Vielen Dank für das Herunterladen!
Weitere Ressourcen
Fallstudien

Eine Sicherheitskultur: Wie Sage sein Security-Champions-Programm mit agilem Secure Code Learning aufgebaut hat

Veröffentlicht Nov 22, 2023
Schaltfläche Video abspielen.
Schaltfläche Video abspielen.

TL;DR

Sage ist ein britischer multinationaler Anbieter von Unternehmenssoftware, der Unternehmen einfach zu bedienende Software und Dienstleistungen für die Bereiche Lohnbuchhaltung, Personalwesen und Finanzen anbietet. Im Jahr 2017 ist Sage das zweitgrößte Technologieunternehmen Großbritanniens, der drittgrößte Anbieter von Enterprise Resource Planning Software weltweit und der größte Anbieter für kleine Unternehmen - mit über 6 Millionen Kunden weltweit.

Situation 

Vor der Zusammenarbeit mit Secure Code Warrior begann Sage vor etwa 10 Jahren mit dem Aufbau seines Security Champion Network. Trotz des robusten Netzwerks sicherheitsorientierter Entwickler waren die Schulungen sporadisch und nicht auf die Risikominderung ausgerichtet. 

Sage erkannte, dass es wichtig war, sich Zeit für den Aufbau von Beziehungen zu nehmen und die Sicherheit über einen bestimmten Zeitraum mit einem flexiblen Ansatz zu verankern. Das Programm von Sage verknüpfte seine Ziele mit der Risikominderung und den materiellen Auswirkungen dieses Programms. Bei der Erprobung des Programms in bestimmten Geschäftsbereichen konzentrierte man sich auf die Messung der Risikominderung und die Rückmeldung an das Unternehmen, um die Zustimmung der Entwickler und der Führungskräfte zu gewinnen. 

Aktion

Mads Howard, People-Centered Security Lead bei Sage, arbeitete mit Entwicklern zusammen, um die Personas von Security Champions zu verstehen. Sie traf sich mit Entwicklern in jeder Geschäftseinheit und führte Interviews mit ihnen durch, um zu verstehen, was sie motiviert, wie sie gerne lernen und welche Einschränkungen sie bei ihrer Arbeit sehen. Sie und ihr Team bemühten sich um den Aufbau von Beziehungen zu den Entwicklern und ihren Teamleitern und betonten, wie wichtig es ist, in ihrem Ansatz flexibel zu sein.

Mads legt Wert auf einen beziehungsorientierten Ansatz,

"Wir haben viel Zeit damit verbracht, Beziehungen zu den Leitern der Entwicklungsteams, den Leitern der technischen Teams und den Produktmanagern aufzubauen - den Leuten, die die Zeit kontrollieren, die während der Sprint-Zyklen für die Ausbildung aufgewendet wird."

Laut Mads ging es auch darum, das Netz der Sicherheitsbeauftragten zu erweitern,

"Das Netzwerk der Sicherheitsbeauftragten wurde als eine Schlüsselkontrolle dieses Programms angesehen. Damit die Produkte dieses Programm durchlaufen konnten, mussten wir die Rolle eines Sicherheitsbeauftragten wirklich ernst nehmen und ihm eine solide Sicherheitsschulung zukommen lassen." 

Das Ziel des Global Security Teams bei Sage war es, ein Sicherheitskontrollprogramm zu implementieren, das die Lernbedürfnisse von Entwicklern in einer komplexen Technologieumgebung berücksichtigt, und einen Partner zu wählen, der mit den vorhandenen Sicherheitswerkzeugen zusammenarbeitet, um das Schwachstellenmanagement zu unterstützen. 

Es war wichtig, dass die Ausbildung als ein wichtiger Aspekt eines ausgereiften Sicherheitskontrollprogramms angesehen wurde. Sie konzentrierten sich auf die Messung der Risikominderung durch: 

  • Verbesserung der Risikobewertung
  • Schwachstellen Alter Verringerung des Rückstands bei den Schwachstellen
  • Auflösung Zeit
  • Keine geschlossenen Schwachstellen vs. offene Schwachstellen
  • Anzahl der Probleme pro Zeile des von Sage geschriebenen Codes (nicht von Dritten)

Für Mads,

"Die nächste Phase für Sage als Unternehmen besteht darin, zu zeigen, dass die Fortbildung durch ein sicheres Kodierungsprogramm, das in die Arbeitsabläufe von Entwicklern eingebettet ist, zu einer messbaren Risikominderung führt."

