Por qué el aprendizaje basado en andamios forma desarrolladores con sólidos conocimientos de seguridad
Con solo leer las noticias tecnológicas durante unos minutos, queda claro lo peligroso que se está volviendo el entorno de amenazas. Cada día parecen llegar informes sobre violaciones graves, nuevas vulnerabilidades o amenazas de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los indicadores y informes del sector apuntan a un aumento del número de amenazas cibernéticas, una tendencia que la mayoría de los expertos prevé que continúe en los próximos años.
Para hacer frente a estas nuevas amenazas, los responsables de la seguridad informática se encuentran en primera línea, donde la escasez de personal y la falta de personal son cada vez más graves. A pesar de que son indispensables para cualquier empresa u organización y de que sus salarios son elevados, nunca hay escasez de personal de seguridad.Según una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones sufren una falta de competencias en ciberseguridad, y el 71 % respondieron que esta carencia ha causado daños directos y cuantificables a sus organizaciones. Según el informe, solo en Estados Unidos hay más de 520 000 puestos vacantes relacionados con la ciberseguridad en un sector que solo da empleo a unas 940 000 personas.
En todo el mundo, actualmente hay alrededor de 3,5 millones de puestos de trabajo relacionados con la ciberseguridad. Estos puestos están sin cubrir. Esto significa que incluso las organizaciones que están dispuestas a pagar grandes sumas de dinero para contratar y retener a los mejores expertos tienen dificultades para encontrar candidatos adecuados. De media, se tarda un 21 % más en cubrir un puesto de ciberseguridad que cualquier otro puesto.
El apoyo a los desarrolladores se ha ignorado durante demasiado tiempo.
He anotado en muchos blogs anteriores que se puede recurrir a los desarrolladores para colmar estas importantes lagunas en la defensa de la ciberseguridad. Sin embargo, hasta ahora, los desarrolladores no habían recibido formación en materia de ciberseguridad. Su capacidad para desempeñar sus funciones se basaba casi exclusivamente en la rapidez y el tiempo necesarios para la implementación. La seguridad era tarea del equipo de seguridad de aplicaciones, que trabajaba más adelante.
Lamentablemente, no se trata simplemente de cambiar la política y pedir a los desarrolladores que empiecen a añadir seguridad a las aplicaciones y programas de forma repentina. Incluso si los desarrolladores estuvieran dispuestos a realizar esos cambios, y aunque las investigaciones revelaran que la mayoría de ellos lo están, se necesitaría formación para llevarlo a cabo. Además, aunque se necesita el apoyo y el estímulo de la alta dirección, la posibilidad de un aprendizaje significativo es el primer obstáculo, y en muchos casos el mayor.
Hay una razón por la que hay millones de puestos de trabajo en seguridad informática bien remunerados y con un alto nivel de seguridad disponibles en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y a eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Incluso los desarrolladores relativamente expertos en tecnologíano es posible impartir una formación estándar eficaz sobre ciberseguridad. Esa formación se imparte rápidamente, no se recuerda y su impacto positivo es mínimo. Esto es especialmente cierto cuando estos requisitos se añaden a una agenda que ya está sobrecargada.
Construye un andamio y llega a la cima.
Enseñar habilidades de ciberseguridad con los métodos tradicionales es como intentar construir un rascacielos sin despegar los pies del suelo. Es imposible, ya que los estudiantes carecen de los fundamentos necesarios para dominar muchos de los conceptos avanzados de un campo tan complejo como la ciberseguridad. Para compensar esta carencia, existe el concepto de «aprendizaje por etapas», que puede resultar útil.
Cuando se utiliza un enfoque escalonado para mejorar las habilidades, es decir, un enfoque «jerárquico», los temas más amplios suelen dividirse en experiencias de aprendizaje y conceptos individuales.De este modo, los estudiantes pueden adquirir cada concepto mediante ejercicios y orientación adecuados, y recibir todo el apoyo necesario para cada elemento. Al igual que se construyen andamios físicos a medida que aumenta la altura de un edificio, los conceptos nuevos y avanzados se superponen a los conceptos ya adquiridos. De este modo, los estudiantes pueden alcanzar un nivel de comprensión y adquirir habilidades que no podrían alcanzar sin ayuda.
Y, al igual que con los andamios físicos, ese apoyo se va retirando gradualmente a medida que deja de ser necesario, y la responsabilidad sobre los alumnos aumenta a medida que estos van adquiriendo destreza.
