一些CISO正在将安全技能的短缺变成一个机会
当我本周前往旧金山参加RSA时,我正准备与CISO们进行大量的讨论。这可能会让你感到惊讶,但这些天与许多CISO的对话并不愉快。
他们知道安全风险正在增加,但许多人看不到安全改进的机会,反而认为他们的组织比以前更容易成为数据泄露或网络安全攻击的受害者。
在我平时与CISO的谈话中,最常见的主题之一就是他们对网络安全技能短缺问题的担忧。
"我们的安全团队对于我们的工程团队或公司的规模来说还不够大。"
"我们的安全团队不断被海外公司挖走,他们提供非凡的薪资待遇,以及工作和探索其他大陆的机会。"
"我们的安全专家忙于救火,无法保持他们的技能发展"。
这一主题得到了一些研究报告的支持,包括2017年Ponemon研究所的调查,其中 "缺乏有能力的内部工作人员 "在2018年CISO网络安全关注的所有其他形式中居首位。
这种关键的安全技能差距不可能很快消失,特别是在像澳大利亚这样的市场,最聪明的人才经常转移到海外,而移民法使得将外国安全专家引入该国变得越来越困难。
澳大利亚技能短缺的一个有趣之处在于,缺乏招聘技术专家的能力导致了对国家安全技能建设的一些积极关注。正如本杰明-富兰克林(Benjamin Franklin)所说,"逆境中产生机会"。澳大利亚政府、教育机构、企业和初创企业正在制定计划,在当地培养一系列的安全技能。
安全技能的逆境肯定会带来机会,其中一个领域是在内部和外包开发团队中发展安全编码技能。鉴于世界上大多数主要的安全漏洞可归因于编码错误,并且平均漏洞成本为360万美元,软件安全无疑是安全挑战的重要组成部分。在应用安全预算中,最大(且不断增加)的支出之一是用于被动的应用安全识别和补救,往往是年复一年地发生同样的老错误。
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
这并不意味着用开发人员取代安全专家,但它确实意味着让开发人员参与到安全问题中来,使安全成为他们日常思维的一部分,并教会他们以一种有趣、有效和高效的方式进行安全编码。其结果是,稀缺的安全专业知识可以更好地用于寻找和修复真正具有挑战性的、复杂的漏洞,而不是处理那些老旧的漏洞。
对于一些CISO来说,这可能听起来好得不像真的,或者太难实施,但事实是这两者都不是。在Secure Code Warrior ,我们已经看到越来越多的CISO接受了这个机会,并在这个过程中改变了安全和开发团队的工作生活。
在全球范围内,有一群CISO带头在其软件开发人员中培养强大的安全思维和技能,他们就是澳大利亚银行。早在2016年和2017年,澳大利亚银行就是这种方法的早期采用者。该国的六大银行现在积极鼓励和吸引他们的开发团队通过我们的在线、自定进度、游戏化的学习环境建立安全编码技能。这些银行还定期审查实时指标和报告,以验证其开发人员和团队的优势和劣势。
这种方法产生了切实而积极的结果,包括减少常见漏洞的发生、提高开发人员的安全意识以及改善安全和开发团队之间的关系。那些投资于教他们的开发人员安全编码的公司将减少他们现有的安全人才的压力,以及减少他们通过软件不安全的风险。
如果你是一名CISO(或认识一名CISO),对你的组织内的安全状况感到沮丧,我鼓励你考虑一个直接的方法,以获得一些积极和切实的安全改进点。让你的开发人员以一种相关的、积极的和有趣的方式来学习安全编码。你的安全和开发团队会为此感谢你,你也会在产品创新和开发方面减少成本和延误。我敢打赌,这将为许多积极的安全对话铺平道路 ....
