Aprendizaje práctico y contextual: la forma sobrealimentada de entrenar su cerebro para la seguridad
Lo siento, tengo que dar una mala noticia.
La formación tradicional ha muerto.
Bueno, está bien, no lo es... pero probablemente debería serlo. Una y otra vez, los estudios han demostrado que meter a un grupo de personas en el aula para que aprendan algo nuevo, finalicen una tarea de cumplimiento o se vuelvan a capacitar es una de las formas más ineficaces de que las personas reciban una educación. Y en lo que respecta a la formación empresarial, esas estadísticas no mejoran. La Harvard Business Review publicó un estudio sobre la eficacia de la formación presencial para los nuevos empleados de grandes empresas, y descubrió que este método de aprendizaje requería un promedio de de ocho a doce meses para que los nuevos empleados estén al día y sean productivos. Eso es un muy mucho tiempo para utilizar al máximo las habilidades de una persona (y mucho tiempo para sentirse cómodo, si eres el nuevo empleado). Hoy en día, la mayoría de los lugares no disponen de ese tiempo; inevitablemente, se ahorran gastos, las personas no reciben la formación que necesitan y una empresa pierde mucho valor que podría obtener mucho antes.
Realmente sorprende que muchos lugares sigan confiando en las aulas, los libros de texto aburridos y la abrumadora formación en vídeo para que sus mejores y más brillantes personas se familiaricen con las mejores prácticas o nuevas iniciativas de la empresa, especialmente cuando hay una forma de aprender mucho mejor, más atractiva y más valiosa: la formación contextual. Resulta que los seres humanos retenemos mucho mejor la información cuando nos ponemos manos a la obra con nuevas ideas y procesos.
Ahora, cuando se trata de desarrolladores... somos un grupo especial. Según mi propia experiencia como desarrollador, la formación tradicional no es precisamente lo que incendia mi mundo. Los desarrolladores tienden a resolver problemas de forma creativa e ingeniosa, y prefieren usar las herramientas antes que recibir clases en el aula o sentarse frente a un sinfín de vídeos de una cabeza parlante cuando intentan aprender nueva información. Si nos fijamos en la formación en seguridad en particular, parece que hay una clara desconexión en el panorama actual: los desarrolladores no abordan las vulnerabilidades comunes de su código, lo que lleva a los profesionales de AppSec a arrancarse los pelos cuando se enfrentan a los mismos problemas fáciles de solucionar una y otra vez. La relación entre esos equipos es tensa y los desarrolladores no reciben las herramientas ni la formación adecuadas para mantenerse comprometidos con las mejores prácticas de desarrollo seguro. Su principal objetivo es crear funcionalidades, pero dado que el riesgo cibernético aumenta rápidamente para todas las empresas, simplemente no podemos permitirnos seguir ignorando y restando prioridad a los conocimientos de seguridad.
¿Y la mejor parte? Si los desarrolladores son conscientes de la seguridad, esas vulnerabilidades comunes comienzan a desaparecer. Se reducen los riesgos y los costes de corregir los errores en fase avanzada (y AppSec evita que se les caiga el pelo a ratos).
Entonces, ¿cómo es involucrar a los desarrolladores con la capacitación contextual, exactamente?
Los ejemplos del mundo real son ridículamente poderosos.
Imagínese si todos tuviéramos que aprender a conducir viendo vídeos en YouTube. Si bien puedes hacerte una idea general del funcionamiento de un coche, así como de la secuencia de acontecimientos que se inician para moverte por la carretera, sería prácticamente imposible aprender a conducir bien hasta que te subas a un coche y lo pruebes en persona.
La formación contextual es muy valiosa porque pone al estudiante en el asiento del conductor de lo que se enseña. Cuando tienes un contexto real para algo, el aprendizaje es mucho más atractivo y significativo.
En cuanto a la codificación segura, cualquiera puede ver un vídeo y entender los conceptos básicos de la inyección de SQL, pero el meollo de la solución real del problema se olvida fácilmente cuando se acercan los plazos y la entrega de funciones es prioritaria. Sin embargo, si fuera posible revisar ejemplos de código reales, identificar la inyección y corregirla como parte de un ejercicio de entrenamiento, claro lejos más aplicable al trabajo diario de un desarrollador que al intento de retener información unidireccional. También es más fácil para un desarrollador identificarse, ya que si ve un código similar al que suele escribir, se pondrá de pie y prestará atención.
