¿Por qué el aprendizaje por andamiaje permite reforzar la seguridad de los desarrolladores?
Después de solo unos minutos leyendo las noticias tecnológicas, comprenderá rápidamente lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece estar marcado por la notificación de una violación importante, una nueva vulnerabilidad o una grave amenaza de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los indicadores e informes del sector apuntan a un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará en los próximos años.
Ante estas nuevas amenazas, los agentes de primera línea encargados de la seguridad informática están agotados y faltan efectivos. Aunque los salarios son elevados y es casi indispensable para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones informáticas declararon que su organización sufría una escasez de competencias en ciberseguridad, y el 71 % afirmaron que esta escasez había causado daños directos y cuantificables a sus organizaciones. Solo en Estados Unidos, el informe indica que había más de 520 000 puestos vacantes en ciberseguridad en un ámbito en el que solo hay 940 000 empleados.
En la actualidad, existen alrededor de 3,5 millones de puestos de trabajo sin cubrir en el ámbito de la ciberseguridad en todo el mundo, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes sumas de dinero para contratar y retener a profesionales de alto nivel tienen dificultades para encontrar candidatos adecuados. Por término medio, se necesita un 21 % más para cubrir un puesto de ciberseguridad que cualquier otro empleo, si es que se pueden cubrir.
La activación de los desarrolladores se ha ignorado durante demasiado tiempo.
Hemos señalado en numerosos blogs anteriores que se puede recurrir a los desarrolladores para subsanar algunas de estas deficiencias críticas en materia de defensas de ciberseguridad. Lo cierto es que, tradicionalmente, los desarrolladores nunca han recibido formación en ciberseguridad. Su rendimiento profesional se basaba casi exclusivamente en la rapidez y el plazo de implementación. La seguridad se confiaba a los equipos de AppSec, situados más lejos.
Desgraciadamente, no se trata simplemente de cambiar de marcha y pedir a los desarrolladores que de repente empiecen a reforzar la seguridad de sus aplicaciones y programas. Aunque estén dispuestos a realizar estos cambios, y las encuestas han demostrado que muchos de ellos lo están, aún necesitan formación para lograrlo. También necesitan el estímulo y el apoyo de la alta dirección, pero poder beneficiarse de un aprendizaje significativo constituye el primer obstáculo, y a menudo el más importante.
No es casualidad que millones de puestos de trabajo bien remunerados y altamente seguros en el ámbito de la seguridad informática sigan vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a este campo. Es difícil aprender a combatir las amenazas y eliminar las vulnerabilidades del código, y el panorama de las amenazas está en constante evolución. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede lograr de manera eficaz utilizando una formación estática que se queda obsoleta rápidamente, no es memorable y solo tendrá un impacto positivo mínimo, especialmente si estos requisitos se añaden a sus agendas ya sobrecargadas.
Construya un andamio para alcanzar un terreno más elevado.
Enseñar habilidades en ciberseguridad utilizando métodos tradicionales es como intentar construir un rascacielos sin despegar nunca los pies del suelo. No es posible porque los estudiantes no tienen las bases necesarias para dominar los numerosos conceptos de nivel superior de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede emplear el concepto de aprendizaje escalonado.
Cuando se utiliza un enfoque escalonado o «estratificado» para la mejora de las competencias, los temas más generales suelen dividirse en experiencias o conceptos de aprendizaje distintos. Esto garantiza que los estudiantes sean capaces de dominar cada concepto mediante ejercicios e instrucciones adecuados, proporcionando todo el apoyo necesario para cada componente. Los conceptos más recientes y avanzados se añaden a los ya dominados, al igual que se construye un andamio físico a medida que se eleva un edificio. De esta manera, los estudiantes pueden alcanzar niveles de comprensión y adquisición de competencias superiores a los que serían capaces de dominar sin ayuda.
Y al igual que los andamios físicos, este soporte se elimina gradualmente cuando ya no es necesario, con una mayor responsabilidad hacia los estudiantes a medida que se vuelven más competentes.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y la percepción que los alumnos pueden tener de sí mismos cuando se sienten frustrados, intimidados o desanimados al intentar realizar una tarea difícil sin ayuda. Pero también puede ser muy útil cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, resulta extremadamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto frustrante y desalentador, especialmente cuando su arduo trabajo se ve recompensado con correcciones de errores y nuevas críticas.
