Seguridad en Aplicaciones Web, edición Gran Canaria

Hace unos meses me llegaba la petición: realizar un curso de seguridad en aplicaciones web para el Gobierno de Canarias a través del ICAP (el Instituto Canario de Administración Pública). Se trataba de 20 horas de concienciación y profundización en un tema que me apasiona y además a impartir en Canarias. Hoy voy a hablar de la edición de Las Palmas de Gran Canaria, si te perdiste la anterior no te pierdas el grueso de la historia en la edición de Santa Cruz de Tenerife.
Ahora que estamos al día, recordarás que salí de la edición en Tenerife relativamente contento pero convencido de que podía hacerlo mucho mejor. Sin embargo, apenas tenía tiempo para introducir cambios, ¿qué iba a ser de mi, entonces?

¿De qué iba el curso?

Concienciar y formar al personal tecnológico del Gobierno de Canarias en las vulnerabilidades de seguridad que afectan a las infraestructuras y aplicaciones Web, técnicas de ataque, mecanismos de defensa y requisitos de seguridad.

Mismo curso, mismos objetivos, idéntico perfil de asistentes. El material que había preparado estaba genial, así que el fallo había estado en la entrega de los contenidos… ¿Qué cambios podía hacer en apenas unos días?

Renovar sin apenas tocar

Usando mejor la comunicación

El principal problema que tuve en la sesión de Santa Cruz fue la sensación de que el curso había sido demasiado teórico. No lo fue, y la culpa de dicha percepción fue mía porque el primer día cuando introduje lo presenté fatal.
En realidad lo presenté bien, pero transmití una sensación errónea (error de comunicación). Algo así como «el curso es bastante práctico, pero el foco está en la teoría» o alguna torpeza semejante salió por mi boca y eso quedó grabado a fuego en todos los asistentes. A partir de ahí la realidad no contó, porque yo había dicho que el curso era teórico.
¿La solución? Lanzar el mensaje correcto. Calcular realmente cuántas horas se dedicaban a cada tema, explicarlo claramente y dejarlo patente por escrito en la diapositiva que planteaba el plan de trabajo. Todo el mundo salió de la introducción del curso sabiendo que el curso era eminentemente práctico. Pero era el mismo curso.

No nos enseñan a comunicar en los colegios ni en las universidades, así que aprende por tu cuenta. Te hará crecer como profesional mucho más que ningún máster o experiencia profesional.

Alterando el orden de los factores

La organización del curso no fue óptima desde un punto más práctico: había planteado una formación lineal, en la que se empezaba por el principio y se terminaba por el final… Y faltó ritmo. El primer y cuarto día resultaron más interesantes, pero los dos intermedios en los que tocaba ver los requerimientos de seguridad se hicieron largos con demasiada teoría al principio y un público que llegaba agotado a los debates y casos prácticos.
Así que los repartí más en el tiempo, saltándome la linealidad del contenido y adelantando los casos prácticos y los debates en la medida de lo posible, utilizándolos como descanso de la teoría con mayor frecuencia y haciendo la vida mucho más amena al respetable público.

Cuando uno imparte una sesión o da una clase, el ritmo y el tono lo son todo. Una formación amena y dinámica se recuerda siempre, un tostón de clase desanima hasta al mayor fan.

Rizar el rizo

Como comentaba antes, apenas tuve tiempo de una edición a otra para meter cambios al contenido propiamente dicho. Aun así, encontré hueco para cambiar y mejorar bastantes cosas…

  • Introducir mejor los servicios web e incluir ejemplos prácticos (di por hecho que los asistentes lo sabrían, pero en Santa Cruz se demostró que no era el caso y que hacía falta profundizar)
  • Detallar los conceptos básicos del cifrado (simétrico, asimétrico, hash…), que tampoco estaban muy frescos
  • Explicar mejor las referencias a la actualidad geek (como explicar los chistes no es gracioso, lo que antes eran anécdotas humorísticas pasaron a ser anécdotas reales)
  • Entrar a detallar algunas herramientas que habían generado interés en la sesión tinerfeña, como el caso de Apache Maven o OWASP ESAPI
  • Quitar el ejercicio práctico de ingeniería social, que no tuvo mucho éxito (no infravaloremos la timidez del público, hablar de temas técnicos y de negocio es relativamente fácil, hacerlo de otras cuestiones no tanto)
  • Tutorizar mucho mejor el caso práctico final: en vez de dejarles relativamente solos para que reflexionasen, dividí el ejercicio en varias sub-fases más claras y sencillas

Resultados y conclusiones

Se trataba del mismo curso a todos los efectos, los cambios entre una edición y otra eran minúsculos, pero los resultados de mi encuesta hablan por si solos…

  • Santa Cruz de Tenerife

  • Las Palmas de Gran Canaria

  • Nota media del curso

  • 70/100
  • 88/100
  • Equilibrio teoría-práctica

  • 43
  • 57
  • Supera las expectativas

Una mejora de 18 puntos en la nota global y de 14 puntos en la apreciación del equilibrio teórico práctico no es ninguna broma. Además, y esto me encanta, 6 de 14 asistentes encontraron que el curso superó sus expectativas (por apenas 2 de 17 en la edición de Santa Cruz, apenas dos semanas antes).

Desgraciadamente no tengo los resultados de la encuesta interna del ICAP para esta segunda edición, pero tampoco me hacen falta. De esta experiencia me llevo varias lecciones muy bien aprendidas.

La experiencia es un grado, la comunicación lo es todo: prácticamente el mismo contenido, pero explicado en otro orden y con unos pocos matices mejor llevados, y los resultados acompañaron. ¿Hasta dónde llegará la próxima sesión? ¿Qué cambios introduciría…?

La única pena, no haberlo clavado en la primera edición. La próxima vez será.


¡No te pierdas nada más! Suscríbete para recibir las novedades del blog. Puedes recibirlo por email (introdúcelo en la caja que encontrarás arriba a la derecha y pulsa el botón «suscríbeme» con total confianza, no te enviaré comunicaciones comerciales) o a través de tu lector favorito de RSS. Y si además quieres conocerme mejor o entrar en contacto, sígueme en Twitter.

About the Author

Fernando Manero

Consultor freelance especializado en estrategia y tecnología.