Wie die australische Regierung die nationale Widerstandsfähigkeit gegenüber Cybersicherheit stärken und Bedrohungen standhaft abwehren kann
Mit 2020 wird es eine enormer Anstieg der TelearbeitHinzu kommen anhaltende groß angelegte Datenschutzverletzungen und ein zunehmender Fokus auf die Folgen einer beeinträchtigten Online-Privatsphäre. Noch nie war Cybersicherheit in den Fokus der Öffentlichkeit gerückt. Infolgedessen haben Regierungen auf der ganzen Welt eingegriffen, um ihre Cybersicherheitspläne und -infrastrukturen neu zu gestalten und zu aktualisieren, einschließlich Strategien und Vorschriften, die Unternehmen beim Umgang mit unseren wertvollsten digitalen Ressourcen befolgen müssen.
Strategische Schutzrichtlinien für Cybersicherheit sind kein neues Konzept, und Organisationen wie NIST haben viele Jahre lang die Politik der globalen Regierungsbehörden beeinflusst. Da wir den digitalen Fortschritt in rasantem Tempo erlebt haben, ist es für viele schwierig geworden, mit der Anzahl der Bedrohungen, möglichen Angriffsvektoren und Compliance-Anforderungen Schritt zu halten, die Teil einer sich ständig ändernden Landschaft sind.
Ein aktuelles Verstoß gegen 54.000 Führerscheine aus New South Wales Aufgrund eines leicht zugänglichen, falsch konfigurierten S3-Buckets auf einem Server eines Drittanbieters wurden Tausende von Personen kompromittiert. Der Sicherheitsforscher, der das Problem gemeldet hat, räumte ein, dass die Daten möglicherweise bereits im Dark Web verkauft wurden. Das Traurige daran ist, dass dies eine einfache Lösung ist und es unwahrscheinlich gewesen wäre, wenn die Sicherheit bei der Konfiguration des Caches im Vordergrund gestanden hätte.
Die australische Regierung veröffentlichte kürzlich die Australische Cybersicherheitsstrategie 2020, in dem neue Initiativen und ein Finanzierungsschub von 1,67 Mrd. USD hervorgehoben werden, der in den nächsten zehn Jahren verwendet werden soll, um ihre „Vision zu verwirklichen, eine sicherere Online-Welt für Australier, ihre Unternehmen und die grundlegenden Dienstleistungen zu schaffen, von denen wir alle abhängig sind“. Dies ist eindeutig eine sehr begrüßenswerte Überprüfung und Aktualisierung des Plans, zumal eines der Hauptziele darin besteht,
„Maßnahmen von Unternehmen zur Sicherung ihrer Produkte und Dienstleistungen und zum Schutz ihrer Kunden vor bekannten Cyberschwachstellen„.
Während Regierungsbehörden dazu neigen, sich auf die Sicherheitsmaßnahmen in Bezug auf die kritische Infrastruktur eines Landes zu konzentrieren — Bereiche, die reif für einen katastrophalen organisierten Angriff sind —, fehlte es in der Vergangenheit an Richtlinien für die Unternehmen, die unsere Daten täglich sammeln und verwenden.
Nun, wenn es um offizielle Strategien wie diese geht, geht es nicht immer um Bier und Kegel. Es kann etwas schwierig zu interpretieren sein, und die Details sind vage, sodass es dem Sicherheitsteam eines Unternehmens überlassen wird, einen Plan auf der Grundlage unspezifischer Richtlinien zusammenzustellen. Dieses Problem betrifft nicht nur die australische Regierung, aber lassen Sie uns ihre brandneue Version analysieren.
Ein Fokus auf Reaktion, nicht auf Prävention.
Die aktualisierte australische Cybersicherheitsstrategie ist eine relevantere Weiterentwicklung gegenüber der letzten Version von 2016. Sie enthält ziemlich umfassende Pläne für Unternehmen, insbesondere KMU. Die Strategie umreißt:
„Regierungen und große Unternehmen werden kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihr Bewusstsein und ihre Fähigkeiten im Bereich Cybersicherheit zu erweitern und zu verbessern. Die australische Regierung wird mit großen Unternehmen und Dienstleistern zusammenarbeiten, um KMU Informationen und Tools zur Cybersicherheit im Rahmen von „Bündeln“ sicherer Dienste (z. B. zur Abwehr von Bedrohungen, Virenschutz und Schulung zur Sensibilisierung für Cybersicherheit) zur Verfügung zu stellen.“
Dies wird KMU eine solide Grundlage bieten, auf der sie ihr Unternehmen vor Cyberbedrohungen schützen können, aber es handelt sich größtenteils um einen reaktiven Ansatz, und der Schwerpunkt liegt auf Erkennungstools — einem relativ kleinen Teil der Cybersicherheitslandschaft.
Es gibt auch überraschend wenig Informationen darüber, wie große Unternehmen sich schützen und ihre Angriffsvektoren reduzieren können. Viele sind zwar Teil der Pläne zum Schutz kritischer Infrastrukturen (wie Telekommunikation, Transport), Finanzdienstleistungen, Einzelhandel, und viele andere Branchen haben viel zu verlieren, wenn es um einen erfolgreichen Cyberangriff geht. Vielleicht wird dies Teil der bevorstehenden Gesetzgebung sein, aber trotzdem ist es von grundlegender Bedeutung, die Bedeutung akribischer Best Practices für Cybersicherheit auf Unternehmensebene hervorzuheben, um signifikante Veränderungen und einen Rückgang kompromittierter Daten und Cyberkriminalität zu beobachten.
Insgesamt basiert die Strategie, wenn man sie als Ganzes betrachtet, auf einem reaktiven Ansatz. Die Bekämpfung von Cyberangriffen, die Bekämpfung aktiver Cyberkrimineller und die Sicherstellung ihrer Strafverfolgung sowie der Informationsaustausch mit internationalen Verbündeten sind wichtige Faktoren. Stellen Sie sich jedoch vor, der landesweite Schutzstandard würde auf Prävention ausgerichtet sein. Wenn neben Schutzmaßnahmen für kritische Infrastrukturen in jedem Unternehmen die Sicherheit an erster Stelle steht und jede Person, die den Code berührt, der unsere digitale Welt erstellt, angemessen gerüstet ist, um Angriffe abzuwehren, bevor sie passieren, ist die Ersparnis an Zeit, Geld und Herzschmerz für die Opfer unermesslich.
Resilienz ist möglich, muss aber geplant werden.
