Best Practices für Cybersicherheit finden Sie in der Finanzbranche
Ursprünglich veröffentlicht in Regulierung Asien.
Angesichts der zunehmenden Cyberangriffe, die „jede Art von Organisation in jeder Branche betreffen“, ist die Gefahr teurer, peinlicher und sich negativ auf das Geschäftsergebnis auswirkender Datenschutzverletzungen sehr real. Das Problem wird nicht kleiner, es wächst wie ein Tumor.
Ich werde oft gebeten, Beispiele dafür zu nennen, welche Organisationen dieses Problem bekämpfen und sich mit besonderer Finesse und Meisterschaft im „Wilden Westen“ der Cybersicherheit und der AppSec-Best Practice zurechtfinden. Ich komme öfter als andere zu einer Antwort zurück: Es ist die Finanzbranche, die es besser macht als die meisten anderen.
Regulierung: Ein treibender Faktor für die führende Rolle der Finanzbranche im Bereich Cybersicherheit
Einer der Gründe, warum der Finanzsektor im AppSec-Bereich so gut spielt, ist, dass er (zumindest teilweise) von den Bedenken der globalen, regionalen und nationalen Regulierungsbehörden über die universellen „ganz zu schweigen von katastrophalen“ Auswirkungen getrieben wird, die sich aus einem erfolgreichen Cybersicherheitsangriff oder Datendiebstahl ergeben könnten.
Der BCBS (Basler Ausschuss für Bankenaufsicht) veröffentlichte eine melden im Dezember, in dem die Bandbreite der beobachteten Praktiken der Banken, Aufsichtsbehörden und Aufsichtsbehörden in Bezug auf Cyberresistenz in mehreren Ländern detailliert beschrieben wird. Zu den wichtigsten Ergebnissen zählte der Fachkräftemangel im Bereich Cybersicherheit — ein Faktor, dem sich nur wenige Jurisdiktionen durch die Einführung spezifischer Cyberzertifizierungen stellen.
„In einigen Ländern gibt es IT-spezifische Standards, die sich mit den Verantwortlichkeiten der IT-Mitarbeiter und der Informationssicherheitsfunktionen befassen, wobei der Schulung und den Kompetenzen der Mitarbeiter im Bereich Cybersicherheit besondere Aufmerksamkeit geschenkt wird“, heißt es in dem Bericht. Die meisten Jurisdiktionen befinden sich jedoch in einem „frühen Stadium“ der Einführung von Aufsichtspraktiken zur Überwachung der Fähigkeiten und Ressourcen der Cyber-Belegschaft einer Bank.
In den meisten Fällen verlangen regulatorische Systeme, dass beaufsichtigte Unternehmen Risiken managen, aber es gibt selten einen klaren Weg, um dieses Risiko erfolgreich zu mindern. Sie legen keine spezifischen Anforderungen (oder auch keine Benchmarks) fest, um die Fähigkeiten und Ressourcen der Mitarbeiter im Bereich Cybersicherheit zu verbessern. Die meisten Aufsichtsbehörden bewerten das Cybersicherheitspersonal von Institutionen im Rahmen von Inspektionen vor Ort, bei denen Fragebögen zur Selbsteinschätzung üblich sind und die Schulungsprozesse besonders unter die Lupe genommen werden. Aber nur in wenigen Ländern befassen sich die Vorschriften speziell mit den Rollen und Verantwortlichkeiten des IT-Personals. Einfach ausgedrückt: Die Fehlerquote ist groß und der Schwerpunkt auf der richtigen Schulung und der anschließenden Bewertung der Fähigkeiten ist eher gering.
In Japan und Südkorea haben die Behörden Richtlinien für ein angemessenes Personalmanagement im Bereich Cybersicherheit festgelegt. In den meisten anderen Ländern beschränken sich die regulatorischen Anforderungen an das Cyber-Personalmanagement jedoch auf die Erwartungen der Aufsichtsbehörden, wo die Aufsichtsbehörden häufig keine Bewertung der Cybersicherheitskompetenzen und der Schulung der Mitarbeiter in regulierten Organisationen vornehmen.
Nur Hongkong, Singapur und das Vereinigte Königreich haben spezielle Rahmenbedingungen zur Zertifizierung der Fähigkeiten und Kompetenzen von Cyber-Mitarbeitern herausgegeben. Während Wörter wie „Compliance“ und „Zertifizierung“ einem durchschnittlichen kreativen, problemlösenden Entwickler, der mit der Entwicklung großartiger Softwarefunktionen beauftragt ist, einen kalten Schauer über den Rücken laufen lassen (bei ihnen wird Sicherheit oft als das Problem eines anderen angesehen, nämlich als das Sicherheitsteam), aber die riesigen Mengen sensibler Daten, die viele regulierte Stellen besitzen, sind einfach zu wertvoll, um sie in die Hände derer zu legen, deren Fähigkeiten „vorausgesetzt“ und nicht ordnungsgemäß überprüft werden.
Zum Glück erkennen viele Bank- und Finanzinstitute dies an, ohne sich unbedingt auf einen offensichtlichen regulatorischen Weg zu verlassen. Die Vorschriften bieten sicherlich einen Überblick über die Erwartungen an das Endergebnis (d. h. sichere Software), aber sie haben festgestellt, dass zur Erreichung dieses Ziels die Umgehung des Fachkräftemangels im Bereich Cybersicherheit erforderlich ist, indem Entwickler geschult, ihre Beziehungen zu bestehenden AppSec-Fachleuten gepflegt und eine positive Sicherheitskultur aufgebaut werden, die Verantwortung und Eigenverantwortung fördert.
Warum hat die Finanzbranche den „X-Faktor“ für Cybersicherheit?
Für Unternehmen im Bankwesen spielen einige Elemente eine Rolle, Finanzdienstleistungen und die Versicherungsbranche, die sich als starke Säulen zusammengeschlossen haben, auf denen ihre Führungsposition in der Cybersicherheitslandschaft basiert.
