¿Por qué el aprendizaje basado en andamios crea desarrolladores con una seguridad sólida?
Después de solo unos minutos de navegar por las noticias tecnológicas, rápidamente quedará claro cuán peligroso se está volviendo el panorama de amenazas. Parece que todos los días llegan informes sobre una violación importante, una nueva vulnerabilidad o una grave amenaza de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los informes y métricas del sector muestran un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará en los próximos años.
Para hacer frente a estas nuevas amenazas, hay trabajadores de seguridad de TI de primera línea agotados y con poco personal. A pesar de tener altos salarios y de ser prácticamente indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones de TI dijeron que sus organizaciones sufrían una escasez de habilidades de ciberseguridad, y el 71 % dijo que la escasez había provocado un daño directo y mensurable a sus organizaciones. Solo en Estados Unidos, el informe señaló que había más de 520 000 puestos de trabajo de ciberseguridad sin cubrir en un campo en el que solo hay unos 940 000 empleados.
En todo el mundo, actualmente hay alrededor de 3,5 millones de empleos de ciberseguridad que están vacantes, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes cantidades de dinero para contratar y retener a profesionales de alto nivel tienen problemas para encontrar candidatos adecuados. En promedio, se tarda aproximadamente un 21 % más en llenar un puesto de ciberseguridad que cualquier otro puesto, si es que se pueden cubrir.
La habilitación para desarrolladores se ha ignorado durante demasiado tiempo.
Notamos en muchos blogs anteriores que se puede recurrir a los desarrolladores para cubrir algunos de esos vacíos críticos en las defensas de ciberseguridad. Lo que pasa es que, tradicionalmente, los desarrolladores nunca recibían formación sobre ciberseguridad. Su desempeño laboral se basaba casi exclusivamente en la velocidad y el tiempo de implementación. La seguridad era la tarea de los equipos de AppSec más adelante.
Desafortunadamente, no se trata solo de cambiar de tema y pedir a los desarrolladores que, de repente, comiencen a añadir seguridad a sus aplicaciones y programas. Incluso si están dispuestos a hacer esos cambios, y las encuestas han demostrado que muchos de ellos lo están, todavía necesitan formación para que eso suceda. También necesitan el estímulo y el apoyo de la alta dirección, pero el primer obstáculo, y con frecuencia el mayor, es contar con la posibilidad de aprender de manera significativa.
Hay una razón por la que millones de puestos de seguridad de TI altamente seguros y bien remunerados permanecen vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede hacer de manera eficiente con una formación estática que se actualiza rápidamente y no es fácil de recordar, y tendrá un impacto positivo mínimo, especialmente si esos requisitos se suman a sus ya de por sí sobrecargados horarios.
Construye un andamio para llegar a un terreno más alto.
Enseñar habilidades de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin tener que levantar los pies del suelo. No es posible porque los estudiantes no tienen la base necesaria para dominar los muchos conceptos de nivel superior de un campo complejo como la ciberseguridad. Para compensar, el concepto de aprendizaje andamiado se puede emplear.
Cuando se utiliza un enfoque escalonado o «por capas» para mejorar las habilidades, los temas más amplios generalmente se dividen en experiencias o conceptos de aprendizaje discretos. Esto garantiza que los estudiantes puedan dominar cada concepto mediante los ejercicios y la instrucción apropiados, proporcionando todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los ya dominados, del mismo modo que se construyen andamios físicos a medida que crece un edificio. De esta manera, los estudiantes pueden alcanzar niveles más altos de comprensión y adquisición de habilidades que los que podrían dominar sin ayuda.
Y al igual que el andamiaje físico, ese apoyo se elimina gradualmente cuando ya no es necesario, con una mayor responsabilidad para los estudiantes a medida que adquieren cada vez más conocimientos.
El aprendizaje con andamios se usa principalmente para reducir las emociones negativas y las autopercepciones que los estudiantes pueden experimentar cuando se sienten frustrados, intimidados o desanimados al intentar una tarea difícil sin ayuda. Pero también puede ser muy valioso cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, resulta sumamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto de resultar frustrante y desalentador, especialmente cuando su arduo trabajo se ve recompensado con correcciones de errores y una nueva ración de críticas.