En el Secure Code Warrior plataforma, hemos gamificado la formación en código seguro, que ofrece una amplia variedad de desafíos en varios idiomas y marcos. El sistema fomenta la repetición del juego y, lo que es más importante, se puede personalizar al instante para ofrecer el entorno adecuado para un verdadero aprendizaje contextual.
Proporcione conocimiento cuando sea más útil
Según la teoría del aprendizaje contextual, el aprendizaje efectivo solo ocurre cuando los estudiantes procesan nueva información o conocimiento de tal manera que tengan sentido para ellos, dentro de sus propios marcos de referencia individuales.
Imagine que un desarrollador recibe una lista de vulnerabilidades de seguridad de los programas de recompensas por errores, las herramientas SAST o el software de seguimiento de errores. Pueden quedar perplejos, incluso abrumados, si nunca antes se han topado con estas vulnerabilidades. Lo que es peor, la mayoría de los informes están diseñados para expertos en seguridad de aplicaciones y no para desarrolladores. La información de los informes es difícil de analizar y, a menudo, contiene consejos genéricos que no se aplican directamente a un desarrollador.
Recientemente, agregamos la posibilidad de establecer enlaces profundos y directos a la capacitación práctica sobre vulnerabilidades de los programas de recompensas por errores, las herramientas SAST, el software de seguimiento de errores y los informes de pruebas de penetración. Los desarrolladores pueden comprender de inmediato los conceptos básicos y aprender buenas recetas de programación para su marco particular.
Aprender de esta manera garantiza que los desarrolladores reciban conocimiento y capacitación sobre los conceptos cuando son más relevantes, y es mucho más probable que retengan esa información a largo plazo.
Resultados más rápidos, menos interrupciones, campistas más felices.
Con cualquier formación, un contexto inmediato con tus actividades diarias va a ser mucho más poderoso que intentar aplicar algo genérico a tu trabajo. Pasas menos tiempo en «modo estudio» o, lo que es peor, tienes que repasar cosas que ya has «aprendido» cuando necesitas una respuesta para algo.
Uno de los principios de la capacitación contextual es la capacidad de basarse en el conocimiento para que cada componente de la capacitación se sume al anterior, lo que permite un proceso escalonado que brinda a los participantes un camino hacia el dominio. Una vez más, esto es algo que apoyamos en nuestra plataforma, con un sistema de cinturones similar al que se puede encontrar en un dojo de karate. Todo el mundo empieza con un cinturón blanco, antes de pasar al codiciado nivel de cinturón negro, o «campeón de seguridad», tras dedicar las horas necesarias a entrenar y a participar en un torneo. Es un enfoque divertido con valor real y aplicación práctica.
¿Quiere retener a los mejores talentos y mantenerlos conscientes de la seguridad? Bríndeles las herramientas para tener éxito.
Es una realidad desafortunada que, en este momento, los desarrolladores y especialistas en AppSec conscientes de la seguridad sean un recurso escaso (pero vital). También son notoriamente difíciles de conservar.
Ciberario llevó a cabo una encuesta entre 3100 profesionales de TI y seguridad en 2018, y reveló que un elemento clave para retener a los empleados valiosos era invertir en su formación. Sus resultados muestran que las empresas que proporcionan las herramientas y la formación necesarias para desarrollar sus habilidades de seguridad internas lograron retener a los profesionales de la seguridad un 60% más que las que no lo hicieron, y un enorme 65% de los encuestados prefirió que la formación fuera práctica. Bastante genial, ¿no?
Sin embargo, los resultados de la encuesta también proporcionaron una revelación bastante alarmante: el 80% de los encuestados no se sienten adecuadamente preparados para defender a su organización contra las ciberamenazas. Esas amenazas no van a desaparecer, y ahora más que nunca se necesita la formación adecuada para combatir el creciente riesgo de costosas filtraciones de datos y ataques. Y, bueno, puede que sea parcial, pero la plataforma de Secure Code Warrior podría ser la herramienta que necesita para fomentar una cultura de seguridad positiva, mejorar sus habilidades y apoyar a los desarrolladores con la formación contextual que tanto les gusta y proteger a su organización de los delincuentes. Solicita una demostración y te mostraremos más.
