Wie ein "Spiel der Codes" die IAG-Gruppe in eine sicherere Zukunft der Codierung führt
Die IAG Group steht hinter vielen der führenden Versicherungsunternehmen im asiatisch-pazifischen Raum und zeichnet Policen für Millionen von Kunden mit einem jährlichen Prämienvolumen von rund 11,4 Mrd. AUD. Bianca Wirth ist die Corporate Security Education & AwarenessManagerin der IAG Group. Sie war sich der Notwendigkeit eines ausgeprägten Sicherheitsbewusstseins und -praktiken innerhalb des Entwicklungsteams bewusst und machte sich daran, ein wirklich innovatives, optimales Umfeld zu schaffen, in dem das Team wichtige sichere Codierungstechniken erlernen konnte.
ENTER: Spiel der Codes
Die Herausforderung
Entwickler stehen oft unter Zeitdruck, da sie eine Vielzahl von Aufgaben und Projekten zu bewältigen haben. Dennoch ist es für jedes Unternehmen von größter Bedeutung, sich über die besten Sicherheitsverfahren auf dem Laufenden zu halten, ganz zu schweigen von einem Unternehmen, das Millionen von sensiblen Kundendatenprofilen vor Hackern schützen muss. Bianca und ihr Team setzten sich klare Ziele auf dem Weg, ihre Cybersicherheitsinitiativen robuster zu machen. Sie legten fest, dass die Minimierung der Angriffsfläche in den vonIAG entwickelten Anwendungen oberste Priorität hat und dass sie dies durch die Schulung von Entwicklern erreichen wollen, um kritische und risikoreiche Schwachstellen zu identifizieren und zu beheben. Langwierige Schulungen zur sicheren Programmierung courses gibt es zwar, aber sie können mühsam und langwierig sein und wichtige Mitarbeiter von Entwicklungsprojekten mit strengen Lieferfristen ablenken, was im gesamten Unternehmen Druck erzeugt. Die Notwendigkeit, das Entwicklungsteam schnell und mit minimalen Auswirkungen auf die Arbeitsbelastung und den Betrieb zu schulen, wurde offensichtlich. Und mit Entwicklern in Australien und Neuseeland, die an unterschiedlichen Systemen arbeiteten, war dies keine leichte Aufgabe.
"Dieses Jahr habe ich eine Änderung an unserem Quellcode vorgenommen, die eine SQL-Injection-Schwachstelle beseitigt hat. Dass sie das erkannt haben, verdanke ich Game of Codes. Es ist schon hilfreich, wenn man sich die sichere Programmierung vor Augen hält. Der Wettbewerb ist eine gute Möglichkeit, die Leute dazu zu bringen, ihr Bestes zu geben... denn seien wir mal ehrlich, Sicherheit ist nicht jedermanns Lieblingsthema, also ist dies eine gute Möglichkeit, die Leute zu motivieren." R, IAG-Entwickler
Die Umsetzung
Bianca entwickelte eine Strategie für die Einführung einer spielerischen Schulungserfahrung und arbeitete mit ihrem Team und Secure Code Warrior an der Umsetzung von tournaments und Schulungen zur Förderung der Fähigkeiten der internen Entwickler. Dabei war es wichtig, eine solide Kommunikationsstrategie zu entwickeln und auf die unterschiedlichen Motivationen und Persönlichkeiten der Mitarbeiter einzugehen, die eine völlig neue Plattform annehmen und ihr volles Potenzial nutzen wollen:
"Wir haben einen Kommunikationsplan entwickelt, der festlegt, wie wir den Mitarbeitern und den wichtigsten Stakeholdern die wichtigsten Punkte und Botschaften vermitteln und welche Anreize wir ihnen bieten, damit sie auch darauf reagieren. Die meisten Menschen genießen die spielerische Erfahrung wirklich. Es hängt nur von ihrer Persönlichkeit, ihrer Motivation und ihrem Antrieb ab. Deshalb versuchen wir, eine ganze Reihe von Motivationen der Menschen zu berücksichtigen. Manche lieben die Preise, für andere ist der Leistungsaspekt an sich schon ein wichtiger Faktor" , sagte sie.
