Wie ein "Spiel der Codes" die IAG-Gruppe in eine sicherere Zukunft der Codierung führt
Die IAG Group steht hinter vielen der führenden Versicherungsunternehmen im asiatisch-pazifischen Raum und zeichnet Policen für Millionen von Kunden mit einem jährlichen Prämienvolumen von rund 11,4 Mrd. AUD. Bianca Wirth ist die Corporate Security Education & AwarenessManagerin der IAG Group. Sie war sich der Notwendigkeit eines ausgeprägten Sicherheitsbewusstseins und -praktiken innerhalb des Entwicklungsteams bewusst und machte sich daran, ein wirklich innovatives, optimales Umfeld zu schaffen, in dem das Team wichtige sichere Codierungstechniken erlernen konnte.
ENTER: Spiel der Codes
Die Herausforderung
Entwickler stehen oft unter Zeitdruck, da sie eine Vielzahl von Aufgaben und Projekten zu bewältigen haben. Dennoch ist es für jedes Unternehmen von größter Bedeutung, sich über die besten Sicherheitsverfahren auf dem Laufenden zu halten, ganz zu schweigen von einem Unternehmen, das Millionen von sensiblen Kundendatenprofilen vor Hackern schützen muss. Bianca und ihr Team setzten sich klare Ziele auf dem Weg, ihre Cybersicherheitsinitiativen robuster zu machen. Sie legten fest, dass die Minimierung der Angriffsfläche in den vonIAG entwickelten Anwendungen oberste Priorität hat und dass sie dies durch die Schulung von Entwicklern erreichen wollen, um kritische und risikoreiche Schwachstellen zu identifizieren und zu beheben. Langwierige Schulungen zur sicheren Programmierung courses gibt es zwar, aber sie können mühsam und langwierig sein und wichtige Mitarbeiter von Entwicklungsprojekten mit strengen Lieferfristen ablenken, was im gesamten Unternehmen Druck erzeugt. Die Notwendigkeit, das Entwicklungsteam schnell und mit minimalen Auswirkungen auf die Arbeitsbelastung und den Betrieb zu schulen, wurde offensichtlich. Und mit Entwicklern in Australien und Neuseeland, die an unterschiedlichen Systemen arbeiteten, war dies keine leichte Aufgabe.
"Dieses Jahr habe ich eine Änderung an unserem Quellcode vorgenommen, die eine SQL-Injection-Schwachstelle beseitigt hat. Dass sie das erkannt haben, verdanke ich Game of Codes. Es ist schon hilfreich, wenn man sich die sichere Programmierung vor Augen hält. Der Wettbewerb ist eine gute Möglichkeit, die Leute dazu zu bringen, ihr Bestes zu geben... denn seien wir mal ehrlich, Sicherheit ist nicht jedermanns Lieblingsthema, also ist dies eine gute Möglichkeit, die Leute zu motivieren." R, IAG-Entwickler
Die Umsetzung
Bianca entwickelte eine Strategie für die Einführung einer spielerischen Schulungserfahrung und arbeitete mit ihrem Team und Secure Code Warrior an der Umsetzung von tournaments und Schulungen zur Förderung der Fähigkeiten der internen Entwickler. Dabei war es wichtig, eine solide Kommunikationsstrategie zu entwickeln und auf die unterschiedlichen Motivationen und Persönlichkeiten der Mitarbeiter einzugehen, die eine völlig neue Plattform annehmen und ihr volles Potenzial nutzen wollen:
"Wir haben einen Kommunikationsplan entwickelt, der festlegt, wie wir den Mitarbeitern und den wichtigsten Stakeholdern die wichtigsten Punkte und Botschaften vermitteln und welche Anreize wir ihnen bieten, damit sie auch darauf reagieren. Die meisten Menschen genießen die spielerische Erfahrung wirklich. Es hängt nur von ihrer Persönlichkeit, ihrer Motivation und ihrem Antrieb ab. Deshalb versuchen wir, eine ganze Reihe von Motivationen der Menschen zu berücksichtigen. Manche lieben die Preise, für andere ist der Leistungsaspekt an sich schon ein wichtiger Faktor" , sagte sie.
Bianca und IAG präsentierten fachkundig Secure Code Warrior's gamified learning platform und verwandelten ihr tournament in ein unterhaltsames Wettkampferlebnis, das als 'Game of Codes' angekündigt wurde, mit Mitarbeitern, die in mittelalterlich gestalteten Häusern (komplett mit gebrandeten Spielerartikeln) platziert wurden und in einem Kampf gegeneinander antraten, der seinem HBO-produzierten Namensvetter würdig war.
