개발자 기반 보안의 ROI
빈곤한 코드의 대가입니다
기술의 발전으로 개발자는 그 어느 때보다 쉽게 코드를 이전보다 빠르게 출시할 수 있습니다.이는 혁신에는 흥미로울 수 있지만 소프트웨어의 품질과 보안을 확장하는 데에는 벅찬 일일 수 있습니다.추가 도구, 교육 프로그램 및 개발자 기술 향상에 투자하는 데 드는 비용을 정당화하는 것은 코드 배포 속도가 유지된다면 “있으면 좋은 것”처럼 보일 수 있지만 중요한 비즈니스 기능처럼 보일 수 있습니다.
더 빠른 배송 코드가 더 쉬워졌을 수도 있지만 안타깝게도 배송은 안전한 코드는 그렇지 않습니다. 조직은 그 어느 때보다 더 많은 위협에 취약해집니다.사이버 범죄로 인한 비용은 전 세계적으로 어마어마하며 빠르게 증가하고 있습니다.실제로 2020년에 사이버 범죄로 인한 비용은 약 1조 달러에 달했습니다.평균적으로 데이터 침해로 인한 비용은 435만 달러로, 기존 고객과 잠재 고객의 비즈니스 손실은 물론 탐지, 에스컬레이션 및 재작업을 처리하는 데 사용한 리소스에 걸쳐 확산되고 있습니다.
이러한 천문학적인 비용에도 불구하고 조직의 절반 이상은 개발자에게 매년 정식 보안 코드 교육을 요구하지 않습니다.
보안 전문가들은 취약점을 찾아 고칠 때 마치 두더지 잡기 게임을 하는 것처럼 느껴질 수 있다는 것을 모두 알고 있습니다.수정 전략이 포함된 보안 프로그램을 이미 보유하고 있더라도 개선의 기회는 항상 있습니다.대부분의 조직은 재해 복구 또는 백업 기능을 테스트할 때 보안에 대한 접근 방식이 생각했던 것만큼 강력하지 않다는 것을 알게 됩니다.사이버 공격으로부터 조직의 레질리언스를 강화하는 것이 최우선 과제 중 하나라면 보안 태세를 지속적으로 개선하려면 개발자에게 맡겨진 관점을 이전하는 것이 좋습니다.처음부터 보안 코드를 구축하고 취약점을 신속하게 찾아 수정할 수 있을 만큼 충분한 지식을 갖춘 숙련되고 유능한 개발자 팀이 위험을 완화하는 가장 비용 효율적인 방법입니다.
개발자 교육에 관한 한 가지 오해는 단순히 비즈니스 비용이나 보험 증권에 드는 비용이라는 것입니다.알리안츠의 데브섹 어웨어 에반젤리스트인 클라우스 클링거 (Klaus Klinger) 는 이렇게 말합니다. “모든 것은 경영진으로부터 시작해야 합니다.개발자 교육에 투자하는 것은 손실이 아니라 품질, 생산성 및 회사의 명성에 대한 투자입니다.”
이 분야에서는 종종 ROI를 정량화하기 어려울 수 있지만 궁극적으로 조직이 고려해야 할 것은 보안 태세가 위험을 줄이고 접근 방식을 간소화하며 개발자 팀의 시간과 생산성을 절약하는 데 어떻게 도움이 되는지입니다.
사이버 보안 비용의 ROI를 어떻게 정량화할 수 있을까요?
ROI에 관해서는 두 가지 프레임, 즉 위험 완화에 따른 비용 절감과 보안 교육의 영향이라는 두 가지 프레임으로 생각하는 것이 중요합니다.
아주 흔한 예를 생각해 봅시다. 취약점이나 보안 침해로 인해 팀이 문제와 해결 방법을 찾는 동안 전자 상거래 사이트가 며칠 동안 강제로 오프라인 상태가 됩니다.문제 해결 실패로 인한 비용은 운영 중단으로 인한 수익 손실, 자격 증명 도난으로 인한 영향, 고객 신뢰 상실 (장기적인 매출 감소로 이어짐), 문제 해결에 따른 전반적인 생산성 손실로 정량화할 수 있습니다.
이는 결국 비용/이익 분석으로 요약됩니다.평가해야 할 주요 영역은 회사의 보안 성숙도 수준, 회사의 위험 수용 수준, 유지 관리 또는 개선이 필요한 코드 영역입니다.
사람들은 종종 성공과 가치를 결정하기 위해 잘못된 지표에 초점을 맞춥니다.아마도 우리는 프로그램의 초기 투자 수익률에 대해 덜 신경 쓰고 그 대신 다음을 측정해야 할 수도 있습니다. 충격 프로그램 자체에 대해
영향 입증을 위한 조치
ROI를 설정하려면 측정 가능한 목표를 세워야 합니다.이는 개발자의 보안 코딩 지식을 평가하고 개발자의 기술 향상이 필요한 부분을 이해하는 것으로 시작됩니다.