Bianca und IAG präsentierten fachkundig Secure Code Warrior's gamified learning platform und verwandelten ihr tournament in ein unterhaltsames Wettkampferlebnis, das als 'Game of Codes' angekündigt wurde, mit Mitarbeitern, die in mittelalterlich gestalteten Häusern (komplett mit gebrandeten Spielerartikeln) platziert wurden und in einem Kampf gegeneinander antraten, der seinem HBO-produzierten Namensvetter würdig war.
Die Website tournament wurde sogar auf die internationale Bühne gehoben, wo demnächst ein Spiel zwischen Australien und Neuseeland stattfinden wird. Dies gibt IAG die Möglichkeit, die führenden Sicherheitschampions in beiden Ländern zu identifizieren und sicherzustellen, dass die Teams sich gemeinsam weiterbilden.
Das Ergebnis
Game of Codes ist in der Tat ein spezielles Schulungsprogramm. Seine Einführung als interaktives, unterhaltsames tournament sorgte dafür, dass die Mitarbeiter auf vielfältige Weise eingebunden wurden, aber der praktische Kern der Übung blieb bestehen: Entwicklern die Fähigkeiten zu vermitteln, die erforderlich sind, um hochriskante Schwachstellen in von der IAG entwickelten Anwendungen zu erkennen und zu umgehen.
Indem sichergestellt wird, dass sowohl die Entwickler als auch die Sicherheitsteams mit einer auf Sicherheit ausgerichteten Denkweise arbeiten und in der Lage sind, Schwachstellen nicht nur zu erkennen, sondern auch von Anfang an zu beheben, erwartet IAG eine Verringerung der kostspieligen Penetrationstests und der Belastung des Teams, das sie durchführt.
Neben der Weiterentwicklung dieser wichtigen Kompetenz trug Game of Codes auch zum Aufbau von Beziehungen bei, indem es ein Gefühl der Kameradschaft und des freundschaftlichen Wettstreits zwischen den beteiligten Teams vermittelte und gleichzeitig dazu beitrug, dass die einzelnen Teilnehmer mehr Vertrauen in ihre sicheren Programmierfähigkeiten bekamen, wenn sie diese in einer punktebasierten tournament Umgebung messen konnten.
Bianca erklärte, dass die interne Unterstützung für das Programm immens war und von der Führungsetage positiv aufgenommen wurde. Dies führte auch zu einem Botschafterprogramm, an dem sich Personen beteiligen konnten, die das Programm fördern und sich für die Sicherheit innerhalb des Unternehmens einsetzen wollten:
"Für einige Entwickler war es eine fantastische Erfahrung und eine hervorragende Förderung ihrer Fähigkeiten. Sie profitieren davon auch bei ihrer eigenen Arbeit, was sehr wichtig ist.
Game of Codes ist bei weitem nicht nur ein Spiel" oder eine angenehme Art und Weise für Abteilungsleiter, sich durch Compliance-Schulungen zu quälen. Game of Codes ist eine ansprechende Lösung, die Sicherheitsneulinge schnell zu Sicherheitsvorreitern macht, was für die Minimierung des Risikos eines groß angelegten Verstoßes von entscheidender Bedeutung ist.
Und der ultimative Rat, von Bianca selbst:
"Wenn man ein Programm einführt und erwartet, dass die Leute es einfach nutzen, wird es nicht funktionieren. Man muss ein Programm entwerfen, mit dem man Verhaltensänderungen initiiert und motiviert. Was wir aufgebaut haben, war im Wesentlichen ein Programm für das Änderungsmanagement von Entwicklern, das sich auf die Sicherheit konzentriert."
"Ich bin ein Senior Tester in einem agilen Team und diese Schulungen haben mich motiviert, mehr über Sicherheitstests zu lernen und sie als eine mögliche Spezialisierung zu betrachten." A, IAG Senior Tester
FAST FACTS
- Neben dem spielerischen Lernen nutzt IAG Secure Code Warrior auch als Tool zum Testen von Fähigkeiten bei der Einstellung von Entwicklern.
- Das Unternehmen ist dabei, das Programm auf 100 % seines Entwicklungsteams auszuweiten, wobei 55 % bereits aktiv am System teilnehmen.
- Sie haben eine Reihe wichtiger interner Messgrößen entwickelt, die es ihnen ermöglichen, den Erfolg des Programms bei der Risikominimierung und Kostensenkung im Laufe der Zeit zu messen.