Cuando los desarrolladores disponen de herramientas que les permiten comprender los principios fundamentales de la codificación segura (empezando generalmente por el Top 10 de la OWASP), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo solucionarlos antes de que se pongan en producción. A partir de ahí, pueden profundizar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de las correcciones adecuadas. Las capas se amplían poco a poco y, cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o el modelado de amenazas, estos avances no parecen tan intimidantes y pueden abordarse con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevas normas para ayudar a los desarrolladores a producir software de mejor calidad. Como ventaja adicional, para las organizaciones cuyo departamento de ingeniería está perfeccionando sus habilidades, cada etapa del proceso, o cada nivel de andamiaje, se traducirá directamente en una mejor ciberseguridad a medida que vayan aprendiendo. No es necesario esperar al final de un curso para ver los resultados.
Es difícil informarse sobre la ciberseguridad, y es casi imposible dominarla sin la ayuda y las instrucciones adecuadas. Adoptar un programa de seguridad acompañado de un aprendizaje estructurado puede ayudarle a sacarle el máximo partido, y las ventajas se harán evidentes casi de inmediato. Las mejoras comenzarán casi inmediatamente y seguirán mejorando continuamente con el tiempo.
Comience a desarrollar desarrolladores eficaces en materia de seguridad con nosotros; descubra:
Cursos
Missions
Formación para desarrolladores
... ¡y mucho más!
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevas normas para ayudar a los desarrolladores a producir software de mejor calidad.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Después de solo unos minutos leyendo las noticias tecnológicas, comprenderá rápidamente lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece estar marcado por la notificación de una violación importante, una nueva vulnerabilidad o una grave amenaza de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los indicadores e informes del sector apuntan a un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará en los próximos años.
Ante estas nuevas amenazas, los agentes de primera línea encargados de la seguridad informática están agotados y faltan efectivos. Aunque los salarios son elevados y es casi indispensable para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones informáticas declararon que su organización sufría una escasez de competencias en ciberseguridad, y el 71 % afirmaron que esta escasez había causado daños directos y cuantificables a sus organizaciones. Solo en Estados Unidos, el informe indica que había más de 520 000 puestos vacantes en ciberseguridad en un ámbito en el que solo hay 940 000 empleados.
En la actualidad, existen alrededor de 3,5 millones de puestos de trabajo sin cubrir en el ámbito de la ciberseguridad en todo el mundo, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes sumas de dinero para contratar y retener a profesionales de alto nivel tienen dificultades para encontrar candidatos adecuados. Por término medio, se necesita un 21 % más para cubrir un puesto de ciberseguridad que cualquier otro empleo, si es que se pueden cubrir.
La activación de los desarrolladores se ha ignorado durante demasiado tiempo.
Hemos señalado en numerosos blogs anteriores que se puede recurrir a los desarrolladores para subsanar algunas de estas deficiencias críticas en materia de defensas de ciberseguridad. Lo cierto es que, tradicionalmente, los desarrolladores nunca han recibido formación en ciberseguridad. Su rendimiento profesional se basaba casi exclusivamente en la rapidez y el plazo de implementación. La seguridad se confiaba a los equipos de AppSec, situados más lejos.
Desgraciadamente, no se trata simplemente de cambiar de marcha y pedir a los desarrolladores que de repente empiecen a reforzar la seguridad de sus aplicaciones y programas. Aunque estén dispuestos a realizar estos cambios, y las encuestas han demostrado que muchos de ellos lo están, aún necesitan formación para lograrlo. También necesitan el estímulo y el apoyo de la alta dirección, pero poder beneficiarse de un aprendizaje significativo constituye el primer obstáculo, y a menudo el más importante.
No es casualidad que millones de puestos de trabajo bien remunerados y altamente seguros en el ámbito de la seguridad informática sigan vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a este campo. Es difícil aprender a combatir las amenazas y eliminar las vulnerabilidades del código, y el panorama de las amenazas está en constante evolución. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede lograr de manera eficaz utilizando una formación estática que se queda obsoleta rápidamente, no es memorable y solo tendrá un impacto positivo mínimo, especialmente si estos requisitos se añaden a sus agendas ya sobrecargadas.
Construya un andamio para alcanzar un terreno más elevado.
Enseñar habilidades en ciberseguridad utilizando métodos tradicionales es como intentar construir un rascacielos sin despegar nunca los pies del suelo. No es posible porque los estudiantes no tienen las bases necesarias para dominar los numerosos conceptos de nivel superior de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede emplear el concepto de aprendizaje escalonado.
