¿Por qué el aprendizaje por andamiaje puede formar desarrolladores con un alto nivel de seguridad?
Tras unos pocos minutos navegando por las noticias tecnológicas, pronto queda claro lo peligroso que se ha vuelto el panorama de las amenazas. Parece que cada día hay informes sobre vulnerabilidades importantes, nuevas brechas o amenazas graves que los ciberatacantes y los delincuentes aprovechan activamente. Además, casi todos los indicadores e informes del sector muestran un aumento en el número de amenazas cibernéticas, y la mayoría de los expertos predicen que esta tendencia continuará en los próximos años.
Los trabajadores de seguridad informática de primera línea se enfrentan a estas nuevas amenazas con agotamiento y falta de personal. A pesar de los altos salarios y de ser indispensables para casi cualquier empresa u organización, nunca hay suficiente personal de seguridad para cubrir todas las necesidades.En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones tenían una escasez de personal cualificado en ciberseguridad, y el 71 % afirmaron que esta escasez causaba daños directos y cuantificables a sus organizaciones. El informe señala que solo en Estados Unidos hay más de 520 000 puestos vacantes en ciberseguridad en un sector que solo emplea a unas 940 000 personas.
En todo el mundo, actualmente hay alrededor de 3,5 millones de puestos vacantes en ciberseguridad, lo que significa que incluso las organizaciones dispuestas a pagar grandes sumas de dinero para contratar y retener a los mejores profesionales tienen dificultades para encontrar candidatos adecuados. En promedio, se necesita alrededor del 21 % más de tiempo para cubrir un puesto de ciberseguridad, si es que se puede cubrir, que cualquier otro puesto.
Los desarrolladores han sido ignorados durante demasiado tiempo.
Hemos observado que muchos blogs anteriores pueden aprovechar a los desarrolladores para cubrir algunas lagunas clave en la defensa de la ciberseguridad. Sin embargo, tradicionalmente los desarrolladores nunca han recibido formación en ciberseguridad. El rendimiento de su trabajo depende casi por completo de la velocidad y el tiempo de implementación. La seguridad es tarea del futuro equipo de AppSec.
Desafortunadamente, no se trata solo de cambiar de marcha y exigir a los desarrolladores que de repente empiecen a añadir seguridad a sus aplicaciones y programas. Aunque estén dispuestos a realizar estos cambios, y las encuestas indican que muchos de ellos lo están, siguen necesitando formación para lograrlo. También necesitan el estímulo y el apoyo de los altos directivos, pero obtener un aprendizaje significativo es el primer y mayor obstáculo.
Hay una razón por la que hay millones de puestos vacantes en seguridad informática bien remunerados y altamente seguros en todo el mundo. Si el trabajo fuera fácil, todo el mundo se lanzaría a este campo.Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede lograr de manera eficaz con formación estática, ya que esta se queda obsoleta rápidamente, no es memorable y tiene un impacto positivo mínimo, especialmente si se añade a sus agendas ya sobrecargadas.
Construye un andamio para llegar a lugares más altos.
Enseñar habilidades de ciberseguridad utilizando métodos tradicionales es como intentar construir un rascacielos sin poner manos a la obra. Es imposible, ya que los estudiantes no dominan los conceptos básicos necesarios para comprender muchos de los conceptos más avanzados de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede recurrir al concepto de aprendizaje por andamiaje.
Cuando se utilizan andamios o métodos «estratificados» para mejorar las habilidades, los temas más amplios suelen dividirse en experiencias de aprendizaje o conceptos discretos. Esto garantiza que los alumnos puedan dominar cada concepto mediante la práctica y la orientación adecuadas, proporcionando así todo el apoyo necesario para cada componente. Sobre la base de los conceptos ya dominados, se introducen conceptos más nuevos y avanzados, al igual que se construyen andamios físicos a medida que se eleva un edificio.De esta manera, los estudiantes pueden alcanzar un nivel de comprensión y adquisición de habilidades más alto del que podrían alcanzar sin ayuda.