Die IAG Group ist der Name hinter vielen der führenden Versicherungs führenden Versicherungsunternehmen im asiatisch-pazifischen Raum, die Policen für Millionen von Kunden mit einem jährlichen Prämienvolumen von ca. 11,4 Mrd. AUD an Prämien pro Jahr.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenDie IAG Group steht hinter vielen der führenden Versicherungsunternehmen im asiatisch-pazifischen Raum und zeichnet Policen für Millionen von Kunden mit einem jährlichen Prämienvolumen von rund 11,4 Mrd. AUD. Bianca Wirth ist die Corporate Security Education & AwarenessManagerin der IAG Group. Sie war sich der Notwendigkeit eines ausgeprägten Sicherheitsbewusstseins und -praktiken innerhalb des Entwicklungsteams bewusst und machte sich daran, ein wirklich innovatives, optimales Umfeld zu schaffen, in dem das Team wichtige sichere Codierungstechniken erlernen konnte.
ENTER: Spiel der Codes
Die Herausforderung
Entwickler stehen oft unter Zeitdruck, da sie eine Vielzahl von Aufgaben und Projekten zu bewältigen haben. Dennoch ist es für jedes Unternehmen von größter Bedeutung, sich über die besten Sicherheitsverfahren auf dem Laufenden zu halten, ganz zu schweigen von einem Unternehmen, das Millionen von sensiblen Kundendatenprofilen vor Hackern schützen muss. Bianca und ihr Team setzten sich klare Ziele auf dem Weg, ihre Cybersicherheitsinitiativen robuster zu machen. Sie legten fest, dass die Minimierung der Angriffsfläche in den vonIAG entwickelten Anwendungen oberste Priorität hat und dass sie dies durch die Schulung von Entwicklern erreichen wollen, um kritische und risikoreiche Schwachstellen zu identifizieren und zu beheben. Langwierige Schulungen zur sicheren Programmierung courses gibt es zwar, aber sie können mühsam und langwierig sein und wichtige Mitarbeiter von Entwicklungsprojekten mit strengen Lieferfristen ablenken, was im gesamten Unternehmen Druck erzeugt. Die Notwendigkeit, das Entwicklungsteam schnell und mit minimalen Auswirkungen auf die Arbeitsbelastung und den Betrieb zu schulen, wurde offensichtlich. Und mit Entwicklern in Australien und Neuseeland, die an unterschiedlichen Systemen arbeiteten, war dies keine leichte Aufgabe.
"Dieses Jahr habe ich eine Änderung an unserem Quellcode vorgenommen, die eine SQL-Injection-Schwachstelle beseitigt hat. Dass sie das erkannt haben, verdanke ich Game of Codes. Es ist schon hilfreich, wenn man sich die sichere Programmierung vor Augen hält. Der Wettbewerb ist eine gute Möglichkeit, die Leute dazu zu bringen, ihr Bestes zu geben... denn seien wir mal ehrlich, Sicherheit ist nicht jedermanns Lieblingsthema, also ist dies eine gute Möglichkeit, die Leute zu motivieren." R, IAG-Entwickler
Die Umsetzung
Bianca entwickelte eine Strategie für die Einführung einer spielerischen Schulungserfahrung und arbeitete mit ihrem Team und Secure Code Warrior an der Umsetzung von tournaments und Schulungen zur Förderung der Fähigkeiten der internen Entwickler. Dabei war es wichtig, eine solide Kommunikationsstrategie zu entwickeln und auf die unterschiedlichen Motivationen und Persönlichkeiten der Mitarbeiter einzugehen, die eine völlig neue Plattform annehmen und ihr volles Potenzial nutzen wollen:
"Wir haben einen Kommunikationsplan entwickelt, der festlegt, wie wir den Mitarbeitern und den wichtigsten Stakeholdern die wichtigsten Punkte und Botschaften vermitteln und welche Anreize wir ihnen bieten, damit sie auch darauf reagieren. Die meisten Menschen genießen die spielerische Erfahrung wirklich. Es hängt nur von ihrer Persönlichkeit, ihrer Motivation und ihrem Antrieb ab. Deshalb versuchen wir, eine ganze Reihe von Motivationen der Menschen zu berücksichtigen. Manche lieben die Preise, für andere ist der Leistungsaspekt an sich schon ein wichtiger Faktor" , sagte sie.