Cuando se utiliza un enfoque escalonado o «estratificado» para la mejora de las competencias, los temas más generales suelen dividirse en experiencias o conceptos de aprendizaje distintos. Esto garantiza que los estudiantes sean capaces de dominar cada concepto mediante ejercicios e instrucciones adecuados, proporcionando todo el apoyo necesario para cada componente. Los conceptos más recientes y avanzados se añaden a los ya dominados, al igual que se construye un andamio físico a medida que se eleva un edificio. De esta manera, los estudiantes pueden alcanzar niveles de comprensión y adquisición de competencias superiores a los que serían capaces de dominar sin ayuda.
Y al igual que los andamios físicos, este soporte se elimina gradualmente cuando ya no es necesario, con una mayor responsabilidad hacia los estudiantes a medida que se vuelven más competentes.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y la percepción que los alumnos pueden tener de sí mismos cuando se sienten frustrados, intimidados o desanimados al intentar realizar una tarea difícil sin ayuda. Pero también puede ser muy útil cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, resulta extremadamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto frustrante y desalentador, especialmente cuando su arduo trabajo se ve recompensado con correcciones de errores y nuevas críticas.
Cuando los desarrolladores disponen de herramientas que les permiten comprender los principios fundamentales de la codificación segura (empezando generalmente por el Top 10 de la OWASP), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo solucionarlos antes de que se pongan en producción. A partir de ahí, pueden profundizar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de las correcciones adecuadas. Las capas se amplían poco a poco y, cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o el modelado de amenazas, estos avances no parecen tan intimidantes y pueden abordarse con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevas normas para ayudar a los desarrolladores a producir software de mejor calidad. Como ventaja adicional, para las organizaciones cuyo departamento de ingeniería está perfeccionando sus habilidades, cada etapa del proceso, o cada nivel de andamiaje, se traducirá directamente en una mejor ciberseguridad a medida que vayan aprendiendo. No es necesario esperar al final de un curso para ver los resultados.
Es difícil informarse sobre la ciberseguridad, y es casi imposible dominarla sin la ayuda y las instrucciones adecuadas. Adoptar un programa de seguridad acompañado de un aprendizaje estructurado puede ayudarle a sacarle el máximo partido, y las ventajas se harán evidentes casi de inmediato. Las mejoras comenzarán casi inmediatamente y seguirán mejorando continuamente con el tiempo.
Comience a desarrollar desarrolladores eficaces en materia de seguridad con nosotros; descubra:
Cursos
Missions
Formación para desarrolladores
... ¡y mucho más!
Después de solo unos minutos leyendo las noticias tecnológicas, comprenderá rápidamente lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece estar marcado por la notificación de una violación importante, una nueva vulnerabilidad o una grave amenaza de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los indicadores e informes del sector apuntan a un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará en los próximos años.
Ante estas nuevas amenazas, los agentes de primera línea encargados de la seguridad informática están agotados y faltan efectivos. Aunque los salarios son elevados y es casi indispensable para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones informáticas declararon que su organización sufría una escasez de competencias en ciberseguridad, y el 71 % afirmaron que esta escasez había causado daños directos y cuantificables a sus organizaciones. Solo en Estados Unidos, el informe indica que había más de 520 000 puestos vacantes en ciberseguridad en un ámbito en el que solo hay 940 000 empleados.
En la actualidad, existen alrededor de 3,5 millones de puestos de trabajo sin cubrir en el ámbito de la ciberseguridad en todo el mundo, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes sumas de dinero para contratar y retener a profesionales de alto nivel tienen dificultades para encontrar candidatos adecuados. Por término medio, se necesita un 21 % más para cubrir un puesto de ciberseguridad que cualquier otro empleo, si es que se pueden cubrir.
La activación de los desarrolladores se ha ignorado durante demasiado tiempo.
Hemos señalado en numerosos blogs anteriores que se puede recurrir a los desarrolladores para subsanar algunas de estas deficiencias críticas en materia de defensas de ciberseguridad. Lo cierto es que, tradicionalmente, los desarrolladores nunca han recibido formación en ciberseguridad. Su rendimiento profesional se basaba casi exclusivamente en la rapidez y el plazo de implementación. La seguridad se confiaba a los equipos de AppSec, situados más lejos.
Desgraciadamente, no se trata simplemente de cambiar de marcha y pedir a los desarrolladores que de repente empiecen a reforzar la seguridad de sus aplicaciones y programas. Aunque estén dispuestos a realizar estos cambios, y las encuestas han demostrado que muchos de ellos lo están, aún necesitan formación para lograrlo. También necesitan el estímulo y el apoyo de la alta dirección, pero poder beneficiarse de un aprendizaje significativo constituye el primer obstáculo, y a menudo el más importante.
