Para que los desarrolladores ayuden a matar a la bestia del cibercrimen, la formación es una misión que consta de dos partes
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostración
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserva una demostración
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
Tabla de contenido
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Habilitador 1: Criterios de éxito definidos y medibles
Enabler 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