Die Website tournament wurde sogar auf die internationale Bühne gehoben, wo demnächst ein Spiel zwischen Australien und Neuseeland stattfinden wird. Dies gibt IAG die Möglichkeit, die führenden Sicherheitschampions in beiden Ländern zu identifizieren und sicherzustellen, dass die Teams sich gemeinsam weiterbilden.
Das Ergebnis
Game of Codes ist in der Tat ein spezielles Schulungsprogramm. Seine Einführung als interaktives, unterhaltsames tournament sorgte dafür, dass die Mitarbeiter auf vielfältige Weise eingebunden wurden, aber der praktische Kern der Übung blieb bestehen: Entwicklern die Fähigkeiten zu vermitteln, die erforderlich sind, um hochriskante Schwachstellen in von der IAG entwickelten Anwendungen zu erkennen und zu umgehen.
Indem sichergestellt wird, dass sowohl die Entwickler als auch die Sicherheitsteams mit einer auf Sicherheit ausgerichteten Denkweise arbeiten und in der Lage sind, Schwachstellen nicht nur zu erkennen, sondern auch von Anfang an zu beheben, erwartet IAG eine Verringerung der kostspieligen Penetrationstests und der Belastung des Teams, das sie durchführt.
Neben der Weiterentwicklung dieser wichtigen Kompetenz trug Game of Codes auch zum Aufbau von Beziehungen bei, indem es ein Gefühl der Kameradschaft und des freundschaftlichen Wettstreits zwischen den beteiligten Teams vermittelte und gleichzeitig dazu beitrug, dass die einzelnen Teilnehmer mehr Vertrauen in ihre sicheren Programmierfähigkeiten bekamen, wenn sie diese in einer punktebasierten tournament Umgebung messen konnten.
Bianca erklärte, dass die interne Unterstützung für das Programm immens war und von der Führungsetage positiv aufgenommen wurde. Dies führte auch zu einem Botschafterprogramm, an dem sich Personen beteiligen konnten, die das Programm fördern und sich für die Sicherheit innerhalb des Unternehmens einsetzen wollten:
"Für einige Entwickler war es eine fantastische Erfahrung und eine hervorragende Förderung ihrer Fähigkeiten. Sie profitieren davon auch bei ihrer eigenen Arbeit, was sehr wichtig ist.
Game of Codes ist bei weitem nicht nur ein Spiel" oder eine angenehme Art und Weise für Abteilungsleiter, sich durch Compliance-Schulungen zu quälen. Game of Codes ist eine ansprechende Lösung, die Sicherheitsneulinge schnell zu Sicherheitsvorreitern macht, was für die Minimierung des Risikos eines groß angelegten Verstoßes von entscheidender Bedeutung ist.
Und der ultimative Rat, von Bianca selbst:
"Wenn man ein Programm einführt und erwartet, dass die Leute es einfach nutzen, wird es nicht funktionieren. Man muss ein Programm entwerfen, mit dem man Verhaltensänderungen initiiert und motiviert. Was wir aufgebaut haben, war im Wesentlichen ein Programm für das Änderungsmanagement von Entwicklern, das sich auf die Sicherheit konzentriert."
"Ich bin ein Senior Tester in einem agilen Team und diese Schulungen haben mich motiviert, mehr über Sicherheitstests zu lernen und sie als eine mögliche Spezialisierung zu betrachten." A, IAG Senior Tester
FAST FACTS
- Neben dem spielerischen Lernen nutzt IAG Secure Code Warrior auch als Tool zum Testen von Fähigkeiten bei der Einstellung von Entwicklern.
- Das Unternehmen ist dabei, das Programm auf 100 % seines Entwicklungsteams auszuweiten, wobei 55 % bereits aktiv am System teilnehmen.
- Sie haben eine Reihe wichtiger interner Messgrößen entwickelt, die es ihnen ermöglichen, den Erfolg des Programms bei der Risikominimierung und Kostensenkung im Laufe der Zeit zu messen.
