将枯燥的PCI-DSS合规性变成对每个人有意义的练习。第二部分 - CISO和开发人员的意识

发表于2020年4月17日
作者:马蒂亚斯-马杜,博士
案例研究

将枯燥的PCI-DSS合规性变成对每个人有意义的练习。第二部分 - CISO和开发人员的意识

发表于2020年4月17日
作者:马蒂亚斯-马杜,博士
查看资源
查看资源

这是关于组织内PCI-DSS合规性的迷你系列的第二部分。在这最后一章中,我们将详细介绍首席技术官和首席信息官如何从高层领导减少网络风险,并使这一过程无缝、成功......也许对开发人员来说还有一点乐趣。(你错过了第一部分吗? 点击这里查看了解应用安全专家如何抓住这个机会,取得更好的安全成果)。)

PCI-DSS的最佳实践无疑是一项共同的责任,但CISO和CTO可以利用他们相当大的影响力,从顶层打造一个繁荣的、积极的安全计划。他们是网络安全信任和最终用户相关情绪的形象代言人,早期对意识的关注具有强大的涓滴效应,帮助开发人员和AppSec专业人员获得他们所需的知识、工具和支持,以促进公司内部的强大安全态势。

保持合规性很重要,但当每个人都同意 "为什么",看到结果并以正确的方式进行培养时,一个项目可以超越立法,成为第二天性。

CTO和CISO在创造互信方面有作用

你最近是否上过一个网站,在交出你的信用卡信息时考虑再三?除非是为你当地的比萨店提供在线订购服务的看起来很粗糙的网络应用,否则你可能不会经常遇到这种情况,特别是在大型企业和家喻户晓的在线零售业。

当然,除非他们披露了数据泄露事件。

全球住宿业巨头万豪刚刚披露了他们在三年内的第二次违规事件,这次导致520万条客户记录被盗。这一次,似乎支付信息还不是抢劫的一部分,尽管他们在2018年发生的灾难性违规事件已经解决了这个问题;3.83亿客户被泄露,500万未加密的护照号码被盗,以及800万信用卡号码。

如果顾客对万豪品牌的信任度还没有降到最低的话,我敢说它很快就会跌到谷底。这就是那种让CISO夜不能寐的东西,因为他们觉得在对抗网络威胁的战争中是坐以待毙。看看Equifax、雅虎、索尼、塔吉特--这些只是一些经历过大规模漏洞的大公司,代表着数十亿被盗的数据记录,数千亿美元的损失,以及客户形状的洞,直接打穿了他们的经济心脏。这对企业来说是一场灾难(塔吉特公司在2014年的信息泄露事件后的一个季度内报告了4.4亿美元的利润暴跌),虽然个人通常不需要承担责任--毕竟,软件安全应该是一个共同的责任--但如果你当时碰巧在这些机构工作,你也不希望在本来光鲜的简历上出现这种情况。

在一个处理支付、敏感数据和作为积极客户情绪的无形黄金的组织中,放弃一个强大的安全计划来实现合规性,是一个公司不仅有风险,而且在创新方面严重滞后的标志。

每个人都应该关心客户/组织关系中的信任问题。

除了IT、开发和安全部门在漏洞发生后面临的压力和灾难外,信任因素是一个新公司长期成功的主要因素,也是一个成熟公司持续增长的主要因素。如果公司因失去信任而面临经济衰退,你显然会失去的是你的工作。

PCI-DSS法规要求企业承担责任--如上所述,忽视这些精心设计的计划会产生巨大的影响--但它们只与实施的安全计划以及在其中工作的人一样好。如果你认真对待这些规定,保持警惕,并为他人树立榜样,那么你就会以一种非常积极的方式使自己与众不同。

意识就是一切。

一个失败的安全意识计划会使大多数保持PCI兼容的尝试接近于无用。整个组织的安全意识构成了最佳实践指南的最关键部分;他们甚至提供了自己的培训模块,说明如何在跨职能的角色中实施安全意识,以及在做得好的企业中这是什么样子。

随着我们将DevSecOps作为当前安全软件开发的黄金标准--其中安全作为一种共同的责任是最基本的--企业必须花费时间、金钱和精力来确保每个人,包括供应商和承包商,都有安全意识并遵循最佳实践。

一个有安全意识的开发者就是一个合规的开发者(而要达到这个目标并不一定是枯燥的)。

当谈到成为一个 "认证的 "符合PCI-DSS的开发人员时,并没有太多的明显选择。为什么呢?可能是因为它不可能是一个 "一蹴而就 "的工作。

在学习如何挫败常见漏洞方面,OWASP组织是地球上最好的组织之一,他们的前十名被正式列入PCI-DSS的开发者指南中。然而,保持安全意识和磨练技能需要时间和持续努力。而没有人希望这是不鼓舞人心和浪费精力的。

积极的安全文化在一个组织中不是一个 "不错的选择";如果他们认真对待安全问题,那么它就需要成为公司日常运作的一部分。

当涉及到阻止漏洞时,开发人员处于战斗的最前线。他们是否得到了支持、工具和培训,以维持他们在PCI-DSS合规性中的安全交易部分?

事实上,正确的培训是更加无缝的;它不应该让人感觉是在讲课,而且应该与每天的工作高度相关。这种实践培训是一个提高技能的机会--对于那些认真阻止漏洞并与团队其他成员合作以产生更高标准的代码的开发人员来说,这种职业发展只有积极意义。

想现在就测试一下你的安全编码技能吗? 选择你的任务.

查看资源
查看资源

作者

马蒂亚斯-马杜博士

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

想要更多吗?

