Aprendizaje práctico y contextual: la forma sobrealimentada de entrenar su cerebro para la seguridad
Lo siento, tengo que dar una mala noticia.
La formación tradicional ha muerto.
Bueno, está bien, no lo es... pero probablemente debería serlo. Una y otra vez, los estudios han demostrado que meter a un grupo de personas en el aula para que aprendan algo nuevo, finalicen una tarea de cumplimiento o se vuelvan a capacitar es una de las formas más ineficaces de que las personas reciban una educación. Y en lo que respecta a la formación empresarial, esas estadísticas no mejoran. La Harvard Business Review publicó un estudio sobre la eficacia de la formación presencial para los nuevos empleados de grandes empresas, y descubrió que este método de aprendizaje requería un promedio de de ocho a doce meses para que los nuevos empleados estén al día y sean productivos. Eso es un muy mucho tiempo para utilizar al máximo las habilidades de una persona (y mucho tiempo para sentirse cómodo, si eres el nuevo empleado). Hoy en día, la mayoría de los lugares no disponen de ese tiempo; inevitablemente, se ahorran gastos, las personas no reciben la formación que necesitan y una empresa pierde mucho valor que podría obtener mucho antes.
Realmente sorprende que muchos lugares sigan confiando en las aulas, los libros de texto aburridos y la abrumadora formación en vídeo para que sus mejores y más brillantes personas se familiaricen con las mejores prácticas o nuevas iniciativas de la empresa, especialmente cuando hay una forma de aprender mucho mejor, más atractiva y más valiosa: la formación contextual. Resulta que los seres humanos retenemos mucho mejor la información cuando nos ponemos manos a la obra con nuevas ideas y procesos.
Ahora, cuando se trata de desarrolladores... somos un grupo especial. Según mi propia experiencia como desarrollador, la formación tradicional no es precisamente lo que incendia mi mundo. Los desarrolladores tienden a resolver problemas de forma creativa e ingeniosa, y prefieren usar las herramientas antes que recibir clases en el aula o sentarse frente a un sinfín de vídeos de una cabeza parlante cuando intentan aprender nueva información. Si nos fijamos en la formación en seguridad en particular, parece que hay una clara desconexión en el panorama actual: los desarrolladores no abordan las vulnerabilidades comunes de su código, lo que lleva a los profesionales de AppSec a arrancarse los pelos cuando se enfrentan a los mismos problemas fáciles de solucionar una y otra vez. La relación entre esos equipos es tensa y los desarrolladores no reciben las herramientas ni la formación adecuadas para mantenerse comprometidos con las mejores prácticas de desarrollo seguro. Su principal objetivo es crear funcionalidades, pero dado que el riesgo cibernético aumenta rápidamente para todas las empresas, simplemente no podemos permitirnos seguir ignorando y restando prioridad a los conocimientos de seguridad.
¿Y la mejor parte? Si los desarrolladores son conscientes de la seguridad, esas vulnerabilidades comunes comienzan a desaparecer. Se reducen los riesgos y los costes de corregir los errores en fase avanzada (y AppSec evita que se les caiga el pelo a ratos).
Entonces, ¿cómo es involucrar a los desarrolladores con la capacitación contextual, exactamente?
Los ejemplos del mundo real son ridículamente poderosos.
Imagínese si todos tuviéramos que aprender a conducir viendo vídeos en YouTube. Si bien puedes hacerte una idea general del funcionamiento de un coche, así como de la secuencia de acontecimientos que se inician para moverte por la carretera, sería prácticamente imposible aprender a conducir bien hasta que te subas a un coche y lo pruebes en persona.
La formación contextual es muy valiosa porque pone al estudiante en el asiento del conductor de lo que se enseña. Cuando tienes un contexto real para algo, el aprendizaje es mucho más atractivo y significativo.
En cuanto a la codificación segura, cualquiera puede ver un vídeo y entender los conceptos básicos de la inyección de SQL, pero el meollo de la solución real del problema se olvida fácilmente cuando se acercan los plazos y la entrega de funciones es prioritaria. Sin embargo, si fuera posible revisar ejemplos de código reales, identificar la inyección y corregirla como parte de un ejercicio de entrenamiento, claro lejos más aplicable al trabajo diario de un desarrollador que al intento de retener información unidireccional. También es más fácil para un desarrollador identificarse, ya que si ve un código similar al que suele escribir, se pondrá de pie y prestará atención.