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
首席执行官、主席和联合创始人
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
当我本周前往旧金山参加RSA时,我正准备与CISO们进行大量的讨论。这可能会让你感到惊讶,但这些天与许多CISO的对话并不愉快。
他们知道安全风险正在增加,但许多人看不到安全改进的机会,反而认为他们的组织比以前更容易成为数据泄露或网络安全攻击的受害者。
在我平时与CISO的谈话中,最常见的主题之一就是他们对网络安全技能短缺问题的担忧。
"我们的安全团队对于我们的工程团队或公司的规模来说还不够大。"
"我们的安全团队不断被海外公司挖走,他们提供非凡的薪资待遇,以及工作和探索其他大陆的机会。"
"我们的安全专家忙于救火,无法保持他们的技能发展"。
这一主题得到了一些研究报告的支持,包括2017年Ponemon研究所的调查,其中 "缺乏有能力的内部工作人员 "在2018年CISO网络安全关注的所有其他形式中居首位。
这种关键的安全技能差距不可能很快消失,特别是在像澳大利亚这样的市场,最聪明的人才经常转移到海外,而移民法使得将外国安全专家引入该国变得越来越困难。
澳大利亚技能短缺的一个有趣之处在于,缺乏招聘技术专家的能力导致了对国家安全技能建设的一些积极关注。正如本杰明-富兰克林(Benjamin Franklin)所说,"逆境中产生机会"。澳大利亚政府、教育机构、企业和初创企业正在制定计划,在当地培养一系列的安全技能。
安全技能的逆境肯定会带来机会,其中一个领域是在内部和外包开发团队中发展安全编码技能。鉴于世界上大多数主要的安全漏洞可归因于编码错误,并且平均漏洞成本为360万美元,软件安全无疑是安全挑战的重要组成部分。在应用安全预算中,最大(且不断增加)的支出之一是用于被动的应用安全识别和补救,往往是年复一年地发生同样的老错误。
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
这并不意味着用开发人员取代安全专家,但它确实意味着让开发人员参与到安全问题中来,使安全成为他们日常思维的一部分,并教会他们以一种有趣、有效和高效的方式进行安全编码。其结果是,稀缺的安全专业知识可以更好地用于寻找和修复真正具有挑战性的、复杂的漏洞,而不是处理那些老旧的漏洞。
对于一些CISO来说,这可能听起来好得不像真的,或者太难实施,但事实是这两者都不是。在Secure Code Warrior ,我们已经看到越来越多的CISO接受了这个机会,并在这个过程中改变了安全和开发团队的工作生活。
在全球范围内,有一群CISO带头在其软件开发人员中培养强大的安全思维和技能,他们就是澳大利亚银行。早在2016年和2017年,澳大利亚银行就是这种方法的早期采用者。该国的六大银行现在积极鼓励和吸引他们的开发团队通过我们的在线、自定进度、游戏化的学习环境建立安全编码技能。这些银行还定期审查实时指标和报告,以验证其开发人员和团队的优势和劣势。
这种方法产生了切实而积极的结果,包括减少常见漏洞的发生、提高开发人员的安全意识以及改善安全和开发团队之间的关系。那些投资于教他们的开发人员安全编码的公司将减少他们现有的安全人才的压力,以及减少他们通过软件不安全的风险。
如果你是一名CISO(或认识一名CISO),对你的组织内的安全状况感到沮丧,我鼓励你考虑一个直接的方法,以获得一些积极和切实的安全改进点。让你的开发人员以一种相关的、积极的和有趣的方式来学习安全编码。你的安全和开发团队会为此感谢你,你也会在产品创新和开发方面减少成本和延误。我敢打赌,这将为许多积极的安全对话铺平道路 ....
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
当我本周前往旧金山参加RSA时,我正准备与CISO们进行大量的讨论。这可能会让你感到惊讶,但这些天与许多CISO的对话并不愉快。
他们知道安全风险正在增加,但许多人看不到安全改进的机会,反而认为他们的组织比以前更容易成为数据泄露或网络安全攻击的受害者。
在我平时与CISO的谈话中,最常见的主题之一就是他们对网络安全技能短缺问题的担忧。
"我们的安全团队对于我们的工程团队或公司的规模来说还不够大。"
"我们的安全团队不断被海外公司挖走,他们提供非凡的薪资待遇,以及工作和探索其他大陆的机会。"
"我们的安全专家忙于救火,无法保持他们的技能发展"。
这一主题得到了一些研究报告的支持,包括2017年Ponemon研究所的调查,其中 "缺乏有能力的内部工作人员 "在2018年CISO网络安全关注的所有其他形式中居首位。
这种关键的安全技能差距不可能很快消失,特别是在像澳大利亚这样的市场,最聪明的人才经常转移到海外,而移民法使得将外国安全专家引入该国变得越来越困难。
澳大利亚技能短缺的一个有趣之处在于,缺乏招聘技术专家的能力导致了对国家安全技能建设的一些积极关注。正如本杰明-富兰克林(Benjamin Franklin)所说,"逆境中产生机会"。澳大利亚政府、教育机构、企业和初创企业正在制定计划,在当地培养一系列的安全技能。
安全技能的逆境肯定会带来机会,其中一个领域是在内部和外包开发团队中发展安全编码技能。鉴于世界上大多数主要的安全漏洞可归因于编码错误,并且平均漏洞成本为360万美元,软件安全无疑是安全挑战的重要组成部分。在应用安全预算中,最大(且不断增加)的支出之一是用于被动的应用安全识别和补救,往往是年复一年地发生同样的老错误。
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
这并不意味着用开发人员取代安全专家,但它确实意味着让开发人员参与到安全问题中来,使安全成为他们日常思维的一部分,并教会他们以一种有趣、有效和高效的方式进行安全编码。其结果是,稀缺的安全专业知识可以更好地用于寻找和修复真正具有挑战性的、复杂的漏洞,而不是处理那些老旧的漏洞。
对于一些CISO来说,这可能听起来好得不像真的,或者太难实施,但事实是这两者都不是。在Secure Code Warrior ,我们已经看到越来越多的CISO接受了这个机会,并在这个过程中改变了安全和开发团队的工作生活。
在全球范围内,有一群CISO带头在其软件开发人员中培养强大的安全思维和技能,他们就是澳大利亚银行。早在2016年和2017年,澳大利亚银行就是这种方法的早期采用者。该国的六大银行现在积极鼓励和吸引他们的开发团队通过我们的在线、自定进度、游戏化的学习环境建立安全编码技能。这些银行还定期审查实时指标和报告,以验证其开发人员和团队的优势和劣势。
这种方法产生了切实而积极的结果,包括减少常见漏洞的发生、提高开发人员的安全意识以及改善安全和开发团队之间的关系。那些投资于教他们的开发人员安全编码的公司将减少他们现有的安全人才的压力,以及减少他们通过软件不安全的风险。
如果你是一名CISO(或认识一名CISO),对你的组织内的安全状况感到沮丧,我鼓励你考虑一个直接的方法,以获得一些积极和切实的安全改进点。让你的开发人员以一种相关的、积极的和有趣的方式来学习安全编码。你的安全和开发团队会为此感谢你,你也会在产品创新和开发方面减少成本和延误。我敢打赌,这将为许多积极的安全对话铺平道路 ....
