Entwickler Tournaments: Die Geheimwaffe von AppSec zur Verbesserung der Sicherheitskultur und des Engagements
Stellen Sie sich vor, Sie erschaffen etwas von Grund auf, setzen Ihre Fähigkeiten und Erfahrungen meisterhaft ein, um der Welt ein kleines, aber besonderes Zeichen zu setzen. Ob allein oder als Teil eines Teams, Sie stecken Ihr Herz und Ihre Seele in den Aufbau von etwas aus dem Nichts. Sie verbringen Hunderte - vielleicht sogar Tausende - von Stunden damit, um sicherzustellen, dass Ihr Baby das Beste ist, was es sein kann. Nach der Fertigstellung kann sich diese Welle der Errungenschaft wie eine ganz eigene Belohnung anfühlen.
Nun stellen Sie sich vor, ein Spielverderber kommt daher und sagt Ihnen, dass es nicht so toll ist. Vielleicht geht er noch einen Schritt weiter und sagt Ihnen, dass es trotz der Energie, Zeit und Liebe, die Sie geopfert haben, eigentlich gar nicht zu gebrauchen ist: Es ist kaputt. Sie haben Ihnen im Grunde genommen gesagt, dass Ihr Baby hässlich ist.
Das obige Szenario führt zwangsläufig zu Spannungen; denn wer möchte schon, dass seine harte Arbeit auseinandergenommen und als unzureichend verurteilt wird? Traurigerweise kann dies für viele Entwickler die Realität ihrer Beziehung zum AppSec-Team sein. Ein Entwickler ist in erster Linie dafür verantwortlich, Software zu erstellen, die funktional und funktionsreich ist und innerhalb strenger Projektfristen geliefert wird. Die Sicherheit hat selten Priorität und kann sogar als Hindernis für eine schnelle Lieferung und Innovation angesehen werden. AppSec hat die wenig beneidenswerte Aufgabe, Code akribisch zu prüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu überbringen: das Vorhandensein von Sicherheitslücken in Code, der oft schon festgeschrieben ist. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt, und führt zwangsläufig zu einem Zerwürfnis zwischen zwei Teams, die zwar das gleiche Ziel haben, aber so unterschiedliche Sprachen sprechen, dass sie scheinbar auf Kriegsfuß stehen.
Denken Sie nicht, dass es an der Zeit ist, der Sicherheit ein neues Gesicht zu geben? Es ist so einfach, wie die Konversation zu ändern und alles ein wenig positiver zu gestalten (ganz zu schweigen von Spaß!) für beide Seiten, besonders für das Entwicklerteam.
Raus aus dem Klassenzimmer, rein in die Spielarena
Da viele Entwickler eine Berufsausbildung absolvieren, ohne viel über sicheres Coding zu lernen, ist es oft so, dass ihr erster Berührungspunkt mit der Sicherheitsausbildung beim Eintritt ins Berufsleben ist. Schulungen im Klassenzimmer sind eine oft genutzte Lösung, aber sie nehmen wertvolle Zeit für die Vermittlung von Funktionen weg (und, seien wir ehrlich: wenn der Lehrer und die Inhalte zu wenig anregend sind, kann es für alle eine leicht vergessene Zeitverschwendung sein). Es gibt auch Video courses, papierbasierte Prüfungen und generische Schulungen zu den Sicherheitsrichtlinien des Unternehmens... die alle so unspezifisch sein können, dass sie im Arbeitsalltag des durchschnittlichen Entwicklers nutzlos sind.
Allzu oft wird sie als "Abhaken und weitermachen"-Compliance-Übung behandelt, und allzu oft hat sie den gegenteiligen Effekt: Sie führt nur zu einer größeren Kluft zwischen AppSec und dem Entwicklerteam. Schließlich scheint es nicht so zu sein, dass herkömmliche Schulungen den positiven Effekt auf die Sicherheitskultur und die Compliance haben, den wir als Branche so verzweifelt suchen. Wir machen immer wieder die gleichen Fehler.
Laut der Common Weakness Enumeration(CWE) Community gibt es mehr als 700 gängige Software-Sicherheitsschwachstellen, die es zu bekämpfen gilt. Einige, wie SQL-Injection, sind wie Kakerlaken, die noch nicht zerquetscht wurden, obwohl sie seit mehr als zwanzig Jahren existieren. Wir wissen, wie man sie behebt; das Training ist da, um Entwickler zu befähigen, sie und so viele andere zu stoppen, doch Pen-Tests und manuelle Code-Review-Prozesse identifizieren diese Verstöße ständig.
