Por qué el aprendizaje por andamiaje genera desarrolladores conscientes de la seguridad
Después de solo unos minutos navegando por las noticias técnicas, rápidamente queda claro lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece traer consigo un informe sobre una infracción grave, una nueva vulnerabilidad de seguridad o el grave peligro de un aprovechamiento activo por parte de ciberatacantes y delincuentes. Y casi todos los indicadores y informes del sector muestran un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos pronostican que esta tendencia continuará en los próximos años.
Contra estas nuevas amenazas se ha creado una primera línea de defensa agotada y con falta de personal, formada por empleados de seguridad informática. Aunque reciben salarios elevados y son casi indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones en materia de TI afirmaron que sus empresas sufrían una falta de competencias en ciberseguridad, y el 71 % indicaron que esta carencia había provocado daños directos y cuantificables a sus empresas. Solo en Estados Unidos, el informe reveló que había más de 520 000 puestos vacantes en el ámbito de la ciberseguridad, en un sector que solo cuenta con unos 940 000 empleados.
En la actualidad, hay aproximadamente 3,5 millones de puestos de trabajo sin cubrir en el ámbito de la ciberseguridad en todo el mundo, lo que significa que incluso las empresas que están dispuestas a pagar grandes sumas de dinero para contratar y retener a profesionales de alto nivel tienen dificultades para encontrar candidatos adecuados. Por término medio, se tarda un 21 % más en cubrir un puesto de ciberseguridad que cualquier otro puesto, si es que se puede cubrir.
La activación por parte de los desarrolladores se ha ignorado durante demasiado tiempo.
Hemos señalado en muchos blogs anteriores que se puede recurrir a los desarrolladores para cubrir algunas de estas lagunas críticas en la defensa de la ciberseguridad. El problema es que, tradicionalmente, los desarrolladores nunca han recibido formación en materia de ciberseguridad. Su rendimiento laboral dependía casi exclusivamente de la velocidad y el tiempo de implementación. La seguridad era tarea de los equipos de AppSec, por otro lado.
Por desgracia, no basta con cambiar de rumbo y pedir a los desarrolladores que, de repente, empiecen a hacer sus aplicaciones y programas más seguros. Aunque estén dispuestos a realizar estos cambios, y las encuestas han revelado que muchos de ellos lo están, aún así necesitan formación para lograrlo. También necesitan el ánimo y el apoyo de la alta dirección, pero el aprendizaje significativo es el primer obstáculo y, a menudo, el más grande.
Hay una razón por la que millones de puestos de trabajo bien remunerados y altamente seguros en el ámbito de la seguridad informática siguen sin cubrirse en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a este campo. Es difícil aprender a combatir las amenazas y eliminar las vulnerabilidades del código, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad incluso a desarrolladores con conocimientos técnicos no se puede hacer de manera eficiente con cursos de formación estáticos que se completan rápidamente, no son fáciles de recordar y tendrán un impacto positivo mínimo, especialmente si estos requisitos se añaden a sus agendas ya sobrecargadas.
Construye un andamio para alcanzar zonas más elevadas.
Enseñar habilidades de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin despegar nunca los pies del suelo. Esto no es posible porque los estudiantes no cuentan con los fundamentos necesarios para dominar los numerosos conceptos generales de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede aplicar el concepto de «aprender en un andamio ».
Cuando se utiliza un andamiaje o un enfoque «multicapa» en la formación continua, los temas más amplios suelen dividirse en experiencias de aprendizaje o conceptos individuales. De esta manera, se garantiza que los estudiantes sean capaces de dominar cada concepto con la ayuda de ejercicios e instrucciones adecuados, y se ofrece todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los ya aprendidos, al igual que se construye un andamio físico cuando un edificio se hace más alto. De esta manera, los alumnos pueden alcanzar un mayor nivel de comprensión y habilidades que el que podrían alcanzar sin ayuda.
