En el ámbito de la seguridad de las aplicaciones, hemos observado que muchas soluciones de formación " " no son lo suficientemente intuitivas y no proporcionan el compromiso necesario para estimular y mejorar las competencias de los desarrolladores.
Al igual que los torneos, las evaluaciones forman parte del rompecabezas que constituye el programa de formación Secure Code Warrior®. Son una forma excelente de que los desarrolladores comprueben sus habilidades y reciban valiosos comentarios sobre cómo pueden mejorar.
Hemos reunido algunos consejos sobre cómo maximizar los niveles de compromiso con las evaluaciones.
Para obtener una visión general de lo que son las evaluaciones y cómo funcionan, consulte este artículo.
- Aspectos a tener en cuenta
- Consejos generales
- Cómo empezar
- Antes de la evaluación
- Después de la evaluación
Aspectos a tener en cuenta
Las evaluaciones son un trampolín hacia la retención de conocimientos y una formación atractiva. No pretenden ser un examen ni causar estrés. Es una oportunidad para que los desarrolladores analicen realmente sus habilidades y descubran cuáles son sus puntos fuertes y sus áreas de mejora.
Este tipo de oportunidades no se presentan a menudo una vez que un desarrollador trabaja a tiempo completo, por lo que es importante centrarse en el beneficio de la mejora de las competencias.
Haga saber a sus equipos que se trata de una cultura inclusiva construida para comunicar objetivos y medir el progreso.
Cuando piense en cómo comunicar y animar a sus equipos, tenga en cuenta:
- Recordar a todos que las evaluaciones no son un examen ni forman parte de las revisiones del rendimiento.
- Mensajes divertidos y atractivos en torno a las evaluaciones: ¿qué ganan sus desarrolladores con esto?
- Recompensas competitivas por completar las evaluaciones
- Actividades entre iguales relacionadas con la importancia de las mejores prácticas de codificación segura.
- Contar con Campeones de seguridad - apasionados de la seguridad, la formación y el apoyo a los demás.
- Organizar una sesión de preguntas y respuestas&- ¿A qué retos se enfrentan hoy sus programadores? ¿Qué saben ya?
Consejos generales
Éstos son sólo algunos consejos generales que debe tener en cuenta cuando elabore sus procesos de evaluación. Nos centramos mucho en la marca y la tematización de su programa de formación en seguridad, pero eso es porque es útil. Mantiene alta la visibilidad del programa, lo que conduce a un mejor compromiso y a una mayor curiosidad general en torno a las cosas interesantes de las que forman parte sus equipos de desarrollo.
Comunicación
Es bueno crear un proceso en torno a las evaluaciones para que pueda compartir el mensaje correcto y asegurarse de que sus equipos perciben los aspectos beneficiosos.
- Recompense a los desarrolladores por buscar y completar las evaluaciones
- Cree certificados de logros como un reconocimiento físico (o digital) de la finalización de la evaluación y de la voluntad de aprender de su equipo.
- Envíe recordatorios periódicos por correo electrónico sobre la importancia de la formación
- Recuerde a los equipos que disponen de apoyo a través de los jefes de equipo o los responsables de seguridad.
Estructure
Dependiendo del tipo de evaluación, puede estructurar las cosas de forma un poco diferente.
1. La evaluación debe ser manejable para la información que se pide a los desarrolladores.
A continuación se muestra un ejemplo de calendario de alto nivel:
- Primera evaluación - Las 3 principales vulnerabilidades que afectan a su organización
(Aproximadamente 1 hora. Incluya entre 6 y 8 preguntas de nivel de dificultad fácil y/o medio). - Segunda evaluación - Principales vulnerabilidades restantes que afectan a su organización
(Aproximadamente 1,5 horas. Incluye 8-10 preguntas de nivel de dificultad fácil y/o medio) - Evaluaciones siguientes - Aumento de las evaluaciones con vulnerabilidades más difíciles
Dos notas importantes:
- Para evaluaciones de referencia sin expectativas de reintento y sin porcentaje mínimo de aprobación, está bien incluir más de 15 preguntas.
- Si la evaluación tiene un porcentaje mínimo de aprobación, siempre es mejor que sea más pequeña y manejable para que los desarrolladores se sientan animados a intentarlo de nuevo si no lo consiguen la primera vez.
2. Aparte de las evaluaciones de referencia, se recomienda permitir reintentos para animar a más intentos.
Sugerencia: Puede configurar la opción de reintentos como sólo por invitación si desea saber quién está interesado en las evaluaciones.
3. Por lo general, el porcentaje mínimo de aprobados debería estar entre 70%-85%. Esto dependerá de lo difícil que sea, de qué nivel de desarrolladores se estén evaluando, de cómo se estén midiendo otras evaluaciones dentro de la organización, etc.
