguridad era tarea de los equipos de AppSec, por otro lado.
Por desgracia, no basta con cambiar de rumbo y pedir a los desarrolladores que, de repente, empiecen a hacer sus aplicaciones y programas más seguros. Aunque estén dispuestos a realizar estos cambios, y las encuestas han revelado que muchos de ellos lo están, aún así necesitan formación para lograrlo. También necesitan el ánimo y el apoyo de la alta dirección, pero el aprendizaje significativo es el primer obstáculo y, a menudo, el más grande.
Hay una razón por la que millones de puestos de trabajo bien remunerados y altamente seguros en el ámbito de la seguridad informática siguen sin cubrirse en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a este campo. Es difícil aprender a combatir las amenazas y eliminar las vulnerabilidades del código, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad incluso a desarrolladores con conocimientos técnicos no se puede hacer de manera eficiente con cursos de formación estáticos que se completan rápidamente, no son fáciles de recordar y tendrán un impacto positivo mínimo, especialmente si estos requisitos se añaden a sus agendas ya sobrecargadas.
Construye un andamio para alcanzar zonas más elevadas.
Enseñar habilidades de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin despegar nunca los pies del suelo. Esto no es posible porque los estudiantes no cuentan con los fundamentos necesarios para dominar los numerosos conceptos generales de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede aplicar el concepto de «aprender en un andamio ».
Cuando se utiliza un andamiaje o un enfoque «multicapa» en la formación continua, los temas más amplios suelen dividirse en experiencias de aprendizaje o conceptos individuales. De esta manera, se garantiza que los estudiantes sean capaces de dominar cada concepto con la ayuda de ejercicios e instrucciones adecuados, y se ofrece todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los ya aprendidos, al igual que se construye un andamio físico cuando un edificio se hace más alto. De esta manera, los alumnos pueden alcanzar un mayor nivel de comprensión y habilidades que el que podrían alcanzar sin ayuda.
Y al igual que con los andamios físicos, este soporte se retira gradualmente cuando ya no es necesario, de modo que los alumnos asumen más responsabilidad a medida que se vuelven más competentes.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y las percepciones que los alumnos pueden experimentar cuando se sienten frustrados, intimidados o desanimados al resolver una tarea difícil sin ayuda. Sin embargo, también puede ser muy valioso cuando se trata de abordar un concepto extremadamente difícil, como la ciberseguridad moderna. Lejos de tratar a los desarrolladores como si fueran niños, resulta muy útil que su experiencia con el equipo de seguridad pueda tener el mismo efecto, es decir, frustrante y desalentador, sobre todo cuando su arduo trabajo se ve rebatido con correcciones de errores y una nueva dosis de críticas.
Cuando se proporcionan a los desarrolladores herramientas que les permiten comprender los fundamentos de la codificación segura (normalmente empezando por OWASP Top 10), pueden ver por sí mismos cómo se producen las vulnerabilidades de seguridad, por qué son peligrosas y cómo se pueden solucionar antes de que lleguen a la fase de producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de buenas soluciones. Los niveles van creciendo poco a poco, y cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o la creación de modelos de amenazas, estos saltos no parecen tan intimidantes y pueden abordarse con precisión.
Como sector, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las empresas pueden introducir nuevas normas para ayudar a los desarrolladores a crear software de mayor calidad. Como ventaja adicional para las empresas con capacidades técnicas que se forman continuamente, cada paso en este camino o cada nivel del marco se traducirá directamente en una mejor ciberseguridad a lo largo del proceso de aprendizaje. No es necesario esperar hasta el final de un curso para ver los resultados.
Es difícil aprender sobre ciberseguridad y, sin la ayuda y la orientación adecuadas, es casi imposible dominarla. La introducción de un programa de seguridad con estructuras de aprendizaje puede ayudar a sacarle el máximo partido, y las ventajas se hacen evidentes casi de inmediato. Las mejoras comienzan casi al instante y se van acentuando con el tiempo.
Empiece con nosotros a formar desarrolladores conscientes de la seguridad. Eche un vistazo a:
Cursos
Misiones
Formación para desarrolladores
... ¡y mucho más!
Como sector, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las empresas pueden introducir nuevas normas para ayudar a los desarrolladores a crear software de mayor calidad.
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
Después de solo unos minutos navegando por las noticias técnicas, rápidamente queda claro lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece traer consigo un informe sobre una infracción grave, una nueva vulnerabilidad de seguridad o el grave peligro de un aprovechamiento activo por parte de ciberatacantes y delincuentes. Y casi todos los indicadores y informes del sector muestran un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos pronostican que esta tendencia continuará en los próximos años.