Al igual que los andamios físicos, este tipo de apoyo se va retirando gradualmente cuando ya no es necesario, y a medida que los alumnos adquieren más destreza, asumen más responsabilidades.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y la autopercepción que pueden surgir cuando los estudiantes se sienten frustrados, intimidados o desanimados al intentar tareas difíciles sin ayuda.Sin embargo, también puede ser muy valioso cuando se trata de conceptos extremadamente difíciles, como la ciberseguridad moderna. No se trata en absoluto de tratar a los desarrolladores como si fueran niños, sino que resulta muy útil cuando sus experiencias en el equipo de seguridad pueden generar la misma frustración y desánimo, especialmente cuando su arduo trabajo se ve invalidado por la corrección de errores y nuevas críticas.
Cuando se proporcionan a los desarrolladores herramientas para comprender los fundamentos de la codificación segura (normalmente a partir de los 10 principales de OWASP), pueden ver por sí mismos cómo se producen las vulnerabilidades de seguridad, por qué son peligrosas y cómo se pueden remediar antes de que lleguen a la producción.A partir de ahí, pueden ampliar sus conocimientos resolviendo vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de buenos procedimientos de reparación. Estos niveles se van incrementando poco a poco, y cuando se trata de cuestiones de seguridad avanzadas (como una arquitectura de software insegura o la participación en la modelización de amenazas), estos saltos no parecen tan intimidantes y se pueden abordar con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares de apoyo a los desarrolladores para que puedan producir software de mayor calidad. Como beneficio adicional para las organizaciones de ingeniería que desean mejorar sus habilidades, cada paso o cada nivel de andamiaje se traducirá directamente en una mejor ciberseguridad durante el proceso de aprendizaje. No es necesario esperar a que termine el curso para ver los resultados.
Aprender sobre ciberseguridad es difícil, y sin la ayuda y la orientación adecuadas, es casi imposible dominarla. Combinar los planes de seguridad con el aprendizaje escalonado puede ayudar a aprovechar todo su potencial, y los beneficios se notan casi de inmediato. Las mejoras comenzarán casi de inmediato y seguirán mejorando con el tiempo.
Empieza a crear desarrolladores seguros con nosotros; consulta:
cursos
tareas
formación para desarrolladores
... ¡y mucho más!
Como industria, nunca debemos esperar que los desarrolladores sean expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares de apoyo a los desarrolladores para que puedan producir software de mayor calidad.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Tras unos pocos minutos navegando por las noticias tecnológicas, pronto queda claro lo peligroso que se ha vuelto el panorama de las amenazas. Parece que cada día hay informes sobre vulnerabilidades importantes, nuevas brechas o amenazas graves que los ciberatacantes y los delincuentes aprovechan activamente. Además, casi todos los indicadores e informes del sector muestran un aumento en el número de amenazas cibernéticas, y la mayoría de los expertos predicen que esta tendencia continuará en los próximos años.
Los trabajadores de seguridad informática de primera línea se enfrentan a estas nuevas amenazas con agotamiento y falta de personal. A pesar de los altos salarios y de ser indispensables para casi cualquier empresa u organización, nunca hay suficiente personal de seguridad para cubrir todas las necesidades.En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones tenían una escasez de personal cualificado en ciberseguridad, y el 71 % afirmaron que esta escasez causaba daños directos y cuantificables a sus organizaciones. El informe señala que solo en Estados Unidos hay más de 520 000 puestos vacantes en ciberseguridad en un sector que solo emplea a unas 940 000 personas.
En todo el mundo, actualmente hay alrededor de 3,5 millones de puestos vacantes en ciberseguridad, lo que significa que incluso las organizaciones dispuestas a pagar grandes sumas de dinero para contratar y retener a los mejores profesionales tienen dificultades para encontrar candidatos adecuados. En promedio, se necesita alrededor del 21 % más de tiempo para cubrir un puesto de ciberseguridad, si es que se puede cubrir, que cualquier otro puesto.
Los desarrolladores han sido ignorados durante demasiado tiempo.
Hemos observado que muchos blogs anteriores pueden aprovechar a los desarrolladores para cubrir algunas lagunas clave en la defensa de la ciberseguridad. Sin embargo, tradicionalmente los desarrolladores nunca han recibido formación en ciberseguridad. El rendimiento de su trabajo depende casi por completo de la velocidad y el tiempo de implementación. La seguridad es tarea del futuro equipo de AppSec.
