Einige CISOs nutzen den Mangel an Sicherheitsfachkräften in eine Chance
Da ich diese Woche nach San Francisco reise, um an RSA teilzunehmen, bereite ich mich auf viele Diskussionen mit CISOs vor. Es mag Sie überraschen, aber das Gespräch mit vielen CISOs ist heutzutage nicht gerade erfreulich.
Sie wissen, dass die Sicherheitsrisiken zunehmen, aber viele sehen keine Gelegenheit für Sicherheitsverbesserungen, sondern glauben stattdessen, dass ihre Unternehmen mit größerer Wahrscheinlichkeit Opfer einer Datenschutzverletzung oder eines Cybersicherheitsangriffs werden als je zuvor.
Eines der häufigsten Themen in meinen regelmäßigen CISO-Gesprächen ist ihre Besorgnis über den problematischen Mangel an Cybersicherheitskompetenzen.
„Unser Sicherheitsteam ist nicht groß genug für die Größe unseres Ingenieurteams oder Unternehmens.“
„Unser Sicherheitsteam wird immer wieder von Unternehmen im Ausland abgeworben, die außergewöhnliche Gehaltspakete und die Möglichkeit bieten, zu arbeiten und andere Kontinente zu erkunden.“
„Unsere Sicherheitsexperten sind zu sehr mit der Brandbekämpfung beschäftigt, um ihre Fähigkeiten weiterzuentwickeln“.
Dieses Thema wird durch mehrere Forschungsberichte gestützt, darunter eine Umfrage des Ponemon Institute aus dem Jahr 2017, in der 2018 der „Mangel an kompetenten internen Mitarbeitern“ bei allen anderen Arten von CISO-Cybersicherheitsbedenken an erster Stelle stand.
Diese kritische Lücke bei den Sicherheitskompetenzen wird wahrscheinlich nicht so schnell verschwinden, insbesondere in Märkten wie Australien, wo die besten Talente häufig ins Ausland abwandern und die Einwanderungsgesetze es zunehmend schwieriger machen, ausländische Sicherheitsexperten ins Land zu holen.
Eines der interessanten Dinge am australischen Fachkräftemangel ist, dass die mangelnde Fähigkeit, qualifizierte Experten zu rekrutieren, dazu geführt hat, dass der Aufbau von Fähigkeiten im Bereich der nationalen Sicherheit positiv in den Mittelpunkt gerückt ist. Wie Benjamin Franklin hätte sagen sollen: „Aus Widrigkeiten ergeben sich Chancen.“ Australische Regierungen, Bildungseinrichtungen, Unternehmen und Start-ups arbeiten an Programmen, um vor Ort eine Reihe von Sicherheitskompetenzen aufzubauen.
Ein Bereich, in dem der Mangel an Sicherheitskompetenzen definitiv zu Chancen geführt hat, ist die Entwicklung von Fähigkeiten zur sicheren Codierung innerhalb interner und ausgelagerter Entwicklungsteams. Angesichts der Tatsache, dass die meisten der weltweit größten Sicherheitslücken auf Codierungsfehler zurückzuführen sind und die durchschnittliche Sicherheitsverletzung 3,6 Millionen US-Dollar kostet, ist Softwaresicherheit definitiv ein erheblicher Teil der Sicherheitsherausforderung. Eine der größten (und steigenden) Ausgaben innerhalb der Budgets für Anwendungssicherheit entfällt auf die reaktive Identifizierung und Behebung der Anwendungssicherheit, wobei häufig Jahr für Jahr dieselben alten Fehler auftreten.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Es bedeutet nicht, Sicherheitsexperten durch Entwickler zu ersetzen, aber es bedeutet, Entwickler in Sicherheitsfragen einzubeziehen, Sicherheit zu einem Teil ihrer täglichen Denkweise zu machen und ihnen beizubringen, sicher zu programmieren, und zwar auf unterhaltsame, effektive und effiziente Weise. Das Ergebnis wird sein, dass knappes Sicherheitsexpertise besser darauf verwendet werden kann, die wirklich schwierigen, komplexen Fehler zu finden und zu beheben, als sich mit denselben alten Sicherheitslücken zu befassen.
Für einige CISOs mag das alles zu schön klingen, um wahr zu sein, oder zu schwierig zu implementieren, aber die Wahrheit ist, dass es keines dieser Dinge ist. Bei Secure Code Warrior haben immer mehr CISOs diese Gelegenheit genutzt und dabei das Arbeitsleben sowohl der Sicherheits- als auch der Entwicklungsteams verändert.
