Best Practices für Cybersicherheit in der Finanzbranche
Ursprünglich veröffentlicht in Regulierung Asien.
Angesichts der zunehmenden Zahl von Cyberangriffen, die jede Art von Unternehmen in jeder Branche betreffen, ist die Bedrohung durch teure, peinliche und den Gewinn beeinträchtigende Datenschutzverletzungen sehr real. Das Problem wird nicht kleiner, es wächst wie ein Tumor.
Ich werde oft nach Beispielen gefragt, welche Organisationen dieses Problem bekämpfen und den "Wilden Westen" der Cybersecurity und AppSec Best Practices mit besonderer Finesse und Meisterschaft navigieren. Dabei komme ich immer wieder auf eine Antwort zurück: Es ist die Finanzbranche, die es besser macht als die meisten anderen.
Regulierung: Ein treibender Faktor für die Führungsrolle der Finanzbranche in Sachen Cybersicherheit
Einer der Gründe, warum der Finanzsektor im Bereich AppSec so gut mitspielt, ist, dass er (zumindest teilweise) von den Bedenken globaler, regionaler und nationaler Regulierungsbehörden hinsichtlich der universellen - um nicht zu sagen katastrophalen - Auswirkungen angetrieben wird, die sich aus einem erfolgreichen Cybersecurity-Angriff oder Datendiebstahl ergeben könnten.
Der BCBS (Basler Ausschuss für Bankenaufsicht) hat im Dezember einen Bericht veröffentlicht, der die Bandbreite der beobachteten Praktiken der Banken, Regulierungs- und Aufsichtsbehörden im Bereich der Cyber-Resilienz in verschiedenen Ländern aufzeigt. Zu den wichtigsten Erkenntnissen des Berichts gehört der Mangel an Cybersecurity-Fachkräften, ein Faktor, dem nur wenige Länder durch die Einführung spezieller Cyber-Zertifizierungen begegnen.
"Einige Länder haben IT-spezifische Standards, die sich mit den Verantwortlichkeiten der IT-Mitarbeiter und den Funktionen der Informationssicherheit befassen, mit besonderem Augenmerk auf die Ausbildung und die Kompetenzen der Mitarbeiter im Bereich der Cybersicherheit", so der Bericht. Die meisten Länder befinden sich jedoch noch in der Anfangsphase" der Implementierung von Aufsichtspraktiken zur Überwachung der Fähigkeiten und Ressourcen der Cyber-Mitarbeiter einer Bank.
In den meisten Fällen verlangen die regulatorischen Vorschriften von den beaufsichtigten Unternehmen ein Risikomanagement, aber es gibt selten einen klaren Weg zur erfolgreichen Minderung dieses Risikos. Sie stellen keine spezifischen Anforderungen (oder gar Maßstäbe) an die Fähigkeiten und Ressourcen der Mitarbeiter im Bereich der Cybersicherheit. Die meisten Aufsichtsbehörden bewerten die Cybersicherheitsmitarbeiter von Instituten durch Vor-Ort-Inspektionen, bei denen Fragebögen zur Selbsteinschätzungassessment üblich sind, und Schulungsprozesse werden besonders genau unter die Lupe genommen, aber nur in wenigen Rechtsordnungen gehen die Vorschriften speziell auf die Rollen und Verantwortlichkeiten der IT-Mitarbeiter ein. Einfach ausgedrückt: Die Fehlertoleranz ist groß und die Betonung auf die richtige Ausbildung und die anschließende assessment der Fähigkeiten ist eher gering.
In Japan und Südkorea haben die Behörden Richtlinien für ein angemessenes Cybersecurity-Workforce-Management festgelegt. In den meisten anderen Jurisdiktionen beschränken sich die regulatorischen Anforderungen an das Cyber-Workforce-Management jedoch auf die Erwartungen der Aufsichtsbehörden, wobei es oft keine assessment von Aufsichtsbehörden für Cybersecurity-Fähigkeiten und Mitarbeiterschulungen in regulierten Organisationen gibt.
Nur Hongkong, Singapur und das Vereinigte Königreich haben spezielle Rahmenwerke zur Zertifizierung der Fähigkeiten und Kompetenzen von Cyber-Mitarbeitern herausgegeben. Während Worte wie "Compliance" und "Zertifizierung" dem durchschnittlichen kreativen, problemlösenden Entwickler, der mit der Entwicklung großartiger Softwarefunktionen betraut ist, einen kalten Schauer über den Rücken jagen (bei ihnen wird Sicherheit oft als das Problem von jemand anderem, nämlich dem Sicherheitsteam, angesehen), sind die riesigen Mengen an sensiblen Daten, die viele regulierte Unternehmen besitzen, einfach zu wertvoll, um sie in die Hände von Personen zu legen, deren Fähigkeiten "vorausgesetzt" werden, anstatt sie ordnungsgemäß zu überprüfen.
Glücklicherweise haben viele Banken und Finanzinstitute dies erkannt, ohne sich unbedingt auf einen offensichtlichen regulatorischen Weg zu verlassen. Die Vorschriften geben sicherlich einen Überblick über die Erwartungen an das Endergebnis (d. h. sichere Software), aber sie haben erkannt, dass dies nur zu erreichen ist, wenn man den Mangel an Cybersecurity-Fachkräften umgeht, indem man Entwickler schult, ihre Beziehung zu bestehenden AppSec-Fachleuten pflegt und eine positive Sicherheitskultur aufbaut, die Verantwortung und Eigenverantwortung hervorbringt.
Warum hat die Finanzbranche den "X-Faktor" für Cybersicherheit?
Für Unternehmen aus dem Banken-, Finanzdienstleistungs- und Versicherungssektor spielen einige Elemente eine Rolle, die zusammengenommen die Grundlage für ihre Führungsposition im Bereich der Cybersicherheit bilden.
Als Hüter der Finanzen der Welt (ganz zu schweigen von Millionen hochsensibler Datensätze) sind sie natürlich typischerweise sehr Compliance-getriebene und regulierte Organisationen " aktualisierte Richtlinien, Vorschriften und Anforderungen werden erwartet und sinnvoll geplant. Infolgedessen sind sie mit den sich entwickelnden Anforderungen an die Minderung von Cyber-Risiken wie die Enten mit dem Wasser gelaufen und rühmen sich mit einigen der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie mit End-to-End-Prozessen zur Reduzierung ihrer Gefährdung durch potenzielle Angriffe.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach haben sie den Grundstein gelegt, um sicherheitsbewusster zu sein als andere. Sie haben den Bedarf an ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Fachleute und Penetrationstester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams erkannt und Ressourcen dafür bereitgestellt.
