Sabemos que a veces la formación puede parecer una tarea pesada, pero no tiene por qué serlo. Sobre todo cuando se utiliza la plataforma Secure Code Warrior®. Hemos trabajado duro para capturar los aspectos divertidos de los videojuegos (parecer guay, completar misiones, aplastar enemigos) y combinarlos con el desarrollo de habilidades útiles del mundo real en torno a la codificación segura.
Incluso los mejores programas de formación en seguridad necesitan implicación para ser realmente valiosos para todos los participantes. Para ayudar a conseguirlo, hemos enumerado algunos consejos y recomendaciones que hemos aprendido con el tiempo.
Consejos generales
Como se menciona en nuestra Hoja de trucos para la participación en torneos , la imagen de marca puede ayudar a todo su programa de formación en seguridad. Los temas atractivos y la marca no tienen por qué estar vinculados únicamente a eventos específicos.
Tener una marca o un tema asociado a su programa de formación hace que sea mucho más fácil promocionarlo con cosas como carteles y gráficos de correo electrónico. Cuanto más visible sea su programa de formación, más gente sabrá que está aquí para quedarse.
Hot Tip : Si has utilizado una marca o un tema para un torneo, prueba a utilizarlo en el entrenamiento hasta el próximo torneo. En ese momento, puede que quieras que los desarrolladores elijan cuál será el próximo tema. Esto puede dar lugar a algunas ideas interesantes y divertidas que ayuden a fomentar el compromiso.
Otra forma de fomentar la formación es dedicar un tiempo al día o a la semana y hacer que los jefes de equipo o los desarrolladores sénior promuevan este "tiempo de formación ".
Los desarrolladores son excepcionales en la gestión del tiempo, pero puede ser difícil encajar la formación con una fecha límite que se acerca rápidamente. A algunos desarrolladores incluso les pone nerviosos que se les vea formándose porque puede parecer que no están trabajando en sus proyectos habituales.
La clave para mitigar este tipo de situaciones es desarrollar una cultura positiva de apoyo a la formación. La formación y la actualización de conocimientos son cosas buenas por las que nadie debería sentirse juzgado. Los campeones de seguridad pueden ser de gran ayuda en este sentido, ya que forman parte del equipo de desarrollo y están disponibles para prestar apoyo.
Nota: Haga clic aquí para obtener más información sobre Campeones de seguridad.
Primeros pasos
Si lanzó su programa de formación en seguridad con un torneo, habrá revisado los resultados y se habrá dado cuenta de cuáles son las áreas de mejora. Combinando eso con las vulnerabilidades particulares encontradas en su empresa, puede empezar a desarrollar un plan de formación y ser capaz de ofrecer orientación sobre por dónde deben empezar los desarrolladores.
Si sus equipos sólo han tenido una exposición limitada a la plataforma Secure Code Warrior, considere la posibilidad de reunirlos para una demostración de formación. Incluso si sólo se reúnen por equipos o en sus oficinas, un rápido repaso en grupo puede ayudar a facilitar algunas buenas preguntas y respuestas.
Como siempre, asegúrese de que hay una comunicación regular sobre el progreso de su programa de formación en seguridad con actualizaciones sobre cómo la empresa está avanzando hacia el cumplimiento de los objetivos de seguridad. Se trata de una buena información para compartir, ya que la consecución de los objetivos es realmente un esfuerzo de equipo y los colaboradores deben sentirse implicados e informados.
- Cree un canal de comunicación dedicado "Secure Code Warrior Training " en Slack o Yammer para que todos puedan compartir preguntas, aprendizajes y comentarios.
- Organice reuniones semanales o quincenales de los jefes o directores de equipo con los desarrolladores para compartir las mejores prácticas, averiguar con qué están teniendo problemas y qué les ha resultado útil.
- Aproveche a los jefes de equipo y a los defensores de la seguridad para fomentar el compromiso y el apoyo.
- Organice reuniones individuales con los responsables de seguridad y los jefes de equipo para abordar los objetivos empresariales.
- Cree una Wiki interna o una página de formación de autoservicio.
- Anime a los desarrolladores a hablar de su experiencia de formación Secure Code Warrior en sus plataformas de redes sociales. La formación no tiene por qué ser un tema prohibido. Permitirles compartir sus comentarios puede incluso servir como herramienta de reclutamiento.
