一级金融机构如何创造革命性的安全认证体验
在安全合规方面,游戏能否成为开发人员的心头好?
这家一级银行客户拥有数百万客户,是一家历史悠久、值得信赖的全球金融机构,并致力于创新和跟上数字化转型的步伐,因此利用Secure Code Warrior 作为其组织内真正独特的教育体验的一部分。
他们创建了一项内部技术教育计划,旨在支持数千名员工学习机器学习和网络安全等多个学科的实用前沿技能。
金融服务业目前正处于快速、彻底的转型期,许多公司正在改变其服务产品,以适应新兴技术的快速发展。从本质上讲,它们正在成为以金融为核心的成熟科技公司。我们客户的方法不仅让他们跟上了这一趋势,还取得了比大多数公司更好(更智能)的成果。他们对自己的员工进行了大量投资,以跟上这些重要、新兴领域的发展,因此,他们在金融科技创新和专业知识方面走在了前列。
为了成功实施该计划,我们的客户和更广泛的团队认为有必要确保他们的开发人员完全精通安全编码,并具有高度的网络安全意识。安全意识经理努力让团队积极参与,从一开始就让他们对安全感到兴奋。
挑战
我们客户的安全意识经理在安全行业工作了很长时间,这让他对大小公司在线应用的爆炸式增长以及数字团队的迅速增加有了前瞻性的认识。他亲眼目睹了随着这种超速发展而不可避免地出现的专业知识孤岛现象,这最终成为许多安全和开发团队面临的问题:"在在线应用的早期阶段,开发人员确实考虑过安全问题,并将其应用到软件构建中。然而,在一个日益孤立的环境中,一个团队会开发一个操作系统,然后将其发送给一个安全团队进行分析,分析结果往往是一堆红色标记和如何修复的说明。他说:"这样做不可避免地会确保安全,但分析结果和知识却会消失在黑洞中,而且还会反复出现。
在谈到他在工作中经常遇到的安全问题时,他提到了 "人员挑战":
软件工程师的工作是构建功能,而安全可能被视为敏捷开发的巨大障碍。他们忙于自己的优先事项,往往把安全问题视为别人的工作。在最极端的情况下,有些人认为 "嗯,什么都还没发生。在数字化日益发展的今天,这种态度必须改变。我们需要让人们认识到分担软件安全责任的重要性,而不是将其视为一种麻烦。
随着我们的数字生活越来越依赖于开发,他看到了墙上的字迹:作为一个社会,我们是黑客的活靶子,而好人的竞争环境却越来越不公平。开发人员需要认真对待安全问题,培养浓厚的兴趣,并成为其组织(乃至任何一家严肃的科技公司)的第一道防线。
于是,他开始颠覆传统的培训方式。
实施
安全意识经理推动了我们客户在软件质量方面设定新标准的整体理念。具体来说,就是软件的内在安全级别是其整体质量和产品可行性的标志。从目前的情况来看,在大多数情况下,安全性与衡量质量的标准并不紧密相关,当然,在评估软件时,也不会像考虑整体用户界面、速度和可用性那样考虑安全性。
"他说:"安全必须成为高质量软件的一项不可或缺的要求。"它与可靠性息息相关,而可靠性是大多数企业,尤其是那些业务模式正在快速转型和数字化的企业极为关注的问题。
由于修复已提交代码中的漏洞所需的成本要比从一开始就安全编写代码的成本高出 30 倍,因此在开发团队中 "植入 "可行的安全文化已成为一个关键目标。毕竟,有些漏洞是扫描工具无法发现的,而对付这些漏洞最有效的办法就是建立一支具有安全意识的开发团队。
安全意识经理详细介绍了他在其他形式培训方面的经验,其中许多形式的培训仍然常用于 "征服 "开发人员,让他们为解决日益增长的安全问题做好准备:"当开发人员只能通过大量的理论工作来学习安全知识时,或者更糟糕的是:不经常进行的'打勾并继续'合规培训,根本没有足够的实践学习或时间来产生持久的影响。我决心采用更有效的解决方案来改变这种状况,"他说。
高度参与的好处
在精明的安全意识经理及其团队的建议下,我们的客户实施了一项定制的认证计划,Secure Code Warrior 平台是该计划不可分割的一部分。
他们对更有效、更吸引人的开发人员培训解决方案进行了研究,从而成为游戏化的早期采用者,并通过自己的结构化全面课程最大限度地发挥了游戏化的作用和潜力。
他说:"至关重要的是,我们要让高参与度的培训成为企业文化的一部分,让学生不断回来继续学习。他说:"该系统是一种有意识的方法,旨在培养学生的知识、技能和对安全的价值感,最终使他们能够使用日常使用的真实源代码。
通过确保解决方案的整体性,同时涵盖行业标准的最佳安全实践和内部指导方针,我们的客户能够迅速开展培训,对组织内的软件安全产生积极影响。
结果
我们客户的认证计划是一种成功的、不断发展的培训形式,非常适合其内部技术教育设施等前瞻性举措。以这种有趣、互动和激励的方式推出的深度课程,确保了所有学员都有最佳机会保留知识,并为真正培养安全第一的文化和心态提供支持。游戏化无疑使学习变得轻松愉快,但该计划的核心实用性依然存在:为开发人员提供识别和挫败其应用程序中高风险漏洞所需的技能。
值得注意的是,培训并不是强制性的,而是需要开发人员的积极性。毫无疑问,这需要激励和奖励措施的支持,但更广泛的团队采用该计划则是团队支持和认可该流程的结果。
除了继续培养重要的能力外,该计划还有助于弥合开发团队和 AppSec 团队之间的关系鸿沟,让他们站在同一起跑线上,使用同一种语言,并形成共同利益。
该计划与合规性复选框大相径庭,它已成为持续支持重要员工及其职业生涯的基础,为全球最高速增长的行业之一--网络安全行业提供了可衡量的技能提升。正是这样的培训计划将成为从一开始就提高软件安全性的基准。
快速了解
- 已经完成认证并表示有兴趣成为讲师的学生反响空前热烈。这种自上而下的宣传方式是传播口碑支持、接受度和整体安全意识的有力因素。
- 我们的客户正在向其组织内的 2500 多名开发人员推广该计划,其中 90% 以上的开发人员已经活跃在该系统中。
- 他们利用这种培训来帮助员工实现全面的职业发展,确保他们掌握必要的知识,在日新月异的技术领域发挥自己的技能。
成功秘诀
→ 花时间解释培训的益处、计划开展的活动和预期成果
向主要利益相关者、参与者和团队领导解释培训的益处、计划推出的培训和预期成果。如果从一开始就把他们包括进来
随着计划的发展,可能更容易在重要领域获得支持。
→ 这是一场马拉松,而不是短跑:任何培训计划都应不断发展,以适应不断变化的行业和组织需求。
行业和组织不断变化的需求。不必从第一天起就一成不变。
→ 寓教于乐!培训不一定要枯燥乏味,而像 Secure Code
Warrior 这样的游戏化平台是将如此重要的任务变成难忘活动的绝佳机会。
如果您在游戏中加入奖品、证书、甚至主题,您将获得高参与度的回报、
证书,甚至是一个主题--可能性是无限的。