¿Por qué el aprendizaje por andamiaje permite reforzar la seguridad de los desarrolladores?
Después de solo unos minutos leyendo las noticias tecnológicas, comprenderá rápidamente lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece estar marcado por la notificación de una violación importante, una nueva vulnerabilidad o una grave amenaza de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los indicadores e informes del sector apuntan a un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará en los próximos años.
Ante estas nuevas amenazas, los agentes de primera línea encargados de la seguridad informática están agotados y faltan efectivos. Aunque los salarios son elevados y es casi indispensable para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones informáticas declararon que su organización sufría una escasez de competencias en ciberseguridad, y el 71 % afirmaron que esta escasez había causado daños directos y cuantificables a sus organizaciones. Solo en Estados Unidos, el informe indica que había más de 520 000 puestos vacantes en ciberseguridad en un ámbito en el que solo hay 940 000 empleados.
En la actualidad, existen alrededor de 3,5 millones de puestos de trabajo sin cubrir en el ámbito de la ciberseguridad en todo el mundo, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes sumas de dinero para contratar y retener a profesionales de alto nivel tienen dificultades para encontrar candidatos adecuados. Por término medio, se necesita un 21 % más para cubrir un puesto de ciberseguridad que cualquier otro empleo, si es que se pueden cubrir.
La activación de los desarrolladores se ha ignorado durante demasiado tiempo.
Hemos señalado en numerosos blogs anteriores que se puede recurrir a los desarrolladores para subsanar algunas de estas deficiencias críticas en materia de defensas de ciberseguridad. Lo cierto es que, tradicionalmente, los desarrolladores nunca han recibido formación en ciberseguridad. Su rendimiento profesional se basaba casi exclusivamente en la rapidez y el plazo de implementación. La seguridad se confiaba a los equipos de AppSec, situados más lejos.
Desgraciadamente, no se trata simplemente de cambiar de marcha y pedir a los desarrolladores que de repente empiecen a reforzar la seguridad de sus aplicaciones y programas. Aunque estén dispuestos a realizar estos cambios, y las encuestas han demostrado que muchos de ellos lo están, aún necesitan formación para lograrlo. También necesitan el estímulo y el apoyo de la alta dirección, pero poder beneficiarse de un aprendizaje significativo constituye el primer obstáculo, y a menudo el más importante.
No es casualidad que millones de puestos de trabajo bien remunerados y altamente seguros en el ámbito de la seguridad informática sigan vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a este campo. Es difícil aprender a combatir las amenazas y eliminar las vulnerabilidades del código, y el panorama de las amenazas está en constante evolución. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede lograr de manera eficaz utilizando una formación estática que se queda obsoleta rápidamente, no es memorable y solo tendrá un impacto positivo mínimo, especialmente si estos requisitos se añaden a sus agendas ya sobrecargadas.
Construya un andamio para alcanzar un terreno más elevado.
Enseñar habilidades en ciberseguridad utilizando métodos tradicionales es como intentar construir un rascacielos sin despegar nunca los pies del suelo. No es posible porque los estudiantes no tienen las bases necesarias para dominar los numerosos conceptos de nivel superior de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede emplear el concepto de aprendizaje escalonado.
Cuando se utiliza un enfoque escalonado o «estratificado» para la mejora de las competencias, los temas más generales suelen dividirse en experiencias o conceptos de aprendizaje distintos. Esto garantiza que los estudiantes sean capaces de dominar cada concepto mediante ejercicios e instrucciones adecuados, proporcionando todo el apoyo necesario para cada componente. Los conceptos más recientes y avanzados se añaden a los ya dominados, al igual que se construye un andamio físico a medida que se eleva un edificio. De esta manera, los estudiantes pueden alcanzar niveles de comprensión y adquisición de competencias superiores a los que serían capaces de dominar sin ayuda.
Y al igual que los andamios físicos, este soporte se elimina gradualmente cuando ya no es necesario, con una mayor responsabilidad hacia los estudiantes a medida que se vuelven más competentes.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y la percepción que los alumnos pueden tener de sí mismos cuando se sienten frustrados, intimidados o desanimados al intentar realizar una tarea difícil sin ayuda. Pero también puede ser muy útil cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, resulta extremadamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto frustrante y desalentador, especialmente cuando su arduo trabajo se ve recompensado con correcciones de errores y nuevas críticas.