Contra estas nuevas amenazas se ha creado una primera línea de defensa agotada y con falta de personal, formada por empleados de seguridad informática. Aunque reciben salarios elevados y son casi indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones en materia de TI afirmaron que sus empresas sufrían una falta de competencias en ciberseguridad, y el 71 % indicaron que esta carencia había provocado daños directos y cuantificables a sus empresas. Solo en Estados Unidos, el informe reveló que había más de 520 000 puestos vacantes en el ámbito de la ciberseguridad, en un sector que solo cuenta con unos 940 000 empleados.
En la actualidad, hay aproximadamente 3,5 millones de puestos de trabajo sin cubrir en el ámbito de la ciberseguridad en todo el mundo, lo que significa que incluso las empresas que están dispuestas a pagar grandes sumas de dinero para contratar y retener a profesionales de alto nivel tienen dificultades para encontrar candidatos adecuados. Por término medio, se tarda un 21 % más en cubrir un puesto de ciberseguridad que cualquier otro puesto, si es que se puede cubrir.
La activación por parte de los desarrolladores se ha ignorado durante demasiado tiempo.
Hemos señalado en muchos blogs anteriores que se puede recurrir a los desarrolladores para cubrir algunas de estas lagunas críticas en la defensa de la ciberseguridad. El problema es que, tradicionalmente, los desarrolladores nunca han recibido formación en materia de ciberseguridad. Su rendimiento laboral dependía casi exclusivamente de la velocidad y el tiempo de implementación. La seguridad era tarea de los equipos de AppSec, por otro lado.
Por desgracia, no basta con cambiar de rumbo y pedir a los desarrolladores que, de repente, empiecen a hacer sus aplicaciones y programas más seguros. Aunque estén dispuestos a realizar estos cambios, y las encuestas han revelado que muchos de ellos lo están, aún así necesitan formación para lograrlo. También necesitan el ánimo y el apoyo de la alta dirección, pero el aprendizaje significativo es el primer obstáculo y, a menudo, el más grande.
Hay una razón por la que millones de puestos de trabajo bien remunerados y altamente seguros en el ámbito de la seguridad informática siguen sin cubrirse en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a este campo. Es difícil aprender a combatir las amenazas y eliminar las vulnerabilidades del código, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad incluso a desarrolladores con conocimientos técnicos no se puede hacer de manera eficiente con cursos de formación estáticos que se completan rápidamente, no son fáciles de recordar y tendrán un impacto positivo mínimo, especialmente si estos requisitos se añaden a sus agendas ya sobrecargadas.
Construye un andamio para alcanzar zonas más elevadas.
Enseñar habilidades de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin despegar nunca los pies del suelo. Esto no es posible porque los estudiantes no cuentan con los fundamentos necesarios para dominar los numerosos conceptos generales de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede aplicar el concepto de «aprender en un andamio ».
Cuando se utiliza un andamiaje o un enfoque «multicapa» en la formación continua, los temas más amplios suelen dividirse en experiencias de aprendizaje o conceptos individuales. De esta manera, se garantiza que los estudiantes sean capaces de dominar cada concepto con la ayuda de ejercicios e instrucciones adecuados, y se ofrece todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los ya aprendidos, al igual que se construye un andamio físico cuando un edificio se hace más alto. De esta manera, los alumnos pueden alcanzar un mayor nivel de comprensión y habilidades que el que podrían alcanzar sin ayuda.
Y al igual que con los andamios físicos, este soporte se retira gradualmente cuando ya no es necesario, de modo que los alumnos asumen más responsabilidad a medida que se vuelven más competentes.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y las percepciones que los alumnos pueden experimentar cuando se sienten frustrados, intimidados o desanimados al resolver una tarea difícil sin ayuda. Sin embargo, también puede ser muy valioso cuando se trata de abordar un concepto extremadamente difícil, como la ciberseguridad moderna. Lejos de tratar a los desarrolladores como si fueran niños, resulta muy útil que su experiencia con el equipo de seguridad pueda tener el mismo efecto, es decir, frustrante y desalentador, sobre todo cuando su arduo trabajo se ve rebatido con correcciones de errores y una nueva dosis de críticas.