El aprendizaje basado en andamios se utiliza principalmente para reducir los sentimientos negativos y la percepción de uno mismo que los alumnos pueden experimentar cuando se enfrentan a tareas difíciles sin ayuda y se sienten frustrados, intimidados o desanimados.Sin embargo, también tiene un gran valor cuando se abordan conceptos muy difíciles, como la ciberseguridad moderna. Lejos de tratar a los desarrolladores como si fueran niños, resulta muy útil cuando la experiencia en el equipo de seguridad puede provocar frustración y desánimo, especialmente si sus esfuerzos se devuelven con correcciones de errores y nuevas críticas.
Cuando se proporcionan herramientas para que los desarrolladores comprendan los fundamentos de la codificación segura (normalmente OWASP Top 10), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo corregirlos antes de pasar al entorno de producción.A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de las correcciones adecuadas. Las capas se van añadiendo poco a poco, y en lo que respecta a cuestiones de seguridad avanzadas, como la arquitectura de software insegura y el modelado de amenazas, estos avances no son tan intimidantes y se pueden abordar con precisión.
Como industria, no debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para ayudar a los desarrolladores a crear software de mayor calidad. Como beneficio adicional para las organizaciones que se esfuerzan por mejorar las habilidades de su departamento de ingeniería, cada etapa o nivel del andamiaje conduce directamente a una mayor ciberseguridad a medida que avanza el aprendizaje. No es necesario esperar a que finalice el curso para ver los resultados.
Aprender sobre ciberseguridad es difícil y, sin la ayuda y la orientación adecuadas, es prácticamente imposible. Al incorporar un programa de seguridad como base, se puede aprovechar al máximo y las ventajas se hacen evidentes casi de inmediato. Las mejoras comienzan casi al instante y continúan mejorando con el paso del tiempo.
Empecemos a formar desarrolladores con sólidos conocimientos de seguridad. Consulte la siguiente información.
Cursos
Misión
Formación para desarrolladores
... ¡Y mucho más!
Como industria, no debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para ayudar a los desarrolladores a crear software de mayor calidad.
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa, Sensei Security. A lo largo de su carrera, Matías ha liderado varios proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y ha obtenido más de 10 patentes.Cuando no está frente a su escritorio, Matías imparte cursos avanzados de formación en seguridad de aplicaciones y participa regularmente como ponente en conferencias internacionales como RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías obtuvo un doctorado en Ingeniería Informática en la Universidad de Gante, donde aprendió sobre la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar su funcionamiento interno.
Con solo leer las noticias tecnológicas durante unos minutos, queda claro lo peligroso que se está volviendo el entorno de amenazas. Cada día parecen llegar informes sobre violaciones graves, nuevas vulnerabilidades o amenazas de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los indicadores y informes del sector apuntan a un aumento del número de amenazas cibernéticas, una tendencia que la mayoría de los expertos prevé que continúe en los próximos años.
Para hacer frente a estas nuevas amenazas, los responsables de la seguridad informática se encuentran en primera línea, donde la escasez de personal y la falta de personal son cada vez más graves. A pesar de que son indispensables para cualquier empresa u organización y de que sus salarios son elevados, nunca hay escasez de personal de seguridad.Según una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones sufren una falta de competencias en ciberseguridad, y el 71 % respondieron que esta carencia ha causado daños directos y cuantificables a sus organizaciones. Según el informe, solo en Estados Unidos hay más de 520 000 puestos vacantes relacionados con la ciberseguridad en un sector que solo da empleo a unas 940 000 personas.
En todo el mundo, actualmente hay alrededor de 3,5 millones de puestos de trabajo relacionados con la ciberseguridad. Estos puestos están sin cubrir. Esto significa que incluso las organizaciones que están dispuestas a pagar grandes sumas de dinero para contratar y retener a los mejores expertos tienen dificultades para encontrar candidatos adecuados. De media, se tarda un 21 % más en cubrir un puesto de ciberseguridad que cualquier otro puesto.
El apoyo a los desarrolladores se ha ignorado durante demasiado tiempo.
He anotado en muchos blogs anteriores que se puede recurrir a los desarrolladores para colmar estas importantes lagunas en la defensa de la ciberseguridad. Sin embargo, hasta ahora, los desarrolladores no habían recibido formación en materia de ciberseguridad. Su capacidad para desempeñar sus funciones se basaba casi exclusivamente en la rapidez y el tiempo necesarios para la implementación. La seguridad era tarea del equipo de seguridad de aplicaciones, que trabajaba más adelante.