Cuando los desarrolladores disponen de herramientas que les permiten comprender los principios fundamentales de la codificación segura (empezando generalmente por el Top 10 de la OWASP), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo solucionarlos antes de que se pongan en producción. A partir de ahí, pueden profundizar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de las correcciones adecuadas. Las capas se amplían poco a poco y, cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o el modelado de amenazas, estos avances no parecen tan intimidantes y pueden abordarse con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevas normas para ayudar a los desarrolladores a producir software de mejor calidad. Como ventaja adicional, para las organizaciones cuyo departamento de ingeniería está perfeccionando sus habilidades, cada etapa del proceso, o cada nivel de andamiaje, se traducirá directamente en una mejor ciberseguridad a medida que vayan aprendiendo. No es necesario esperar al final de un curso para ver los resultados.
Es difícil informarse sobre la ciberseguridad, y es casi imposible dominarla sin la ayuda y las instrucciones adecuadas. Adoptar un programa de seguridad acompañado de un aprendizaje estructurado puede ayudarle a sacarle el máximo partido, y las ventajas se harán evidentes casi de inmediato. Las mejoras comenzarán casi inmediatamente y seguirán mejorando continuamente con el tiempo.
Comience a desarrollar desarrolladores eficaces en materia de seguridad con nosotros; descubra:
Cursos
Missions
Formación para desarrolladores
... ¡y mucho más!
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevas normas para ayudar a los desarrolladores a producir software de mejor calidad.
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Después de solo unos minutos leyendo las noticias tecnológicas, comprenderá rápidamente lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece estar marcado por la notificación de una violación importante, una nueva vulnerabilidad o una grave amenaza de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los indicadores e informes del sector apuntan a un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará en los próximos años.
Ante estas nuevas amenazas, los agentes de primera línea encargados de la seguridad informática están agotados y faltan efectivos. Aunque los salarios son elevados y es casi indispensable para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones informáticas declararon que su organización sufría una escasez de competencias en ciberseguridad, y el 71 % afirmaron que esta escasez había causado daños directos y cuantificables a sus organizaciones. Solo en Estados Unidos, el informe indica que había más de 520 000 puestos vacantes en ciberseguridad en un ámbito en el que solo hay 940 000 empleados.
En la actualidad, existen alrededor de 3,5 millones de puestos de trabajo sin cubrir en el ámbito de la ciberseguridad en todo el mundo, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes sumas de dinero para contratar y retener a profesionales de alto nivel tienen dificultades para encontrar candidatos adecuados. Por término medio, se necesita un 21 % más para cubrir un puesto de ciberseguridad que cualquier otro empleo, si es que se pueden cubrir.
La activación de los desarrolladores se ha ignorado durante demasiado tiempo.
Hemos señalado en numerosos blogs anteriores que se puede recurrir a los desarrolladores para subsanar algunas de estas deficiencias críticas en materia de defensas de ciberseguridad. Lo cierto es que, tradicionalmente, los desarrolladores nunca han recibido formación en ciberseguridad. Su rendimiento profesional se basaba casi exclusivamente en la rapidez y el plazo de implementación. La seguridad se confiaba a los equipos de AppSec, situados más lejos.
Desgraciadamente, no se trata simplemente de cambiar de marcha y pedir a los desarrolladores que de repente empiecen a reforzar la seguridad de sus aplicaciones y programas. Aunque estén dispuestos a realizar estos cambios, y las encuestas han demostrado que muchos de ellos lo están, aún necesitan formación para lograrlo. También necesitan el estímulo y el apoyo de la alta dirección, pero poder beneficiarse de un aprendizaje significativo constituye el primer obstáculo, y a menudo el más importante.
No es casualidad que millones de puestos de trabajo bien remunerados y altamente seguros en el ámbito de la seguridad informática sigan vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a este campo. Es difícil aprender a combatir las amenazas y eliminar las vulnerabilidades del código, y el panorama de las amenazas está en constante evolución. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede lograr de manera eficaz utilizando una formación estática que se queda obsoleta rápidamente, no es memorable y solo tendrá un impacto positivo mínimo, especialmente si estos requisitos se añaden a sus agendas ya sobrecargadas.
Construya un andamio para alcanzar un terreno más elevado.
Enseñar habilidades en ciberseguridad utilizando métodos tradicionales es como intentar construir un rascacielos sin despegar nunca los pies del suelo. No es posible porque los estudiantes no tienen las bases necesarias para dominar los numerosos conceptos de nivel superior de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede emplear el concepto de aprendizaje escalonado.
