Por qué el aprendizaje basado en andamios crea desarrolladores con una seguridad sólida
Después de solo unos minutos de navegar por las noticias tecnológicas, rápidamente quedará claro cuán peligroso se está volviendo el panorama de amenazas. Parece que todos los días llegan informes sobre una violación importante, una nueva vulnerabilidad o una grave amenaza de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los informes y métricas del sector muestran un cada vez más peligroso número de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará en los años venideros.
Para hacer frente a estas nuevas amenazas, hay trabajadores de seguridad de TI de primera línea agotados y con poco personal. A pesar de tener altos salarios y de ser prácticamente indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En un encuesta reciente realizado por el Centro de Estudios Estratégicos e Internacionales, el 82% de los responsables de la toma de decisiones de TI dijeron que sus organizaciones sufrían una escasez de habilidades de ciberseguridad, y el 71% dijo que la escasez había provocado un daño directo y mensurable a sus organizaciones. Solo en los Estados Unidos, el informe señaló que había más de 520 000 puestos de trabajo de ciberseguridad sin cubrir en un campo en el que solo hay unos 940 000 empleados.
En todo el mundo, actualmente hay alrededor de 3,5 millones de empleos de ciberseguridad que están vacantes, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes cantidades de dinero para contratar y retener a profesionales de alto nivel tienen problemas para encontrar candidatos adecuados. En promedio, se tarda aproximadamente un 21% más en llenar una ciberseguridad puesto que cualquier otro puesto, si es que se pueden cubrir.
La habilitación para desarrolladores se ha ignorado durante demasiado tiempo
Notamos en muchos blogs anteriores que se puede recurrir a los desarrolladores para cubrir algunos de esos vacíos críticos en las defensas de ciberseguridad. Lo que pasa es que, tradicionalmente, los desarrolladores nunca recibían formación sobre ciberseguridad. Su desempeño laboral se basaba casi exclusivamente en la velocidad y el tiempo de implementación. La seguridad era la tarea de los equipos de AppSec más adelante.
Desafortunadamente, no se trata solo de cambiar de tema y pedir a los desarrolladores que, de repente, comiencen a añadir seguridad a sus aplicaciones y programas. Incluso si están dispuestos a hacer esos cambios, y las encuestas han demostrado que muchos de ellos lo están, todavía necesitan formación para que eso suceda. También necesitan el estímulo y el apoyo de la alta dirección, pero el primer obstáculo, y con frecuencia el mayor, es contar con la posibilidad de aprender de manera significativa.
Hay una razón por la que millones de puestos de seguridad de TI altamente seguros y bien remunerados permanecen vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede hacer de manera eficiente con una formación estática que se actualiza rápidamente y no es fácil de recordar, y tendrá un impacto positivo mínimo, especialmente si esos requisitos se suman a sus ya de por sí sobrecargados horarios.
Construye un andamio para llegar a un terreno más alto
Enseñar habilidades de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin tener que levantar los pies del suelo. No es posible porque los estudiantes no tienen la base necesaria para dominar los muchos conceptos de nivel superior de un campo complejo como la ciberseguridad. Para compensar, el concepto de aprendizaje andamiado se puede emplear.
Cuando se utiliza un enfoque escalonado o «por capas» para mejorar las habilidades, los temas más amplios generalmente se dividen en experiencias o conceptos de aprendizaje discretos. Esto garantiza que los estudiantes puedan dominar cada concepto mediante los ejercicios y la instrucción apropiados, proporcionando todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los ya dominados, del mismo modo que se construyen andamios físicos a medida que un edificio crece. De esta manera, los estudiantes pueden alcanzar niveles más altos de comprensión y adquisición de habilidades que los que podrían dominar sin ayuda.
Y al igual que el andamiaje físico, ese apoyo se elimina gradualmente cuando ya no es necesario, con una mayor responsabilidad para los estudiantes a medida que adquieren cada vez más conocimientos.
El aprendizaje con andamios se usa principalmente para reducir las emociones negativas y las autopercepciones que los estudiantes pueden experimentar cuando se sienten frustrados, intimidados o desanimados al intentar una tarea difícil sin ayuda. Pero también puede ser muy valioso cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, resulta sumamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto de resultar frustrante y desalentador, especialmente cuando su arduo trabajo se ve recompensado con correcciones de errores y una nueva ración de críticas.