Eine Gruppe von CISOs, die weltweit die Initiative ergriffen haben, um unter ihren Softwareentwicklern eine starke Sicherheitsmentalität und -kompetenz zu entwickeln, sind die australischen Banken. Die australischen Banken waren bereits 2016 und 2017 die ersten Anwender dieses Ansatzes. Die sechs führenden Banken des Landes ermutigen ihre Entwicklerteams nun aktiv dazu, mithilfe unserer spielerischen Online-Lernumgebung im Selbststudium sichere Programmierkenntnisse zu erwerben. Die Banken überprüfen außerdem regelmäßig Echtzeitkennzahlen und Berichte, um die Stärken und Schwächen ihrer Entwickler und Teams zu überprüfen.
Der Ansatz führt zu greifbaren und positiven Ergebnissen, darunter eine Verringerung des Auftretens häufiger Sicherheitslücken, ein erhöhtes Sicherheitsbewusstsein der Entwickler und eine verbesserte Beziehung zwischen Sicherheits- und Entwicklungsteams. Unternehmen, die ihren Entwicklern das sichere Programmieren beibringen, werden den Druck auf ihr vorhandenes Sicherheitstalent verringern und ihr Risiko durch Softwareunsicherheiten verringern.
Wenn Sie ein CISO sind (oder einen kennen), der sich über die Sicherheitslage in Ihrem Unternehmen deprimiert fühlt, empfehle ich Ihnen, über einen einfachen Weg nachzudenken, um einige positive und greifbare Punkte zur Sicherheitsverbesserung zu erzielen. Ermöglichen Sie Ihren Entwicklern, sicheres Programmieren zu lernen, und zwar auf eine Weise, die relevant, positiv und unterhaltsam ist. Ihre Sicherheits- und Entwicklungsteams werden es Ihnen danken und Sie werden auch Kosten und Verzögerungen bei Produktinnovationen und -entwicklungen vermeiden. Ich wette, das wird den Weg für viele positive Sicherheitsgespräche ebnen _...
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, aus der Sicherheitslücke heraus eine gewisse proaktive Kontrolle zu übernehmen. Hier besteht die Möglichkeit, schnelle, einfache und messbare Verbesserungen sowohl für Sicherheits- als auch für Entwicklungsteams zu erzielen.
首席执行官、主席和联合创始人
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Da ich diese Woche nach San Francisco reise, um an RSA teilzunehmen, bereite ich mich auf viele Diskussionen mit CISOs vor. Es mag Sie überraschen, aber das Gespräch mit vielen CISOs ist heutzutage nicht gerade erfreulich.
Sie wissen, dass die Sicherheitsrisiken zunehmen, aber viele sehen keine Gelegenheit für Sicherheitsverbesserungen, sondern glauben stattdessen, dass ihre Unternehmen mit größerer Wahrscheinlichkeit Opfer einer Datenschutzverletzung oder eines Cybersicherheitsangriffs werden als je zuvor.
Eines der häufigsten Themen in meinen regelmäßigen CISO-Gesprächen ist ihre Besorgnis über den problematischen Mangel an Cybersicherheitskompetenzen.
„Unser Sicherheitsteam ist nicht groß genug für die Größe unseres Ingenieurteams oder Unternehmens.“
„Unser Sicherheitsteam wird immer wieder von Unternehmen im Ausland abgeworben, die außergewöhnliche Gehaltspakete und die Möglichkeit bieten, zu arbeiten und andere Kontinente zu erkunden.“
„Unsere Sicherheitsexperten sind zu sehr mit der Brandbekämpfung beschäftigt, um ihre Fähigkeiten weiterzuentwickeln“.
Dieses Thema wird durch mehrere Forschungsberichte gestützt, darunter eine Umfrage des Ponemon Institute aus dem Jahr 2017, in der 2018 der „Mangel an kompetenten internen Mitarbeitern“ bei allen anderen Arten von CISO-Cybersicherheitsbedenken an erster Stelle stand.
Diese kritische Lücke bei den Sicherheitskompetenzen wird wahrscheinlich nicht so schnell verschwinden, insbesondere in Märkten wie Australien, wo die besten Talente häufig ins Ausland abwandern und die Einwanderungsgesetze es zunehmend schwieriger machen, ausländische Sicherheitsexperten ins Land zu holen.
