Asignaciones
Asigne módulos de formación específicos a usuarios individuales, equipos o toda su organización. Siga la finalización, fije plazos e imponga formación obligatoria.
Crear una asignación
Para crear una nueva asignación, navegue a Asignaciones en la barra lateral de administración y haga clic en "Nueva asignación". Siga estos pasos:
1. Área de contenido
Elija Práctica (desafíos de revisión de código), Aprender (escenarios interactivos de ataque) o Personalizado (un curso personalizado que haya construido). Si elige Personalizado pero su organización aún no ha construido ningún curso personalizado, el formulario muestra una advertencia en línea y el selector permanece vacío hasta que exista al menos un curso.
2. Objetivo
Seleccione qué asignar. La jerarquía del objetivo depende del área de contenido:
- Práctica: Categoría → Módulo → Tema (p. ej. "OWASP Web Top 10 > A03 Injection > SQL Injection"). Elegir solo la categoría crea una asignación a nivel de categoría que cubre automáticamente cada tema que tiene debajo.
- Aprender: Curso → Escenario. Elegir solo el curso cubre cada escenario que tiene debajo.
- Personalizado: Elija uno de los cursos personalizados de su organización. Los elementos del curso dictan qué temas de práctica y escenarios de aprendizaje se siguen para la finalización. Véase Cursos personalizados.
3. Asignatario
Elija quién recibe la asignación: un Usuario individual, un Equipo o Toda la organización. Debajo del selector, el formulario muestra una vista previa en vivo ("Asignará N desafíos a {Asignatario}") para que pueda comprobar el alcance antes de enviar.
4. Plazo
Fije una fecha de vencimiento. Los usuarios verán las asignaciones vencidas destacadas en su panel.
5. Obligatorio
Marque la asignación como obligatorio u opcional. El flag está activado por defecto — las asignaciones obligatorias aparecen de forma destacada en la cola de formación del usuario y contribuyen a los informes de cumplimiento; las opcionales se siguen pero no bloquean las métricas de cumplimiento.
6. Nota
Añada una descripción o contexto opcional para la asignación (p. ej. "Completar antes de la auditoría de seguridad del Q2"). La nota aparece en cursiva bajo el título en la página de detalle de la asignación y en la vista "Mis asignaciones" del asignatario.
Formulario de creación de asignación
Así es el formulario de creación de asignación:
Objetivos de asignación
Puede asignar formación a distintos niveles de granularidad:
| Área de contenido | Nivel de objetivo | Ejemplo |
|---|---|---|
| Práctica | Categoría | Todos los desafíos de OWASP Web Top 10 |
| Práctica | Módulo | Todos los desafíos de A03 Injection |
| Práctica | Tema | Solo los desafíos de SQL Injection |
| Aprender | Curso | Todos los escenarios de Web Security |
| Aprender | Escenario | Solo el escenario IDOR |
| Personalizado | Curso personalizado | El curso "Q2 Onboarding" que construyó en Cursos personalizados |
Seguimiento del progreso
Haga clic en cualquier asignación para ver su página de detalle, que muestra:
- Tasa de finalización global — porcentaje de usuarios asignados que han completado
- Barras de progreso por usuario — progreso individual de cada asignatario
- Estado vencido — destacado cuando se ha pasado el plazo
- Puntuaciones individuales — puntuaciones de desafío por usuario
Detalle de asignación
Así es una página de detalle de asignación:
Editar y desactivar
Puede editar el plazo, la nota, el flag de obligatoriedad y el estado activo de una asignación en cualquier momento. Los cambios se aplican inmediatamente a todos los asignatarios.
La acción Eliminar establece isActive=false — no borra la fila. La asignación deja de aparecer en las vistas "Mis asignaciones" de los asignatarios y deja de contribuir a las métricas de cumplimiento, pero su progreso por usuario se conserva para que los informes históricos sigan resolviéndose. Reactivar una asignación desactivada no está expuesto en la interfaz de administración hoy; es factible a través de la API pública enviando {"isActive": true} contra PATCH /api/public/v1/assignments/{id}.
La página de lista de asignaciones también expone un botón Exportar CSV que descarga cada asignación con su objetivo, asignatario, plazo, flag de obligatoriedad y progreso agregado — útil para paquetes de auditoría.
Elegir el alcance adecuado para una asignación
El mismo contenido de formación puede asignarse en un único tema, en un módulo de temas relacionados o en una categoría completa. Elegir el nivel de granularidad correcto es la diferencia entre una asignación que su equipo termina en una semana y una que se alarga durante un trimestre mientras todos se involucran a medias. Como regla general, asigne por tema cuando reaccione a un incidente concreto o a un hallazgo de pen test, asigne por módulo al incorporar a una nueva persona y asigne por categoría completa solo cuando tenga un margen medido de semanas y una razón clara de cumplimiento.
Asignaciones por tema frente a asignaciones de pista completa
Una asignación de tema único es la herramienta adecuada cuando un pen test reciente ha sacado a la luz una inyección SQL en su código base, cuando un CVE en una biblioteca de la que depende usa una clase de vulnerabilidad que su equipo no ha visto, o cuando un ingeniero necesita un repaso dirigido. El alcance es pequeño, la conexión con el riesgo real es directa y los ingenieros terminan en una o dos sentadas. Las tasas de finalización en asignaciones a nivel de tema suelen ser mucho más altas que en las de nivel de categoría porque el objetivo es concreto.
Una asignación de pista completa — por ejemplo, toda la categoría OWASP Web Top 10 — funciona para cohortes de incorporación y ciclos anuales de formación obligatoria, pero necesita un plazo realista. Cuente con seis a diez semanas para una pista a nivel de categoría a un ritmo sostenible de dos a tres horas semanales de tiempo de formación. Plazos más cortos empujan a los ingenieros a hacer clic en el contenido sin asimilarlo, lo que frustra el propósito y produce un panel impecable con una retención débil detrás.
Acotación temporal y evidencias de cumplimiento
Fije un plazo en cada asignación, incluso en las opcionales. Un plazo replantea la asignación como un compromiso en lugar de un elemento de backlog, y el indicador de vencimiento en el panel del usuario se convierte en un empujón útil para los responsables de línea durante las reuniones uno a uno. Para la formación obligatoria, fije el plazo treinta días antes del corte de evidencias de cumplimiento para tener margen para perseguir a los rezagados.
Para las organizaciones sujetas a PCI DSS 6.2.2 — que exige que los desarrolladores reciban formación en codificación segura relevante para su rol al menos anualmente — las asignaciones sirven como artefacto de evidencia principal. La lista de asignatarios muestra el alcance, las marcas de tiempo de finalización muestran cuándo se realizó la formación y las puntuaciones individuales muestran si los estudiantes se involucraron con el material. Los mismos artefactos satisfacen los requisitos del Anexo A.14 de ISO 27001 sobre formación en desarrollo seguro. Mantenga las asignaciones desactivadas en el sistema en lugar de eliminarlas, ya que la ventana de auditoría de ambos estándares se extiende hacia atrás a través de años anteriores.