Da das Thema Cybersicherheit in den meisten Unternehmen noch relativ neu ist, ist es erfrischend, dass Finanzinstitute wirklich aufgeschlossen und innovativ sind in ihrem Bestreben, sichere Software bereitzustellen. Viele haben die Vorteile erkannt, die sich aus der Weiterbildung der Entwickler ergeben, die sie aus dem Klassenzimmer in eine praktische, relevante Lernerfahrung führt, die ihnen nicht nur hilft, Probleme zu beheben, sondern auch die Bedeutung von sicherem Coding im Allgemeinen zu verstehen.
Schließlich ist sicheres Coding ein wichtiger Bestandteil, um eine robuste, funktionale Beziehung zwischen Entwicklern und dem AppSec-Team zu schaffen und eine robuste Sicherheitskultur im Unternehmen zu erhalten. Ein weiterer Schlüsselfaktor für ein erfolgreiches Sicherheitsprogramm ist die Sicherstellung, dass die wichtigsten Stakeholder mit an Bord sind und den Nutzen sehen, auch wenn sie selbst keine Sicherheitsexperten sind.
Finanzinstitute neigen dazu, gut mit der Geschäftsleitung zu kommunizieren, um sicherzustellen, dass die Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine "set and forget"-Maßnahmen sind; sie müssen sich so schnell wie die verwendete Technologie weiterentwickeln und an variable Risiken anpassen.
Es mag jetzt Zeit und Geld kosten, aber da es dreißigmal teurer ist, Schwachstellen in festgeschriebenem Code zu beheben, ist ein gut abgerundetes Sicherheitsprogramm ", das Schulungen von Grund auf einschließt ", eine langfristige Kostenersparnis: Es ist viel billiger, wenn Sicherheitsprobleme behoben werden, während sie von sicherheitsbewussten Entwicklern geschrieben werden.
Sicherheitsstandards beginnen, mit dem wachsenden Risiko Schritt zu halten
Ein wichtiger Treiber für die Cyber-Compliance in der Finanzbranche ist das PCI Security Standards Council, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Implementierung tragfähiger Sicherheitsrichtlinien zu unterstützen und Richtlinien in allen Bereichen einzuhalten. Der PCI Security Standards Council ist eine treibende Kraft, wenn es darum geht, die höchsten Sicherheitsstandards für Zahlungssoftware zu erreichen.
Es muss jedoch gesagt werden, dass viele unserer Kunden aus der Finanzbranche sogar die aktuellen Richtlinien des PCI Security Standards Council übertroffen haben. Diese Richtlinien empfehlen zwar Schulungen für Entwickler, geben aber (wie bereits bei anderen Beispielen für regulatorische Informationen erwähnt) keine bestimmte Art oder einen bestimmten Maßstab vor, der erfüllt werden muss, um zu zeigen, dass die Schulung effektiv war.
Da viele Schwachstellen wie SQL-Injection und Cross-Site-Scripting (XSS) seit mehr als zwanzig Jahren bestehen (und auch 2019 noch Probleme verursachen), ist es klar, dass nicht alle Schulungen gleich oder effektiv sind. Durch die Einführung von praxisnahen, spielerischen Sicherheitsschulungen erzielen Banken und andere Finanzdienstleister weitaus bessere Ergebnisse und eine echte Reduzierung der Schwachstellen, die bei Ausnutzung verheerende Folgen haben können.
Ein großartiges Beispiel ist, wie das US-Bankinstitut Capital One gamifizierte Trainingstechniken als Teil seines innovativen Tech College- und Zertifizierungssystems eingesetzt hat. Wie Russell Wolfe, Director of Cybersecurity & Cloud Computing Education, kürzlich in einem Webinar erläuterte, gewannen die freiwilligen Trainingsprogramme und Coding tournaments sehr schnell an Zugkraft, mit einer noch nie dagewesenen Nachfrage und einer organischen Motivation von Gleichgesinnten, sich zertifizieren zu lassen und dabei zu helfen, andere zu schulen.
Was können Regulierungsbehörden tun, um sicherzustellen, dass die Mitarbeiter in der Cybersicherheit angemessen geschult sind?
Aufsichtsbehörden auf der ganzen Welt können ihre bestehenden Richtlinien zur Cyberregulierung noch verbessern, indem sie einfach akzeptierte Schulungsmethoden und -standards festlegen, die diejenigen, die für den Schutz unserer Daten verantwortlich sind, erfüllen müssen. Im Moment scheint es in den meisten Regulierungsrichtlinien einen allgemeinen Verweis auf eine Schulungsanforderung zu geben, aber es gibt wenig Nachbereitung, um sicherzustellen, dass diejenigen, die eine vorgeschriebene Schulung durchlaufen, die Inhalte und Techniken aufnehmen, die erforderlich sind, um wirklich im Kampf gegen Cyber-Bedrohungen zu helfen.
Der jüngste Schritt der MAS (Monetary Authority of Singapore), die Einführung von Trainingsprogrammen für Sicherheitsbewusstsein und Best Practices für die sichere Softwareentwicklung in die jüngste Version ihrer Richtlinien für technologische Risiken aufzunehmen, ist jedoch ermutigend. Sobald die Richtlinien in Kraft treten, müssen Finanzinstitute sicherstellen, dass ihre Softwareentwickler geschult werden, um bei der Entwicklung von Software die Standards für sichere Kodierung, Quellcodeprüfung und AppSec-Tests anzuwenden, was einen großen Beitrag zur Minimierung von Fehlern und Schwachstellen leisten dürfte.
Für mich ist das Training der Entwicklungskohorte mit praktischen, realen Techniken bei weitem am fesselndsten und relevantesten für ihre Arbeit, während gleichzeitig die Grundlagen für die robuste Sicherheitskultur gelegt werden, die jedes Unternehmen schaffen muss, bevor es zu spät ist.