Desafortunadamente, no se trata solo de cambiar de marcha y exigir a los desarrolladores que de repente empiecen a añadir seguridad a sus aplicaciones y programas. Aunque estén dispuestos a realizar estos cambios, y las encuestas indican que muchos de ellos lo están, siguen necesitando formación para lograrlo. También necesitan el estímulo y el apoyo de los altos directivos, pero obtener un aprendizaje significativo es el primer y mayor obstáculo.
Hay una razón por la que hay millones de puestos vacantes en seguridad informática bien remunerados y altamente seguros en todo el mundo. Si el trabajo fuera fácil, todo el mundo se lanzaría a este campo.Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede lograr de manera eficaz con formación estática, ya que esta se queda obsoleta rápidamente, no es memorable y tiene un impacto positivo mínimo, especialmente si se añade a sus agendas ya sobrecargadas.
Construye un andamio para llegar a lugares más altos.
Enseñar habilidades de ciberseguridad utilizando métodos tradicionales es como intentar construir un rascacielos sin poner manos a la obra. Es imposible, ya que los estudiantes no dominan los conceptos básicos necesarios para comprender muchos de los conceptos más avanzados de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede recurrir al concepto de aprendizaje por andamiaje.
Cuando se utilizan andamios o métodos «estratificados» para mejorar las habilidades, los temas más amplios suelen dividirse en experiencias de aprendizaje o conceptos discretos. Esto garantiza que los alumnos puedan dominar cada concepto mediante la práctica y la orientación adecuadas, proporcionando así todo el apoyo necesario para cada componente. Sobre la base de los conceptos ya dominados, se introducen conceptos más nuevos y avanzados, al igual que se construyen andamios físicos a medida que se eleva un edificio.De esta manera, los estudiantes pueden alcanzar un nivel de comprensión y adquisición de habilidades más alto del que podrían alcanzar sin ayuda.
Al igual que los andamios físicos, este tipo de apoyo se va retirando gradualmente cuando ya no es necesario, y a medida que los alumnos adquieren más destreza, asumen más responsabilidades.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y la autopercepción que pueden surgir cuando los estudiantes se sienten frustrados, intimidados o desanimados al intentar tareas difíciles sin ayuda.Sin embargo, también puede ser muy valioso cuando se trata de conceptos extremadamente difíciles, como la ciberseguridad moderna. No se trata en absoluto de tratar a los desarrolladores como si fueran niños, sino que resulta muy útil cuando sus experiencias en el equipo de seguridad pueden generar la misma frustración y desánimo, especialmente cuando su arduo trabajo se ve invalidado por la corrección de errores y nuevas críticas.
Cuando se proporcionan a los desarrolladores herramientas para comprender los fundamentos de la codificación segura (normalmente a partir de los 10 principales de OWASP), pueden ver por sí mismos cómo se producen las vulnerabilidades de seguridad, por qué son peligrosas y cómo se pueden remediar antes de que lleguen a la producción.A partir de ahí, pueden ampliar sus conocimientos resolviendo vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de buenos procedimientos de reparación. Estos niveles se van incrementando poco a poco, y cuando se trata de cuestiones de seguridad avanzadas (como una arquitectura de software insegura o la participación en la modelización de amenazas), estos saltos no parecen tan intimidantes y se pueden abordar con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares de apoyo a los desarrolladores para que puedan producir software de mayor calidad. Como beneficio adicional para las organizaciones de ingeniería que desean mejorar sus habilidades, cada paso o cada nivel de andamiaje se traducirá directamente en una mejor ciberseguridad durante el proceso de aprendizaje. No es necesario esperar a que termine el curso para ver los resultados.
Aprender sobre ciberseguridad es difícil, y sin la ayuda y la orientación adecuadas, es casi imposible dominarla. Combinar los planes de seguridad con el aprendizaje escalonado puede ayudar a aprovechar todo su potencial, y los beneficios se notan casi de inmediato. Las mejoras comenzarán casi de inmediato y seguirán mejorando con el tiempo.