Lamentablemente, no se trata simplemente de cambiar la política y pedir a los desarrolladores que empiecen a añadir seguridad a las aplicaciones y programas de forma repentina. Incluso si los desarrolladores estuvieran dispuestos a realizar esos cambios, y aunque las investigaciones revelaran que la mayoría de ellos lo están, se necesitaría formación para llevarlo a cabo. Además, aunque se necesita el apoyo y el estímulo de la alta dirección, la posibilidad de un aprendizaje significativo es el primer obstáculo, y en muchos casos el mayor.
Hay una razón por la que hay millones de puestos de trabajo en seguridad informática bien remunerados y con un alto nivel de seguridad disponibles en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y a eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Incluso los desarrolladores relativamente expertos en tecnologíano es posible impartir una formación estándar eficaz sobre ciberseguridad. Esa formación se imparte rápidamente, no se recuerda y su impacto positivo es mínimo. Esto es especialmente cierto cuando estos requisitos se añaden a una agenda que ya está sobrecargada.
Construye un andamio y llega a la cima.
Enseñar habilidades de ciberseguridad con los métodos tradicionales es como intentar construir un rascacielos sin despegar los pies del suelo. Es imposible, ya que los estudiantes carecen de los fundamentos necesarios para dominar muchos de los conceptos avanzados de un campo tan complejo como la ciberseguridad. Para compensar esta carencia, existe el concepto de «aprendizaje por etapas», que puede resultar útil.
Cuando se utiliza un enfoque escalonado para mejorar las habilidades, es decir, un enfoque «jerárquico», los temas más amplios suelen dividirse en experiencias de aprendizaje y conceptos individuales.De este modo, los estudiantes pueden adquirir cada concepto mediante ejercicios y orientación adecuados, y recibir todo el apoyo necesario para cada elemento. Al igual que se construyen andamios físicos a medida que aumenta la altura de un edificio, los conceptos nuevos y avanzados se superponen a los conceptos ya adquiridos. De este modo, los estudiantes pueden alcanzar un nivel de comprensión y adquirir habilidades que no podrían alcanzar sin ayuda.
Y, al igual que con los andamios físicos, ese apoyo se va retirando gradualmente a medida que deja de ser necesario, y la responsabilidad sobre los alumnos aumenta a medida que estos van adquiriendo destreza.
El aprendizaje basado en andamios se utiliza principalmente para reducir los sentimientos negativos y la percepción de uno mismo que los alumnos pueden experimentar cuando se enfrentan a tareas difíciles sin ayuda y se sienten frustrados, intimidados o desanimados.Sin embargo, también tiene un gran valor cuando se abordan conceptos muy difíciles, como la ciberseguridad moderna. Lejos de tratar a los desarrolladores como si fueran niños, resulta muy útil cuando la experiencia en el equipo de seguridad puede provocar frustración y desánimo, especialmente si sus esfuerzos se devuelven con correcciones de errores y nuevas críticas.
Cuando se proporcionan herramientas para que los desarrolladores comprendan los fundamentos de la codificación segura (normalmente OWASP Top 10), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo corregirlos antes de pasar al entorno de producción.A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de las correcciones adecuadas. Las capas se van añadiendo poco a poco, y en lo que respecta a cuestiones de seguridad avanzadas, como la arquitectura de software insegura y el modelado de amenazas, estos avances no son tan intimidantes y se pueden abordar con precisión.
Como industria, no debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para ayudar a los desarrolladores a crear software de mayor calidad. Como beneficio adicional para las organizaciones que se esfuerzan por mejorar las habilidades de su departamento de ingeniería, cada etapa o nivel del andamiaje conduce directamente a una mayor ciberseguridad a medida que avanza el aprendizaje. No es necesario esperar a que finalice el curso para ver los resultados.
Aprender sobre ciberseguridad es difícil y, sin la ayuda y la orientación adecuadas, es prácticamente imposible. Al incorporar un programa de seguridad como base, se puede aprovechar al máximo y las ventajas se hacen evidentes casi de inmediato. Las mejoras comienzan casi al instante y continúan mejorando con el paso del tiempo.
Empecemos a formar desarrolladores con sólidos conocimientos de seguridad. Consulte la siguiente información.