Mit der Zunahme von Cyberangriffen - die jede Art von Unternehmen in jeder Branche betreffen - ist die Bedrohung durch teure, peinliche und den Gewinn beeinträchtigende Datenschutzverletzungen sehr real. Das Problem wird nicht kleiner, es wächst wie ein Tumor.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Ursprünglich veröffentlicht in Regulierung Asien.
Angesichts der zunehmenden Zahl von Cyberangriffen, die jede Art von Unternehmen in jeder Branche betreffen, ist die Bedrohung durch teure, peinliche und den Gewinn beeinträchtigende Datenschutzverletzungen sehr real. Das Problem wird nicht kleiner, es wächst wie ein Tumor.
Ich werde oft nach Beispielen gefragt, welche Organisationen dieses Problem bekämpfen und den "Wilden Westen" der Cybersecurity und AppSec Best Practices mit besonderer Finesse und Meisterschaft navigieren. Dabei komme ich immer wieder auf eine Antwort zurück: Es ist die Finanzbranche, die es besser macht als die meisten anderen.
Regulierung: Ein treibender Faktor für die Führungsrolle der Finanzbranche in Sachen Cybersicherheit
Einer der Gründe, warum der Finanzsektor im Bereich AppSec so gut mitspielt, ist, dass er (zumindest teilweise) von den Bedenken globaler, regionaler und nationaler Regulierungsbehörden hinsichtlich der universellen - um nicht zu sagen katastrophalen - Auswirkungen angetrieben wird, die sich aus einem erfolgreichen Cybersecurity-Angriff oder Datendiebstahl ergeben könnten.
Der BCBS (Basler Ausschuss für Bankenaufsicht) hat im Dezember einen Bericht veröffentlicht, der die Bandbreite der beobachteten Praktiken der Banken, Regulierungs- und Aufsichtsbehörden im Bereich der Cyber-Resilienz in verschiedenen Ländern aufzeigt. Zu den wichtigsten Erkenntnissen des Berichts gehört der Mangel an Cybersecurity-Fachkräften, ein Faktor, dem nur wenige Länder durch die Einführung spezieller Cyber-Zertifizierungen begegnen.
"Einige Länder haben IT-spezifische Standards, die sich mit den Verantwortlichkeiten der IT-Mitarbeiter und den Funktionen der Informationssicherheit befassen, mit besonderem Augenmerk auf die Ausbildung und die Kompetenzen der Mitarbeiter im Bereich der Cybersicherheit", so der Bericht. Die meisten Länder befinden sich jedoch noch in der Anfangsphase" der Implementierung von Aufsichtspraktiken zur Überwachung der Fähigkeiten und Ressourcen der Cyber-Mitarbeiter einer Bank.
In den meisten Fällen verlangen die regulatorischen Vorschriften von den beaufsichtigten Unternehmen ein Risikomanagement, aber es gibt selten einen klaren Weg zur erfolgreichen Minderung dieses Risikos. Sie stellen keine spezifischen Anforderungen (oder gar Maßstäbe) an die Fähigkeiten und Ressourcen der Mitarbeiter im Bereich der Cybersicherheit. Die meisten Aufsichtsbehörden bewerten die Cybersicherheitsmitarbeiter von Instituten durch Vor-Ort-Inspektionen, bei denen Fragebögen zur Selbsteinschätzungassessment üblich sind, und Schulungsprozesse werden besonders genau unter die Lupe genommen, aber nur in wenigen Rechtsordnungen gehen die Vorschriften speziell auf die Rollen und Verantwortlichkeiten der IT-Mitarbeiter ein. Einfach ausgedrückt: Die Fehlertoleranz ist groß und die Betonung auf die richtige Ausbildung und die anschließende assessment der Fähigkeiten ist eher gering.
In Japan und Südkorea haben die Behörden Richtlinien für ein angemessenes Cybersecurity-Workforce-Management festgelegt. In den meisten anderen Jurisdiktionen beschränken sich die regulatorischen Anforderungen an das Cyber-Workforce-Management jedoch auf die Erwartungen der Aufsichtsbehörden, wobei es oft keine assessment von Aufsichtsbehörden für Cybersecurity-Fähigkeiten und Mitarbeiterschulungen in regulierten Organisationen gibt.
Nur Hongkong, Singapur und das Vereinigte Königreich haben spezielle Rahmenwerke zur Zertifizierung der Fähigkeiten und Kompetenzen von Cyber-Mitarbeitern herausgegeben. Während Worte wie "Compliance" und "Zertifizierung" dem durchschnittlichen kreativen, problemlösenden Entwickler, der mit der Entwicklung großartiger Softwarefunktionen betraut ist, einen kalten Schauer über den Rücken jagen (bei ihnen wird Sicherheit oft als das Problem von jemand anderem, nämlich dem Sicherheitsteam, angesehen), sind die riesigen Mengen an sensiblen Daten, die viele regulierte Unternehmen besitzen, einfach zu wertvoll, um sie in die Hände von Personen zu legen, deren Fähigkeiten "vorausgesetzt" werden, anstatt sie ordnungsgemäß zu überprüfen.
Glücklicherweise haben viele Banken und Finanzinstitute dies erkannt, ohne sich unbedingt auf einen offensichtlichen regulatorischen Weg zu verlassen. Die Vorschriften geben sicherlich einen Überblick über die Erwartungen an das Endergebnis (d. h. sichere Software), aber sie haben erkannt, dass dies nur zu erreichen ist, wenn man den Mangel an Cybersecurity-Fachkräften umgeht, indem man Entwickler schult, ihre Beziehung zu bestehenden AppSec-Fachleuten pflegt und eine positive Sicherheitskultur aufbaut, die Verantwortung und Eigenverantwortung hervorbringt.
Warum hat die Finanzbranche den "X-Faktor" für Cybersicherheit?
Für Unternehmen aus dem Banken-, Finanzdienstleistungs- und Versicherungssektor spielen einige Elemente eine Rolle, die zusammengenommen die Grundlage für ihre Führungsposition im Bereich der Cybersicherheit bilden.