시작점은 참여도를 측정하여 보다 풍부한 교육 프로그램을 구축하는 방법에 대한 전략적 결정을 내리는 것입니다.가장 중요한 것은 효과를 측정하는 것입니다.먼저 각 팀에서 프로그램을 시작하기 전에 코드 분석, 버그 바운티 또는 기존 취약성 테스트를 통해 소프트웨어 개발 라이프사이클에서 발견되는 취약점의 수를 살펴보는 것부터 시작하세요.교육 프로그램이 원하는 결과를 얻고 있다는 것을 알 수 있는 가장 간단한 방법 중 하나는 코드베이스에 유입되는 취약성의 전반적인 감소를 측정하는 것입니다.
ROI 평가를 위한 주요 질문:
1.접근 방식을 간소화하고 있나요?
문제에 더 많은 도구를 사용하고 있습니까, 아니면 문제의 근본 원인에서 해결하고 있습니까?기술 스택에 더 많은 도구를 추가하면 취약점을 찾아 해결하는 “스위스 치즈” 방식의 접근 방식을 만들 수 있습니다.또한 많은 취약점의 원인인 코드에 거의 영향을 주지 않으면서 운영 비용도 증가합니다.스캐닝과 침투 테스트 도구는 무조건 무기고에 포함되어야 하지만 최후의 방어선이 되어서는 안 됩니다.
2.효율성과 생산성이 향상되고 있나요?
AppSec에서 전송한 코드의 철저한 코드 검토 및 재작업에 소요되는 시간은 생산성을 크게 떨어뜨릴 수 있습니다.개발자 팀이 직접 실습할 수 있도록 권한을 부여하고 지원하여 소방 훈련을 줄일 수 있습니다. 보안 코드 교육 보안 프로그램의 긍정적인 영향을 평가하기 위한 좋은 벤치마크가 되어야 합니다.
3.위험을 낮추고 있나요?
취약점을 찾아 해결하는 것은 거대한 퍼즐을 푸는 것과 같을 수 있습니다. 때로는 강력한 솔루션으로 완료하는 데 며칠, 몇 주 또는 몇 달이 걸릴 수 있습니다.AppSec은 개발자가 소스에서 직접 수정 조치를 취할 수 있도록 함으로써 위험 모니터링과 조직의 보안 태세 강화에 집중할 수 있습니다.
4.속도는 높이고 있지만 품질은 유지하고 있나요?
빠른 배송 코드가 항상 좋은 것은 아닙니다.문제를 해결하고 코드에 취약점을 도입하면 향후 많은 골칫거리가 생길 수 있으며 기술적 부채가 누적될 수 있습니다.여기서는 단기적 사고만으로는 해답이 아닙니다.처음부터 코드를 보호하여 나중에 문제가 악화되지 않도록 함으로써 위험을 완화할 수 있습니다.
추적할 권장 지표:
- 참여 - 교육에 소요되는 시간을 얼마나 편성하고 있으며 개발자들의 참여도는 어떻습니까?교육과정을 이수하고 평가를 받고 토너먼트에 참가하고 있나요?
- 기술 - 강점 영역은 어디입니까?개선이 필요하다고 생각한 영역은 무엇입니까?
- 취약성 감소 - 코드 검토 중에 취약성이 눈에 띄게 감소한 것을 발견하셨습니까?AppSec에서 발생하는 재작업이 줄어들고 있습니까?
- 생산성 - 문제를 해결하는 데 얼마나 걸리나요?취약점 감소로 생산성이나 속도가 향상되는 것을 보신 적이 있으신가요?
왼쪽으로 이동하여 가치 창출
보안 침해와 취약성은 매년 빠르게 증가하고 있습니다.먼저 코드부터 시작하여 보안에 대한 전체적인 접근 방식을 사전에 구축하는 것이 중요합니다.이를 통해 다음과 같은 이점을 얻을 수 있습니다.
- 문제의 일부만 해결하는 도구에 돈을 투자하는 대신 가장 중요한 리소스인 인력에 투자하여 복잡성을 줄입니다.
- AppSec에서 일반적으로 식별할 수 있는 재작업이나 수정을 제한하여 효율성과 전반적인 효과를 개선합니다. 후 코드가 배포되었습니다
- 위험을 완화하고 규정 준수를 달성하여 값비싼 벌금, 고객 신뢰 상실 또는 더 나쁜 경우 데이터 침해로 인한 비용을 피할 수 있습니다.
단기적인 사고와 빠른 수정을 피하십시오.기술적 부채가 발생할 뿐 아니라 향후 더 많은 비용이 발생할 수 있습니다.개발자들이 취약점 및 사이버 범죄에 대한 최선의 방어선이 될 수 있도록 기술 향상의 힘을 활용하여 장기적으로 계획을 세우고 그 영향과 비용 절감을 직접 확인해 보세요.