Die IAG Group ist der Name hinter vielen der führenden Versicherungs führenden Versicherungsunternehmen im asiatisch-pazifischen Raum, die Policen für Millionen von Kunden mit einem jährlichen Prämienvolumen von ca. 11,4 Mrd. AUD an Prämien pro Jahr.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Die IAG Group steht hinter vielen der führenden Versicherungsunternehmen im asiatisch-pazifischen Raum und zeichnet Policen für Millionen von Kunden mit einem jährlichen Prämienvolumen von rund 11,4 Mrd. AUD. Bianca Wirth ist die Corporate Security Education & AwarenessManagerin der IAG Group. Sie war sich der Notwendigkeit eines ausgeprägten Sicherheitsbewusstseins und -praktiken innerhalb des Entwicklungsteams bewusst und machte sich daran, ein wirklich innovatives, optimales Umfeld zu schaffen, in dem das Team wichtige sichere Codierungstechniken erlernen konnte.
ENTER: Spiel der Codes
Die Herausforderung
Entwickler stehen oft unter Zeitdruck, da sie eine Vielzahl von Aufgaben und Projekten zu bewältigen haben. Dennoch ist es für jedes Unternehmen von größter Bedeutung, sich über die besten Sicherheitsverfahren auf dem Laufenden zu halten, ganz zu schweigen von einem Unternehmen, das Millionen von sensiblen Kundendatenprofilen vor Hackern schützen muss. Bianca und ihr Team setzten sich klare Ziele auf dem Weg, ihre Cybersicherheitsinitiativen robuster zu machen. Sie legten fest, dass die Minimierung der Angriffsfläche in den vonIAG entwickelten Anwendungen oberste Priorität hat und dass sie dies durch die Schulung von Entwicklern erreichen wollen, um kritische und risikoreiche Schwachstellen zu identifizieren und zu beheben. Langwierige Schulungen zur sicheren Programmierung courses gibt es zwar, aber sie können mühsam und langwierig sein und wichtige Mitarbeiter von Entwicklungsprojekten mit strengen Lieferfristen ablenken, was im gesamten Unternehmen Druck erzeugt. Die Notwendigkeit, das Entwicklungsteam schnell und mit minimalen Auswirkungen auf die Arbeitsbelastung und den Betrieb zu schulen, wurde offensichtlich. Und mit Entwicklern in Australien und Neuseeland, die an unterschiedlichen Systemen arbeiteten, war dies keine leichte Aufgabe.
"Dieses Jahr habe ich eine Änderung an unserem Quellcode vorgenommen, die eine SQL-Injection-Schwachstelle beseitigt hat. Dass sie das erkannt haben, verdanke ich Game of Codes. Es ist schon hilfreich, wenn man sich die sichere Programmierung vor Augen hält. Der Wettbewerb ist eine gute Möglichkeit, die Leute dazu zu bringen, ihr Bestes zu geben... denn seien wir mal ehrlich, Sicherheit ist nicht jedermanns Lieblingsthema, also ist dies eine gute Möglichkeit, die Leute zu motivieren." R, IAG-Entwickler
Die Umsetzung
Bianca entwickelte eine Strategie für die Einführung einer spielerischen Schulungserfahrung und arbeitete mit ihrem Team und Secure Code Warrior an der Umsetzung von tournaments und Schulungen zur Förderung der Fähigkeiten der internen Entwickler. Dabei war es wichtig, eine solide Kommunikationsstrategie zu entwickeln und auf die unterschiedlichen Motivationen und Persönlichkeiten der Mitarbeiter einzugehen, die eine völlig neue Plattform annehmen und ihr volles Potenzial nutzen wollen:
"Wir haben einen Kommunikationsplan entwickelt, der festlegt, wie wir den Mitarbeitern und den wichtigsten Stakeholdern die wichtigsten Punkte und Botschaften vermitteln und welche Anreize wir ihnen bieten, damit sie auch darauf reagieren. Die meisten Menschen genießen die spielerische Erfahrung wirklich. Es hängt nur von ihrer Persönlichkeit, ihrer Motivation und ihrem Antrieb ab. Deshalb versuchen wir, eine ganze Reihe von Motivationen der Menschen zu berücksichtigen. Manche lieben die Preise, für andere ist der Leistungsaspekt an sich schon ein wichtiger Faktor" , sagte sie.
Bianca und IAG präsentierten fachkundig Secure Code Warrior's gamified learning platform und verwandelten ihr tournament in ein unterhaltsames Wettkampferlebnis, das als 'Game of Codes' angekündigt wurde, mit Mitarbeitern, die in mittelalterlich gestalteten Häusern (komplett mit gebrandeten Spielerartikeln) platziert wurden und in einem Kampf gegeneinander antraten, der seinem HBO-produzierten Namensvetter würdig war.