Cuando los desarrolladores reciben herramientas para comprender los fundamentos de la codificación segura (por lo general, comenzando por Los 10 mejores de OWASP), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo solucionarlos antes de que terminen en producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de soluciones adecuadas. Las capas crecen, poco a poco, y cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o la creación de modelos de amenazas, estos avances no parecen tan intimidantes y pueden abordarse con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para capacitar a los desarrolladores para que puedan producir software de mayor calidad. Como ventaja adicional para las organizaciones que trabajan en ingeniería y están mejorando sus habilidades, cada paso del proceso, o cada nivel de andamiaje, se traducirá directamente en una mejora de la ciberseguridad a medida que vayan aprendiendo. No es necesario esperar hasta el final de un curso para ver los resultados.
Aprender acerca de la ciberseguridad es difícil, y dominarla es casi imposible sin el tipo adecuado de ayuda e instrucción. Adoptar un programa de seguridad con un aprendizaje escalonado puede ayudar a sacar el máximo provecho, ya que los beneficios se hacen evidentes casi de inmediato. Las mejoras comenzarán casi de inmediato y mejorarán de forma continua con el tiempo.
Comience a crear desarrolladores con una seguridad sólida con nosotros; consulte:
Cursos
Misiones
Formación para desarrolladores
... ¡y más!
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para capacitar a los desarrolladores para que puedan producir software de mayor calidad.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Después de solo unos minutos de navegar por las noticias tecnológicas, rápidamente quedará claro cuán peligroso se está volviendo el panorama de amenazas. Parece que todos los días llegan informes sobre una violación importante, una nueva vulnerabilidad o una grave amenaza de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los informes y métricas del sector muestran un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará en los próximos años.
Para hacer frente a estas nuevas amenazas, hay trabajadores de seguridad de TI de primera línea agotados y con poco personal. A pesar de tener altos salarios y de ser prácticamente indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones de TI dijeron que sus organizaciones sufrían una escasez de habilidades de ciberseguridad, y el 71 % dijo que la escasez había provocado un daño directo y mensurable a sus organizaciones. Solo en Estados Unidos, el informe señaló que había más de 520 000 puestos de trabajo de ciberseguridad sin cubrir en un campo en el que solo hay unos 940 000 empleados.
En todo el mundo, actualmente hay alrededor de 3,5 millones de empleos de ciberseguridad que están vacantes, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes cantidades de dinero para contratar y retener a profesionales de alto nivel tienen problemas para encontrar candidatos adecuados. En promedio, se tarda aproximadamente un 21 % más en llenar un puesto de ciberseguridad que cualquier otro puesto, si es que se pueden cubrir.
La habilitación para desarrolladores se ha ignorado durante demasiado tiempo.
Notamos en muchos blogs anteriores que se puede recurrir a los desarrolladores para cubrir algunos de esos vacíos críticos en las defensas de ciberseguridad. Lo que pasa es que, tradicionalmente, los desarrolladores nunca recibían formación sobre ciberseguridad. Su desempeño laboral se basaba casi exclusivamente en la velocidad y el tiempo de implementación. La seguridad era la tarea de los equipos de AppSec más adelante.
Desafortunadamente, no se trata solo de cambiar de tema y pedir a los desarrolladores que, de repente, comiencen a añadir seguridad a sus aplicaciones y programas. Incluso si están dispuestos a hacer esos cambios, y las encuestas han demostrado que muchos de ellos lo están, todavía necesitan formación para que eso suceda. También necesitan el estímulo y el apoyo de la alta dirección, pero el primer obstáculo, y con frecuencia el mayor, es contar con la posibilidad de aprender de manera significativa.
Hay una razón por la que millones de puestos de seguridad de TI altamente seguros y bien remunerados permanecen vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede hacer de manera eficiente con una formación estática que se actualiza rápidamente y no es fácil de recordar, y tendrá un impacto positivo mínimo, especialmente si esos requisitos se suman a sus ya de por sí sobrecargados horarios.
Construye un andamio para llegar a un terreno más alto.
Enseñar habilidades de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin tener que levantar los pies del suelo. No es posible porque los estudiantes no tienen la base necesaria para dominar los muchos conceptos de nivel superior de un campo complejo como la ciberseguridad. Para compensar, el concepto de aprendizaje andamiado se puede emplear.