Empieza a crear desarrolladores seguros con nosotros; consulta:
cursos
tareas
formación para desarrolladores
... ¡y mucho más!
Tras unos pocos minutos navegando por las noticias tecnológicas, pronto queda claro lo peligroso que se ha vuelto el panorama de las amenazas. Parece que cada día hay informes sobre vulnerabilidades importantes, nuevas brechas o amenazas graves que los ciberatacantes y los delincuentes aprovechan activamente. Además, casi todos los indicadores e informes del sector muestran un aumento en el número de amenazas cibernéticas, y la mayoría de los expertos predicen que esta tendencia continuará en los próximos años.
Los trabajadores de seguridad informática de primera línea se enfrentan a estas nuevas amenazas con agotamiento y falta de personal. A pesar de los altos salarios y de ser indispensables para casi cualquier empresa u organización, nunca hay suficiente personal de seguridad para cubrir todas las necesidades.En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones tenían una escasez de personal cualificado en ciberseguridad, y el 71 % afirmaron que esta escasez causaba daños directos y cuantificables a sus organizaciones. El informe señala que solo en Estados Unidos hay más de 520 000 puestos vacantes en ciberseguridad en un sector que solo emplea a unas 940 000 personas.
En todo el mundo, actualmente hay alrededor de 3,5 millones de puestos vacantes en ciberseguridad, lo que significa que incluso las organizaciones dispuestas a pagar grandes sumas de dinero para contratar y retener a los mejores profesionales tienen dificultades para encontrar candidatos adecuados. En promedio, se necesita alrededor del 21 % más de tiempo para cubrir un puesto de ciberseguridad, si es que se puede cubrir, que cualquier otro puesto.
Los desarrolladores han sido ignorados durante demasiado tiempo.
Hemos observado que muchos blogs anteriores pueden aprovechar a los desarrolladores para cubrir algunas lagunas clave en la defensa de la ciberseguridad. Sin embargo, tradicionalmente los desarrolladores nunca han recibido formación en ciberseguridad. El rendimiento de su trabajo depende casi por completo de la velocidad y el tiempo de implementación. La seguridad es tarea del futuro equipo de AppSec.
Desafortunadamente, no se trata solo de cambiar de marcha y exigir a los desarrolladores que de repente empiecen a añadir seguridad a sus aplicaciones y programas. Aunque estén dispuestos a realizar estos cambios, y las encuestas indican que muchos de ellos lo están, siguen necesitando formación para lograrlo. También necesitan el estímulo y el apoyo de los altos directivos, pero obtener un aprendizaje significativo es el primer y mayor obstáculo.
Hay una razón por la que hay millones de puestos vacantes en seguridad informática bien remunerados y altamente seguros en todo el mundo. Si el trabajo fuera fácil, todo el mundo se lanzaría a este campo.Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede lograr de manera eficaz con formación estática, ya que esta se queda obsoleta rápidamente, no es memorable y tiene un impacto positivo mínimo, especialmente si se añade a sus agendas ya sobrecargadas.
Construye un andamio para llegar a lugares más altos.
Enseñar habilidades de ciberseguridad utilizando métodos tradicionales es como intentar construir un rascacielos sin poner manos a la obra. Es imposible, ya que los estudiantes no dominan los conceptos básicos necesarios para comprender muchos de los conceptos más avanzados de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede recurrir al concepto de aprendizaje por andamiaje.
Cuando se utilizan andamios o métodos «estratificados» para mejorar las habilidades, los temas más amplios suelen dividirse en experiencias de aprendizaje o conceptos discretos. Esto garantiza que los alumnos puedan dominar cada concepto mediante la práctica y la orientación adecuadas, proporcionando así todo el apoyo necesario para cada componente. Sobre la base de los conceptos ya dominados, se introducen conceptos más nuevos y avanzados, al igual que se construyen andamios físicos a medida que se eleva un edificio.De esta manera, los estudiantes pueden alcanzar un nivel de comprensión y adquisición de habilidades más alto del que podrían alcanzar sin ayuda.