Die Website tournament wurde sogar auf die internationale Bühne gehoben, wo demnächst ein Spiel zwischen Australien und Neuseeland stattfinden wird. Dies gibt IAG die Möglichkeit, die führenden Sicherheitschampions in beiden Ländern zu identifizieren und sicherzustellen, dass die Teams sich gemeinsam weiterbilden.
Das Ergebnis
Game of Codes ist in der Tat ein spezielles Schulungsprogramm. Seine Einführung als interaktives, unterhaltsames tournament sorgte dafür, dass die Mitarbeiter auf vielfältige Weise eingebunden wurden, aber der praktische Kern der Übung blieb bestehen: Entwicklern die Fähigkeiten zu vermitteln, die erforderlich sind, um hochriskante Schwachstellen in von der IAG entwickelten Anwendungen zu erkennen und zu umgehen.
Indem sichergestellt wird, dass sowohl die Entwickler als auch die Sicherheitsteams mit einer auf Sicherheit ausgerichteten Denkweise arbeiten und in der Lage sind, Schwachstellen nicht nur zu erkennen, sondern auch von Anfang an zu beheben, erwartet IAG eine Verringerung der kostspieligen Penetrationstests und der Belastung des Teams, das sie durchführt.
Neben der Weiterentwicklung dieser wichtigen Kompetenz trug Game of Codes auch zum Aufbau von Beziehungen bei, indem es ein Gefühl der Kameradschaft und des freundschaftlichen Wettstreits zwischen den beteiligten Teams vermittelte und gleichzeitig dazu beitrug, dass die einzelnen Teilnehmer mehr Vertrauen in ihre sicheren Programmierfähigkeiten bekamen, wenn sie diese in einer punktebasierten tournament Umgebung messen konnten.
Bianca erklärte, dass die interne Unterstützung für das Programm immens war und von der Führungsetage positiv aufgenommen wurde. Dies führte auch zu einem Botschafterprogramm, an dem sich Personen beteiligen konnten, die das Programm fördern und sich für die Sicherheit innerhalb des Unternehmens einsetzen wollten:
"Für einige Entwickler war es eine fantastische Erfahrung und eine hervorragende Förderung ihrer Fähigkeiten. Sie profitieren davon auch bei ihrer eigenen Arbeit, was sehr wichtig ist.
Game of Codes ist bei weitem nicht nur ein Spiel" oder eine angenehme Art und Weise für Abteilungsleiter, sich durch Compliance-Schulungen zu quälen. Game of Codes ist eine ansprechende Lösung, die Sicherheitsneulinge schnell zu Sicherheitsvorreitern macht, was für die Minimierung des Risikos eines groß angelegten Verstoßes von entscheidender Bedeutung ist.
Und der ultimative Rat, von Bianca selbst:
"Wenn man ein Programm einführt und erwartet, dass die Leute es einfach nutzen, wird es nicht funktionieren. Man muss ein Programm entwerfen, mit dem man Verhaltensänderungen initiiert und motiviert. Was wir aufgebaut haben, war im Wesentlichen ein Programm für das Änderungsmanagement von Entwicklern, das sich auf die Sicherheit konzentriert."
"Ich bin ein Senior Tester in einem agilen Team und diese Schulungen haben mich motiviert, mehr über Sicherheitstests zu lernen und sie als eine mögliche Spezialisierung zu betrachten." A, IAG Senior Tester
FAST FACTS
- Neben dem spielerischen Lernen nutzt IAG Secure Code Warrior auch als Tool zum Testen von Fähigkeiten bei der Einstellung von Entwicklern.
- Das Unternehmen ist dabei, das Programm auf 100 % seines Entwicklungsteams auszuweiten, wobei 55 % bereits aktiv am System teilnehmen.
- Sie haben eine Reihe wichtiger interner Messgrößen entwickelt, die es ihnen ermöglichen, den Erfolg des Programms bei der Risikominimierung und Kostensenkung im Laufe der Zeit zu messen.
Die IAG Group steht hinter vielen der führenden Versicherungsunternehmen im asiatisch-pazifischen Raum und zeichnet Policen für Millionen von Kunden mit einem jährlichen Prämienvolumen von rund 11,4 Mrd. AUD. Bianca Wirth ist die Corporate Security Education & AwarenessManagerin der IAG Group. Sie war sich der Notwendigkeit eines ausgeprägten Sicherheitsbewusstseins und -praktiken innerhalb des Entwicklungsteams bewusst und machte sich daran, ein wirklich innovatives, optimales Umfeld zu schaffen, in dem das Team wichtige sichere Codierungstechniken erlernen konnte.