Bianca und IAG präsentierten fachkundig Secure Code Warrior's gamified learning platform und verwandelten ihr tournament in ein unterhaltsames Wettkampferlebnis, das als 'Game of Codes' angekündigt wurde, mit Mitarbeitern, die in mittelalterlich gestalteten Häusern (komplett mit gebrandeten Spielerartikeln) platziert wurden und in einem Kampf gegeneinander antraten, der seinem HBO-produzierten Namensvetter würdig war.
Die Website tournament wurde sogar auf die internationale Bühne gehoben, wo demnächst ein Spiel zwischen Australien und Neuseeland stattfinden wird. Dies gibt IAG die Möglichkeit, die führenden Sicherheitschampions in beiden Ländern zu identifizieren und sicherzustellen, dass die Teams sich gemeinsam weiterbilden.
Das Ergebnis
Game of Codes ist in der Tat ein spezielles Schulungsprogramm. Seine Einführung als interaktives, unterhaltsames tournament sorgte dafür, dass die Mitarbeiter auf vielfältige Weise eingebunden wurden, aber der praktische Kern der Übung blieb bestehen: Entwicklern die Fähigkeiten zu vermitteln, die erforderlich sind, um hochriskante Schwachstellen in von der IAG entwickelten Anwendungen zu erkennen und zu umgehen.
Indem sichergestellt wird, dass sowohl die Entwickler als auch die Sicherheitsteams mit einer auf Sicherheit ausgerichteten Denkweise arbeiten und in der Lage sind, Schwachstellen nicht nur zu erkennen, sondern auch von Anfang an zu beheben, erwartet IAG eine Verringerung der kostspieligen Penetrationstests und der Belastung des Teams, das sie durchführt.
Neben der Weiterentwicklung dieser wichtigen Kompetenz trug Game of Codes auch zum Aufbau von Beziehungen bei, indem es ein Gefühl der Kameradschaft und des freundschaftlichen Wettstreits zwischen den beteiligten Teams vermittelte und gleichzeitig dazu beitrug, dass die einzelnen Teilnehmer mehr Vertrauen in ihre sicheren Programmierfähigkeiten bekamen, wenn sie diese in einer punktebasierten tournament Umgebung messen konnten.
Bianca erklärte, dass die interne Unterstützung für das Programm immens war und von der Führungsetage positiv aufgenommen wurde. Dies führte auch zu einem Botschafterprogramm, an dem sich Personen beteiligen konnten, die das Programm fördern und sich für die Sicherheit innerhalb des Unternehmens einsetzen wollten:
"Für einige Entwickler war es eine fantastische Erfahrung und eine hervorragende Förderung ihrer Fähigkeiten. Sie profitieren davon auch bei ihrer eigenen Arbeit, was sehr wichtig ist.
Game of Codes ist bei weitem nicht nur ein Spiel" oder eine angenehme Art und Weise für Abteilungsleiter, sich durch Compliance-Schulungen zu quälen. Game of Codes ist eine ansprechende Lösung, die Sicherheitsneulinge schnell zu Sicherheitsvorreitern macht, was für die Minimierung des Risikos eines groß angelegten Verstoßes von entscheidender Bedeutung ist.
Und der ultimative Rat, von Bianca selbst:
"Wenn man ein Programm einführt und erwartet, dass die Leute es einfach nutzen, wird es nicht funktionieren. Man muss ein Programm entwerfen, mit dem man Verhaltensänderungen initiiert und motiviert. Was wir aufgebaut haben, war im Wesentlichen ein Programm für das Änderungsmanagement von Entwicklern, das sich auf die Sicherheit konzentriert."
"Ich bin ein Senior Tester in einem agilen Team und diese Schulungen haben mich motiviert, mehr über Sicherheitstests zu lernen und sie als eine mögliche Spezialisierung zu betrachten." A, IAG Senior Tester
FAST FACTS
- Neben dem spielerischen Lernen nutzt IAG Secure Code Warrior auch als Tool zum Testen von Fähigkeiten bei der Einstellung von Entwicklern.
- Das Unternehmen ist dabei, das Programm auf 100 % seines Entwicklungsteams auszuweiten, wobei 55 % bereits aktiv am System teilnehmen.
- Sie haben eine Reihe wichtiger interner Messgrößen entwickelt, die es ihnen ermöglichen, den Erfolg des Programms bei der Risikominimierung und Kostensenkung im Laufe der Zeit zu messen.
