Aprendizaje práctico y contextual: la forma sobrealimentada de entrenar su cerebro para la seguridad
Lo siento, tengo que dar una mala noticia.
La formación tradicional ha muerto.
Bueno, está bien, no lo es... pero probablemente debería serlo. Una y otra vez, los estudios han demostrado que meter a un grupo de personas en el aula para que aprendan algo nuevo, finalicen una tarea de cumplimiento o se vuelvan a capacitar es una de las formas más ineficaces de que las personas reciban una educación. Y en lo que respecta a la formación empresarial, esas estadísticas no mejoran. La Harvard Business Review publicó un estudio sobre la eficacia de la formación presencial para los nuevos empleados de grandes empresas, y descubrió que este método de aprendizaje requería un promedio de de ocho a doce meses para que los nuevos empleados estén al día y sean productivos. Eso es un muy mucho tiempo para utilizar al máximo las habilidades de una persona (y mucho tiempo para sentirse cómodo, si eres el nuevo empleado). Hoy en día, la mayoría de los lugares no disponen de ese tiempo; inevitablemente, se ahorran gastos, las personas no reciben la formación que necesitan y una empresa pierde mucho valor que podría obtener mucho antes.
Realmente sorprende que muchos lugares sigan confiando en las aulas, los libros de texto aburridos y la abrumadora formación en vídeo para que sus mejores y más brillantes personas se familiaricen con las mejores prácticas o nuevas iniciativas de la empresa, especialmente cuando hay una forma de aprender mucho mejor, más atractiva y más valiosa: la formación contextual. Resulta que los seres humanos retenemos mucho mejor la información cuando nos ponemos manos a la obra con nuevas ideas y procesos.
Ahora, cuando se trata de desarrolladores... somos un grupo especial. Según mi propia experiencia como desarrollador, la formación tradicional no es precisamente lo que incendia mi mundo. Los desarrolladores tienden a resolver problemas de forma creativa e ingeniosa, y prefieren usar las herramientas antes que recibir clases en el aula o sentarse frente a un sinfín de vídeos de una cabeza parlante cuando intentan aprender nueva información. Si nos fijamos en la formación en seguridad en particular, parece que hay una clara desconexión en el panorama actual: los desarrolladores no abordan las vulnerabilidades comunes de su código, lo que lleva a los profesionales de AppSec a arrancarse los pelos cuando se enfrentan a los mismos problemas fáciles de solucionar una y otra vez. La relación entre esos equipos es tensa y los desarrolladores no reciben las herramientas ni la formación adecuadas para mantenerse comprometidos con las mejores prácticas de desarrollo seguro. Su principal objetivo es crear funcionalidades, pero dado que el riesgo cibernético aumenta rápidamente para todas las empresas, simplemente no podemos permitirnos seguir ignorando y restando prioridad a los conocimientos de seguridad.
¿Y la mejor parte? Si los desarrolladores son conscientes de la seguridad, esas vulnerabilidades comunes comienzan a desaparecer. Se reducen los riesgos y los costes de corregir los errores en fase avanzada (y AppSec evita que se les caiga el pelo a ratos).
Entonces, ¿cómo es involucrar a los desarrolladores con la capacitación contextual, exactamente?
Los ejemplos del mundo real son ridículamente poderosos.
Imagínese si todos tuviéramos que aprender a conducir viendo vídeos en YouTube. Si bien puedes hacerte una idea general del funcionamiento de un coche, así como de la secuencia de acontecimientos que se inician para moverte por la carretera, sería prácticamente imposible aprender a conducir bien hasta que te subas a un coche y lo pruebes en persona.
La formación contextual es muy valiosa porque pone al estudiante en el asiento del conductor de lo que se enseña. Cuando tienes un contexto real para algo, el aprendizaje es mucho más atractivo y significativo.
En cuanto a la codificación segura, cualquiera puede ver un vídeo y entender los conceptos básicos de la inyección de SQL, pero el meollo de la solución real del problema se olvida fácilmente cuando se acercan los plazos y la entrega de funciones es prioritaria. Sin embargo, si fuera posible revisar ejemplos de código reales, identificar la inyección y corregirla como parte de un ejercicio de entrenamiento, claro lejos más aplicable al trabajo diario de un desarrollador que al intento de retener información unidireccional. También es más fácil para un desarrollador identificarse, ya que si ve un código similar al que suele escribir, se pondrá de pie y prestará atención.
