アプリケーション・セキュリティの分野では、多くのトレーニング"ソリューション「が十分に直感的でなく、開発者を刺激してスキルアップするのに必要なエンゲージメントを提供していないことに気づきました。
トーナメントのように、評価はSecure Code Warrior®トレーニングプログラムを形成するパズルの一部です。開発者が自分のスキルを確認し、さらに上を目指すための貴重なフィードバックを受けるための優れた方法です。
アセスメントでエンゲージメントレベルを最大化する方法について、いくつかのヒントをまとめました。
アセスメントがどのようなもので、どのように機能するかについては、この記事をご覧ください、 をご覧ください。
考慮すべきこと
アセスメントは、知識の定着と魅力的なトレーニングへの足がかりとなるものです。試験やストレスを与えるためのものではありません。開発者にとっては、自分のスキルを本当に分析し、自分の長所や改善点を見つけるチャンスなのです。
開発者がフルタイムの仕事に就いてしまうと、このような機会はなかなか訪れないので、スキルアップのメリットに焦点を当てることが重要です。
目標を伝え、進捗を測定するために構築された包括的な文化であることをチームに伝えましょう。
どのようにチームとコミュニケーションをとり、励ますかを考える際には、次のことを検討してください:
- アセスメントはテストでも業績評価の一部でもないことを全員に思い出させる。
- アセスメントにまつわる楽しく魅力的なメッセージ-開発者はこれで何を得るのか?
- アセスメント完了に対する競争的な報酬
- セキュアコーディングのベストプラクティスの重要性に関するピアツーピアの活動
- セキュリティチャンピオン セキュリティチャンピオン- セキュリティ、トレーニング、他者支援に熱心なセキュリティチャンピオンがいる
- Q&A セッションの開催 - 開発者が現在直面している課題は何か。彼らはすでに何を知っているのか?
一般的なヒント
これらは、評価プロセスを構築する際に留意すべき一般的なヒントにすぎない。私たちは、セキュリティ研修プログラムのブランディングとテーマ設定に多くの重点を置いていますが、それは役に立つからです。プログラムの認知度を高く保つことで、エンゲージメントが向上し、開発チームがどのようなクールなことの一部であるかという一般的な好奇心が高まります。
コミュニケーション
正しいメッセージを共有し、チームが有益な面を感じていることを確認できるように、評価に関するちょっとしたプロセスを作るのは良いことだ。
- アセスメントを探し、完了した開発者に報酬を与える
- アセスメントの完了とチームの学習意欲を物理的(またはデジタル)に認めるような達成証明書を作成する。
- トレーニングの重要性について、定期的にメールでリマインダーを送る
- チームマネージャーやセキュリティチャンピオンによるサポートが受けられることをチームに知らせる
構造
アセスメントの種類によって、構成を少し変えることができる。
1.アセスメントは、開発者に求める情報に対して管理しやすいものにしましょう。
以下は、スケジュールのハイレベルな例である:
- 最初のアセスメント - 組織に影響を与える脆弱性のトップ 3
(約 1 時間。約 1 時間。6-8 問の簡単な問題、あるいは中程度の難易度の問題を含む。) - 2回目のアセスメント - 組織に影響を与える残りの上位の脆弱性
(約1.5時間。8~10問の簡単な問題および/または中程度の難易度の問題を含む) - 次のアセスメント - より難易度の高い脆弱性を取り上げたアセスメントを実施する。
つの重要な注意事項
- リトライを期待せず、最低合格率を設定しないベースラインアセスメントでは、15 問以上の問題を含めても問題ありません。
- もしアセスメントに最低合格率が設定されているのであれば、開発者が一度目で合格できなくても再挑戦する気になるように、アセスメントは常に小さくて管理しやすいものにした方が良いでしょう。
2.ベースライン評価は別として、より多くの受験を促すためにリトライを許可することをお勧めします。
ヒント: 誰が評価に興味を持っているかを知りたいのであれば、リトライオプションを招待制に設定することができます。
3.最低合格率は一般的に70%から85%の間であるべきです。これは、どの程度難しいか、どのレベルの開発者が評価されるか、組織内の他の評価がどのように測定されるか、などに依存します。