Eines der interessanten Dinge am australischen Fachkräftemangel ist, dass die mangelnde Fähigkeit, qualifizierte Experten zu rekrutieren, dazu geführt hat, dass der Aufbau von Fähigkeiten im Bereich der nationalen Sicherheit positiv in den Mittelpunkt gerückt ist. Wie Benjamin Franklin hätte sagen sollen: „Aus Widrigkeiten ergeben sich Chancen.“ Australische Regierungen, Bildungseinrichtungen, Unternehmen und Start-ups arbeiten an Programmen, um vor Ort eine Reihe von Sicherheitskompetenzen aufzubauen.
Ein Bereich, in dem der Mangel an Sicherheitskompetenzen definitiv zu Chancen geführt hat, ist die Entwicklung von Fähigkeiten zur sicheren Codierung innerhalb interner und ausgelagerter Entwicklungsteams. Angesichts der Tatsache, dass die meisten der weltweit größten Sicherheitslücken auf Codierungsfehler zurückzuführen sind und die durchschnittliche Sicherheitsverletzung 3,6 Millionen US-Dollar kostet, ist Softwaresicherheit definitiv ein erheblicher Teil der Sicherheitsherausforderung. Eine der größten (und steigenden) Ausgaben innerhalb der Budgets für Anwendungssicherheit entfällt auf die reaktive Identifizierung und Behebung der Anwendungssicherheit, wobei häufig Jahr für Jahr dieselben alten Fehler auftreten.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Es bedeutet nicht, Sicherheitsexperten durch Entwickler zu ersetzen, aber es bedeutet, Entwickler in Sicherheitsfragen einzubeziehen, Sicherheit zu einem Teil ihrer täglichen Denkweise zu machen und ihnen beizubringen, sicher zu programmieren, und zwar auf unterhaltsame, effektive und effiziente Weise. Das Ergebnis wird sein, dass knappes Sicherheitsexpertise besser darauf verwendet werden kann, die wirklich schwierigen, komplexen Fehler zu finden und zu beheben, als sich mit denselben alten Sicherheitslücken zu befassen.
Für einige CISOs mag das alles zu schön klingen, um wahr zu sein, oder zu schwierig zu implementieren, aber die Wahrheit ist, dass es keines dieser Dinge ist. Bei Secure Code Warrior haben immer mehr CISOs diese Gelegenheit genutzt und dabei das Arbeitsleben sowohl der Sicherheits- als auch der Entwicklungsteams verändert.
Eine Gruppe von CISOs, die weltweit die Initiative ergriffen haben, um unter ihren Softwareentwicklern eine starke Sicherheitsmentalität und -kompetenz zu entwickeln, sind die australischen Banken. Die australischen Banken waren bereits 2016 und 2017 die ersten Anwender dieses Ansatzes. Die sechs führenden Banken des Landes ermutigen ihre Entwicklerteams nun aktiv dazu, mithilfe unserer spielerischen Online-Lernumgebung im Selbststudium sichere Programmierkenntnisse zu erwerben. Die Banken überprüfen außerdem regelmäßig Echtzeitkennzahlen und Berichte, um die Stärken und Schwächen ihrer Entwickler und Teams zu überprüfen.
Der Ansatz führt zu greifbaren und positiven Ergebnissen, darunter eine Verringerung des Auftretens häufiger Sicherheitslücken, ein erhöhtes Sicherheitsbewusstsein der Entwickler und eine verbesserte Beziehung zwischen Sicherheits- und Entwicklungsteams. Unternehmen, die ihren Entwicklern das sichere Programmieren beibringen, werden den Druck auf ihr vorhandenes Sicherheitstalent verringern und ihr Risiko durch Softwareunsicherheiten verringern.
Wenn Sie ein CISO sind (oder einen kennen), der sich über die Sicherheitslage in Ihrem Unternehmen deprimiert fühlt, empfehle ich Ihnen, über einen einfachen Weg nachzudenken, um einige positive und greifbare Punkte zur Sicherheitsverbesserung zu erzielen. Ermöglichen Sie Ihren Entwicklern, sicheres Programmieren zu lernen, und zwar auf eine Weise, die relevant, positiv und unterhaltsam ist. Ihre Sicherheits- und Entwicklungsteams werden es Ihnen danken und Sie werden auch Kosten und Verzögerungen bei Produktinnovationen und -entwicklungen vermeiden. Ich wette, das wird den Weg für viele positive Sicherheitsgespräche ebnen _...