En el Secure Code Warrior plataforma, hemos gamificado la formación en código seguro, que ofrece una amplia variedad de desafíos en varios idiomas y marcos. El sistema fomenta la repetición del juego y, lo que es más importante, se puede personalizar al instante para ofrecer el entorno adecuado para un verdadero aprendizaje contextual.
Proporcione conocimiento cuando sea más útil
Según la teoría del aprendizaje contextual, el aprendizaje efectivo solo ocurre cuando los estudiantes procesan nueva información o conocimiento de tal manera que tengan sentido para ellos, dentro de sus propios marcos de referencia individuales.
Imagine que un desarrollador recibe una lista de vulnerabilidades de seguridad de los programas de recompensas por errores, las herramientas SAST o el software de seguimiento de errores. Pueden quedar perplejos, incluso abrumados, si nunca antes se han topado con estas vulnerabilidades. Lo que es peor, la mayoría de los informes están diseñados para expertos en seguridad de aplicaciones y no para desarrolladores. La información de los informes es difícil de analizar y, a menudo, contiene consejos genéricos que no se aplican directamente a un desarrollador.
Recientemente, agregamos la posibilidad de establecer enlaces profundos y directos a la capacitación práctica sobre vulnerabilidades de los programas de recompensas por errores, las herramientas SAST, el software de seguimiento de errores y los informes de pruebas de penetración. Los desarrolladores pueden comprender de inmediato los conceptos básicos y aprender buenas recetas de programación para su marco particular.
Aprender de esta manera garantiza que los desarrolladores reciban conocimiento y capacitación sobre los conceptos cuando son más relevantes, y es mucho más probable que retengan esa información a largo plazo.
Resultados más rápidos, menos interrupciones, campistas más felices.
Con cualquier formación, un contexto inmediato con tus actividades diarias va a ser mucho más poderoso que intentar aplicar algo genérico a tu trabajo. Pasas menos tiempo en «modo estudio» o, lo que es peor, tienes que repasar cosas que ya has «aprendido» cuando necesitas una respuesta para algo.
Uno de los principios de la capacitación contextual es la capacidad de basarse en el conocimiento para que cada componente de la capacitación se sume al anterior, lo que permite un proceso escalonado que brinda a los participantes un camino hacia el dominio. Una vez más, esto es algo que apoyamos en nuestra plataforma, con un sistema de cinturones similar al que se puede encontrar en un dojo de karate. Todo el mundo empieza con un cinturón blanco, antes de pasar al codiciado nivel de cinturón negro, o «campeón de seguridad», tras dedicar las horas necesarias a entrenar y a participar en un torneo. Es un enfoque divertido con valor real y aplicación práctica.
¿Quiere retener a los mejores talentos y mantenerlos conscientes de la seguridad? Bríndeles las herramientas para tener éxito.
Es una realidad desafortunada que, en este momento, los desarrolladores y especialistas en AppSec conscientes de la seguridad sean un recurso escaso (pero vital). También son notoriamente difíciles de conservar.
Ciberario llevó a cabo una encuesta entre 3100 profesionales de TI y seguridad en 2018, y reveló que un elemento clave para retener a los empleados valiosos era invertir en su formación. Sus resultados muestran que las empresas que proporcionan las herramientas y la formación necesarias para desarrollar sus habilidades de seguridad internas lograron retener a los profesionales de la seguridad un 60% más que las que no lo hicieron, y un enorme 65% de los encuestados prefirió que la formación fuera práctica. Bastante genial, ¿no?
Sin embargo, los resultados de la encuesta también proporcionaron una revelación bastante alarmante: el 80% de los encuestados no se sienten adecuadamente preparados para defender a su organización contra las ciberamenazas. Esas amenazas no van a desaparecer, y ahora más que nunca se necesita la formación adecuada para combatir el creciente riesgo de costosas filtraciones de datos y ataques. Y, bueno, puede que sea parcial, pero la plataforma de Secure Code Warrior podría ser la herramienta que necesita para fomentar una cultura de seguridad positiva, mejorar sus habilidades y apoyar a los desarrolladores con la formación contextual que tanto les gusta y proteger a su organización de los delincuentes. Solicita una demostración y te mostraremos más.
