一些CISO正在将安全技能的短缺变成一个机会
当我本周前往旧金山参加RSA时,我正准备与CISO们进行大量的讨论。这可能会让你感到惊讶,但这些天与许多CISO的对话并不愉快。
他们知道安全风险正在增加,但许多人看不到安全改进的机会,反而认为他们的组织比以前更容易成为数据泄露或网络安全攻击的受害者。
在我平时与CISO的谈话中,最常见的主题之一就是他们对网络安全技能短缺问题的担忧。
"我们的安全团队对于我们的工程团队或公司的规模来说还不够大。"
"我们的安全团队不断被海外公司挖走,他们提供非凡的薪资待遇,以及工作和探索其他大陆的机会。"
"我们的安全专家忙于救火,无法保持他们的技能发展"。
这一主题得到了一些研究报告的支持,包括2017年Ponemon研究所的调查,其中 "缺乏有能力的内部工作人员 "在2018年CISO网络安全关注的所有其他形式中居首位。
这种关键的安全技能差距不可能很快消失,特别是在像澳大利亚这样的市场,最聪明的人才经常转移到海外,而移民法使得将外国安全专家引入该国变得越来越困难。
澳大利亚技能短缺的一个有趣之处在于,缺乏招聘技术专家的能力导致了对国家安全技能建设的一些积极关注。正如本杰明-富兰克林(Benjamin Franklin)所说,"逆境中产生机会"。澳大利亚政府、教育机构、企业和初创企业正在制定计划,在当地培养一系列的安全技能。
安全技能的逆境肯定会带来机会,其中一个领域是在内部和外包开发团队中发展安全编码技能。鉴于世界上大多数主要的安全漏洞可归因于编码错误,并且平均漏洞成本为360万美元,软件安全无疑是安全挑战的重要组成部分。在应用安全预算中,最大(且不断增加)的支出之一是用于被动的应用安全识别和补救,往往是年复一年地发生同样的老错误。
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
这并不意味着用开发人员取代安全专家,但它确实意味着让开发人员参与到安全问题中来,使安全成为他们日常思维的一部分,并教会他们以一种有趣、有效和高效的方式进行安全编码。其结果是,稀缺的安全专业知识可以更好地用于寻找和修复真正具有挑战性的、复杂的漏洞,而不是处理那些老旧的漏洞。
对于一些CISO来说,这可能听起来好得不像真的,或者太难实施,但事实是这两者都不是。在Secure Code Warrior ,我们已经看到越来越多的CISO接受了这个机会,并在这个过程中改变了安全和开发团队的工作生活。
在全球范围内,有一群CISO带头在其软件开发人员中培养强大的安全思维和技能,他们就是澳大利亚银行。早在2016年和2017年,澳大利亚银行就是这种方法的早期采用者。该国的六大银行现在积极鼓励和吸引他们的开发团队通过我们的在线、自定进度、游戏化的学习环境建立安全编码技能。这些银行还定期审查实时指标和报告,以验证其开发人员和团队的优势和劣势。
这种方法产生了切实而积极的结果,包括减少常见漏洞的发生、提高开发人员的安全意识以及改善安全和开发团队之间的关系。那些投资于教他们的开发人员安全编码的公司将减少他们现有的安全人才的压力,以及减少他们通过软件不安全的风险。
如果你是一名CISO(或认识一名CISO),对你的组织内的安全状况感到沮丧,我鼓励你考虑一个直接的方法,以获得一些积极和切实的安全改进点。让你的开发人员以一种相关的、积极的和有趣的方式来学习安全编码。你的安全和开发团队会为此感谢你,你也会在产品创新和开发方面减少成本和延误。我敢打赌,这将为许多积极的安全对话铺平道路 ....
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
一些CISO正在将安全技能的短缺变成一个机会
当我本周前往旧金山参加RSA时,我正准备与CISO们进行大量的讨论。这可能会让你感到惊讶,但这些天与许多CISO的对话并不愉快。
他们知道安全风险正在增加,但许多人看不到安全改进的机会,反而认为他们的组织比以前更容易成为数据泄露或网络安全攻击的受害者。
在我平时与CISO的谈话中,最常见的主题之一就是他们对网络安全技能短缺问题的担忧。
"我们的安全团队对于我们的工程团队或公司的规模来说还不够大。"
"我们的安全团队不断被海外公司挖走,他们提供非凡的薪资待遇,以及工作和探索其他大陆的机会。"
"我们的安全专家忙于救火,无法保持他们的技能发展"。
这一主题得到了一些研究报告的支持,包括2017年Ponemon研究所的调查,其中 "缺乏有能力的内部工作人员 "在2018年CISO网络安全关注的所有其他形式中居首位。
这种关键的安全技能差距不可能很快消失,特别是在像澳大利亚这样的市场,最聪明的人才经常转移到海外,而移民法使得将外国安全专家引入该国变得越来越困难。
澳大利亚技能短缺的一个有趣之处在于,缺乏招聘技术专家的能力导致了对国家安全技能建设的一些积极关注。正如本杰明-富兰克林(Benjamin Franklin)所说,"逆境中产生机会"。澳大利亚政府、教育机构、企业和初创企业正在制定计划,在当地培养一系列的安全技能。
安全技能的逆境肯定会带来机会,其中一个领域是在内部和外包开发团队中发展安全编码技能。鉴于世界上大多数主要的安全漏洞可归因于编码错误,并且平均漏洞成本为360万美元,软件安全无疑是安全挑战的重要组成部分。在应用安全预算中,最大(且不断增加)的支出之一是用于被动的应用安全识别和补救,往往是年复一年地发生同样的老错误。
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
这并不意味着用开发人员取代安全专家,但它确实意味着让开发人员参与到安全问题中来,使安全成为他们日常思维的一部分,并教会他们以一种有趣、有效和高效的方式进行安全编码。其结果是,稀缺的安全专业知识可以更好地用于寻找和修复真正具有挑战性的、复杂的漏洞,而不是处理那些老旧的漏洞。
对于一些CISO来说,这可能听起来好得不像真的,或者太难实施,但事实是这两者都不是。在Secure Code Warrior ,我们已经看到越来越多的CISO接受了这个机会,并在这个过程中改变了安全和开发团队的工作生活。
在全球范围内,有一群CISO带头在其软件开发人员中培养强大的安全思维和技能,他们就是澳大利亚银行。早在2016年和2017年,澳大利亚银行就是这种方法的早期采用者。该国的六大银行现在积极鼓励和吸引他们的开发团队通过我们的在线、自定进度、游戏化的学习环境建立安全编码技能。这些银行还定期审查实时指标和报告,以验证其开发人员和团队的优势和劣势。
这种方法产生了切实而积极的结果,包括减少常见漏洞的发生、提高开发人员的安全意识以及改善安全和开发团队之间的关系。那些投资于教他们的开发人员安全编码的公司将减少他们现有的安全人才的压力,以及减少他们通过软件不安全的风险。
如果你是一名CISO(或认识一名CISO),对你的组织内的安全状况感到沮丧,我鼓励你考虑一个直接的方法,以获得一些积极和切实的安全改进点。让你的开发人员以一种相关的、积极的和有趣的方式来学习安全编码。你的安全和开发团队会为此感谢你,你也会在产品创新和开发方面减少成本和延误。我敢打赌,这将为许多积极的安全对话铺平道路 ....
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
