Wie man ein effektives Sicherheitstraining für Entwickler einführt: 5 wichtige Lektionen
Warum erzielt ein Schulungsprogramm für die Sicherheit von Entwickleranwendungen bessere Ergebnisse als ein anderes?
In meinen mehr als 10 Jahren als SANS-Trainer und den letzten drei Jahren, in denen ich Secure Code Warrior (SCW) gegründet und aufgebaut habe, habe ich gesehen, wie wertvoll es ist, Zeit und Ressourcen zu investieren, damit Schulungsprogramme die besten Ergebnisse erzielen.
In unserem ersten Verkaufsjahr hat unser Unternehmen mehr als 10.000 Entwickler an Schulungen zu sicherem Code teilhaben lassen, und ich habe eine Reihe von Trends bei denjenigen festgestellt, die das Programm am effektivsten eingeführt haben. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hohe Rentabilität des Programms, da Sicherheitsschwächen früher erkannt werden, bevor sie teuer werden.
Ich gebe es ungern zu, aber es gab auch einige, die den "Low-Effort"-Ansatz wählten und versuchten, ein Programm auszurollen, indem sie eine E-Mail mit einem Link zum Training schickten. Es ist nicht überraschend, dass das nicht so gut funktioniert und wir mussten diese Roll-outs korrigieren.
Im Folgenden teile ich fünf wichtige Erkenntnisse mit, die das Engagement, die Wirkung und den Erfolg jedes Sicherheitstrainingsprogramms für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Auftakt, wenn Sie wollen, dass Ihr Programm Wirkung zeigt
Ein spezielles Kick-Off-Tag-Event zu veranstalten oder Ihrem Programm ein Film-/Geek-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied für den Grad der Aufregung und der Teilnahme machen. Einer unserer großen Kunden hat ein ganzes Fantasieprogramm rund um eine beliebte Fernsehserie erstellt, mit T-Shirts, Ansteckern und Aufklebern, die das gesamte Trainingsprogramm zu einem Erlebnis machen, das kein Entwickler verpassen möchte. Ein anderer hat seine Veranstaltung rund um Star Wars thematisiert, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern, an Bord zu kommen, und sorgt dafür, dass sich die kurzen Trainingseinheiten für Entwickler mit sicheren Code-Fähigkeiten wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Meilenstein Nr. 1 ist erreicht, wir haben ihre Aufmerksamkeit und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Champion für die Sicherheitsschulung von Entwicklern (Hinweis: Sie brauchen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
Die richtigen Sicherheits-Champions in jedem Scrum-Team zu finden, ist entscheidend für den anhaltenden Programmerfolg, besonders in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklungsexperten über ausgeprägte menschliche und/oder kommunikative Fähigkeiten. Die besten Sicherheits-Champions, die Ihrem Programm eine positive, anhaltende Wirkung verleihen, sind diejenigen, die sich leidenschaftlich für Sicherheit engagieren und über ausgeprägte Menschenkenntnis, Einflussnahme und Kommunikationsfähigkeiten verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeiten.
3. Coole Belohnungen haben, die Fähigkeiten anerkennen
Im Allgemeinen mag es jeder Computerfreak " einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt zu werden. Wenn Sie sie mit speziellen Statusaufklebern, geekigen Gadgets, besonderen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie diese mit Stolz tragen oder zur Schau stellen. Wenn jemand etwas Bedeutendes im Trainingsprogramm erreicht, ist es wichtig, sich Möglichkeiten zu überlegen, ihm Anerkennung und Aufmerksamkeit zu geben. Ich habe eine großartige Initiative bei einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior Champions machte und sie zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens in der Mitarbeiterzeitung veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Auch wenn Sie Ihre Entwickler zur "ersten Verteidigungslinie" in Ihrem Sicherheitsprogramm machen wollen, indem Sie ihnen helfen, sicher zu programmieren, bedeutet das nicht, dass sie die detailliertesten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen ständig neue Sicherheitslücken und Beispiele für Datenverletzungen vorsetzen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel ist es oft, ein großartiges Produkt oder eine Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfrachten, laufen Sie Gefahr, ihn zu desinteressieren. Die wichtigsten Lektionen, die wir gelernt haben, sind, dass sie grundlegende Sicherheitshygiene verstehen müssen und dass wir sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht die Schulung, sondern die Wirkung
Messen Sie nicht, wie viele Stunden Training Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, sondern die Anzahl der Schwachstellen, die im Entwicklungslebenszyklus durch Code-Analyse, Bug-Bounties oder klassische Schwachstellen-Tests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Trainingsprogramm funktioniert, wird die Anzahl der gefundenen Schwachstellen sinken. Die zweite Sache, die Sie messen sollten, ist die Zeit, die es braucht, um eine Schwachstelle zu beheben. Wenn ein Entwickler einen Monat braucht, um die Schwachstelle zu beheben, zeigt das deutlich, dass er nicht versteht, wie man es macht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Metriken, die clevere Unternehmen einsetzen, um die Wirkung ihrer Entwicklerschulungen zur sicheren Codierung zu messen.