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich identifiziert wurde. Wie bei jedem anderen böswilligen Angriff, der unsere Lebensweise stören kann, ist Widerstandsfähigkeit absolut entscheidend — nicht nur, um einem solchen Versuch standzuhalten, sondern auch, um abzuschrecken, dass er überhaupt stattfindet. Am Ende des Tages können selbst Bedrohungsakteure faul sein, und sie werden zu einem leichteren Ziel übergehen, um ihr Ziel zu erreichen, wenn zu viele Hindernisse ihrem Erfolg im Weg stehen.
Im Moment Wir stehen vor einem globalen Fachkräftemangel im Bereich Cybersicherheit, und das ist etwas, das CISOs auf der ganzen Welt nachts wach hält. Milliarden von Codezeilen, ständige groß angelegte Datenschutzverletzungen und ein höheres Risiko, bestraft zu werden (allein Marriott) erhielt eine DSGVO-Geldbuße in Höhe von 123 Mio. USD für ihre Datenschutzverletzung 2018... und sie hatte dieses Jahr einen weiteren Verstoß) hat als je zuvor zu einer Nachfragelücke nach Sicherheitsspezialisten geführt, die realistischerweise kaum geschlossen werden wird. Es gibt einfach zu viel Code und zu wenig Ressourcen, um sicherzustellen, dass der Code aus allen Blickwinkeln geschützt ist.
Sollten wir also die Vorstellung aufgeben, dass wir angesichts von Cyberbedrohungen jemals wirklich standhaft dastehen werden? Keine Chance. Resilienz erfordert, alle verfügbaren Ressourcen zu nutzen und einen Schritt voraus zu denken. Und für viele Unternehmen ihre Entwickler können eine leistungsstarke Methode der Verstärkung freischalten, während der Code geschrieben wird. In Kombination mit einer sichtbaren, positiven Sicherheitskultur im gesamten Unternehmen bietet dies eine sichere Grundlage, die für viele Angreifer nur schwer zu erschüttern und zu durchbrechen ist. Bei dieser Methode müssen jedoch die Vorschläge der australischen Cybersicherheitsstrategie als Beispiel genommen und eingehender untersucht werden, wie sie angepasst werden können, um effektive Veränderungen zu unterstützen, die für das Unternehmen relevant sind.
Zu diesem Zweck ist es wichtig, einige der Tipps aufzuschlüsseln:
- Schulung des Sicherheitsbewusstseins: Dies richtet sich speziell an KMU und zielt im Zusammenhang mit dem gesamten Bericht hauptsächlich darauf ab, allen Mitarbeitern grundlegende Sicherheitshygiene zu vermitteln (z. B. das Erkennen von Phishing-E-Mails, das Nichtanklicken unbekannter Links usw.). Realistischerweise muss es viel weiter gehen und rollenspezifisch werden, insbesondere für diejenigen, die Code bearbeiten, wie Entwickler. Es ist unerlässlich, dass Schulungen zum Sicherheitsbewusstsein ein Bestandteil präventiver Maßnahmen und des Aufbaus der Widerstandsfähigkeit sind
- Bildung: In einer erfrischenden Änderung gibt es einen umfassenden Plan zur Bekämpfung des Fachkräftemangels im Bereich Cybersicherheit in den nächsten zehn Jahren, indem der Schwerpunkt auf Cybersicherheitsschulungen von der Grund- und Sekundarstufe bis hin zur Hochschulbildung gelegt wird. Dies ist dringend erforderlich, wenn wir die Sicherheits-Superstars der Zukunft aufbauen wollen, aber aus der Perspektive, die aktuellen Geschäftsanforderungen zu erfüllen, ist eine praktische Schulung der Entwicklungskohorte in sicherer Codierung eine absolute Notwendigkeit, um mit der Reduzierung gängiger Sicherheitslücken zu beginnen, und muss Teil eines funktionalen Sicherheitsprogramms sein.
Als Sicherheitsexperten müssen wir mehr tun, um Unternehmen auf der ganzen Welt zu vermitteln, wie wichtig es ist, ein internes Sicherheitsprogramm aufzubauen, das über einfache grundlegende Sensibilisierungsmaßnahmen hinausgeht. Zeit in die Weiterbildung von Entwicklern zu investieren, entlastet überlastete AppSec-Spezialisten. Um die Angriffsfläche von Software zu reduzieren, ist es von entscheidender Bedeutung, sicherzustellen, dass das gesamte Unternehmen im Rahmen seiner Rolle so sicherheitsbewusst wie möglich ist.
Die Weiterbildung von Entwicklern ist gut investierte Zeit. Warum ignorieren so viele Unternehmen sie?
Eine kürzlich von DDLS durchgeführte Umfrage kam zu dem Schluss, dass australische Unternehmen kaum ein Gefühl der Priorität haben, wenn es um Cybersicherheitsschulungen geht. In der Tat es hat nicht einmal die drei wichtigsten Trainingsprioritäten erreicht, obwohl 77% der Befragten das Bewusstsein für Cybersicherheit in ihrem Unternehmen als „extrem“ oder „sehr wichtig“ einstufen.
Kein Wunder also, dass Australien Schwierigkeiten hat, die wachsende Qualifikationslücke zu schließen, und noch einiges zu tun hat, um eine widerstandsfähigere Infrastruktur zu schaffen, von grundlegenden Dienstleistungen bis hin zum Einzelhandel und allem dazwischen.
Hier besteht eine enorme Chance für Regierungen um eine grundlegende Zertifizierung oder Verordnung für Sicherheitskompetenzen zu schaffen, und in der Strategie wird darauf hingewiesen, dass dies eine Möglichkeit ist, mit begrenzten Ressourcen zu arbeiten. Aber auch hier scheint es sich um einen Vorschlag für einen zukünftigen Staat zu handeln, und wir verfügen über die Instrumente, um viel früher zu beginnen, wenn wir uns zuerst auf Bereiche mit großer Wirkung konzentrieren. Für mich liegt der Hoffnungsträger in den Entwicklungsteams in den einzelnen Organisationen. Wenn sie über die Tools und das Wissen verfügen, um erfolgreich zu sein, können sie häufig auftretende Sicherheitslücken im Handumdrehen beheben und das Risiko einer Datenschutzverletzung innerhalb ihrer Organisation erheblich reduzieren.
Im Jahr 2019 24% aller Datenschutzverletzungen wurden durch menschliches Versagen verursacht - nämlich Sicherheitsfehlkonfigurationen — bei denen es sich in der Regel um relativ einfache Korrekturen auf Codeebene handelt. Wenn hier Schulungen in Verbindung mit dem Aufbau eines unternehmensweiten Sicherheitsbewusstseins zur Priorität erhoben werden, wette ich, dass weniger CISOs Benachrichtigungen über Sicherheitslücken an Tausende von kompromittierten Kunden absegnen würden.