Die IAG Group steht hinter vielen der führenden Versicherungsunternehmen im asiatisch-pazifischen Raum und zeichnet Policen für Millionen von Kunden mit einem jährlichen Prämienvolumen von rund 11,4 Mrd. AUD. Bianca Wirth ist die Corporate Security Education & AwarenessManagerin der IAG Group. Sie war sich der Notwendigkeit eines ausgeprägten Sicherheitsbewusstseins und -praktiken innerhalb des Entwicklungsteams bewusst und machte sich daran, ein wirklich innovatives, optimales Umfeld zu schaffen, in dem das Team wichtige sichere Codierungstechniken erlernen konnte.
ENTER: Spiel der Codes
Die Herausforderung
Entwickler stehen oft unter Zeitdruck, da sie eine Vielzahl von Aufgaben und Projekten zu bewältigen haben. Dennoch ist es für jedes Unternehmen von größter Bedeutung, sich über die besten Sicherheitsverfahren auf dem Laufenden zu halten, ganz zu schweigen von einem Unternehmen, das Millionen von sensiblen Kundendatenprofilen vor Hackern schützen muss. Bianca und ihr Team setzten sich klare Ziele auf dem Weg, ihre Cybersicherheitsinitiativen robuster zu machen. Sie legten fest, dass die Minimierung der Angriffsfläche in den vonIAG entwickelten Anwendungen oberste Priorität hat und dass sie dies durch die Schulung von Entwicklern erreichen wollen, um kritische und risikoreiche Schwachstellen zu identifizieren und zu beheben. Langwierige Schulungen zur sicheren Programmierung courses gibt es zwar, aber sie können mühsam und langwierig sein und wichtige Mitarbeiter von Entwicklungsprojekten mit strengen Lieferfristen ablenken, was im gesamten Unternehmen Druck erzeugt. Die Notwendigkeit, das Entwicklungsteam schnell und mit minimalen Auswirkungen auf die Arbeitsbelastung und den Betrieb zu schulen, wurde offensichtlich. Und mit Entwicklern in Australien und Neuseeland, die an unterschiedlichen Systemen arbeiteten, war dies keine leichte Aufgabe.
"Dieses Jahr habe ich eine Änderung an unserem Quellcode vorgenommen, die eine SQL-Injection-Schwachstelle beseitigt hat. Dass sie das erkannt haben, verdanke ich Game of Codes. Es ist schon hilfreich, wenn man sich die sichere Programmierung vor Augen hält. Der Wettbewerb ist eine gute Möglichkeit, die Leute dazu zu bringen, ihr Bestes zu geben... denn seien wir mal ehrlich, Sicherheit ist nicht jedermanns Lieblingsthema, also ist dies eine gute Möglichkeit, die Leute zu motivieren." R, IAG-Entwickler
Die Umsetzung
Bianca entwickelte eine Strategie für die Einführung einer spielerischen Schulungserfahrung und arbeitete mit ihrem Team und Secure Code Warrior an der Umsetzung von tournaments und Schulungen zur Förderung der Fähigkeiten der internen Entwickler. Dabei war es wichtig, eine solide Kommunikationsstrategie zu entwickeln und auf die unterschiedlichen Motivationen und Persönlichkeiten der Mitarbeiter einzugehen, die eine völlig neue Plattform annehmen und ihr volles Potenzial nutzen wollen:
"Wir haben einen Kommunikationsplan entwickelt, der festlegt, wie wir den Mitarbeitern und den wichtigsten Stakeholdern die wichtigsten Punkte und Botschaften vermitteln und welche Anreize wir ihnen bieten, damit sie auch darauf reagieren. Die meisten Menschen genießen die spielerische Erfahrung wirklich. Es hängt nur von ihrer Persönlichkeit, ihrer Motivation und ihrem Antrieb ab. Deshalb versuchen wir, eine ganze Reihe von Motivationen der Menschen zu berücksichtigen. Manche lieben die Preise, für andere ist der Leistungsaspekt an sich schon ein wichtiger Faktor" , sagte sie.
Bianca und IAG präsentierten fachkundig Secure Code Warrior's gamified learning platform und verwandelten ihr tournament in ein unterhaltsames Wettkampferlebnis, das als 'Game of Codes' angekündigt wurde, mit Mitarbeitern, die in mittelalterlich gestalteten Häusern (komplett mit gebrandeten Spielerartikeln) platziert wurden und in einem Kampf gegeneinander antraten, der seinem HBO-produzierten Namensvetter würdig war.