Vielleicht haben wir das alles falsch betrachtet und wir müssen als Branche die Ausbildung von einem anderen Blickwinkel aus angehen... einem, der die erstaunlichen Fähigkeiten nutzt, die bei unseren Entwicklern so geschätzt werden. Sie sind kreative, wissbegierige Problemlöser, die die Herausforderung lieben. Sicherheitstrainings mit Spielen zu versehen, bedeutet, ihre Sprache zu sprechen, ihnen zu ermöglichen, durch Handeln zu üben - und wer weiß, vielleicht verlieben sie sich auf dem Weg dorthin einfach in die Sicherheit.
Ein bisschen gesunder Wettbewerb
Ein zentrales Vertrauen auf (eher ungenaue) Tools, teure Pen-Tests und knappe AppSec-Spezialisten wird uns tiefer in das schwarze Loch der Sicherheit stürzen. Zu viel von unserem Leben und unserer Privatsphäre existiert online, als dass Unternehmen weiterhin die Vorsicht vor den virtuellen Festungen, die unsere Daten schützen, in den Wind schlagen können. Da die digitale Transformation unserer Welt unsere Abhängigkeit von Software erhöht, müssen wir uns an die Superhelden wenden, die wir schon die ganze Zeit im Büro sitzen haben: das Entwicklerteam.
Gamified Training in relevanten Sprachen und Frameworks ist ein wirkungsvolles Werkzeug für AppSec-Manager, um die Sicherheitskultur im Unternehmen zu verändern. Nach dem Training können Entwickler ihre neu erworbenen Sicherheitsmuskeln in einer unterhaltsamen tournament Umgebung trainieren, die so aufregend sein kann, wie es Ihre Vorstellungskraft zulässt: Schauen Sie sich nur an, wie das "Game of Codes" von IAG dafür gesorgt hat, dass jeder in der Organisation über Sicherheit spricht.
Secure Code Warrior's tournament Modul bietet mehr als nur einen netten kleinen Abschluss für ein gemessenes Trainingsengagement: Es ist eine Plattform, von der aus jeder Entwickler seine Fähigkeiten validieren kann, um zu sehen, wie weit er seit Beginn des Trainings fortgeschritten ist, und um Bereiche zu identifizieren, die möglicherweise verbessert werden müssen. Der Wettbewerbsaspekt wirkt wirklich als Motivator, sich positiv mit der Sicherheit zu beschäftigen und durch Belohnung und Anerkennung das Wachstum einer robusten Sicherheitskultur innerhalb des Teams und des gesamten Unternehmens zu unterstützen.
Ein wenig Spaß in etwas zu bringen, das als mühsame - wenn nicht sogar entmutigende - Aufgabe angesehen werden kann, kann einen langen Weg gehen, um negative Denkweisen zu ändern und zur weiteren Teilnahme zu inspirieren. Denn wer liebt nicht den Ruhm, in einem (gesunden) Wettbewerb mehr Punkte als seine Mitspieler zu erzielen?
Champions wandeln unter Ihnen
Gamified Training und die anschließende tournaments helfen immens dabei, eine positive Sicherheitskultur zu fördern, wobei AppSec- und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Ein sicherer Entwickler ist eine Bereicherung, er behebt allgemeine Schwachstellen und überlässt die komplexen Probleme den knappen AppSec-Spezialisten vor Ort. Bessere Beziehungen wachsen und gedeihen, und das kostbare Sicherheitsbudget wird nicht durch die Behebung eines "Murmeltiertags"-Szenarios der immer gleichen Fehler verschlungen.
Es gibt jedoch noch ein weiteres starkes Nebenprodukt: die Enthüllung der Sicherheits-Champions, von denen Sie nie wussten, dass Sie sie haben. Tournaments kann diejenigen aufdecken, die nicht nur eine Begabung für Sicherheit haben, sondern aktiv eine Leidenschaft dafür zeigen. Diese Champions sind entscheidend, wenn es darum geht, den Schwung aufrechtzuerhalten und als Ansprechpartner zwischen den Teams zu fungieren, die Kollegen zu beaufsichtigen und Best-Practice-Richtlinien aufrechtzuerhalten. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung durch die Geschäftsleitung beinhaltet, ist ein Aushängeschild für das Unternehmen sowie eine wichtige Bereicherung für den Lebenslauf und die zukünftige Karriere des Einzelnen.
Die Quintessenz? Wir müssen bessere Ergebnisse bei Sicherheitstests fordern. Weniger häufige Fehler, mehr Unterstützung für diejenigen, die an vorderster Front stehen. Warum sehen Sie nicht, wie ein Entwickler tournament Sie schneller dorthin bringen kann, als Sie denken?