5 wichtige Lektionen, wie man ein effektives Sicherheitstraining für Entwickler einführt:
- Bringen Sie etwas Spaß in den Auftakt, wenn Sie wollen, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für die Sicherheitsschulung von Entwicklern (Hinweis: Sie brauchen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Coole Belohnungen haben, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
5 wichtige Lektionen, wie man ein effektives Sicherheitstraining für Entwickler einführt
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Warum erzielt ein Schulungsprogramm für die Sicherheit von Entwickleranwendungen bessere Ergebnisse als ein anderes?
In meinen mehr als 10 Jahren als SANS-Trainer und den letzten drei Jahren, in denen ich Secure Code Warrior (SCW) gegründet und aufgebaut habe, habe ich gesehen, wie wertvoll es ist, Zeit und Ressourcen zu investieren, damit Schulungsprogramme die besten Ergebnisse erzielen.
In unserem ersten Verkaufsjahr hat unser Unternehmen mehr als 10.000 Entwickler an Schulungen zu sicherem Code teilhaben lassen, und ich habe eine Reihe von Trends bei denjenigen festgestellt, die das Programm am effektivsten eingeführt haben. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hohe Rentabilität des Programms, da Sicherheitsschwächen früher erkannt werden, bevor sie teuer werden.
Ich gebe es ungern zu, aber es gab auch einige, die den "Low-Effort"-Ansatz wählten und versuchten, ein Programm auszurollen, indem sie eine E-Mail mit einem Link zum Training schickten. Es ist nicht überraschend, dass das nicht so gut funktioniert und wir mussten diese Roll-outs korrigieren.
Im Folgenden teile ich fünf wichtige Erkenntnisse mit, die das Engagement, die Wirkung und den Erfolg jedes Sicherheitstrainingsprogramms für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Auftakt, wenn Sie wollen, dass Ihr Programm Wirkung zeigt
Ein spezielles Kick-Off-Tag-Event zu veranstalten oder Ihrem Programm ein Film-/Geek-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied für den Grad der Aufregung und der Teilnahme machen. Einer unserer großen Kunden hat ein ganzes Fantasieprogramm rund um eine beliebte Fernsehserie erstellt, mit T-Shirts, Ansteckern und Aufklebern, die das gesamte Trainingsprogramm zu einem Erlebnis machen, das kein Entwickler verpassen möchte. Ein anderer hat seine Veranstaltung rund um Star Wars thematisiert, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern, an Bord zu kommen, und sorgt dafür, dass sich die kurzen Trainingseinheiten für Entwickler mit sicheren Code-Fähigkeiten wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Meilenstein Nr. 1 ist erreicht, wir haben ihre Aufmerksamkeit und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Champion für die Sicherheitsschulung von Entwicklern (Hinweis: Sie brauchen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
Die richtigen Sicherheits-Champions in jedem Scrum-Team zu finden, ist entscheidend für den anhaltenden Programmerfolg, besonders in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklungsexperten über ausgeprägte menschliche und/oder kommunikative Fähigkeiten. Die besten Sicherheits-Champions, die Ihrem Programm eine positive, anhaltende Wirkung verleihen, sind diejenigen, die sich leidenschaftlich für Sicherheit engagieren und über ausgeprägte Menschenkenntnis, Einflussnahme und Kommunikationsfähigkeiten verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeiten.