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich eingestuft wurde, aber reicht ihre Strategie weit genug?
首席执行官、主席和联合创始人
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Mit 2020 wird es eine enormer Anstieg der TelearbeitHinzu kommen anhaltende groß angelegte Datenschutzverletzungen und ein zunehmender Fokus auf die Folgen einer beeinträchtigten Online-Privatsphäre. Noch nie war Cybersicherheit in den Fokus der Öffentlichkeit gerückt. Infolgedessen haben Regierungen auf der ganzen Welt eingegriffen, um ihre Cybersicherheitspläne und -infrastrukturen neu zu gestalten und zu aktualisieren, einschließlich Strategien und Vorschriften, die Unternehmen beim Umgang mit unseren wertvollsten digitalen Ressourcen befolgen müssen.
Strategische Schutzrichtlinien für Cybersicherheit sind kein neues Konzept, und Organisationen wie NIST haben viele Jahre lang die Politik der globalen Regierungsbehörden beeinflusst. Da wir den digitalen Fortschritt in rasantem Tempo erlebt haben, ist es für viele schwierig geworden, mit der Anzahl der Bedrohungen, möglichen Angriffsvektoren und Compliance-Anforderungen Schritt zu halten, die Teil einer sich ständig ändernden Landschaft sind.
Ein aktuelles Verstoß gegen 54.000 Führerscheine aus New South Wales Aufgrund eines leicht zugänglichen, falsch konfigurierten S3-Buckets auf einem Server eines Drittanbieters wurden Tausende von Personen kompromittiert. Der Sicherheitsforscher, der das Problem gemeldet hat, räumte ein, dass die Daten möglicherweise bereits im Dark Web verkauft wurden. Das Traurige daran ist, dass dies eine einfache Lösung ist und es unwahrscheinlich gewesen wäre, wenn die Sicherheit bei der Konfiguration des Caches im Vordergrund gestanden hätte.
Die australische Regierung veröffentlichte kürzlich die Australische Cybersicherheitsstrategie 2020, in dem neue Initiativen und ein Finanzierungsschub von 1,67 Mrd. USD hervorgehoben werden, der in den nächsten zehn Jahren verwendet werden soll, um ihre „Vision zu verwirklichen, eine sicherere Online-Welt für Australier, ihre Unternehmen und die grundlegenden Dienstleistungen zu schaffen, von denen wir alle abhängig sind“. Dies ist eindeutig eine sehr begrüßenswerte Überprüfung und Aktualisierung des Plans, zumal eines der Hauptziele darin besteht,
„Maßnahmen von Unternehmen zur Sicherung ihrer Produkte und Dienstleistungen und zum Schutz ihrer Kunden vor bekannten Cyberschwachstellen„.
Während Regierungsbehörden dazu neigen, sich auf die Sicherheitsmaßnahmen in Bezug auf die kritische Infrastruktur eines Landes zu konzentrieren — Bereiche, die reif für einen katastrophalen organisierten Angriff sind —, fehlte es in der Vergangenheit an Richtlinien für die Unternehmen, die unsere Daten täglich sammeln und verwenden.
Nun, wenn es um offizielle Strategien wie diese geht, geht es nicht immer um Bier und Kegel. Es kann etwas schwierig zu interpretieren sein, und die Details sind vage, sodass es dem Sicherheitsteam eines Unternehmens überlassen wird, einen Plan auf der Grundlage unspezifischer Richtlinien zusammenzustellen. Dieses Problem betrifft nicht nur die australische Regierung, aber lassen Sie uns ihre brandneue Version analysieren.
Ein Fokus auf Reaktion, nicht auf Prävention.
Die aktualisierte australische Cybersicherheitsstrategie ist eine relevantere Weiterentwicklung gegenüber der letzten Version von 2016. Sie enthält ziemlich umfassende Pläne für Unternehmen, insbesondere KMU. Die Strategie umreißt:
„Regierungen und große Unternehmen werden kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihr Bewusstsein und ihre Fähigkeiten im Bereich Cybersicherheit zu erweitern und zu verbessern. Die australische Regierung wird mit großen Unternehmen und Dienstleistern zusammenarbeiten, um KMU Informationen und Tools zur Cybersicherheit im Rahmen von „Bündeln“ sicherer Dienste (z. B. zur Abwehr von Bedrohungen, Virenschutz und Schulung zur Sensibilisierung für Cybersicherheit) zur Verfügung zu stellen.“
Dies wird KMU eine solide Grundlage bieten, auf der sie ihr Unternehmen vor Cyberbedrohungen schützen können, aber es handelt sich größtenteils um einen reaktiven Ansatz, und der Schwerpunkt liegt auf Erkennungstools — einem relativ kleinen Teil der Cybersicherheitslandschaft.
Es gibt auch überraschend wenig Informationen darüber, wie große Unternehmen sich schützen und ihre Angriffsvektoren reduzieren können. Viele sind zwar Teil der Pläne zum Schutz kritischer Infrastrukturen (wie Telekommunikation, Transport), Finanzdienstleistungen, Einzelhandel, und viele andere Branchen haben viel zu verlieren, wenn es um einen erfolgreichen Cyberangriff geht. Vielleicht wird dies Teil der bevorstehenden Gesetzgebung sein, aber trotzdem ist es von grundlegender Bedeutung, die Bedeutung akribischer Best Practices für Cybersicherheit auf Unternehmensebene hervorzuheben, um signifikante Veränderungen und einen Rückgang kompromittierter Daten und Cyberkriminalität zu beobachten.
Insgesamt basiert die Strategie, wenn man sie als Ganzes betrachtet, auf einem reaktiven Ansatz. Die Bekämpfung von Cyberangriffen, die Bekämpfung aktiver Cyberkrimineller und die Sicherstellung ihrer Strafverfolgung sowie der Informationsaustausch mit internationalen Verbündeten sind wichtige Faktoren. Stellen Sie sich jedoch vor, der landesweite Schutzstandard würde auf Prävention ausgerichtet sein. Wenn neben Schutzmaßnahmen für kritische Infrastrukturen in jedem Unternehmen die Sicherheit an erster Stelle steht und jede Person, die den Code berührt, der unsere digitale Welt erstellt, angemessen gerüstet ist, um Angriffe abzuwehren, bevor sie passieren, ist die Ersparnis an Zeit, Geld und Herzschmerz für die Opfer unermesslich.
Resilienz ist möglich, muss aber geplant werden.