Die Website tournament wurde sogar auf die internationale Bühne gehoben, wo demnächst ein Spiel zwischen Australien und Neuseeland stattfinden wird. Dies gibt IAG die Möglichkeit, die führenden Sicherheitschampions in beiden Ländern zu identifizieren und sicherzustellen, dass die Teams sich gemeinsam weiterbilden.
Das Ergebnis
Game of Codes ist in der Tat ein spezielles Schulungsprogramm. Seine Einführung als interaktives, unterhaltsames tournament sorgte dafür, dass die Mitarbeiter auf vielfältige Weise eingebunden wurden, aber der praktische Kern der Übung blieb bestehen: Entwicklern die Fähigkeiten zu vermitteln, die erforderlich sind, um hochriskante Schwachstellen in von der IAG entwickelten Anwendungen zu erkennen und zu umgehen.
Indem sichergestellt wird, dass sowohl die Entwickler als auch die Sicherheitsteams mit einer auf Sicherheit ausgerichteten Denkweise arbeiten und in der Lage sind, Schwachstellen nicht nur zu erkennen, sondern auch von Anfang an zu beheben, erwartet IAG eine Verringerung der kostspieligen Penetrationstests und der Belastung des Teams, das sie durchführt.
Neben der Weiterentwicklung dieser wichtigen Kompetenz trug Game of Codes auch zum Aufbau von Beziehungen bei, indem es ein Gefühl der Kameradschaft und des freundschaftlichen Wettstreits zwischen den beteiligten Teams vermittelte und gleichzeitig dazu beitrug, dass die einzelnen Teilnehmer mehr Vertrauen in ihre sicheren Programmierfähigkeiten bekamen, wenn sie diese in einer punktebasierten tournament Umgebung messen konnten.
Bianca erklärte, dass die interne Unterstützung für das Programm immens war und von der Führungsetage positiv aufgenommen wurde. Dies führte auch zu einem Botschafterprogramm, an dem sich Personen beteiligen konnten, die das Programm fördern und sich für die Sicherheit innerhalb des Unternehmens einsetzen wollten:
"Für einige Entwickler war es eine fantastische Erfahrung und eine hervorragende Förderung ihrer Fähigkeiten. Sie profitieren davon auch bei ihrer eigenen Arbeit, was sehr wichtig ist.
Game of Codes ist bei weitem nicht nur ein Spiel" oder eine angenehme Art und Weise für Abteilungsleiter, sich durch Compliance-Schulungen zu quälen. Game of Codes ist eine ansprechende Lösung, die Sicherheitsneulinge schnell zu Sicherheitsvorreitern macht, was für die Minimierung des Risikos eines groß angelegten Verstoßes von entscheidender Bedeutung ist.
Und der ultimative Rat, von Bianca selbst:
"Wenn man ein Programm einführt und erwartet, dass die Leute es einfach nutzen, wird es nicht funktionieren. Man muss ein Programm entwerfen, mit dem man Verhaltensänderungen initiiert und motiviert. Was wir aufgebaut haben, war im Wesentlichen ein Programm für das Änderungsmanagement von Entwicklern, das sich auf die Sicherheit konzentriert."
"Ich bin ein Senior Tester in einem agilen Team und diese Schulungen haben mich motiviert, mehr über Sicherheitstests zu lernen und sie als eine mögliche Spezialisierung zu betrachten." A, IAG Senior Tester
FAST FACTS
- Neben dem spielerischen Lernen nutzt IAG Secure Code Warrior auch als Tool zum Testen von Fähigkeiten bei der Einstellung von Entwicklern.
- Das Unternehmen ist dabei, das Programm auf 100 % seines Entwicklungsteams auszuweiten, wobei 55 % bereits aktiv am System teilnehmen.
- Sie haben eine Reihe wichtiger interner Messgrößen entwickelt, die es ihnen ermöglichen, den Erfolg des Programms bei der Risikominimierung und Kostensenkung im Laufe der Zeit zu messen.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenDie IAG Group steht hinter vielen der führenden Versicherungsunternehmen im asiatisch-pazifischen Raum und zeichnet Policen für Millionen von Kunden mit einem jährlichen Prämienvolumen von rund 11,4 Mrd. AUD. Bianca Wirth ist die Corporate Security Education & AwarenessManagerin der IAG Group. Sie war sich der Notwendigkeit eines ausgeprägten Sicherheitsbewusstseins und -praktiken innerhalb des Entwicklungsteams bewusst und machte sich daran, ein wirklich innovatives, optimales Umfeld zu schaffen, in dem das Team wichtige sichere Codierungstechniken erlernen konnte.