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Da ich diese Woche nach San Francisco reise, um an RSA teilzunehmen, bereite ich mich auf viele Diskussionen mit CISOs vor. Es mag Sie überraschen, aber das Gespräch mit vielen CISOs ist heutzutage nicht gerade erfreulich.
Sie wissen, dass die Sicherheitsrisiken zunehmen, aber viele sehen keine Gelegenheit für Sicherheitsverbesserungen, sondern glauben stattdessen, dass ihre Unternehmen mit größerer Wahrscheinlichkeit Opfer einer Datenschutzverletzung oder eines Cybersicherheitsangriffs werden als je zuvor.
Eines der häufigsten Themen in meinen regelmäßigen CISO-Gesprächen ist ihre Besorgnis über den problematischen Mangel an Cybersicherheitskompetenzen.
„Unser Sicherheitsteam ist nicht groß genug für die Größe unseres Ingenieurteams oder Unternehmens.“
„Unser Sicherheitsteam wird immer wieder von Unternehmen im Ausland abgeworben, die außergewöhnliche Gehaltspakete und die Möglichkeit bieten, zu arbeiten und andere Kontinente zu erkunden.“
„Unsere Sicherheitsexperten sind zu sehr mit der Brandbekämpfung beschäftigt, um ihre Fähigkeiten weiterzuentwickeln“.
Dieses Thema wird durch mehrere Forschungsberichte gestützt, darunter eine Umfrage des Ponemon Institute aus dem Jahr 2017, in der 2018 der „Mangel an kompetenten internen Mitarbeitern“ bei allen anderen Arten von CISO-Cybersicherheitsbedenken an erster Stelle stand.
Diese kritische Lücke bei den Sicherheitskompetenzen wird wahrscheinlich nicht so schnell verschwinden, insbesondere in Märkten wie Australien, wo die besten Talente häufig ins Ausland abwandern und die Einwanderungsgesetze es zunehmend schwieriger machen, ausländische Sicherheitsexperten ins Land zu holen.
Eines der interessanten Dinge am australischen Fachkräftemangel ist, dass die mangelnde Fähigkeit, qualifizierte Experten zu rekrutieren, dazu geführt hat, dass der Aufbau von Fähigkeiten im Bereich der nationalen Sicherheit positiv in den Mittelpunkt gerückt ist. Wie Benjamin Franklin hätte sagen sollen: „Aus Widrigkeiten ergeben sich Chancen.“ Australische Regierungen, Bildungseinrichtungen, Unternehmen und Start-ups arbeiten an Programmen, um vor Ort eine Reihe von Sicherheitskompetenzen aufzubauen.
Ein Bereich, in dem der Mangel an Sicherheitskompetenzen definitiv zu Chancen geführt hat, ist die Entwicklung von Fähigkeiten zur sicheren Codierung innerhalb interner und ausgelagerter Entwicklungsteams. Angesichts der Tatsache, dass die meisten der weltweit größten Sicherheitslücken auf Codierungsfehler zurückzuführen sind und die durchschnittliche Sicherheitsverletzung 3,6 Millionen US-Dollar kostet, ist Softwaresicherheit definitiv ein erheblicher Teil der Sicherheitsherausforderung. Eine der größten (und steigenden) Ausgaben innerhalb der Budgets für Anwendungssicherheit entfällt auf die reaktive Identifizierung und Behebung der Anwendungssicherheit, wobei häufig Jahr für Jahr dieselben alten Fehler auftreten.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Es bedeutet nicht, Sicherheitsexperten durch Entwickler zu ersetzen, aber es bedeutet, Entwickler in Sicherheitsfragen einzubeziehen, Sicherheit zu einem Teil ihrer täglichen Denkweise zu machen und ihnen beizubringen, sicher zu programmieren, und zwar auf unterhaltsame, effektive und effiziente Weise. Das Ergebnis wird sein, dass knappes Sicherheitsexpertise besser darauf verwendet werden kann, die wirklich schwierigen, komplexen Fehler zu finden und zu beheben, als sich mit denselben alten Sicherheitslücken zu befassen.