Cuando se utiliza un enfoque escalonado o «por capas» para mejorar las habilidades, los temas más amplios generalmente se dividen en experiencias o conceptos de aprendizaje discretos. Esto garantiza que los estudiantes puedan dominar cada concepto mediante los ejercicios y la instrucción apropiados, proporcionando todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los ya dominados, del mismo modo que se construyen andamios físicos a medida que crece un edificio. De esta manera, los estudiantes pueden alcanzar niveles más altos de comprensión y adquisición de habilidades que los que podrían dominar sin ayuda.
Y al igual que el andamiaje físico, ese apoyo se elimina gradualmente cuando ya no es necesario, con una mayor responsabilidad para los estudiantes a medida que adquieren cada vez más conocimientos.
El aprendizaje con andamios se usa principalmente para reducir las emociones negativas y las autopercepciones que los estudiantes pueden experimentar cuando se sienten frustrados, intimidados o desanimados al intentar una tarea difícil sin ayuda. Pero también puede ser muy valioso cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, resulta sumamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto de resultar frustrante y desalentador, especialmente cuando su arduo trabajo se ve recompensado con correcciones de errores y una nueva ración de críticas.
Cuando los desarrolladores reciben herramientas para comprender los fundamentos de la codificación segura (por lo general, comenzando por Los 10 mejores de OWASP), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo solucionarlos antes de que terminen en producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de soluciones adecuadas. Las capas crecen, poco a poco, y cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o la creación de modelos de amenazas, estos avances no parecen tan intimidantes y pueden abordarse con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para capacitar a los desarrolladores para que puedan producir software de mayor calidad. Como ventaja adicional para las organizaciones que trabajan en ingeniería y están mejorando sus habilidades, cada paso del proceso, o cada nivel de andamiaje, se traducirá directamente en una mejora de la ciberseguridad a medida que vayan aprendiendo. No es necesario esperar hasta el final de un curso para ver los resultados.
Aprender acerca de la ciberseguridad es difícil, y dominarla es casi imposible sin el tipo adecuado de ayuda e instrucción. Adoptar un programa de seguridad con un aprendizaje escalonado puede ayudar a sacar el máximo provecho, ya que los beneficios se hacen evidentes casi de inmediato. Las mejoras comenzarán casi de inmediato y mejorarán de forma continua con el tiempo.
Comience a crear desarrolladores con una seguridad sólida con nosotros; consulte:
Cursos
Misiones
Formación para desarrolladores
... ¡y más!
Después de solo unos minutos de navegar por las noticias tecnológicas, rápidamente quedará claro cuán peligroso se está volviendo el panorama de amenazas. Parece que todos los días llegan informes sobre una violación importante, una nueva vulnerabilidad o una grave amenaza de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los informes y métricas del sector muestran un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará en los próximos años.
Para hacer frente a estas nuevas amenazas, hay trabajadores de seguridad de TI de primera línea agotados y con poco personal. A pesar de tener altos salarios y de ser prácticamente indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones de TI dijeron que sus organizaciones sufrían una escasez de habilidades de ciberseguridad, y el 71 % dijo que la escasez había provocado un daño directo y mensurable a sus organizaciones. Solo en Estados Unidos, el informe señaló que había más de 520 000 puestos de trabajo de ciberseguridad sin cubrir en un campo en el que solo hay unos 940 000 empleados.
En todo el mundo, actualmente hay alrededor de 3,5 millones de empleos de ciberseguridad que están vacantes, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes cantidades de dinero para contratar y retener a profesionales de alto nivel tienen problemas para encontrar candidatos adecuados. En promedio, se tarda aproximadamente un 21 % más en llenar un puesto de ciberseguridad que cualquier otro puesto, si es que se pueden cubrir.
La habilitación para desarrolladores se ha ignorado durante demasiado tiempo.
Notamos en muchos blogs anteriores que se puede recurrir a los desarrolladores para cubrir algunos de esos vacíos críticos en las defensas de ciberseguridad. Lo que pasa es que, tradicionalmente, los desarrolladores nunca recibían formación sobre ciberseguridad. Su desempeño laboral se basaba casi exclusivamente en la velocidad y el tiempo de implementación. La seguridad era la tarea de los equipos de AppSec más adelante.
Desafortunadamente, no se trata solo de cambiar de tema y pedir a los desarrolladores que, de repente, comiencen a añadir seguridad a sus aplicaciones y programas. Incluso si están dispuestos a hacer esos cambios, y las encuestas han demostrado que muchos de ellos lo están, todavía necesitan formación para que eso suceda. También necesitan el estímulo y el apoyo de la alta dirección, pero el primer obstáculo, y con frecuencia el mayor, es contar con la posibilidad de aprender de manera significativa.