Y al igual que con los andamios físicos, este soporte se retira gradualmente cuando ya no es necesario, de modo que los alumnos asumen más responsabilidad a medida que se vuelven más competentes.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y las percepciones que los alumnos pueden experimentar cuando se sienten frustrados, intimidados o desanimados al resolver una tarea difícil sin ayuda. Sin embargo, también puede ser muy valioso cuando se trata de abordar un concepto extremadamente difícil, como la ciberseguridad moderna. Lejos de tratar a los desarrolladores como si fueran niños, resulta muy útil que su experiencia con el equipo de seguridad pueda tener el mismo efecto, es decir, frustrante y desalentador, sobre todo cuando su arduo trabajo se ve rebatido con correcciones de errores y una nueva dosis de críticas.
Cuando se proporcionan a los desarrolladores herramientas que les permiten comprender los fundamentos de la codificación segura (normalmente empezando por OWASP Top 10), pueden ver por sí mismos cómo se producen las vulnerabilidades de seguridad, por qué son peligrosas y cómo se pueden solucionar antes de que lleguen a la fase de producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de buenas soluciones. Los niveles van creciendo poco a poco, y cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o la creación de modelos de amenazas, estos saltos no parecen tan intimidantes y pueden abordarse con precisión.
Como sector, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las empresas pueden introducir nuevas normas para ayudar a los desarrolladores a crear software de mayor calidad. Como ventaja adicional para las empresas con capacidades técnicas que se forman continuamente, cada paso en este camino o cada nivel del marco se traducirá directamente en una mejor ciberseguridad a lo largo del proceso de aprendizaje. No es necesario esperar hasta el final de un curso para ver los resultados.
Es difícil aprender sobre ciberseguridad y, sin la ayuda y la orientación adecuadas, es casi imposible dominarla. La introducción de un programa de seguridad con estructuras de aprendizaje puede ayudar a sacarle el máximo partido, y las ventajas se hacen evidentes casi de inmediato. Las mejoras comienzan casi al instante y se van acentuando con el tiempo.
Empiece con nosotros a formar desarrolladores conscientes de la seguridad. Eche un vistazo a:
Cursos
Misiones
Formación para desarrolladores
... ¡y mucho más!
Como sector, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las empresas pueden introducir nuevas normas para ayudar a los desarrolladores a crear software de mayor calidad.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Después de solo unos minutos navegando por las noticias técnicas, rápidamente queda claro lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece traer consigo un informe sobre una infracción grave, una nueva vulnerabilidad de seguridad o el grave peligro de un aprovechamiento activo por parte de ciberatacantes y delincuentes. Y casi todos los indicadores y informes del sector muestran un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos pronostican que esta tendencia continuará en los próximos años.
Contra estas nuevas amenazas se ha creado una primera línea de defensa agotada y con falta de personal, formada por empleados de seguridad informática. Aunque reciben salarios elevados y son casi indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones en materia de TI afirmaron que sus empresas sufrían una falta de competencias en ciberseguridad, y el 71 % indicaron que esta carencia había provocado daños directos y cuantificables a sus empresas. Solo en Estados Unidos, el informe reveló que había más de 520 000 puestos vacantes en el ámbito de la ciberseguridad, en un sector que solo cuenta con unos 940 000 empleados.
En la actualidad, hay aproximadamente 3,5 millones de puestos de trabajo sin cubrir en el ámbito de la ciberseguridad en todo el mundo, lo que significa que incluso las empresas que están dispuestas a pagar grandes sumas de dinero para contratar y retener a profesionales de alto nivel tienen dificultades para encontrar candidatos adecuados. Por término medio, se tarda un 21 % más en cubrir un puesto de ciberseguridad que cualquier otro puesto, si es que se puede cubrir.
La activación por parte de los desarrolladores se ha ignorado durante demasiado tiempo.
Hemos señalado en muchos blogs anteriores que se puede recurrir a los desarrolladores para cubrir algunas de estas lagunas críticas en la defensa de la ciberseguridad. El problema es que, tradicionalmente, los desarrolladores nunca han recibido formación en materia de ciberseguridad. Su rendimiento laboral dependía casi exclusivamente de la velocidad y el tiempo de implementación. La seguridad era tarea de los equipos de AppSec, por otro lado.