Als Hüter der Finanzen der Welt (ganz zu schweigen von Millionen hochsensibler Datensätze) sind sie natürlich typischerweise sehr Compliance-getriebene und regulierte Organisationen " aktualisierte Richtlinien, Vorschriften und Anforderungen werden erwartet und sinnvoll geplant. Infolgedessen sind sie mit den sich entwickelnden Anforderungen an die Minderung von Cyber-Risiken wie die Enten mit dem Wasser gelaufen und rühmen sich mit einigen der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie mit End-to-End-Prozessen zur Reduzierung ihrer Gefährdung durch potenzielle Angriffe.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach haben sie den Grundstein gelegt, um sicherheitsbewusster zu sein als andere. Sie haben den Bedarf an ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Fachleute und Penetrationstester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams erkannt und Ressourcen dafür bereitgestellt.
Da das Thema Cybersicherheit in den meisten Unternehmen noch relativ neu ist, ist es erfrischend, dass Finanzinstitute wirklich aufgeschlossen und innovativ sind in ihrem Bestreben, sichere Software bereitzustellen. Viele haben die Vorteile erkannt, die sich aus der Weiterbildung der Entwickler ergeben, die sie aus dem Klassenzimmer in eine praktische, relevante Lernerfahrung führt, die ihnen nicht nur hilft, Probleme zu beheben, sondern auch die Bedeutung von sicherem Coding im Allgemeinen zu verstehen.
Schließlich ist sicheres Coding ein wichtiger Bestandteil, um eine robuste, funktionale Beziehung zwischen Entwicklern und dem AppSec-Team zu schaffen und eine robuste Sicherheitskultur im Unternehmen zu erhalten. Ein weiterer Schlüsselfaktor für ein erfolgreiches Sicherheitsprogramm ist die Sicherstellung, dass die wichtigsten Stakeholder mit an Bord sind und den Nutzen sehen, auch wenn sie selbst keine Sicherheitsexperten sind.
Finanzinstitute neigen dazu, gut mit der Geschäftsleitung zu kommunizieren, um sicherzustellen, dass die Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine "set and forget"-Maßnahmen sind; sie müssen sich so schnell wie die verwendete Technologie weiterentwickeln und an variable Risiken anpassen.
Es mag jetzt Zeit und Geld kosten, aber da es dreißigmal teurer ist, Schwachstellen in festgeschriebenem Code zu beheben, ist ein gut abgerundetes Sicherheitsprogramm ", das Schulungen von Grund auf einschließt ", eine langfristige Kostenersparnis: Es ist viel billiger, wenn Sicherheitsprobleme behoben werden, während sie von sicherheitsbewussten Entwicklern geschrieben werden.
Sicherheitsstandards beginnen, mit dem wachsenden Risiko Schritt zu halten
Ein wichtiger Treiber für die Cyber-Compliance in der Finanzbranche ist das PCI Security Standards Council, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Implementierung tragfähiger Sicherheitsrichtlinien zu unterstützen und Richtlinien in allen Bereichen einzuhalten. Der PCI Security Standards Council ist eine treibende Kraft, wenn es darum geht, die höchsten Sicherheitsstandards für Zahlungssoftware zu erreichen.
Es muss jedoch gesagt werden, dass viele unserer Kunden aus der Finanzbranche sogar die aktuellen Richtlinien des PCI Security Standards Council übertroffen haben. Diese Richtlinien empfehlen zwar Schulungen für Entwickler, geben aber (wie bereits bei anderen Beispielen für regulatorische Informationen erwähnt) keine bestimmte Art oder einen bestimmten Maßstab vor, der erfüllt werden muss, um zu zeigen, dass die Schulung effektiv war.
Da viele Schwachstellen wie SQL-Injection und Cross-Site-Scripting (XSS) seit mehr als zwanzig Jahren bestehen (und auch 2019 noch Probleme verursachen), ist es klar, dass nicht alle Schulungen gleich oder effektiv sind. Durch die Einführung von praxisnahen, spielerischen Sicherheitsschulungen erzielen Banken und andere Finanzdienstleister weitaus bessere Ergebnisse und eine echte Reduzierung der Schwachstellen, die bei Ausnutzung verheerende Folgen haben können.
Ein großartiges Beispiel ist, wie das US-Bankinstitut Capital One gamifizierte Trainingstechniken als Teil seines innovativen Tech College- und Zertifizierungssystems eingesetzt hat. Wie Russell Wolfe, Director of Cybersecurity & Cloud Computing Education, kürzlich in einem Webinar erläuterte, gewannen die freiwilligen Trainingsprogramme und Coding tournaments sehr schnell an Zugkraft, mit einer noch nie dagewesenen Nachfrage und einer organischen Motivation von Gleichgesinnten, sich zertifizieren zu lassen und dabei zu helfen, andere zu schulen.
Was können Regulierungsbehörden tun, um sicherzustellen, dass die Mitarbeiter in der Cybersicherheit angemessen geschult sind?
Aufsichtsbehörden auf der ganzen Welt können ihre bestehenden Richtlinien zur Cyberregulierung noch verbessern, indem sie einfach akzeptierte Schulungsmethoden und -standards festlegen, die diejenigen, die für den Schutz unserer Daten verantwortlich sind, erfüllen müssen. Im Moment scheint es in den meisten Regulierungsrichtlinien einen allgemeinen Verweis auf eine Schulungsanforderung zu geben, aber es gibt wenig Nachbereitung, um sicherzustellen, dass diejenigen, die eine vorgeschriebene Schulung durchlaufen, die Inhalte und Techniken aufnehmen, die erforderlich sind, um wirklich im Kampf gegen Cyber-Bedrohungen zu helfen.
Der jüngste Schritt der MAS (Monetary Authority of Singapore), die Einführung von Trainingsprogrammen für Sicherheitsbewusstsein und Best Practices für die sichere Softwareentwicklung in die jüngste Version ihrer Richtlinien für technologische Risiken aufzunehmen, ist jedoch ermutigend. Sobald die Richtlinien in Kraft treten, müssen Finanzinstitute sicherstellen, dass ihre Softwareentwickler geschult werden, um bei der Entwicklung von Software die Standards für sichere Kodierung, Quellcodeprüfung und AppSec-Tests anzuwenden, was einen großen Beitrag zur Minimierung von Fehlern und Schwachstellen leisten dürfte.