Realmente sorprende que muchos lugares sigan confiando en las aulas, los libros de texto aburridos y la abrumadora formación en vídeo para sacar lo mejor de sí mismos a las nuevas iniciativas, especialmente cuando hay una forma de aprender mucho mejor, más atractiva y más valiosa: la formación contextual.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Lo siento, tengo que dar una mala noticia.
La formación tradicional ha muerto.
Bueno, está bien, no lo es... pero probablemente debería serlo. Una y otra vez, los estudios han demostrado que meter a un grupo de personas en el aula para que aprendan algo nuevo, finalicen una tarea de cumplimiento o se vuelvan a capacitar es una de las formas más ineficaces de que las personas reciban una educación. Y en lo que respecta a la formación empresarial, esas estadísticas no mejoran. La Harvard Business Review publicó un estudio sobre la eficacia de la formación presencial para los nuevos empleados de grandes empresas, y descubrió que este método de aprendizaje requería un promedio de de ocho a doce meses para que los nuevos empleados estén al día y sean productivos. Eso es un muy mucho tiempo para utilizar al máximo las habilidades de una persona (y mucho tiempo para sentirse cómodo, si eres el nuevo empleado). Hoy en día, la mayoría de los lugares no disponen de ese tiempo; inevitablemente, se ahorran gastos, las personas no reciben la formación que necesitan y una empresa pierde mucho valor que podría obtener mucho antes.
Realmente sorprende que muchos lugares sigan confiando en las aulas, los libros de texto aburridos y la abrumadora formación en vídeo para que sus mejores y más brillantes personas se familiaricen con las mejores prácticas o nuevas iniciativas de la empresa, especialmente cuando hay una forma de aprender mucho mejor, más atractiva y más valiosa: la formación contextual. Resulta que los seres humanos retenemos mucho mejor la información cuando nos ponemos manos a la obra con nuevas ideas y procesos.
Ahora, cuando se trata de desarrolladores... somos un grupo especial. Según mi propia experiencia como desarrollador, la formación tradicional no es precisamente lo que incendia mi mundo. Los desarrolladores tienden a resolver problemas de forma creativa e ingeniosa, y prefieren usar las herramientas antes que recibir clases en el aula o sentarse frente a un sinfín de vídeos de una cabeza parlante cuando intentan aprender nueva información. Si nos fijamos en la formación en seguridad en particular, parece que hay una clara desconexión en el panorama actual: los desarrolladores no abordan las vulnerabilidades comunes de su código, lo que lleva a los profesionales de AppSec a arrancarse los pelos cuando se enfrentan a los mismos problemas fáciles de solucionar una y otra vez. La relación entre esos equipos es tensa y los desarrolladores no reciben las herramientas ni la formación adecuadas para mantenerse comprometidos con las mejores prácticas de desarrollo seguro. Su principal objetivo es crear funcionalidades, pero dado que el riesgo cibernético aumenta rápidamente para todas las empresas, simplemente no podemos permitirnos seguir ignorando y restando prioridad a los conocimientos de seguridad.
¿Y la mejor parte? Si los desarrolladores son conscientes de la seguridad, esas vulnerabilidades comunes comienzan a desaparecer. Se reducen los riesgos y los costes de corregir los errores en fase avanzada (y AppSec evita que se les caiga el pelo a ratos).
Entonces, ¿cómo es involucrar a los desarrolladores con la capacitación contextual, exactamente?
Los ejemplos del mundo real son ridículamente poderosos.
Imagínese si todos tuviéramos que aprender a conducir viendo vídeos en YouTube. Si bien puedes hacerte una idea general del funcionamiento de un coche, así como de la secuencia de acontecimientos que se inician para moverte por la carretera, sería prácticamente imposible aprender a conducir bien hasta que te subas a un coche y lo pruebes en persona.
La formación contextual es muy valiosa porque pone al estudiante en el asiento del conductor de lo que se enseña. Cuando tienes un contexto real para algo, el aprendizaje es mucho más atractivo y significativo.