Natürlich sind sie die Torwächter der weltweiten Finanzen (ganz zu schweigen von Millionen hochsensibler Datensätze) in der Regel sehr auf die Einhaltung gesetzlicher Vorschriften ausgerichteter und regulierter Organisationen. „Aktualisierte Richtlinien, Vorschriften und Anforderungen werden erwartet und sinnvoll eingeplant. Infolgedessen haben sie die sich wandelnden Anforderungen an die Minderung von Cyberrisiken wie Enten ins Wasser genommen und verfügen über einige der strengsten Best Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Reduzierung ihrer Gefahr potenzieller Angriffe.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach haben sie den Grundstein dafür gelegt, sicherheitsbewusster zu sein als andere. Sie haben festgestellt, dass ganzheitliche Schulungsprogramme nicht nur für AppSec-Experten und Penetrationstester, sondern auch für deren (in der Regel sehr große und global verstreute) Entwicklungsteams erforderlich sind, und entsprechende Ressourcen bereitgestellt.
Da Cybersicherheit in den meisten Unternehmen noch relativ neu ist, ist es erfrischend, dass Finanzinstitute in ihrem Bestreben, sichere Software bereitzustellen, wirklich aufgeschlossen und innovativ sind. Viele haben die Vorteile einer Weiterbildung der Entwicklungskohorte mit folgenden Aspekten gesehen fesselndes Training das führt sie aus dem Klassenzimmer in eine praktische, relevante Lernerfahrung, die ihnen hilft, nicht nur Probleme zu lösen, sondern auch zu verstehen, wie wichtig sichere Codierung im Allgemeinen ist.
Schließlich ist sichere Codierung ein wichtiger Bestandteil, um eine solide, funktionale Beziehung zwischen Entwicklern und dem AppSec-Team aufzubauen und eine robuste Sicherheitskultur innerhalb des Unternehmens aufrechtzuerhalten. Ein weiterer wichtiger Faktor für ein erfolgreiches Sicherheitsprogramm besteht darin, sicherzustellen, dass wichtige Stakeholder mit an Bord sind und die Vorteile erkennen, auch wenn sie selbst keine Sicherheitsexperten sind.
Finanzinstitute kommunizieren in der Regel gut mit der Geschäftsleitung und stellen sicher, dass die Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Das mag jetzt Zeit und Geld kosten, aber angesichts der Tatsache, dass die Behebung von Sicherheitslücken in festgeschriebenem Code dreißigmal so teuer ist, spart ein gut abgerundetes Sicherheitsprogramm, „das Schulungen von Grund auf beinhaltet“, langfristig Geld: Es ist weitaus billiger, wenn Sicherheitsprobleme behoben werden, während sie von sicherheitsbewussten Entwicklern geschrieben werden.
Sicherheitsstandards beginnen, mit dem wachsenden Risiko Schritt zu halten
Ein wichtiger Faktor für die Cyber-Compliance in der Finanzbranche ist die Rat für PCI-Sicherheitsstandards, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Umsetzung tragfähiger Sicherheitsrichtlinien und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Es muss jedoch gesagt werden, dass viele unserer Kunden aus der Finanzbranche sogar die aktuellen Richtlinien des PCI Security Standards Council übertroffen haben. In diesen Richtlinien werden zwar Schulungen für Entwickler empfohlen (wie bereits bei anderen Beispielen für regulatorische Informationen erwähnt), aber sie geben keinen bestimmten Typ oder eine bestimmte Benchmark an, die erfüllt werden müssten, um zu belegen, dass die Schulung wirksam war.
Mit vielen Sicherheitslücken wie SQL Injection und Cross-Site Scripting (XSS), die schon länger bestehen als zwanzig Jahre (und verursachen auch 2019 noch Probleme), es ist klar, dass nicht alle Schulungen gleich oder effektiv sind. Durch die Einführung praktischer, spielerischer Sicherheitsschulungen erzielen Banken und andere Finanzdienstleistungsunternehmen weitaus bessere Ergebnisse und eine echte Verringerung der Sicherheitslücken, die verheerende Folgen haben können, wenn sie ausgenutzt werden.
Ein gutes Beispiel dafür ist, wie das US-Bankinstitut Capital One im Rahmen seines innovativen Tech College- und Zertifizierungssystems spielerische Ausbildungstechniken eingesetzt hat. Laut Russell Wolfe, ihrem Direktor für Cybersicherheit und Cloud-Computing-Ausbildung, kürzlich Webinar, die freiwilligen Trainingsprogramme und Programmierturniere gewannen sehr schnell an Bedeutung, und die Kollegen waren von einer noch nie dagewesenen Nachfrage und einer organischen Motivation, sich zertifizieren zu lassen und andere bei der Weiterbildung zu unterstützen.
Was können die Aufsichtsbehörden tun, um sicherzustellen, dass die Mitarbeiter im Bereich Cybersicherheit angemessen geschult werden?
Aufsichtsbehörden auf der ganzen Welt können ihre bestehenden Richtlinien und Richtlinien zur Cyberregulierung wirklich noch „verbessern“, indem sie einfach anerkannte Schulungsmethoden und Standards skizzieren, die diejenigen, die für den Schutz unserer Daten verantwortlich sind, einhalten müssen. Gegenwärtig scheint es in den meisten regulatorischen Richtlinien einen allgemeinen Hinweis auf eine Schulungspflicht zu geben, aber es gibt kaum Folgemaßnahmen, um sicherzustellen, dass diejenigen, die eine vorgeschriebene Schulung absolvieren, die Inhalte und Techniken erlernen, die erforderlich sind, um wirklich bei der Bekämpfung von Cyberbedrohungen zu helfen.
Der jüngste Schritt der MAS (Monetary Authority of Singapore), die Einführung von Schulungsprogrammen für das Sicherheitsbewusstsein und bewährte Verfahren zur sicheren Softwareentwicklung in die neueste Iteration ihrer Technologierisikorichtlinien sind jedoch ermutigend. Sobald die Leitlinien in Kraft treten, werden sie Finanzinstitute dazu verpflichten, sicherzustellen, dass ihre Softwareentwickler darin geschult werden, bei der Entwicklung von Software Standards für sichere Codierung, Quellcodeüberprüfung und AppSec-Tests anzuwenden, was einen großen Beitrag zur Minimierung von Fehlern und Sicherheitslücken leisten sollte.
Für mich ist es bei weitem am interessantesten und relevantesten, die Entwicklungskohorte mit praktischen, realen Techniken auszubilden und gleichzeitig die Grundlagen für die robuste Sicherheitskultur zu legen, die jedes Unternehmen schaffen muss, bevor es zu spät ist.