En el Secure Code Warrior plataforma, hemos gamificado la formación en código seguro, que ofrece una amplia variedad de desafíos en varios idiomas y marcos. El sistema fomenta la repetición del juego y, lo que es más importante, se puede personalizar al instante para ofrecer el entorno adecuado para un verdadero aprendizaje contextual.
Proporcione conocimiento cuando sea más útil
Según la teoría del aprendizaje contextual, el aprendizaje efectivo solo ocurre cuando los estudiantes procesan nueva información o conocimiento de tal manera que tengan sentido para ellos, dentro de sus propios marcos de referencia individuales.
Imagine que un desarrollador recibe una lista de vulnerabilidades de seguridad de los programas de recompensas por errores, las herramientas SAST o el software de seguimiento de errores. Pueden quedar perplejos, incluso abrumados, si nunca antes se han topado con estas vulnerabilidades. Lo que es peor, la mayoría de los informes están diseñados para expertos en seguridad de aplicaciones y no para desarrolladores. La información de los informes es difícil de analizar y, a menudo, contiene consejos genéricos que no se aplican directamente a un desarrollador.
Recientemente, agregamos la posibilidad de establecer enlaces profundos y directos a la capacitación práctica sobre vulnerabilidades de los programas de recompensas por errores, las herramientas SAST, el software de seguimiento de errores y los informes de pruebas de penetración. Los desarrolladores pueden comprender de inmediato los conceptos básicos y aprender buenas recetas de programación para su marco particular.
Aprender de esta manera garantiza que los desarrolladores reciban conocimiento y capacitación sobre los conceptos cuando son más relevantes, y es mucho más probable que retengan esa información a largo plazo.
Resultados más rápidos, menos interrupciones, campistas más felices.
Con cualquier formación, un contexto inmediato con tus actividades diarias va a ser mucho más poderoso que intentar aplicar algo genérico a tu trabajo. Pasas menos tiempo en «modo estudio» o, lo que es peor, tienes que repasar cosas que ya has «aprendido» cuando necesitas una respuesta para algo.
Uno de los principios de la capacitación contextual es la capacidad de basarse en el conocimiento para que cada componente de la capacitación se sume al anterior, lo que permite un proceso escalonado que brinda a los participantes un camino hacia el dominio. Una vez más, esto es algo que apoyamos en nuestra plataforma, con un sistema de cinturones similar al que se puede encontrar en un dojo de karate. Todo el mundo empieza con un cinturón blanco, antes de pasar al codiciado nivel de cinturón negro, o «campeón de seguridad», tras dedicar las horas necesarias a entrenar y a participar en un torneo. Es un enfoque divertido con valor real y aplicación práctica.
¿Quiere retener a los mejores talentos y mantenerlos conscientes de la seguridad? Bríndeles las herramientas para tener éxito.
Es una realidad desafortunada que, en este momento, los desarrolladores y especialistas en AppSec conscientes de la seguridad sean un recurso escaso (pero vital). También son notoriamente difíciles de conservar.
Ciberario llevó a cabo una encuesta entre 3100 profesionales de TI y seguridad en 2018, y reveló que un elemento clave para retener a los empleados valiosos era invertir en su formación. Sus resultados muestran que las empresas que proporcionan las herramientas y la formación necesarias para desarrollar sus habilidades de seguridad internas lograron retener a los profesionales de la seguridad un 60% más que las que no lo hicieron, y un enorme 65% de los encuestados prefirió que la formación fuera práctica. Bastante genial, ¿no?
Sin embargo, los resultados de la encuesta también proporcionaron una revelación bastante alarmante: el 80% de los encuestados no se sienten adecuadamente preparados para defender a su organización contra las ciberamenazas. Esas amenazas no van a desaparecer, y ahora más que nunca se necesita la formación adecuada para combatir el creciente riesgo de costosas filtraciones de datos y ataques. Y, bueno, puede que sea parcial, pero la plataforma de Secure Code Warrior podría ser la herramienta que necesita para fomentar una cultura de seguridad positiva, mejorar sus habilidades y apoyar a los desarrolladores con la formación contextual que tanto les gusta y proteger a su organización de los delincuentes. Solicita una demostración y te mostraremos más.