En cuanto a la codificación segura, cualquiera puede ver un vídeo y entender los conceptos básicos de la inyección de SQL, pero el meollo de la solución real del problema se olvida fácilmente cuando se acercan los plazos y la entrega de funciones es prioritaria. Sin embargo, si fuera posible revisar ejemplos de código reales, identificar la inyección y corregirla como parte de un ejercicio de entrenamiento, claro lejos más aplicable al trabajo diario de un desarrollador que al intento de retener información unidireccional. También es más fácil para un desarrollador identificarse, ya que si ve un código similar al que suele escribir, se pondrá de pie y prestará atención.
En el Secure Code Warrior plataforma, hemos gamificado la formación en código seguro, que ofrece una amplia variedad de desafíos en varios idiomas y marcos. El sistema fomenta la repetición del juego y, lo que es más importante, se puede personalizar al instante para ofrecer el entorno adecuado para un verdadero aprendizaje contextual.
Proporcione conocimiento cuando sea más útil
Según la teoría del aprendizaje contextual, el aprendizaje efectivo solo ocurre cuando los estudiantes procesan nueva información o conocimiento de tal manera que tengan sentido para ellos, dentro de sus propios marcos de referencia individuales.
Imagine que un desarrollador recibe una lista de vulnerabilidades de seguridad de los programas de recompensas por errores, las herramientas SAST o el software de seguimiento de errores. Pueden quedar perplejos, incluso abrumados, si nunca antes se han topado con estas vulnerabilidades. Lo que es peor, la mayoría de los informes están diseñados para expertos en seguridad de aplicaciones y no para desarrolladores. La información de los informes es difícil de analizar y, a menudo, contiene consejos genéricos que no se aplican directamente a un desarrollador.
Recientemente, agregamos la posibilidad de establecer enlaces profundos y directos a la capacitación práctica sobre vulnerabilidades de los programas de recompensas por errores, las herramientas SAST, el software de seguimiento de errores y los informes de pruebas de penetración. Los desarrolladores pueden comprender de inmediato los conceptos básicos y aprender buenas recetas de programación para su marco particular.
Aprender de esta manera garantiza que los desarrolladores reciban conocimiento y capacitación sobre los conceptos cuando son más relevantes, y es mucho más probable que retengan esa información a largo plazo.
Resultados más rápidos, menos interrupciones, campistas más felices.
Con cualquier formación, un contexto inmediato con tus actividades diarias va a ser mucho más poderoso que intentar aplicar algo genérico a tu trabajo. Pasas menos tiempo en «modo estudio» o, lo que es peor, tienes que repasar cosas que ya has «aprendido» cuando necesitas una respuesta para algo.
Uno de los principios de la capacitación contextual es la capacidad de basarse en el conocimiento para que cada componente de la capacitación se sume al anterior, lo que permite un proceso escalonado que brinda a los participantes un camino hacia el dominio. Una vez más, esto es algo que apoyamos en nuestra plataforma, con un sistema de cinturones similar al que se puede encontrar en un dojo de karate. Todo el mundo empieza con un cinturón blanco, antes de pasar al codiciado nivel de cinturón negro, o «campeón de seguridad», tras dedicar las horas necesarias a entrenar y a participar en un torneo. Es un enfoque divertido con valor real y aplicación práctica.
¿Quiere retener a los mejores talentos y mantenerlos conscientes de la seguridad? Bríndeles las herramientas para tener éxito.
Es una realidad desafortunada que, en este momento, los desarrolladores y especialistas en AppSec conscientes de la seguridad sean un recurso escaso (pero vital). También son notoriamente difíciles de conservar.
Ciberario llevó a cabo una encuesta entre 3100 profesionales de TI y seguridad en 2018, y reveló que un elemento clave para retener a los empleados valiosos era invertir en su formación. Sus resultados muestran que las empresas que proporcionan las herramientas y la formación necesarias para desarrollar sus habilidades de seguridad internas lograron retener a los profesionales de la seguridad un 60% más que las que no lo hicieron, y un enorme 65% de los encuestados prefirió que la formación fuera práctica. Bastante genial, ¿no?
Sin embargo, los resultados de la encuesta también proporcionaron una revelación bastante alarmante: el 80% de los encuestados no se sienten adecuadamente preparados para defender a su organización contra las ciberamenazas. Esas amenazas no van a desaparecer, y ahora más que nunca se necesita la formación adecuada para combatir el creciente riesgo de costosas filtraciones de datos y ataques. Y, bueno, puede que sea parcial, pero la plataforma de Secure Code Warrior podría ser la herramienta que necesita para fomentar una cultura de seguridad positiva, mejorar sus habilidades y apoyar a los desarrolladores con la formación contextual que tanto les gusta y proteger a su organización de los delincuentes. Solicita una demostración y te mostraremos más.