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich identifiziert wurde. Wie bei jedem anderen böswilligen Angriff, der unsere Lebensweise stören kann, ist Widerstandsfähigkeit absolut entscheidend — nicht nur, um einem solchen Versuch standzuhalten, sondern auch, um abzuschrecken, dass er überhaupt stattfindet. Am Ende des Tages können selbst Bedrohungsakteure faul sein, und sie werden zu einem leichteren Ziel übergehen, um ihr Ziel zu erreichen, wenn zu viele Hindernisse ihrem Erfolg im Weg stehen.
Im Moment Wir stehen vor einem globalen Fachkräftemangel im Bereich Cybersicherheit, und das ist etwas, das CISOs auf der ganzen Welt nachts wach hält. Milliarden von Codezeilen, ständige groß angelegte Datenschutzverletzungen und ein höheres Risiko, bestraft zu werden (allein Marriott) erhielt eine DSGVO-Geldbuße in Höhe von 123 Mio. USD für ihre Datenschutzverletzung 2018... und sie hatte dieses Jahr einen weiteren Verstoß) hat als je zuvor zu einer Nachfragelücke nach Sicherheitsspezialisten geführt, die realistischerweise kaum geschlossen werden wird. Es gibt einfach zu viel Code und zu wenig Ressourcen, um sicherzustellen, dass der Code aus allen Blickwinkeln geschützt ist.
Sollten wir also die Vorstellung aufgeben, dass wir angesichts von Cyberbedrohungen jemals wirklich standhaft dastehen werden? Keine Chance. Resilienz erfordert, alle verfügbaren Ressourcen zu nutzen und einen Schritt voraus zu denken. Und für viele Unternehmen ihre Entwickler können eine leistungsstarke Methode der Verstärkung freischalten, während der Code geschrieben wird. In Kombination mit einer sichtbaren, positiven Sicherheitskultur im gesamten Unternehmen bietet dies eine sichere Grundlage, die für viele Angreifer nur schwer zu erschüttern und zu durchbrechen ist. Bei dieser Methode müssen jedoch die Vorschläge der australischen Cybersicherheitsstrategie als Beispiel genommen und eingehender untersucht werden, wie sie angepasst werden können, um effektive Veränderungen zu unterstützen, die für das Unternehmen relevant sind.
Zu diesem Zweck ist es wichtig, einige der Tipps aufzuschlüsseln:
- Schulung des Sicherheitsbewusstseins: Dies richtet sich speziell an KMU und zielt im Zusammenhang mit dem gesamten Bericht hauptsächlich darauf ab, allen Mitarbeitern grundlegende Sicherheitshygiene zu vermitteln (z. B. das Erkennen von Phishing-E-Mails, das Nichtanklicken unbekannter Links usw.). Realistischerweise muss es viel weiter gehen und rollenspezifisch werden, insbesondere für diejenigen, die Code bearbeiten, wie Entwickler. Es ist unerlässlich, dass Schulungen zum Sicherheitsbewusstsein ein Bestandteil präventiver Maßnahmen und des Aufbaus der Widerstandsfähigkeit sind
- Bildung: In einer erfrischenden Änderung gibt es einen umfassenden Plan zur Bekämpfung des Fachkräftemangels im Bereich Cybersicherheit in den nächsten zehn Jahren, indem der Schwerpunkt auf Cybersicherheitsschulungen von der Grund- und Sekundarstufe bis hin zur Hochschulbildung gelegt wird. Dies ist dringend erforderlich, wenn wir die Sicherheits-Superstars der Zukunft aufbauen wollen, aber aus der Perspektive, die aktuellen Geschäftsanforderungen zu erfüllen, ist eine praktische Schulung der Entwicklungskohorte in sicherer Codierung eine absolute Notwendigkeit, um mit der Reduzierung gängiger Sicherheitslücken zu beginnen, und muss Teil eines funktionalen Sicherheitsprogramms sein.
Als Sicherheitsexperten müssen wir mehr tun, um Unternehmen auf der ganzen Welt zu vermitteln, wie wichtig es ist, ein internes Sicherheitsprogramm aufzubauen, das über einfache grundlegende Sensibilisierungsmaßnahmen hinausgeht. Zeit in die Weiterbildung von Entwicklern zu investieren, entlastet überlastete AppSec-Spezialisten. Um die Angriffsfläche von Software zu reduzieren, ist es von entscheidender Bedeutung, sicherzustellen, dass das gesamte Unternehmen im Rahmen seiner Rolle so sicherheitsbewusst wie möglich ist.
Die Weiterbildung von Entwicklern ist gut investierte Zeit. Warum ignorieren so viele Unternehmen sie?
Eine kürzlich von DDLS durchgeführte Umfrage kam zu dem Schluss, dass australische Unternehmen kaum ein Gefühl der Priorität haben, wenn es um Cybersicherheitsschulungen geht. In der Tat es hat nicht einmal die drei wichtigsten Trainingsprioritäten erreicht, obwohl 77% der Befragten das Bewusstsein für Cybersicherheit in ihrem Unternehmen als „extrem“ oder „sehr wichtig“ einstufen.
Kein Wunder also, dass Australien Schwierigkeiten hat, die wachsende Qualifikationslücke zu schließen, und noch einiges zu tun hat, um eine widerstandsfähigere Infrastruktur zu schaffen, von grundlegenden Dienstleistungen bis hin zum Einzelhandel und allem dazwischen.
Hier besteht eine enorme Chance für Regierungen um eine grundlegende Zertifizierung oder Verordnung für Sicherheitskompetenzen zu schaffen, und in der Strategie wird darauf hingewiesen, dass dies eine Möglichkeit ist, mit begrenzten Ressourcen zu arbeiten. Aber auch hier scheint es sich um einen Vorschlag für einen zukünftigen Staat zu handeln, und wir verfügen über die Instrumente, um viel früher zu beginnen, wenn wir uns zuerst auf Bereiche mit großer Wirkung konzentrieren. Für mich liegt der Hoffnungsträger in den Entwicklungsteams in den einzelnen Organisationen. Wenn sie über die Tools und das Wissen verfügen, um erfolgreich zu sein, können sie häufig auftretende Sicherheitslücken im Handumdrehen beheben und das Risiko einer Datenschutzverletzung innerhalb ihrer Organisation erheblich reduzieren.
Im Jahr 2019 24% aller Datenschutzverletzungen wurden durch menschliches Versagen verursacht - nämlich Sicherheitsfehlkonfigurationen — bei denen es sich in der Regel um relativ einfache Korrekturen auf Codeebene handelt. Wenn hier Schulungen in Verbindung mit dem Aufbau eines unternehmensweiten Sicherheitsbewusstseins zur Priorität erhoben werden, wette ich, dass weniger CISOs Benachrichtigungen über Sicherheitslücken an Tausende von kompromittierten Kunden absegnen würden.