Angesichts der zunehmenden Cyberangriffe, die alle Arten von Unternehmen in allen Branchen betreffen, ist die Gefahr teurer, peinlicher und sich negativ auf das Geschäftsergebnis auswirkender Datenschutzverletzungen sehr real. Das Problem wird nicht kleiner, es wächst wie ein Tumor.
首席执行官、主席和联合创始人
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Ursprünglich veröffentlicht in Regulierung Asien.
Angesichts der zunehmenden Cyberangriffe, die „jede Art von Organisation in jeder Branche betreffen“, ist die Gefahr teurer, peinlicher und sich negativ auf das Geschäftsergebnis auswirkender Datenschutzverletzungen sehr real. Das Problem wird nicht kleiner, es wächst wie ein Tumor.
Ich werde oft gebeten, Beispiele dafür zu nennen, welche Organisationen dieses Problem bekämpfen und sich mit besonderer Finesse und Meisterschaft im „Wilden Westen“ der Cybersicherheit und der AppSec-Best Practice zurechtfinden. Ich komme öfter als andere zu einer Antwort zurück: Es ist die Finanzbranche, die es besser macht als die meisten anderen.
Regulierung: Ein treibender Faktor für die führende Rolle der Finanzbranche im Bereich Cybersicherheit
Einer der Gründe, warum der Finanzsektor im AppSec-Bereich so gut spielt, ist, dass er (zumindest teilweise) von den Bedenken der globalen, regionalen und nationalen Regulierungsbehörden über die universellen „ganz zu schweigen von katastrophalen“ Auswirkungen getrieben wird, die sich aus einem erfolgreichen Cybersicherheitsangriff oder Datendiebstahl ergeben könnten.
Der BCBS (Basler Ausschuss für Bankenaufsicht) veröffentlichte eine melden im Dezember, in dem die Bandbreite der beobachteten Praktiken der Banken, Aufsichtsbehörden und Aufsichtsbehörden in Bezug auf Cyberresistenz in mehreren Ländern detailliert beschrieben wird. Zu den wichtigsten Ergebnissen zählte der Fachkräftemangel im Bereich Cybersicherheit — ein Faktor, dem sich nur wenige Jurisdiktionen durch die Einführung spezifischer Cyberzertifizierungen stellen.
„In einigen Ländern gibt es IT-spezifische Standards, die sich mit den Verantwortlichkeiten der IT-Mitarbeiter und der Informationssicherheitsfunktionen befassen, wobei der Schulung und den Kompetenzen der Mitarbeiter im Bereich Cybersicherheit besondere Aufmerksamkeit geschenkt wird“, heißt es in dem Bericht. Die meisten Jurisdiktionen befinden sich jedoch in einem „frühen Stadium“ der Einführung von Aufsichtspraktiken zur Überwachung der Fähigkeiten und Ressourcen der Cyber-Belegschaft einer Bank.
In den meisten Fällen verlangen regulatorische Systeme, dass beaufsichtigte Unternehmen Risiken managen, aber es gibt selten einen klaren Weg, um dieses Risiko erfolgreich zu mindern. Sie legen keine spezifischen Anforderungen (oder auch keine Benchmarks) fest, um die Fähigkeiten und Ressourcen der Mitarbeiter im Bereich Cybersicherheit zu verbessern. Die meisten Aufsichtsbehörden bewerten das Cybersicherheitspersonal von Institutionen im Rahmen von Inspektionen vor Ort, bei denen Fragebögen zur Selbsteinschätzung üblich sind und die Schulungsprozesse besonders unter die Lupe genommen werden. Aber nur in wenigen Ländern befassen sich die Vorschriften speziell mit den Rollen und Verantwortlichkeiten des IT-Personals. Einfach ausgedrückt: Die Fehlerquote ist groß und der Schwerpunkt auf der richtigen Schulung und der anschließenden Bewertung der Fähigkeiten ist eher gering.
In Japan und Südkorea haben die Behörden Richtlinien für ein angemessenes Personalmanagement im Bereich Cybersicherheit festgelegt. In den meisten anderen Ländern beschränken sich die regulatorischen Anforderungen an das Cyber-Personalmanagement jedoch auf die Erwartungen der Aufsichtsbehörden, wo die Aufsichtsbehörden häufig keine Bewertung der Cybersicherheitskompetenzen und der Schulung der Mitarbeiter in regulierten Organisationen vornehmen.
Nur Hongkong, Singapur und das Vereinigte Königreich haben spezielle Rahmenbedingungen zur Zertifizierung der Fähigkeiten und Kompetenzen von Cyber-Mitarbeitern herausgegeben. Während Wörter wie „Compliance“ und „Zertifizierung“ einem durchschnittlichen kreativen, problemlösenden Entwickler, der mit der Entwicklung großartiger Softwarefunktionen beauftragt ist, einen kalten Schauer über den Rücken laufen lassen (bei ihnen wird Sicherheit oft als das Problem eines anderen angesehen, nämlich als das Sicherheitsteam), aber die riesigen Mengen sensibler Daten, die viele regulierte Stellen besitzen, sind einfach zu wertvoll, um sie in die Hände derer zu legen, deren Fähigkeiten „vorausgesetzt“ und nicht ordnungsgemäß überprüft werden.
Zum Glück erkennen viele Bank- und Finanzinstitute dies an, ohne sich unbedingt auf einen offensichtlichen regulatorischen Weg zu verlassen. Die Vorschriften bieten sicherlich einen Überblick über die Erwartungen an das Endergebnis (d. h. sichere Software), aber sie haben festgestellt, dass zur Erreichung dieses Ziels die Umgehung des Fachkräftemangels im Bereich Cybersicherheit erforderlich ist, indem Entwickler geschult, ihre Beziehungen zu bestehenden AppSec-Fachleuten gepflegt und eine positive Sicherheitskultur aufgebaut werden, die Verantwortung und Eigenverantwortung fördert.
Warum hat die Finanzbranche den „X-Faktor“ für Cybersicherheit?
Für Unternehmen im Bankwesen spielen einige Elemente eine Rolle, Finanzdienstleistungen und die Versicherungsbranche, die sich als starke Säulen zusammengeschlossen haben, auf denen ihre Führungsposition in der Cybersicherheitslandschaft basiert.