Cursos
Misión
Formación para desarrolladores
... ¡Y mucho más!
Con solo leer las noticias tecnológicas durante unos minutos, queda claro lo peligroso que se está volviendo el entorno de amenazas. Cada día parecen llegar informes sobre violaciones graves, nuevas vulnerabilidades o amenazas de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los indicadores y informes del sector apuntan a un aumento del número de amenazas cibernéticas, una tendencia que la mayoría de los expertos prevé que continúe en los próximos años.
Para hacer frente a estas nuevas amenazas, los responsables de la seguridad informática se encuentran en primera línea, donde la escasez de personal y la falta de personal son cada vez más graves. A pesar de que son indispensables para cualquier empresa u organización y de que sus salarios son elevados, nunca hay escasez de personal de seguridad.Según una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones sufren una falta de competencias en ciberseguridad, y el 71 % respondieron que esta carencia ha causado daños directos y cuantificables a sus organizaciones. Según el informe, solo en Estados Unidos hay más de 520 000 puestos vacantes relacionados con la ciberseguridad en un sector que solo da empleo a unas 940 000 personas.
En todo el mundo, actualmente hay alrededor de 3,5 millones de puestos de trabajo relacionados con la ciberseguridad. Estos puestos están sin cubrir. Esto significa que incluso las organizaciones que están dispuestas a pagar grandes sumas de dinero para contratar y retener a los mejores expertos tienen dificultades para encontrar candidatos adecuados. De media, se tarda un 21 % más en cubrir un puesto de ciberseguridad que cualquier otro puesto.
El apoyo a los desarrolladores se ha ignorado durante demasiado tiempo.
He anotado en muchos blogs anteriores que se puede recurrir a los desarrolladores para colmar estas importantes lagunas en la defensa de la ciberseguridad. Sin embargo, hasta ahora, los desarrolladores no habían recibido formación en materia de ciberseguridad. Su capacidad para desempeñar sus funciones se basaba casi exclusivamente en la rapidez y el tiempo necesarios para la implementación. La seguridad era tarea del equipo de seguridad de aplicaciones, que trabajaba más adelante.
Lamentablemente, no se trata simplemente de cambiar la política y pedir a los desarrolladores que empiecen a añadir seguridad a las aplicaciones y programas de forma repentina. Incluso si los desarrolladores estuvieran dispuestos a realizar esos cambios, y aunque las investigaciones revelaran que la mayoría de ellos lo están, se necesitaría formación para llevarlo a cabo. Además, aunque se necesita el apoyo y el estímulo de la alta dirección, la posibilidad de un aprendizaje significativo es el primer obstáculo, y en muchos casos el mayor.
Hay una razón por la que hay millones de puestos de trabajo en seguridad informática bien remunerados y con un alto nivel de seguridad disponibles en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y a eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Incluso los desarrolladores relativamente expertos en tecnologíano es posible impartir una formación estándar eficaz sobre ciberseguridad. Esa formación se imparte rápidamente, no se recuerda y su impacto positivo es mínimo. Esto es especialmente cierto cuando estos requisitos se añaden a una agenda que ya está sobrecargada.
Construye un andamio y llega a la cima.
Enseñar habilidades de ciberseguridad con los métodos tradicionales es como intentar construir un rascacielos sin despegar los pies del suelo. Es imposible, ya que los estudiantes carecen de los fundamentos necesarios para dominar muchos de los conceptos avanzados de un campo tan complejo como la ciberseguridad. Para compensar esta carencia, existe el concepto de «aprendizaje por etapas», que puede resultar útil.
Cuando se utiliza un enfoque escalonado para mejorar las habilidades, es decir, un enfoque «jerárquico», los temas más amplios suelen dividirse en experiencias de aprendizaje y conceptos individuales.De este modo, los estudiantes pueden adquirir cada concepto mediante ejercicios y orientación adecuados, y recibir todo el apoyo necesario para cada elemento. Al igual que se construyen andamios físicos a medida que aumenta la altura de un edificio, los conceptos nuevos y avanzados se superponen a los conceptos ya adquiridos. De este modo, los estudiantes pueden alcanzar un nivel de comprensión y adquirir habilidades que no podrían alcanzar sin ayuda.
Y, al igual que con los andamios físicos, ese apoyo se va retirando gradualmente a medida que deja de ser necesario, y la responsabilidad sobre los alumnos aumenta a medida que estos van adquiriendo destreza.