Mit 2020 wird es eine enormer Anstieg der TelearbeitHinzu kommen anhaltende groß angelegte Datenschutzverletzungen und ein zunehmender Fokus auf die Folgen einer beeinträchtigten Online-Privatsphäre. Noch nie war Cybersicherheit in den Fokus der Öffentlichkeit gerückt. Infolgedessen haben Regierungen auf der ganzen Welt eingegriffen, um ihre Cybersicherheitspläne und -infrastrukturen neu zu gestalten und zu aktualisieren, einschließlich Strategien und Vorschriften, die Unternehmen beim Umgang mit unseren wertvollsten digitalen Ressourcen befolgen müssen.
Strategische Schutzrichtlinien für Cybersicherheit sind kein neues Konzept, und Organisationen wie NIST haben viele Jahre lang die Politik der globalen Regierungsbehörden beeinflusst. Da wir den digitalen Fortschritt in rasantem Tempo erlebt haben, ist es für viele schwierig geworden, mit der Anzahl der Bedrohungen, möglichen Angriffsvektoren und Compliance-Anforderungen Schritt zu halten, die Teil einer sich ständig ändernden Landschaft sind.
Ein aktuelles Verstoß gegen 54.000 Führerscheine aus New South Wales Aufgrund eines leicht zugänglichen, falsch konfigurierten S3-Buckets auf einem Server eines Drittanbieters wurden Tausende von Personen kompromittiert. Der Sicherheitsforscher, der das Problem gemeldet hat, räumte ein, dass die Daten möglicherweise bereits im Dark Web verkauft wurden. Das Traurige daran ist, dass dies eine einfache Lösung ist und es unwahrscheinlich gewesen wäre, wenn die Sicherheit bei der Konfiguration des Caches im Vordergrund gestanden hätte.
Die australische Regierung veröffentlichte kürzlich die Australische Cybersicherheitsstrategie 2020, in dem neue Initiativen und ein Finanzierungsschub von 1,67 Mrd. USD hervorgehoben werden, der in den nächsten zehn Jahren verwendet werden soll, um ihre „Vision zu verwirklichen, eine sicherere Online-Welt für Australier, ihre Unternehmen und die grundlegenden Dienstleistungen zu schaffen, von denen wir alle abhängig sind“. Dies ist eindeutig eine sehr begrüßenswerte Überprüfung und Aktualisierung des Plans, zumal eines der Hauptziele darin besteht,
„Maßnahmen von Unternehmen zur Sicherung ihrer Produkte und Dienstleistungen und zum Schutz ihrer Kunden vor bekannten Cyberschwachstellen„.
Während Regierungsbehörden dazu neigen, sich auf die Sicherheitsmaßnahmen in Bezug auf die kritische Infrastruktur eines Landes zu konzentrieren — Bereiche, die reif für einen katastrophalen organisierten Angriff sind —, fehlte es in der Vergangenheit an Richtlinien für die Unternehmen, die unsere Daten täglich sammeln und verwenden.
Nun, wenn es um offizielle Strategien wie diese geht, geht es nicht immer um Bier und Kegel. Es kann etwas schwierig zu interpretieren sein, und die Details sind vage, sodass es dem Sicherheitsteam eines Unternehmens überlassen wird, einen Plan auf der Grundlage unspezifischer Richtlinien zusammenzustellen. Dieses Problem betrifft nicht nur die australische Regierung, aber lassen Sie uns ihre brandneue Version analysieren.
Ein Fokus auf Reaktion, nicht auf Prävention.
Die aktualisierte australische Cybersicherheitsstrategie ist eine relevantere Weiterentwicklung gegenüber der letzten Version von 2016. Sie enthält ziemlich umfassende Pläne für Unternehmen, insbesondere KMU. Die Strategie umreißt:
„Regierungen und große Unternehmen werden kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihr Bewusstsein und ihre Fähigkeiten im Bereich Cybersicherheit zu erweitern und zu verbessern. Die australische Regierung wird mit großen Unternehmen und Dienstleistern zusammenarbeiten, um KMU Informationen und Tools zur Cybersicherheit im Rahmen von „Bündeln“ sicherer Dienste (z. B. zur Abwehr von Bedrohungen, Virenschutz und Schulung zur Sensibilisierung für Cybersicherheit) zur Verfügung zu stellen.“
Dies wird KMU eine solide Grundlage bieten, auf der sie ihr Unternehmen vor Cyberbedrohungen schützen können, aber es handelt sich größtenteils um einen reaktiven Ansatz, und der Schwerpunkt liegt auf Erkennungstools — einem relativ kleinen Teil der Cybersicherheitslandschaft.
Es gibt auch überraschend wenig Informationen darüber, wie große Unternehmen sich schützen und ihre Angriffsvektoren reduzieren können. Viele sind zwar Teil der Pläne zum Schutz kritischer Infrastrukturen (wie Telekommunikation, Transport), Finanzdienstleistungen, Einzelhandel, und viele andere Branchen haben viel zu verlieren, wenn es um einen erfolgreichen Cyberangriff geht. Vielleicht wird dies Teil der bevorstehenden Gesetzgebung sein, aber trotzdem ist es von grundlegender Bedeutung, die Bedeutung akribischer Best Practices für Cybersicherheit auf Unternehmensebene hervorzuheben, um signifikante Veränderungen und einen Rückgang kompromittierter Daten und Cyberkriminalität zu beobachten.
Insgesamt basiert die Strategie, wenn man sie als Ganzes betrachtet, auf einem reaktiven Ansatz. Die Bekämpfung von Cyberangriffen, die Bekämpfung aktiver Cyberkrimineller und die Sicherstellung ihrer Strafverfolgung sowie der Informationsaustausch mit internationalen Verbündeten sind wichtige Faktoren. Stellen Sie sich jedoch vor, der landesweite Schutzstandard würde auf Prävention ausgerichtet sein. Wenn neben Schutzmaßnahmen für kritische Infrastrukturen in jedem Unternehmen die Sicherheit an erster Stelle steht und jede Person, die den Code berührt, der unsere digitale Welt erstellt, angemessen gerüstet ist, um Angriffe abzuwehren, bevor sie passieren, ist die Ersparnis an Zeit, Geld und Herzschmerz für die Opfer unermesslich.
Resilienz ist möglich, muss aber geplant werden.