Cuando se utiliza un enfoque escalonado o «estratificado» para la mejora de las competencias, los temas más generales suelen dividirse en experiencias o conceptos de aprendizaje distintos. Esto garantiza que los estudiantes sean capaces de dominar cada concepto mediante ejercicios e instrucciones adecuados, proporcionando todo el apoyo necesario para cada componente. Los conceptos más recientes y avanzados se añaden a los ya dominados, al igual que se construye un andamio físico a medida que se eleva un edificio. De esta manera, los estudiantes pueden alcanzar niveles de comprensión y adquisición de competencias superiores a los que serían capaces de dominar sin ayuda.
Y al igual que los andamios físicos, este soporte se elimina gradualmente cuando ya no es necesario, con una mayor responsabilidad hacia los estudiantes a medida que se vuelven más competentes.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y la percepción que los alumnos pueden tener de sí mismos cuando se sienten frustrados, intimidados o desanimados al intentar realizar una tarea difícil sin ayuda. Pero también puede ser muy útil cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, resulta extremadamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto frustrante y desalentador, especialmente cuando su arduo trabajo se ve recompensado con correcciones de errores y nuevas críticas.
Cuando los desarrolladores disponen de herramientas que les permiten comprender los principios fundamentales de la codificación segura (empezando generalmente por el Top 10 de la OWASP), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo solucionarlos antes de que se pongan en producción. A partir de ahí, pueden profundizar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de las correcciones adecuadas. Las capas se amplían poco a poco y, cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o el modelado de amenazas, estos avances no parecen tan intimidantes y pueden abordarse con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevas normas para ayudar a los desarrolladores a producir software de mejor calidad. Como ventaja adicional, para las organizaciones cuyo departamento de ingeniería está perfeccionando sus habilidades, cada etapa del proceso, o cada nivel de andamiaje, se traducirá directamente en una mejor ciberseguridad a medida que vayan aprendiendo. No es necesario esperar al final de un curso para ver los resultados.
Es difícil informarse sobre la ciberseguridad, y es casi imposible dominarla sin la ayuda y las instrucciones adecuadas. Adoptar un programa de seguridad acompañado de un aprendizaje estructurado puede ayudarle a sacarle el máximo partido, y las ventajas se harán evidentes casi de inmediato. Las mejoras comenzarán casi inmediatamente y seguirán mejorando continuamente con el tiempo.
Comience a desarrollar desarrolladores eficaces en materia de seguridad con nosotros; descubra:
Cursos
Missions
Formación para desarrolladores
... ¡y mucho más!
Después de solo unos minutos leyendo las noticias tecnológicas, comprenderá rápidamente lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece estar marcado por la notificación de una violación importante, una nueva vulnerabilidad o una grave amenaza de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los indicadores e informes del sector apuntan a un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará en los próximos años.
Ante estas nuevas amenazas, los agentes de primera línea encargados de la seguridad informática están agotados y faltan efectivos. Aunque los salarios son elevados y es casi indispensable para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones informáticas declararon que su organización sufría una escasez de competencias en ciberseguridad, y el 71 % afirmaron que esta escasez había causado daños directos y cuantificables a sus organizaciones. Solo en Estados Unidos, el informe indica que había más de 520 000 puestos vacantes en ciberseguridad en un ámbito en el que solo hay 940 000 empleados.
En la actualidad, existen alrededor de 3,5 millones de puestos de trabajo sin cubrir en el ámbito de la ciberseguridad en todo el mundo, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes sumas de dinero para contratar y retener a profesionales de alto nivel tienen dificultades para encontrar candidatos adecuados. Por término medio, se necesita un 21 % más para cubrir un puesto de ciberseguridad que cualquier otro empleo, si es que se pueden cubrir.
La activación de los desarrolladores se ha ignorado durante demasiado tiempo.
Hemos señalado en numerosos blogs anteriores que se puede recurrir a los desarrolladores para subsanar algunas de estas deficiencias críticas en materia de defensas de ciberseguridad. Lo cierto es que, tradicionalmente, los desarrolladores nunca han recibido formación en ciberseguridad. Su rendimiento profesional se basaba casi exclusivamente en la rapidez y el plazo de implementación. La seguridad se confiaba a los equipos de AppSec, situados más lejos.
Desgraciadamente, no se trata simplemente de cambiar de marcha y pedir a los desarrolladores que de repente empiecen a reforzar la seguridad de sus aplicaciones y programas. Aunque estén dispuestos a realizar estos cambios, y las encuestas han demostrado que muchos de ellos lo están, aún necesitan formación para lograrlo. También necesitan el estímulo y el apoyo de la alta dirección, pero poder beneficiarse de un aprendizaje significativo constituye el primer obstáculo, y a menudo el más importante.