Denken Sie nicht, dass es an der Zeit ist, der Sicherheit ein neues Gesicht zu geben? Es ist so einfach, wie die Konversation zu ändern und alles ein wenig positiver zu gestalten (ganz zu schweigen von Spaß!) für beide Seiten, besonders für das Entwicklerteam.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Stellen Sie sich vor, Sie erschaffen etwas von Grund auf, setzen Ihre Fähigkeiten und Erfahrungen meisterhaft ein, um der Welt ein kleines, aber besonderes Zeichen zu setzen. Ob allein oder als Teil eines Teams, Sie stecken Ihr Herz und Ihre Seele in den Aufbau von etwas aus dem Nichts. Sie verbringen Hunderte - vielleicht sogar Tausende - von Stunden damit, um sicherzustellen, dass Ihr Baby das Beste ist, was es sein kann. Nach der Fertigstellung kann sich diese Welle der Errungenschaft wie eine ganz eigene Belohnung anfühlen.
Nun stellen Sie sich vor, ein Spielverderber kommt daher und sagt Ihnen, dass es nicht so toll ist. Vielleicht geht er noch einen Schritt weiter und sagt Ihnen, dass es trotz der Energie, Zeit und Liebe, die Sie geopfert haben, eigentlich gar nicht zu gebrauchen ist: Es ist kaputt. Sie haben Ihnen im Grunde genommen gesagt, dass Ihr Baby hässlich ist.
Das obige Szenario führt zwangsläufig zu Spannungen; denn wer möchte schon, dass seine harte Arbeit auseinandergenommen und als unzureichend verurteilt wird? Traurigerweise kann dies für viele Entwickler die Realität ihrer Beziehung zum AppSec-Team sein. Ein Entwickler ist in erster Linie dafür verantwortlich, Software zu erstellen, die funktional und funktionsreich ist und innerhalb strenger Projektfristen geliefert wird. Die Sicherheit hat selten Priorität und kann sogar als Hindernis für eine schnelle Lieferung und Innovation angesehen werden. AppSec hat die wenig beneidenswerte Aufgabe, Code akribisch zu prüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu überbringen: das Vorhandensein von Sicherheitslücken in Code, der oft schon festgeschrieben ist. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt, und führt zwangsläufig zu einem Zerwürfnis zwischen zwei Teams, die zwar das gleiche Ziel haben, aber so unterschiedliche Sprachen sprechen, dass sie scheinbar auf Kriegsfuß stehen.
Denken Sie nicht, dass es an der Zeit ist, der Sicherheit ein neues Gesicht zu geben? Es ist so einfach, wie die Konversation zu ändern und alles ein wenig positiver zu gestalten (ganz zu schweigen von Spaß!) für beide Seiten, besonders für das Entwicklerteam.
Raus aus dem Klassenzimmer, rein in die Spielarena
Da viele Entwickler eine Berufsausbildung absolvieren, ohne viel über sicheres Coding zu lernen, ist es oft so, dass ihr erster Berührungspunkt mit der Sicherheitsausbildung beim Eintritt ins Berufsleben ist. Schulungen im Klassenzimmer sind eine oft genutzte Lösung, aber sie nehmen wertvolle Zeit für die Vermittlung von Funktionen weg (und, seien wir ehrlich: wenn der Lehrer und die Inhalte zu wenig anregend sind, kann es für alle eine leicht vergessene Zeitverschwendung sein). Es gibt auch Video courses, papierbasierte Prüfungen und generische Schulungen zu den Sicherheitsrichtlinien des Unternehmens... die alle so unspezifisch sein können, dass sie im Arbeitsalltag des durchschnittlichen Entwicklers nutzlos sind.
Allzu oft wird sie als "Abhaken und weitermachen"-Compliance-Übung behandelt, und allzu oft hat sie den gegenteiligen Effekt: Sie führt nur zu einer größeren Kluft zwischen AppSec und dem Entwicklerteam. Schließlich scheint es nicht so zu sein, dass herkömmliche Schulungen den positiven Effekt auf die Sicherheitskultur und die Compliance haben, den wir als Branche so verzweifelt suchen. Wir machen immer wieder die gleichen Fehler.
Laut der Common Weakness Enumeration(CWE) Community gibt es mehr als 700 gängige Software-Sicherheitsschwachstellen, die es zu bekämpfen gilt. Einige, wie SQL-Injection, sind wie Kakerlaken, die noch nicht zerquetscht wurden, obwohl sie seit mehr als zwanzig Jahren existieren. Wir wissen, wie man sie behebt; das Training ist da, um Entwickler zu befähigen, sie und so viele andere zu stoppen, doch Pen-Tests und manuelle Code-Review-Prozesse identifizieren diese Verstöße ständig.