El aprendizaje basado en andamios se utiliza principalmente para reducir los sentimientos negativos y la percepción de uno mismo que los alumnos pueden experimentar cuando se enfrentan a tareas difíciles sin ayuda y se sienten frustrados, intimidados o desanimados.Sin embargo, también tiene un gran valor cuando se abordan conceptos muy difíciles, como la ciberseguridad moderna. Lejos de tratar a los desarrolladores como si fueran niños, resulta muy útil cuando la experiencia en el equipo de seguridad puede provocar frustración y desánimo, especialmente si sus esfuerzos se devuelven con correcciones de errores y nuevas críticas.
Cuando se proporcionan herramientas para que los desarrolladores comprendan los fundamentos de la codificación segura (normalmente OWASP Top 10), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo corregirlos antes de pasar al entorno de producción.A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de las correcciones adecuadas. Las capas se van añadiendo poco a poco, y en lo que respecta a cuestiones de seguridad avanzadas, como la arquitectura de software insegura y el modelado de amenazas, estos avances no son tan intimidantes y se pueden abordar con precisión.
Como industria, no debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para ayudar a los desarrolladores a crear software de mayor calidad. Como beneficio adicional para las organizaciones que se esfuerzan por mejorar las habilidades de su departamento de ingeniería, cada etapa o nivel del andamiaje conduce directamente a una mayor ciberseguridad a medida que avanza el aprendizaje. No es necesario esperar a que finalice el curso para ver los resultados.
Aprender sobre ciberseguridad es difícil y, sin la ayuda y la orientación adecuadas, es prácticamente imposible. Al incorporar un programa de seguridad como base, se puede aprovechar al máximo y las ventajas se hacen evidentes casi de inmediato. Las mejoras comienzan casi al instante y continúan mejorando con el paso del tiempo.
Empecemos a formar desarrolladores con sólidos conocimientos de seguridad. Consulte la siguiente información.
Cursos
Misión
Formación para desarrolladores
... ¡Y mucho más!
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa, Sensei Security. A lo largo de su carrera, Matías ha liderado varios proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y ha obtenido más de 10 patentes.Cuando no está frente a su escritorio, Matías imparte cursos avanzados de formación en seguridad de aplicaciones y participa regularmente como ponente en conferencias internacionales como RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías obtuvo un doctorado en Ingeniería Informática en la Universidad de Gante, donde aprendió sobre la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar su funcionamiento interno.
Con solo leer las noticias tecnológicas durante unos minutos, queda claro lo peligroso que se está volviendo el entorno de amenazas. Cada día parecen llegar informes sobre violaciones graves, nuevas vulnerabilidades o amenazas de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los indicadores y informes del sector apuntan a un aumento del número de amenazas cibernéticas, una tendencia que la mayoría de los expertos prevé que continúe en los próximos años.
Para hacer frente a estas nuevas amenazas, los responsables de la seguridad informática se encuentran en primera línea, donde la escasez de personal y la falta de personal son cada vez más graves. A pesar de que son indispensables para cualquier empresa u organización y de que sus salarios son elevados, nunca hay escasez de personal de seguridad.Según una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones sufren una falta de competencias en ciberseguridad, y el 71 % respondieron que esta carencia ha causado daños directos y cuantificables a sus organizaciones. Según el informe, solo en Estados Unidos hay más de 520 000 puestos vacantes relacionados con la ciberseguridad en un sector que solo da empleo a unas 940 000 personas.
En todo el mundo, actualmente hay alrededor de 3,5 millones de puestos de trabajo relacionados con la ciberseguridad. Estos puestos están sin cubrir. Esto significa que incluso las organizaciones que están dispuestas a pagar grandes sumas de dinero para contratar y retener a los mejores expertos tienen dificultades para encontrar candidatos adecuados. De media, se tarda un 21 % más en cubrir un puesto de ciberseguridad que cualquier otro puesto.
El apoyo a los desarrolladores se ha ignorado durante demasiado tiempo.
He anotado en muchos blogs anteriores que se puede recurrir a los desarrolladores para colmar estas importantes lagunas en la defensa de la ciberseguridad. Sin embargo, hasta ahora, los desarrolladores no habían recibido formación en materia de ciberseguridad. Su capacidad para desempeñar sus funciones se basaba casi exclusivamente en la rapidez y el tiempo necesarios para la implementación. La seguridad era tarea del equipo de seguridad de aplicaciones, que trabajaba más adelante.