Realmente sorprende que muchos lugares sigan confiando en las aulas, los libros de texto aburridos y la abrumadora formación en vídeo para sacar lo mejor de sí mismos a las nuevas iniciativas, especialmente cuando hay una forma de aprender mucho mejor, más atractiva y más valiosa: la formación contextual.
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Lo siento, tengo que dar una mala noticia.
La formación tradicional ha muerto.
Bueno, está bien, no lo es... pero probablemente debería serlo. Una y otra vez, los estudios han demostrado que meter a un grupo de personas en el aula para que aprendan algo nuevo, finalicen una tarea de cumplimiento o se vuelvan a capacitar es una de las formas más ineficaces de que las personas reciban una educación. Y en lo que respecta a la formación empresarial, esas estadísticas no mejoran. La Harvard Business Review publicó un estudio sobre la eficacia de la formación presencial para los nuevos empleados de grandes empresas, y descubrió que este método de aprendizaje requería un promedio de de ocho a doce meses para que los nuevos empleados estén al día y sean productivos. Eso es un muy mucho tiempo para utilizar al máximo las habilidades de una persona (y mucho tiempo para sentirse cómodo, si eres el nuevo empleado). Hoy en día, la mayoría de los lugares no disponen de ese tiempo; inevitablemente, se ahorran gastos, las personas no reciben la formación que necesitan y una empresa pierde mucho valor que podría obtener mucho antes.
Realmente sorprende que muchos lugares sigan confiando en las aulas, los libros de texto aburridos y la abrumadora formación en vídeo para que sus mejores y más brillantes personas se familiaricen con las mejores prácticas o nuevas iniciativas de la empresa, especialmente cuando hay una forma de aprender mucho mejor, más atractiva y más valiosa: la formación contextual. Resulta que los seres humanos retenemos mucho mejor la información cuando nos ponemos manos a la obra con nuevas ideas y procesos.
Ahora, cuando se trata de desarrolladores... somos un grupo especial. Según mi propia experiencia como desarrollador, la formación tradicional no es precisamente lo que incendia mi mundo. Los desarrolladores tienden a resolver problemas de forma creativa e ingeniosa, y prefieren usar las herramientas antes que recibir clases en el aula o sentarse frente a un sinfín de vídeos de una cabeza parlante cuando intentan aprender nueva información. Si nos fijamos en la formación en seguridad en particular, parece que hay una clara desconexión en el panorama actual: los desarrolladores no abordan las vulnerabilidades comunes de su código, lo que lleva a los profesionales de AppSec a arrancarse los pelos cuando se enfrentan a los mismos problemas fáciles de solucionar una y otra vez. La relación entre esos equipos es tensa y los desarrolladores no reciben las herramientas ni la formación adecuadas para mantenerse comprometidos con las mejores prácticas de desarrollo seguro. Su principal objetivo es crear funcionalidades, pero dado que el riesgo cibernético aumenta rápidamente para todas las empresas, simplemente no podemos permitirnos seguir ignorando y restando prioridad a los conocimientos de seguridad.
¿Y la mejor parte? Si los desarrolladores son conscientes de la seguridad, esas vulnerabilidades comunes comienzan a desaparecer. Se reducen los riesgos y los costes de corregir los errores en fase avanzada (y AppSec evita que se les caiga el pelo a ratos).
Entonces, ¿cómo es involucrar a los desarrolladores con la capacitación contextual, exactamente?
Los ejemplos del mundo real son ridículamente poderosos.
Imagínese si todos tuviéramos que aprender a conducir viendo vídeos en YouTube. Si bien puedes hacerte una idea general del funcionamiento de un coche, así como de la secuencia de acontecimientos que se inician para moverte por la carretera, sería prácticamente imposible aprender a conducir bien hasta que te subas a un coche y lo pruebes en persona.
La formación contextual es muy valiosa porque pone al estudiante en el asiento del conductor de lo que se enseña. Cuando tienes un contexto real para algo, el aprendizaje es mucho más atractivo y significativo.
En cuanto a la codificación segura, cualquiera puede ver un vídeo y entender los conceptos básicos de la inyección de SQL, pero el meollo de la solución real del problema se olvida fácilmente cuando se acercan los plazos y la entrega de funciones es prioritaria. Sin embargo, si fuera posible revisar ejemplos de código reales, identificar la inyección y corregirla como parte de un ejercicio de entrenamiento, claro lejos más aplicable al trabajo diario de un desarrollador que al intento de retener información unidireccional. También es más fácil para un desarrollador identificarse, ya que si ve un código similar al que suele escribir, se pondrá de pie y prestará atención.
