Por qué el aprendizaje basado en andamios crea desarrolladores con una seguridad sólida

Después de solo unos minutos de navegar por las noticias tecnológicas, rápidamente quedará claro cuán peligroso se está volviendo el panorama de amenazas. Parece que todos los días llegan informes sobre una violación importante, una nueva vulnerabilidad o una grave amenaza de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los informes y métricas del sector muestran un cada vez más peligroso número de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará en los años venideros.
Para hacer frente a estas nuevas amenazas, hay trabajadores de seguridad de TI de primera línea agotados y con poco personal. A pesar de tener altos salarios y de ser prácticamente indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En un encuesta reciente realizado por el Centro de Estudios Estratégicos e Internacionales, el 82% de los responsables de la toma de decisiones de TI dijeron que sus organizaciones sufrían una escasez de habilidades de ciberseguridad, y el 71% dijo que la escasez había provocado un daño directo y mensurable a sus organizaciones. Solo en los Estados Unidos, el informe señaló que había más de 520 000 puestos de trabajo de ciberseguridad sin cubrir en un campo en el que solo hay unos 940 000 empleados.
En todo el mundo, actualmente hay alrededor de 3,5 millones de empleos de ciberseguridad que están vacantes, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes cantidades de dinero para contratar y retener a profesionales de alto nivel tienen problemas para encontrar candidatos adecuados. En promedio, se tarda aproximadamente un 21% más en llenar una ciberseguridad puesto que cualquier otro puesto, si es que se pueden cubrir.
La habilitación para desarrolladores se ha ignorado durante demasiado tiempo
Notamos en muchos blogs anteriores que se puede recurrir a los desarrolladores para cubrir algunos de esos vacíos críticos en las defensas de ciberseguridad. Lo que pasa es que, tradicionalmente, los desarrolladores nunca recibían formación sobre ciberseguridad. Su desempeño laboral se basaba casi exclusivamente en la velocidad y el tiempo de implementación. La seguridad era la tarea de los equipos de AppSec más adelante.
Desafortunadamente, no se trata solo de cambiar de tema y pedir a los desarrolladores que, de repente, comiencen a añadir seguridad a sus aplicaciones y programas. Incluso si están dispuestos a hacer esos cambios, y las encuestas han demostrado que muchos de ellos lo están, todavía necesitan formación para que eso suceda. También necesitan el estímulo y el apoyo de la alta dirección, pero el primer obstáculo, y con frecuencia el mayor, es contar con la posibilidad de aprender de manera significativa.
Hay una razón por la que millones de puestos de seguridad de TI altamente seguros y bien remunerados permanecen vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a ese campo. Aprender a combatir las amenazas y eliminar las vulnerabilidades del código es difícil, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede hacer de manera eficiente con una formación estática que se actualiza rápidamente y no es fácil de recordar, y tendrá un impacto positivo mínimo, especialmente si esos requisitos se suman a sus ya de por sí sobrecargados horarios.
Construye un andamio para llegar a un terreno más alto
Enseñar habilidades de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin tener que levantar los pies del suelo. No es posible porque los estudiantes no tienen la base necesaria para dominar los muchos conceptos de nivel superior de un campo complejo como la ciberseguridad. Para compensar, el concepto de aprendizaje andamiado se puede emplear.
Cuando se utiliza un enfoque escalonado o «por capas» para mejorar las habilidades, los temas más amplios generalmente se dividen en experiencias o conceptos de aprendizaje discretos. Esto garantiza que los estudiantes puedan dominar cada concepto mediante los ejercicios y la instrucción apropiados, proporcionando todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los ya dominados, del mismo modo que se construyen andamios físicos a medida que un edificio crece. De esta manera, los estudiantes pueden alcanzar niveles más altos de comprensión y adquisición de habilidades que los que podrían dominar sin ayuda.
Y al igual que el andamiaje físico, ese apoyo se elimina gradualmente cuando ya no es necesario, con una mayor responsabilidad para los estudiantes a medida que adquieren cada vez más conocimientos.
El aprendizaje con andamios se usa principalmente para reducir las emociones negativas y las autopercepciones que los estudiantes pueden experimentar cuando se sienten frustrados, intimidados o desanimados al intentar una tarea difícil sin ayuda. Pero también puede ser muy valioso cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, resulta sumamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto de resultar frustrante y desalentador, especialmente cuando su arduo trabajo se ve recompensado con correcciones de errores y una nueva ración de críticas.
Cuando los desarrolladores reciben herramientas para entender los fundamentos de la codificación segura (por lo general, empezando por Los 10 mejores de OWASP), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo solucionarlos antes de que acaben en producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de soluciones adecuadas. Las capas crecen, poco a poco, y cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o la creación de modelos de amenazas, estos avances no parecen tan intimidantes y pueden abordarse con precisión.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para capacitar a los desarrolladores para que puedan producir software de mayor calidad. Como ventaja adicional para las organizaciones que trabajan en ingeniería y están mejorando sus habilidades, cada paso del proceso, o cada nivel de andamiaje, se traducirá directamente en una mejora de la ciberseguridad a medida que vayan aprendiendo. No es necesario esperar hasta el final de un curso para ver los resultados.
Aprender acerca de la ciberseguridad es difícil, y dominarla es casi imposible sin el tipo adecuado de ayuda e instrucción. Adoptar un programa de seguridad con un aprendizaje escalonado puede ayudar a sacar el máximo provecho, ya que los beneficios se hacen evidentes casi de inmediato. Las mejoras comenzarán casi de inmediato y mejorarán de forma continua con el tiempo.
Comience a crear desarrolladores con una seguridad sólida con nosotros; consulte:
Cursos
Misiones
Formación para desarrolladores
... ¡y más!
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

El futuro de la gobernanza de software de IA se construye sobre asociaciones sólidas
Descubra por qué Secure Code Warrior se está convirtiendo en una empresa centrada en el canal y cómo los socios de confianza ayudan a las organizaciones a adoptar la gobernanza de software de IA de forma segura y a escala.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