No es casualidad que millones de puestos de trabajo bien remunerados y altamente seguros en el ámbito de la seguridad informática sigan vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a este campo. Es difícil aprender a combatir las amenazas y eliminar las vulnerabilidades del código, y el panorama de las amenazas está en constante evolución. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede lograr de manera eficaz utilizando una formación estática que se queda obsoleta rápidamente, no es memorable y solo tendrá un impacto positivo mínimo, especialmente si estos requisitos se añaden a sus agendas ya sobrecargadas.
Construya un andamio para alcanzar un terreno más elevado.
Enseñar habilidades en ciberseguridad utilizando métodos tradicionales es como intentar construir un rascacielos sin despegar nunca los pies del suelo. No es posible porque los estudiantes no tienen las bases necesarias para dominar los numerosos conceptos de nivel superior de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede emplear el concepto de aprendizaje escalonado.
Cuando se utiliza un enfoque escalonado o «estratificado» para la mejora de las competencias, los temas más generales suelen dividirse en experiencias o conceptos de aprendizaje distintos. Esto garantiza que los estudiantes sean capaces de dominar cada concepto mediante ejercicios e instrucciones adecuados, proporcionando todo el apoyo necesario para cada componente. Los conceptos más recientes y avanzados se añaden a los ya dominados, al igual que se construye un andamio físico a medida que se eleva un edificio. De esta manera, los estudiantes pueden alcanzar niveles de comprensión y adquisición de competencias superiores a los que serían capaces de dominar sin ayuda.
Y al igual que los andamios físicos, este soporte se elimina gradualmente cuando ya no es necesario, con una mayor responsabilidad hacia los estudiantes a medida que se vuelven más competentes.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y la percepción que los alumnos pueden tener de sí mismos cuando se sienten frustrados, intimidados o desanimados al intentar realizar una tarea difícil sin ayuda. Pero también puede ser muy útil cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, resulta extremadamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto frustrante y desalentador, especialmente cuando su arduo trabajo se ve recompensado con correcciones de errores y nuevas críticas.
Cuando los desarrolladores disponen de herramientas que les permiten comprender los principios fundamentales de la codificación segura (empezando generalmente por el Top 10 de la OWASP), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo solucionarlos antes de que se pongan en producción. A partir de ahí, pueden profundizar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de las correcciones adecuadas. Las capas se amplían poco a poco y, cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o el modelado de amenazas, estos avances no parecen tan intimidantes y pueden abordarse con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevas normas para ayudar a los desarrolladores a producir software de mejor calidad. Como ventaja adicional, para las organizaciones cuyo departamento de ingeniería está perfeccionando sus habilidades, cada etapa del proceso, o cada nivel de andamiaje, se traducirá directamente en una mejor ciberseguridad a medida que vayan aprendiendo. No es necesario esperar al final de un curso para ver los resultados.
Es difícil informarse sobre la ciberseguridad, y es casi imposible dominarla sin la ayuda y las instrucciones adecuadas. Adoptar un programa de seguridad acompañado de un aprendizaje estructurado puede ayudarle a sacarle el máximo partido, y las ventajas se harán evidentes casi de inmediato. Las mejoras comenzarán casi inmediatamente y seguirán mejorando continuamente con el tiempo.
Comience a desarrollar desarrolladores eficaces en materia de seguridad con nosotros; descubra:
Cursos
Missions
Formación para desarrolladores
... ¡y mucho más!
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Después de solo unos minutos leyendo las noticias tecnológicas, comprenderá rápidamente lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece estar marcado por la notificación de una violación importante, una nueva vulnerabilidad o una grave amenaza de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los indicadores e informes del sector apuntan a un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará en los próximos años.
Ante estas nuevas amenazas, los agentes de primera línea encargados de la seguridad informática están agotados y faltan efectivos. Aunque los salarios son elevados y es casi indispensable para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones informáticas declararon que su organización sufría una escasez de competencias en ciberseguridad, y el 71 % afirmaron que esta escasez había causado daños directos y cuantificables a sus organizaciones. Solo en Estados Unidos, el informe indica que había más de 520 000 puestos vacantes en ciberseguridad en un ámbito en el que solo hay 940 000 empleados.
En la actualidad, existen alrededor de 3,5 millones de puestos de trabajo sin cubrir en el ámbito de la ciberseguridad en todo el mundo, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes sumas de dinero para contratar y retener a profesionales de alto nivel tienen dificultades para encontrar candidatos adecuados. Por término medio, se necesita un 21 % más para cubrir un puesto de ciberseguridad que cualquier otro empleo, si es que se pueden cubrir.