3. Coole Belohnungen haben, die Fähigkeiten anerkennen
Im Allgemeinen mag es jeder Computerfreak " einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt zu werden. Wenn Sie sie mit speziellen Statusaufklebern, geekigen Gadgets, besonderen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie diese mit Stolz tragen oder zur Schau stellen. Wenn jemand etwas Bedeutendes im Trainingsprogramm erreicht, ist es wichtig, sich Möglichkeiten zu überlegen, ihm Anerkennung und Aufmerksamkeit zu geben. Ich habe eine großartige Initiative bei einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior Champions machte und sie zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens in der Mitarbeiterzeitung veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Auch wenn Sie Ihre Entwickler zur "ersten Verteidigungslinie" in Ihrem Sicherheitsprogramm machen wollen, indem Sie ihnen helfen, sicher zu programmieren, bedeutet das nicht, dass sie die detailliertesten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen ständig neue Sicherheitslücken und Beispiele für Datenverletzungen vorsetzen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel ist es oft, ein großartiges Produkt oder eine Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfrachten, laufen Sie Gefahr, ihn zu desinteressieren. Die wichtigsten Lektionen, die wir gelernt haben, sind, dass sie grundlegende Sicherheitshygiene verstehen müssen und dass wir sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht die Schulung, sondern die Wirkung
Messen Sie nicht, wie viele Stunden Training Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, sondern die Anzahl der Schwachstellen, die im Entwicklungslebenszyklus durch Code-Analyse, Bug-Bounties oder klassische Schwachstellen-Tests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Trainingsprogramm funktioniert, wird die Anzahl der gefundenen Schwachstellen sinken. Die zweite Sache, die Sie messen sollten, ist die Zeit, die es braucht, um eine Schwachstelle zu beheben. Wenn ein Entwickler einen Monat braucht, um die Schwachstelle zu beheben, zeigt das deutlich, dass er nicht versteht, wie man es macht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Metriken, die clevere Unternehmen einsetzen, um die Wirkung ihrer Entwicklerschulungen zur sicheren Codierung zu messen.
5 wichtige Lektionen, wie man ein effektives Sicherheitstraining für Entwickler einführt:
- Bringen Sie etwas Spaß in den Auftakt, wenn Sie wollen, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für die Sicherheitsschulung von Entwicklern (Hinweis: Sie brauchen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Coole Belohnungen haben, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
Warum erzielt ein Schulungsprogramm für die Sicherheit von Entwickleranwendungen bessere Ergebnisse als ein anderes?
In meinen mehr als 10 Jahren als SANS-Trainer und den letzten drei Jahren, in denen ich Secure Code Warrior (SCW) gegründet und aufgebaut habe, habe ich gesehen, wie wertvoll es ist, Zeit und Ressourcen zu investieren, damit Schulungsprogramme die besten Ergebnisse erzielen.
In unserem ersten Verkaufsjahr hat unser Unternehmen mehr als 10.000 Entwickler an Schulungen zu sicherem Code teilhaben lassen, und ich habe eine Reihe von Trends bei denjenigen festgestellt, die das Programm am effektivsten eingeführt haben. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hohe Rentabilität des Programms, da Sicherheitsschwächen früher erkannt werden, bevor sie teuer werden.
Ich gebe es ungern zu, aber es gab auch einige, die den "Low-Effort"-Ansatz wählten und versuchten, ein Programm auszurollen, indem sie eine E-Mail mit einem Link zum Training schickten. Es ist nicht überraschend, dass das nicht so gut funktioniert und wir mussten diese Roll-outs korrigieren.
Im Folgenden teile ich fünf wichtige Erkenntnisse mit, die das Engagement, die Wirkung und den Erfolg jedes Sicherheitstrainingsprogramms für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Auftakt, wenn Sie wollen, dass Ihr Programm Wirkung zeigt
Ein spezielles Kick-Off-Tag-Event zu veranstalten oder Ihrem Programm ein Film-/Geek-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied für den Grad der Aufregung und der Teilnahme machen. Einer unserer großen Kunden hat ein ganzes Fantasieprogramm rund um eine beliebte Fernsehserie erstellt, mit T-Shirts, Ansteckern und Aufklebern, die das gesamte Trainingsprogramm zu einem Erlebnis machen, das kein Entwickler verpassen möchte. Ein anderer hat seine Veranstaltung rund um Star Wars thematisiert, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern, an Bord zu kommen, und sorgt dafür, dass sich die kurzen Trainingseinheiten für Entwickler mit sicheren Code-Fähigkeiten wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Meilenstein Nr. 1 ist erreicht, wir haben ihre Aufmerksamkeit und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Champion für die Sicherheitsschulung von Entwicklern (Hinweis: Sie brauchen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
Die richtigen Sicherheits-Champions in jedem Scrum-Team zu finden, ist entscheidend für den anhaltenden Programmerfolg, besonders in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklungsexperten über ausgeprägte menschliche und/oder kommunikative Fähigkeiten. Die besten Sicherheits-Champions, die Ihrem Programm eine positive, anhaltende Wirkung verleihen, sind diejenigen, die sich leidenschaftlich für Sicherheit engagieren und über ausgeprägte Menschenkenntnis, Einflussnahme und Kommunikationsfähigkeiten verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeiten.