Hay una razón por la que millones de puestos de seguridad de TI altamente seguros y bien remunerados permanecen vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede hacer de manera eficiente con una formación estática que se actualiza rápidamente y no es fácil de recordar, y tendrá un impacto positivo mínimo, especialmente si esos requisitos se suman a sus ya de por sí sobrecargados horarios.
Construye un andamio para llegar a un terreno más alto.
Enseñar habilidades de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin tener que levantar los pies del suelo. No es posible porque los estudiantes no tienen la base necesaria para dominar los muchos conceptos de nivel superior de un campo complejo como la ciberseguridad. Para compensar, el concepto de aprendizaje andamiado se puede emplear.
Cuando se utiliza un enfoque escalonado o «por capas» para mejorar las habilidades, los temas más amplios generalmente se dividen en experiencias o conceptos de aprendizaje discretos. Esto garantiza que los estudiantes puedan dominar cada concepto mediante los ejercicios y la instrucción apropiados, proporcionando todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los ya dominados, del mismo modo que se construyen andamios físicos a medida que crece un edificio. De esta manera, los estudiantes pueden alcanzar niveles más altos de comprensión y adquisición de habilidades que los que podrían dominar sin ayuda.
Y al igual que el andamiaje físico, ese apoyo se elimina gradualmente cuando ya no es necesario, con una mayor responsabilidad para los estudiantes a medida que adquieren cada vez más conocimientos.
El aprendizaje con andamios se usa principalmente para reducir las emociones negativas y las autopercepciones que los estudiantes pueden experimentar cuando se sienten frustrados, intimidados o desanimados al intentar una tarea difícil sin ayuda. Pero también puede ser muy valioso cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, resulta sumamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto de resultar frustrante y desalentador, especialmente cuando su arduo trabajo se ve recompensado con correcciones de errores y una nueva ración de críticas.
Cuando los desarrolladores reciben herramientas para comprender los fundamentos de la codificación segura (por lo general, comenzando por Los 10 mejores de OWASP), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo solucionarlos antes de que terminen en producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de soluciones adecuadas. Las capas crecen, poco a poco, y cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o la creación de modelos de amenazas, estos avances no parecen tan intimidantes y pueden abordarse con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para capacitar a los desarrolladores para que puedan producir software de mayor calidad. Como ventaja adicional para las organizaciones que trabajan en ingeniería y están mejorando sus habilidades, cada paso del proceso, o cada nivel de andamiaje, se traducirá directamente en una mejora de la ciberseguridad a medida que vayan aprendiendo. No es necesario esperar hasta el final de un curso para ver los resultados.
Aprender acerca de la ciberseguridad es difícil, y dominarla es casi imposible sin el tipo adecuado de ayuda e instrucción. Adoptar un programa de seguridad con un aprendizaje escalonado puede ayudar a sacar el máximo provecho, ya que los beneficios se hacen evidentes casi de inmediato. Las mejoras comenzarán casi de inmediato y mejorarán de forma continua con el tiempo.
Comience a crear desarrolladores con una seguridad sólida con nosotros; consulte:
Cursos
Misiones
Formación para desarrolladores
... ¡y más!
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Después de solo unos minutos de navegar por las noticias tecnológicas, rápidamente quedará claro cuán peligroso se está volviendo el panorama de amenazas. Parece que todos los días llegan informes sobre una violación importante, una nueva vulnerabilidad o una grave amenaza de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los informes y métricas del sector muestran un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará en los próximos años.
Para hacer frente a estas nuevas amenazas, hay trabajadores de seguridad de TI de primera línea agotados y con poco personal. A pesar de tener altos salarios y de ser prácticamente indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones de TI dijeron que sus organizaciones sufrían una escasez de habilidades de ciberseguridad, y el 71 % dijo que la escasez había provocado un daño directo y mensurable a sus organizaciones. Solo en Estados Unidos, el informe señaló que había más de 520 000 puestos de trabajo de ciberseguridad sin cubrir en un campo en el que solo hay unos 940 000 empleados.
En todo el mundo, actualmente hay alrededor de 3,5 millones de empleos de ciberseguridad que están vacantes, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes cantidades de dinero para contratar y retener a profesionales de alto nivel tienen problemas para encontrar candidatos adecuados. En promedio, se tarda aproximadamente un 21 % más en llenar un puesto de ciberseguridad que cualquier otro puesto, si es que se pueden cubrir.