Lo siento, tengo que dar una mala noticia.
La formación tradicional ha muerto.
Bueno, está bien, no lo es... pero probablemente debería serlo. Una y otra vez, los estudios han demostrado que meter a un grupo de personas en el aula para que aprendan algo nuevo, finalicen una tarea de cumplimiento o se vuelvan a capacitar es una de las formas más ineficaces de que las personas reciban una educación. Y en lo que respecta a la formación empresarial, esas estadísticas no mejoran. La Harvard Business Review publicó un estudio sobre la eficacia de la formación presencial para los nuevos empleados de grandes empresas, y descubrió que este método de aprendizaje requería un promedio de de ocho a doce meses para que los nuevos empleados estén al día y sean productivos. Eso es un muy mucho tiempo para utilizar al máximo las habilidades de una persona (y mucho tiempo para sentirse cómodo, si eres el nuevo empleado). Hoy en día, la mayoría de los lugares no disponen de ese tiempo; inevitablemente, se ahorran gastos, las personas no reciben la formación que necesitan y una empresa pierde mucho valor que podría obtener mucho antes.
Realmente sorprende que muchos lugares sigan confiando en las aulas, los libros de texto aburridos y la abrumadora formación en vídeo para que sus mejores y más brillantes personas se familiaricen con las mejores prácticas o nuevas iniciativas de la empresa, especialmente cuando hay una forma de aprender mucho mejor, más atractiva y más valiosa: la formación contextual. Resulta que los seres humanos retenemos mucho mejor la información cuando nos ponemos manos a la obra con nuevas ideas y procesos.
Ahora, cuando se trata de desarrolladores... somos un grupo especial. Según mi propia experiencia como desarrollador, la formación tradicional no es precisamente lo que incendia mi mundo. Los desarrolladores tienden a resolver problemas de forma creativa e ingeniosa, y prefieren usar las herramientas antes que recibir clases en el aula o sentarse frente a un sinfín de vídeos de una cabeza parlante cuando intentan aprender nueva información. Si nos fijamos en la formación en seguridad en particular, parece que hay una clara desconexión en el panorama actual: los desarrolladores no abordan las vulnerabilidades comunes de su código, lo que lleva a los profesionales de AppSec a arrancarse los pelos cuando se enfrentan a los mismos problemas fáciles de solucionar una y otra vez. La relación entre esos equipos es tensa y los desarrolladores no reciben las herramientas ni la formación adecuadas para mantenerse comprometidos con las mejores prácticas de desarrollo seguro. Su principal objetivo es crear funcionalidades, pero dado que el riesgo cibernético aumenta rápidamente para todas las empresas, simplemente no podemos permitirnos seguir ignorando y restando prioridad a los conocimientos de seguridad.
¿Y la mejor parte? Si los desarrolladores son conscientes de la seguridad, esas vulnerabilidades comunes comienzan a desaparecer. Se reducen los riesgos y los costes de corregir los errores en fase avanzada (y AppSec evita que se les caiga el pelo a ratos).
Entonces, ¿cómo es involucrar a los desarrolladores con la capacitación contextual, exactamente?
Los ejemplos del mundo real son ridículamente poderosos.
Imagínese si todos tuviéramos que aprender a conducir viendo vídeos en YouTube. Si bien puedes hacerte una idea general del funcionamiento de un coche, así como de la secuencia de acontecimientos que se inician para moverte por la carretera, sería prácticamente imposible aprender a conducir bien hasta que te subas a un coche y lo pruebes en persona.
La formación contextual es muy valiosa porque pone al estudiante en el asiento del conductor de lo que se enseña. Cuando tienes un contexto real para algo, el aprendizaje es mucho más atractivo y significativo.
En cuanto a la codificación segura, cualquiera puede ver un vídeo y entender los conceptos básicos de la inyección de SQL, pero el meollo de la solución real del problema se olvida fácilmente cuando se acercan los plazos y la entrega de funciones es prioritaria. Sin embargo, si fuera posible revisar ejemplos de código reales, identificar la inyección y corregirla como parte de un ejercicio de entrenamiento, claro lejos más aplicable al trabajo diario de un desarrollador que al intento de retener información unidireccional. También es más fácil para un desarrollador identificarse, ya que si ve un código similar al que suele escribir, se pondrá de pie y prestará atención.