Lamentablemente, no se trata simplemente de cambiar la política y pedir a los desarrolladores que empiecen a añadir seguridad a las aplicaciones y programas de forma repentina. Incluso si los desarrolladores estuvieran dispuestos a realizar esos cambios, y aunque las investigaciones revelaran que la mayoría de ellos lo están, se necesitaría formación para llevarlo a cabo. Además, aunque se necesita el apoyo y el estímulo de la alta dirección, la posibilidad de un aprendizaje significativo es el primer obstáculo, y en muchos casos el mayor.
Hay una razón por la que hay millones de puestos de trabajo en seguridad informática bien remunerados y con un alto nivel de seguridad disponibles en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y a eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Incluso los desarrolladores relativamente expertos en tecnologíano es posible impartir una formación estándar eficaz sobre ciberseguridad. Esa formación se imparte rápidamente, no se recuerda y su impacto positivo es mínimo. Esto es especialmente cierto cuando estos requisitos se añaden a una agenda que ya está sobrecargada.
Construye un andamio y llega a la cima.
Enseñar habilidades de ciberseguridad con los métodos tradicionales es como intentar construir un rascacielos sin despegar los pies del suelo. Es imposible, ya que los estudiantes carecen de los fundamentos necesarios para dominar muchos de los conceptos avanzados de un campo tan complejo como la ciberseguridad. Para compensar esta carencia, existe el concepto de «aprendizaje por etapas», que puede resultar útil.
Cuando se utiliza un enfoque escalonado para mejorar las habilidades, es decir, un enfoque «jerárquico», los temas más amplios suelen dividirse en experiencias de aprendizaje y conceptos individuales.De este modo, los estudiantes pueden adquirir cada concepto mediante ejercicios y orientación adecuados, y recibir todo el apoyo necesario para cada elemento. Al igual que se construyen andamios físicos a medida que aumenta la altura de un edificio, los conceptos nuevos y avanzados se superponen a los conceptos ya adquiridos. De este modo, los estudiantes pueden alcanzar un nivel de comprensión y adquirir habilidades que no podrían alcanzar sin ayuda.
Y, al igual que con los andamios físicos, ese apoyo se va retirando gradualmente a medida que deja de ser necesario, y la responsabilidad sobre los alumnos aumenta a medida que estos van adquiriendo destreza.
El aprendizaje basado en andamios se utiliza principalmente para reducir los sentimientos negativos y la percepción de uno mismo que los alumnos pueden experimentar cuando se enfrentan a tareas difíciles sin ayuda y se sienten frustrados, intimidados o desanimados.Sin embargo, también tiene un gran valor cuando se abordan conceptos muy difíciles, como la ciberseguridad moderna. Lejos de tratar a los desarrolladores como si fueran niños, resulta muy útil cuando la experiencia en el equipo de seguridad puede provocar frustración y desánimo, especialmente si sus esfuerzos se devuelven con correcciones de errores y nuevas críticas.
Cuando se proporcionan herramientas para que los desarrolladores comprendan los fundamentos de la codificación segura (normalmente OWASP Top 10), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo corregirlos antes de pasar al entorno de producción.A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de las correcciones adecuadas. Las capas se van añadiendo poco a poco, y en lo que respecta a cuestiones de seguridad avanzadas, como la arquitectura de software insegura y el modelado de amenazas, estos avances no son tan intimidantes y se pueden abordar con precisión.
Como industria, no debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para ayudar a los desarrolladores a crear software de mayor calidad. Como beneficio adicional para las organizaciones que se esfuerzan por mejorar las habilidades de su departamento de ingeniería, cada etapa o nivel del andamiaje conduce directamente a una mayor ciberseguridad a medida que avanza el aprendizaje. No es necesario esperar a que finalice el curso para ver los resultados.
Aprender sobre ciberseguridad es difícil y, sin la ayuda y la orientación adecuadas, es prácticamente imposible. Al incorporar un programa de seguridad como base, se puede aprovechar al máximo y las ventajas se hacen evidentes casi de inmediato. Las mejoras comienzan casi al instante y continúan mejorando con el paso del tiempo.
Empecemos a formar desarrolladores con sólidos conocimientos de seguridad. Consulte la siguiente información.
Cursos
Misión
Formación para desarrolladores
... ¡Y mucho más!
Índice
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