Vielleicht haben wir das alles falsch betrachtet und wir müssen als Branche die Ausbildung von einem anderen Blickwinkel aus angehen... einem, der die erstaunlichen Fähigkeiten nutzt, die bei unseren Entwicklern so geschätzt werden. Sie sind kreative, wissbegierige Problemlöser, die die Herausforderung lieben. Sicherheitstrainings mit Spielen zu versehen, bedeutet, ihre Sprache zu sprechen, ihnen zu ermöglichen, durch Handeln zu üben - und wer weiß, vielleicht verlieben sie sich auf dem Weg dorthin einfach in die Sicherheit.
Ein bisschen gesunder Wettbewerb
Ein zentrales Vertrauen auf (eher ungenaue) Tools, teure Pen-Tests und knappe AppSec-Spezialisten wird uns tiefer in das schwarze Loch der Sicherheit stürzen. Zu viel von unserem Leben und unserer Privatsphäre existiert online, als dass Unternehmen weiterhin die Vorsicht vor den virtuellen Festungen, die unsere Daten schützen, in den Wind schlagen können. Da die digitale Transformation unserer Welt unsere Abhängigkeit von Software erhöht, müssen wir uns an die Superhelden wenden, die wir schon die ganze Zeit im Büro sitzen haben: das Entwicklerteam.
Gamified Training in relevanten Sprachen und Frameworks ist ein wirkungsvolles Werkzeug für AppSec-Manager, um die Sicherheitskultur im Unternehmen zu verändern. Nach dem Training können Entwickler ihre neu erworbenen Sicherheitsmuskeln in einer unterhaltsamen tournament Umgebung trainieren, die so aufregend sein kann, wie es Ihre Vorstellungskraft zulässt: Schauen Sie sich nur an, wie das "Game of Codes" von IAG dafür gesorgt hat, dass jeder in der Organisation über Sicherheit spricht.
Secure Code Warrior's tournament Modul bietet mehr als nur einen netten kleinen Abschluss für ein gemessenes Trainingsengagement: Es ist eine Plattform, von der aus jeder Entwickler seine Fähigkeiten validieren kann, um zu sehen, wie weit er seit Beginn des Trainings fortgeschritten ist, und um Bereiche zu identifizieren, die möglicherweise verbessert werden müssen. Der Wettbewerbsaspekt wirkt wirklich als Motivator, sich positiv mit der Sicherheit zu beschäftigen und durch Belohnung und Anerkennung das Wachstum einer robusten Sicherheitskultur innerhalb des Teams und des gesamten Unternehmens zu unterstützen.
Ein wenig Spaß in etwas zu bringen, das als mühsame - wenn nicht sogar entmutigende - Aufgabe angesehen werden kann, kann einen langen Weg gehen, um negative Denkweisen zu ändern und zur weiteren Teilnahme zu inspirieren. Denn wer liebt nicht den Ruhm, in einem (gesunden) Wettbewerb mehr Punkte als seine Mitspieler zu erzielen?
Champions wandeln unter Ihnen
Gamified Training und die anschließende tournaments helfen immens dabei, eine positive Sicherheitskultur zu fördern, wobei AppSec- und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Ein sicherer Entwickler ist eine Bereicherung, er behebt allgemeine Schwachstellen und überlässt die komplexen Probleme den knappen AppSec-Spezialisten vor Ort. Bessere Beziehungen wachsen und gedeihen, und das kostbare Sicherheitsbudget wird nicht durch die Behebung eines "Murmeltiertags"-Szenarios der immer gleichen Fehler verschlungen.
Es gibt jedoch noch ein weiteres starkes Nebenprodukt: die Enthüllung der Sicherheits-Champions, von denen Sie nie wussten, dass Sie sie haben. Tournaments kann diejenigen aufdecken, die nicht nur eine Begabung für Sicherheit haben, sondern aktiv eine Leidenschaft dafür zeigen. Diese Champions sind entscheidend, wenn es darum geht, den Schwung aufrechtzuerhalten und als Ansprechpartner zwischen den Teams zu fungieren, die Kollegen zu beaufsichtigen und Best-Practice-Richtlinien aufrechtzuerhalten. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung durch die Geschäftsleitung beinhaltet, ist ein Aushängeschild für das Unternehmen sowie eine wichtige Bereicherung für den Lebenslauf und die zukünftige Karriere des Einzelnen.