Cuando se proporcionan a los desarrolladores herramientas que les permiten comprender los fundamentos de la codificación segura (normalmente empezando por OWASP Top 10), pueden ver por sí mismos cómo se producen las vulnerabilidades de seguridad, por qué son peligrosas y cómo se pueden solucionar antes de que lleguen a la fase de producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de buenas soluciones. Los niveles van creciendo poco a poco, y cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o la creación de modelos de amenazas, estos saltos no parecen tan intimidantes y pueden abordarse con precisión.
Como sector, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las empresas pueden introducir nuevas normas para ayudar a los desarrolladores a crear software de mayor calidad. Como ventaja adicional para las empresas con capacidades técnicas que se forman continuamente, cada paso en este camino o cada nivel del marco se traducirá directamente en una mejor ciberseguridad a lo largo del proceso de aprendizaje. No es necesario esperar hasta el final de un curso para ver los resultados.
Es difícil aprender sobre ciberseguridad y, sin la ayuda y la orientación adecuadas, es casi imposible dominarla. La introducción de un programa de seguridad con estructuras de aprendizaje puede ayudar a sacarle el máximo partido, y las ventajas se hacen evidentes casi de inmediato. Las mejoras comienzan casi al instante y se van acentuando con el tiempo.
Empiece con nosotros a formar desarrolladores conscientes de la seguridad. Eche un vistazo a:
Cursos
Misiones
Formación para desarrolladores
... ¡y mucho más!
Después de solo unos minutos navegando por las noticias técnicas, rápidamente queda claro lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece traer consigo un informe sobre una infracción grave, una nueva vulnerabilidad de seguridad o el grave peligro de un aprovechamiento activo por parte de ciberatacantes y delincuentes. Y casi todos los indicadores y informes del sector muestran un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos pronostican que esta tendencia continuará en los próximos años.
Contra estas nuevas amenazas se ha creado una primera línea de defensa agotada y con falta de personal, formada por empleados de seguridad informática. Aunque reciben salarios elevados y son casi indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones en materia de TI afirmaron que sus empresas sufrían una falta de competencias en ciberseguridad, y el 71 % indicaron que esta carencia había provocado daños directos y cuantificables a sus empresas. Solo en Estados Unidos, el informe reveló que había más de 520 000 puestos vacantes en el ámbito de la ciberseguridad, en un sector que solo cuenta con unos 940 000 empleados.
En la actualidad, hay aproximadamente 3,5 millones de puestos de trabajo sin cubrir en el ámbito de la ciberseguridad en todo el mundo, lo que significa que incluso las empresas que están dispuestas a pagar grandes sumas de dinero para contratar y retener a profesionales de alto nivel tienen dificultades para encontrar candidatos adecuados. Por término medio, se tarda un 21 % más en cubrir un puesto de ciberseguridad que cualquier otro puesto, si es que se puede cubrir.
La activación por parte de los desarrolladores se ha ignorado durante demasiado tiempo.
Hemos señalado en muchos blogs anteriores que se puede recurrir a los desarrolladores para cubrir algunas de estas lagunas críticas en la defensa de la ciberseguridad. El problema es que, tradicionalmente, los desarrolladores nunca han recibido formación en materia de ciberseguridad. Su rendimiento laboral dependía casi exclusivamente de la velocidad y el tiempo de implementación. La seguridad era tarea de los equipos de AppSec, por otro lado.
Por desgracia, no basta con cambiar de rumbo y pedir a los desarrolladores que, de repente, empiecen a hacer sus aplicaciones y programas más seguros. Aunque estén dispuestos a realizar estos cambios, y las encuestas han revelado que muchos de ellos lo están, aún así necesitan formación para lograrlo. También necesitan el ánimo y el apoyo de la alta dirección, pero el aprendizaje significativo es el primer obstáculo y, a menudo, el más grande.
Hay una razón por la que millones de puestos de trabajo bien remunerados y altamente seguros en el ámbito de la seguridad informática siguen sin cubrirse en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a este campo. Es difícil aprender a combatir las amenazas y eliminar las vulnerabilidades del código, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad incluso a desarrolladores con conocimientos técnicos no se puede hacer de manera eficiente con cursos de formación estáticos que se completan rápidamente, no son fáciles de recordar y tendrán un impacto positivo mínimo, especialmente si estos requisitos se añaden a sus agendas ya sobrecargadas.
Construye un andamio para alcanzar zonas más elevadas.
Enseñar habilidades de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin despegar nunca los pies del suelo. Esto no es posible porque los estudiantes no cuentan con los fundamentos necesarios para dominar los numerosos conceptos generales de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede aplicar el concepto de «aprender en un andamio ».