En el Secure Code Warrior plataforma, hemos gamificado la formación en código seguro, que ofrece una amplia variedad de desafíos en varios idiomas y marcos. El sistema fomenta la repetición del juego y, lo que es más importante, se puede personalizar al instante para ofrecer el entorno adecuado para un verdadero aprendizaje contextual.
Proporcione conocimiento cuando sea más útil
Según la teoría del aprendizaje contextual, el aprendizaje efectivo solo ocurre cuando los estudiantes procesan nueva información o conocimiento de tal manera que tengan sentido para ellos, dentro de sus propios marcos de referencia individuales.
Imagine que un desarrollador recibe una lista de vulnerabilidades de seguridad de los programas de recompensas por errores, las herramientas SAST o el software de seguimiento de errores. Pueden quedar perplejos, incluso abrumados, si nunca antes se han topado con estas vulnerabilidades. Lo que es peor, la mayoría de los informes están diseñados para expertos en seguridad de aplicaciones y no para desarrolladores. La información de los informes es difícil de analizar y, a menudo, contiene consejos genéricos que no se aplican directamente a un desarrollador.
Recientemente, agregamos la posibilidad de establecer enlaces profundos y directos a la capacitación práctica sobre vulnerabilidades de los programas de recompensas por errores, las herramientas SAST, el software de seguimiento de errores y los informes de pruebas de penetración. Los desarrolladores pueden comprender de inmediato los conceptos básicos y aprender buenas recetas de programación para su marco particular.
Aprender de esta manera garantiza que los desarrolladores reciban conocimiento y capacitación sobre los conceptos cuando son más relevantes, y es mucho más probable que retengan esa información a largo plazo.
Resultados más rápidos, menos interrupciones, campistas más felices.
Con cualquier formación, un contexto inmediato con tus actividades diarias va a ser mucho más poderoso que intentar aplicar algo genérico a tu trabajo. Pasas menos tiempo en «modo estudio» o, lo que es peor, tienes que repasar cosas que ya has «aprendido» cuando necesitas una respuesta para algo.
Uno de los principios de la capacitación contextual es la capacidad de basarse en el conocimiento para que cada componente de la capacitación se sume al anterior, lo que permite un proceso escalonado que brinda a los participantes un camino hacia el dominio. Una vez más, esto es algo que apoyamos en nuestra plataforma, con un sistema de cinturones similar al que se puede encontrar en un dojo de karate. Todo el mundo empieza con un cinturón blanco, antes de pasar al codiciado nivel de cinturón negro, o «campeón de seguridad», tras dedicar las horas necesarias a entrenar y a participar en un torneo. Es un enfoque divertido con valor real y aplicación práctica.
¿Quiere retener a los mejores talentos y mantenerlos conscientes de la seguridad? Bríndeles las herramientas para tener éxito.
Es una realidad desafortunada que, en este momento, los desarrolladores y especialistas en AppSec conscientes de la seguridad sean un recurso escaso (pero vital). También son notoriamente difíciles de conservar.
Ciberario llevó a cabo una encuesta entre 3100 profesionales de TI y seguridad en 2018, y reveló que un elemento clave para retener a los empleados valiosos era invertir en su formación. Sus resultados muestran que las empresas que proporcionan las herramientas y la formación necesarias para desarrollar sus habilidades de seguridad internas lograron retener a los profesionales de la seguridad un 60% más que las que no lo hicieron, y un enorme 65% de los encuestados prefirió que la formación fuera práctica. Bastante genial, ¿no?
Sin embargo, los resultados de la encuesta también proporcionaron una revelación bastante alarmante: el 80% de los encuestados no se sienten adecuadamente preparados para defender a su organización contra las ciberamenazas. Esas amenazas no van a desaparecer, y ahora más que nunca se necesita la formación adecuada para combatir el creciente riesgo de costosas filtraciones de datos y ataques. Y, bueno, puede que sea parcial, pero la plataforma de Secure Code Warrior podría ser la herramienta que necesita para fomentar una cultura de seguridad positiva, mejorar sus habilidades y apoyar a los desarrolladores con la formación contextual que tanto les gusta y proteger a su organización de los delincuentes. Solicita una demostración y te mostraremos más.