Por desgracia, no basta con cambiar de rumbo y pedir a los desarrolladores que, de repente, empiecen a hacer sus aplicaciones y programas más seguros. Aunque estén dispuestos a realizar estos cambios, y las encuestas han revelado que muchos de ellos lo están, aún así necesitan formación para lograrlo. También necesitan el ánimo y el apoyo de la alta dirección, pero el aprendizaje significativo es el primer obstáculo y, a menudo, el más grande.
Hay una razón por la que millones de puestos de trabajo bien remunerados y altamente seguros en el ámbito de la seguridad informática siguen sin cubrirse en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a este campo. Es difícil aprender a combatir las amenazas y eliminar las vulnerabilidades del código, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad incluso a desarrolladores con conocimientos técnicos no se puede hacer de manera eficiente con cursos de formación estáticos que se completan rápidamente, no son fáciles de recordar y tendrán un impacto positivo mínimo, especialmente si estos requisitos se añaden a sus agendas ya sobrecargadas.
Construye un andamio para alcanzar zonas más elevadas.
Enseñar habilidades de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin despegar nunca los pies del suelo. Esto no es posible porque los estudiantes no cuentan con los fundamentos necesarios para dominar los numerosos conceptos generales de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede aplicar el concepto de «aprender en un andamio ».
Cuando se utiliza un andamiaje o un enfoque «multicapa» en la formación continua, los temas más amplios suelen dividirse en experiencias de aprendizaje o conceptos individuales. De esta manera, se garantiza que los estudiantes sean capaces de dominar cada concepto con la ayuda de ejercicios e instrucciones adecuados, y se ofrece todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los ya aprendidos, al igual que se construye un andamio físico cuando un edificio se hace más alto. De esta manera, los alumnos pueden alcanzar un mayor nivel de comprensión y habilidades que el que podrían alcanzar sin ayuda.
Y al igual que con los andamios físicos, este soporte se retira gradualmente cuando ya no es necesario, de modo que los alumnos asumen más responsabilidad a medida que se vuelven más competentes.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y las percepciones que los alumnos pueden experimentar cuando se sienten frustrados, intimidados o desanimados al resolver una tarea difícil sin ayuda. Sin embargo, también puede ser muy valioso cuando se trata de abordar un concepto extremadamente difícil, como la ciberseguridad moderna. Lejos de tratar a los desarrolladores como si fueran niños, resulta muy útil que su experiencia con el equipo de seguridad pueda tener el mismo efecto, es decir, frustrante y desalentador, sobre todo cuando su arduo trabajo se ve rebatido con correcciones de errores y una nueva dosis de críticas.
Cuando se proporcionan a los desarrolladores herramientas que les permiten comprender los fundamentos de la codificación segura (normalmente empezando por OWASP Top 10), pueden ver por sí mismos cómo se producen las vulnerabilidades de seguridad, por qué son peligrosas y cómo se pueden solucionar antes de que lleguen a la fase de producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de buenas soluciones. Los niveles van creciendo poco a poco, y cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o la creación de modelos de amenazas, estos saltos no parecen tan intimidantes y pueden abordarse con precisión.
Como sector, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las empresas pueden introducir nuevas normas para ayudar a los desarrolladores a crear software de mayor calidad. Como ventaja adicional para las empresas con capacidades técnicas que se forman continuamente, cada paso en este camino o cada nivel del marco se traducirá directamente en una mejor ciberseguridad a lo largo del proceso de aprendizaje. No es necesario esperar hasta el final de un curso para ver los resultados.
Es difícil aprender sobre ciberseguridad y, sin la ayuda y la orientación adecuadas, es casi imposible dominarla. La introducción de un programa de seguridad con estructuras de aprendizaje puede ayudar a sacarle el máximo partido, y las ventajas se hacen evidentes casi de inmediato. Las mejoras comienzan casi al instante y se van acentuando con el tiempo.