누구나 기술 스택이나 추가 교육 프로그램에 투자할 때 좋은 투자 수익을 원하지만 보안에 관해서는 단순한 ROI를 계산하는 것 이상의 긴 게임을 해야 합니다.개발자 주도 보안에 투자하여 비용이 많이 드는 보안 침해, 생산성 손실, 누적된 기술 부채로 인한 비용을 절감할 뿐만 아니라 오늘날의 위협 환경에 앞서 나갈 수 있는 사전 예방적이고 비용 효율적인 전략을 수립하는 방법을 알아보십시오.
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
빈곤한 코드의 대가입니다
기술의 발전으로 개발자는 그 어느 때보다 쉽게 코드를 이전보다 빠르게 출시할 수 있습니다.이는 혁신에는 흥미로울 수 있지만 소프트웨어의 품질과 보안을 확장하는 데에는 벅찬 일일 수 있습니다.추가 도구, 교육 프로그램 및 개발자 기술 향상에 투자하는 데 드는 비용을 정당화하는 것은 코드 배포 속도가 유지된다면 “있으면 좋은 것”처럼 보일 수 있지만 중요한 비즈니스 기능처럼 보일 수 있습니다.
더 빠른 배송 코드가 더 쉬워졌을 수도 있지만 안타깝게도 배송은 안전한 코드는 그렇지 않습니다. 조직은 그 어느 때보다 더 많은 위협에 취약해집니다.사이버 범죄로 인한 비용은 전 세계적으로 어마어마하며 빠르게 증가하고 있습니다.실제로 2020년에 사이버 범죄로 인한 비용은 약 1조 달러에 달했습니다.평균적으로 데이터 침해로 인한 비용은 435만 달러로, 기존 고객과 잠재 고객의 비즈니스 손실은 물론 탐지, 에스컬레이션 및 재작업을 처리하는 데 사용한 리소스에 걸쳐 확산되고 있습니다.
이러한 천문학적인 비용에도 불구하고 조직의 절반 이상은 개발자에게 매년 정식 보안 코드 교육을 요구하지 않습니다.
보안 전문가들은 취약점을 찾아 고칠 때 마치 두더지 잡기 게임을 하는 것처럼 느껴질 수 있다는 것을 모두 알고 있습니다.수정 전략이 포함된 보안 프로그램을 이미 보유하고 있더라도 개선의 기회는 항상 있습니다.대부분의 조직은 재해 복구 또는 백업 기능을 테스트할 때 보안에 대한 접근 방식이 생각했던 것만큼 강력하지 않다는 것을 알게 됩니다.사이버 공격으로부터 조직의 레질리언스를 강화하는 것이 최우선 과제 중 하나라면 보안 태세를 지속적으로 개선하려면 개발자에게 맡겨진 관점을 이전하는 것이 좋습니다.처음부터 보안 코드를 구축하고 취약점을 신속하게 찾아 수정할 수 있을 만큼 충분한 지식을 갖춘 숙련되고 유능한 개발자 팀이 위험을 완화하는 가장 비용 효율적인 방법입니다.
개발자 교육에 관한 한 가지 오해는 단순히 비즈니스 비용이나 보험 증권에 드는 비용이라는 것입니다.알리안츠의 데브섹 어웨어 에반젤리스트인 클라우스 클링거 (Klaus Klinger) 는 이렇게 말합니다. “모든 것은 경영진으로부터 시작해야 합니다.개발자 교육에 투자하는 것은 손실이 아니라 품질, 생산성 및 회사의 명성에 대한 투자입니다.”
이 분야에서는 종종 ROI를 정량화하기 어려울 수 있지만 궁극적으로 조직이 고려해야 할 것은 보안 태세가 위험을 줄이고 접근 방식을 간소화하며 개발자 팀의 시간과 생산성을 절약하는 데 어떻게 도움이 되는지입니다.
사이버 보안 비용의 ROI를 어떻게 정량화할 수 있을까요?
ROI에 관해서는 두 가지 프레임, 즉 위험 완화에 따른 비용 절감과 보안 교육의 영향이라는 두 가지 프레임으로 생각하는 것이 중요합니다.
아주 흔한 예를 생각해 봅시다. 취약점이나 보안 침해로 인해 팀이 문제와 해결 방법을 찾는 동안 전자 상거래 사이트가 며칠 동안 강제로 오프라인 상태가 됩니다.문제 해결 실패로 인한 비용은 운영 중단으로 인한 수익 손실, 자격 증명 도난으로 인한 영향, 고객 신뢰 상실 (장기적인 매출 감소로 이어짐), 문제 해결에 따른 전반적인 생산성 손실로 정량화할 수 있습니다.
이는 결국 비용/이익 분석으로 요약됩니다.평가해야 할 주요 영역은 회사의 보안 성숙도 수준, 회사의 위험 수용 수준, 유지 관리 또는 개선이 필요한 코드 영역입니다.