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich identifiziert wurde. Wie bei jedem anderen böswilligen Angriff, der unsere Lebensweise stören kann, ist Widerstandsfähigkeit absolut entscheidend — nicht nur, um einem solchen Versuch standzuhalten, sondern auch, um abzuschrecken, dass er überhaupt stattfindet. Am Ende des Tages können selbst Bedrohungsakteure faul sein, und sie werden zu einem leichteren Ziel übergehen, um ihr Ziel zu erreichen, wenn zu viele Hindernisse ihrem Erfolg im Weg stehen.
Im Moment Wir stehen vor einem globalen Fachkräftemangel im Bereich Cybersicherheit, und das ist etwas, das CISOs auf der ganzen Welt nachts wach hält. Milliarden von Codezeilen, ständige groß angelegte Datenschutzverletzungen und ein höheres Risiko, bestraft zu werden (allein Marriott) erhielt eine DSGVO-Geldbuße in Höhe von 123 Mio. USD für ihre Datenschutzverletzung 2018... und sie hatte dieses Jahr einen weiteren Verstoß) hat als je zuvor zu einer Nachfragelücke nach Sicherheitsspezialisten geführt, die realistischerweise kaum geschlossen werden wird. Es gibt einfach zu viel Code und zu wenig Ressourcen, um sicherzustellen, dass der Code aus allen Blickwinkeln geschützt ist.
Sollten wir also die Vorstellung aufgeben, dass wir angesichts von Cyberbedrohungen jemals wirklich standhaft dastehen werden? Keine Chance. Resilienz erfordert, alle verfügbaren Ressourcen zu nutzen und einen Schritt voraus zu denken. Und für viele Unternehmen ihre Entwickler können eine leistungsstarke Methode der Verstärkung freischalten, während der Code geschrieben wird. In Kombination mit einer sichtbaren, positiven Sicherheitskultur im gesamten Unternehmen bietet dies eine sichere Grundlage, die für viele Angreifer nur schwer zu erschüttern und zu durchbrechen ist. Bei dieser Methode müssen jedoch die Vorschläge der australischen Cybersicherheitsstrategie als Beispiel genommen und eingehender untersucht werden, wie sie angepasst werden können, um effektive Veränderungen zu unterstützen, die für das Unternehmen relevant sind.
Zu diesem Zweck ist es wichtig, einige der Tipps aufzuschlüsseln:
- Schulung des Sicherheitsbewusstseins: Dies richtet sich speziell an KMU und zielt im Zusammenhang mit dem gesamten Bericht hauptsächlich darauf ab, allen Mitarbeitern grundlegende Sicherheitshygiene zu vermitteln (z. B. das Erkennen von Phishing-E-Mails, das Nichtanklicken unbekannter Links usw.). Realistischerweise muss es viel weiter gehen und rollenspezifisch werden, insbesondere für diejenigen, die Code bearbeiten, wie Entwickler. Es ist unerlässlich, dass Schulungen zum Sicherheitsbewusstsein ein Bestandteil präventiver Maßnahmen und des Aufbaus der Widerstandsfähigkeit sind
- Bildung: In einer erfrischenden Änderung gibt es einen umfassenden Plan zur Bekämpfung des Fachkräftemangels im Bereich Cybersicherheit in den nächsten zehn Jahren, indem der Schwerpunkt auf Cybersicherheitsschulungen von der Grund- und Sekundarstufe bis hin zur Hochschulbildung gelegt wird. Dies ist dringend erforderlich, wenn wir die Sicherheits-Superstars der Zukunft aufbauen wollen, aber aus der Perspektive, die aktuellen Geschäftsanforderungen zu erfüllen, ist eine praktische Schulung der Entwicklungskohorte in sicherer Codierung eine absolute Notwendigkeit, um mit der Reduzierung gängiger Sicherheitslücken zu beginnen, und muss Teil eines funktionalen Sicherheitsprogramms sein.
Als Sicherheitsexperten müssen wir mehr tun, um Unternehmen auf der ganzen Welt zu vermitteln, wie wichtig es ist, ein internes Sicherheitsprogramm aufzubauen, das über einfache grundlegende Sensibilisierungsmaßnahmen hinausgeht. Zeit in die Weiterbildung von Entwicklern zu investieren, entlastet überlastete AppSec-Spezialisten. Um die Angriffsfläche von Software zu reduzieren, ist es von entscheidender Bedeutung, sicherzustellen, dass das gesamte Unternehmen im Rahmen seiner Rolle so sicherheitsbewusst wie möglich ist.
Die Weiterbildung von Entwicklern ist gut investierte Zeit. Warum ignorieren so viele Unternehmen sie?
Eine kürzlich von DDLS durchgeführte Umfrage kam zu dem Schluss, dass australische Unternehmen kaum ein Gefühl der Priorität haben, wenn es um Cybersicherheitsschulungen geht. In der Tat es hat nicht einmal die drei wichtigsten Trainingsprioritäten erreicht, obwohl 77% der Befragten das Bewusstsein für Cybersicherheit in ihrem Unternehmen als „extrem“ oder „sehr wichtig“ einstufen.
Kein Wunder also, dass Australien Schwierigkeiten hat, die wachsende Qualifikationslücke zu schließen, und noch einiges zu tun hat, um eine widerstandsfähigere Infrastruktur zu schaffen, von grundlegenden Dienstleistungen bis hin zum Einzelhandel und allem dazwischen.
Hier besteht eine enorme Chance für Regierungen um eine grundlegende Zertifizierung oder Verordnung für Sicherheitskompetenzen zu schaffen, und in der Strategie wird darauf hingewiesen, dass dies eine Möglichkeit ist, mit begrenzten Ressourcen zu arbeiten. Aber auch hier scheint es sich um einen Vorschlag für einen zukünftigen Staat zu handeln, und wir verfügen über die Instrumente, um viel früher zu beginnen, wenn wir uns zuerst auf Bereiche mit großer Wirkung konzentrieren. Für mich liegt der Hoffnungsträger in den Entwicklungsteams in den einzelnen Organisationen. Wenn sie über die Tools und das Wissen verfügen, um erfolgreich zu sein, können sie häufig auftretende Sicherheitslücken im Handumdrehen beheben und das Risiko einer Datenschutzverletzung innerhalb ihrer Organisation erheblich reduzieren.
Im Jahr 2019 24% aller Datenschutzverletzungen wurden durch menschliches Versagen verursacht - nämlich Sicherheitsfehlkonfigurationen — bei denen es sich in der Regel um relativ einfache Korrekturen auf Codeebene handelt. Wenn hier Schulungen in Verbindung mit dem Aufbau eines unternehmensweiten Sicherheitsbewusstseins zur Priorität erhoben werden, wette ich, dass weniger CISOs Benachrichtigungen über Sicherheitslücken an Tausende von kompromittierten Kunden absegnen würden.