La habilitación para desarrolladores se ha ignorado durante demasiado tiempo.
Notamos en muchos blogs anteriores que se puede recurrir a los desarrolladores para cubrir algunos de esos vacíos críticos en las defensas de ciberseguridad. Lo que pasa es que, tradicionalmente, los desarrolladores nunca recibían formación sobre ciberseguridad. Su desempeño laboral se basaba casi exclusivamente en la velocidad y el tiempo de implementación. La seguridad era la tarea de los equipos de AppSec más adelante.
Desafortunadamente, no se trata solo de cambiar de tema y pedir a los desarrolladores que, de repente, comiencen a añadir seguridad a sus aplicaciones y programas. Incluso si están dispuestos a hacer esos cambios, y las encuestas han demostrado que muchos de ellos lo están, todavía necesitan formación para que eso suceda. También necesitan el estímulo y el apoyo de la alta dirección, pero el primer obstáculo, y con frecuencia el mayor, es contar con la posibilidad de aprender de manera significativa.
Hay una razón por la que millones de puestos de seguridad de TI altamente seguros y bien remunerados permanecen vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede hacer de manera eficiente con una formación estática que se actualiza rápidamente y no es fácil de recordar, y tendrá un impacto positivo mínimo, especialmente si esos requisitos se suman a sus ya de por sí sobrecargados horarios.
Construye un andamio para llegar a un terreno más alto.
Enseñar habilidades de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin tener que levantar los pies del suelo. No es posible porque los estudiantes no tienen la base necesaria para dominar los muchos conceptos de nivel superior de un campo complejo como la ciberseguridad. Para compensar, el concepto de aprendizaje andamiado se puede emplear.
Cuando se utiliza un enfoque escalonado o «por capas» para mejorar las habilidades, los temas más amplios generalmente se dividen en experiencias o conceptos de aprendizaje discretos. Esto garantiza que los estudiantes puedan dominar cada concepto mediante los ejercicios y la instrucción apropiados, proporcionando todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los ya dominados, del mismo modo que se construyen andamios físicos a medida que crece un edificio. De esta manera, los estudiantes pueden alcanzar niveles más altos de comprensión y adquisición de habilidades que los que podrían dominar sin ayuda.
Y al igual que el andamiaje físico, ese apoyo se elimina gradualmente cuando ya no es necesario, con una mayor responsabilidad para los estudiantes a medida que adquieren cada vez más conocimientos.
El aprendizaje con andamios se usa principalmente para reducir las emociones negativas y las autopercepciones que los estudiantes pueden experimentar cuando se sienten frustrados, intimidados o desanimados al intentar una tarea difícil sin ayuda. Pero también puede ser muy valioso cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, resulta sumamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto de resultar frustrante y desalentador, especialmente cuando su arduo trabajo se ve recompensado con correcciones de errores y una nueva ración de críticas.
Cuando los desarrolladores reciben herramientas para comprender los fundamentos de la codificación segura (por lo general, comenzando por Los 10 mejores de OWASP), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo solucionarlos antes de que terminen en producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de soluciones adecuadas. Las capas crecen, poco a poco, y cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o la creación de modelos de amenazas, estos avances no parecen tan intimidantes y pueden abordarse con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para capacitar a los desarrolladores para que puedan producir software de mayor calidad. Como ventaja adicional para las organizaciones que trabajan en ingeniería y están mejorando sus habilidades, cada paso del proceso, o cada nivel de andamiaje, se traducirá directamente en una mejora de la ciberseguridad a medida que vayan aprendiendo. No es necesario esperar hasta el final de un curso para ver los resultados.
Aprender acerca de la ciberseguridad es difícil, y dominarla es casi imposible sin el tipo adecuado de ayuda e instrucción. Adoptar un programa de seguridad con un aprendizaje escalonado puede ayudar a sacar el máximo provecho, ya que los beneficios se hacen evidentes casi de inmediato. Las mejoras comenzarán casi de inmediato y mejorarán de forma continua con el tiempo.
Comience a crear desarrolladores con una seguridad sólida con nosotros; consulte:
Cursos
Misiones
Formación para desarrolladores
... ¡y más!
Tabla de contenido
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El habilitador 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