Natürlich sind sie die Torwächter der weltweiten Finanzen (ganz zu schweigen von Millionen hochsensibler Datensätze) in der Regel sehr auf die Einhaltung gesetzlicher Vorschriften ausgerichteter und regulierter Organisationen. „Aktualisierte Richtlinien, Vorschriften und Anforderungen werden erwartet und sinnvoll eingeplant. Infolgedessen haben sie die sich wandelnden Anforderungen an die Minderung von Cyberrisiken wie Enten ins Wasser genommen und verfügen über einige der strengsten Best Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Reduzierung ihrer Gefahr potenzieller Angriffe.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach haben sie den Grundstein dafür gelegt, sicherheitsbewusster zu sein als andere. Sie haben festgestellt, dass ganzheitliche Schulungsprogramme nicht nur für AppSec-Experten und Penetrationstester, sondern auch für deren (in der Regel sehr große und global verstreute) Entwicklungsteams erforderlich sind, und entsprechende Ressourcen bereitgestellt.
Da Cybersicherheit in den meisten Unternehmen noch relativ neu ist, ist es erfrischend, dass Finanzinstitute in ihrem Bestreben, sichere Software bereitzustellen, wirklich aufgeschlossen und innovativ sind. Viele haben die Vorteile einer Weiterbildung der Entwicklungskohorte mit folgenden Aspekten gesehen fesselndes Training das führt sie aus dem Klassenzimmer in eine praktische, relevante Lernerfahrung, die ihnen hilft, nicht nur Probleme zu lösen, sondern auch zu verstehen, wie wichtig sichere Codierung im Allgemeinen ist.
Schließlich ist sichere Codierung ein wichtiger Bestandteil, um eine solide, funktionale Beziehung zwischen Entwicklern und dem AppSec-Team aufzubauen und eine robuste Sicherheitskultur innerhalb des Unternehmens aufrechtzuerhalten. Ein weiterer wichtiger Faktor für ein erfolgreiches Sicherheitsprogramm besteht darin, sicherzustellen, dass wichtige Stakeholder mit an Bord sind und die Vorteile erkennen, auch wenn sie selbst keine Sicherheitsexperten sind.
Finanzinstitute kommunizieren in der Regel gut mit der Geschäftsleitung und stellen sicher, dass die Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Das mag jetzt Zeit und Geld kosten, aber angesichts der Tatsache, dass die Behebung von Sicherheitslücken in festgeschriebenem Code dreißigmal so teuer ist, spart ein gut abgerundetes Sicherheitsprogramm, „das Schulungen von Grund auf beinhaltet“, langfristig Geld: Es ist weitaus billiger, wenn Sicherheitsprobleme behoben werden, während sie von sicherheitsbewussten Entwicklern geschrieben werden.
Sicherheitsstandards beginnen, mit dem wachsenden Risiko Schritt zu halten
Ein wichtiger Faktor für die Cyber-Compliance in der Finanzbranche ist die Rat für PCI-Sicherheitsstandards, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Umsetzung tragfähiger Sicherheitsrichtlinien und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Es muss jedoch gesagt werden, dass viele unserer Kunden aus der Finanzbranche sogar die aktuellen Richtlinien des PCI Security Standards Council übertroffen haben. In diesen Richtlinien werden zwar Schulungen für Entwickler empfohlen (wie bereits bei anderen Beispielen für regulatorische Informationen erwähnt), aber sie geben keinen bestimmten Typ oder eine bestimmte Benchmark an, die erfüllt werden müssten, um zu belegen, dass die Schulung wirksam war.
Mit vielen Sicherheitslücken wie SQL Injection und Cross-Site Scripting (XSS), die schon länger bestehen als zwanzig Jahre (und verursachen auch 2019 noch Probleme), es ist klar, dass nicht alle Schulungen gleich oder effektiv sind. Durch die Einführung praktischer, spielerischer Sicherheitsschulungen erzielen Banken und andere Finanzdienstleistungsunternehmen weitaus bessere Ergebnisse und eine echte Verringerung der Sicherheitslücken, die verheerende Folgen haben können, wenn sie ausgenutzt werden.
Ein gutes Beispiel dafür ist, wie das US-Bankinstitut Capital One im Rahmen seines innovativen Tech College- und Zertifizierungssystems spielerische Ausbildungstechniken eingesetzt hat. Laut Russell Wolfe, ihrem Direktor für Cybersicherheit und Cloud-Computing-Ausbildung, kürzlich Webinar, die freiwilligen Trainingsprogramme und Programmierturniere gewannen sehr schnell an Bedeutung, und die Kollegen waren von einer noch nie dagewesenen Nachfrage und einer organischen Motivation, sich zertifizieren zu lassen und andere bei der Weiterbildung zu unterstützen.
Was können die Aufsichtsbehörden tun, um sicherzustellen, dass die Mitarbeiter im Bereich Cybersicherheit angemessen geschult werden?
Aufsichtsbehörden auf der ganzen Welt können ihre bestehenden Richtlinien und Richtlinien zur Cyberregulierung wirklich noch „verbessern“, indem sie einfach anerkannte Schulungsmethoden und Standards skizzieren, die diejenigen, die für den Schutz unserer Daten verantwortlich sind, einhalten müssen. Gegenwärtig scheint es in den meisten regulatorischen Richtlinien einen allgemeinen Hinweis auf eine Schulungspflicht zu geben, aber es gibt kaum Folgemaßnahmen, um sicherzustellen, dass diejenigen, die eine vorgeschriebene Schulung absolvieren, die Inhalte und Techniken erlernen, die erforderlich sind, um wirklich bei der Bekämpfung von Cyberbedrohungen zu helfen.
Der jüngste Schritt der MAS (Monetary Authority of Singapore), die Einführung von Schulungsprogrammen für das Sicherheitsbewusstsein und bewährte Verfahren zur sicheren Softwareentwicklung in die neueste Iteration ihrer Technologierisikorichtlinien sind jedoch ermutigend. Sobald die Leitlinien in Kraft treten, werden sie Finanzinstitute dazu verpflichten, sicherzustellen, dass ihre Softwareentwickler darin geschult werden, bei der Entwicklung von Software Standards für sichere Codierung, Quellcodeüberprüfung und AppSec-Tests anzuwenden, was einen großen Beitrag zur Minimierung von Fehlern und Sicherheitslücken leisten sollte.