ENTER: Spiel der Codes
Die Herausforderung
Entwickler stehen oft unter Zeitdruck, da sie eine Vielzahl von Aufgaben und Projekten zu bewältigen haben. Dennoch ist es für jedes Unternehmen von größter Bedeutung, sich über die besten Sicherheitsverfahren auf dem Laufenden zu halten, ganz zu schweigen von einem Unternehmen, das Millionen von sensiblen Kundendatenprofilen vor Hackern schützen muss. Bianca und ihr Team setzten sich klare Ziele auf dem Weg, ihre Cybersicherheitsinitiativen robuster zu machen. Sie legten fest, dass die Minimierung der Angriffsfläche in den vonIAG entwickelten Anwendungen oberste Priorität hat und dass sie dies durch die Schulung von Entwicklern erreichen wollen, um kritische und risikoreiche Schwachstellen zu identifizieren und zu beheben. Langwierige Schulungen zur sicheren Programmierung courses gibt es zwar, aber sie können mühsam und langwierig sein und wichtige Mitarbeiter von Entwicklungsprojekten mit strengen Lieferfristen ablenken, was im gesamten Unternehmen Druck erzeugt. Die Notwendigkeit, das Entwicklungsteam schnell und mit minimalen Auswirkungen auf die Arbeitsbelastung und den Betrieb zu schulen, wurde offensichtlich. Und mit Entwicklern in Australien und Neuseeland, die an unterschiedlichen Systemen arbeiteten, war dies keine leichte Aufgabe.
"Dieses Jahr habe ich eine Änderung an unserem Quellcode vorgenommen, die eine SQL-Injection-Schwachstelle beseitigt hat. Dass sie das erkannt haben, verdanke ich Game of Codes. Es ist schon hilfreich, wenn man sich die sichere Programmierung vor Augen hält. Der Wettbewerb ist eine gute Möglichkeit, die Leute dazu zu bringen, ihr Bestes zu geben... denn seien wir mal ehrlich, Sicherheit ist nicht jedermanns Lieblingsthema, also ist dies eine gute Möglichkeit, die Leute zu motivieren." R, IAG-Entwickler
Die Umsetzung
Bianca entwickelte eine Strategie für die Einführung einer spielerischen Schulungserfahrung und arbeitete mit ihrem Team und Secure Code Warrior an der Umsetzung von tournaments und Schulungen zur Förderung der Fähigkeiten der internen Entwickler. Dabei war es wichtig, eine solide Kommunikationsstrategie zu entwickeln und auf die unterschiedlichen Motivationen und Persönlichkeiten der Mitarbeiter einzugehen, die eine völlig neue Plattform annehmen und ihr volles Potenzial nutzen wollen:
"Wir haben einen Kommunikationsplan entwickelt, der festlegt, wie wir den Mitarbeitern und den wichtigsten Stakeholdern die wichtigsten Punkte und Botschaften vermitteln und welche Anreize wir ihnen bieten, damit sie auch darauf reagieren. Die meisten Menschen genießen die spielerische Erfahrung wirklich. Es hängt nur von ihrer Persönlichkeit, ihrer Motivation und ihrem Antrieb ab. Deshalb versuchen wir, eine ganze Reihe von Motivationen der Menschen zu berücksichtigen. Manche lieben die Preise, für andere ist der Leistungsaspekt an sich schon ein wichtiger Faktor" , sagte sie.
Bianca und IAG präsentierten fachkundig Secure Code Warrior's gamified learning platform und verwandelten ihr tournament in ein unterhaltsames Wettkampferlebnis, das als 'Game of Codes' angekündigt wurde, mit Mitarbeitern, die in mittelalterlich gestalteten Häusern (komplett mit gebrandeten Spielerartikeln) platziert wurden und in einem Kampf gegeneinander antraten, der seinem HBO-produzierten Namensvetter würdig war.
