编码游戏 "如何引领 IAG 集团走向更安全的编码未来
IAG 集团是亚太地区许多领先保险公司的幕后老板,每年为数百万客户承保保单,保费总额约为 114 亿澳元。Bianca Wirth 是 IAG 集团的企业安全教育与意识经理。她高度关注开发团队对严格的安全意识和实践的需求,并着手创建一个真正创新的最佳环境,让团队能够学习重要的安全编码技术。
进入:密码游戏
挑战
开发人员的时间往往很紧张,要完成多个交付任务和项目。 然而,与时俱进的安全最佳实践对任何组织来说都是至关重要的,更不用说一个需要保护数百万敏感客户数据免受黑客攻击的组织了。Bianca 和她的团队在加强网络安全措施的道路上设定了明确的目标。他们认为,当务之急是最大限度地减少 IAG 开发的应用程序的攻击面,他们将通过教育开发人员识别和修复关键和高风险漏洞来实现这一目标。冗长的安全编码培训courses 固然存在,但可能费力、乏味,而且会占用有严格交付时限的开发项目的关键员工的时间,从而给整个业务带来压力。在对工作量和运营影响最小的情况下,快速提高开发团队技能的需求变得显而易见。由于开发人员遍布澳大利亚和新西兰,每个人所使用的系统都不尽相同,因此这并非易事。
"今年,我修改了我们的源代码,消除了一个 SQL 注入漏洞。能认识到这一点,我要归功于《代码游戏》。即使只是把安全编码放在首位也是有帮助的。比赛是推动人们尽力而为的好方法......因为让我们面对现实吧,安全并不是每个人最喜欢的话题,所以这是一个让人们参与进来的好方法。 R,IAG 开发人员
实施
Bianca 制定了推出游戏化培训体验的战略,与她的团队和Secure Code Warrior 合作实施tournaments 和培训,以提高内部开发人员的技能。为此,必须制定合理的沟通策略,并满足员工在采用全新平台并充分发挥其潜力时的不同动机和个性:
"我们设计了一个沟通计划,其中包括如何向员工和主要利益相关者传达需要了解的要点、关键信息,以及我们将采取哪些激励措施让他们做出回应。大多数人都非常喜欢游戏化体验。这取决于他们的个性、动机和驱动力。所以,这就是为什么我们要尽量满足人们各种不同的动机。对有些人来说,他们喜欢奖品,而对其他人来说,成就感本身就足够了," 她说。
Bianca 和 IAG 专业地展示了Secure Code Warrior的游戏化learning platform ,将tournament 转变为被誉为 "代码游戏 "的有趣竞赛体验,员工们被安排在中世纪主题的房子里(配有玩家的品牌商品),在一场与 HBO 制作的游戏同名的战斗中正面交锋。
tournament 甚至被推向了国际舞台,澳大利亚与新西兰的对决即将启动。这为 IAG 提供了一个机会,以确定两国领先的安全冠军,并确保团队共同提高技能。
结果
代码游戏 "实际上是一个专门的培训项目。作为一个互动、有趣的tournament ,它的推出确保了员工以各种方式参与其中,但这项活动的核心实用性依然存在:让开发人员掌握必要的技能,以识别和挫败 IAG 开发的应用程序中的高风险漏洞。
通过确保开发人员和安全团队都以安全第一的心态开展工作,并从一开始就具备识别和修复漏洞的能力,IAG 预计将减少昂贵的渗透测试工作,并减轻执行团队的压力。
除了继续培养这一重要能力外,"编码游戏 "还有助于建立关系,在参与团队之间注入友情和友好竞争意识,同时也帮助个人在看到自己的安全编码能力在tournament 的计分环境中得到衡量时,对自己的编码能力更有信心。
Bianca 表示,该计划得到了内部的大力支持,得到了行政部门的积极响应。这也促成了一项大使计划,让热衷于在组织内部推广该计划和倡导安全的个人可以参与进来:
"这对一些开发人员来说是一次绝佳的曝光机会,也是对他们技能的一次极好提升。他们在自己的工作中也从中受益,这一点非常重要。