No es casualidad que millones de puestos de trabajo bien remunerados y altamente seguros en el ámbito de la seguridad informática sigan vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a este campo. Es difícil aprender a combatir las amenazas y eliminar las vulnerabilidades del código, y el panorama de las amenazas está en constante evolución. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede lograr de manera eficaz utilizando una formación estática que se queda obsoleta rápidamente, no es memorable y solo tendrá un impacto positivo mínimo, especialmente si estos requisitos se añaden a sus agendas ya sobrecargadas.
Construya un andamio para alcanzar un terreno más elevado.
Enseñar habilidades en ciberseguridad utilizando métodos tradicionales es como intentar construir un rascacielos sin despegar nunca los pies del suelo. No es posible porque los estudiantes no tienen las bases necesarias para dominar los numerosos conceptos de nivel superior de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede emplear el concepto de aprendizaje escalonado.
Cuando se utiliza un enfoque escalonado o «estratificado» para la mejora de las competencias, los temas más generales suelen dividirse en experiencias o conceptos de aprendizaje distintos. Esto garantiza que los estudiantes sean capaces de dominar cada concepto mediante ejercicios e instrucciones adecuados, proporcionando todo el apoyo necesario para cada componente. Los conceptos más recientes y avanzados se añaden a los ya dominados, al igual que se construye un andamio físico a medida que se eleva un edificio. De esta manera, los estudiantes pueden alcanzar niveles de comprensión y adquisición de competencias superiores a los que serían capaces de dominar sin ayuda.
Y al igual que los andamios físicos, este soporte se elimina gradualmente cuando ya no es necesario, con una mayor responsabilidad hacia los estudiantes a medida que se vuelven más competentes.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y la percepción que los alumnos pueden tener de sí mismos cuando se sienten frustrados, intimidados o desanimados al intentar realizar una tarea difícil sin ayuda. Pero también puede ser muy útil cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, resulta extremadamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto frustrante y desalentador, especialmente cuando su arduo trabajo se ve recompensado con correcciones de errores y nuevas críticas.
Cuando los desarrolladores disponen de herramientas que les permiten comprender los principios fundamentales de la codificación segura (empezando generalmente por el Top 10 de la OWASP), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo solucionarlos antes de que se pongan en producción. A partir de ahí, pueden profundizar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de las correcciones adecuadas. Las capas se amplían poco a poco y, cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o el modelado de amenazas, estos avances no parecen tan intimidantes y pueden abordarse con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevas normas para ayudar a los desarrolladores a producir software de mejor calidad. Como ventaja adicional, para las organizaciones cuyo departamento de ingeniería está perfeccionando sus habilidades, cada etapa del proceso, o cada nivel de andamiaje, se traducirá directamente en una mejor ciberseguridad a medida que vayan aprendiendo. No es necesario esperar al final de un curso para ver los resultados.
Es difícil informarse sobre la ciberseguridad, y es casi imposible dominarla sin la ayuda y las instrucciones adecuadas. Adoptar un programa de seguridad acompañado de un aprendizaje estructurado puede ayudarle a sacarle el máximo partido, y las ventajas se harán evidentes casi de inmediato. Las mejoras comenzarán casi inmediatamente y seguirán mejorando continuamente con el tiempo.
Comience a desarrollar desarrolladores eficaces en materia de seguridad con nosotros; descubra:
Cursos
Missions
Formación para desarrolladores
... ¡y mucho más!
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Después de solo unos minutos leyendo las noticias tecnológicas, comprenderá rápidamente lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece estar marcado por la notificación de una violación importante, una nueva vulnerabilidad o una grave amenaza de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los indicadores e informes del sector apuntan a un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará en los próximos años.
Ante estas nuevas amenazas, los agentes de primera línea encargados de la seguridad informática están agotados y faltan efectivos. Aunque los salarios son elevados y es casi indispensable para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones informáticas declararon que su organización sufría una escasez de competencias en ciberseguridad, y el 71 % afirmaron que esta escasez había causado daños directos y cuantificables a sus organizaciones. Solo en Estados Unidos, el informe indica que había más de 520 000 puestos vacantes en ciberseguridad en un ámbito en el que solo hay 940 000 empleados.
En la actualidad, existen alrededor de 3,5 millones de puestos de trabajo sin cubrir en el ámbito de la ciberseguridad en todo el mundo, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes sumas de dinero para contratar y retener a profesionales de alto nivel tienen dificultades para encontrar candidatos adecuados. Por término medio, se necesita un 21 % más para cubrir un puesto de ciberseguridad que cualquier otro empleo, si es que se pueden cubrir.