사람들은 종종 성공과 가치를 결정하기 위해 잘못된 지표에 초점을 맞춥니다.아마도 우리는 프로그램의 초기 투자 수익률에 대해 덜 신경 쓰고 그 대신 다음을 측정해야 할 수도 있습니다. 충격 프로그램 자체에 대해
영향 입증을 위한 조치
ROI를 설정하려면 측정 가능한 목표를 세워야 합니다.이는 개발자의 보안 코딩 지식을 평가하고 개발자의 기술 향상이 필요한 부분을 이해하는 것으로 시작됩니다.
시작점은 참여도를 측정하여 보다 풍부한 교육 프로그램을 구축하는 방법에 대한 전략적 결정을 내리는 것입니다.가장 중요한 것은 효과를 측정하는 것입니다.먼저 각 팀에서 프로그램을 시작하기 전에 코드 분석, 버그 바운티 또는 기존 취약성 테스트를 통해 소프트웨어 개발 라이프사이클에서 발견되는 취약점의 수를 살펴보는 것부터 시작하세요.교육 프로그램이 원하는 결과를 얻고 있다는 것을 알 수 있는 가장 간단한 방법 중 하나는 코드베이스에 유입되는 취약성의 전반적인 감소를 측정하는 것입니다.
ROI 평가를 위한 주요 질문:
1.접근 방식을 간소화하고 있나요?
문제에 더 많은 도구를 사용하고 있습니까, 아니면 문제의 근본 원인에서 해결하고 있습니까?기술 스택에 더 많은 도구를 추가하면 취약점을 찾아 해결하는 “스위스 치즈” 방식의 접근 방식을 만들 수 있습니다.또한 많은 취약점의 원인인 코드에 거의 영향을 주지 않으면서 운영 비용도 증가합니다.스캐닝과 침투 테스트 도구는 무조건 무기고에 포함되어야 하지만 최후의 방어선이 되어서는 안 됩니다.
2.효율성과 생산성이 향상되고 있나요?
AppSec에서 전송한 코드의 철저한 코드 검토 및 재작업에 소요되는 시간은 생산성을 크게 떨어뜨릴 수 있습니다.개발자 팀이 직접 실습할 수 있도록 권한을 부여하고 지원하여 소방 훈련을 줄일 수 있습니다. 보안 코드 교육 보안 프로그램의 긍정적인 영향을 평가하기 위한 좋은 벤치마크가 되어야 합니다.
3.위험을 낮추고 있나요?
취약점을 찾아 해결하는 것은 거대한 퍼즐을 푸는 것과 같을 수 있습니다. 때로는 강력한 솔루션으로 완료하는 데 며칠, 몇 주 또는 몇 달이 걸릴 수 있습니다.AppSec은 개발자가 소스에서 직접 수정 조치를 취할 수 있도록 함으로써 위험 모니터링과 조직의 보안 태세 강화에 집중할 수 있습니다.
4.속도는 높이고 있지만 품질은 유지하고 있나요?
빠른 배송 코드가 항상 좋은 것은 아닙니다.문제를 해결하고 코드에 취약점을 도입하면 향후 많은 골칫거리가 생길 수 있으며 기술적 부채가 누적될 수 있습니다.여기서는 단기적 사고만으로는 해답이 아닙니다.처음부터 코드를 보호하여 나중에 문제가 악화되지 않도록 함으로써 위험을 완화할 수 있습니다.
추적할 권장 지표:
- 참여 - 교육에 소요되는 시간을 얼마나 편성하고 있으며 개발자들의 참여도는 어떻습니까?교육과정을 이수하고 평가를 받고 토너먼트에 참가하고 있나요?
- 기술 - 강점 영역은 어디입니까?개선이 필요하다고 생각한 영역은 무엇입니까?
- 취약성 감소 - 코드 검토 중에 취약성이 눈에 띄게 감소한 것을 발견하셨습니까?AppSec에서 발생하는 재작업이 줄어들고 있습니까?
- 생산성 - 문제를 해결하는 데 얼마나 걸리나요?취약점 감소로 생산성이나 속도가 향상되는 것을 보신 적이 있으신가요?
왼쪽으로 이동하여 가치 창출
보안 침해와 취약성은 매년 빠르게 증가하고 있습니다.먼저 코드부터 시작하여 보안에 대한 전체적인 접근 방식을 사전에 구축하는 것이 중요합니다.이를 통해 다음과 같은 이점을 얻을 수 있습니다.
- 문제의 일부만 해결하는 도구에 돈을 투자하는 대신 가장 중요한 리소스인 인력에 투자하여 복잡성을 줄입니다.
- AppSec에서 일반적으로 식별할 수 있는 재작업이나 수정을 제한하여 효율성과 전반적인 효과를 개선합니다. 후 코드가 배포되었습니다
- 위험을 완화하고 규정 준수를 달성하여 값비싼 벌금, 고객 신뢰 상실 또는 더 나쁜 경우 데이터 침해로 인한 비용을 피할 수 있습니다.