ENTER: Spiel der Codes
Die Herausforderung
Entwickler stehen oft unter Zeitdruck, da sie eine Vielzahl von Aufgaben und Projekten zu bewältigen haben. Dennoch ist es für jedes Unternehmen von größter Bedeutung, sich über die besten Sicherheitsverfahren auf dem Laufenden zu halten, ganz zu schweigen von einem Unternehmen, das Millionen von sensiblen Kundendatenprofilen vor Hackern schützen muss. Bianca und ihr Team setzten sich klare Ziele auf dem Weg, ihre Cybersicherheitsinitiativen robuster zu machen. Sie legten fest, dass die Minimierung der Angriffsfläche in den vonIAG entwickelten Anwendungen oberste Priorität hat und dass sie dies durch die Schulung von Entwicklern erreichen wollen, um kritische und risikoreiche Schwachstellen zu identifizieren und zu beheben. Langwierige Schulungen zur sicheren Programmierung courses gibt es zwar, aber sie können mühsam und langwierig sein und wichtige Mitarbeiter von Entwicklungsprojekten mit strengen Lieferfristen ablenken, was im gesamten Unternehmen Druck erzeugt. Die Notwendigkeit, das Entwicklungsteam schnell und mit minimalen Auswirkungen auf die Arbeitsbelastung und den Betrieb zu schulen, wurde offensichtlich. Und mit Entwicklern in Australien und Neuseeland, die an unterschiedlichen Systemen arbeiteten, war dies keine leichte Aufgabe.
"Dieses Jahr habe ich eine Änderung an unserem Quellcode vorgenommen, die eine SQL-Injection-Schwachstelle beseitigt hat. Dass sie das erkannt haben, verdanke ich Game of Codes. Es ist schon hilfreich, wenn man sich die sichere Programmierung vor Augen hält. Der Wettbewerb ist eine gute Möglichkeit, die Leute dazu zu bringen, ihr Bestes zu geben... denn seien wir mal ehrlich, Sicherheit ist nicht jedermanns Lieblingsthema, also ist dies eine gute Möglichkeit, die Leute zu motivieren." R, IAG-Entwickler
Die Umsetzung
Bianca entwickelte eine Strategie für die Einführung einer spielerischen Schulungserfahrung und arbeitete mit ihrem Team und Secure Code Warrior an der Umsetzung von tournaments und Schulungen zur Förderung der Fähigkeiten der internen Entwickler. Dabei war es wichtig, eine solide Kommunikationsstrategie zu entwickeln und auf die unterschiedlichen Motivationen und Persönlichkeiten der Mitarbeiter einzugehen, die eine völlig neue Plattform annehmen und ihr volles Potenzial nutzen wollen:
"Wir haben einen Kommunikationsplan entwickelt, der festlegt, wie wir den Mitarbeitern und den wichtigsten Stakeholdern die wichtigsten Punkte und Botschaften vermitteln und welche Anreize wir ihnen bieten, damit sie auch darauf reagieren. Die meisten Menschen genießen die spielerische Erfahrung wirklich. Es hängt nur von ihrer Persönlichkeit, ihrer Motivation und ihrem Antrieb ab. Deshalb versuchen wir, eine ganze Reihe von Motivationen der Menschen zu berücksichtigen. Manche lieben die Preise, für andere ist der Leistungsaspekt an sich schon ein wichtiger Faktor" , sagte sie.
Bianca und IAG präsentierten fachkundig Secure Code Warrior's gamified learning platform und verwandelten ihr tournament in ein unterhaltsames Wettkampferlebnis, das als 'Game of Codes' angekündigt wurde, mit Mitarbeitern, die in mittelalterlich gestalteten Häusern (komplett mit gebrandeten Spielerartikeln) platziert wurden und in einem Kampf gegeneinander antraten, der seinem HBO-produzierten Namensvetter würdig war.
Die Website tournament wurde sogar auf die internationale Bühne gehoben, wo demnächst ein Spiel zwischen Australien und Neuseeland stattfinden wird. Dies gibt IAG die Möglichkeit, die führenden Sicherheitschampions in beiden Ländern zu identifizieren und sicherzustellen, dass die Teams sich gemeinsam weiterbilden.
Das Ergebnis
Game of Codes ist in der Tat ein spezielles Schulungsprogramm. Seine Einführung als interaktives, unterhaltsames tournament sorgte dafür, dass die Mitarbeiter auf vielfältige Weise eingebunden wurden, aber der praktische Kern der Übung blieb bestehen: Entwicklern die Fähigkeiten zu vermitteln, die erforderlich sind, um hochriskante Schwachstellen in von der IAG entwickelten Anwendungen zu erkennen und zu umgehen.