La activación de los desarrolladores se ha ignorado durante demasiado tiempo.
Hemos señalado en numerosos blogs anteriores que se puede recurrir a los desarrolladores para subsanar algunas de estas deficiencias críticas en materia de defensas de ciberseguridad. Lo cierto es que, tradicionalmente, los desarrolladores nunca han recibido formación en ciberseguridad. Su rendimiento profesional se basaba casi exclusivamente en la rapidez y el plazo de implementación. La seguridad se confiaba a los equipos de AppSec, situados más lejos.
Desgraciadamente, no se trata simplemente de cambiar de marcha y pedir a los desarrolladores que de repente empiecen a reforzar la seguridad de sus aplicaciones y programas. Aunque estén dispuestos a realizar estos cambios, y las encuestas han demostrado que muchos de ellos lo están, aún necesitan formación para lograrlo. También necesitan el estímulo y el apoyo de la alta dirección, pero poder beneficiarse de un aprendizaje significativo constituye el primer obstáculo, y a menudo el más importante.
No es casualidad que millones de puestos de trabajo bien remunerados y altamente seguros en el ámbito de la seguridad informática sigan vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a este campo. Es difícil aprender a combatir las amenazas y eliminar las vulnerabilidades del código, y el panorama de las amenazas está en constante evolución. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede lograr de manera eficaz utilizando una formación estática que se queda obsoleta rápidamente, no es memorable y solo tendrá un impacto positivo mínimo, especialmente si estos requisitos se añaden a sus agendas ya sobrecargadas.
Construya un andamio para alcanzar un terreno más elevado.
Enseñar habilidades en ciberseguridad utilizando métodos tradicionales es como intentar construir un rascacielos sin despegar nunca los pies del suelo. No es posible porque los estudiantes no tienen las bases necesarias para dominar los numerosos conceptos de nivel superior de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede emplear el concepto de aprendizaje escalonado.
Cuando se utiliza un enfoque escalonado o «estratificado» para la mejora de las competencias, los temas más generales suelen dividirse en experiencias o conceptos de aprendizaje distintos. Esto garantiza que los estudiantes sean capaces de dominar cada concepto mediante ejercicios e instrucciones adecuados, proporcionando todo el apoyo necesario para cada componente. Los conceptos más recientes y avanzados se añaden a los ya dominados, al igual que se construye un andamio físico a medida que se eleva un edificio. De esta manera, los estudiantes pueden alcanzar niveles de comprensión y adquisición de competencias superiores a los que serían capaces de dominar sin ayuda.
Y al igual que los andamios físicos, este soporte se elimina gradualmente cuando ya no es necesario, con una mayor responsabilidad hacia los estudiantes a medida que se vuelven más competentes.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y la percepción que los alumnos pueden tener de sí mismos cuando se sienten frustrados, intimidados o desanimados al intentar realizar una tarea difícil sin ayuda. Pero también puede ser muy útil cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, resulta extremadamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto frustrante y desalentador, especialmente cuando su arduo trabajo se ve recompensado con correcciones de errores y nuevas críticas.
Cuando los desarrolladores disponen de herramientas que les permiten comprender los principios fundamentales de la codificación segura (empezando generalmente por el Top 10 de la OWASP), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo solucionarlos antes de que se pongan en producción. A partir de ahí, pueden profundizar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de las correcciones adecuadas. Las capas se amplían poco a poco y, cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o el modelado de amenazas, estos avances no parecen tan intimidantes y pueden abordarse con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevas normas para ayudar a los desarrolladores a producir software de mejor calidad. Como ventaja adicional, para las organizaciones cuyo departamento de ingeniería está perfeccionando sus habilidades, cada etapa del proceso, o cada nivel de andamiaje, se traducirá directamente en una mejor ciberseguridad a medida que vayan aprendiendo. No es necesario esperar al final de un curso para ver los resultados.
Es difícil informarse sobre la ciberseguridad, y es casi imposible dominarla sin la ayuda y las instrucciones adecuadas. Adoptar un programa de seguridad acompañado de un aprendizaje estructurado puede ayudarle a sacarle el máximo partido, y las ventajas se harán evidentes casi de inmediato. Las mejoras comenzarán casi inmediatamente y seguirán mejorando continuamente con el tiempo.
Comience a desarrollar desarrolladores eficaces en materia de seguridad con nosotros; descubra:
Cursos
Missions
Formación para desarrolladores
... ¡y mucho más!
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