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
当我本周前往旧金山参加RSA时,我正准备与CISO们进行大量的讨论。这可能会让你感到惊讶,但这些天与许多CISO的对话并不愉快。
他们知道安全风险正在增加,但许多人看不到安全改进的机会,反而认为他们的组织比以前更容易成为数据泄露或网络安全攻击的受害者。
在我平时与CISO的谈话中,最常见的主题之一就是他们对网络安全技能短缺问题的担忧。
"我们的安全团队对于我们的工程团队或公司的规模来说还不够大。"
"我们的安全团队不断被海外公司挖走,他们提供非凡的薪资待遇,以及工作和探索其他大陆的机会。"
"我们的安全专家忙于救火,无法保持他们的技能发展"。
这一主题得到了一些研究报告的支持,包括2017年Ponemon研究所的调查,其中 "缺乏有能力的内部工作人员 "在2018年CISO网络安全关注的所有其他形式中居首位。
这种关键的安全技能差距不可能很快消失,特别是在像澳大利亚这样的市场,最聪明的人才经常转移到海外,而移民法使得将外国安全专家引入该国变得越来越困难。
澳大利亚技能短缺的一个有趣之处在于,缺乏招聘技术专家的能力导致了对国家安全技能建设的一些积极关注。正如本杰明-富兰克林(Benjamin Franklin)所说,"逆境中产生机会"。澳大利亚政府、教育机构、企业和初创企业正在制定计划,在当地培养一系列的安全技能。
安全技能的逆境肯定会带来机会,其中一个领域是在内部和外包开发团队中发展安全编码技能。鉴于世界上大多数主要的安全漏洞可归因于编码错误,并且平均漏洞成本为360万美元,软件安全无疑是安全挑战的重要组成部分。在应用安全预算中,最大(且不断增加)的支出之一是用于被动的应用安全识别和补救,往往是年复一年地发生同样的老错误。
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
这并不意味着用开发人员取代安全专家,但它确实意味着让开发人员参与到安全问题中来,使安全成为他们日常思维的一部分,并教会他们以一种有趣、有效和高效的方式进行安全编码。其结果是,稀缺的安全专业知识可以更好地用于寻找和修复真正具有挑战性的、复杂的漏洞,而不是处理那些老旧的漏洞。
对于一些CISO来说,这可能听起来好得不像真的,或者太难实施,但事实是这两者都不是。在Secure Code Warrior ,我们已经看到越来越多的CISO接受了这个机会,并在这个过程中改变了安全和开发团队的工作生活。
在全球范围内,有一群CISO带头在其软件开发人员中培养强大的安全思维和技能,他们就是澳大利亚银行。早在2016年和2017年,澳大利亚银行就是这种方法的早期采用者。该国的六大银行现在积极鼓励和吸引他们的开发团队通过我们的在线、自定进度、游戏化的学习环境建立安全编码技能。这些银行还定期审查实时指标和报告,以验证其开发人员和团队的优势和劣势。
这种方法产生了切实而积极的结果,包括减少常见漏洞的发生、提高开发人员的安全意识以及改善安全和开发团队之间的关系。那些投资于教他们的开发人员安全编码的公司将减少他们现有的安全人才的压力,以及减少他们通过软件不安全的风险。
如果你是一名CISO(或认识一名CISO),对你的组织内的安全状况感到沮丧,我鼓励你考虑一个直接的方法,以获得一些积极和切实的安全改进点。让你的开发人员以一种相关的、积极的和有趣的方式来学习安全编码。你的安全和开发团队会为此感谢你,你也会在产品创新和开发方面减少成本和延误。我敢打赌,这将为许多积极的安全对话铺平道路 ....
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。