Cuando se utiliza un andamiaje o un enfoque «multicapa» en la formación continua, los temas más amplios suelen dividirse en experiencias de aprendizaje o conceptos individuales. De esta manera, se garantiza que los estudiantes sean capaces de dominar cada concepto con la ayuda de ejercicios e instrucciones adecuados, y se ofrece todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los ya aprendidos, al igual que se construye un andamio físico cuando un edificio se hace más alto. De esta manera, los alumnos pueden alcanzar un mayor nivel de comprensión y habilidades que el que podrían alcanzar sin ayuda.
Y al igual que con los andamios físicos, este soporte se retira gradualmente cuando ya no es necesario, de modo que los alumnos asumen más responsabilidad a medida que se vuelven más competentes.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y las percepciones que los alumnos pueden experimentar cuando se sienten frustrados, intimidados o desanimados al resolver una tarea difícil sin ayuda. Sin embargo, también puede ser muy valioso cuando se trata de abordar un concepto extremadamente difícil, como la ciberseguridad moderna. Lejos de tratar a los desarrolladores como si fueran niños, resulta muy útil que su experiencia con el equipo de seguridad pueda tener el mismo efecto, es decir, frustrante y desalentador, sobre todo cuando su arduo trabajo se ve rebatido con correcciones de errores y una nueva dosis de críticas.
Cuando se proporcionan a los desarrolladores herramientas que les permiten comprender los fundamentos de la codificación segura (normalmente empezando por OWASP Top 10), pueden ver por sí mismos cómo se producen las vulnerabilidades de seguridad, por qué son peligrosas y cómo se pueden solucionar antes de que lleguen a la fase de producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de buenas soluciones. Los niveles van creciendo poco a poco, y cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o la creación de modelos de amenazas, estos saltos no parecen tan intimidantes y pueden abordarse con precisión.
Como sector, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las empresas pueden introducir nuevas normas para ayudar a los desarrolladores a crear software de mayor calidad. Como ventaja adicional para las empresas con capacidades técnicas que se forman continuamente, cada paso en este camino o cada nivel del marco se traducirá directamente en una mejor ciberseguridad a lo largo del proceso de aprendizaje. No es necesario esperar hasta el final de un curso para ver los resultados.
Es difícil aprender sobre ciberseguridad y, sin la ayuda y la orientación adecuadas, es casi imposible dominarla. La introducción de un programa de seguridad con estructuras de aprendizaje puede ayudar a sacarle el máximo partido, y las ventajas se hacen evidentes casi de inmediato. Las mejoras comienzan casi al instante y se van acentuando con el tiempo.
Empiece con nosotros a formar desarrolladores conscientes de la seguridad. Eche un vistazo a:
Cursos
Misiones
Formación para desarrolladores
... ¡y mucho más!
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
Después de solo unos minutos navegando por las noticias técnicas, rápidamente queda claro lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece traer consigo un informe sobre una infracción grave, una nueva vulnerabilidad de seguridad o el grave peligro de un aprovechamiento activo por parte de ciberatacantes y delincuentes. Y casi todos los indicadores y informes del sector muestran un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos pronostican que esta tendencia continuará en los próximos años.
Contra estas nuevas amenazas se ha creado una primera línea de defensa agotada y con falta de personal, formada por empleados de seguridad informática. Aunque reciben salarios elevados y son casi indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones en materia de TI afirmaron que sus empresas sufrían una falta de competencias en ciberseguridad, y el 71 % indicaron que esta carencia había provocado daños directos y cuantificables a sus empresas. Solo en Estados Unidos, el informe reveló que había más de 520 000 puestos vacantes en el ámbito de la ciberseguridad, en un sector que solo cuenta con unos 940 000 empleados.
En la actualidad, hay aproximadamente 3,5 millones de puestos de trabajo sin cubrir en el ámbito de la ciberseguridad en todo el mundo, lo que significa que incluso las empresas que están dispuestas a pagar grandes sumas de dinero para contratar y retener a profesionales de alto nivel tienen dificultades para encontrar candidatos adecuados. Por término medio, se tarda un 21 % más en cubrir un puesto de ciberseguridad que cualquier otro puesto, si es que se puede cubrir.
La activación por parte de los desarrolladores se ha ignorado durante demasiado tiempo.