Die Website tournament wurde sogar auf die internationale Bühne gehoben, wo demnächst ein Spiel zwischen Australien und Neuseeland stattfinden wird. Dies gibt IAG die Möglichkeit, die führenden Sicherheitschampions in beiden Ländern zu identifizieren und sicherzustellen, dass die Teams sich gemeinsam weiterbilden.
Das Ergebnis
Game of Codes ist in der Tat ein spezielles Schulungsprogramm. Seine Einführung als interaktives, unterhaltsames tournament sorgte dafür, dass die Mitarbeiter auf vielfältige Weise eingebunden wurden, aber der praktische Kern der Übung blieb bestehen: Entwicklern die Fähigkeiten zu vermitteln, die erforderlich sind, um hochriskante Schwachstellen in von der IAG entwickelten Anwendungen zu erkennen und zu umgehen.
Indem sichergestellt wird, dass sowohl die Entwickler als auch die Sicherheitsteams mit einer auf Sicherheit ausgerichteten Denkweise arbeiten und in der Lage sind, Schwachstellen nicht nur zu erkennen, sondern auch von Anfang an zu beheben, erwartet IAG eine Verringerung der kostspieligen Penetrationstests und der Belastung des Teams, das sie durchführt.
Neben der Weiterentwicklung dieser wichtigen Kompetenz trug Game of Codes auch zum Aufbau von Beziehungen bei, indem es ein Gefühl der Kameradschaft und des freundschaftlichen Wettstreits zwischen den beteiligten Teams vermittelte und gleichzeitig dazu beitrug, dass die einzelnen Teilnehmer mehr Vertrauen in ihre sicheren Programmierfähigkeiten bekamen, wenn sie diese in einer punktebasierten tournament Umgebung messen konnten.
Bianca erklärte, dass die interne Unterstützung für das Programm immens war und von der Führungsetage positiv aufgenommen wurde. Dies führte auch zu einem Botschafterprogramm, an dem sich Personen beteiligen konnten, die das Programm fördern und sich für die Sicherheit innerhalb des Unternehmens einsetzen wollten:
"Für einige Entwickler war es eine fantastische Erfahrung und eine hervorragende Förderung ihrer Fähigkeiten. Sie profitieren davon auch bei ihrer eigenen Arbeit, was sehr wichtig ist.
Game of Codes ist bei weitem nicht nur ein Spiel" oder eine angenehme Art und Weise für Abteilungsleiter, sich durch Compliance-Schulungen zu quälen. Game of Codes ist eine ansprechende Lösung, die Sicherheitsneulinge schnell zu Sicherheitsvorreitern macht, was für die Minimierung des Risikos eines groß angelegten Verstoßes von entscheidender Bedeutung ist.
Und der ultimative Rat, von Bianca selbst:
"Wenn man ein Programm einführt und erwartet, dass die Leute es einfach nutzen, wird es nicht funktionieren. Man muss ein Programm entwerfen, mit dem man Verhaltensänderungen initiiert und motiviert. Was wir aufgebaut haben, war im Wesentlichen ein Programm für das Änderungsmanagement von Entwicklern, das sich auf die Sicherheit konzentriert."
"Ich bin ein Senior Tester in einem agilen Team und diese Schulungen haben mich motiviert, mehr über Sicherheitstests zu lernen und sie als eine mögliche Spezialisierung zu betrachten." A, IAG Senior Tester
FAST FACTS
- Neben dem spielerischen Lernen nutzt IAG Secure Code Warrior auch als Tool zum Testen von Fähigkeiten bei der Einstellung von Entwicklern.
- Das Unternehmen ist dabei, das Programm auf 100 % seines Entwicklungsteams auszuweiten, wobei 55 % bereits aktiv am System teilnehmen.
- Sie haben eine Reihe wichtiger interner Messgrößen entwickelt, die es ihnen ermöglichen, den Erfolg des Programms bei der Risikominimierung und Kostensenkung im Laufe der Zeit zu messen.
Inhaltsübersicht
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.
Vertiefung: Navigieren durch die kritische CUPS-Schwachstelle in GNU-Linux-Systemen
Entdecken Sie die neuesten Sicherheitsprobleme, mit denen Linux-Benutzer konfrontiert sind, indem wir die jüngsten hochgradigen Sicherheitslücken im Common UNIX Printing System (CUPS) untersuchen. Erfahren Sie, wie diese Probleme zu einer möglichen Remote Code Execution (RCE) führen können und was Sie tun können, um Ihre Systeme zu schützen.