Für mich ist das Training der Entwicklungskohorte mit praktischen, realen Techniken bei weitem am fesselndsten und relevantesten für ihre Arbeit, während gleichzeitig die Grundlagen für die robuste Sicherheitskultur gelegt werden, die jedes Unternehmen schaffen muss, bevor es zu spät ist.
Ursprünglich veröffentlicht in Regulierung Asien.
Angesichts der zunehmenden Zahl von Cyberangriffen, die jede Art von Unternehmen in jeder Branche betreffen, ist die Bedrohung durch teure, peinliche und den Gewinn beeinträchtigende Datenschutzverletzungen sehr real. Das Problem wird nicht kleiner, es wächst wie ein Tumor.
Ich werde oft nach Beispielen gefragt, welche Organisationen dieses Problem bekämpfen und den "Wilden Westen" der Cybersecurity und AppSec Best Practices mit besonderer Finesse und Meisterschaft navigieren. Dabei komme ich immer wieder auf eine Antwort zurück: Es ist die Finanzbranche, die es besser macht als die meisten anderen.
Regulierung: Ein treibender Faktor für die Führungsrolle der Finanzbranche in Sachen Cybersicherheit
Einer der Gründe, warum der Finanzsektor im Bereich AppSec so gut mitspielt, ist, dass er (zumindest teilweise) von den Bedenken globaler, regionaler und nationaler Regulierungsbehörden hinsichtlich der universellen - um nicht zu sagen katastrophalen - Auswirkungen angetrieben wird, die sich aus einem erfolgreichen Cybersecurity-Angriff oder Datendiebstahl ergeben könnten.
Der BCBS (Basler Ausschuss für Bankenaufsicht) hat im Dezember einen Bericht veröffentlicht, der die Bandbreite der beobachteten Praktiken der Banken, Regulierungs- und Aufsichtsbehörden im Bereich der Cyber-Resilienz in verschiedenen Ländern aufzeigt. Zu den wichtigsten Erkenntnissen des Berichts gehört der Mangel an Cybersecurity-Fachkräften, ein Faktor, dem nur wenige Länder durch die Einführung spezieller Cyber-Zertifizierungen begegnen.
"Einige Länder haben IT-spezifische Standards, die sich mit den Verantwortlichkeiten der IT-Mitarbeiter und den Funktionen der Informationssicherheit befassen, mit besonderem Augenmerk auf die Ausbildung und die Kompetenzen der Mitarbeiter im Bereich der Cybersicherheit", so der Bericht. Die meisten Länder befinden sich jedoch noch in der Anfangsphase" der Implementierung von Aufsichtspraktiken zur Überwachung der Fähigkeiten und Ressourcen der Cyber-Mitarbeiter einer Bank.
In den meisten Fällen verlangen die regulatorischen Vorschriften von den beaufsichtigten Unternehmen ein Risikomanagement, aber es gibt selten einen klaren Weg zur erfolgreichen Minderung dieses Risikos. Sie stellen keine spezifischen Anforderungen (oder gar Maßstäbe) an die Fähigkeiten und Ressourcen der Mitarbeiter im Bereich der Cybersicherheit. Die meisten Aufsichtsbehörden bewerten die Cybersicherheitsmitarbeiter von Instituten durch Vor-Ort-Inspektionen, bei denen Fragebögen zur Selbsteinschätzungassessment üblich sind, und Schulungsprozesse werden besonders genau unter die Lupe genommen, aber nur in wenigen Rechtsordnungen gehen die Vorschriften speziell auf die Rollen und Verantwortlichkeiten der IT-Mitarbeiter ein. Einfach ausgedrückt: Die Fehlertoleranz ist groß und die Betonung auf die richtige Ausbildung und die anschließende assessment der Fähigkeiten ist eher gering.
In Japan und Südkorea haben die Behörden Richtlinien für ein angemessenes Cybersecurity-Workforce-Management festgelegt. In den meisten anderen Jurisdiktionen beschränken sich die regulatorischen Anforderungen an das Cyber-Workforce-Management jedoch auf die Erwartungen der Aufsichtsbehörden, wobei es oft keine assessment von Aufsichtsbehörden für Cybersecurity-Fähigkeiten und Mitarbeiterschulungen in regulierten Organisationen gibt.
Nur Hongkong, Singapur und das Vereinigte Königreich haben spezielle Rahmenwerke zur Zertifizierung der Fähigkeiten und Kompetenzen von Cyber-Mitarbeitern herausgegeben. Während Worte wie "Compliance" und "Zertifizierung" dem durchschnittlichen kreativen, problemlösenden Entwickler, der mit der Entwicklung großartiger Softwarefunktionen betraut ist, einen kalten Schauer über den Rücken jagen (bei ihnen wird Sicherheit oft als das Problem von jemand anderem, nämlich dem Sicherheitsteam, angesehen), sind die riesigen Mengen an sensiblen Daten, die viele regulierte Unternehmen besitzen, einfach zu wertvoll, um sie in die Hände von Personen zu legen, deren Fähigkeiten "vorausgesetzt" werden, anstatt sie ordnungsgemäß zu überprüfen.
Glücklicherweise haben viele Banken und Finanzinstitute dies erkannt, ohne sich unbedingt auf einen offensichtlichen regulatorischen Weg zu verlassen. Die Vorschriften geben sicherlich einen Überblick über die Erwartungen an das Endergebnis (d. h. sichere Software), aber sie haben erkannt, dass dies nur zu erreichen ist, wenn man den Mangel an Cybersecurity-Fachkräften umgeht, indem man Entwickler schult, ihre Beziehung zu bestehenden AppSec-Fachleuten pflegt und eine positive Sicherheitskultur aufbaut, die Verantwortung und Eigenverantwortung hervorbringt.
Warum hat die Finanzbranche den "X-Faktor" für Cybersicherheit?
Für Unternehmen aus dem Banken-, Finanzdienstleistungs- und Versicherungssektor spielen einige Elemente eine Rolle, die zusammengenommen die Grundlage für ihre Führungsposition im Bereich der Cybersicherheit bilden.