Empiece con nosotros a formar desarrolladores conscientes de la seguridad. Eche un vistazo a:
Cursos
Misiones
Formación para desarrolladores
... ¡y mucho más!
Después de solo unos minutos navegando por las noticias técnicas, rápidamente queda claro lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece traer consigo un informe sobre una infracción grave, una nueva vulnerabilidad de seguridad o el grave peligro de un aprovechamiento activo por parte de ciberatacantes y delincuentes. Y casi todos los indicadores y informes del sector muestran un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos pronostican que esta tendencia continuará en los próximos años.
Contra estas nuevas amenazas se ha creado una primera línea de defensa agotada y con falta de personal, formada por empleados de seguridad informática. Aunque reciben salarios elevados y son casi indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones en materia de TI afirmaron que sus empresas sufrían una falta de competencias en ciberseguridad, y el 71 % indicaron que esta carencia había provocado daños directos y cuantificables a sus empresas. Solo en Estados Unidos, el informe reveló que había más de 520 000 puestos vacantes en el ámbito de la ciberseguridad, en un sector que solo cuenta con unos 940 000 empleados.
En la actualidad, hay aproximadamente 3,5 millones de puestos de trabajo sin cubrir en el ámbito de la ciberseguridad en todo el mundo, lo que significa que incluso las empresas que están dispuestas a pagar grandes sumas de dinero para contratar y retener a profesionales de alto nivel tienen dificultades para encontrar candidatos adecuados. Por término medio, se tarda un 21 % más en cubrir un puesto de ciberseguridad que cualquier otro puesto, si es que se puede cubrir.
La activación por parte de los desarrolladores se ha ignorado durante demasiado tiempo.
Hemos señalado en muchos blogs anteriores que se puede recurrir a los desarrolladores para cubrir algunas de estas lagunas críticas en la defensa de la ciberseguridad. El problema es que, tradicionalmente, los desarrolladores nunca han recibido formación en materia de ciberseguridad. Su rendimiento laboral dependía casi exclusivamente de la velocidad y el tiempo de implementación. La seguridad era tarea de los equipos de AppSec, por otro lado.
Por desgracia, no basta con cambiar de rumbo y pedir a los desarrolladores que, de repente, empiecen a hacer sus aplicaciones y programas más seguros. Aunque estén dispuestos a realizar estos cambios, y las encuestas han revelado que muchos de ellos lo están, aún así necesitan formación para lograrlo. También necesitan el ánimo y el apoyo de la alta dirección, pero el aprendizaje significativo es el primer obstáculo y, a menudo, el más grande.
Hay una razón por la que millones de puestos de trabajo bien remunerados y altamente seguros en el ámbito de la seguridad informática siguen sin cubrirse en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a este campo. Es difícil aprender a combatir las amenazas y eliminar las vulnerabilidades del código, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad incluso a desarrolladores con conocimientos técnicos no se puede hacer de manera eficiente con cursos de formación estáticos que se completan rápidamente, no son fáciles de recordar y tendrán un impacto positivo mínimo, especialmente si estos requisitos se añaden a sus agendas ya sobrecargadas.
Construye un andamio para alcanzar zonas más elevadas.
Enseñar habilidades de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin despegar nunca los pies del suelo. Esto no es posible porque los estudiantes no cuentan con los fundamentos necesarios para dominar los numerosos conceptos generales de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede aplicar el concepto de «aprender en un andamio ».
Cuando se utiliza un andamiaje o un enfoque «multicapa» en la formación continua, los temas más amplios suelen dividirse en experiencias de aprendizaje o conceptos individuales. De esta manera, se garantiza que los estudiantes sean capaces de dominar cada concepto con la ayuda de ejercicios e instrucciones adecuados, y se ofrece todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los ya aprendidos, al igual que se construye un andamio físico cuando un edificio se hace más alto. De esta manera, los alumnos pueden alcanzar un mayor nivel de comprensión y habilidades que el que podrían alcanzar sin ayuda.