在博客上深入了解我们最新的安全编码见解。

我们广泛的资源库旨在增强人类对安全编码技术提升的方法。

查看博客
想要更多吗?

获取关于开发者驱动的安全的最新研究

我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。

资源中心

将枯燥的PCI-DSS合规性变成对每个人有意义的练习。第二部分 - CISO和开发人员的意识

发表于2020年4月17日
作者:马蒂亚斯-马杜,博士

这是关于组织内PCI-DSS合规性的迷你系列的第二部分。在这最后一章中,我们将详细介绍首席技术官和首席信息官如何从高层领导减少网络风险,并使这一过程无缝、成功......也许对开发人员来说还有一点乐趣。(你错过了第一部分吗? 点击这里查看了解应用安全专家如何抓住这个机会,取得更好的安全成果)。)

PCI-DSS的最佳实践无疑是一项共同的责任,但CISO和CTO可以利用他们相当大的影响力,从顶层打造一个繁荣的、积极的安全计划。他们是网络安全信任和最终用户相关情绪的形象代言人,早期对意识的关注具有强大的涓滴效应,帮助开发人员和AppSec专业人员获得他们所需的知识、工具和支持,以促进公司内部的强大安全态势。

保持合规性很重要,但当每个人都同意 "为什么",看到结果并以正确的方式进行培养时,一个项目可以超越立法,成为第二天性。

CTO和CISO在创造互信方面有作用

你最近是否上过一个网站,在交出你的信用卡信息时考虑再三?除非是为你当地的比萨店提供在线订购服务的看起来很粗糙的网络应用,否则你可能不会经常遇到这种情况,特别是在大型企业和家喻户晓的在线零售业。

当然,除非他们披露了数据泄露事件。

全球住宿业巨头万豪刚刚披露了他们在三年内的第二次违规事件,这次导致520万条客户记录被盗。这一次,似乎支付信息还不是抢劫的一部分,尽管他们在2018年发生的灾难性违规事件已经解决了这个问题;3.83亿客户被泄露,500万未加密的护照号码被盗,以及800万信用卡号码。

如果顾客对万豪品牌的信任度还没有降到最低的话,我敢说它很快就会跌到谷底。这就是那种让CISO夜不能寐的东西,因为他们觉得在对抗网络威胁的战争中是坐以待毙。看看Equifax、雅虎、索尼、塔吉特--这些只是一些经历过大规模漏洞的大公司,代表着数十亿被盗的数据记录,数千亿美元的损失,以及客户形状的洞,直接打穿了他们的经济心脏。这对企业来说是一场灾难(塔吉特公司在2014年的信息泄露事件后的一个季度内报告了4.4亿美元的利润暴跌),虽然个人通常不需要承担责任--毕竟,软件安全应该是一个共同的责任--但如果你当时碰巧在这些机构工作,你也不希望在本来光鲜的简历上出现这种情况。

在一个处理支付、敏感数据和作为积极客户情绪的无形黄金的组织中,放弃一个强大的安全计划来实现合规性,是一个公司不仅有风险,而且在创新方面严重滞后的标志。

每个人都应该关心客户/组织关系中的信任问题。

除了IT、开发和安全部门在漏洞发生后面临的压力和灾难外,信任因素是一个新公司长期成功的主要因素,也是一个成熟公司持续增长的主要因素。如果公司因失去信任而面临经济衰退,你显然会失去的是你的工作。

PCI-DSS法规要求企业承担责任--如上所述,忽视这些精心设计的计划会产生巨大的影响--但它们只与实施的安全计划以及在其中工作的人一样好。如果你认真对待这些规定,保持警惕,并为他人树立榜样,那么你就会以一种非常积极的方式使自己与众不同。

意识就是一切。

一个失败的安全意识计划会使大多数保持PCI兼容的尝试接近于无用。整个组织的安全意识构成了最佳实践指南的最关键部分;他们甚至提供了自己的培训模块,说明如何在跨职能的角色中实施安全意识,以及在做得好的企业中这是什么样子。

随着我们将DevSecOps作为当前安全软件开发的黄金标准--其中安全作为一种共同的责任是最基本的--企业必须花费时间、金钱和精力来确保每个人,包括供应商和承包商,都有安全意识并遵循最佳实践。

一个有安全意识的开发者就是一个合规的开发者(而要达到这个目标并不一定是枯燥的)。

当谈到成为一个 "认证的 "符合PCI-DSS的开发人员时,并没有太多的明显选择。为什么呢?可能是因为它不可能是一个 "一蹴而就 "的工作。

在学习如何挫败常见漏洞方面,OWASP组织是地球上最好的组织之一,他们的前十名被正式列入PCI-DSS的开发者指南中。然而,保持安全意识和磨练技能需要时间和持续努力。而没有人希望这是不鼓舞人心和浪费精力的。

积极的安全文化在一个组织中不是一个 "不错的选择";如果他们认真对待安全问题,那么它就需要成为公司日常运作的一部分。

当涉及到阻止漏洞时,开发人员处于战斗的最前线。他们是否得到了支持、工具和培训,以维持他们在PCI-DSS合规性中的安全交易部分?

事实上,正确的培训是更加无缝的;它不应该让人感觉是在讲课,而且应该与每天的工作高度相关。这种实践培训是一个提高技能的机会--对于那些认真阻止漏洞并与团队其他成员合作以产生更高标准的代码的开发人员来说,这种职业发展只有积极意义。

想现在就测试一下你的安全编码技能吗? 选择你的任务.

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。