Für einige CISOs mag das alles zu schön klingen, um wahr zu sein, oder zu schwierig zu implementieren, aber die Wahrheit ist, dass es keines dieser Dinge ist. Bei Secure Code Warrior haben immer mehr CISOs diese Gelegenheit genutzt und dabei das Arbeitsleben sowohl der Sicherheits- als auch der Entwicklungsteams verändert.
Eine Gruppe von CISOs, die weltweit die Initiative ergriffen haben, um unter ihren Softwareentwicklern eine starke Sicherheitsmentalität und -kompetenz zu entwickeln, sind die australischen Banken. Die australischen Banken waren bereits 2016 und 2017 die ersten Anwender dieses Ansatzes. Die sechs führenden Banken des Landes ermutigen ihre Entwicklerteams nun aktiv dazu, mithilfe unserer spielerischen Online-Lernumgebung im Selbststudium sichere Programmierkenntnisse zu erwerben. Die Banken überprüfen außerdem regelmäßig Echtzeitkennzahlen und Berichte, um die Stärken und Schwächen ihrer Entwickler und Teams zu überprüfen.
Der Ansatz führt zu greifbaren und positiven Ergebnissen, darunter eine Verringerung des Auftretens häufiger Sicherheitslücken, ein erhöhtes Sicherheitsbewusstsein der Entwickler und eine verbesserte Beziehung zwischen Sicherheits- und Entwicklungsteams. Unternehmen, die ihren Entwicklern das sichere Programmieren beibringen, werden den Druck auf ihr vorhandenes Sicherheitstalent verringern und ihr Risiko durch Softwareunsicherheiten verringern.
Wenn Sie ein CISO sind (oder einen kennen), der sich über die Sicherheitslage in Ihrem Unternehmen deprimiert fühlt, empfehle ich Ihnen, über einen einfachen Weg nachzudenken, um einige positive und greifbare Punkte zur Sicherheitsverbesserung zu erzielen. Ermöglichen Sie Ihren Entwicklern, sicheres Programmieren zu lernen, und zwar auf eine Weise, die relevant, positiv und unterhaltsam ist. Ihre Sicherheits- und Entwicklungsteams werden es Ihnen danken und Sie werden auch Kosten und Verzögerungen bei Produktinnovationen und -entwicklungen vermeiden. Ich wette, das wird den Weg für viele positive Sicherheitsgespräche ebnen _...
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Da ich diese Woche nach San Francisco reise, um an RSA teilzunehmen, bereite ich mich auf viele Diskussionen mit CISOs vor. Es mag Sie überraschen, aber das Gespräch mit vielen CISOs ist heutzutage nicht gerade erfreulich.
Sie wissen, dass die Sicherheitsrisiken zunehmen, aber viele sehen keine Gelegenheit für Sicherheitsverbesserungen, sondern glauben stattdessen, dass ihre Unternehmen mit größerer Wahrscheinlichkeit Opfer einer Datenschutzverletzung oder eines Cybersicherheitsangriffs werden als je zuvor.
Eines der häufigsten Themen in meinen regelmäßigen CISO-Gesprächen ist ihre Besorgnis über den problematischen Mangel an Cybersicherheitskompetenzen.
„Unser Sicherheitsteam ist nicht groß genug für die Größe unseres Ingenieurteams oder Unternehmens.“
„Unser Sicherheitsteam wird immer wieder von Unternehmen im Ausland abgeworben, die außergewöhnliche Gehaltspakete und die Möglichkeit bieten, zu arbeiten und andere Kontinente zu erkunden.“
„Unsere Sicherheitsexperten sind zu sehr mit der Brandbekämpfung beschäftigt, um ihre Fähigkeiten weiterzuentwickeln“.
Dieses Thema wird durch mehrere Forschungsberichte gestützt, darunter eine Umfrage des Ponemon Institute aus dem Jahr 2017, in der 2018 der „Mangel an kompetenten internen Mitarbeitern“ bei allen anderen Arten von CISO-Cybersicherheitsbedenken an erster Stelle stand.
Diese kritische Lücke bei den Sicherheitskompetenzen wird wahrscheinlich nicht so schnell verschwinden, insbesondere in Märkten wie Australien, wo die besten Talente häufig ins Ausland abwandern und die Einwanderungsgesetze es zunehmend schwieriger machen, ausländische Sicherheitsexperten ins Land zu holen.