例同じアセスメントについて、若手開発者は 70% で合格、 上級開発者は 80% で合格と設定することもできます。一部の顧客は、より難しい評価、新しい開発者グループ、あるいは非常に若い開発者の合格率を 60% に設定しています。
4.サブカテゴリを使用する粒度は、プログラムの目標に依存します。もしサブカテゴリが本当にあなたの組織を悩ませているなら、それにフォーカスするのは良いことです。カテゴリは、たとえサブカテゴリが異なっていても、同じ高レベルの概念をカバーする傾向があるので、サブカテゴリにフォーカスするよりも、カテゴリ全体で開発者のスキルアップを保証するほうが有益な場合がある。
5.制限時間は顧客ごとに異なる傾向があります。アセスメントを数ヶ月空けることもできますし、全員に同じ日にアセスメントを完了させることもできます。それは、セキュリティトレーニングプログラムに期待することによります。
6.アセスメントを自己評価に開放するか、招待制にするかは、セキュリティトレーニングプログラムのどこに位置づけるか、また、アセスメントがいつ受講されたかをどのように追跡するかによって決まります。公開アセスメントをいくつか用意しておくと、チームが自発的に進捗を測定できるようになります。
開始
まず、Secure Code Warriorの評価とその目的を開発者に正しく紹介することから始めましょう。可能であれば、参加者全員を1つの部屋に集めて行うことをお勧めします。そうすることで、出てきた質問や懸念に対処しやすくなり、すべてのチームが答えを共有しやすくなります。
世界中に拠点がある企業の場合は、ビデオ通話で同様のことを企画してみる価値があります。 セキュリティ・チャンピオンや、開発コミュニティでよく求められている人物に、アセスメントの重要性を説明させることを検討する。
覚えておくべきことがいくつかある:
- 部署、言語/フレームワークなど、アセスメントを受ける開発グループに合わせてアセスメントを作成する。
- 特定の日にアセスメントを行うのであれば、開発者がアセスメントを完了するのに妥当な時間を与えましょう。難易度によっては、10個の課題に1時間以上かかることもあります。
基本的には、今後のすべてのトレーニングのベースラインとなるようなアセスメントを作りたいものです。すべての開発チームをカバーするアセスメントは1つだけではないので、チームがサポートする言語に応じて、一度にいくつかのアセスメントを作成することになるでしょう。
管理者として、チームが達成すべき最も重要なことは何かを考えてみましょう。どのようなトレーニングを想定していますか?
アセスメントの前に
繰り返しになりますが、アセスメントは罰や大きな怖い試験ではありません。これはおそらく、実施前に全員に伝えるべき最も重要なことのひとつでしょう。単なるトレーニングツールの1つに過ぎないのです。
- アセスメントについて事前に伝える
- 複数のチャンネルを使って、次回の評価についてリマインダーを送る。
- アセスメントが利用可能になったら、プラットフォームの招待を見逃した場合に備えて、メールやスラックチャンネルのメッセージなどを送る
- 期待されることと完了日を全員が理解できるようにする
- 大会のように、ポスターやEメールのグラフィックなどでアセスメントを宣伝する
アセスメント終了後
アセスメントのラウンドが終了したら、その結果から学んだことを活かして、次のアセスメントをより良いものにしましょう。チーム間のパターンや共通の弱点をメモしておきましょう。
評価の後、チームが何がうまくいっていて、何を改善する必要があると感じているかについて話し合う時間を設けることを検討しましょう。この生の情報を使って、彼らの懸念や要望に対応したトレーニングを調整し、それに基づいてアセスメントを作成します。
こうすることで、開発者が気になることに集中し、スキルアップする機会を与えることができます。
- ランチ&ラーニングの開催
- 業界全体に共通するミスプラクティスに焦点を当てる
- チームの評価指標を活用する
- アンケートを実施する。長すぎましたか?アセスメントは長すぎましたか?
- 次のステップやトレーニングに関する詳細な連絡を行う
- セキュリティチャンピオンによる支援と指示を提供する
コメント
0件のコメント
サインインしてコメントを残してください。