En el Secure Code Warrior plataforma, hemos gamificado la formación en código seguro, que ofrece una amplia variedad de desafíos en varios idiomas y marcos. El sistema fomenta la repetición del juego y, lo que es más importante, se puede personalizar al instante para ofrecer el entorno adecuado para un verdadero aprendizaje contextual.
Proporcione conocimiento cuando sea más útil
Según la teoría del aprendizaje contextual, el aprendizaje efectivo solo ocurre cuando los estudiantes procesan nueva información o conocimiento de tal manera que tengan sentido para ellos, dentro de sus propios marcos de referencia individuales.
Imagine que un desarrollador recibe una lista de vulnerabilidades de seguridad de los programas de recompensas por errores, las herramientas SAST o el software de seguimiento de errores. Pueden quedar perplejos, incluso abrumados, si nunca antes se han topado con estas vulnerabilidades. Lo que es peor, la mayoría de los informes están diseñados para expertos en seguridad de aplicaciones y no para desarrolladores. La información de los informes es difícil de analizar y, a menudo, contiene consejos genéricos que no se aplican directamente a un desarrollador.
Recientemente, agregamos la posibilidad de establecer enlaces profundos y directos a la capacitación práctica sobre vulnerabilidades de los programas de recompensas por errores, las herramientas SAST, el software de seguimiento de errores y los informes de pruebas de penetración. Los desarrolladores pueden comprender de inmediato los conceptos básicos y aprender buenas recetas de programación para su marco particular.
Aprender de esta manera garantiza que los desarrolladores reciban conocimiento y capacitación sobre los conceptos cuando son más relevantes, y es mucho más probable que retengan esa información a largo plazo.
Resultados más rápidos, menos interrupciones, campistas más felices.
Con cualquier formación, un contexto inmediato con tus actividades diarias va a ser mucho más poderoso que intentar aplicar algo genérico a tu trabajo. Pasas menos tiempo en «modo estudio» o, lo que es peor, tienes que repasar cosas que ya has «aprendido» cuando necesitas una respuesta para algo.
Uno de los principios de la capacitación contextual es la capacidad de basarse en el conocimiento para que cada componente de la capacitación se sume al anterior, lo que permite un proceso escalonado que brinda a los participantes un camino hacia el dominio. Una vez más, esto es algo que apoyamos en nuestra plataforma, con un sistema de cinturones similar al que se puede encontrar en un dojo de karate. Todo el mundo empieza con un cinturón blanco, antes de pasar al codiciado nivel de cinturón negro, o «campeón de seguridad», tras dedicar las horas necesarias a entrenar y a participar en un torneo. Es un enfoque divertido con valor real y aplicación práctica.
¿Quiere retener a los mejores talentos y mantenerlos conscientes de la seguridad? Bríndeles las herramientas para tener éxito.
Es una realidad desafortunada que, en este momento, los desarrolladores y especialistas en AppSec conscientes de la seguridad sean un recurso escaso (pero vital). También son notoriamente difíciles de conservar.
Ciberario llevó a cabo una encuesta entre 3100 profesionales de TI y seguridad en 2018, y reveló que un elemento clave para retener a los empleados valiosos era invertir en su formación. Sus resultados muestran que las empresas que proporcionan las herramientas y la formación necesarias para desarrollar sus habilidades de seguridad internas lograron retener a los profesionales de la seguridad un 60% más que las que no lo hicieron, y un enorme 65% de los encuestados prefirió que la formación fuera práctica. Bastante genial, ¿no?
Sin embargo, los resultados de la encuesta también proporcionaron una revelación bastante alarmante: el 80% de los encuestados no se sienten adecuadamente preparados para defender a su organización contra las ciberamenazas. Esas amenazas no van a desaparecer, y ahora más que nunca se necesita la formación adecuada para combatir el creciente riesgo de costosas filtraciones de datos y ataques. Y, bueno, puede que sea parcial, pero la plataforma de Secure Code Warrior podría ser la herramienta que necesita para fomentar una cultura de seguridad positiva, mejorar sus habilidades y apoyar a los desarrolladores con la formación contextual que tanto les gusta y proteger a su organización de los delincuentes. Solicita una demostración y te mostraremos más.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Lo siento, tengo que dar una mala noticia.