Die Quintessenz? Wir müssen bessere Ergebnisse bei Sicherheitstests fordern. Weniger häufige Fehler, mehr Unterstützung für diejenigen, die an vorderster Front stehen. Warum sehen Sie nicht, wie ein Entwickler tournament Sie schneller dorthin bringen kann, als Sie denken?
Stellen Sie sich vor, Sie erschaffen etwas von Grund auf, setzen Ihre Fähigkeiten und Erfahrungen meisterhaft ein, um der Welt ein kleines, aber besonderes Zeichen zu setzen. Ob allein oder als Teil eines Teams, Sie stecken Ihr Herz und Ihre Seele in den Aufbau von etwas aus dem Nichts. Sie verbringen Hunderte - vielleicht sogar Tausende - von Stunden damit, um sicherzustellen, dass Ihr Baby das Beste ist, was es sein kann. Nach der Fertigstellung kann sich diese Welle der Errungenschaft wie eine ganz eigene Belohnung anfühlen.
Nun stellen Sie sich vor, ein Spielverderber kommt daher und sagt Ihnen, dass es nicht so toll ist. Vielleicht geht er noch einen Schritt weiter und sagt Ihnen, dass es trotz der Energie, Zeit und Liebe, die Sie geopfert haben, eigentlich gar nicht zu gebrauchen ist: Es ist kaputt. Sie haben Ihnen im Grunde genommen gesagt, dass Ihr Baby hässlich ist.
Das obige Szenario führt zwangsläufig zu Spannungen; denn wer möchte schon, dass seine harte Arbeit auseinandergenommen und als unzureichend verurteilt wird? Traurigerweise kann dies für viele Entwickler die Realität ihrer Beziehung zum AppSec-Team sein. Ein Entwickler ist in erster Linie dafür verantwortlich, Software zu erstellen, die funktional und funktionsreich ist und innerhalb strenger Projektfristen geliefert wird. Die Sicherheit hat selten Priorität und kann sogar als Hindernis für eine schnelle Lieferung und Innovation angesehen werden. AppSec hat die wenig beneidenswerte Aufgabe, Code akribisch zu prüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu überbringen: das Vorhandensein von Sicherheitslücken in Code, der oft schon festgeschrieben ist. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt, und führt zwangsläufig zu einem Zerwürfnis zwischen zwei Teams, die zwar das gleiche Ziel haben, aber so unterschiedliche Sprachen sprechen, dass sie scheinbar auf Kriegsfuß stehen.
Denken Sie nicht, dass es an der Zeit ist, der Sicherheit ein neues Gesicht zu geben? Es ist so einfach, wie die Konversation zu ändern und alles ein wenig positiver zu gestalten (ganz zu schweigen von Spaß!) für beide Seiten, besonders für das Entwicklerteam.
Raus aus dem Klassenzimmer, rein in die Spielarena
Da viele Entwickler eine Berufsausbildung absolvieren, ohne viel über sicheres Coding zu lernen, ist es oft so, dass ihr erster Berührungspunkt mit der Sicherheitsausbildung beim Eintritt ins Berufsleben ist. Schulungen im Klassenzimmer sind eine oft genutzte Lösung, aber sie nehmen wertvolle Zeit für die Vermittlung von Funktionen weg (und, seien wir ehrlich: wenn der Lehrer und die Inhalte zu wenig anregend sind, kann es für alle eine leicht vergessene Zeitverschwendung sein). Es gibt auch Video courses, papierbasierte Prüfungen und generische Schulungen zu den Sicherheitsrichtlinien des Unternehmens... die alle so unspezifisch sein können, dass sie im Arbeitsalltag des durchschnittlichen Entwicklers nutzlos sind.
Allzu oft wird sie als "Abhaken und weitermachen"-Compliance-Übung behandelt, und allzu oft hat sie den gegenteiligen Effekt: Sie führt nur zu einer größeren Kluft zwischen AppSec und dem Entwicklerteam. Schließlich scheint es nicht so zu sein, dass herkömmliche Schulungen den positiven Effekt auf die Sicherheitskultur und die Compliance haben, den wir als Branche so verzweifelt suchen. Wir machen immer wieder die gleichen Fehler.
Laut der Common Weakness Enumeration(CWE) Community gibt es mehr als 700 gängige Software-Sicherheitsschwachstellen, die es zu bekämpfen gilt. Einige, wie SQL-Injection, sind wie Kakerlaken, die noch nicht zerquetscht wurden, obwohl sie seit mehr als zwanzig Jahren existieren. Wir wissen, wie man sie behebt; das Training ist da, um Entwickler zu befähigen, sie und so viele andere zu stoppen, doch Pen-Tests und manuelle Code-Review-Prozesse identifizieren diese Verstöße ständig.