단기적인 사고와 빠른 수정을 피하십시오.기술적 부채가 발생할 뿐 아니라 향후 더 많은 비용이 발생할 수 있습니다.개발자들이 취약점 및 사이버 범죄에 대한 최선의 방어선이 될 수 있도록 기술 향상의 힘을 활용하여 장기적으로 계획을 세우고 그 영향과 비용 절감을 직접 확인해 보세요.
빈곤한 코드의 대가입니다
기술의 발전으로 개발자는 그 어느 때보다 쉽게 코드를 이전보다 빠르게 출시할 수 있습니다.이는 혁신에는 흥미로울 수 있지만 소프트웨어의 품질과 보안을 확장하는 데에는 벅찬 일일 수 있습니다.추가 도구, 교육 프로그램 및 개발자 기술 향상에 투자하는 데 드는 비용을 정당화하는 것은 코드 배포 속도가 유지된다면 “있으면 좋은 것”처럼 보일 수 있지만 중요한 비즈니스 기능처럼 보일 수 있습니다.
더 빠른 배송 코드가 더 쉬워졌을 수도 있지만 안타깝게도 배송은 안전한 코드는 그렇지 않습니다. 조직은 그 어느 때보다 더 많은 위협에 취약해집니다.사이버 범죄로 인한 비용은 전 세계적으로 어마어마하며 빠르게 증가하고 있습니다.실제로 2020년에 사이버 범죄로 인한 비용은 약 1조 달러에 달했습니다.평균적으로 데이터 침해로 인한 비용은 435만 달러로, 기존 고객과 잠재 고객의 비즈니스 손실은 물론 탐지, 에스컬레이션 및 재작업을 처리하는 데 사용한 리소스에 걸쳐 확산되고 있습니다.
이러한 천문학적인 비용에도 불구하고 조직의 절반 이상은 개발자에게 매년 정식 보안 코드 교육을 요구하지 않습니다.
보안 전문가들은 취약점을 찾아 고칠 때 마치 두더지 잡기 게임을 하는 것처럼 느껴질 수 있다는 것을 모두 알고 있습니다.수정 전략이 포함된 보안 프로그램을 이미 보유하고 있더라도 개선의 기회는 항상 있습니다.대부분의 조직은 재해 복구 또는 백업 기능을 테스트할 때 보안에 대한 접근 방식이 생각했던 것만큼 강력하지 않다는 것을 알게 됩니다.사이버 공격으로부터 조직의 레질리언스를 강화하는 것이 최우선 과제 중 하나라면 보안 태세를 지속적으로 개선하려면 개발자에게 맡겨진 관점을 이전하는 것이 좋습니다.처음부터 보안 코드를 구축하고 취약점을 신속하게 찾아 수정할 수 있을 만큼 충분한 지식을 갖춘 숙련되고 유능한 개발자 팀이 위험을 완화하는 가장 비용 효율적인 방법입니다.
개발자 교육에 관한 한 가지 오해는 단순히 비즈니스 비용이나 보험 증권에 드는 비용이라는 것입니다.알리안츠의 데브섹 어웨어 에반젤리스트인 클라우스 클링거 (Klaus Klinger) 는 이렇게 말합니다. “모든 것은 경영진으로부터 시작해야 합니다.개발자 교육에 투자하는 것은 손실이 아니라 품질, 생산성 및 회사의 명성에 대한 투자입니다.”
이 분야에서는 종종 ROI를 정량화하기 어려울 수 있지만 궁극적으로 조직이 고려해야 할 것은 보안 태세가 위험을 줄이고 접근 방식을 간소화하며 개발자 팀의 시간과 생산성을 절약하는 데 어떻게 도움이 되는지입니다.
사이버 보안 비용의 ROI를 어떻게 정량화할 수 있을까요?
ROI에 관해서는 두 가지 프레임, 즉 위험 완화에 따른 비용 절감과 보안 교육의 영향이라는 두 가지 프레임으로 생각하는 것이 중요합니다.
아주 흔한 예를 생각해 봅시다. 취약점이나 보안 침해로 인해 팀이 문제와 해결 방법을 찾는 동안 전자 상거래 사이트가 며칠 동안 강제로 오프라인 상태가 됩니다.문제 해결 실패로 인한 비용은 운영 중단으로 인한 수익 손실, 자격 증명 도난으로 인한 영향, 고객 신뢰 상실 (장기적인 매출 감소로 이어짐), 문제 해결에 따른 전반적인 생산성 손실로 정량화할 수 있습니다.
이는 결국 비용/이익 분석으로 요약됩니다.평가해야 할 주요 영역은 회사의 보안 성숙도 수준, 회사의 위험 수용 수준, 유지 관리 또는 개선이 필요한 코드 영역입니다.
사람들은 종종 성공과 가치를 결정하기 위해 잘못된 지표에 초점을 맞춥니다.아마도 우리는 프로그램의 초기 투자 수익률에 대해 덜 신경 쓰고 그 대신 다음을 측정해야 할 수도 있습니다. 충격 프로그램 자체에 대해
영향 입증을 위한 조치
ROI를 설정하려면 측정 가능한 목표를 세워야 합니다.이는 개발자의 보안 코딩 지식을 평가하고 개발자의 기술 향상이 필요한 부분을 이해하는 것으로 시작됩니다.