Für mich ist es bei weitem am interessantesten und relevantesten, die Entwicklungskohorte mit praktischen, realen Techniken auszubilden und gleichzeitig die Grundlagen für die robuste Sicherheitskultur zu legen, die jedes Unternehmen schaffen muss, bevor es zu spät ist.
Ursprünglich veröffentlicht in Regulierung Asien.
Angesichts der zunehmenden Cyberangriffe, die „jede Art von Organisation in jeder Branche betreffen“, ist die Gefahr teurer, peinlicher und sich negativ auf das Geschäftsergebnis auswirkender Datenschutzverletzungen sehr real. Das Problem wird nicht kleiner, es wächst wie ein Tumor.
Ich werde oft gebeten, Beispiele dafür zu nennen, welche Organisationen dieses Problem bekämpfen und sich mit besonderer Finesse und Meisterschaft im „Wilden Westen“ der Cybersicherheit und der AppSec-Best Practice zurechtfinden. Ich komme öfter als andere zu einer Antwort zurück: Es ist die Finanzbranche, die es besser macht als die meisten anderen.
Regulierung: Ein treibender Faktor für die führende Rolle der Finanzbranche im Bereich Cybersicherheit
Einer der Gründe, warum der Finanzsektor im AppSec-Bereich so gut spielt, ist, dass er (zumindest teilweise) von den Bedenken der globalen, regionalen und nationalen Regulierungsbehörden über die universellen „ganz zu schweigen von katastrophalen“ Auswirkungen getrieben wird, die sich aus einem erfolgreichen Cybersicherheitsangriff oder Datendiebstahl ergeben könnten.
Der BCBS (Basler Ausschuss für Bankenaufsicht) veröffentlichte eine melden im Dezember, in dem die Bandbreite der beobachteten Praktiken der Banken, Aufsichtsbehörden und Aufsichtsbehörden in Bezug auf Cyberresistenz in mehreren Ländern detailliert beschrieben wird. Zu den wichtigsten Ergebnissen zählte der Fachkräftemangel im Bereich Cybersicherheit — ein Faktor, dem sich nur wenige Jurisdiktionen durch die Einführung spezifischer Cyberzertifizierungen stellen.
„In einigen Ländern gibt es IT-spezifische Standards, die sich mit den Verantwortlichkeiten der IT-Mitarbeiter und der Informationssicherheitsfunktionen befassen, wobei der Schulung und den Kompetenzen der Mitarbeiter im Bereich Cybersicherheit besondere Aufmerksamkeit geschenkt wird“, heißt es in dem Bericht. Die meisten Jurisdiktionen befinden sich jedoch in einem „frühen Stadium“ der Einführung von Aufsichtspraktiken zur Überwachung der Fähigkeiten und Ressourcen der Cyber-Belegschaft einer Bank.
In den meisten Fällen verlangen regulatorische Systeme, dass beaufsichtigte Unternehmen Risiken managen, aber es gibt selten einen klaren Weg, um dieses Risiko erfolgreich zu mindern. Sie legen keine spezifischen Anforderungen (oder auch keine Benchmarks) fest, um die Fähigkeiten und Ressourcen der Mitarbeiter im Bereich Cybersicherheit zu verbessern. Die meisten Aufsichtsbehörden bewerten das Cybersicherheitspersonal von Institutionen im Rahmen von Inspektionen vor Ort, bei denen Fragebögen zur Selbsteinschätzung üblich sind und die Schulungsprozesse besonders unter die Lupe genommen werden. Aber nur in wenigen Ländern befassen sich die Vorschriften speziell mit den Rollen und Verantwortlichkeiten des IT-Personals. Einfach ausgedrückt: Die Fehlerquote ist groß und der Schwerpunkt auf der richtigen Schulung und der anschließenden Bewertung der Fähigkeiten ist eher gering.
In Japan und Südkorea haben die Behörden Richtlinien für ein angemessenes Personalmanagement im Bereich Cybersicherheit festgelegt. In den meisten anderen Ländern beschränken sich die regulatorischen Anforderungen an das Cyber-Personalmanagement jedoch auf die Erwartungen der Aufsichtsbehörden, wo die Aufsichtsbehörden häufig keine Bewertung der Cybersicherheitskompetenzen und der Schulung der Mitarbeiter in regulierten Organisationen vornehmen.
Nur Hongkong, Singapur und das Vereinigte Königreich haben spezielle Rahmenbedingungen zur Zertifizierung der Fähigkeiten und Kompetenzen von Cyber-Mitarbeitern herausgegeben. Während Wörter wie „Compliance“ und „Zertifizierung“ einem durchschnittlichen kreativen, problemlösenden Entwickler, der mit der Entwicklung großartiger Softwarefunktionen beauftragt ist, einen kalten Schauer über den Rücken laufen lassen (bei ihnen wird Sicherheit oft als das Problem eines anderen angesehen, nämlich als das Sicherheitsteam), aber die riesigen Mengen sensibler Daten, die viele regulierte Stellen besitzen, sind einfach zu wertvoll, um sie in die Hände derer zu legen, deren Fähigkeiten „vorausgesetzt“ und nicht ordnungsgemäß überprüft werden.
Zum Glück erkennen viele Bank- und Finanzinstitute dies an, ohne sich unbedingt auf einen offensichtlichen regulatorischen Weg zu verlassen. Die Vorschriften bieten sicherlich einen Überblick über die Erwartungen an das Endergebnis (d. h. sichere Software), aber sie haben festgestellt, dass zur Erreichung dieses Ziels die Umgehung des Fachkräftemangels im Bereich Cybersicherheit erforderlich ist, indem Entwickler geschult, ihre Beziehungen zu bestehenden AppSec-Fachleuten gepflegt und eine positive Sicherheitskultur aufgebaut werden, die Verantwortung und Eigenverantwortung fördert.
Warum hat die Finanzbranche den „X-Faktor“ für Cybersicherheit?
Für Unternehmen im Bankwesen spielen einige Elemente eine Rolle, Finanzdienstleistungen und die Versicherungsbranche, die sich als starke Säulen zusammengeschlossen haben, auf denen ihre Führungsposition in der Cybersicherheitslandschaft basiert.