Vielleicht haben wir das alles falsch betrachtet und wir müssen als Branche die Ausbildung von einem anderen Blickwinkel aus angehen... einem, der die erstaunlichen Fähigkeiten nutzt, die bei unseren Entwicklern so geschätzt werden. Sie sind kreative, wissbegierige Problemlöser, die die Herausforderung lieben. Sicherheitstrainings mit Spielen zu versehen, bedeutet, ihre Sprache zu sprechen, ihnen zu ermöglichen, durch Handeln zu üben - und wer weiß, vielleicht verlieben sie sich auf dem Weg dorthin einfach in die Sicherheit.
Ein bisschen gesunder Wettbewerb
Ein zentrales Vertrauen auf (eher ungenaue) Tools, teure Pen-Tests und knappe AppSec-Spezialisten wird uns tiefer in das schwarze Loch der Sicherheit stürzen. Zu viel von unserem Leben und unserer Privatsphäre existiert online, als dass Unternehmen weiterhin die Vorsicht vor den virtuellen Festungen, die unsere Daten schützen, in den Wind schlagen können. Da die digitale Transformation unserer Welt unsere Abhängigkeit von Software erhöht, müssen wir uns an die Superhelden wenden, die wir schon die ganze Zeit im Büro sitzen haben: das Entwicklerteam.
Gamified Training in relevanten Sprachen und Frameworks ist ein wirkungsvolles Werkzeug für AppSec-Manager, um die Sicherheitskultur im Unternehmen zu verändern. Nach dem Training können Entwickler ihre neu erworbenen Sicherheitsmuskeln in einer unterhaltsamen tournament Umgebung trainieren, die so aufregend sein kann, wie es Ihre Vorstellungskraft zulässt: Schauen Sie sich nur an, wie das "Game of Codes" von IAG dafür gesorgt hat, dass jeder in der Organisation über Sicherheit spricht.
Secure Code Warrior's tournament Modul bietet mehr als nur einen netten kleinen Abschluss für ein gemessenes Trainingsengagement: Es ist eine Plattform, von der aus jeder Entwickler seine Fähigkeiten validieren kann, um zu sehen, wie weit er seit Beginn des Trainings fortgeschritten ist, und um Bereiche zu identifizieren, die möglicherweise verbessert werden müssen. Der Wettbewerbsaspekt wirkt wirklich als Motivator, sich positiv mit der Sicherheit zu beschäftigen und durch Belohnung und Anerkennung das Wachstum einer robusten Sicherheitskultur innerhalb des Teams und des gesamten Unternehmens zu unterstützen.
Ein wenig Spaß in etwas zu bringen, das als mühsame - wenn nicht sogar entmutigende - Aufgabe angesehen werden kann, kann einen langen Weg gehen, um negative Denkweisen zu ändern und zur weiteren Teilnahme zu inspirieren. Denn wer liebt nicht den Ruhm, in einem (gesunden) Wettbewerb mehr Punkte als seine Mitspieler zu erzielen?
Champions wandeln unter Ihnen
Gamified Training und die anschließende tournaments helfen immens dabei, eine positive Sicherheitskultur zu fördern, wobei AppSec- und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Ein sicherer Entwickler ist eine Bereicherung, er behebt allgemeine Schwachstellen und überlässt die komplexen Probleme den knappen AppSec-Spezialisten vor Ort. Bessere Beziehungen wachsen und gedeihen, und das kostbare Sicherheitsbudget wird nicht durch die Behebung eines "Murmeltiertags"-Szenarios der immer gleichen Fehler verschlungen.
Es gibt jedoch noch ein weiteres starkes Nebenprodukt: die Enthüllung der Sicherheits-Champions, von denen Sie nie wussten, dass Sie sie haben. Tournaments kann diejenigen aufdecken, die nicht nur eine Begabung für Sicherheit haben, sondern aktiv eine Leidenschaft dafür zeigen. Diese Champions sind entscheidend, wenn es darum geht, den Schwung aufrechtzuerhalten und als Ansprechpartner zwischen den Teams zu fungieren, die Kollegen zu beaufsichtigen und Best-Practice-Richtlinien aufrechtzuerhalten. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung durch die Geschäftsleitung beinhaltet, ist ein Aushängeschild für das Unternehmen sowie eine wichtige Bereicherung für den Lebenslauf und die zukünftige Karriere des Einzelnen.
Die Quintessenz? Wir müssen bessere Ergebnisse bei Sicherheitstests fordern. Weniger häufige Fehler, mehr Unterstützung für diejenigen, die an vorderster Front stehen. Warum sehen Sie nicht, wie ein Entwickler tournament Sie schneller dorthin bringen kann, als Sie denken?