La formación tradicional ha muerto.
Bueno, está bien, no lo es... pero probablemente debería serlo. Una y otra vez, los estudios han demostrado que meter a un grupo de personas en el aula para que aprendan algo nuevo, finalicen una tarea de cumplimiento o se vuelvan a capacitar es una de las formas más ineficaces de que las personas reciban una educación. Y en lo que respecta a la formación empresarial, esas estadísticas no mejoran. La Harvard Business Review publicó un estudio sobre la eficacia de la formación presencial para los nuevos empleados de grandes empresas, y descubrió que este método de aprendizaje requería un promedio de de ocho a doce meses para que los nuevos empleados estén al día y sean productivos. Eso es un muy mucho tiempo para utilizar al máximo las habilidades de una persona (y mucho tiempo para sentirse cómodo, si eres el nuevo empleado). Hoy en día, la mayoría de los lugares no disponen de ese tiempo; inevitablemente, se ahorran gastos, las personas no reciben la formación que necesitan y una empresa pierde mucho valor que podría obtener mucho antes.
Realmente sorprende que muchos lugares sigan confiando en las aulas, los libros de texto aburridos y la abrumadora formación en vídeo para que sus mejores y más brillantes personas se familiaricen con las mejores prácticas o nuevas iniciativas de la empresa, especialmente cuando hay una forma de aprender mucho mejor, más atractiva y más valiosa: la formación contextual. Resulta que los seres humanos retenemos mucho mejor la información cuando nos ponemos manos a la obra con nuevas ideas y procesos.
Ahora, cuando se trata de desarrolladores... somos un grupo especial. Según mi propia experiencia como desarrollador, la formación tradicional no es precisamente lo que incendia mi mundo. Los desarrolladores tienden a resolver problemas de forma creativa e ingeniosa, y prefieren usar las herramientas antes que recibir clases en el aula o sentarse frente a un sinfín de vídeos de una cabeza parlante cuando intentan aprender nueva información. Si nos fijamos en la formación en seguridad en particular, parece que hay una clara desconexión en el panorama actual: los desarrolladores no abordan las vulnerabilidades comunes de su código, lo que lleva a los profesionales de AppSec a arrancarse los pelos cuando se enfrentan a los mismos problemas fáciles de solucionar una y otra vez. La relación entre esos equipos es tensa y los desarrolladores no reciben las herramientas ni la formación adecuadas para mantenerse comprometidos con las mejores prácticas de desarrollo seguro. Su principal objetivo es crear funcionalidades, pero dado que el riesgo cibernético aumenta rápidamente para todas las empresas, simplemente no podemos permitirnos seguir ignorando y restando prioridad a los conocimientos de seguridad.
¿Y la mejor parte? Si los desarrolladores son conscientes de la seguridad, esas vulnerabilidades comunes comienzan a desaparecer. Se reducen los riesgos y los costes de corregir los errores en fase avanzada (y AppSec evita que se les caiga el pelo a ratos).
Entonces, ¿cómo es involucrar a los desarrolladores con la capacitación contextual, exactamente?
Los ejemplos del mundo real son ridículamente poderosos.
Imagínese si todos tuviéramos que aprender a conducir viendo vídeos en YouTube. Si bien puedes hacerte una idea general del funcionamiento de un coche, así como de la secuencia de acontecimientos que se inician para moverte por la carretera, sería prácticamente imposible aprender a conducir bien hasta que te subas a un coche y lo pruebes en persona.
La formación contextual es muy valiosa porque pone al estudiante en el asiento del conductor de lo que se enseña. Cuando tienes un contexto real para algo, el aprendizaje es mucho más atractivo y significativo.
En cuanto a la codificación segura, cualquiera puede ver un vídeo y entender los conceptos básicos de la inyección de SQL, pero el meollo de la solución real del problema se olvida fácilmente cuando se acercan los plazos y la entrega de funciones es prioritaria. Sin embargo, si fuera posible revisar ejemplos de código reales, identificar la inyección y corregirla como parte de un ejercicio de entrenamiento, claro lejos más aplicable al trabajo diario de un desarrollador que al intento de retener información unidireccional. También es más fácil para un desarrollador identificarse, ya que si ve un código similar al que suele escribir, se pondrá de pie y prestará atención.