Indem sichergestellt wird, dass sowohl die Entwickler als auch die Sicherheitsteams mit einer auf Sicherheit ausgerichteten Denkweise arbeiten und in der Lage sind, Schwachstellen nicht nur zu erkennen, sondern auch von Anfang an zu beheben, erwartet IAG eine Verringerung der kostspieligen Penetrationstests und der Belastung des Teams, das sie durchführt.
Neben der Weiterentwicklung dieser wichtigen Kompetenz trug Game of Codes auch zum Aufbau von Beziehungen bei, indem es ein Gefühl der Kameradschaft und des freundschaftlichen Wettstreits zwischen den beteiligten Teams vermittelte und gleichzeitig dazu beitrug, dass die einzelnen Teilnehmer mehr Vertrauen in ihre sicheren Programmierfähigkeiten bekamen, wenn sie diese in einer punktebasierten tournament Umgebung messen konnten.
Bianca erklärte, dass die interne Unterstützung für das Programm immens war und von der Führungsetage positiv aufgenommen wurde. Dies führte auch zu einem Botschafterprogramm, an dem sich Personen beteiligen konnten, die das Programm fördern und sich für die Sicherheit innerhalb des Unternehmens einsetzen wollten:
"Für einige Entwickler war es eine fantastische Erfahrung und eine hervorragende Förderung ihrer Fähigkeiten. Sie profitieren davon auch bei ihrer eigenen Arbeit, was sehr wichtig ist.
Game of Codes ist bei weitem nicht nur ein Spiel" oder eine angenehme Art und Weise für Abteilungsleiter, sich durch Compliance-Schulungen zu quälen. Game of Codes ist eine ansprechende Lösung, die Sicherheitsneulinge schnell zu Sicherheitsvorreitern macht, was für die Minimierung des Risikos eines groß angelegten Verstoßes von entscheidender Bedeutung ist.
Und der ultimative Rat, von Bianca selbst:
"Wenn man ein Programm einführt und erwartet, dass die Leute es einfach nutzen, wird es nicht funktionieren. Man muss ein Programm entwerfen, mit dem man Verhaltensänderungen initiiert und motiviert. Was wir aufgebaut haben, war im Wesentlichen ein Programm für das Änderungsmanagement von Entwicklern, das sich auf die Sicherheit konzentriert."
"Ich bin ein Senior Tester in einem agilen Team und diese Schulungen haben mich motiviert, mehr über Sicherheitstests zu lernen und sie als eine mögliche Spezialisierung zu betrachten." A, IAG Senior Tester
FAST FACTS
- Neben dem spielerischen Lernen nutzt IAG Secure Code Warrior auch als Tool zum Testen von Fähigkeiten bei der Einstellung von Entwicklern.
- Das Unternehmen ist dabei, das Programm auf 100 % seines Entwicklungsteams auszuweiten, wobei 55 % bereits aktiv am System teilnehmen.
- Sie haben eine Reihe wichtiger interner Messgrößen entwickelt, die es ihnen ermöglichen, den Erfolg des Programms bei der Risikominimierung und Kostensenkung im Laufe der Zeit zu messen.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Die IAG Group steht hinter vielen der führenden Versicherungsunternehmen im asiatisch-pazifischen Raum und zeichnet Policen für Millionen von Kunden mit einem jährlichen Prämienvolumen von rund 11,4 Mrd. AUD. Bianca Wirth ist die Corporate Security Education & AwarenessManagerin der IAG Group. Sie war sich der Notwendigkeit eines ausgeprägten Sicherheitsbewusstseins und -praktiken innerhalb des Entwicklungsteams bewusst und machte sich daran, ein wirklich innovatives, optimales Umfeld zu schaffen, in dem das Team wichtige sichere Codierungstechniken erlernen konnte.