Al igual que los andamios físicos, este tipo de apoyo se va retirando gradualmente cuando ya no es necesario, y a medida que los alumnos adquieren más destreza, asumen más responsabilidades.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y la autopercepción que pueden surgir cuando los estudiantes se sienten frustrados, intimidados o desanimados al intentar tareas difíciles sin ayuda.Sin embargo, también puede ser muy valioso cuando se trata de conceptos extremadamente difíciles, como la ciberseguridad moderna. No se trata en absoluto de tratar a los desarrolladores como si fueran niños, sino que resulta muy útil cuando sus experiencias en el equipo de seguridad pueden generar la misma frustración y desánimo, especialmente cuando su arduo trabajo se ve invalidado por la corrección de errores y nuevas críticas.
Cuando se proporcionan a los desarrolladores herramientas para comprender los fundamentos de la codificación segura (normalmente a partir de los 10 principales de OWASP), pueden ver por sí mismos cómo se producen las vulnerabilidades de seguridad, por qué son peligrosas y cómo se pueden remediar antes de que lleguen a la producción.A partir de ahí, pueden ampliar sus conocimientos resolviendo vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de buenos procedimientos de reparación. Estos niveles se van incrementando poco a poco, y cuando se trata de cuestiones de seguridad avanzadas (como una arquitectura de software insegura o la participación en la modelización de amenazas), estos saltos no parecen tan intimidantes y se pueden abordar con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares de apoyo a los desarrolladores para que puedan producir software de mayor calidad. Como beneficio adicional para las organizaciones de ingeniería que desean mejorar sus habilidades, cada paso o cada nivel de andamiaje se traducirá directamente en una mejor ciberseguridad durante el proceso de aprendizaje. No es necesario esperar a que termine el curso para ver los resultados.
Aprender sobre ciberseguridad es difícil, y sin la ayuda y la orientación adecuadas, es casi imposible dominarla. Combinar los planes de seguridad con el aprendizaje escalonado puede ayudar a aprovechar todo su potencial, y los beneficios se notan casi de inmediato. Las mejoras comenzarán casi de inmediato y seguirán mejorando con el tiempo.
Empieza a crear desarrolladores seguros con nosotros; consulta:
cursos
tareas
formación para desarrolladores
... ¡y mucho más!
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Tras unos pocos minutos navegando por las noticias tecnológicas, pronto queda claro lo peligroso que se ha vuelto el panorama de las amenazas. Parece que cada día hay informes sobre vulnerabilidades importantes, nuevas brechas o amenazas graves que los ciberatacantes y los delincuentes aprovechan activamente. Además, casi todos los indicadores e informes del sector muestran un aumento en el número de amenazas cibernéticas, y la mayoría de los expertos predicen que esta tendencia continuará en los próximos años.
Los trabajadores de seguridad informática de primera línea se enfrentan a estas nuevas amenazas con agotamiento y falta de personal. A pesar de los altos salarios y de ser indispensables para casi cualquier empresa u organización, nunca hay suficiente personal de seguridad para cubrir todas las necesidades.En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones tenían una escasez de personal cualificado en ciberseguridad, y el 71 % afirmaron que esta escasez causaba daños directos y cuantificables a sus organizaciones. El informe señala que solo en Estados Unidos hay más de 520 000 puestos vacantes en ciberseguridad en un sector que solo emplea a unas 940 000 personas.
En todo el mundo, actualmente hay alrededor de 3,5 millones de puestos vacantes en ciberseguridad, lo que significa que incluso las organizaciones dispuestas a pagar grandes sumas de dinero para contratar y retener a los mejores profesionales tienen dificultades para encontrar candidatos adecuados. En promedio, se necesita alrededor del 21 % más de tiempo para cubrir un puesto de ciberseguridad, si es que se puede cubrir, que cualquier otro puesto.
Los desarrolladores han sido ignorados durante demasiado tiempo.
Hemos observado que muchos blogs anteriores pueden aprovechar a los desarrolladores para cubrir algunas lagunas clave en la defensa de la ciberseguridad. Sin embargo, tradicionalmente los desarrolladores nunca han recibido formación en ciberseguridad. El rendimiento de su trabajo depende casi por completo de la velocidad y el tiempo de implementación. La seguridad es tarea del futuro equipo de AppSec.