代码游戏 "绝非 "单纯的游戏",也不仅仅是部门经理进行合规性培训的一种更愉快的方式,它提供了一种高留存率、引人入胜的解决方案,能让安全新手迅速成为安全卫士,这对于最大限度地降低大规模违规风险至关重要。
还有来自比安卡本人的终极建议:
"如果你推出任何计划,并期望人们只是使用它,那是行不通的。你需要围绕它设计一个计划,启动并激励人们改变行为。我们建立的基本上是一个开发人员变更管理计划,重点是安全问题。
"我是一个敏捷团队中的高级测试员,这些培训课程激励我学习更多的安全测试知识,并将其视为一个可能的专业"。 A,IAG 高级测试员
快讯
- 除了游戏化学习,IAG 还将Secure Code Warrior 作为开发人员招聘中的技能测试工具。
- 他们正在将该计划推广到其 100%的开发团队,其中 55% 的开发团队已经开始使用该系统。
- 他们制定了一套关键的内部衡量标准,使他们能够衡量该计划在最大限度地降低风险和减少成本方面取得的成功。
IAG 集团是亚太地区许多领先保险公司的幕后老板,每年为数百万客户承保保单,保费总额约为 114 亿澳元。Bianca Wirth 是 IAG 集团的企业安全教育与意识经理。她高度关注开发团队对严格的安全意识和实践的需求,并着手创建一个真正创新的最佳环境,让团队能够学习重要的安全编码技术。
进入:密码游戏
挑战
开发人员的时间往往很紧张,要完成多个交付任务和项目。 然而,与时俱进的安全最佳实践对任何组织来说都是至关重要的,更不用说一个需要保护数百万敏感客户数据免受黑客攻击的组织了。Bianca 和她的团队在加强网络安全措施的道路上设定了明确的目标。他们认为,当务之急是最大限度地减少 IAG 开发的应用程序的攻击面,他们将通过教育开发人员识别和修复关键和高风险漏洞来实现这一目标。冗长的安全编码培训courses 固然存在,但可能费力、乏味,而且会占用有严格交付时限的开发项目的关键员工的时间,从而给整个业务带来压力。在对工作量和运营影响最小的情况下,快速提高开发团队技能的需求变得显而易见。由于开发人员遍布澳大利亚和新西兰,每个人所使用的系统都不尽相同,因此这并非易事。
"今年,我修改了我们的源代码,消除了一个 SQL 注入漏洞。能认识到这一点,我要归功于《代码游戏》。即使只是把安全编码放在首位也是有帮助的。比赛是推动人们尽力而为的好方法......因为让我们面对现实吧,安全并不是每个人最喜欢的话题,所以这是一个让人们参与进来的好方法。 R,IAG 开发人员
实施
Bianca 制定了推出游戏化培训体验的战略,与她的团队和Secure Code Warrior 合作实施tournaments 和培训,以提高内部开发人员的技能。为此,必须制定合理的沟通策略,并满足员工在采用全新平台并充分发挥其潜力时的不同动机和个性:
"我们设计了一个沟通计划,其中包括如何向员工和主要利益相关者传达需要了解的要点、关键信息,以及我们将采取哪些激励措施让他们做出回应。大多数人都非常喜欢游戏化体验。这取决于他们的个性、动机和驱动力。所以,这就是为什么我们要尽量满足人们各种不同的动机。对有些人来说,他们喜欢奖品,而对其他人来说,成就感本身就足够了," 她说。
Bianca 和 IAG 专业地展示了Secure Code Warrior的游戏化learning platform ,将tournament 转变为被誉为 "代码游戏 "的有趣竞赛体验,员工们被安排在中世纪主题的房子里(配有玩家的品牌商品),在一场与 HBO 制作的游戏同名的战斗中正面交锋。
tournament 甚至被推向了国际舞台,澳大利亚与新西兰的对决即将启动。这为 IAG 提供了一个机会,以确定两国领先的安全冠军,并确保团队共同提高技能。
结果
代码游戏 "实际上是一个专门的培训项目。作为一个互动、有趣的tournament ,它的推出确保了员工以各种方式参与其中,但这项活动的核心实用性依然存在:让开发人员掌握必要的技能,以识别和挫败 IAG 开发的应用程序中的高风险漏洞。