Natürlich sind sie die Torwächter der weltweiten Finanzen (ganz zu schweigen von Millionen hochsensibler Datensätze) in der Regel sehr auf die Einhaltung gesetzlicher Vorschriften ausgerichteter und regulierter Organisationen. „Aktualisierte Richtlinien, Vorschriften und Anforderungen werden erwartet und sinnvoll eingeplant. Infolgedessen haben sie die sich wandelnden Anforderungen an die Minderung von Cyberrisiken wie Enten ins Wasser genommen und verfügen über einige der strengsten Best Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Reduzierung ihrer Gefahr potenzieller Angriffe.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach haben sie den Grundstein dafür gelegt, sicherheitsbewusster zu sein als andere. Sie haben festgestellt, dass ganzheitliche Schulungsprogramme nicht nur für AppSec-Experten und Penetrationstester, sondern auch für deren (in der Regel sehr große und global verstreute) Entwicklungsteams erforderlich sind, und entsprechende Ressourcen bereitgestellt.
Da Cybersicherheit in den meisten Unternehmen noch relativ neu ist, ist es erfrischend, dass Finanzinstitute in ihrem Bestreben, sichere Software bereitzustellen, wirklich aufgeschlossen und innovativ sind. Viele haben die Vorteile einer Weiterbildung der Entwicklungskohorte mit folgenden Aspekten gesehen fesselndes Training das führt sie aus dem Klassenzimmer in eine praktische, relevante Lernerfahrung, die ihnen hilft, nicht nur Probleme zu lösen, sondern auch zu verstehen, wie wichtig sichere Codierung im Allgemeinen ist.
Schließlich ist sichere Codierung ein wichtiger Bestandteil, um eine solide, funktionale Beziehung zwischen Entwicklern und dem AppSec-Team aufzubauen und eine robuste Sicherheitskultur innerhalb des Unternehmens aufrechtzuerhalten. Ein weiterer wichtiger Faktor für ein erfolgreiches Sicherheitsprogramm besteht darin, sicherzustellen, dass wichtige Stakeholder mit an Bord sind und die Vorteile erkennen, auch wenn sie selbst keine Sicherheitsexperten sind.
Finanzinstitute kommunizieren in der Regel gut mit der Geschäftsleitung und stellen sicher, dass die Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Das mag jetzt Zeit und Geld kosten, aber angesichts der Tatsache, dass die Behebung von Sicherheitslücken in festgeschriebenem Code dreißigmal so teuer ist, spart ein gut abgerundetes Sicherheitsprogramm, „das Schulungen von Grund auf beinhaltet“, langfristig Geld: Es ist weitaus billiger, wenn Sicherheitsprobleme behoben werden, während sie von sicherheitsbewussten Entwicklern geschrieben werden.
Sicherheitsstandards beginnen, mit dem wachsenden Risiko Schritt zu halten
Ein wichtiger Faktor für die Cyber-Compliance in der Finanzbranche ist die Rat für PCI-Sicherheitsstandards, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Umsetzung tragfähiger Sicherheitsrichtlinien und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Es muss jedoch gesagt werden, dass viele unserer Kunden aus der Finanzbranche sogar die aktuellen Richtlinien des PCI Security Standards Council übertroffen haben. In diesen Richtlinien werden zwar Schulungen für Entwickler empfohlen (wie bereits bei anderen Beispielen für regulatorische Informationen erwähnt), aber sie geben keinen bestimmten Typ oder eine bestimmte Benchmark an, die erfüllt werden müssten, um zu belegen, dass die Schulung wirksam war.
Mit vielen Sicherheitslücken wie SQL Injection und Cross-Site Scripting (XSS), die schon länger bestehen als zwanzig Jahre (und verursachen auch 2019 noch Probleme), es ist klar, dass nicht alle Schulungen gleich oder effektiv sind. Durch die Einführung praktischer, spielerischer Sicherheitsschulungen erzielen Banken und andere Finanzdienstleistungsunternehmen weitaus bessere Ergebnisse und eine echte Verringerung der Sicherheitslücken, die verheerende Folgen haben können, wenn sie ausgenutzt werden.
Ein gutes Beispiel dafür ist, wie das US-Bankinstitut Capital One im Rahmen seines innovativen Tech College- und Zertifizierungssystems spielerische Ausbildungstechniken eingesetzt hat. Laut Russell Wolfe, ihrem Direktor für Cybersicherheit und Cloud-Computing-Ausbildung, kürzlich Webinar, die freiwilligen Trainingsprogramme und Programmierturniere gewannen sehr schnell an Bedeutung, und die Kollegen waren von einer noch nie dagewesenen Nachfrage und einer organischen Motivation, sich zertifizieren zu lassen und andere bei der Weiterbildung zu unterstützen.
Was können die Aufsichtsbehörden tun, um sicherzustellen, dass die Mitarbeiter im Bereich Cybersicherheit angemessen geschult werden?
Aufsichtsbehörden auf der ganzen Welt können ihre bestehenden Richtlinien und Richtlinien zur Cyberregulierung wirklich noch „verbessern“, indem sie einfach anerkannte Schulungsmethoden und Standards skizzieren, die diejenigen, die für den Schutz unserer Daten verantwortlich sind, einhalten müssen. Gegenwärtig scheint es in den meisten regulatorischen Richtlinien einen allgemeinen Hinweis auf eine Schulungspflicht zu geben, aber es gibt kaum Folgemaßnahmen, um sicherzustellen, dass diejenigen, die eine vorgeschriebene Schulung absolvieren, die Inhalte und Techniken erlernen, die erforderlich sind, um wirklich bei der Bekämpfung von Cyberbedrohungen zu helfen.
Der jüngste Schritt der MAS (Monetary Authority of Singapore), die Einführung von Schulungsprogrammen für das Sicherheitsbewusstsein und bewährte Verfahren zur sicheren Softwareentwicklung in die neueste Iteration ihrer Technologierisikorichtlinien sind jedoch ermutigend. Sobald die Leitlinien in Kraft treten, werden sie Finanzinstitute dazu verpflichten, sicherzustellen, dass ihre Softwareentwickler darin geschult werden, bei der Entwicklung von Software Standards für sichere Codierung, Quellcodeüberprüfung und AppSec-Tests anzuwenden, was einen großen Beitrag zur Minimierung von Fehlern und Sicherheitslücken leisten sollte.
Für mich ist es bei weitem am interessantesten und relevantesten, die Entwicklungskohorte mit praktischen, realen Techniken auszubilden und gleichzeitig die Grundlagen für die robuste Sicherheitskultur zu legen, die jedes Unternehmen schaffen muss, bevor es zu spät ist.