시작점은 참여도를 측정하여 보다 풍부한 교육 프로그램을 구축하는 방법에 대한 전략적 결정을 내리는 것입니다.가장 중요한 것은 효과를 측정하는 것입니다.먼저 각 팀에서 프로그램을 시작하기 전에 코드 분석, 버그 바운티 또는 기존 취약성 테스트를 통해 소프트웨어 개발 라이프사이클에서 발견되는 취약점의 수를 살펴보는 것부터 시작하세요.교육 프로그램이 원하는 결과를 얻고 있다는 것을 알 수 있는 가장 간단한 방법 중 하나는 코드베이스에 유입되는 취약성의 전반적인 감소를 측정하는 것입니다.
ROI 평가를 위한 주요 질문:
1.접근 방식을 간소화하고 있나요?
문제에 더 많은 도구를 사용하고 있습니까, 아니면 문제의 근본 원인에서 해결하고 있습니까?기술 스택에 더 많은 도구를 추가하면 취약점을 찾아 해결하는 “스위스 치즈” 방식의 접근 방식을 만들 수 있습니다.또한 많은 취약점의 원인인 코드에 거의 영향을 주지 않으면서 운영 비용도 증가합니다.스캐닝과 침투 테스트 도구는 무조건 무기고에 포함되어야 하지만 최후의 방어선이 되어서는 안 됩니다.
2.효율성과 생산성이 향상되고 있나요?
AppSec에서 전송한 코드의 철저한 코드 검토 및 재작업에 소요되는 시간은 생산성을 크게 떨어뜨릴 수 있습니다.개발자 팀이 직접 실습할 수 있도록 권한을 부여하고 지원하여 소방 훈련을 줄일 수 있습니다. 보안 코드 교육 보안 프로그램의 긍정적인 영향을 평가하기 위한 좋은 벤치마크가 되어야 합니다.
3.위험을 낮추고 있나요?
취약점을 찾아 해결하는 것은 거대한 퍼즐을 푸는 것과 같을 수 있습니다. 때로는 강력한 솔루션으로 완료하는 데 며칠, 몇 주 또는 몇 달이 걸릴 수 있습니다.AppSec은 개발자가 소스에서 직접 수정 조치를 취할 수 있도록 함으로써 위험 모니터링과 조직의 보안 태세 강화에 집중할 수 있습니다.
4.속도는 높이고 있지만 품질은 유지하고 있나요?
빠른 배송 코드가 항상 좋은 것은 아닙니다.문제를 해결하고 코드에 취약점을 도입하면 향후 많은 골칫거리가 생길 수 있으며 기술적 부채가 누적될 수 있습니다.여기서는 단기적 사고만으로는 해답이 아닙니다.처음부터 코드를 보호하여 나중에 문제가 악화되지 않도록 함으로써 위험을 완화할 수 있습니다.
추적할 권장 지표:
- 참여 - 교육에 소요되는 시간을 얼마나 편성하고 있으며 개발자들의 참여도는 어떻습니까?교육과정을 이수하고 평가를 받고 토너먼트에 참가하고 있나요?
- 기술 - 강점 영역은 어디입니까?개선이 필요하다고 생각한 영역은 무엇입니까?
- 취약성 감소 - 코드 검토 중에 취약성이 눈에 띄게 감소한 것을 발견하셨습니까?AppSec에서 발생하는 재작업이 줄어들고 있습니까?
- 생산성 - 문제를 해결하는 데 얼마나 걸리나요?취약점 감소로 생산성이나 속도가 향상되는 것을 보신 적이 있으신가요?
왼쪽으로 이동하여 가치 창출
보안 침해와 취약성은 매년 빠르게 증가하고 있습니다.먼저 코드부터 시작하여 보안에 대한 전체적인 접근 방식을 사전에 구축하는 것이 중요합니다.이를 통해 다음과 같은 이점을 얻을 수 있습니다.
- 문제의 일부만 해결하는 도구에 돈을 투자하는 대신 가장 중요한 리소스인 인력에 투자하여 복잡성을 줄입니다.
- AppSec에서 일반적으로 식별할 수 있는 재작업이나 수정을 제한하여 효율성과 전반적인 효과를 개선합니다. 후 코드가 배포되었습니다
- 위험을 완화하고 규정 준수를 달성하여 값비싼 벌금, 고객 신뢰 상실 또는 더 나쁜 경우 데이터 침해로 인한 비용을 피할 수 있습니다.
단기적인 사고와 빠른 수정을 피하십시오.기술적 부채가 발생할 뿐 아니라 향후 더 많은 비용이 발생할 수 있습니다.개발자들이 취약점 및 사이버 범죄에 대한 최선의 방어선이 될 수 있도록 기술 향상의 힘을 활용하여 장기적으로 계획을 세우고 그 영향과 비용 절감을 직접 확인해 보세요.