Eines der interessanten Dinge am australischen Fachkräftemangel ist, dass die mangelnde Fähigkeit, qualifizierte Experten zu rekrutieren, dazu geführt hat, dass der Aufbau von Fähigkeiten im Bereich der nationalen Sicherheit positiv in den Mittelpunkt gerückt ist. Wie Benjamin Franklin hätte sagen sollen: „Aus Widrigkeiten ergeben sich Chancen.“ Australische Regierungen, Bildungseinrichtungen, Unternehmen und Start-ups arbeiten an Programmen, um vor Ort eine Reihe von Sicherheitskompetenzen aufzubauen.
Ein Bereich, in dem der Mangel an Sicherheitskompetenzen definitiv zu Chancen geführt hat, ist die Entwicklung von Fähigkeiten zur sicheren Codierung innerhalb interner und ausgelagerter Entwicklungsteams. Angesichts der Tatsache, dass die meisten der weltweit größten Sicherheitslücken auf Codierungsfehler zurückzuführen sind und die durchschnittliche Sicherheitsverletzung 3,6 Millionen US-Dollar kostet, ist Softwaresicherheit definitiv ein erheblicher Teil der Sicherheitsherausforderung. Eine der größten (und steigenden) Ausgaben innerhalb der Budgets für Anwendungssicherheit entfällt auf die reaktive Identifizierung und Behebung der Anwendungssicherheit, wobei häufig Jahr für Jahr dieselben alten Fehler auftreten.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Es bedeutet nicht, Sicherheitsexperten durch Entwickler zu ersetzen, aber es bedeutet, Entwickler in Sicherheitsfragen einzubeziehen, Sicherheit zu einem Teil ihrer täglichen Denkweise zu machen und ihnen beizubringen, sicher zu programmieren, und zwar auf unterhaltsame, effektive und effiziente Weise. Das Ergebnis wird sein, dass knappes Sicherheitsexpertise besser darauf verwendet werden kann, die wirklich schwierigen, komplexen Fehler zu finden und zu beheben, als sich mit denselben alten Sicherheitslücken zu befassen.
Für einige CISOs mag das alles zu schön klingen, um wahr zu sein, oder zu schwierig zu implementieren, aber die Wahrheit ist, dass es keines dieser Dinge ist. Bei Secure Code Warrior haben immer mehr CISOs diese Gelegenheit genutzt und dabei das Arbeitsleben sowohl der Sicherheits- als auch der Entwicklungsteams verändert.
Eine Gruppe von CISOs, die weltweit die Initiative ergriffen haben, um unter ihren Softwareentwicklern eine starke Sicherheitsmentalität und -kompetenz zu entwickeln, sind die australischen Banken. Die australischen Banken waren bereits 2016 und 2017 die ersten Anwender dieses Ansatzes. Die sechs führenden Banken des Landes ermutigen ihre Entwicklerteams nun aktiv dazu, mithilfe unserer spielerischen Online-Lernumgebung im Selbststudium sichere Programmierkenntnisse zu erwerben. Die Banken überprüfen außerdem regelmäßig Echtzeitkennzahlen und Berichte, um die Stärken und Schwächen ihrer Entwickler und Teams zu überprüfen.
Der Ansatz führt zu greifbaren und positiven Ergebnissen, darunter eine Verringerung des Auftretens häufiger Sicherheitslücken, ein erhöhtes Sicherheitsbewusstsein der Entwickler und eine verbesserte Beziehung zwischen Sicherheits- und Entwicklungsteams. Unternehmen, die ihren Entwicklern das sichere Programmieren beibringen, werden den Druck auf ihr vorhandenes Sicherheitstalent verringern und ihr Risiko durch Softwareunsicherheiten verringern.
Wenn Sie ein CISO sind (oder einen kennen), der sich über die Sicherheitslage in Ihrem Unternehmen deprimiert fühlt, empfehle ich Ihnen, über einen einfachen Weg nachzudenken, um einige positive und greifbare Punkte zur Sicherheitsverbesserung zu erzielen. Ermöglichen Sie Ihren Entwicklern, sicheres Programmieren zu lernen, und zwar auf eine Weise, die relevant, positiv und unterhaltsam ist. Ihre Sicherheits- und Entwicklungsteams werden es Ihnen danken und Sie werden auch Kosten und Verzögerungen bei Produktinnovationen und -entwicklungen vermeiden. Ich wette, das wird den Weg für viele positive Sicherheitsgespräche ebnen _...
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
%20(1).avif)
.avif)