La activación de los desarrolladores se ha ignorado durante demasiado tiempo.
Hemos señalado en numerosos blogs anteriores que se puede recurrir a los desarrolladores para subsanar algunas de estas deficiencias críticas en materia de defensas de ciberseguridad. Lo cierto es que, tradicionalmente, los desarrolladores nunca han recibido formación en ciberseguridad. Su rendimiento profesional se basaba casi exclusivamente en la rapidez y el plazo de implementación. La seguridad se confiaba a los equipos de AppSec, situados más lejos.
Desgraciadamente, no se trata simplemente de cambiar de marcha y pedir a los desarrolladores que de repente empiecen a reforzar la seguridad de sus aplicaciones y programas. Aunque estén dispuestos a realizar estos cambios, y las encuestas han demostrado que muchos de ellos lo están, aún necesitan formación para lograrlo. También necesitan el estímulo y el apoyo de la alta dirección, pero poder beneficiarse de un aprendizaje significativo constituye el primer obstáculo, y a menudo el más importante.
No es casualidad que millones de puestos de trabajo bien remunerados y altamente seguros en el ámbito de la seguridad informática sigan vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a este campo. Es difícil aprender a combatir las amenazas y eliminar las vulnerabilidades del código, y el panorama de las amenazas está en constante evolución. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede lograr de manera eficaz utilizando una formación estática que se queda obsoleta rápidamente, no es memorable y solo tendrá un impacto positivo mínimo, especialmente si estos requisitos se añaden a sus agendas ya sobrecargadas.
Construya un andamio para alcanzar un terreno más elevado.
Enseñar habilidades en ciberseguridad utilizando métodos tradicionales es como intentar construir un rascacielos sin despegar nunca los pies del suelo. No es posible porque los estudiantes no tienen las bases necesarias para dominar los numerosos conceptos de nivel superior de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede emplear el concepto de aprendizaje escalonado.
Cuando se utiliza un enfoque escalonado o «estratificado» para la mejora de las competencias, los temas más generales suelen dividirse en experiencias o conceptos de aprendizaje distintos. Esto garantiza que los estudiantes sean capaces de dominar cada concepto mediante ejercicios e instrucciones adecuados, proporcionando todo el apoyo necesario para cada componente. Los conceptos más recientes y avanzados se añaden a los ya dominados, al igual que se construye un andamio físico a medida que se eleva un edificio. De esta manera, los estudiantes pueden alcanzar niveles de comprensión y adquisición de competencias superiores a los que serían capaces de dominar sin ayuda.
Y al igual que los andamios físicos, este soporte se elimina gradualmente cuando ya no es necesario, con una mayor responsabilidad hacia los estudiantes a medida que se vuelven más competentes.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y la percepción que los alumnos pueden tener de sí mismos cuando se sienten frustrados, intimidados o desanimados al intentar realizar una tarea difícil sin ayuda. Pero también puede ser muy útil cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, resulta extremadamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto frustrante y desalentador, especialmente cuando su arduo trabajo se ve recompensado con correcciones de errores y nuevas críticas.
Cuando los desarrolladores disponen de herramientas que les permiten comprender los principios fundamentales de la codificación segura (empezando generalmente por el Top 10 de la OWASP), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo solucionarlos antes de que se pongan en producción. A partir de ahí, pueden profundizar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de las correcciones adecuadas. Las capas se amplían poco a poco y, cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o el modelado de amenazas, estos avances no parecen tan intimidantes y pueden abordarse con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevas normas para ayudar a los desarrolladores a producir software de mejor calidad. Como ventaja adicional, para las organizaciones cuyo departamento de ingeniería está perfeccionando sus habilidades, cada etapa del proceso, o cada nivel de andamiaje, se traducirá directamente en una mejor ciberseguridad a medida que vayan aprendiendo. No es necesario esperar al final de un curso para ver los resultados.
Es difícil informarse sobre la ciberseguridad, y es casi imposible dominarla sin la ayuda y las instrucciones adecuadas. Adoptar un programa de seguridad acompañado de un aprendizaje estructurado puede ayudarle a sacarle el máximo partido, y las ventajas se harán evidentes casi de inmediato. Las mejoras comenzarán casi inmediatamente y seguirán mejorando continuamente con el tiempo.
Comience a desarrollar desarrolladores eficaces en materia de seguridad con nosotros; descubra:
Cursos
Missions
Formación para desarrolladores
... ¡y mucho más!
Índice
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
El poder de la seguridad de aplicaciones OpenText + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
Recursos para ayudarle a empezar
.png)
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.