Lo siento, tengo que dar una mala noticia.
La formación tradicional ha muerto.
Bueno, está bien, no lo es... pero probablemente debería serlo. Una y otra vez, los estudios han demostrado que meter a un grupo de personas en el aula para que aprendan algo nuevo, finalicen una tarea de cumplimiento o se vuelvan a capacitar es una de las formas más ineficaces de que las personas reciban una educación. Y en lo que respecta a la formación empresarial, esas estadísticas no mejoran. La Harvard Business Review publicó un estudio sobre la eficacia de la formación presencial para los nuevos empleados de grandes empresas, y descubrió que este método de aprendizaje requería un promedio de de ocho a doce meses para que los nuevos empleados estén al día y sean productivos. Eso es un muy mucho tiempo para utilizar al máximo las habilidades de una persona (y mucho tiempo para sentirse cómodo, si eres el nuevo empleado). Hoy en día, la mayoría de los lugares no disponen de ese tiempo; inevitablemente, se ahorran gastos, las personas no reciben la formación que necesitan y una empresa pierde mucho valor que podría obtener mucho antes.
Realmente sorprende que muchos lugares sigan confiando en las aulas, los libros de texto aburridos y la abrumadora formación en vídeo para que sus mejores y más brillantes personas se familiaricen con las mejores prácticas o nuevas iniciativas de la empresa, especialmente cuando hay una forma de aprender mucho mejor, más atractiva y más valiosa: la formación contextual. Resulta que los seres humanos retenemos mucho mejor la información cuando nos ponemos manos a la obra con nuevas ideas y procesos.
Ahora, cuando se trata de desarrolladores... somos un grupo especial. Según mi propia experiencia como desarrollador, la formación tradicional no es precisamente lo que incendia mi mundo. Los desarrolladores tienden a resolver problemas de forma creativa e ingeniosa, y prefieren usar las herramientas antes que recibir clases en el aula o sentarse frente a un sinfín de vídeos de una cabeza parlante cuando intentan aprender nueva información. Si nos fijamos en la formación en seguridad en particular, parece que hay una clara desconexión en el panorama actual: los desarrolladores no abordan las vulnerabilidades comunes de su código, lo que lleva a los profesionales de AppSec a arrancarse los pelos cuando se enfrentan a los mismos problemas fáciles de solucionar una y otra vez. La relación entre esos equipos es tensa y los desarrolladores no reciben las herramientas ni la formación adecuadas para mantenerse comprometidos con las mejores prácticas de desarrollo seguro. Su principal objetivo es crear funcionalidades, pero dado que el riesgo cibernético aumenta rápidamente para todas las empresas, simplemente no podemos permitirnos seguir ignorando y restando prioridad a los conocimientos de seguridad.
¿Y la mejor parte? Si los desarrolladores son conscientes de la seguridad, esas vulnerabilidades comunes comienzan a desaparecer. Se reducen los riesgos y los costes de corregir los errores en fase avanzada (y AppSec evita que se les caiga el pelo a ratos).
Entonces, ¿cómo es involucrar a los desarrolladores con la capacitación contextual, exactamente?
Los ejemplos del mundo real son ridículamente poderosos.
Imagínese si todos tuviéramos que aprender a conducir viendo vídeos en YouTube. Si bien puedes hacerte una idea general del funcionamiento de un coche, así como de la secuencia de acontecimientos que se inician para moverte por la carretera, sería prácticamente imposible aprender a conducir bien hasta que te subas a un coche y lo pruebes en persona.
La formación contextual es muy valiosa porque pone al estudiante en el asiento del conductor de lo que se enseña. Cuando tienes un contexto real para algo, el aprendizaje es mucho más atractivo y significativo.
En cuanto a la codificación segura, cualquiera puede ver un vídeo y entender los conceptos básicos de la inyección de SQL, pero el meollo de la solución real del problema se olvida fácilmente cuando se acercan los plazos y la entrega de funciones es prioritaria. Sin embargo, si fuera posible revisar ejemplos de código reales, identificar la inyección y corregirla como parte de un ejercicio de entrenamiento, claro lejos más aplicable al trabajo diario de un desarrollador que al intento de retener información unidireccional. También es más fácil para un desarrollador identificarse, ya que si ve un código similar al que suele escribir, se pondrá de pie y prestará atención.