Realmente sorprende que muchos lugares sigan confiando en las aulas, los libros de texto aburridos y la abrumadora formación en vídeo para sacar lo mejor de sí mismos a las nuevas iniciativas, especialmente cuando hay una forma de aprender mucho mejor, más atractiva y más valiosa: la formación contextual.
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
Lo siento, tengo que dar una mala noticia.
La formación tradicional ha muerto.
Bueno, está bien, no lo es... pero probablemente debería serlo. Una y otra vez, los estudios han demostrado que meter a un grupo de personas en el aula para que aprendan algo nuevo, finalicen una tarea de cumplimiento o se vuelvan a capacitar es una de las formas más ineficaces de que las personas reciban una educación. Y en lo que respecta a la formación empresarial, esas estadísticas no mejoran. La Harvard Business Review publicó un estudio sobre la eficacia de la formación presencial para los nuevos empleados de grandes empresas, y descubrió que este método de aprendizaje requería un promedio de de ocho a doce meses para que los nuevos empleados estén al día y sean productivos. Eso es un muy mucho tiempo para utilizar al máximo las habilidades de una persona (y mucho tiempo para sentirse cómodo, si eres el nuevo empleado). Hoy en día, la mayoría de los lugares no disponen de ese tiempo; inevitablemente, se ahorran gastos, las personas no reciben la formación que necesitan y una empresa pierde mucho valor que podría obtener mucho antes.
Realmente sorprende que muchos lugares sigan confiando en las aulas, los libros de texto aburridos y la abrumadora formación en vídeo para que sus mejores y más brillantes personas se familiaricen con las mejores prácticas o nuevas iniciativas de la empresa, especialmente cuando hay una forma de aprender mucho mejor, más atractiva y más valiosa: la formación contextual. Resulta que los seres humanos retenemos mucho mejor la información cuando nos ponemos manos a la obra con nuevas ideas y procesos.
Ahora, cuando se trata de desarrolladores... somos un grupo especial. Según mi propia experiencia como desarrollador, la formación tradicional no es precisamente lo que incendia mi mundo. Los desarrolladores tienden a resolver problemas de forma creativa e ingeniosa, y prefieren usar las herramientas antes que recibir clases en el aula o sentarse frente a un sinfín de vídeos de una cabeza parlante cuando intentan aprender nueva información. Si nos fijamos en la formación en seguridad en particular, parece que hay una clara desconexión en el panorama actual: los desarrolladores no abordan las vulnerabilidades comunes de su código, lo que lleva a los profesionales de AppSec a arrancarse los pelos cuando se enfrentan a los mismos problemas fáciles de solucionar una y otra vez. La relación entre esos equipos es tensa y los desarrolladores no reciben las herramientas ni la formación adecuadas para mantenerse comprometidos con las mejores prácticas de desarrollo seguro. Su principal objetivo es crear funcionalidades, pero dado que el riesgo cibernético aumenta rápidamente para todas las empresas, simplemente no podemos permitirnos seguir ignorando y restando prioridad a los conocimientos de seguridad.
¿Y la mejor parte? Si los desarrolladores son conscientes de la seguridad, esas vulnerabilidades comunes comienzan a desaparecer. Se reducen los riesgos y los costes de corregir los errores en fase avanzada (y AppSec evita que se les caiga el pelo a ratos).
Entonces, ¿cómo es involucrar a los desarrolladores con la capacitación contextual, exactamente?
Los ejemplos del mundo real son ridículamente poderosos.
Imagínese si todos tuviéramos que aprender a conducir viendo vídeos en YouTube. Si bien puedes hacerte una idea general del funcionamiento de un coche, así como de la secuencia de acontecimientos que se inician para moverte por la carretera, sería prácticamente imposible aprender a conducir bien hasta que te subas a un coche y lo pruebes en persona.
La formación contextual es muy valiosa porque pone al estudiante en el asiento del conductor de lo que se enseña. Cuando tienes un contexto real para algo, el aprendizaje es mucho más atractivo y significativo.
En cuanto a la codificación segura, cualquiera puede ver un vídeo y entender los conceptos básicos de la inyección de SQL, pero el meollo de la solución real del problema se olvida fácilmente cuando se acercan los plazos y la entrega de funciones es prioritaria. Sin embargo, si fuera posible revisar ejemplos de código reales, identificar la inyección y corregirla como parte de un ejercicio de entrenamiento, claro lejos más aplicable al trabajo diario de un desarrollador que al intento de retener información unidireccional. También es más fácil para un desarrollador identificarse, ya que si ve un código similar al que suele escribir, se pondrá de pie y prestará atención.