Y al igual que con los andamios físicos, este soporte se retira gradualmente cuando ya no es necesario, de modo que los alumnos asumen más responsabilidad a medida que se vuelven más competentes.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y las percepciones que los alumnos pueden experimentar cuando se sienten frustrados, intimidados o desanimados al resolver una tarea difícil sin ayuda. Sin embargo, también puede ser muy valioso cuando se trata de abordar un concepto extremadamente difícil, como la ciberseguridad moderna. Lejos de tratar a los desarrolladores como si fueran niños, resulta muy útil que su experiencia con el equipo de seguridad pueda tener el mismo efecto, es decir, frustrante y desalentador, sobre todo cuando su arduo trabajo se ve rebatido con correcciones de errores y una nueva dosis de críticas.
Cuando se proporcionan a los desarrolladores herramientas que les permiten comprender los fundamentos de la codificación segura (normalmente empezando por OWASP Top 10), pueden ver por sí mismos cómo se producen las vulnerabilidades de seguridad, por qué son peligrosas y cómo se pueden solucionar antes de que lleguen a la fase de producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de buenas soluciones. Los niveles van creciendo poco a poco, y cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o la creación de modelos de amenazas, estos saltos no parecen tan intimidantes y pueden abordarse con precisión.
Como sector, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las empresas pueden introducir nuevas normas para ayudar a los desarrolladores a crear software de mayor calidad. Como ventaja adicional para las empresas con capacidades técnicas que se forman continuamente, cada paso en este camino o cada nivel del marco se traducirá directamente en una mejor ciberseguridad a lo largo del proceso de aprendizaje. No es necesario esperar hasta el final de un curso para ver los resultados.
Es difícil aprender sobre ciberseguridad y, sin la ayuda y la orientación adecuadas, es casi imposible dominarla. La introducción de un programa de seguridad con estructuras de aprendizaje puede ayudar a sacarle el máximo partido, y las ventajas se hacen evidentes casi de inmediato. Las mejoras comienzan casi al instante y se van acentuando con el tiempo.
Empiece con nosotros a formar desarrolladores conscientes de la seguridad. Eche un vistazo a:
Cursos
Misiones
Formación para desarrolladores
... ¡y mucho más!
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Después de solo unos minutos navegando por las noticias técnicas, rápidamente queda claro lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece traer consigo un informe sobre una infracción grave, una nueva vulnerabilidad de seguridad o el grave peligro de un aprovechamiento activo por parte de ciberatacantes y delincuentes. Y casi todos los indicadores y informes del sector muestran un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos pronostican que esta tendencia continuará en los próximos años.
Contra estas nuevas amenazas se ha creado una primera línea de defensa agotada y con falta de personal, formada por empleados de seguridad informática. Aunque reciben salarios elevados y son casi indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones en materia de TI afirmaron que sus empresas sufrían una falta de competencias en ciberseguridad, y el 71 % indicaron que esta carencia había provocado daños directos y cuantificables a sus empresas. Solo en Estados Unidos, el informe reveló que había más de 520 000 puestos vacantes en el ámbito de la ciberseguridad, en un sector que solo cuenta con unos 940 000 empleados.
En la actualidad, hay aproximadamente 3,5 millones de puestos de trabajo sin cubrir en el ámbito de la ciberseguridad en todo el mundo, lo que significa que incluso las empresas que están dispuestas a pagar grandes sumas de dinero para contratar y retener a profesionales de alto nivel tienen dificultades para encontrar candidatos adecuados. Por término medio, se tarda un 21 % más en cubrir un puesto de ciberseguridad que cualquier otro puesto, si es que se puede cubrir.
La activación por parte de los desarrolladores se ha ignorado durante demasiado tiempo.
Hemos señalado en muchos blogs anteriores que se puede recurrir a los desarrolladores para cubrir algunas de estas lagunas críticas en la defensa de la ciberseguridad. El problema es que, tradicionalmente, los desarrolladores nunca han recibido formación en materia de ciberseguridad. Su rendimiento laboral dependía casi exclusivamente de la velocidad y el tiempo de implementación. La seguridad era tarea de los equipos de AppSec, por otro lado.