Desafortunadamente, no se trata solo de cambiar de marcha y exigir a los desarrolladores que de repente empiecen a añadir seguridad a sus aplicaciones y programas. Aunque estén dispuestos a realizar estos cambios, y las encuestas indican que muchos de ellos lo están, siguen necesitando formación para lograrlo. También necesitan el estímulo y el apoyo de los altos directivos, pero obtener un aprendizaje significativo es el primer y mayor obstáculo.
Hay una razón por la que hay millones de puestos vacantes en seguridad informática bien remunerados y altamente seguros en todo el mundo. Si el trabajo fuera fácil, todo el mundo se lanzaría a este campo.Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede lograr de manera eficaz con formación estática, ya que esta se queda obsoleta rápidamente, no es memorable y tiene un impacto positivo mínimo, especialmente si se añade a sus agendas ya sobrecargadas.
Construye un andamio para llegar a lugares más altos.
Enseñar habilidades de ciberseguridad utilizando métodos tradicionales es como intentar construir un rascacielos sin poner manos a la obra. Es imposible, ya que los estudiantes no dominan los conceptos básicos necesarios para comprender muchos de los conceptos más avanzados de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede recurrir al concepto de aprendizaje por andamiaje.
Cuando se utilizan andamios o métodos «estratificados» para mejorar las habilidades, los temas más amplios suelen dividirse en experiencias de aprendizaje o conceptos discretos. Esto garantiza que los alumnos puedan dominar cada concepto mediante la práctica y la orientación adecuadas, proporcionando así todo el apoyo necesario para cada componente. Sobre la base de los conceptos ya dominados, se introducen conceptos más nuevos y avanzados, al igual que se construyen andamios físicos a medida que se eleva un edificio.De esta manera, los estudiantes pueden alcanzar un nivel de comprensión y adquisición de habilidades más alto del que podrían alcanzar sin ayuda.
Al igual que los andamios físicos, este tipo de apoyo se va retirando gradualmente cuando ya no es necesario, y a medida que los alumnos adquieren más destreza, asumen más responsabilidades.
El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y la autopercepción que pueden surgir cuando los estudiantes se sienten frustrados, intimidados o desanimados al intentar tareas difíciles sin ayuda.Sin embargo, también puede ser muy valioso cuando se trata de conceptos extremadamente difíciles, como la ciberseguridad moderna. No se trata en absoluto de tratar a los desarrolladores como si fueran niños, sino que resulta muy útil cuando sus experiencias en el equipo de seguridad pueden generar la misma frustración y desánimo, especialmente cuando su arduo trabajo se ve invalidado por la corrección de errores y nuevas críticas.
Cuando se proporcionan a los desarrolladores herramientas para comprender los fundamentos de la codificación segura (normalmente a partir de los 10 principales de OWASP), pueden ver por sí mismos cómo se producen las vulnerabilidades de seguridad, por qué son peligrosas y cómo se pueden remediar antes de que lleguen a la producción.A partir de ahí, pueden ampliar sus conocimientos resolviendo vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de buenos procedimientos de reparación. Estos niveles se van incrementando poco a poco, y cuando se trata de cuestiones de seguridad avanzadas (como una arquitectura de software insegura o la participación en la modelización de amenazas), estos saltos no parecen tan intimidantes y se pueden abordar con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares de apoyo a los desarrolladores para que puedan producir software de mayor calidad. Como beneficio adicional para las organizaciones de ingeniería que desean mejorar sus habilidades, cada paso o cada nivel de andamiaje se traducirá directamente en una mejor ciberseguridad durante el proceso de aprendizaje. No es necesario esperar a que termine el curso para ver los resultados.
Aprender sobre ciberseguridad es difícil, y sin la ayuda y la orientación adecuadas, es casi imposible dominarla. Combinar los planes de seguridad con el aprendizaje escalonado puede ayudar a aprovechar todo su potencial, y los beneficios se notan casi de inmediato. Las mejoras comenzarán casi de inmediato y seguirán mejorando con el tiempo.
Empieza a crear desarrolladores seguros con nosotros; consulta:
cursos
tareas
formación para desarrolladores
... ¡y mucho más!
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