En el Secure Code Warrior plataforma, hemos gamificado la formación en código seguro, que ofrece una amplia variedad de desafíos en varios idiomas y marcos. El sistema fomenta la repetición del juego y, lo que es más importante, se puede personalizar al instante para ofrecer el entorno adecuado para un verdadero aprendizaje contextual.
Proporcione conocimiento cuando sea más útil
Según la teoría del aprendizaje contextual, el aprendizaje efectivo solo ocurre cuando los estudiantes procesan nueva información o conocimiento de tal manera que tengan sentido para ellos, dentro de sus propios marcos de referencia individuales.
Imagine que un desarrollador recibe una lista de vulnerabilidades de seguridad de los programas de recompensas por errores, las herramientas SAST o el software de seguimiento de errores. Pueden quedar perplejos, incluso abrumados, si nunca antes se han topado con estas vulnerabilidades. Lo que es peor, la mayoría de los informes están diseñados para expertos en seguridad de aplicaciones y no para desarrolladores. La información de los informes es difícil de analizar y, a menudo, contiene consejos genéricos que no se aplican directamente a un desarrollador.
Recientemente, agregamos la posibilidad de establecer enlaces profundos y directos a la capacitación práctica sobre vulnerabilidades de los programas de recompensas por errores, las herramientas SAST, el software de seguimiento de errores y los informes de pruebas de penetración. Los desarrolladores pueden comprender de inmediato los conceptos básicos y aprender buenas recetas de programación para su marco particular.
Aprender de esta manera garantiza que los desarrolladores reciban conocimiento y capacitación sobre los conceptos cuando son más relevantes, y es mucho más probable que retengan esa información a largo plazo.
Resultados más rápidos, menos interrupciones, campistas más felices.
Con cualquier formación, un contexto inmediato con tus actividades diarias va a ser mucho más poderoso que intentar aplicar algo genérico a tu trabajo. Pasas menos tiempo en «modo estudio» o, lo que es peor, tienes que repasar cosas que ya has «aprendido» cuando necesitas una respuesta para algo.
Uno de los principios de la capacitación contextual es la capacidad de basarse en el conocimiento para que cada componente de la capacitación se sume al anterior, lo que permite un proceso escalonado que brinda a los participantes un camino hacia el dominio. Una vez más, esto es algo que apoyamos en nuestra plataforma, con un sistema de cinturones similar al que se puede encontrar en un dojo de karate. Todo el mundo empieza con un cinturón blanco, antes de pasar al codiciado nivel de cinturón negro, o «campeón de seguridad», tras dedicar las horas necesarias a entrenar y a participar en un torneo. Es un enfoque divertido con valor real y aplicación práctica.
¿Quiere retener a los mejores talentos y mantenerlos conscientes de la seguridad? Bríndeles las herramientas para tener éxito.
Es una realidad desafortunada que, en este momento, los desarrolladores y especialistas en AppSec conscientes de la seguridad sean un recurso escaso (pero vital). También son notoriamente difíciles de conservar.
Ciberario llevó a cabo una encuesta entre 3100 profesionales de TI y seguridad en 2018, y reveló que un elemento clave para retener a los empleados valiosos era invertir en su formación. Sus resultados muestran que las empresas que proporcionan las herramientas y la formación necesarias para desarrollar sus habilidades de seguridad internas lograron retener a los profesionales de la seguridad un 60% más que las que no lo hicieron, y un enorme 65% de los encuestados prefirió que la formación fuera práctica. Bastante genial, ¿no?
Sin embargo, los resultados de la encuesta también proporcionaron una revelación bastante alarmante: el 80% de los encuestados no se sienten adecuadamente preparados para defender a su organización contra las ciberamenazas. Esas amenazas no van a desaparecer, y ahora más que nunca se necesita la formación adecuada para combatir el creciente riesgo de costosas filtraciones de datos y ataques. Y, bueno, puede que sea parcial, pero la plataforma de Secure Code Warrior podría ser la herramienta que necesita para fomentar una cultura de seguridad positiva, mejorar sus habilidades y apoyar a los desarrolladores con la formación contextual que tanto les gusta y proteger a su organización de los delincuentes. Solicita una demostración y te mostraremos más.