En el Secure Code Warrior plataforma, hemos gamificado la formación en código seguro, que ofrece una amplia variedad de desafíos en varios idiomas y marcos. El sistema fomenta la repetición del juego y, lo que es más importante, se puede personalizar al instante para ofrecer el entorno adecuado para un verdadero aprendizaje contextual.
Proporcione conocimiento cuando sea más útil
Según la teoría del aprendizaje contextual, el aprendizaje efectivo solo ocurre cuando los estudiantes procesan nueva información o conocimiento de tal manera que tengan sentido para ellos, dentro de sus propios marcos de referencia individuales.
Imagine que un desarrollador recibe una lista de vulnerabilidades de seguridad de los programas de recompensas por errores, las herramientas SAST o el software de seguimiento de errores. Pueden quedar perplejos, incluso abrumados, si nunca antes se han topado con estas vulnerabilidades. Lo que es peor, la mayoría de los informes están diseñados para expertos en seguridad de aplicaciones y no para desarrolladores. La información de los informes es difícil de analizar y, a menudo, contiene consejos genéricos que no se aplican directamente a un desarrollador.
Recientemente, agregamos la posibilidad de establecer enlaces profundos y directos a la capacitación práctica sobre vulnerabilidades de los programas de recompensas por errores, las herramientas SAST, el software de seguimiento de errores y los informes de pruebas de penetración. Los desarrolladores pueden comprender de inmediato los conceptos básicos y aprender buenas recetas de programación para su marco particular.
Aprender de esta manera garantiza que los desarrolladores reciban conocimiento y capacitación sobre los conceptos cuando son más relevantes, y es mucho más probable que retengan esa información a largo plazo.
Resultados más rápidos, menos interrupciones, campistas más felices.
Con cualquier formación, un contexto inmediato con tus actividades diarias va a ser mucho más poderoso que intentar aplicar algo genérico a tu trabajo. Pasas menos tiempo en «modo estudio» o, lo que es peor, tienes que repasar cosas que ya has «aprendido» cuando necesitas una respuesta para algo.
Uno de los principios de la capacitación contextual es la capacidad de basarse en el conocimiento para que cada componente de la capacitación se sume al anterior, lo que permite un proceso escalonado que brinda a los participantes un camino hacia el dominio. Una vez más, esto es algo que apoyamos en nuestra plataforma, con un sistema de cinturones similar al que se puede encontrar en un dojo de karate. Todo el mundo empieza con un cinturón blanco, antes de pasar al codiciado nivel de cinturón negro, o «campeón de seguridad», tras dedicar las horas necesarias a entrenar y a participar en un torneo. Es un enfoque divertido con valor real y aplicación práctica.
¿Quiere retener a los mejores talentos y mantenerlos conscientes de la seguridad? Bríndeles las herramientas para tener éxito.
Es una realidad desafortunada que, en este momento, los desarrolladores y especialistas en AppSec conscientes de la seguridad sean un recurso escaso (pero vital). También son notoriamente difíciles de conservar.
Ciberario llevó a cabo una encuesta entre 3100 profesionales de TI y seguridad en 2018, y reveló que un elemento clave para retener a los empleados valiosos era invertir en su formación. Sus resultados muestran que las empresas que proporcionan las herramientas y la formación necesarias para desarrollar sus habilidades de seguridad internas lograron retener a los profesionales de la seguridad un 60% más que las que no lo hicieron, y un enorme 65% de los encuestados prefirió que la formación fuera práctica. Bastante genial, ¿no?
Sin embargo, los resultados de la encuesta también proporcionaron una revelación bastante alarmante: el 80% de los encuestados no se sienten adecuadamente preparados para defender a su organización contra las ciberamenazas. Esas amenazas no van a desaparecer, y ahora más que nunca se necesita la formación adecuada para combatir el creciente riesgo de costosas filtraciones de datos y ataques. Y, bueno, puede que sea parcial, pero la plataforma de Secure Code Warrior podría ser la herramienta que necesita para fomentar una cultura de seguridad positiva, mejorar sus habilidades y apoyar a los desarrolladores con la formación contextual que tanto les gusta y proteger a su organización de los delincuentes. Solicita una demostración y te mostraremos más.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Lo siento, tengo que dar una mala noticia.