ENTER: Spiel der Codes
Die Herausforderung
Entwickler stehen oft unter Zeitdruck, da sie eine Vielzahl von Aufgaben und Projekten zu bewältigen haben. Dennoch ist es für jedes Unternehmen von größter Bedeutung, sich über die besten Sicherheitsverfahren auf dem Laufenden zu halten, ganz zu schweigen von einem Unternehmen, das Millionen von sensiblen Kundendatenprofilen vor Hackern schützen muss. Bianca und ihr Team setzten sich klare Ziele auf dem Weg, ihre Cybersicherheitsinitiativen robuster zu machen. Sie legten fest, dass die Minimierung der Angriffsfläche in den vonIAG entwickelten Anwendungen oberste Priorität hat und dass sie dies durch die Schulung von Entwicklern erreichen wollen, um kritische und risikoreiche Schwachstellen zu identifizieren und zu beheben. Langwierige Schulungen zur sicheren Programmierung courses gibt es zwar, aber sie können mühsam und langwierig sein und wichtige Mitarbeiter von Entwicklungsprojekten mit strengen Lieferfristen ablenken, was im gesamten Unternehmen Druck erzeugt. Die Notwendigkeit, das Entwicklungsteam schnell und mit minimalen Auswirkungen auf die Arbeitsbelastung und den Betrieb zu schulen, wurde offensichtlich. Und mit Entwicklern in Australien und Neuseeland, die an unterschiedlichen Systemen arbeiteten, war dies keine leichte Aufgabe.
"Dieses Jahr habe ich eine Änderung an unserem Quellcode vorgenommen, die eine SQL-Injection-Schwachstelle beseitigt hat. Dass sie das erkannt haben, verdanke ich Game of Codes. Es ist schon hilfreich, wenn man sich die sichere Programmierung vor Augen hält. Der Wettbewerb ist eine gute Möglichkeit, die Leute dazu zu bringen, ihr Bestes zu geben... denn seien wir mal ehrlich, Sicherheit ist nicht jedermanns Lieblingsthema, also ist dies eine gute Möglichkeit, die Leute zu motivieren." R, IAG-Entwickler
Die Umsetzung
Bianca entwickelte eine Strategie für die Einführung einer spielerischen Schulungserfahrung und arbeitete mit ihrem Team und Secure Code Warrior an der Umsetzung von tournaments und Schulungen zur Förderung der Fähigkeiten der internen Entwickler. Dabei war es wichtig, eine solide Kommunikationsstrategie zu entwickeln und auf die unterschiedlichen Motivationen und Persönlichkeiten der Mitarbeiter einzugehen, die eine völlig neue Plattform annehmen und ihr volles Potenzial nutzen wollen:
"Wir haben einen Kommunikationsplan entwickelt, der festlegt, wie wir den Mitarbeitern und den wichtigsten Stakeholdern die wichtigsten Punkte und Botschaften vermitteln und welche Anreize wir ihnen bieten, damit sie auch darauf reagieren. Die meisten Menschen genießen die spielerische Erfahrung wirklich. Es hängt nur von ihrer Persönlichkeit, ihrer Motivation und ihrem Antrieb ab. Deshalb versuchen wir, eine ganze Reihe von Motivationen der Menschen zu berücksichtigen. Manche lieben die Preise, für andere ist der Leistungsaspekt an sich schon ein wichtiger Faktor" , sagte sie.
Bianca und IAG präsentierten fachkundig Secure Code Warrior's gamified learning platform und verwandelten ihr tournament in ein unterhaltsames Wettkampferlebnis, das als 'Game of Codes' angekündigt wurde, mit Mitarbeitern, die in mittelalterlich gestalteten Häusern (komplett mit gebrandeten Spielerartikeln) platziert wurden und in einem Kampf gegeneinander antraten, der seinem HBO-produzierten Namensvetter würdig war.
Die Website tournament wurde sogar auf die internationale Bühne gehoben, wo demnächst ein Spiel zwischen Australien und Neuseeland stattfinden wird. Dies gibt IAG die Möglichkeit, die führenden Sicherheitschampions in beiden Ländern zu identifizieren und sicherzustellen, dass die Teams sich gemeinsam weiterbilden.
Das Ergebnis
Game of Codes ist in der Tat ein spezielles Schulungsprogramm. Seine Einführung als interaktives, unterhaltsames tournament sorgte dafür, dass die Mitarbeiter auf vielfältige Weise eingebunden wurden, aber der praktische Kern der Übung blieb bestehen: Entwicklern die Fähigkeiten zu vermitteln, die erforderlich sind, um hochriskante Schwachstellen in von der IAG entwickelten Anwendungen zu erkennen und zu umgehen.
Indem sichergestellt wird, dass sowohl die Entwickler als auch die Sicherheitsteams mit einer auf Sicherheit ausgerichteten Denkweise arbeiten und in der Lage sind, Schwachstellen nicht nur zu erkennen, sondern auch von Anfang an zu beheben, erwartet IAG eine Verringerung der kostspieligen Penetrationstests und der Belastung des Teams, das sie durchführt.