Lo siento, tengo que dar una mala noticia.
La formación tradicional ha muerto.
Bueno, está bien, no lo es... pero probablemente debería serlo. Una y otra vez, los estudios han demostrado que meter a un grupo de personas en el aula para que aprendan algo nuevo, finalicen una tarea de cumplimiento o se vuelvan a capacitar es una de las formas más ineficaces de que las personas reciban una educación. Y en lo que respecta a la formación empresarial, esas estadísticas no mejoran. La Harvard Business Review publicó un estudio sobre la eficacia de la formación presencial para los nuevos empleados de grandes empresas, y descubrió que este método de aprendizaje requería un promedio de de ocho a doce meses para que los nuevos empleados estén al día y sean productivos. Eso es un muy mucho tiempo para utilizar al máximo las habilidades de una persona (y mucho tiempo para sentirse cómodo, si eres el nuevo empleado). Hoy en día, la mayoría de los lugares no disponen de ese tiempo; inevitablemente, se ahorran gastos, las personas no reciben la formación que necesitan y una empresa pierde mucho valor que podría obtener mucho antes.
Realmente sorprende que muchos lugares sigan confiando en las aulas, los libros de texto aburridos y la abrumadora formación en vídeo para que sus mejores y más brillantes personas se familiaricen con las mejores prácticas o nuevas iniciativas de la empresa, especialmente cuando hay una forma de aprender mucho mejor, más atractiva y más valiosa: la formación contextual. Resulta que los seres humanos retenemos mucho mejor la información cuando nos ponemos manos a la obra con nuevas ideas y procesos.
Ahora, cuando se trata de desarrolladores... somos un grupo especial. Según mi propia experiencia como desarrollador, la formación tradicional no es precisamente lo que incendia mi mundo. Los desarrolladores tienden a resolver problemas de forma creativa e ingeniosa, y prefieren usar las herramientas antes que recibir clases en el aula o sentarse frente a un sinfín de vídeos de una cabeza parlante cuando intentan aprender nueva información. Si nos fijamos en la formación en seguridad en particular, parece que hay una clara desconexión en el panorama actual: los desarrolladores no abordan las vulnerabilidades comunes de su código, lo que lleva a los profesionales de AppSec a arrancarse los pelos cuando se enfrentan a los mismos problemas fáciles de solucionar una y otra vez. La relación entre esos equipos es tensa y los desarrolladores no reciben las herramientas ni la formación adecuadas para mantenerse comprometidos con las mejores prácticas de desarrollo seguro. Su principal objetivo es crear funcionalidades, pero dado que el riesgo cibernético aumenta rápidamente para todas las empresas, simplemente no podemos permitirnos seguir ignorando y restando prioridad a los conocimientos de seguridad.
¿Y la mejor parte? Si los desarrolladores son conscientes de la seguridad, esas vulnerabilidades comunes comienzan a desaparecer. Se reducen los riesgos y los costes de corregir los errores en fase avanzada (y AppSec evita que se les caiga el pelo a ratos).
Entonces, ¿cómo es involucrar a los desarrolladores con la capacitación contextual, exactamente?
Los ejemplos del mundo real son ridículamente poderosos.
Imagínese si todos tuviéramos que aprender a conducir viendo vídeos en YouTube. Si bien puedes hacerte una idea general del funcionamiento de un coche, así como de la secuencia de acontecimientos que se inician para moverte por la carretera, sería prácticamente imposible aprender a conducir bien hasta que te subas a un coche y lo pruebes en persona.
La formación contextual es muy valiosa porque pone al estudiante en el asiento del conductor de lo que se enseña. Cuando tienes un contexto real para algo, el aprendizaje es mucho más atractivo y significativo.
En cuanto a la codificación segura, cualquiera puede ver un vídeo y entender los conceptos básicos de la inyección de SQL, pero el meollo de la solución real del problema se olvida fácilmente cuando se acercan los plazos y la entrega de funciones es prioritaria. Sin embargo, si fuera posible revisar ejemplos de código reales, identificar la inyección y corregirla como parte de un ejercicio de entrenamiento, claro lejos más aplicable al trabajo diario de un desarrollador que al intento de retener información unidireccional. También es más fácil para un desarrollador identificarse, ya que si ve un código similar al que suele escribir, se pondrá de pie y prestará atención.