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Ursprünglich veröffentlicht in Regulierung Asien.
Angesichts der zunehmenden Cyberangriffe, die „jede Art von Organisation in jeder Branche betreffen“, ist die Gefahr teurer, peinlicher und sich negativ auf das Geschäftsergebnis auswirkender Datenschutzverletzungen sehr real. Das Problem wird nicht kleiner, es wächst wie ein Tumor.
Ich werde oft gebeten, Beispiele dafür zu nennen, welche Organisationen dieses Problem bekämpfen und sich mit besonderer Finesse und Meisterschaft im „Wilden Westen“ der Cybersicherheit und der AppSec-Best Practice zurechtfinden. Ich komme öfter als andere zu einer Antwort zurück: Es ist die Finanzbranche, die es besser macht als die meisten anderen.
Regulierung: Ein treibender Faktor für die führende Rolle der Finanzbranche im Bereich Cybersicherheit
Einer der Gründe, warum der Finanzsektor im AppSec-Bereich so gut spielt, ist, dass er (zumindest teilweise) von den Bedenken der globalen, regionalen und nationalen Regulierungsbehörden über die universellen „ganz zu schweigen von katastrophalen“ Auswirkungen getrieben wird, die sich aus einem erfolgreichen Cybersicherheitsangriff oder Datendiebstahl ergeben könnten.
Der BCBS (Basler Ausschuss für Bankenaufsicht) veröffentlichte eine melden im Dezember, in dem die Bandbreite der beobachteten Praktiken der Banken, Aufsichtsbehörden und Aufsichtsbehörden in Bezug auf Cyberresistenz in mehreren Ländern detailliert beschrieben wird. Zu den wichtigsten Ergebnissen zählte der Fachkräftemangel im Bereich Cybersicherheit — ein Faktor, dem sich nur wenige Jurisdiktionen durch die Einführung spezifischer Cyberzertifizierungen stellen.
„In einigen Ländern gibt es IT-spezifische Standards, die sich mit den Verantwortlichkeiten der IT-Mitarbeiter und der Informationssicherheitsfunktionen befassen, wobei der Schulung und den Kompetenzen der Mitarbeiter im Bereich Cybersicherheit besondere Aufmerksamkeit geschenkt wird“, heißt es in dem Bericht. Die meisten Jurisdiktionen befinden sich jedoch in einem „frühen Stadium“ der Einführung von Aufsichtspraktiken zur Überwachung der Fähigkeiten und Ressourcen der Cyber-Belegschaft einer Bank.
In den meisten Fällen verlangen regulatorische Systeme, dass beaufsichtigte Unternehmen Risiken managen, aber es gibt selten einen klaren Weg, um dieses Risiko erfolgreich zu mindern. Sie legen keine spezifischen Anforderungen (oder auch keine Benchmarks) fest, um die Fähigkeiten und Ressourcen der Mitarbeiter im Bereich Cybersicherheit zu verbessern. Die meisten Aufsichtsbehörden bewerten das Cybersicherheitspersonal von Institutionen im Rahmen von Inspektionen vor Ort, bei denen Fragebögen zur Selbsteinschätzung üblich sind und die Schulungsprozesse besonders unter die Lupe genommen werden. Aber nur in wenigen Ländern befassen sich die Vorschriften speziell mit den Rollen und Verantwortlichkeiten des IT-Personals. Einfach ausgedrückt: Die Fehlerquote ist groß und der Schwerpunkt auf der richtigen Schulung und der anschließenden Bewertung der Fähigkeiten ist eher gering.
In Japan und Südkorea haben die Behörden Richtlinien für ein angemessenes Personalmanagement im Bereich Cybersicherheit festgelegt. In den meisten anderen Ländern beschränken sich die regulatorischen Anforderungen an das Cyber-Personalmanagement jedoch auf die Erwartungen der Aufsichtsbehörden, wo die Aufsichtsbehörden häufig keine Bewertung der Cybersicherheitskompetenzen und der Schulung der Mitarbeiter in regulierten Organisationen vornehmen.
Nur Hongkong, Singapur und das Vereinigte Königreich haben spezielle Rahmenbedingungen zur Zertifizierung der Fähigkeiten und Kompetenzen von Cyber-Mitarbeitern herausgegeben. Während Wörter wie „Compliance“ und „Zertifizierung“ einem durchschnittlichen kreativen, problemlösenden Entwickler, der mit der Entwicklung großartiger Softwarefunktionen beauftragt ist, einen kalten Schauer über den Rücken laufen lassen (bei ihnen wird Sicherheit oft als das Problem eines anderen angesehen, nämlich als das Sicherheitsteam), aber die riesigen Mengen sensibler Daten, die viele regulierte Stellen besitzen, sind einfach zu wertvoll, um sie in die Hände derer zu legen, deren Fähigkeiten „vorausgesetzt“ und nicht ordnungsgemäß überprüft werden.
Zum Glück erkennen viele Bank- und Finanzinstitute dies an, ohne sich unbedingt auf einen offensichtlichen regulatorischen Weg zu verlassen. Die Vorschriften bieten sicherlich einen Überblick über die Erwartungen an das Endergebnis (d. h. sichere Software), aber sie haben festgestellt, dass zur Erreichung dieses Ziels die Umgehung des Fachkräftemangels im Bereich Cybersicherheit erforderlich ist, indem Entwickler geschult, ihre Beziehungen zu bestehenden AppSec-Fachleuten gepflegt und eine positive Sicherheitskultur aufgebaut werden, die Verantwortung und Eigenverantwortung fördert.
Warum hat die Finanzbranche den „X-Faktor“ für Cybersicherheit?
Für Unternehmen im Bankwesen spielen einige Elemente eine Rolle, Finanzdienstleistungen und die Versicherungsbranche, die sich als starke Säulen zusammengeschlossen haben, auf denen ihre Führungsposition in der Cybersicherheitslandschaft basiert.