3. Coole Belohnungen haben, die Fähigkeiten anerkennen
Im Allgemeinen mag es jeder Computerfreak " einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt zu werden. Wenn Sie sie mit speziellen Statusaufklebern, geekigen Gadgets, besonderen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie diese mit Stolz tragen oder zur Schau stellen. Wenn jemand etwas Bedeutendes im Trainingsprogramm erreicht, ist es wichtig, sich Möglichkeiten zu überlegen, ihm Anerkennung und Aufmerksamkeit zu geben. Ich habe eine großartige Initiative bei einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior Champions machte und sie zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens in der Mitarbeiterzeitung veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Auch wenn Sie Ihre Entwickler zur "ersten Verteidigungslinie" in Ihrem Sicherheitsprogramm machen wollen, indem Sie ihnen helfen, sicher zu programmieren, bedeutet das nicht, dass sie die detailliertesten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen ständig neue Sicherheitslücken und Beispiele für Datenverletzungen vorsetzen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel ist es oft, ein großartiges Produkt oder eine Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfrachten, laufen Sie Gefahr, ihn zu desinteressieren. Die wichtigsten Lektionen, die wir gelernt haben, sind, dass sie grundlegende Sicherheitshygiene verstehen müssen und dass wir sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht die Schulung, sondern die Wirkung
Messen Sie nicht, wie viele Stunden Training Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, sondern die Anzahl der Schwachstellen, die im Entwicklungslebenszyklus durch Code-Analyse, Bug-Bounties oder klassische Schwachstellen-Tests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Trainingsprogramm funktioniert, wird die Anzahl der gefundenen Schwachstellen sinken. Die zweite Sache, die Sie messen sollten, ist die Zeit, die es braucht, um eine Schwachstelle zu beheben. Wenn ein Entwickler einen Monat braucht, um die Schwachstelle zu beheben, zeigt das deutlich, dass er nicht versteht, wie man es macht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Metriken, die clevere Unternehmen einsetzen, um die Wirkung ihrer Entwicklerschulungen zur sicheren Codierung zu messen.
5 wichtige Lektionen, wie man ein effektives Sicherheitstraining für Entwickler einführt:
- Bringen Sie etwas Spaß in den Auftakt, wenn Sie wollen, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für die Sicherheitsschulung von Entwicklern (Hinweis: Sie brauchen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Coole Belohnungen haben, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Warum erzielt ein Schulungsprogramm für die Sicherheit von Entwickleranwendungen bessere Ergebnisse als ein anderes?
In meinen mehr als 10 Jahren als SANS-Trainer und den letzten drei Jahren, in denen ich Secure Code Warrior (SCW) gegründet und aufgebaut habe, habe ich gesehen, wie wertvoll es ist, Zeit und Ressourcen zu investieren, damit Schulungsprogramme die besten Ergebnisse erzielen.
In unserem ersten Verkaufsjahr hat unser Unternehmen mehr als 10.000 Entwickler an Schulungen zu sicherem Code teilhaben lassen, und ich habe eine Reihe von Trends bei denjenigen festgestellt, die das Programm am effektivsten eingeführt haben. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hohe Rentabilität des Programms, da Sicherheitsschwächen früher erkannt werden, bevor sie teuer werden.
Ich gebe es ungern zu, aber es gab auch einige, die den "Low-Effort"-Ansatz wählten und versuchten, ein Programm auszurollen, indem sie eine E-Mail mit einem Link zum Training schickten. Es ist nicht überraschend, dass das nicht so gut funktioniert und wir mussten diese Roll-outs korrigieren.