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Mit 2020 wird es eine enormer Anstieg der TelearbeitHinzu kommen anhaltende groß angelegte Datenschutzverletzungen und ein zunehmender Fokus auf die Folgen einer beeinträchtigten Online-Privatsphäre. Noch nie war Cybersicherheit in den Fokus der Öffentlichkeit gerückt. Infolgedessen haben Regierungen auf der ganzen Welt eingegriffen, um ihre Cybersicherheitspläne und -infrastrukturen neu zu gestalten und zu aktualisieren, einschließlich Strategien und Vorschriften, die Unternehmen beim Umgang mit unseren wertvollsten digitalen Ressourcen befolgen müssen.
Strategische Schutzrichtlinien für Cybersicherheit sind kein neues Konzept, und Organisationen wie NIST haben viele Jahre lang die Politik der globalen Regierungsbehörden beeinflusst. Da wir den digitalen Fortschritt in rasantem Tempo erlebt haben, ist es für viele schwierig geworden, mit der Anzahl der Bedrohungen, möglichen Angriffsvektoren und Compliance-Anforderungen Schritt zu halten, die Teil einer sich ständig ändernden Landschaft sind.
Ein aktuelles Verstoß gegen 54.000 Führerscheine aus New South Wales Aufgrund eines leicht zugänglichen, falsch konfigurierten S3-Buckets auf einem Server eines Drittanbieters wurden Tausende von Personen kompromittiert. Der Sicherheitsforscher, der das Problem gemeldet hat, räumte ein, dass die Daten möglicherweise bereits im Dark Web verkauft wurden. Das Traurige daran ist, dass dies eine einfache Lösung ist und es unwahrscheinlich gewesen wäre, wenn die Sicherheit bei der Konfiguration des Caches im Vordergrund gestanden hätte.
Die australische Regierung veröffentlichte kürzlich die Australische Cybersicherheitsstrategie 2020, in dem neue Initiativen und ein Finanzierungsschub von 1,67 Mrd. USD hervorgehoben werden, der in den nächsten zehn Jahren verwendet werden soll, um ihre „Vision zu verwirklichen, eine sicherere Online-Welt für Australier, ihre Unternehmen und die grundlegenden Dienstleistungen zu schaffen, von denen wir alle abhängig sind“. Dies ist eindeutig eine sehr begrüßenswerte Überprüfung und Aktualisierung des Plans, zumal eines der Hauptziele darin besteht,
„Maßnahmen von Unternehmen zur Sicherung ihrer Produkte und Dienstleistungen und zum Schutz ihrer Kunden vor bekannten Cyberschwachstellen„.
Während Regierungsbehörden dazu neigen, sich auf die Sicherheitsmaßnahmen in Bezug auf die kritische Infrastruktur eines Landes zu konzentrieren — Bereiche, die reif für einen katastrophalen organisierten Angriff sind —, fehlte es in der Vergangenheit an Richtlinien für die Unternehmen, die unsere Daten täglich sammeln und verwenden.
Nun, wenn es um offizielle Strategien wie diese geht, geht es nicht immer um Bier und Kegel. Es kann etwas schwierig zu interpretieren sein, und die Details sind vage, sodass es dem Sicherheitsteam eines Unternehmens überlassen wird, einen Plan auf der Grundlage unspezifischer Richtlinien zusammenzustellen. Dieses Problem betrifft nicht nur die australische Regierung, aber lassen Sie uns ihre brandneue Version analysieren.
Ein Fokus auf Reaktion, nicht auf Prävention.
Die aktualisierte australische Cybersicherheitsstrategie ist eine relevantere Weiterentwicklung gegenüber der letzten Version von 2016. Sie enthält ziemlich umfassende Pläne für Unternehmen, insbesondere KMU. Die Strategie umreißt:
„Regierungen und große Unternehmen werden kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihr Bewusstsein und ihre Fähigkeiten im Bereich Cybersicherheit zu erweitern und zu verbessern. Die australische Regierung wird mit großen Unternehmen und Dienstleistern zusammenarbeiten, um KMU Informationen und Tools zur Cybersicherheit im Rahmen von „Bündeln“ sicherer Dienste (z. B. zur Abwehr von Bedrohungen, Virenschutz und Schulung zur Sensibilisierung für Cybersicherheit) zur Verfügung zu stellen.“
Dies wird KMU eine solide Grundlage bieten, auf der sie ihr Unternehmen vor Cyberbedrohungen schützen können, aber es handelt sich größtenteils um einen reaktiven Ansatz, und der Schwerpunkt liegt auf Erkennungstools — einem relativ kleinen Teil der Cybersicherheitslandschaft.
Es gibt auch überraschend wenig Informationen darüber, wie große Unternehmen sich schützen und ihre Angriffsvektoren reduzieren können. Viele sind zwar Teil der Pläne zum Schutz kritischer Infrastrukturen (wie Telekommunikation, Transport), Finanzdienstleistungen, Einzelhandel, und viele andere Branchen haben viel zu verlieren, wenn es um einen erfolgreichen Cyberangriff geht. Vielleicht wird dies Teil der bevorstehenden Gesetzgebung sein, aber trotzdem ist es von grundlegender Bedeutung, die Bedeutung akribischer Best Practices für Cybersicherheit auf Unternehmensebene hervorzuheben, um signifikante Veränderungen und einen Rückgang kompromittierter Daten und Cyberkriminalität zu beobachten.
Insgesamt basiert die Strategie, wenn man sie als Ganzes betrachtet, auf einem reaktiven Ansatz. Die Bekämpfung von Cyberangriffen, die Bekämpfung aktiver Cyberkrimineller und die Sicherstellung ihrer Strafverfolgung sowie der Informationsaustausch mit internationalen Verbündeten sind wichtige Faktoren. Stellen Sie sich jedoch vor, der landesweite Schutzstandard würde auf Prävention ausgerichtet sein. Wenn neben Schutzmaßnahmen für kritische Infrastrukturen in jedem Unternehmen die Sicherheit an erster Stelle steht und jede Person, die den Code berührt, der unsere digitale Welt erstellt, angemessen gerüstet ist, um Angriffe abzuwehren, bevor sie passieren, ist die Ersparnis an Zeit, Geld und Herzschmerz für die Opfer unermesslich.
Resilienz ist möglich, muss aber geplant werden.