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Stellen Sie sich vor, Sie erschaffen etwas von Grund auf, setzen Ihre Fähigkeiten und Erfahrungen meisterhaft ein, um der Welt ein kleines, aber besonderes Zeichen zu setzen. Ob allein oder als Teil eines Teams, Sie stecken Ihr Herz und Ihre Seele in den Aufbau von etwas aus dem Nichts. Sie verbringen Hunderte - vielleicht sogar Tausende - von Stunden damit, um sicherzustellen, dass Ihr Baby das Beste ist, was es sein kann. Nach der Fertigstellung kann sich diese Welle der Errungenschaft wie eine ganz eigene Belohnung anfühlen.
Nun stellen Sie sich vor, ein Spielverderber kommt daher und sagt Ihnen, dass es nicht so toll ist. Vielleicht geht er noch einen Schritt weiter und sagt Ihnen, dass es trotz der Energie, Zeit und Liebe, die Sie geopfert haben, eigentlich gar nicht zu gebrauchen ist: Es ist kaputt. Sie haben Ihnen im Grunde genommen gesagt, dass Ihr Baby hässlich ist.
Das obige Szenario führt zwangsläufig zu Spannungen; denn wer möchte schon, dass seine harte Arbeit auseinandergenommen und als unzureichend verurteilt wird? Traurigerweise kann dies für viele Entwickler die Realität ihrer Beziehung zum AppSec-Team sein. Ein Entwickler ist in erster Linie dafür verantwortlich, Software zu erstellen, die funktional und funktionsreich ist und innerhalb strenger Projektfristen geliefert wird. Die Sicherheit hat selten Priorität und kann sogar als Hindernis für eine schnelle Lieferung und Innovation angesehen werden. AppSec hat die wenig beneidenswerte Aufgabe, Code akribisch zu prüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu überbringen: das Vorhandensein von Sicherheitslücken in Code, der oft schon festgeschrieben ist. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt, und führt zwangsläufig zu einem Zerwürfnis zwischen zwei Teams, die zwar das gleiche Ziel haben, aber so unterschiedliche Sprachen sprechen, dass sie scheinbar auf Kriegsfuß stehen.
Denken Sie nicht, dass es an der Zeit ist, der Sicherheit ein neues Gesicht zu geben? Es ist so einfach, wie die Konversation zu ändern und alles ein wenig positiver zu gestalten (ganz zu schweigen von Spaß!) für beide Seiten, besonders für das Entwicklerteam.
Raus aus dem Klassenzimmer, rein in die Spielarena
Da viele Entwickler eine Berufsausbildung absolvieren, ohne viel über sicheres Coding zu lernen, ist es oft so, dass ihr erster Berührungspunkt mit der Sicherheitsausbildung beim Eintritt ins Berufsleben ist. Schulungen im Klassenzimmer sind eine oft genutzte Lösung, aber sie nehmen wertvolle Zeit für die Vermittlung von Funktionen weg (und, seien wir ehrlich: wenn der Lehrer und die Inhalte zu wenig anregend sind, kann es für alle eine leicht vergessene Zeitverschwendung sein). Es gibt auch Video courses, papierbasierte Prüfungen und generische Schulungen zu den Sicherheitsrichtlinien des Unternehmens... die alle so unspezifisch sein können, dass sie im Arbeitsalltag des durchschnittlichen Entwicklers nutzlos sind.
Allzu oft wird sie als "Abhaken und weitermachen"-Compliance-Übung behandelt, und allzu oft hat sie den gegenteiligen Effekt: Sie führt nur zu einer größeren Kluft zwischen AppSec und dem Entwicklerteam. Schließlich scheint es nicht so zu sein, dass herkömmliche Schulungen den positiven Effekt auf die Sicherheitskultur und die Compliance haben, den wir als Branche so verzweifelt suchen. Wir machen immer wieder die gleichen Fehler.
Laut der Common Weakness Enumeration(CWE) Community gibt es mehr als 700 gängige Software-Sicherheitsschwachstellen, die es zu bekämpfen gilt. Einige, wie SQL-Injection, sind wie Kakerlaken, die noch nicht zerquetscht wurden, obwohl sie seit mehr als zwanzig Jahren existieren. Wir wissen, wie man sie behebt; das Training ist da, um Entwickler zu befähigen, sie und so viele andere zu stoppen, doch Pen-Tests und manuelle Code-Review-Prozesse identifizieren diese Verstöße ständig.