En el Secure Code Warrior plataforma, hemos gamificado la formación en código seguro, que ofrece una amplia variedad de desafíos en varios idiomas y marcos. El sistema fomenta la repetición del juego y, lo que es más importante, se puede personalizar al instante para ofrecer el entorno adecuado para un verdadero aprendizaje contextual.
Proporcione conocimiento cuando sea más útil
Según la teoría del aprendizaje contextual, el aprendizaje efectivo solo ocurre cuando los estudiantes procesan nueva información o conocimiento de tal manera que tengan sentido para ellos, dentro de sus propios marcos de referencia individuales.
Imagine que un desarrollador recibe una lista de vulnerabilidades de seguridad de los programas de recompensas por errores, las herramientas SAST o el software de seguimiento de errores. Pueden quedar perplejos, incluso abrumados, si nunca antes se han topado con estas vulnerabilidades. Lo que es peor, la mayoría de los informes están diseñados para expertos en seguridad de aplicaciones y no para desarrolladores. La información de los informes es difícil de analizar y, a menudo, contiene consejos genéricos que no se aplican directamente a un desarrollador.
Recientemente, agregamos la posibilidad de establecer enlaces profundos y directos a la capacitación práctica sobre vulnerabilidades de los programas de recompensas por errores, las herramientas SAST, el software de seguimiento de errores y los informes de pruebas de penetración. Los desarrolladores pueden comprender de inmediato los conceptos básicos y aprender buenas recetas de programación para su marco particular.
Aprender de esta manera garantiza que los desarrolladores reciban conocimiento y capacitación sobre los conceptos cuando son más relevantes, y es mucho más probable que retengan esa información a largo plazo.
Resultados más rápidos, menos interrupciones, campistas más felices.
Con cualquier formación, un contexto inmediato con tus actividades diarias va a ser mucho más poderoso que intentar aplicar algo genérico a tu trabajo. Pasas menos tiempo en «modo estudio» o, lo que es peor, tienes que repasar cosas que ya has «aprendido» cuando necesitas una respuesta para algo.
Uno de los principios de la capacitación contextual es la capacidad de basarse en el conocimiento para que cada componente de la capacitación se sume al anterior, lo que permite un proceso escalonado que brinda a los participantes un camino hacia el dominio. Una vez más, esto es algo que apoyamos en nuestra plataforma, con un sistema de cinturones similar al que se puede encontrar en un dojo de karate. Todo el mundo empieza con un cinturón blanco, antes de pasar al codiciado nivel de cinturón negro, o «campeón de seguridad», tras dedicar las horas necesarias a entrenar y a participar en un torneo. Es un enfoque divertido con valor real y aplicación práctica.
¿Quiere retener a los mejores talentos y mantenerlos conscientes de la seguridad? Bríndeles las herramientas para tener éxito.
Es una realidad desafortunada que, en este momento, los desarrolladores y especialistas en AppSec conscientes de la seguridad sean un recurso escaso (pero vital). También son notoriamente difíciles de conservar.
Ciberario llevó a cabo una encuesta entre 3100 profesionales de TI y seguridad en 2018, y reveló que un elemento clave para retener a los empleados valiosos era invertir en su formación. Sus resultados muestran que las empresas que proporcionan las herramientas y la formación necesarias para desarrollar sus habilidades de seguridad internas lograron retener a los profesionales de la seguridad un 60% más que las que no lo hicieron, y un enorme 65% de los encuestados prefirió que la formación fuera práctica. Bastante genial, ¿no?
Sin embargo, los resultados de la encuesta también proporcionaron una revelación bastante alarmante: el 80% de los encuestados no se sienten adecuadamente preparados para defender a su organización contra las ciberamenazas. Esas amenazas no van a desaparecer, y ahora más que nunca se necesita la formación adecuada para combatir el creciente riesgo de costosas filtraciones de datos y ataques. Y, bueno, puede que sea parcial, pero la plataforma de Secure Code Warrior podría ser la herramienta que necesita para fomentar una cultura de seguridad positiva, mejorar sus habilidades y apoyar a los desarrolladores con la formación contextual que tanto les gusta y proteger a su organización de los delincuentes. Solicita una demostración y te mostraremos más.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
Lo siento, tengo que dar una mala noticia.