Cuando los desarrolladores reciben herramientas para entender los fundamentos de la codificación segura (por lo general, empezando por Los 10 mejores de OWASP), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo solucionarlos antes de que acaben en producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de soluciones adecuadas. Las capas crecen, poco a poco, y cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o la creación de modelos de amenazas, estos avances no parecen tan intimidantes y pueden abordarse con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para capacitar a los desarrolladores para que puedan producir software de mayor calidad. Como ventaja adicional para las organizaciones que trabajan en ingeniería y están mejorando sus habilidades, cada paso del proceso, o cada nivel de andamiaje, se traducirá directamente en una mejora de la ciberseguridad a medida que vayan aprendiendo. No es necesario esperar hasta el final de un curso para ver los resultados.
Aprender acerca de la ciberseguridad es difícil, y dominarla es casi imposible sin el tipo adecuado de ayuda e instrucción. Adoptar un programa de seguridad con un aprendizaje escalonado puede ayudar a sacar el máximo provecho, ya que los beneficios se hacen evidentes casi de inmediato. Las mejoras comenzarán casi de inmediato y mejorarán de forma continua con el tiempo.
Comience a crear desarrolladores con una seguridad sólida con nosotros; consulte:
Cursos
Misiones
Formación para desarrolladores
... ¡y más!
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para capacitar a los desarrolladores para que puedan producir software de mayor calidad.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostración
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Después de solo unos minutos de navegar por las noticias tecnológicas, rápidamente quedará claro cuán peligroso se está volviendo el panorama de amenazas. Parece que todos los días llegan informes sobre una violación importante, una nueva vulnerabilidad o una grave amenaza de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los informes y métricas del sector muestran un cada vez más peligroso número de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará en los años venideros.
Para hacer frente a estas nuevas amenazas, hay trabajadores de seguridad de TI de primera línea agotados y con poco personal. A pesar de tener altos salarios y de ser prácticamente indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En un encuesta reciente realizado por el Centro de Estudios Estratégicos e Internacionales, el 82% de los responsables de la toma de decisiones de TI dijeron que sus organizaciones sufrían una escasez de habilidades de ciberseguridad, y el 71% dijo que la escasez había provocado un daño directo y mensurable a sus organizaciones. Solo en los Estados Unidos, el informe señaló que había más de 520 000 puestos de trabajo de ciberseguridad sin cubrir en un campo en el que solo hay unos 940 000 empleados.
En todo el mundo, actualmente hay alrededor de 3,5 millones de empleos de ciberseguridad que están vacantes, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes cantidades de dinero para contratar y retener a profesionales de alto nivel tienen problemas para encontrar candidatos adecuados. En promedio, se tarda aproximadamente un 21% más en llenar una ciberseguridad puesto que cualquier otro puesto, si es que se pueden cubrir.
La habilitación para desarrolladores se ha ignorado durante demasiado tiempo
Notamos en muchos blogs anteriores que se puede recurrir a los desarrolladores para cubrir algunos de esos vacíos críticos en las defensas de ciberseguridad. Lo que pasa es que, tradicionalmente, los desarrolladores nunca recibían formación sobre ciberseguridad. Su desempeño laboral se basaba casi exclusivamente en la velocidad y el tiempo de implementación. La seguridad era la tarea de los equipos de AppSec más adelante.
Desafortunadamente, no se trata solo de cambiar de tema y pedir a los desarrolladores que, de repente, comiencen a añadir seguridad a sus aplicaciones y programas. Incluso si están dispuestos a hacer esos cambios, y las encuestas han demostrado que muchos de ellos lo están, todavía necesitan formación para que eso suceda. También necesitan el estímulo y el apoyo de la alta dirección, pero el primer obstáculo, y con frecuencia el mayor, es contar con la posibilidad de aprender de manera significativa.
Hay una razón por la que millones de puestos de seguridad de TI altamente seguros y bien remunerados permanecen vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede hacer de manera eficiente con una formación estática que se actualiza rápidamente y no es fácil de recordar, y tendrá un impacto positivo mínimo, especialmente si esos requisitos se suman a sus ya de por sí sobrecargados horarios.
Construye un andamio para llegar a un terreno más alto
Enseñar habilidades de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin tener que levantar los pies del suelo. No es posible porque los estudiantes no tienen la base necesaria para dominar los muchos conceptos de nivel superior de un campo complejo como la ciberseguridad. Para compensar, el concepto de aprendizaje andamiado se puede emplear.