点击下方链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
빈곤한 코드의 대가입니다
기술의 발전으로 개발자는 그 어느 때보다 쉽게 코드를 이전보다 빠르게 출시할 수 있습니다.이는 혁신에는 흥미로울 수 있지만 소프트웨어의 품질과 보안을 확장하는 데에는 벅찬 일일 수 있습니다.추가 도구, 교육 프로그램 및 개발자 기술 향상에 투자하는 데 드는 비용을 정당화하는 것은 코드 배포 속도가 유지된다면 “있으면 좋은 것”처럼 보일 수 있지만 중요한 비즈니스 기능처럼 보일 수 있습니다.
더 빠른 배송 코드가 더 쉬워졌을 수도 있지만 안타깝게도 배송은 안전한 코드는 그렇지 않습니다. 조직은 그 어느 때보다 더 많은 위협에 취약해집니다.사이버 범죄로 인한 비용은 전 세계적으로 어마어마하며 빠르게 증가하고 있습니다.실제로 2020년에 사이버 범죄로 인한 비용은 약 1조 달러에 달했습니다.평균적으로 데이터 침해로 인한 비용은 435만 달러로, 기존 고객과 잠재 고객의 비즈니스 손실은 물론 탐지, 에스컬레이션 및 재작업을 처리하는 데 사용한 리소스에 걸쳐 확산되고 있습니다.
이러한 천문학적인 비용에도 불구하고 조직의 절반 이상은 개발자에게 매년 정식 보안 코드 교육을 요구하지 않습니다.
보안 전문가들은 취약점을 찾아 고칠 때 마치 두더지 잡기 게임을 하는 것처럼 느껴질 수 있다는 것을 모두 알고 있습니다.수정 전략이 포함된 보안 프로그램을 이미 보유하고 있더라도 개선의 기회는 항상 있습니다.대부분의 조직은 재해 복구 또는 백업 기능을 테스트할 때 보안에 대한 접근 방식이 생각했던 것만큼 강력하지 않다는 것을 알게 됩니다.사이버 공격으로부터 조직의 레질리언스를 강화하는 것이 최우선 과제 중 하나라면 보안 태세를 지속적으로 개선하려면 개발자에게 맡겨진 관점을 이전하는 것이 좋습니다.처음부터 보안 코드를 구축하고 취약점을 신속하게 찾아 수정할 수 있을 만큼 충분한 지식을 갖춘 숙련되고 유능한 개발자 팀이 위험을 완화하는 가장 비용 효율적인 방법입니다.
개발자 교육에 관한 한 가지 오해는 단순히 비즈니스 비용이나 보험 증권에 드는 비용이라는 것입니다.알리안츠의 데브섹 어웨어 에반젤리스트인 클라우스 클링거 (Klaus Klinger) 는 이렇게 말합니다. “모든 것은 경영진으로부터 시작해야 합니다.개발자 교육에 투자하는 것은 손실이 아니라 품질, 생산성 및 회사의 명성에 대한 투자입니다.”
이 분야에서는 종종 ROI를 정량화하기 어려울 수 있지만 궁극적으로 조직이 고려해야 할 것은 보안 태세가 위험을 줄이고 접근 방식을 간소화하며 개발자 팀의 시간과 생산성을 절약하는 데 어떻게 도움이 되는지입니다.
사이버 보안 비용의 ROI를 어떻게 정량화할 수 있을까요?
ROI에 관해서는 두 가지 프레임, 즉 위험 완화에 따른 비용 절감과 보안 교육의 영향이라는 두 가지 프레임으로 생각하는 것이 중요합니다.
아주 흔한 예를 생각해 봅시다. 취약점이나 보안 침해로 인해 팀이 문제와 해결 방법을 찾는 동안 전자 상거래 사이트가 며칠 동안 강제로 오프라인 상태가 됩니다.문제 해결 실패로 인한 비용은 운영 중단으로 인한 수익 손실, 자격 증명 도난으로 인한 영향, 고객 신뢰 상실 (장기적인 매출 감소로 이어짐), 문제 해결에 따른 전반적인 생산성 손실로 정량화할 수 있습니다.
이는 결국 비용/이익 분석으로 요약됩니다.평가해야 할 주요 영역은 회사의 보안 성숙도 수준, 회사의 위험 수용 수준, 유지 관리 또는 개선이 필요한 코드 영역입니다.
사람들은 종종 성공과 가치를 결정하기 위해 잘못된 지표에 초점을 맞춥니다.아마도 우리는 프로그램의 초기 투자 수익률에 대해 덜 신경 쓰고 그 대신 다음을 측정해야 할 수도 있습니다. 충격 프로그램 자체에 대해
영향 입증을 위한 조치
ROI를 설정하려면 측정 가능한 목표를 세워야 합니다.이는 개발자의 보안 코딩 지식을 평가하고 개발자의 기술 향상이 필요한 부분을 이해하는 것으로 시작됩니다.