Ejemplo: Para la misma evaluación, puede establecer que los desarrolladores junior necesiten un 70% para aprobar, mientras que los senior necesiten un 80%. Algunos clientes han fijado el porcentaje de aprobados en el 60% para evaluaciones más difíciles, grupos de desarrolladores más nuevos o desarrolladores muy junior.
4. La granularidad en el uso de subcategorías depende de los objetivos del programa. Si una subcategoría realmente afecta a su organización, es bueno centrarse en ella. Las categorías tienden a cubrir los mismos conceptos de alto nivel, incluso si las subcategorías son diferentes, por lo que puede ser beneficioso asegurarse de que los desarrolladores están capacitados en toda la categoría en lugar de centrarse en las subcategorías.
5. Los plazos suelen variar en función del cliente. Puede dejar las evaluaciones abiertas durante unos meses o decidir que todos las completen el mismo día. Depende de las expectativas que tenga para su programa de formación en seguridad.
6. El hecho de que una evaluación esté abierta a la autoevaluación o sea sólo por invitación depende del lugar que ocupe en su programa de formación en seguridad y de cómo le gustaría hacer un seguimiento de cuándo se realizan las evaluaciones. Tener algunas evaluaciones abiertas es una buena manera de permitir que sus equipos midan su progreso por iniciativa propia.
Cómo empezar
Comience presentando adecuadamente a sus desarrolladores las evaluaciones de Secure Code Warrior y para qué sirven. Si es posible, le sugerimos que lo haga reuniendo a todos los participantes en una sala. De este modo, será más fácil abordar cualquier pregunta o duda que surja y mantener a todos los equipos al tanto de las respuestas.
Para las empresas con sedes en todo el mundo, merece la pena intentar organizar algo similar a través de una videollamada. Considera la posibilidad de que tu campeón de seguridad, o alguien a quien se suele buscar en tu comunidad de desarrollo, ayude a explicar la importancia de las evaluaciones.
He aquí algunas cosas que conviene recordar:
- Crea evaluaciones que se adapten al grupo de desarrollo que las realiza, ya sea un departamento, un lenguaje/marco, etc.
- Si vas a realizar una evaluación en un día concreto, da a los desarrolladores un tiempo razonable para completarla. 10 retos pueden llevar más de una hora, dependiendo del nivel de dificultad.
Básicamente, usted quiere construir evaluaciones que sirvan como línea de base para toda su formación en el futuro. No existe una única evaluación que cubra a todos los equipos de desarrollo, por lo que deberá crear varias a la vez, en función de los idiomas que utilicen sus equipos.
Como administrador, analice qué es lo más importante para sus equipos. ¿Cómo se imagina su formación?
Antes de la evaluación
Una vez más, las evaluaciones no son castigos ni grandes exámenes aterradores. Esta es probablemente una de las cosas más importantes que hay que comunicar a todo el mundo antes de entrar. No son más que otra herramienta de formación.
- Comunique las evaluaciones con antelación
- Utilice varios canales para enviar recordatorios sobre las próximas evaluaciones
- Cuando una evaluación esté disponible, envíe un mensaje de correo electrónico/canal de Slack/etc. en caso de que se haya perdido la invitación a la plataforma
- Asegúrese de que todo el mundo entiende lo que se espera y cuáles son las fechas de finalización.
- Promociona las evaluaciones con pósters y gráficos por correo electrónico, como harías para un torneo.
Después de la evaluación
Una vez finalizada una ronda de evaluaciones, utilice lo que ha aprendido de los resultados para mejorar aún más las siguientes. Tome nota de cualquier patrón o punto débil común a todos los equipos.
Considere la posibilidad de programar un tiempo después de las evaluaciones para que los equipos hablen de lo que funciona y de lo que creen que necesitan mejorar. Utiliza esta información de primera mano para adaptar la formación a sus preocupaciones o peticiones y, a continuación, crea una evaluación basada en ella.
Aquí es donde realmente puedes ayudar a los desarrolladores a centrarse en las cosas que les importan y darles la oportunidad de mejorar sus competencias.
- Organice un almuerzo de trabajo
- Céntrese en las prácticas comunes que se pasan por alto en el sector en su conjunto.
- Aproveche las métricas de evaluación del equipo
- Envíe una encuesta: ¿qué le pareció la evaluación? ¿Fue demasiado larga? ¿Fue relevante para sus actividades laborales cotidianas?
- Proporcione una comunicación detallada sobre los próximos pasos y la formación
- Ofrezca apoyo y orientación a los campeones de seguridad
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.