Cuando se utiliza un enfoque escalonado o «por capas» para mejorar las habilidades, los temas más amplios generalmente se dividen en experiencias o conceptos de aprendizaje discretos. Esto garantiza que los estudiantes puedan dominar cada concepto mediante los ejercicios y la instrucción apropiados, proporcionando todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los ya dominados, del mismo modo que se construyen andamios físicos a medida que un edificio crece. De esta manera, los estudiantes pueden alcanzar niveles más altos de comprensión y adquisición de habilidades que los que podrían dominar sin ayuda.
Y al igual que el andamiaje físico, ese apoyo se elimina gradualmente cuando ya no es necesario, con una mayor responsabilidad para los estudiantes a medida que adquieren cada vez más conocimientos.
El aprendizaje con andamios se usa principalmente para reducir las emociones negativas y las autopercepciones que los estudiantes pueden experimentar cuando se sienten frustrados, intimidados o desanimados al intentar una tarea difícil sin ayuda. Pero también puede ser muy valioso cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, resulta sumamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto de resultar frustrante y desalentador, especialmente cuando su arduo trabajo se ve recompensado con correcciones de errores y una nueva ración de críticas.
Cuando los desarrolladores reciben herramientas para entender los fundamentos de la codificación segura (por lo general, empezando por Los 10 mejores de OWASP), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo solucionarlos antes de que acaben en producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de soluciones adecuadas. Las capas crecen, poco a poco, y cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o la creación de modelos de amenazas, estos avances no parecen tan intimidantes y pueden abordarse con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para capacitar a los desarrolladores para que puedan producir software de mayor calidad. Como ventaja adicional para las organizaciones que trabajan en ingeniería y están mejorando sus habilidades, cada paso del proceso, o cada nivel de andamiaje, se traducirá directamente en una mejora de la ciberseguridad a medida que vayan aprendiendo. No es necesario esperar hasta el final de un curso para ver los resultados.
Aprender acerca de la ciberseguridad es difícil, y dominarla es casi imposible sin el tipo adecuado de ayuda e instrucción. Adoptar un programa de seguridad con un aprendizaje escalonado puede ayudar a sacar el máximo provecho, ya que los beneficios se hacen evidentes casi de inmediato. Las mejoras comenzarán casi de inmediato y mejorarán de forma continua con el tiempo.
Comience a crear desarrolladores con una seguridad sólida con nosotros; consulte:
Cursos
Misiones
Formación para desarrolladores
... ¡y más!
Después de solo unos minutos de navegar por las noticias tecnológicas, rápidamente quedará claro cuán peligroso se está volviendo el panorama de amenazas. Parece que todos los días llegan informes sobre una violación importante, una nueva vulnerabilidad o una grave amenaza de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los informes y métricas del sector muestran un cada vez más peligroso número de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará en los años venideros.
Para hacer frente a estas nuevas amenazas, hay trabajadores de seguridad de TI de primera línea agotados y con poco personal. A pesar de tener altos salarios y de ser prácticamente indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En un encuesta reciente realizado por el Centro de Estudios Estratégicos e Internacionales, el 82% de los responsables de la toma de decisiones de TI dijeron que sus organizaciones sufrían una escasez de habilidades de ciberseguridad, y el 71% dijo que la escasez había provocado un daño directo y mensurable a sus organizaciones. Solo en los Estados Unidos, el informe señaló que había más de 520 000 puestos de trabajo de ciberseguridad sin cubrir en un campo en el que solo hay unos 940 000 empleados.
En todo el mundo, actualmente hay alrededor de 3,5 millones de empleos de ciberseguridad que están vacantes, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes cantidades de dinero para contratar y retener a profesionales de alto nivel tienen problemas para encontrar candidatos adecuados. En promedio, se tarda aproximadamente un 21% más en llenar una ciberseguridad puesto que cualquier otro puesto, si es que se pueden cubrir.
La habilitación para desarrolladores se ha ignorado durante demasiado tiempo
Notamos en muchos blogs anteriores que se puede recurrir a los desarrolladores para cubrir algunos de esos vacíos críticos en las defensas de ciberseguridad. Lo que pasa es que, tradicionalmente, los desarrolladores nunca recibían formación sobre ciberseguridad. Su desempeño laboral se basaba casi exclusivamente en la velocidad y el tiempo de implementación. La seguridad era la tarea de los equipos de AppSec más adelante.
Desafortunadamente, no se trata solo de cambiar de tema y pedir a los desarrolladores que, de repente, comiencen a añadir seguridad a sus aplicaciones y programas. Incluso si están dispuestos a hacer esos cambios, y las encuestas han demostrado que muchos de ellos lo están, todavía necesitan formación para que eso suceda. También necesitan el estímulo y el apoyo de la alta dirección, pero el primer obstáculo, y con frecuencia el mayor, es contar con la posibilidad de aprender de manera significativa.