Durante la formación
A medida que todo el mundo se familiariza con el uso de la plataforma, hay diferentes maneras de mantener el impulso a medida que pasa el tiempo.
Gran parte de la atención debe centrarse en promover la formación como algo positivo. Como ya se ha mencionado, trabajar con los jefes de equipo y los responsables de seguridad para encontrar un momento dedicado a la formación puede facilitar mucho las cosas.
- Los retos están diseñados para ser consumidos en sólo 3-5 minutos. Trabaje con los jefes de equipo para encontrar la manera de incorporar este tiempo a las actividades cotidianas.
- Establezca objetivos alcanzables, como completar 1 ó 2 retos al día o 10 ó 12 retos a la semana.
- Utiliza los canales de comunicación del equipo para comprobar cómo va la formación, si hay comentarios o preguntas pendientes.
- Comparta actualizaciones periódicas en la tabla de clasificación de la empresa o del equipo para mostrar las puntuaciones más altas y fomentar la competición.
- Reconozca y recompense a los desarrolladores que se esfuerzan constantemente por aumentar su puntuación.
- Anima a los desarrolladores a formarse utilizando diferentes lenguajes que les interesen.
- Comparta o vea los vídeos de Fundamentos de la seguridad & Debilidades de la seguridad de las aplicaciones en la pestaña Recursos .
El sistema de sugerencias de la plataforma puede y debe utilizarse si hay alguna incertidumbre en torno a un reto, especialmente cuando se prueban nuevos lenguajes. Aunque este sistema es una ventaja para el aprendizaje, se pierden puntos si se utiliza, ya que forma parte del aspecto lúdico de la plataforma.
El sistema de pistas ofrece un resumen en dos partes de una vulnerabilidad con un vídeo de 3-5 minutos y/o una breve sinopsis que cubre:
- Qué es la vulnerabilidad
- Cómo se produce
- Las cosas malas que ocurren cuando se produce
- Cómo remediar la vulnerabilidad
Las sugerencias son rápidas y fáciles de digerir en un esfuerzo por mantener toda la información útil y relevante. Hablando de información útil, es hora de hablar de las métricas y del importante papel que desempeñan en la formación.
Métricas están disponibles en la plataforma para los administradores y desarrolladores por igual para que todos tengan una visión de al menos sus propias estadísticas personales.
- Anima a los usuarios a comprobar las métricas con regularidad para ver su progreso y ayudarles con el autoaprendizaje.
- Utiliza las métricas para elaborar un plan de formación centrado en las áreas clave.
Desde la pestaña Métricas , puedes revisar un diagrama de araña que presenta 5 subcategorías preparadas por OWASP.
- Autenticación y control de acceso
- Manejo de datos
- Configuración de seguridad
- Protección de datos sensibles
- Prácticas de desarrollo seguras
Nota : Para los administradores, el diagrama será azul. Para los desarrolladores, el diagrama será amarillo.
Fíjate hacia dónde apunta el diagrama de araña en lo que respecta a los puntos fuertes y débiles medios. Esta es una excelente herramienta que da a los desarrolladores el control sobre su propia conciencia de seguridad.
Tener una visión de estos números lleva a saber qué áreas deben ser el objetivo cuando se juega a través de los retos de formación. Al poder elegir en qué centrarse, los desarrolladores pueden mejorar sus habilidades de una forma que les resulte atractiva y tenga sentido para ellos.
De este modo, la formación no está tan estructurada para desarrolladores, sino que está estructurada por ellos.
Ejemplo de compromiso
Esto es sólo un ejemplo rápido de algo que puede intentar como ejercicio de compromiso en el que todos se diviertan un poco.
El tema: Día misterioso
Cómo funciona: En primer lugar, fija una fecha de inicio y otra de finalización. Puede ser desde una semana hasta un mes.
A continuación, elige un día al azar entre esas dos fechas y anótalo. Si un desarrollador entrena ese día, entrará en el sorteo de un premio.
Como tus equipos no sabrán qué día será (de ahí el nombre del juego), anímales a que se conecten y jueguen al menos un reto al día para tener la oportunidad de entrar en el sorteo.
Utilizando la función de informes de la plataforma, podrás aislar los nombres de los que se clasificaron para el sorteo entrenando el Día Misterioso. Lo único que queda por hacer es seleccionar al azar un nombre de la lista y anunciar al afortunado ganador.
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.