Neben der Weiterentwicklung dieser wichtigen Kompetenz trug Game of Codes auch zum Aufbau von Beziehungen bei, indem es ein Gefühl der Kameradschaft und des freundschaftlichen Wettstreits zwischen den beteiligten Teams vermittelte und gleichzeitig dazu beitrug, dass die einzelnen Teilnehmer mehr Vertrauen in ihre sicheren Programmierfähigkeiten bekamen, wenn sie diese in einer punktebasierten tournament Umgebung messen konnten.
Bianca erklärte, dass die interne Unterstützung für das Programm immens war und von der Führungsetage positiv aufgenommen wurde. Dies führte auch zu einem Botschafterprogramm, an dem sich Personen beteiligen konnten, die das Programm fördern und sich für die Sicherheit innerhalb des Unternehmens einsetzen wollten:
"Für einige Entwickler war es eine fantastische Erfahrung und eine hervorragende Förderung ihrer Fähigkeiten. Sie profitieren davon auch bei ihrer eigenen Arbeit, was sehr wichtig ist.
Game of Codes ist bei weitem nicht nur ein Spiel" oder eine angenehme Art und Weise für Abteilungsleiter, sich durch Compliance-Schulungen zu quälen. Game of Codes ist eine ansprechende Lösung, die Sicherheitsneulinge schnell zu Sicherheitsvorreitern macht, was für die Minimierung des Risikos eines groß angelegten Verstoßes von entscheidender Bedeutung ist.
Und der ultimative Rat, von Bianca selbst:
"Wenn man ein Programm einführt und erwartet, dass die Leute es einfach nutzen, wird es nicht funktionieren. Man muss ein Programm entwerfen, mit dem man Verhaltensänderungen initiiert und motiviert. Was wir aufgebaut haben, war im Wesentlichen ein Programm für das Änderungsmanagement von Entwicklern, das sich auf die Sicherheit konzentriert."
"Ich bin ein Senior Tester in einem agilen Team und diese Schulungen haben mich motiviert, mehr über Sicherheitstests zu lernen und sie als eine mögliche Spezialisierung zu betrachten." A, IAG Senior Tester
FAST FACTS
- Neben dem spielerischen Lernen nutzt IAG Secure Code Warrior auch als Tool zum Testen von Fähigkeiten bei der Einstellung von Entwicklern.
- Das Unternehmen ist dabei, das Programm auf 100 % seines Entwicklungsteams auszuweiten, wobei 55 % bereits aktiv am System teilnehmen.
- Sie haben eine Reihe wichtiger interner Messgrößen entwickelt, die es ihnen ermöglichen, den Erfolg des Programms bei der Risikominimierung und Kostensenkung im Laufe der Zeit zu messen.
Inhaltsübersicht
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Die Leistungsfähigkeit von OpenText Fortify + Secure Code Warrior
OpenText Fortify und Secure Code Warrior bündeln ihre Kräfte, um Unternehmen dabei zu helfen, Risiken zu reduzieren, Entwickler zu Sicherheits-Champions zu machen und Kundenvertrauen aufzubauen. Lesen Sie hier mehr darüber.
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
Ressourcen für den Einstieg
10 wichtige Vorhersagen: Secure Code Warrior über den Einfluss von KI und Secure-by-Design im Jahr 2025
Unternehmen stehen vor schwierigen Entscheidungen über den Einsatz von KI, um die langfristige Produktivität, Nachhaltigkeit und den Sicherheits-ROI zu unterstützen. In den letzten Jahren ist uns klar geworden, dass KI die Rolle des Entwicklers niemals vollständig ersetzen wird. Von KI + Entwicklerpartnerschaften bis hin zum zunehmenden Druck (und der Verwirrung) rund um die Secure-by-Design-Erwartungen - lassen Sie uns einen genaueren Blick darauf werfen, was wir im nächsten Jahr erwarten können.
OWASP Top 10 für LLM-Bewerbungen: Was ist neu, was hat sich geändert, und wie bleibt man sicher?
Bleiben Sie bei der Absicherung von LLM-Anwendungen mit den neuesten OWASP Top 10 Updates immer einen Schritt voraus. Entdecken Sie, was neu ist, was sich geändert hat und wie Secure Code Warrior Sie mit aktuellen Lernressourcen ausstattet, um Risiken in der generativen KI zu minimieren.
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
.png)
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