Hay una razón por la que millones de puestos de seguridad de TI altamente seguros y bien remunerados permanecen vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede hacer de manera eficiente con una formación estática que se actualiza rápidamente y no es fácil de recordar, y tendrá un impacto positivo mínimo, especialmente si esos requisitos se suman a sus ya de por sí sobrecargados horarios.
Construye un andamio para llegar a un terreno más alto
Enseñar habilidades de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin tener que levantar los pies del suelo. No es posible porque los estudiantes no tienen la base necesaria para dominar los muchos conceptos de nivel superior de un campo complejo como la ciberseguridad. Para compensar, el concepto de aprendizaje andamiado se puede emplear.
Cuando se utiliza un enfoque escalonado o «por capas» para mejorar las habilidades, los temas más amplios generalmente se dividen en experiencias o conceptos de aprendizaje discretos. Esto garantiza que los estudiantes puedan dominar cada concepto mediante los ejercicios y la instrucción apropiados, proporcionando todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los ya dominados, del mismo modo que se construyen andamios físicos a medida que un edificio crece. De esta manera, los estudiantes pueden alcanzar niveles más altos de comprensión y adquisición de habilidades que los que podrían dominar sin ayuda.
Y al igual que el andamiaje físico, ese apoyo se elimina gradualmente cuando ya no es necesario, con una mayor responsabilidad para los estudiantes a medida que adquieren cada vez más conocimientos.
El aprendizaje con andamios se usa principalmente para reducir las emociones negativas y las autopercepciones que los estudiantes pueden experimentar cuando se sienten frustrados, intimidados o desanimados al intentar una tarea difícil sin ayuda. Pero también puede ser muy valioso cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, resulta sumamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto de resultar frustrante y desalentador, especialmente cuando su arduo trabajo se ve recompensado con correcciones de errores y una nueva ración de críticas.
Cuando los desarrolladores reciben herramientas para entender los fundamentos de la codificación segura (por lo general, empezando por Los 10 mejores de OWASP), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo solucionarlos antes de que acaben en producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de soluciones adecuadas. Las capas crecen, poco a poco, y cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o la creación de modelos de amenazas, estos avances no parecen tan intimidantes y pueden abordarse con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para capacitar a los desarrolladores para que puedan producir software de mayor calidad. Como ventaja adicional para las organizaciones que trabajan en ingeniería y están mejorando sus habilidades, cada paso del proceso, o cada nivel de andamiaje, se traducirá directamente en una mejora de la ciberseguridad a medida que vayan aprendiendo. No es necesario esperar hasta el final de un curso para ver los resultados.
Aprender acerca de la ciberseguridad es difícil, y dominarla es casi imposible sin el tipo adecuado de ayuda e instrucción. Adoptar un programa de seguridad con un aprendizaje escalonado puede ayudar a sacar el máximo provecho, ya que los beneficios se hacen evidentes casi de inmediato. Las mejoras comenzarán casi de inmediato y mejorarán de forma continua con el tiempo.
Comience a crear desarrolladores con una seguridad sólida con nosotros; consulte:
Cursos
Misiones
Formación para desarrolladores
... ¡y más!
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserva una demostración
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Después de solo unos minutos de navegar por las noticias tecnológicas, rápidamente quedará claro cuán peligroso se está volviendo el panorama de amenazas. Parece que todos los días llegan informes sobre una violación importante, una nueva vulnerabilidad o una grave amenaza de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los informes y métricas del sector muestran un cada vez más peligroso número de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará en los años venideros.
Para hacer frente a estas nuevas amenazas, hay trabajadores de seguridad de TI de primera línea agotados y con poco personal. A pesar de tener altos salarios y de ser prácticamente indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En un encuesta reciente realizado por el Centro de Estudios Estratégicos e Internacionales, el 82% de los responsables de la toma de decisiones de TI dijeron que sus organizaciones sufrían una escasez de habilidades de ciberseguridad, y el 71% dijo que la escasez había provocado un daño directo y mensurable a sus organizaciones. Solo en los Estados Unidos, el informe señaló que había más de 520 000 puestos de trabajo de ciberseguridad sin cubrir en un campo en el que solo hay unos 940 000 empleados.