Por desgracia, no basta con cambiar de rumbo y pedir a los desarrolladores que, de repente, empiecen a hacer sus aplicaciones y programas más seguros. Aunque estén dispuestos a realizar estos cambios, y las encuestas han revelado que muchos de ellos lo están, aún así necesitan formación para lograrlo. También necesitan el ánimo y el apoyo de la alta dirección, pero el aprendizaje significativo es el primer obstáculo y, a menudo, el más grande.
Hay una razón por la que millones de puestos de trabajo bien remunerados y altamente seguros en el ámbito de la seguridad informática siguen sin cubrirse en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a este campo. Es difícil aprender a combatir las amenazas y eliminar las vulnerabilidades del código, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad incluso a desarrolladores con conocimientos técnicos no se puede hacer de manera eficiente con cursos de formación estáticos que se completan rápidamente, no son fáciles de recordar y tendrán un impacto positivo mínimo, especialmente si estos requisitos se añaden a sus agendas ya sobrecargadas.
Construye un andamio para alcanzar zonas más elevadas.
Enseñar habilidades de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin despegar nunca los pies del suelo. Esto no es posible porque los estudiantes no cuentan con los fundamentos necesarios para dominar los numerosos conceptos generales de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede aplicar el concepto de «aprender en un andamio ».
Cuando se utiliza un andamiaje o un enfoque «multicapa» en la formación continua, los temas más amplios suelen dividirse en experiencias de aprendizaje o conceptos individuales. De esta manera, se garantiza que los estudiantes sean capaces de dominar cada concepto con la ayuda de ejercicios e instrucciones adecuados, y se ofrece todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los ya aprendidos, al igual que se construye un andamio físico cuando un edificio se hace más alto. De esta manera, los alumnos pueden alcanzar un mayor nivel de comprensión y habilidades que el que podrían alcanzar sin ayuda.
Y al igual que con los andamios físicos, este soporte se retira gradualmente cuando ya no es necesario, de modo que los alumnos asumen más responsabilidad a medida que se vuelven más competentes.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y las percepciones que los alumnos pueden experimentar cuando se sienten frustrados, intimidados o desanimados al resolver una tarea difícil sin ayuda. Sin embargo, también puede ser muy valioso cuando se trata de abordar un concepto extremadamente difícil, como la ciberseguridad moderna. Lejos de tratar a los desarrolladores como si fueran niños, resulta muy útil que su experiencia con el equipo de seguridad pueda tener el mismo efecto, es decir, frustrante y desalentador, sobre todo cuando su arduo trabajo se ve rebatido con correcciones de errores y una nueva dosis de críticas.
Cuando se proporcionan a los desarrolladores herramientas que les permiten comprender los fundamentos de la codificación segura (normalmente empezando por OWASP Top 10), pueden ver por sí mismos cómo se producen las vulnerabilidades de seguridad, por qué son peligrosas y cómo se pueden solucionar antes de que lleguen a la fase de producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de buenas soluciones. Los niveles van creciendo poco a poco, y cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o la creación de modelos de amenazas, estos saltos no parecen tan intimidantes y pueden abordarse con precisión.
Como sector, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las empresas pueden introducir nuevas normas para ayudar a los desarrolladores a crear software de mayor calidad. Como ventaja adicional para las empresas con capacidades técnicas que se forman continuamente, cada paso en este camino o cada nivel del marco se traducirá directamente en una mejor ciberseguridad a lo largo del proceso de aprendizaje. No es necesario esperar hasta el final de un curso para ver los resultados.
Es difícil aprender sobre ciberseguridad y, sin la ayuda y la orientación adecuadas, es casi imposible dominarla. La introducción de un programa de seguridad con estructuras de aprendizaje puede ayudar a sacarle el máximo partido, y las ventajas se hacen evidentes casi de inmediato. Las mejoras comienzan casi al instante y se van acentuando con el tiempo.
Empiece con nosotros a formar desarrolladores conscientes de la seguridad. Eche un vistazo a:
Cursos
Misiones
Formación para desarrolladores
... ¡y mucho más!
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