La formación tradicional ha muerto.
Bueno, está bien, no lo es... pero probablemente debería serlo. Una y otra vez, los estudios han demostrado que meter a un grupo de personas en el aula para que aprendan algo nuevo, finalicen una tarea de cumplimiento o se vuelvan a capacitar es una de las formas más ineficaces de que las personas reciban una educación. Y en lo que respecta a la formación empresarial, esas estadísticas no mejoran. La Harvard Business Review publicó un estudio sobre la eficacia de la formación presencial para los nuevos empleados de grandes empresas, y descubrió que este método de aprendizaje requería un promedio de de ocho a doce meses para que los nuevos empleados estén al día y sean productivos. Eso es un muy mucho tiempo para utilizar al máximo las habilidades de una persona (y mucho tiempo para sentirse cómodo, si eres el nuevo empleado). Hoy en día, la mayoría de los lugares no disponen de ese tiempo; inevitablemente, se ahorran gastos, las personas no reciben la formación que necesitan y una empresa pierde mucho valor que podría obtener mucho antes.
Realmente sorprende que muchos lugares sigan confiando en las aulas, los libros de texto aburridos y la abrumadora formación en vídeo para que sus mejores y más brillantes personas se familiaricen con las mejores prácticas o nuevas iniciativas de la empresa, especialmente cuando hay una forma de aprender mucho mejor, más atractiva y más valiosa: la formación contextual. Resulta que los seres humanos retenemos mucho mejor la información cuando nos ponemos manos a la obra con nuevas ideas y procesos.
Ahora, cuando se trata de desarrolladores... somos un grupo especial. Según mi propia experiencia como desarrollador, la formación tradicional no es precisamente lo que incendia mi mundo. Los desarrolladores tienden a resolver problemas de forma creativa e ingeniosa, y prefieren usar las herramientas antes que recibir clases en el aula o sentarse frente a un sinfín de vídeos de una cabeza parlante cuando intentan aprender nueva información. Si nos fijamos en la formación en seguridad en particular, parece que hay una clara desconexión en el panorama actual: los desarrolladores no abordan las vulnerabilidades comunes de su código, lo que lleva a los profesionales de AppSec a arrancarse los pelos cuando se enfrentan a los mismos problemas fáciles de solucionar una y otra vez. La relación entre esos equipos es tensa y los desarrolladores no reciben las herramientas ni la formación adecuadas para mantenerse comprometidos con las mejores prácticas de desarrollo seguro. Su principal objetivo es crear funcionalidades, pero dado que el riesgo cibernético aumenta rápidamente para todas las empresas, simplemente no podemos permitirnos seguir ignorando y restando prioridad a los conocimientos de seguridad.
¿Y la mejor parte? Si los desarrolladores son conscientes de la seguridad, esas vulnerabilidades comunes comienzan a desaparecer. Se reducen los riesgos y los costes de corregir los errores en fase avanzada (y AppSec evita que se les caiga el pelo a ratos).
Entonces, ¿cómo es involucrar a los desarrolladores con la capacitación contextual, exactamente?
Los ejemplos del mundo real son ridículamente poderosos.
Imagínese si todos tuviéramos que aprender a conducir viendo vídeos en YouTube. Si bien puedes hacerte una idea general del funcionamiento de un coche, así como de la secuencia de acontecimientos que se inician para moverte por la carretera, sería prácticamente imposible aprender a conducir bien hasta que te subas a un coche y lo pruebes en persona.
La formación contextual es muy valiosa porque pone al estudiante en el asiento del conductor de lo que se enseña. Cuando tienes un contexto real para algo, el aprendizaje es mucho más atractivo y significativo.
En cuanto a la codificación segura, cualquiera puede ver un vídeo y entender los conceptos básicos de la inyección de SQL, pero el meollo de la solución real del problema se olvida fácilmente cuando se acercan los plazos y la entrega de funciones es prioritaria. Sin embargo, si fuera posible revisar ejemplos de código reales, identificar la inyección y corregirla como parte de un ejercicio de entrenamiento, claro lejos más aplicable al trabajo diario de un desarrollador que al intento de retener información unidireccional. También es más fácil para un desarrollador identificarse, ya que si ve un código similar al que suele escribir, se pondrá de pie y prestará atención.