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich identifiziert wurde. Wie bei jedem anderen böswilligen Angriff, der unsere Lebensweise stören kann, ist Widerstandsfähigkeit absolut entscheidend — nicht nur, um einem solchen Versuch standzuhalten, sondern auch, um abzuschrecken, dass er überhaupt stattfindet. Am Ende des Tages können selbst Bedrohungsakteure faul sein, und sie werden zu einem leichteren Ziel übergehen, um ihr Ziel zu erreichen, wenn zu viele Hindernisse ihrem Erfolg im Weg stehen.
Im Moment Wir stehen vor einem globalen Fachkräftemangel im Bereich Cybersicherheit, und das ist etwas, das CISOs auf der ganzen Welt nachts wach hält. Milliarden von Codezeilen, ständige groß angelegte Datenschutzverletzungen und ein höheres Risiko, bestraft zu werden (allein Marriott) erhielt eine DSGVO-Geldbuße in Höhe von 123 Mio. USD für ihre Datenschutzverletzung 2018... und sie hatte dieses Jahr einen weiteren Verstoß) hat als je zuvor zu einer Nachfragelücke nach Sicherheitsspezialisten geführt, die realistischerweise kaum geschlossen werden wird. Es gibt einfach zu viel Code und zu wenig Ressourcen, um sicherzustellen, dass der Code aus allen Blickwinkeln geschützt ist.
Sollten wir also die Vorstellung aufgeben, dass wir angesichts von Cyberbedrohungen jemals wirklich standhaft dastehen werden? Keine Chance. Resilienz erfordert, alle verfügbaren Ressourcen zu nutzen und einen Schritt voraus zu denken. Und für viele Unternehmen ihre Entwickler können eine leistungsstarke Methode der Verstärkung freischalten, während der Code geschrieben wird. In Kombination mit einer sichtbaren, positiven Sicherheitskultur im gesamten Unternehmen bietet dies eine sichere Grundlage, die für viele Angreifer nur schwer zu erschüttern und zu durchbrechen ist. Bei dieser Methode müssen jedoch die Vorschläge der australischen Cybersicherheitsstrategie als Beispiel genommen und eingehender untersucht werden, wie sie angepasst werden können, um effektive Veränderungen zu unterstützen, die für das Unternehmen relevant sind.
Zu diesem Zweck ist es wichtig, einige der Tipps aufzuschlüsseln:
- Schulung des Sicherheitsbewusstseins: Dies richtet sich speziell an KMU und zielt im Zusammenhang mit dem gesamten Bericht hauptsächlich darauf ab, allen Mitarbeitern grundlegende Sicherheitshygiene zu vermitteln (z. B. das Erkennen von Phishing-E-Mails, das Nichtanklicken unbekannter Links usw.). Realistischerweise muss es viel weiter gehen und rollenspezifisch werden, insbesondere für diejenigen, die Code bearbeiten, wie Entwickler. Es ist unerlässlich, dass Schulungen zum Sicherheitsbewusstsein ein Bestandteil präventiver Maßnahmen und des Aufbaus der Widerstandsfähigkeit sind
- Bildung: In einer erfrischenden Änderung gibt es einen umfassenden Plan zur Bekämpfung des Fachkräftemangels im Bereich Cybersicherheit in den nächsten zehn Jahren, indem der Schwerpunkt auf Cybersicherheitsschulungen von der Grund- und Sekundarstufe bis hin zur Hochschulbildung gelegt wird. Dies ist dringend erforderlich, wenn wir die Sicherheits-Superstars der Zukunft aufbauen wollen, aber aus der Perspektive, die aktuellen Geschäftsanforderungen zu erfüllen, ist eine praktische Schulung der Entwicklungskohorte in sicherer Codierung eine absolute Notwendigkeit, um mit der Reduzierung gängiger Sicherheitslücken zu beginnen, und muss Teil eines funktionalen Sicherheitsprogramms sein.
Als Sicherheitsexperten müssen wir mehr tun, um Unternehmen auf der ganzen Welt zu vermitteln, wie wichtig es ist, ein internes Sicherheitsprogramm aufzubauen, das über einfache grundlegende Sensibilisierungsmaßnahmen hinausgeht. Zeit in die Weiterbildung von Entwicklern zu investieren, entlastet überlastete AppSec-Spezialisten. Um die Angriffsfläche von Software zu reduzieren, ist es von entscheidender Bedeutung, sicherzustellen, dass das gesamte Unternehmen im Rahmen seiner Rolle so sicherheitsbewusst wie möglich ist.
Die Weiterbildung von Entwicklern ist gut investierte Zeit. Warum ignorieren so viele Unternehmen sie?
Eine kürzlich von DDLS durchgeführte Umfrage kam zu dem Schluss, dass australische Unternehmen kaum ein Gefühl der Priorität haben, wenn es um Cybersicherheitsschulungen geht. In der Tat es hat nicht einmal die drei wichtigsten Trainingsprioritäten erreicht, obwohl 77% der Befragten das Bewusstsein für Cybersicherheit in ihrem Unternehmen als „extrem“ oder „sehr wichtig“ einstufen.
Kein Wunder also, dass Australien Schwierigkeiten hat, die wachsende Qualifikationslücke zu schließen, und noch einiges zu tun hat, um eine widerstandsfähigere Infrastruktur zu schaffen, von grundlegenden Dienstleistungen bis hin zum Einzelhandel und allem dazwischen.
Hier besteht eine enorme Chance für Regierungen um eine grundlegende Zertifizierung oder Verordnung für Sicherheitskompetenzen zu schaffen, und in der Strategie wird darauf hingewiesen, dass dies eine Möglichkeit ist, mit begrenzten Ressourcen zu arbeiten. Aber auch hier scheint es sich um einen Vorschlag für einen zukünftigen Staat zu handeln, und wir verfügen über die Instrumente, um viel früher zu beginnen, wenn wir uns zuerst auf Bereiche mit großer Wirkung konzentrieren. Für mich liegt der Hoffnungsträger in den Entwicklungsteams in den einzelnen Organisationen. Wenn sie über die Tools und das Wissen verfügen, um erfolgreich zu sein, können sie häufig auftretende Sicherheitslücken im Handumdrehen beheben und das Risiko einer Datenschutzverletzung innerhalb ihrer Organisation erheblich reduzieren.
Im Jahr 2019 24% aller Datenschutzverletzungen wurden durch menschliches Versagen verursacht - nämlich Sicherheitsfehlkonfigurationen — bei denen es sich in der Regel um relativ einfache Korrekturen auf Codeebene handelt. Wenn hier Schulungen in Verbindung mit dem Aufbau eines unternehmensweiten Sicherheitsbewusstseins zur Priorität erhoben werden, wette ich, dass weniger CISOs Benachrichtigungen über Sicherheitslücken an Tausende von kompromittierten Kunden absegnen würden.
%20(1).avif)
.avif)