Hemos señalado en muchos blogs anteriores que se puede recurrir a los desarrolladores para cubrir algunas de estas lagunas críticas en la defensa de la ciberseguridad. El problema es que, tradicionalmente, los desarrolladores nunca han recibido formación en materia de ciberseguridad. Su rendimiento laboral dependía casi exclusivamente de la velocidad y el tiempo de implementación. La seguridad era tarea de los equipos de AppSec, por otro lado.
Por desgracia, no basta con cambiar de rumbo y pedir a los desarrolladores que, de repente, empiecen a hacer sus aplicaciones y programas más seguros. Aunque estén dispuestos a realizar estos cambios, y las encuestas han revelado que muchos de ellos lo están, aún así necesitan formación para lograrlo. También necesitan el ánimo y el apoyo de la alta dirección, pero el aprendizaje significativo es el primer obstáculo y, a menudo, el más grande.
Hay una razón por la que millones de puestos de trabajo bien remunerados y altamente seguros en el ámbito de la seguridad informática siguen sin cubrirse en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a este campo. Es difícil aprender a combatir las amenazas y eliminar las vulnerabilidades del código, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad incluso a desarrolladores con conocimientos técnicos no se puede hacer de manera eficiente con cursos de formación estáticos que se completan rápidamente, no son fáciles de recordar y tendrán un impacto positivo mínimo, especialmente si estos requisitos se añaden a sus agendas ya sobrecargadas.
Construye un andamio para alcanzar zonas más elevadas.
Enseñar habilidades de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin despegar nunca los pies del suelo. Esto no es posible porque los estudiantes no cuentan con los fundamentos necesarios para dominar los numerosos conceptos generales de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede aplicar el concepto de «aprender en un andamio ».
Cuando se utiliza un andamiaje o un enfoque «multicapa» en la formación continua, los temas más amplios suelen dividirse en experiencias de aprendizaje o conceptos individuales. De esta manera, se garantiza que los estudiantes sean capaces de dominar cada concepto con la ayuda de ejercicios e instrucciones adecuados, y se ofrece todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los ya aprendidos, al igual que se construye un andamio físico cuando un edificio se hace más alto. De esta manera, los alumnos pueden alcanzar un mayor nivel de comprensión y habilidades que el que podrían alcanzar sin ayuda.
Y al igual que con los andamios físicos, este soporte se retira gradualmente cuando ya no es necesario, de modo que los alumnos asumen más responsabilidad a medida que se vuelven más competentes.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y las percepciones que los alumnos pueden experimentar cuando se sienten frustrados, intimidados o desanimados al resolver una tarea difícil sin ayuda. Sin embargo, también puede ser muy valioso cuando se trata de abordar un concepto extremadamente difícil, como la ciberseguridad moderna. Lejos de tratar a los desarrolladores como si fueran niños, resulta muy útil que su experiencia con el equipo de seguridad pueda tener el mismo efecto, es decir, frustrante y desalentador, sobre todo cuando su arduo trabajo se ve rebatido con correcciones de errores y una nueva dosis de críticas.
Cuando se proporcionan a los desarrolladores herramientas que les permiten comprender los fundamentos de la codificación segura (normalmente empezando por OWASP Top 10), pueden ver por sí mismos cómo se producen las vulnerabilidades de seguridad, por qué son peligrosas y cómo se pueden solucionar antes de que lleguen a la fase de producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de buenas soluciones. Los niveles van creciendo poco a poco, y cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o la creación de modelos de amenazas, estos saltos no parecen tan intimidantes y pueden abordarse con precisión.
Como sector, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las empresas pueden introducir nuevas normas para ayudar a los desarrolladores a crear software de mayor calidad. Como ventaja adicional para las empresas con capacidades técnicas que se forman continuamente, cada paso en este camino o cada nivel del marco se traducirá directamente en una mejor ciberseguridad a lo largo del proceso de aprendizaje. No es necesario esperar hasta el final de un curso para ver los resultados.
Es difícil aprender sobre ciberseguridad y, sin la ayuda y la orientación adecuadas, es casi imposible dominarla. La introducción de un programa de seguridad con estructuras de aprendizaje puede ayudar a sacarle el máximo partido, y las ventajas se hacen evidentes casi de inmediato. Las mejoras comienzan casi al instante y se van acentuando con el tiempo.
Empiece con nosotros a formar desarrolladores conscientes de la seguridad. Eche un vistazo a:
Cursos
Misiones
Formación para desarrolladores
... ¡y mucho más!
Índice
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
El poder de la seguridad de aplicaciones OpenText + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
.png)