La formación tradicional ha muerto.
Bueno, está bien, no lo es... pero probablemente debería serlo. Una y otra vez, los estudios han demostrado que meter a un grupo de personas en el aula para que aprendan algo nuevo, finalicen una tarea de cumplimiento o se vuelvan a capacitar es una de las formas más ineficaces de que las personas reciban una educación. Y en lo que respecta a la formación empresarial, esas estadísticas no mejoran. La Harvard Business Review publicó un estudio sobre la eficacia de la formación presencial para los nuevos empleados de grandes empresas, y descubrió que este método de aprendizaje requería un promedio de de ocho a doce meses para que los nuevos empleados estén al día y sean productivos. Eso es un muy mucho tiempo para utilizar al máximo las habilidades de una persona (y mucho tiempo para sentirse cómodo, si eres el nuevo empleado). Hoy en día, la mayoría de los lugares no disponen de ese tiempo; inevitablemente, se ahorran gastos, las personas no reciben la formación que necesitan y una empresa pierde mucho valor que podría obtener mucho antes.
Realmente sorprende que muchos lugares sigan confiando en las aulas, los libros de texto aburridos y la abrumadora formación en vídeo para que sus mejores y más brillantes personas se familiaricen con las mejores prácticas o nuevas iniciativas de la empresa, especialmente cuando hay una forma de aprender mucho mejor, más atractiva y más valiosa: la formación contextual. Resulta que los seres humanos retenemos mucho mejor la información cuando nos ponemos manos a la obra con nuevas ideas y procesos.
Ahora, cuando se trata de desarrolladores... somos un grupo especial. Según mi propia experiencia como desarrollador, la formación tradicional no es precisamente lo que incendia mi mundo. Los desarrolladores tienden a resolver problemas de forma creativa e ingeniosa, y prefieren usar las herramientas antes que recibir clases en el aula o sentarse frente a un sinfín de vídeos de una cabeza parlante cuando intentan aprender nueva información. Si nos fijamos en la formación en seguridad en particular, parece que hay una clara desconexión en el panorama actual: los desarrolladores no abordan las vulnerabilidades comunes de su código, lo que lleva a los profesionales de AppSec a arrancarse los pelos cuando se enfrentan a los mismos problemas fáciles de solucionar una y otra vez. La relación entre esos equipos es tensa y los desarrolladores no reciben las herramientas ni la formación adecuadas para mantenerse comprometidos con las mejores prácticas de desarrollo seguro. Su principal objetivo es crear funcionalidades, pero dado que el riesgo cibernético aumenta rápidamente para todas las empresas, simplemente no podemos permitirnos seguir ignorando y restando prioridad a los conocimientos de seguridad.
¿Y la mejor parte? Si los desarrolladores son conscientes de la seguridad, esas vulnerabilidades comunes comienzan a desaparecer. Se reducen los riesgos y los costes de corregir los errores en fase avanzada (y AppSec evita que se les caiga el pelo a ratos).
Entonces, ¿cómo es involucrar a los desarrolladores con la capacitación contextual, exactamente?
Los ejemplos del mundo real son ridículamente poderosos.
Imagínese si todos tuviéramos que aprender a conducir viendo vídeos en YouTube. Si bien puedes hacerte una idea general del funcionamiento de un coche, así como de la secuencia de acontecimientos que se inician para moverte por la carretera, sería prácticamente imposible aprender a conducir bien hasta que te subas a un coche y lo pruebes en persona.
La formación contextual es muy valiosa porque pone al estudiante en el asiento del conductor de lo que se enseña. Cuando tienes un contexto real para algo, el aprendizaje es mucho más atractivo y significativo.
En cuanto a la codificación segura, cualquiera puede ver un vídeo y entender los conceptos básicos de la inyección de SQL, pero el meollo de la solución real del problema se olvida fácilmente cuando se acercan los plazos y la entrega de funciones es prioritaria. Sin embargo, si fuera posible revisar ejemplos de código reales, identificar la inyección y corregirla como parte de un ejercicio de entrenamiento, claro lejos más aplicable al trabajo diario de un desarrollador que al intento de retener información unidireccional. También es más fácil para un desarrollador identificarse, ya que si ve un código similar al que suele escribir, se pondrá de pie y prestará atención.