通过确保开发人员和安全团队都以安全第一的心态开展工作,并从一开始就具备识别和修复漏洞的能力,IAG 预计将减少昂贵的渗透测试工作,并减轻执行团队的压力。
除了继续培养这一重要能力外,"编码游戏 "还有助于建立关系,在参与团队之间注入友情和友好竞争意识,同时也帮助个人在看到自己的安全编码能力在tournament 的计分环境中得到衡量时,对自己的编码能力更有信心。
Bianca 表示,该计划得到了内部的大力支持,得到了行政部门的积极响应。这也促成了一项大使计划,让热衷于在组织内部推广该计划和倡导安全的个人可以参与进来:
"这对一些开发人员来说是一次绝佳的曝光机会,也是对他们技能的一次极好提升。他们在自己的工作中也从中受益,这一点非常重要。
代码游戏 "绝非 "单纯的游戏",也不仅仅是部门经理进行合规性培训的一种更愉快的方式,它提供了一种高留存率、引人入胜的解决方案,能让安全新手迅速成为安全卫士,这对于最大限度地降低大规模违规风险至关重要。
还有来自比安卡本人的终极建议:
"如果你推出任何计划,并期望人们只是使用它,那是行不通的。你需要围绕它设计一个计划,启动并激励人们改变行为。我们建立的基本上是一个开发人员变更管理计划,重点是安全问题。
"我是一个敏捷团队中的高级测试员,这些培训课程激励我学习更多的安全测试知识,并将其视为一个可能的专业"。 A,IAG 高级测试员
快讯
- 除了游戏化学习,IAG 还将Secure Code Warrior 作为开发人员招聘中的技能测试工具。
- 他们正在将该计划推广到其 100%的开发团队,其中 55% 的开发团队已经开始使用该系统。
- 他们制定了一套关键的内部衡量标准,使他们能够衡量该计划在最大限度地降低风险和减少成本方面取得的成功。
IAG 集团是亚太地区许多领先保险公司的幕后老板,每年为数百万客户承保保单,保费总额约为 114 亿澳元。Bianca Wirth 是 IAG 集团的企业安全教育与意识经理。她高度关注开发团队对严格的安全意识和实践的需求,并着手创建一个真正创新的最佳环境,让团队能够学习重要的安全编码技术。
进入:密码游戏
挑战
开发人员的时间往往很紧张,要完成多个交付任务和项目。 然而,与时俱进的安全最佳实践对任何组织来说都是至关重要的,更不用说一个需要保护数百万敏感客户数据免受黑客攻击的组织了。Bianca 和她的团队在加强网络安全措施的道路上设定了明确的目标。他们认为,当务之急是最大限度地减少 IAG 开发的应用程序的攻击面,他们将通过教育开发人员识别和修复关键和高风险漏洞来实现这一目标。冗长的安全编码培训courses 固然存在,但可能费力、乏味,而且会占用有严格交付时限的开发项目的关键员工的时间,从而给整个业务带来压力。在对工作量和运营影响最小的情况下,快速提高开发团队技能的需求变得显而易见。由于开发人员遍布澳大利亚和新西兰,每个人所使用的系统都不尽相同,因此这并非易事。
"今年,我修改了我们的源代码,消除了一个 SQL 注入漏洞。能认识到这一点,我要归功于《代码游戏》。即使只是把安全编码放在首位也是有帮助的。比赛是推动人们尽力而为的好方法......因为让我们面对现实吧,安全并不是每个人最喜欢的话题,所以这是一个让人们参与进来的好方法。 R,IAG 开发人员
实施
Bianca 制定了推出游戏化培训体验的战略,与她的团队和Secure Code Warrior 合作实施tournaments 和培训,以提高内部开发人员的技能。为此,必须制定合理的沟通策略,并满足员工在采用全新平台并充分发挥其潜力时的不同动机和个性:
"我们设计了一个沟通计划,其中包括如何向员工和主要利益相关者传达需要了解的要点、关键信息,以及我们将采取哪些激励措施让他们做出回应。大多数人都非常喜欢游戏化体验。这取决于他们的个性、动机和驱动力。所以,这就是为什么我们要尽量满足人们各种不同的动机。对有些人来说,他们喜欢奖品,而对其他人来说,成就感本身就足够了," 她说。
Bianca 和 IAG 专业地展示了Secure Code Warrior的游戏化learning platform ,将tournament 转变为被誉为 "代码游戏 "的有趣竞赛体验,员工们被安排在中世纪主题的房子里(配有玩家的品牌商品),在一场与 HBO 制作的游戏同名的战斗中正面交锋。
tournament 甚至被推向了国际舞台,澳大利亚与新西兰的对决即将启动。这为 IAG 提供了一个机会,以确定两国领先的安全冠军,并确保团队共同提高技能。
结果
代码游戏 "实际上是一个专门的培训项目。作为一个互动、有趣的tournament ,它的推出确保了员工以各种方式参与其中,但这项活动的核心实用性依然存在:让开发人员掌握必要的技能,以识别和挫败 IAG 开发的应用程序中的高风险漏洞。
通过确保开发人员和安全团队都以安全第一的心态开展工作,并从一开始就具备识别和修复漏洞的能力,IAG 预计将减少昂贵的渗透测试工作,并减轻执行团队的压力。
除了继续培养这一重要能力外,"编码游戏 "还有助于建立关系,在参与团队之间注入友情和友好竞争意识,同时也帮助个人在看到自己的安全编码能力在tournament 的计分环境中得到衡量时,对自己的编码能力更有信心。
Bianca 表示,该计划得到了内部的大力支持,得到了行政部门的积极响应。这也促成了一项大使计划,让热衷于在组织内部推广该计划和倡导安全的个人可以参与进来:
"这对一些开发人员来说是一次绝佳的曝光机会,也是对他们技能的一次极好提升。他们在自己的工作中也从中受益,这一点非常重要。
代码游戏 "绝非 "单纯的游戏",也不仅仅是部门经理进行合规性培训的一种更愉快的方式,它提供了一种高留存率、引人入胜的解决方案,能让安全新手迅速成为安全卫士,这对于最大限度地降低大规模违规风险至关重要。
还有来自比安卡本人的终极建议:
"如果你推出任何计划,并期望人们只是使用它,那是行不通的。你需要围绕它设计一个计划,启动并激励人们改变行为。我们建立的基本上是一个开发人员变更管理计划,重点是安全问题。
"我是一个敏捷团队中的高级测试员,这些培训课程激励我学习更多的安全测试知识,并将其视为一个可能的专业"。 A,IAG 高级测试员
快讯
- 除了游戏化学习,IAG 还将Secure Code Warrior 作为开发人员招聘中的技能测试工具。
- 他们正在将该计划推广到其 100%的开发团队,其中 55% 的开发团队已经开始使用该系统。
- 他们制定了一套关键的内部衡量标准,使他们能够衡量该计划在最大限度地降低风险和减少成本方面取得的成功。
IAG 集团是亚太地区许多领先保险公司的幕后老板,每年为数百万客户承保保单,保费总额约为 114 亿澳元。Bianca Wirth 是 IAG 集团的企业安全教育与意识经理。她高度关注开发团队对严格的安全意识和实践的需求,并着手创建一个真正创新的最佳环境,让团队能够学习重要的安全编码技术。
进入:密码游戏
挑战
开发人员的时间往往很紧张,要完成多个交付任务和项目。 然而,与时俱进的安全最佳实践对任何组织来说都是至关重要的,更不用说一个需要保护数百万敏感客户数据免受黑客攻击的组织了。Bianca 和她的团队在加强网络安全措施的道路上设定了明确的目标。他们认为,当务之急是最大限度地减少 IAG 开发的应用程序的攻击面,他们将通过教育开发人员识别和修复关键和高风险漏洞来实现这一目标。冗长的安全编码培训courses 固然存在,但可能费力、乏味,而且会占用有严格交付时限的开发项目的关键员工的时间,从而给整个业务带来压力。在对工作量和运营影响最小的情况下,快速提高开发团队技能的需求变得显而易见。由于开发人员遍布澳大利亚和新西兰,每个人所使用的系统都不尽相同,因此这并非易事。
