Las evaluaciones son una forma probada de poner a prueba la competencia para una mayor conciencia de la seguridad. En este modo, se trata menos de gamificación y más de establecer una línea de base para saber dónde se encuentran los desarrolladores cuando empiezan a utilizar la plataforma, así como de reconocer el progreso realizado a lo largo del viaje de aprendizaje de Secure Code Warrior®.
Las evaluaciones se componen de una serie de retos, muy parecidos a los entrenamientos o torneos, y son bastante sencillas tanto de construir como de participar en ellas.
Generalmente, una vez que una evaluación está disponible y se envían invitaciones a los participantes, debe completarse antes de una fecha determinada y dentro de un período de tiempo especificado.
Durante las evaluaciones, no hay:
- Sugerencias
- Puntos obtenidos para la puntuación de la formación
- Reintentos disponibles (a menos que sean configurados por un administrador)
Esto significa que no hay devoluciones en las respuestas elegidas; son correctas o incorrectas. Después de elegir una respuesta, la plataforma indicará si es correcta o no y ofrecerá comentarios como en el modo de formación, porque las evaluaciones siguen siendo una oportunidad de aprendizaje y el conocimiento es poder.
Aunque existe una mecánica de puntuación asociada a las evaluaciones , no es visible para quienes las realizan. Las evaluaciones también tienen algunas otras cosas en juego que ayudan a determinar el resultado final, todas las cuales pueden ser preseleccionadas, incluyendo:
- Nivel de dificultad
- Categoría de vulnerabilidad
- Subcategoría de vulnerabilidad
Las evaluaciones no están pensadas para ser grandes eventos que den miedo o que afecten a las revisiones de rendimiento; están pensadas para ser otra herramienta que ayude a todo el mundo a reconocer cuánto ha aumentado su concienciación general sobre la seguridad, a la vez que se descubren formas nuevas o diferentes de seguir mejorando.
Cuándo realizar evaluaciones
Las evaluaciones se pueden crear en cualquier momento, aunque hay algunas razones por las que podría querer crear una y tienden a alinearse con diferentes partes del viaje con Secure Code Warrior.
- Evaluaciones de referencia
- Otras evaluaciones del programa de formación
Línea de base
Las evaluaciones de referencia se basan en las principales debilidades de seguridad de una organización. Generalmente, éstas se descubren primero examinando los resultados de un torneo Secure Code Warrior. Los desafíos de los torneos abarcan muchas vulnerabilidades y están pensados para ayudar a reducir las áreas de debilidad.
Recomendamos abordar los 3 puntos débiles principales en una evaluación de referencia poco después de un torneo.
-
Evaluación posterior al torneo
- 3-4 meses de entrenamiento centrado en los puntos débiles clave
- Segunda evaluación completada
- Utilizar los resultados para determinar una base de referencia mínima.
Para una evaluación de referencia, lo ideal es tener una ventana de finalización relativamente corta (2-3 meses) para que pueda empezar a determinar un programa de formación en torno a las áreas que necesitan atención. Todos los desarrolladores de su organización deberían completar con éxito la evaluación de referencia.
Este proceso puede repetirse también para los puntos débiles que siguen a los 3 principales, de modo que pueda abordar los 10 principales de su organización a lo largo del tiempo, por ejemplo.
Una vez que haya establecido la evaluación de referencia, deberá actualizarla periódicamente (por ejemplo, anualmente) para asegurarse de que se mantiene al día.
Evaluaciones en cualquier momento
En el camino, habrá otras oportunidades de evaluación que van desde:
- Cumplimiento de PCI
- Aumento del nivel de certificación
- Varios
Algunas de estas evaluaciones dependerán del tamaño y los requisitos de su organización. Es posible que desee realizar evaluaciones periódicas para determinados equipos o proyectos. También puede crear evaluaciones específicas para contratistas o desarrolladores junior. Las evaluaciones asociadas a un cambio en el nivel de certificación pueden ser más adecuadas si sólo se invita a determinadas personas.
Para todas sus necesidades relacionadas con las evaluaciones, hemos recopilado una lista de artículos útiles que puede consultar.
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.