En todo el mundo, actualmente hay alrededor de 3,5 millones de empleos de ciberseguridad que están vacantes, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes cantidades de dinero para contratar y retener a profesionales de alto nivel tienen problemas para encontrar candidatos adecuados. En promedio, se tarda aproximadamente un 21% más en llenar una ciberseguridad puesto que cualquier otro puesto, si es que se pueden cubrir.
La habilitación para desarrolladores se ha ignorado durante demasiado tiempo
Notamos en muchos blogs anteriores que se puede recurrir a los desarrolladores para cubrir algunos de esos vacíos críticos en las defensas de ciberseguridad. Lo que pasa es que, tradicionalmente, los desarrolladores nunca recibían formación sobre ciberseguridad. Su desempeño laboral se basaba casi exclusivamente en la velocidad y el tiempo de implementación. La seguridad era la tarea de los equipos de AppSec más adelante.
Desafortunadamente, no se trata solo de cambiar de tema y pedir a los desarrolladores que, de repente, comiencen a añadir seguridad a sus aplicaciones y programas. Incluso si están dispuestos a hacer esos cambios, y las encuestas han demostrado que muchos de ellos lo están, todavía necesitan formación para que eso suceda. También necesitan el estímulo y el apoyo de la alta dirección, pero el primer obstáculo, y con frecuencia el mayor, es contar con la posibilidad de aprender de manera significativa.
Hay una razón por la que millones de puestos de seguridad de TI altamente seguros y bien remunerados permanecen vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede hacer de manera eficiente con una formación estática que se actualiza rápidamente y no es fácil de recordar, y tendrá un impacto positivo mínimo, especialmente si esos requisitos se suman a sus ya de por sí sobrecargados horarios.
Construye un andamio para llegar a un terreno más alto
Enseñar habilidades de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin tener que levantar los pies del suelo. No es posible porque los estudiantes no tienen la base necesaria para dominar los muchos conceptos de nivel superior de un campo complejo como la ciberseguridad. Para compensar, el concepto de aprendizaje andamiado se puede emplear.
Cuando se utiliza un enfoque escalonado o «por capas» para mejorar las habilidades, los temas más amplios generalmente se dividen en experiencias o conceptos de aprendizaje discretos. Esto garantiza que los estudiantes puedan dominar cada concepto mediante los ejercicios y la instrucción apropiados, proporcionando todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los ya dominados, del mismo modo que se construyen andamios físicos a medida que un edificio crece. De esta manera, los estudiantes pueden alcanzar niveles más altos de comprensión y adquisición de habilidades que los que podrían dominar sin ayuda.
Y al igual que el andamiaje físico, ese apoyo se elimina gradualmente cuando ya no es necesario, con una mayor responsabilidad para los estudiantes a medida que adquieren cada vez más conocimientos.
El aprendizaje con andamios se usa principalmente para reducir las emociones negativas y las autopercepciones que los estudiantes pueden experimentar cuando se sienten frustrados, intimidados o desanimados al intentar una tarea difícil sin ayuda. Pero también puede ser muy valioso cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, resulta sumamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto de resultar frustrante y desalentador, especialmente cuando su arduo trabajo se ve recompensado con correcciones de errores y una nueva ración de críticas.
Cuando los desarrolladores reciben herramientas para entender los fundamentos de la codificación segura (por lo general, empezando por Los 10 mejores de OWASP), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo solucionarlos antes de que acaben en producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de soluciones adecuadas. Las capas crecen, poco a poco, y cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o la creación de modelos de amenazas, estos avances no parecen tan intimidantes y pueden abordarse con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para capacitar a los desarrolladores para que puedan producir software de mayor calidad. Como ventaja adicional para las organizaciones que trabajan en ingeniería y están mejorando sus habilidades, cada paso del proceso, o cada nivel de andamiaje, se traducirá directamente en una mejora de la ciberseguridad a medida que vayan aprendiendo. No es necesario esperar hasta el final de un curso para ver los resultados.
Aprender acerca de la ciberseguridad es difícil, y dominarla es casi imposible sin el tipo adecuado de ayuda e instrucción. Adoptar un programa de seguridad con un aprendizaje escalonado puede ayudar a sacar el máximo provecho, ya que los beneficios se hacen evidentes casi de inmediato. Las mejoras comenzarán casi de inmediato y mejorarán de forma continua con el tiempo.
Comience a crear desarrolladores con una seguridad sólida con nosotros; consulte:
Cursos
Misiones
Formación para desarrolladores
... ¡y más!
Tabla de contenido
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Habilitador 1: Criterios de éxito definidos y medibles
Enabler 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