En el Secure Code Warrior plataforma, hemos gamificado la formación en código seguro, que ofrece una amplia variedad de desafíos en varios idiomas y marcos. El sistema fomenta la repetición del juego y, lo que es más importante, se puede personalizar al instante para ofrecer el entorno adecuado para un verdadero aprendizaje contextual.
Proporcione conocimiento cuando sea más útil
Según la teoría del aprendizaje contextual, el aprendizaje efectivo solo ocurre cuando los estudiantes procesan nueva información o conocimiento de tal manera que tengan sentido para ellos, dentro de sus propios marcos de referencia individuales.
Imagine que un desarrollador recibe una lista de vulnerabilidades de seguridad de los programas de recompensas por errores, las herramientas SAST o el software de seguimiento de errores. Pueden quedar perplejos, incluso abrumados, si nunca antes se han topado con estas vulnerabilidades. Lo que es peor, la mayoría de los informes están diseñados para expertos en seguridad de aplicaciones y no para desarrolladores. La información de los informes es difícil de analizar y, a menudo, contiene consejos genéricos que no se aplican directamente a un desarrollador.
Recientemente, agregamos la posibilidad de establecer enlaces profundos y directos a la capacitación práctica sobre vulnerabilidades de los programas de recompensas por errores, las herramientas SAST, el software de seguimiento de errores y los informes de pruebas de penetración. Los desarrolladores pueden comprender de inmediato los conceptos básicos y aprender buenas recetas de programación para su marco particular.
Aprender de esta manera garantiza que los desarrolladores reciban conocimiento y capacitación sobre los conceptos cuando son más relevantes, y es mucho más probable que retengan esa información a largo plazo.
Resultados más rápidos, menos interrupciones, campistas más felices.
Con cualquier formación, un contexto inmediato con tus actividades diarias va a ser mucho más poderoso que intentar aplicar algo genérico a tu trabajo. Pasas menos tiempo en «modo estudio» o, lo que es peor, tienes que repasar cosas que ya has «aprendido» cuando necesitas una respuesta para algo.
Uno de los principios de la capacitación contextual es la capacidad de basarse en el conocimiento para que cada componente de la capacitación se sume al anterior, lo que permite un proceso escalonado que brinda a los participantes un camino hacia el dominio. Una vez más, esto es algo que apoyamos en nuestra plataforma, con un sistema de cinturones similar al que se puede encontrar en un dojo de karate. Todo el mundo empieza con un cinturón blanco, antes de pasar al codiciado nivel de cinturón negro, o «campeón de seguridad», tras dedicar las horas necesarias a entrenar y a participar en un torneo. Es un enfoque divertido con valor real y aplicación práctica.
¿Quiere retener a los mejores talentos y mantenerlos conscientes de la seguridad? Bríndeles las herramientas para tener éxito.
Es una realidad desafortunada que, en este momento, los desarrolladores y especialistas en AppSec conscientes de la seguridad sean un recurso escaso (pero vital). También son notoriamente difíciles de conservar.
Ciberario llevó a cabo una encuesta entre 3100 profesionales de TI y seguridad en 2018, y reveló que un elemento clave para retener a los empleados valiosos era invertir en su formación. Sus resultados muestran que las empresas que proporcionan las herramientas y la formación necesarias para desarrollar sus habilidades de seguridad internas lograron retener a los profesionales de la seguridad un 60% más que las que no lo hicieron, y un enorme 65% de los encuestados prefirió que la formación fuera práctica. Bastante genial, ¿no?
Sin embargo, los resultados de la encuesta también proporcionaron una revelación bastante alarmante: el 80% de los encuestados no se sienten adecuadamente preparados para defender a su organización contra las ciberamenazas. Esas amenazas no van a desaparecer, y ahora más que nunca se necesita la formación adecuada para combatir el creciente riesgo de costosas filtraciones de datos y ataques. Y, bueno, puede que sea parcial, pero la plataforma de Secure Code Warrior podría ser la herramienta que necesita para fomentar una cultura de seguridad positiva, mejorar sus habilidades y apoyar a los desarrolladores con la formación contextual que tanto les gusta y proteger a su organización de los delincuentes. Solicita una demostración y te mostraremos más.
%20(1).avif)
.avif)