"今年,我修改了我们的源代码,消除了一个 SQL 注入漏洞。能认识到这一点,我要归功于《代码游戏》。即使只是把安全编码放在首位也是有帮助的。比赛是推动人们尽力而为的好方法......因为让我们面对现实吧,安全并不是每个人最喜欢的话题,所以这是一个让人们参与进来的好方法。 R,IAG 开发人员
实施
Bianca 制定了推出游戏化培训体验的战略,与她的团队和Secure Code Warrior 合作实施tournaments 和培训,以提高内部开发人员的技能。为此,必须制定合理的沟通策略,并满足员工在采用全新平台并充分发挥其潜力时的不同动机和个性:
"我们设计了一个沟通计划,其中包括如何向员工和主要利益相关者传达需要了解的要点、关键信息,以及我们将采取哪些激励措施让他们做出回应。大多数人都非常喜欢游戏化体验。这取决于他们的个性、动机和驱动力。所以,这就是为什么我们要尽量满足人们各种不同的动机。对有些人来说,他们喜欢奖品,而对其他人来说,成就感本身就足够了," 她说。
Bianca 和 IAG 专业地展示了Secure Code Warrior的游戏化learning platform ,将tournament 转变为被誉为 "代码游戏 "的有趣竞赛体验,员工们被安排在中世纪主题的房子里(配有玩家的品牌商品),在一场与 HBO 制作的游戏同名的战斗中正面交锋。
tournament 甚至被推向了国际舞台,澳大利亚与新西兰的对决即将启动。这为 IAG 提供了一个机会,以确定两国领先的安全冠军,并确保团队共同提高技能。
结果
代码游戏 "实际上是一个专门的培训项目。作为一个互动、有趣的tournament ,它的推出确保了员工以各种方式参与其中,但这项活动的核心实用性依然存在:让开发人员掌握必要的技能,以识别和挫败 IAG 开发的应用程序中的高风险漏洞。
通过确保开发人员和安全团队都以安全第一的心态开展工作,并从一开始就具备识别和修复漏洞的能力,IAG 预计将减少昂贵的渗透测试工作,并减轻执行团队的压力。
除了继续培养这一重要能力外,"编码游戏 "还有助于建立关系,在参与团队之间注入友情和友好竞争意识,同时也帮助个人在看到自己的安全编码能力在tournament 的计分环境中得到衡量时,对自己的编码能力更有信心。
Bianca 表示,该计划得到了内部的大力支持,得到了行政部门的积极响应。这也促成了一项大使计划,让热衷于在组织内部推广该计划和倡导安全的个人可以参与进来:
"这对一些开发人员来说是一次绝佳的曝光机会,也是对他们技能的一次极好提升。他们在自己的工作中也从中受益,这一点非常重要。
代码游戏 "绝非 "单纯的游戏",也不仅仅是部门经理进行合规性培训的一种更愉快的方式,它提供了一种高留存率、引人入胜的解决方案,能让安全新手迅速成为安全卫士,这对于最大限度地降低大规模违规风险至关重要。
还有来自比安卡本人的终极建议:
"如果你推出任何计划,并期望人们只是使用它,那是行不通的。你需要围绕它设计一个计划,启动并激励人们改变行为。我们建立的基本上是一个开发人员变更管理计划,重点是安全问题。
"我是一个敏捷团队中的高级测试员,这些培训课程激励我学习更多的安全测试知识,并将其视为一个可能的专业"。 A,IAG 高级测试员
快讯
- 除了游戏化学习,IAG 还将Secure Code Warrior 作为开发人员招聘中的技能测试工具。
- 他们正在将该计划推广到其 100%的开发团队,其中 55% 的开发团队已经开始使用该系统。
- 他们制定了一套关键的内部衡量标准,使他们能够衡量该计划在最大限度地降低风险和减少成本方面取得的成功。
资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。
