So führen Sie effektive Sicherheitsschulungen für Entwickler ein: 5 wichtige Lektionen
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
首席执行官、主席和联合创始人
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
%20(1).avif)
.avif)
