Una vez que haya establecido el nivel mínimo de competencias para sus equipos de desarrollo mediante torneos, cursos y evaluaciones, el siguiente paso en un programa maduro de codificación segura es crear un programa de certificación.
La certificación consiste en crear un conjunto de niveles dentro de su empresa que se definen por determinados conjuntos de habilidades o experiencia. Es una forma de ayudar a establecer objetivos para los desarrolladores y ofrecerles un merecido reconocimiento por alcanzarlos.
- Determine sus niveles de certificación
- Desarrollar habilidades y llegar más lejos
- ¿Cuánta certificación se necesita?
Determine sus niveles de certificación
El primer paso en la creación de un programa de certificación sería decidir una convención de nomenclatura para los niveles de certificación, de modo que pueda crear el mensaje del programa.
Algunas ideas a considerar:
- Niveles
- Rangos
- Cinturones (piense en los colores de los cinturones de kárate)
- Etapas
- Medallas (platino, oro, plata, bronce)
Puedes ser creativo, pero lo importante es que establezcas una ruta de aprendizaje repetible para los nuevos desarrolladores "certificados de referencia" .
Determinar la línea de base es el primer paso. Para este artículo, usaremos simplemente "Niveles". Todo aquel que supere la línea de base se considera 'Nivel 1 ' o equivalente en su programa de certificación.
Un programa de certificación claramente definido anima a los desarrolladores a seguir utilizando la plataforma Secure Code Warrior® para desarrollar sus habilidades con vistas a obtener una mayor acreditación. (es decir, una certificación de "Nivel 2" )
Desarrollar las capacidades e ir más allá
Partiendo de la base, el objetivo debería ser ayudar a los desarrolladores a buscar el siguiente nivel de certificación en su camino hacia la mejora personal y de sus equipos. Para pasar de un nivel al siguiente, considere la posibilidad de crear "Evaluaciones de certificación" diseñadas para cumplir determinados criterios.
Estas "evaluaciones de certificación" deberían
- Ser más exigentes que las evaluaciones generales y de referencia.
- Tener reintentos limitados o nulos
- Incluir retos que cumplan sus criterios de certificación (en función de la organización).
Nota: Para obtener más información sobre las evaluaciones, consulte nuestro artículo Descripción general del módulo de evaluación.
A continuación se muestra la estructura de un programa de certificación recomendado como el mejor de su clase. Eche un vistazo a la tabla para obtener una visión general rápida y, a continuación, siga leyendo para ver cada nivel con más detalle.
Nivel 1 | Nivel 2 | Nivel 3 |
2-3 vulnerabilidades principales de la industria o recomendación SCW | Cobertura restante de la recomendación del sector o del SCW | Cobertura conceptual completa más allá de la recomendación del sector o del SCW (incluye problemas de seguridad menos comunes y más esotéricos), así como módulos avanzados que revisan temas anteriores. |
Esto se comunica como la Licencia para codificar - requisito mínimo para poder acceder a todos los repositorios de código. | Se comunica como base de referencia de la empresa |
Esto se comunica a los Campeones de Seguridad También se recomienda incluir tareas de seguridad adicionales para alcanzar este nivel, como participar o dirigir un ejercicio de modelado de amenazas para una nueva aplicación, y tutelar a los desarrolladores menos maduros en materia de seguridad. |
Cumplimiento obligatorio |
Cumplimiento opcional, pero incentivado mediante la promoción profesional, certificados, bonificaciones, reconocimiento, eliminación de determinados requisitos de seguridad antes de poner el código en producción. Cumplimiento obligatorio a medida que la organización madura |
Finalización opcional pero incentivada de forma similar al Nivel 2 |
Certificación de nivel 1
Este es el requisito mínimo de referencia para que todos los desarrolladores de deben alcanzar, por lo que es bastante importante. La atención debe centrarse en la identificación y corrección de las principales debilidades de seguridad que afectan a su organización en particular a través de sus diversas aplicaciones.
Ejemplo : Si identificas 10 debilidades clave específicas de tu compañía, las habilidades mínimas pueden incluir identificar y remediar 3-5 de esas vulnerabilidades.
Esto conduce a un aprendizaje muy específico que beneficia a los desarrolladores en sus funciones diarias. Para alcanzar este nivel de certificación considere los siguientes requisitos:
- Que el curso sea opcional y la evaluación obligatoria, permitiendo a los usuarios probar si ya conocen el material.