Vielleicht haben wir das alles falsch betrachtet und wir müssen als Branche die Ausbildung von einem anderen Blickwinkel aus angehen... einem, der die erstaunlichen Fähigkeiten nutzt, die bei unseren Entwicklern so geschätzt werden. Sie sind kreative, wissbegierige Problemlöser, die die Herausforderung lieben. Sicherheitstrainings mit Spielen zu versehen, bedeutet, ihre Sprache zu sprechen, ihnen zu ermöglichen, durch Handeln zu üben - und wer weiß, vielleicht verlieben sie sich auf dem Weg dorthin einfach in die Sicherheit.
Ein bisschen gesunder Wettbewerb
Ein zentrales Vertrauen auf (eher ungenaue) Tools, teure Pen-Tests und knappe AppSec-Spezialisten wird uns tiefer in das schwarze Loch der Sicherheit stürzen. Zu viel von unserem Leben und unserer Privatsphäre existiert online, als dass Unternehmen weiterhin die Vorsicht vor den virtuellen Festungen, die unsere Daten schützen, in den Wind schlagen können. Da die digitale Transformation unserer Welt unsere Abhängigkeit von Software erhöht, müssen wir uns an die Superhelden wenden, die wir schon die ganze Zeit im Büro sitzen haben: das Entwicklerteam.
Gamified Training in relevanten Sprachen und Frameworks ist ein wirkungsvolles Werkzeug für AppSec-Manager, um die Sicherheitskultur im Unternehmen zu verändern. Nach dem Training können Entwickler ihre neu erworbenen Sicherheitsmuskeln in einer unterhaltsamen tournament Umgebung trainieren, die so aufregend sein kann, wie es Ihre Vorstellungskraft zulässt: Schauen Sie sich nur an, wie das "Game of Codes" von IAG dafür gesorgt hat, dass jeder in der Organisation über Sicherheit spricht.
Secure Code Warrior's tournament Modul bietet mehr als nur einen netten kleinen Abschluss für ein gemessenes Trainingsengagement: Es ist eine Plattform, von der aus jeder Entwickler seine Fähigkeiten validieren kann, um zu sehen, wie weit er seit Beginn des Trainings fortgeschritten ist, und um Bereiche zu identifizieren, die möglicherweise verbessert werden müssen. Der Wettbewerbsaspekt wirkt wirklich als Motivator, sich positiv mit der Sicherheit zu beschäftigen und durch Belohnung und Anerkennung das Wachstum einer robusten Sicherheitskultur innerhalb des Teams und des gesamten Unternehmens zu unterstützen.
Ein wenig Spaß in etwas zu bringen, das als mühsame - wenn nicht sogar entmutigende - Aufgabe angesehen werden kann, kann einen langen Weg gehen, um negative Denkweisen zu ändern und zur weiteren Teilnahme zu inspirieren. Denn wer liebt nicht den Ruhm, in einem (gesunden) Wettbewerb mehr Punkte als seine Mitspieler zu erzielen?
Champions wandeln unter Ihnen
Gamified Training und die anschließende tournaments helfen immens dabei, eine positive Sicherheitskultur zu fördern, wobei AppSec- und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Ein sicherer Entwickler ist eine Bereicherung, er behebt allgemeine Schwachstellen und überlässt die komplexen Probleme den knappen AppSec-Spezialisten vor Ort. Bessere Beziehungen wachsen und gedeihen, und das kostbare Sicherheitsbudget wird nicht durch die Behebung eines "Murmeltiertags"-Szenarios der immer gleichen Fehler verschlungen.
Es gibt jedoch noch ein weiteres starkes Nebenprodukt: die Enthüllung der Sicherheits-Champions, von denen Sie nie wussten, dass Sie sie haben. Tournaments kann diejenigen aufdecken, die nicht nur eine Begabung für Sicherheit haben, sondern aktiv eine Leidenschaft dafür zeigen. Diese Champions sind entscheidend, wenn es darum geht, den Schwung aufrechtzuerhalten und als Ansprechpartner zwischen den Teams zu fungieren, die Kollegen zu beaufsichtigen und Best-Practice-Richtlinien aufrechtzuerhalten. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung durch die Geschäftsleitung beinhaltet, ist ein Aushängeschild für das Unternehmen sowie eine wichtige Bereicherung für den Lebenslauf und die zukünftige Karriere des Einzelnen.
Die Quintessenz? Wir müssen bessere Ergebnisse bei Sicherheitstests fordern. Weniger häufige Fehler, mehr Unterstützung für diejenigen, die an vorderster Front stehen. Warum sehen Sie nicht, wie ein Entwickler tournament Sie schneller dorthin bringen kann, als Sie denken?
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.