시작점은 참여도를 측정하여 보다 풍부한 교육 프로그램을 구축하는 방법에 대한 전략적 결정을 내리는 것입니다.가장 중요한 것은 효과를 측정하는 것입니다.먼저 각 팀에서 프로그램을 시작하기 전에 코드 분석, 버그 바운티 또는 기존 취약성 테스트를 통해 소프트웨어 개발 라이프사이클에서 발견되는 취약점의 수를 살펴보는 것부터 시작하세요.교육 프로그램이 원하는 결과를 얻고 있다는 것을 알 수 있는 가장 간단한 방법 중 하나는 코드베이스에 유입되는 취약성의 전반적인 감소를 측정하는 것입니다.
ROI 평가를 위한 주요 질문:
1.접근 방식을 간소화하고 있나요?
문제에 더 많은 도구를 사용하고 있습니까, 아니면 문제의 근본 원인에서 해결하고 있습니까?기술 스택에 더 많은 도구를 추가하면 취약점을 찾아 해결하는 “스위스 치즈” 방식의 접근 방식을 만들 수 있습니다.또한 많은 취약점의 원인인 코드에 거의 영향을 주지 않으면서 운영 비용도 증가합니다.스캐닝과 침투 테스트 도구는 무조건 무기고에 포함되어야 하지만 최후의 방어선이 되어서는 안 됩니다.
2.효율성과 생산성이 향상되고 있나요?
AppSec에서 전송한 코드의 철저한 코드 검토 및 재작업에 소요되는 시간은 생산성을 크게 떨어뜨릴 수 있습니다.개발자 팀이 직접 실습할 수 있도록 권한을 부여하고 지원하여 소방 훈련을 줄일 수 있습니다. 보안 코드 교육 보안 프로그램의 긍정적인 영향을 평가하기 위한 좋은 벤치마크가 되어야 합니다.
3.위험을 낮추고 있나요?
취약점을 찾아 해결하는 것은 거대한 퍼즐을 푸는 것과 같을 수 있습니다. 때로는 강력한 솔루션으로 완료하는 데 며칠, 몇 주 또는 몇 달이 걸릴 수 있습니다.AppSec은 개발자가 소스에서 직접 수정 조치를 취할 수 있도록 함으로써 위험 모니터링과 조직의 보안 태세 강화에 집중할 수 있습니다.
4.속도는 높이고 있지만 품질은 유지하고 있나요?
빠른 배송 코드가 항상 좋은 것은 아닙니다.문제를 해결하고 코드에 취약점을 도입하면 향후 많은 골칫거리가 생길 수 있으며 기술적 부채가 누적될 수 있습니다.여기서는 단기적 사고만으로는 해답이 아닙니다.처음부터 코드를 보호하여 나중에 문제가 악화되지 않도록 함으로써 위험을 완화할 수 있습니다.
추적할 권장 지표:
- 참여 - 교육에 소요되는 시간을 얼마나 편성하고 있으며 개발자들의 참여도는 어떻습니까?교육과정을 이수하고 평가를 받고 토너먼트에 참가하고 있나요?
- 기술 - 강점 영역은 어디입니까?개선이 필요하다고 생각한 영역은 무엇입니까?
- 취약성 감소 - 코드 검토 중에 취약성이 눈에 띄게 감소한 것을 발견하셨습니까?AppSec에서 발생하는 재작업이 줄어들고 있습니까?
- 생산성 - 문제를 해결하는 데 얼마나 걸리나요?취약점 감소로 생산성이나 속도가 향상되는 것을 보신 적이 있으신가요?
왼쪽으로 이동하여 가치 창출
보안 침해와 취약성은 매년 빠르게 증가하고 있습니다.먼저 코드부터 시작하여 보안에 대한 전체적인 접근 방식을 사전에 구축하는 것이 중요합니다.이를 통해 다음과 같은 이점을 얻을 수 있습니다.
- 문제의 일부만 해결하는 도구에 돈을 투자하는 대신 가장 중요한 리소스인 인력에 투자하여 복잡성을 줄입니다.
- AppSec에서 일반적으로 식별할 수 있는 재작업이나 수정을 제한하여 효율성과 전반적인 효과를 개선합니다. 후 코드가 배포되었습니다
- 위험을 완화하고 규정 준수를 달성하여 값비싼 벌금, 고객 신뢰 상실 또는 더 나쁜 경우 데이터 침해로 인한 비용을 피할 수 있습니다.
단기적인 사고와 빠른 수정을 피하십시오.기술적 부채가 발생할 뿐 아니라 향후 더 많은 비용이 발생할 수 있습니다.개발자들이 취약점 및 사이버 범죄에 대한 최선의 방어선이 될 수 있도록 기술 향상의 힘을 활용하여 장기적으로 계획을 세우고 그 영향과 비용 절감을 직접 확인해 보세요.
%20(1).avif)
.avif)