Als Hüter der Finanzen der Welt (ganz zu schweigen von Millionen hochsensibler Datensätze) sind sie natürlich typischerweise sehr Compliance-getriebene und regulierte Organisationen " aktualisierte Richtlinien, Vorschriften und Anforderungen werden erwartet und sinnvoll geplant. Infolgedessen sind sie mit den sich entwickelnden Anforderungen an die Minderung von Cyber-Risiken wie die Enten mit dem Wasser gelaufen und rühmen sich mit einigen der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie mit End-to-End-Prozessen zur Reduzierung ihrer Gefährdung durch potenzielle Angriffe.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach haben sie den Grundstein gelegt, um sicherheitsbewusster zu sein als andere. Sie haben den Bedarf an ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Fachleute und Penetrationstester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams erkannt und Ressourcen dafür bereitgestellt.
Da das Thema Cybersicherheit in den meisten Unternehmen noch relativ neu ist, ist es erfrischend, dass Finanzinstitute wirklich aufgeschlossen und innovativ sind in ihrem Bestreben, sichere Software bereitzustellen. Viele haben die Vorteile erkannt, die sich aus der Weiterbildung der Entwickler ergeben, die sie aus dem Klassenzimmer in eine praktische, relevante Lernerfahrung führt, die ihnen nicht nur hilft, Probleme zu beheben, sondern auch die Bedeutung von sicherem Coding im Allgemeinen zu verstehen.
Schließlich ist sicheres Coding ein wichtiger Bestandteil, um eine robuste, funktionale Beziehung zwischen Entwicklern und dem AppSec-Team zu schaffen und eine robuste Sicherheitskultur im Unternehmen zu erhalten. Ein weiterer Schlüsselfaktor für ein erfolgreiches Sicherheitsprogramm ist die Sicherstellung, dass die wichtigsten Stakeholder mit an Bord sind und den Nutzen sehen, auch wenn sie selbst keine Sicherheitsexperten sind.
Finanzinstitute neigen dazu, gut mit der Geschäftsleitung zu kommunizieren, um sicherzustellen, dass die Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine "set and forget"-Maßnahmen sind; sie müssen sich so schnell wie die verwendete Technologie weiterentwickeln und an variable Risiken anpassen.
Es mag jetzt Zeit und Geld kosten, aber da es dreißigmal teurer ist, Schwachstellen in festgeschriebenem Code zu beheben, ist ein gut abgerundetes Sicherheitsprogramm ", das Schulungen von Grund auf einschließt ", eine langfristige Kostenersparnis: Es ist viel billiger, wenn Sicherheitsprobleme behoben werden, während sie von sicherheitsbewussten Entwicklern geschrieben werden.
Sicherheitsstandards beginnen, mit dem wachsenden Risiko Schritt zu halten
Ein wichtiger Treiber für die Cyber-Compliance in der Finanzbranche ist das PCI Security Standards Council, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Implementierung tragfähiger Sicherheitsrichtlinien zu unterstützen und Richtlinien in allen Bereichen einzuhalten. Der PCI Security Standards Council ist eine treibende Kraft, wenn es darum geht, die höchsten Sicherheitsstandards für Zahlungssoftware zu erreichen.
Es muss jedoch gesagt werden, dass viele unserer Kunden aus der Finanzbranche sogar die aktuellen Richtlinien des PCI Security Standards Council übertroffen haben. Diese Richtlinien empfehlen zwar Schulungen für Entwickler, geben aber (wie bereits bei anderen Beispielen für regulatorische Informationen erwähnt) keine bestimmte Art oder einen bestimmten Maßstab vor, der erfüllt werden muss, um zu zeigen, dass die Schulung effektiv war.
Da viele Schwachstellen wie SQL-Injection und Cross-Site-Scripting (XSS) seit mehr als zwanzig Jahren bestehen (und auch 2019 noch Probleme verursachen), ist es klar, dass nicht alle Schulungen gleich oder effektiv sind. Durch die Einführung von praxisnahen, spielerischen Sicherheitsschulungen erzielen Banken und andere Finanzdienstleister weitaus bessere Ergebnisse und eine echte Reduzierung der Schwachstellen, die bei Ausnutzung verheerende Folgen haben können.
Ein großartiges Beispiel ist, wie das US-Bankinstitut Capital One gamifizierte Trainingstechniken als Teil seines innovativen Tech College- und Zertifizierungssystems eingesetzt hat. Wie Russell Wolfe, Director of Cybersecurity & Cloud Computing Education, kürzlich in einem Webinar erläuterte, gewannen die freiwilligen Trainingsprogramme und Coding tournaments sehr schnell an Zugkraft, mit einer noch nie dagewesenen Nachfrage und einer organischen Motivation von Gleichgesinnten, sich zertifizieren zu lassen und dabei zu helfen, andere zu schulen.
Was können Regulierungsbehörden tun, um sicherzustellen, dass die Mitarbeiter in der Cybersicherheit angemessen geschult sind?
Aufsichtsbehörden auf der ganzen Welt können ihre bestehenden Richtlinien zur Cyberregulierung noch verbessern, indem sie einfach akzeptierte Schulungsmethoden und -standards festlegen, die diejenigen, die für den Schutz unserer Daten verantwortlich sind, erfüllen müssen. Im Moment scheint es in den meisten Regulierungsrichtlinien einen allgemeinen Verweis auf eine Schulungsanforderung zu geben, aber es gibt wenig Nachbereitung, um sicherzustellen, dass diejenigen, die eine vorgeschriebene Schulung durchlaufen, die Inhalte und Techniken aufnehmen, die erforderlich sind, um wirklich im Kampf gegen Cyber-Bedrohungen zu helfen.
Der jüngste Schritt der MAS (Monetary Authority of Singapore), die Einführung von Trainingsprogrammen für Sicherheitsbewusstsein und Best Practices für die sichere Softwareentwicklung in die jüngste Version ihrer Richtlinien für technologische Risiken aufzunehmen, ist jedoch ermutigend. Sobald die Richtlinien in Kraft treten, müssen Finanzinstitute sicherstellen, dass ihre Softwareentwickler geschult werden, um bei der Entwicklung von Software die Standards für sichere Kodierung, Quellcodeprüfung und AppSec-Tests anzuwenden, was einen großen Beitrag zur Minimierung von Fehlern und Schwachstellen leisten dürfte.
Für mich ist das Training der Entwicklungskohorte mit praktischen, realen Techniken bei weitem am fesselndsten und relevantesten für ihre Arbeit, während gleichzeitig die Grundlagen für die robuste Sicherheitskultur gelegt werden, die jedes Unternehmen schaffen muss, bevor es zu spät ist.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Ursprünglich veröffentlicht in Regulierung Asien.