Natürlich sind sie die Torwächter der weltweiten Finanzen (ganz zu schweigen von Millionen hochsensibler Datensätze) in der Regel sehr auf die Einhaltung gesetzlicher Vorschriften ausgerichteter und regulierter Organisationen. „Aktualisierte Richtlinien, Vorschriften und Anforderungen werden erwartet und sinnvoll eingeplant. Infolgedessen haben sie die sich wandelnden Anforderungen an die Minderung von Cyberrisiken wie Enten ins Wasser genommen und verfügen über einige der strengsten Best Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Reduzierung ihrer Gefahr potenzieller Angriffe.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach haben sie den Grundstein dafür gelegt, sicherheitsbewusster zu sein als andere. Sie haben festgestellt, dass ganzheitliche Schulungsprogramme nicht nur für AppSec-Experten und Penetrationstester, sondern auch für deren (in der Regel sehr große und global verstreute) Entwicklungsteams erforderlich sind, und entsprechende Ressourcen bereitgestellt.
Da Cybersicherheit in den meisten Unternehmen noch relativ neu ist, ist es erfrischend, dass Finanzinstitute in ihrem Bestreben, sichere Software bereitzustellen, wirklich aufgeschlossen und innovativ sind. Viele haben die Vorteile einer Weiterbildung der Entwicklungskohorte mit folgenden Aspekten gesehen fesselndes Training das führt sie aus dem Klassenzimmer in eine praktische, relevante Lernerfahrung, die ihnen hilft, nicht nur Probleme zu lösen, sondern auch zu verstehen, wie wichtig sichere Codierung im Allgemeinen ist.
Schließlich ist sichere Codierung ein wichtiger Bestandteil, um eine solide, funktionale Beziehung zwischen Entwicklern und dem AppSec-Team aufzubauen und eine robuste Sicherheitskultur innerhalb des Unternehmens aufrechtzuerhalten. Ein weiterer wichtiger Faktor für ein erfolgreiches Sicherheitsprogramm besteht darin, sicherzustellen, dass wichtige Stakeholder mit an Bord sind und die Vorteile erkennen, auch wenn sie selbst keine Sicherheitsexperten sind.
Finanzinstitute kommunizieren in der Regel gut mit der Geschäftsleitung und stellen sicher, dass die Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Das mag jetzt Zeit und Geld kosten, aber angesichts der Tatsache, dass die Behebung von Sicherheitslücken in festgeschriebenem Code dreißigmal so teuer ist, spart ein gut abgerundetes Sicherheitsprogramm, „das Schulungen von Grund auf beinhaltet“, langfristig Geld: Es ist weitaus billiger, wenn Sicherheitsprobleme behoben werden, während sie von sicherheitsbewussten Entwicklern geschrieben werden.
Sicherheitsstandards beginnen, mit dem wachsenden Risiko Schritt zu halten
Ein wichtiger Faktor für die Cyber-Compliance in der Finanzbranche ist die Rat für PCI-Sicherheitsstandards, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Umsetzung tragfähiger Sicherheitsrichtlinien und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Es muss jedoch gesagt werden, dass viele unserer Kunden aus der Finanzbranche sogar die aktuellen Richtlinien des PCI Security Standards Council übertroffen haben. In diesen Richtlinien werden zwar Schulungen für Entwickler empfohlen (wie bereits bei anderen Beispielen für regulatorische Informationen erwähnt), aber sie geben keinen bestimmten Typ oder eine bestimmte Benchmark an, die erfüllt werden müssten, um zu belegen, dass die Schulung wirksam war.
Mit vielen Sicherheitslücken wie SQL Injection und Cross-Site Scripting (XSS), die schon länger bestehen als zwanzig Jahre (und verursachen auch 2019 noch Probleme), es ist klar, dass nicht alle Schulungen gleich oder effektiv sind. Durch die Einführung praktischer, spielerischer Sicherheitsschulungen erzielen Banken und andere Finanzdienstleistungsunternehmen weitaus bessere Ergebnisse und eine echte Verringerung der Sicherheitslücken, die verheerende Folgen haben können, wenn sie ausgenutzt werden.
Ein gutes Beispiel dafür ist, wie das US-Bankinstitut Capital One im Rahmen seines innovativen Tech College- und Zertifizierungssystems spielerische Ausbildungstechniken eingesetzt hat. Laut Russell Wolfe, ihrem Direktor für Cybersicherheit und Cloud-Computing-Ausbildung, kürzlich Webinar, die freiwilligen Trainingsprogramme und Programmierturniere gewannen sehr schnell an Bedeutung, und die Kollegen waren von einer noch nie dagewesenen Nachfrage und einer organischen Motivation, sich zertifizieren zu lassen und andere bei der Weiterbildung zu unterstützen.
Was können die Aufsichtsbehörden tun, um sicherzustellen, dass die Mitarbeiter im Bereich Cybersicherheit angemessen geschult werden?
Aufsichtsbehörden auf der ganzen Welt können ihre bestehenden Richtlinien und Richtlinien zur Cyberregulierung wirklich noch „verbessern“, indem sie einfach anerkannte Schulungsmethoden und Standards skizzieren, die diejenigen, die für den Schutz unserer Daten verantwortlich sind, einhalten müssen. Gegenwärtig scheint es in den meisten regulatorischen Richtlinien einen allgemeinen Hinweis auf eine Schulungspflicht zu geben, aber es gibt kaum Folgemaßnahmen, um sicherzustellen, dass diejenigen, die eine vorgeschriebene Schulung absolvieren, die Inhalte und Techniken erlernen, die erforderlich sind, um wirklich bei der Bekämpfung von Cyberbedrohungen zu helfen.
Der jüngste Schritt der MAS (Monetary Authority of Singapore), die Einführung von Schulungsprogrammen für das Sicherheitsbewusstsein und bewährte Verfahren zur sicheren Softwareentwicklung in die neueste Iteration ihrer Technologierisikorichtlinien sind jedoch ermutigend. Sobald die Leitlinien in Kraft treten, werden sie Finanzinstitute dazu verpflichten, sicherzustellen, dass ihre Softwareentwickler darin geschult werden, bei der Entwicklung von Software Standards für sichere Codierung, Quellcodeüberprüfung und AppSec-Tests anzuwenden, was einen großen Beitrag zur Minimierung von Fehlern und Sicherheitslücken leisten sollte.
Für mich ist es bei weitem am interessantesten und relevantesten, die Entwicklungskohorte mit praktischen, realen Techniken auszubilden und gleichzeitig die Grundlagen für die robuste Sicherheitskultur zu legen, die jedes Unternehmen schaffen muss, bevor es zu spät ist.
%20(1).avif)
.avif)