En el Secure Code Warrior plataforma, hemos gamificado la formación en código seguro, que ofrece una amplia variedad de desafíos en varios idiomas y marcos. El sistema fomenta la repetición del juego y, lo que es más importante, se puede personalizar al instante para ofrecer el entorno adecuado para un verdadero aprendizaje contextual.
Proporcione conocimiento cuando sea más útil
Según la teoría del aprendizaje contextual, el aprendizaje efectivo solo ocurre cuando los estudiantes procesan nueva información o conocimiento de tal manera que tengan sentido para ellos, dentro de sus propios marcos de referencia individuales.
Imagine que un desarrollador recibe una lista de vulnerabilidades de seguridad de los programas de recompensas por errores, las herramientas SAST o el software de seguimiento de errores. Pueden quedar perplejos, incluso abrumados, si nunca antes se han topado con estas vulnerabilidades. Lo que es peor, la mayoría de los informes están diseñados para expertos en seguridad de aplicaciones y no para desarrolladores. La información de los informes es difícil de analizar y, a menudo, contiene consejos genéricos que no se aplican directamente a un desarrollador.
Recientemente, agregamos la posibilidad de establecer enlaces profundos y directos a la capacitación práctica sobre vulnerabilidades de los programas de recompensas por errores, las herramientas SAST, el software de seguimiento de errores y los informes de pruebas de penetración. Los desarrolladores pueden comprender de inmediato los conceptos básicos y aprender buenas recetas de programación para su marco particular.
Aprender de esta manera garantiza que los desarrolladores reciban conocimiento y capacitación sobre los conceptos cuando son más relevantes, y es mucho más probable que retengan esa información a largo plazo.
Resultados más rápidos, menos interrupciones, campistas más felices.
Con cualquier formación, un contexto inmediato con tus actividades diarias va a ser mucho más poderoso que intentar aplicar algo genérico a tu trabajo. Pasas menos tiempo en «modo estudio» o, lo que es peor, tienes que repasar cosas que ya has «aprendido» cuando necesitas una respuesta para algo.
Uno de los principios de la capacitación contextual es la capacidad de basarse en el conocimiento para que cada componente de la capacitación se sume al anterior, lo que permite un proceso escalonado que brinda a los participantes un camino hacia el dominio. Una vez más, esto es algo que apoyamos en nuestra plataforma, con un sistema de cinturones similar al que se puede encontrar en un dojo de karate. Todo el mundo empieza con un cinturón blanco, antes de pasar al codiciado nivel de cinturón negro, o «campeón de seguridad», tras dedicar las horas necesarias a entrenar y a participar en un torneo. Es un enfoque divertido con valor real y aplicación práctica.
¿Quiere retener a los mejores talentos y mantenerlos conscientes de la seguridad? Bríndeles las herramientas para tener éxito.
Es una realidad desafortunada que, en este momento, los desarrolladores y especialistas en AppSec conscientes de la seguridad sean un recurso escaso (pero vital). También son notoriamente difíciles de conservar.
Ciberario llevó a cabo una encuesta entre 3100 profesionales de TI y seguridad en 2018, y reveló que un elemento clave para retener a los empleados valiosos era invertir en su formación. Sus resultados muestran que las empresas que proporcionan las herramientas y la formación necesarias para desarrollar sus habilidades de seguridad internas lograron retener a los profesionales de la seguridad un 60% más que las que no lo hicieron, y un enorme 65% de los encuestados prefirió que la formación fuera práctica. Bastante genial, ¿no?
Sin embargo, los resultados de la encuesta también proporcionaron una revelación bastante alarmante: el 80% de los encuestados no se sienten adecuadamente preparados para defender a su organización contra las ciberamenazas. Esas amenazas no van a desaparecer, y ahora más que nunca se necesita la formación adecuada para combatir el creciente riesgo de costosas filtraciones de datos y ataques. Y, bueno, puede que sea parcial, pero la plataforma de Secure Code Warrior podría ser la herramienta que necesita para fomentar una cultura de seguridad positiva, mejorar sus habilidades y apoyar a los desarrolladores con la formación contextual que tanto les gusta y proteger a su organización de los delincuentes. Solicita una demostración y te mostraremos más.
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