Angesichts der zunehmenden Zahl von Cyberangriffen, die jede Art von Unternehmen in jeder Branche betreffen, ist die Bedrohung durch teure, peinliche und den Gewinn beeinträchtigende Datenschutzverletzungen sehr real. Das Problem wird nicht kleiner, es wächst wie ein Tumor.
Ich werde oft nach Beispielen gefragt, welche Organisationen dieses Problem bekämpfen und den "Wilden Westen" der Cybersecurity und AppSec Best Practices mit besonderer Finesse und Meisterschaft navigieren. Dabei komme ich immer wieder auf eine Antwort zurück: Es ist die Finanzbranche, die es besser macht als die meisten anderen.
Regulierung: Ein treibender Faktor für die Führungsrolle der Finanzbranche in Sachen Cybersicherheit
Einer der Gründe, warum der Finanzsektor im Bereich AppSec so gut mitspielt, ist, dass er (zumindest teilweise) von den Bedenken globaler, regionaler und nationaler Regulierungsbehörden hinsichtlich der universellen - um nicht zu sagen katastrophalen - Auswirkungen angetrieben wird, die sich aus einem erfolgreichen Cybersecurity-Angriff oder Datendiebstahl ergeben könnten.
Der BCBS (Basler Ausschuss für Bankenaufsicht) hat im Dezember einen Bericht veröffentlicht, der die Bandbreite der beobachteten Praktiken der Banken, Regulierungs- und Aufsichtsbehörden im Bereich der Cyber-Resilienz in verschiedenen Ländern aufzeigt. Zu den wichtigsten Erkenntnissen des Berichts gehört der Mangel an Cybersecurity-Fachkräften, ein Faktor, dem nur wenige Länder durch die Einführung spezieller Cyber-Zertifizierungen begegnen.
"Einige Länder haben IT-spezifische Standards, die sich mit den Verantwortlichkeiten der IT-Mitarbeiter und den Funktionen der Informationssicherheit befassen, mit besonderem Augenmerk auf die Ausbildung und die Kompetenzen der Mitarbeiter im Bereich der Cybersicherheit", so der Bericht. Die meisten Länder befinden sich jedoch noch in der Anfangsphase" der Implementierung von Aufsichtspraktiken zur Überwachung der Fähigkeiten und Ressourcen der Cyber-Mitarbeiter einer Bank.
In den meisten Fällen verlangen die regulatorischen Vorschriften von den beaufsichtigten Unternehmen ein Risikomanagement, aber es gibt selten einen klaren Weg zur erfolgreichen Minderung dieses Risikos. Sie stellen keine spezifischen Anforderungen (oder gar Maßstäbe) an die Fähigkeiten und Ressourcen der Mitarbeiter im Bereich der Cybersicherheit. Die meisten Aufsichtsbehörden bewerten die Cybersicherheitsmitarbeiter von Instituten durch Vor-Ort-Inspektionen, bei denen Fragebögen zur Selbsteinschätzungassessment üblich sind, und Schulungsprozesse werden besonders genau unter die Lupe genommen, aber nur in wenigen Rechtsordnungen gehen die Vorschriften speziell auf die Rollen und Verantwortlichkeiten der IT-Mitarbeiter ein. Einfach ausgedrückt: Die Fehlertoleranz ist groß und die Betonung auf die richtige Ausbildung und die anschließende assessment der Fähigkeiten ist eher gering.
In Japan und Südkorea haben die Behörden Richtlinien für ein angemessenes Cybersecurity-Workforce-Management festgelegt. In den meisten anderen Jurisdiktionen beschränken sich die regulatorischen Anforderungen an das Cyber-Workforce-Management jedoch auf die Erwartungen der Aufsichtsbehörden, wobei es oft keine assessment von Aufsichtsbehörden für Cybersecurity-Fähigkeiten und Mitarbeiterschulungen in regulierten Organisationen gibt.
Nur Hongkong, Singapur und das Vereinigte Königreich haben spezielle Rahmenwerke zur Zertifizierung der Fähigkeiten und Kompetenzen von Cyber-Mitarbeitern herausgegeben. Während Worte wie "Compliance" und "Zertifizierung" dem durchschnittlichen kreativen, problemlösenden Entwickler, der mit der Entwicklung großartiger Softwarefunktionen betraut ist, einen kalten Schauer über den Rücken jagen (bei ihnen wird Sicherheit oft als das Problem von jemand anderem, nämlich dem Sicherheitsteam, angesehen), sind die riesigen Mengen an sensiblen Daten, die viele regulierte Unternehmen besitzen, einfach zu wertvoll, um sie in die Hände von Personen zu legen, deren Fähigkeiten "vorausgesetzt" werden, anstatt sie ordnungsgemäß zu überprüfen.
Glücklicherweise haben viele Banken und Finanzinstitute dies erkannt, ohne sich unbedingt auf einen offensichtlichen regulatorischen Weg zu verlassen. Die Vorschriften geben sicherlich einen Überblick über die Erwartungen an das Endergebnis (d. h. sichere Software), aber sie haben erkannt, dass dies nur zu erreichen ist, wenn man den Mangel an Cybersecurity-Fachkräften umgeht, indem man Entwickler schult, ihre Beziehung zu bestehenden AppSec-Fachleuten pflegt und eine positive Sicherheitskultur aufbaut, die Verantwortung und Eigenverantwortung hervorbringt.
Warum hat die Finanzbranche den "X-Faktor" für Cybersicherheit?
Für Unternehmen aus dem Banken-, Finanzdienstleistungs- und Versicherungssektor spielen einige Elemente eine Rolle, die zusammengenommen die Grundlage für ihre Führungsposition im Bereich der Cybersicherheit bilden.
Als Hüter der Finanzen der Welt (ganz zu schweigen von Millionen hochsensibler Datensätze) sind sie natürlich typischerweise sehr Compliance-getriebene und regulierte Organisationen " aktualisierte Richtlinien, Vorschriften und Anforderungen werden erwartet und sinnvoll geplant. Infolgedessen sind sie mit den sich entwickelnden Anforderungen an die Minderung von Cyber-Risiken wie die Enten mit dem Wasser gelaufen und rühmen sich mit einigen der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie mit End-to-End-Prozessen zur Reduzierung ihrer Gefährdung durch potenzielle Angriffe.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach haben sie den Grundstein gelegt, um sicherheitsbewusster zu sein als andere. Sie haben den Bedarf an ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Fachleute und Penetrationstester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams erkannt und Ressourcen dafür bereitgestellt.