Im Folgenden teile ich fünf wichtige Erkenntnisse mit, die das Engagement, die Wirkung und den Erfolg jedes Sicherheitstrainingsprogramms für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Auftakt, wenn Sie wollen, dass Ihr Programm Wirkung zeigt
Ein spezielles Kick-Off-Tag-Event zu veranstalten oder Ihrem Programm ein Film-/Geek-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied für den Grad der Aufregung und der Teilnahme machen. Einer unserer großen Kunden hat ein ganzes Fantasieprogramm rund um eine beliebte Fernsehserie erstellt, mit T-Shirts, Ansteckern und Aufklebern, die das gesamte Trainingsprogramm zu einem Erlebnis machen, das kein Entwickler verpassen möchte. Ein anderer hat seine Veranstaltung rund um Star Wars thematisiert, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern, an Bord zu kommen, und sorgt dafür, dass sich die kurzen Trainingseinheiten für Entwickler mit sicheren Code-Fähigkeiten wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Meilenstein Nr. 1 ist erreicht, wir haben ihre Aufmerksamkeit und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Champion für die Sicherheitsschulung von Entwicklern (Hinweis: Sie brauchen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
Die richtigen Sicherheits-Champions in jedem Scrum-Team zu finden, ist entscheidend für den anhaltenden Programmerfolg, besonders in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklungsexperten über ausgeprägte menschliche und/oder kommunikative Fähigkeiten. Die besten Sicherheits-Champions, die Ihrem Programm eine positive, anhaltende Wirkung verleihen, sind diejenigen, die sich leidenschaftlich für Sicherheit engagieren und über ausgeprägte Menschenkenntnis, Einflussnahme und Kommunikationsfähigkeiten verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeiten.
3. Coole Belohnungen haben, die Fähigkeiten anerkennen
Im Allgemeinen mag es jeder Computerfreak " einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt zu werden. Wenn Sie sie mit speziellen Statusaufklebern, geekigen Gadgets, besonderen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie diese mit Stolz tragen oder zur Schau stellen. Wenn jemand etwas Bedeutendes im Trainingsprogramm erreicht, ist es wichtig, sich Möglichkeiten zu überlegen, ihm Anerkennung und Aufmerksamkeit zu geben. Ich habe eine großartige Initiative bei einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior Champions machte und sie zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens in der Mitarbeiterzeitung veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Auch wenn Sie Ihre Entwickler zur "ersten Verteidigungslinie" in Ihrem Sicherheitsprogramm machen wollen, indem Sie ihnen helfen, sicher zu programmieren, bedeutet das nicht, dass sie die detailliertesten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen ständig neue Sicherheitslücken und Beispiele für Datenverletzungen vorsetzen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel ist es oft, ein großartiges Produkt oder eine Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfrachten, laufen Sie Gefahr, ihn zu desinteressieren. Die wichtigsten Lektionen, die wir gelernt haben, sind, dass sie grundlegende Sicherheitshygiene verstehen müssen und dass wir sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht die Schulung, sondern die Wirkung
Messen Sie nicht, wie viele Stunden Training Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, sondern die Anzahl der Schwachstellen, die im Entwicklungslebenszyklus durch Code-Analyse, Bug-Bounties oder klassische Schwachstellen-Tests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Trainingsprogramm funktioniert, wird die Anzahl der gefundenen Schwachstellen sinken. Die zweite Sache, die Sie messen sollten, ist die Zeit, die es braucht, um eine Schwachstelle zu beheben. Wenn ein Entwickler einen Monat braucht, um die Schwachstelle zu beheben, zeigt das deutlich, dass er nicht versteht, wie man es macht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Metriken, die clevere Unternehmen einsetzen, um die Wirkung ihrer Entwicklerschulungen zur sicheren Codierung zu messen.
5 wichtige Lektionen, wie man ein effektives Sicherheitstraining für Entwickler einführt:
- Bringen Sie etwas Spaß in den Auftakt, wenn Sie wollen, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für die Sicherheitsschulung von Entwicklern (Hinweis: Sie brauchen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Coole Belohnungen haben, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.
Vertiefung: Navigieren durch die kritische CUPS-Schwachstelle in GNU-Linux-Systemen
Entdecken Sie die neuesten Sicherheitsprobleme, mit denen Linux-Benutzer konfrontiert sind, indem wir die jüngsten hochgradigen Sicherheitslücken im Common UNIX Printing System (CUPS) untersuchen. Erfahren Sie, wie diese Probleme zu einer möglichen Remote Code Execution (RCE) führen können und was Sie tun können, um Ihre Systeme zu schützen.