- Alcanzar con éxito el porcentaje de aprobados del 70% en las evaluaciones.
La idea detrás de una certificación de "Nivel 1" o Licencia para codificar es que sea alcanzable para todos los desarrolladores, teniendo en cuenta los diferentes niveles de conciencia de seguridad y el hecho de que los desarrolladores nuevos o junior que se unan a su organización no tendrán conocimiento previo de las debilidades clave específicas con las que se enfrentan sus equipos.
Certificación de nivel 2
A estas alturas, los desarrolladores deberían ser capaces de abordar todas las debilidades clave específicas de la empresa o del equipo. Abra las cosas para el 'Nivel 2' o Línea Base de la Compañía y enfóquese en identificar y remediar las vulnerabilidades restantes de la industria o recomendación SCW. Esta educación tiende a ser mucho más amplia, proporcionando más oportunidades de aprendizaje y actualización para los desarrolladores.
En este nivel de certificación es donde podría ver a algunos de sus Desarrolladores Senior, ya que ya ofrecen un grado de tutoría a sus compañeros.
Nivel 2 Los requisitos recomendados son similares a los deNivel 1:
- Que el curso sea opcional y la evaluación obligatoria, permitiendo a los usuarios comprobar si ya conocen el material.
- Alcanzar el porcentaje de aprobados del 70 % en la evaluación de nivel 2.
La progresión a este nivel no tiene por qué producirse inmediatamente o en absoluto. Cada desarrollador dispondrá de un tiempo diferente para dedicar a la formación, por lo que es importante tenerlo en cuenta.
Certificación de nivel 3
Para obtener la certificación de "Nivel 3", que significa convertirse en Campeón de Seguridad, los desarrolladores deben mostrar interés en seguir avanzando. En cuanto a las habilidades, deben ser capaces de identificar y remediar no sólo las vulnerabilidades de la industria o las recomendaciones del SCW, sino también problemas de seguridad menos comunes y más esotéricos.
Estos desarrolladores estarán muy interesados en encontrar nuevas formas de examinar la seguridad de la codificación y compartir conocimientos con quienes les rodean. También actúan como una extensión de los equipos de seguridad, ayudando con diversas tareas de seguridad para garantizar que el código seguro es empujado a la producción.
Para alcanzar este nivel de certificación, tenga en cuenta los siguientes requisitos:
- Que el curso sea obligatorio, ya que cubre tanto vulnerabilidades menos comunes como módulos avanzados sobre las vulnerabilidades de la industria o recomendaciones del SCW.
- Que la evaluación también sea obligatoria.
- Alcanzar con éxito el porcentaje de aprobados del 70% en la Evaluación de Nivel 3.Implicar a los Campeones de Seguridad en tareas de seguridad, como el modelado de amenazas, tomar la iniciativa en las pruebas de seguridad, etc.Crear un programa de mentores en el que los Campeones de Seguridad entrenen a desarrolladores maduros menos seguros.
¿Cuánta certificación se necesita?
Aunque es tentador querer que todos los desarrolladores tengan una certificación de 'Nivel 3', en realidad, puede que no se adapte al estilo de trabajo de todo el mundo, al tamaño de la empresa o al ritmo de contratación. Los niveles de certificación más altos a menudo pueden inclinarse a asumir funciones más orientadas a las personas, mientras que algunos desarrolladores son más apasionados de la construcción y la codificación.
Lo bueno de un programa de certificación es que da a los desarrolladores la opción de elegir cómo y cuándo desarrollar sus habilidades y buscar oportunidades de crecimiento individual.
La mayoría de sus desarrolladores serán de "Nivel 1" o "Nivel 2" y esto está muy bien; tener una mezcla de diferentes niveles entre sus equipos ayuda a promover la diversidad de habilidades. Sus habilidades de codificación segura y su concienciación en estos niveles son excelentes y seguirán aumentando mediante la actualización de conocimientos en la plataforma Secure Code Warrior a través de torneos y otros eventos que se organizan junto con el programa de certificación.
El objetivo de un programa de certificación no es sólo contar con desarrolladores altamente cualificados, sino que los desarrolladores participen en la creación de una cultura positiva de desarrollo de habilidades de la que deseen formar parte.
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.