Da das Thema Cybersicherheit in den meisten Unternehmen noch relativ neu ist, ist es erfrischend, dass Finanzinstitute wirklich aufgeschlossen und innovativ sind in ihrem Bestreben, sichere Software bereitzustellen. Viele haben die Vorteile erkannt, die sich aus der Weiterbildung der Entwickler ergeben, die sie aus dem Klassenzimmer in eine praktische, relevante Lernerfahrung führt, die ihnen nicht nur hilft, Probleme zu beheben, sondern auch die Bedeutung von sicherem Coding im Allgemeinen zu verstehen.
Schließlich ist sicheres Coding ein wichtiger Bestandteil, um eine robuste, funktionale Beziehung zwischen Entwicklern und dem AppSec-Team zu schaffen und eine robuste Sicherheitskultur im Unternehmen zu erhalten. Ein weiterer Schlüsselfaktor für ein erfolgreiches Sicherheitsprogramm ist die Sicherstellung, dass die wichtigsten Stakeholder mit an Bord sind und den Nutzen sehen, auch wenn sie selbst keine Sicherheitsexperten sind.
Finanzinstitute neigen dazu, gut mit der Geschäftsleitung zu kommunizieren, um sicherzustellen, dass die Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine "set and forget"-Maßnahmen sind; sie müssen sich so schnell wie die verwendete Technologie weiterentwickeln und an variable Risiken anpassen.
Es mag jetzt Zeit und Geld kosten, aber da es dreißigmal teurer ist, Schwachstellen in festgeschriebenem Code zu beheben, ist ein gut abgerundetes Sicherheitsprogramm ", das Schulungen von Grund auf einschließt ", eine langfristige Kostenersparnis: Es ist viel billiger, wenn Sicherheitsprobleme behoben werden, während sie von sicherheitsbewussten Entwicklern geschrieben werden.
Sicherheitsstandards beginnen, mit dem wachsenden Risiko Schritt zu halten
Ein wichtiger Treiber für die Cyber-Compliance in der Finanzbranche ist das PCI Security Standards Council, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Implementierung tragfähiger Sicherheitsrichtlinien zu unterstützen und Richtlinien in allen Bereichen einzuhalten. Der PCI Security Standards Council ist eine treibende Kraft, wenn es darum geht, die höchsten Sicherheitsstandards für Zahlungssoftware zu erreichen.
Es muss jedoch gesagt werden, dass viele unserer Kunden aus der Finanzbranche sogar die aktuellen Richtlinien des PCI Security Standards Council übertroffen haben. Diese Richtlinien empfehlen zwar Schulungen für Entwickler, geben aber (wie bereits bei anderen Beispielen für regulatorische Informationen erwähnt) keine bestimmte Art oder einen bestimmten Maßstab vor, der erfüllt werden muss, um zu zeigen, dass die Schulung effektiv war.
Da viele Schwachstellen wie SQL-Injection und Cross-Site-Scripting (XSS) seit mehr als zwanzig Jahren bestehen (und auch 2019 noch Probleme verursachen), ist es klar, dass nicht alle Schulungen gleich oder effektiv sind. Durch die Einführung von praxisnahen, spielerischen Sicherheitsschulungen erzielen Banken und andere Finanzdienstleister weitaus bessere Ergebnisse und eine echte Reduzierung der Schwachstellen, die bei Ausnutzung verheerende Folgen haben können.
Ein großartiges Beispiel ist, wie das US-Bankinstitut Capital One gamifizierte Trainingstechniken als Teil seines innovativen Tech College- und Zertifizierungssystems eingesetzt hat. Wie Russell Wolfe, Director of Cybersecurity & Cloud Computing Education, kürzlich in einem Webinar erläuterte, gewannen die freiwilligen Trainingsprogramme und Coding tournaments sehr schnell an Zugkraft, mit einer noch nie dagewesenen Nachfrage und einer organischen Motivation von Gleichgesinnten, sich zertifizieren zu lassen und dabei zu helfen, andere zu schulen.
Was können Regulierungsbehörden tun, um sicherzustellen, dass die Mitarbeiter in der Cybersicherheit angemessen geschult sind?
Aufsichtsbehörden auf der ganzen Welt können ihre bestehenden Richtlinien zur Cyberregulierung noch verbessern, indem sie einfach akzeptierte Schulungsmethoden und -standards festlegen, die diejenigen, die für den Schutz unserer Daten verantwortlich sind, erfüllen müssen. Im Moment scheint es in den meisten Regulierungsrichtlinien einen allgemeinen Verweis auf eine Schulungsanforderung zu geben, aber es gibt wenig Nachbereitung, um sicherzustellen, dass diejenigen, die eine vorgeschriebene Schulung durchlaufen, die Inhalte und Techniken aufnehmen, die erforderlich sind, um wirklich im Kampf gegen Cyber-Bedrohungen zu helfen.
Der jüngste Schritt der MAS (Monetary Authority of Singapore), die Einführung von Trainingsprogrammen für Sicherheitsbewusstsein und Best Practices für die sichere Softwareentwicklung in die jüngste Version ihrer Richtlinien für technologische Risiken aufzunehmen, ist jedoch ermutigend. Sobald die Richtlinien in Kraft treten, müssen Finanzinstitute sicherstellen, dass ihre Softwareentwickler geschult werden, um bei der Entwicklung von Software die Standards für sichere Kodierung, Quellcodeprüfung und AppSec-Tests anzuwenden, was einen großen Beitrag zur Minimierung von Fehlern und Schwachstellen leisten dürfte.
Für mich ist das Training der Entwicklungskohorte mit praktischen, realen Techniken bei weitem am fesselndsten und relevantesten für ihre Arbeit, während gleichzeitig die Grundlagen für die robuste Sicherheitskultur gelegt werden, die jedes Unternehmen schaffen muss, bevor es zu spät ist.
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.