En el Secure Code Warrior plataforma, hemos gamificado la formación en código seguro, que ofrece una amplia variedad de desafíos en varios idiomas y marcos. El sistema fomenta la repetición del juego y, lo que es más importante, se puede personalizar al instante para ofrecer el entorno adecuado para un verdadero aprendizaje contextual.
Proporcione conocimiento cuando sea más útil
Según la teoría del aprendizaje contextual, el aprendizaje efectivo solo ocurre cuando los estudiantes procesan nueva información o conocimiento de tal manera que tengan sentido para ellos, dentro de sus propios marcos de referencia individuales.
Imagine que un desarrollador recibe una lista de vulnerabilidades de seguridad de los programas de recompensas por errores, las herramientas SAST o el software de seguimiento de errores. Pueden quedar perplejos, incluso abrumados, si nunca antes se han topado con estas vulnerabilidades. Lo que es peor, la mayoría de los informes están diseñados para expertos en seguridad de aplicaciones y no para desarrolladores. La información de los informes es difícil de analizar y, a menudo, contiene consejos genéricos que no se aplican directamente a un desarrollador.
Recientemente, agregamos la posibilidad de establecer enlaces profundos y directos a la capacitación práctica sobre vulnerabilidades de los programas de recompensas por errores, las herramientas SAST, el software de seguimiento de errores y los informes de pruebas de penetración. Los desarrolladores pueden comprender de inmediato los conceptos básicos y aprender buenas recetas de programación para su marco particular.
Aprender de esta manera garantiza que los desarrolladores reciban conocimiento y capacitación sobre los conceptos cuando son más relevantes, y es mucho más probable que retengan esa información a largo plazo.
Resultados más rápidos, menos interrupciones, campistas más felices.
Con cualquier formación, un contexto inmediato con tus actividades diarias va a ser mucho más poderoso que intentar aplicar algo genérico a tu trabajo. Pasas menos tiempo en «modo estudio» o, lo que es peor, tienes que repasar cosas que ya has «aprendido» cuando necesitas una respuesta para algo.
Uno de los principios de la capacitación contextual es la capacidad de basarse en el conocimiento para que cada componente de la capacitación se sume al anterior, lo que permite un proceso escalonado que brinda a los participantes un camino hacia el dominio. Una vez más, esto es algo que apoyamos en nuestra plataforma, con un sistema de cinturones similar al que se puede encontrar en un dojo de karate. Todo el mundo empieza con un cinturón blanco, antes de pasar al codiciado nivel de cinturón negro, o «campeón de seguridad», tras dedicar las horas necesarias a entrenar y a participar en un torneo. Es un enfoque divertido con valor real y aplicación práctica.
¿Quiere retener a los mejores talentos y mantenerlos conscientes de la seguridad? Bríndeles las herramientas para tener éxito.
Es una realidad desafortunada que, en este momento, los desarrolladores y especialistas en AppSec conscientes de la seguridad sean un recurso escaso (pero vital). También son notoriamente difíciles de conservar.
Ciberario llevó a cabo una encuesta entre 3100 profesionales de TI y seguridad en 2018, y reveló que un elemento clave para retener a los empleados valiosos era invertir en su formación. Sus resultados muestran que las empresas que proporcionan las herramientas y la formación necesarias para desarrollar sus habilidades de seguridad internas lograron retener a los profesionales de la seguridad un 60% más que las que no lo hicieron, y un enorme 65% de los encuestados prefirió que la formación fuera práctica. Bastante genial, ¿no?
Sin embargo, los resultados de la encuesta también proporcionaron una revelación bastante alarmante: el 80% de los encuestados no se sienten adecuadamente preparados para defender a su organización contra las ciberamenazas. Esas amenazas no van a desaparecer, y ahora más que nunca se necesita la formación adecuada para combatir el creciente riesgo de costosas filtraciones de datos y ataques. Y, bueno, puede que sea parcial, pero la plataforma de Secure Code Warrior podría ser la herramienta que necesita para fomentar una cultura de seguridad positiva, mejorar sus habilidades y apoyar a los desarrolladores con la formación contextual que tanto les gusta y proteger a su organización de los delincuentes. Solicita una demostración y te mostraremos más.
Inhaltsverzeichnis
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.