Ergebnisse

Mads betonte, wie wichtig die Partnerschaft und die Beratung durch Secure Code Warrior für sie und ihr Team waren,

"Ich würde ehrlich sagen, dass wir ohne die Unterstützung von Secure Code Warrior nicht in der Lage gewesen wären, so weit zu kommen und eine Art Programm aufzubauen, das diesen Reifegrad in Bezug auf verschiedene Schichten oder Entwicklerteams über verschiedene Technologien hinweg hat." 

Nachdem Mads und ihr Team ihre Interviews abgeschlossen und die Zustimmung der Entwickler gewonnen hatten, begann sie mit der Implementierung von Secure Code Warrior als Teil eines umfassenderen Sicherheitskulturprogramms. 

Das Ergebnis, so Mads, ist,

"Sage hat jetzt mehr als 200 Sicherheitschampions im Programm, und wenn ein Sicherheitschampion 3,5 Stunden pro Woche (oder 10 % seiner Zeit) dem Aufbau von Fähigkeiten widmet, kann er sich für ein Programm zur sicheren Programmierung einsetzen, er kann sich für kontinuierliche Schulungen einsetzen, und er kann sich für den Wert einsetzen, den es ihm bringt." 

Mit der Zustimmung der Führungskräfte und messbaren Zielen für die Risikominderung konnte Mads den Erfolg nicht nur anhand der Anzahl der Mitarbeiter auf einer Plattform und der gespielten Stunden messen, sondern auch anhand der Zeit für die Behebung von Schwachstellen, des Alters der Schwachstellen und eines Vergleichs mit den neuen Funktionen, die für die Kunden entwickelt wurden, um einen ganzheitlichen Blick auf die Reduzierung von Schwachstellen zu erhalten. Für ein Team waren die Auswirkungen enorm - die durchschnittliche Zeit zur Behebung einer Schwachstelle konnte um 82 % reduziert werden

Was jedoch noch wichtiger sei, fügte Howard hinzu, sei das nicht quantifizierbare - das Engagement, der Einsatz und die Bereitschaft der Teams, sich an dem Programm zu beteiligen.

Wichtigste Erkenntnisse

Die Erfahrung von Sage unterstreicht die Relevanz gut geplanter und durchgeführter Sicherheitsschulungen und die Bedeutung eines flexiblen, integrierten Ansatzes - eine Lektion, die sich für jedes Unternehmen lohnt, das ein robustes, sicheres Kodierungsprogramm anstrebt. Laut Mads ist es wichtig, daran zu denken, dass die Zusammenarbeit mit den Entwicklern und nicht gegen sie der Schlüssel zur Implementierung eines erfolgreichen Sicherheitskontrollprogramms und zur Verankerung der Sicherheit in der Unternehmenskultur ist. 

  • Die Schaffung einer Sicherheitskultur geschieht nicht über Nacht. Es ist wichtig, sich Zeit zu nehmen, um Beziehungen aufzubauen und die Sicherheit über einen längeren Zeitraum zu verankern, und dafür Ressourcen bereitzustellen. 
  • Verknüpfen Sie alles mit der Risikominderung und konzentrieren Sie sich auf die materiellen Auswirkungen eines Programms für sichere Kodierung.
  • Konzentrieren Sie sich darauf, wie Sie diese Risikoreduzierung messen können, um sie an das Unternehmen weiterzugeben, damit das Programm sowohl von den Entwicklern als auch von der Unternehmensleitung als wirkungsvoll und erfolgreich angesehen wird. 

Für Entwickler, die sich für die Sicherheit einsetzen wollen, haben sie und ihr Team auch diesen Ratschlag: 

  • Bauen Sie sich ein Netzwerk von Menschen auf, die sich für Sicherheit interessieren, und nehmen Sie an Konferenzen und Vorträgen teil. Verbringen Sie Zeit damit, sich über die Themen zu informieren, die Sie interessieren. 
  • Denken Sie daran, dass sich die Kultur eines Unternehmens nicht von heute auf morgen ändert, sondern dass es Zeit braucht, sie zu entwickeln und zu reifen. 

PDF herunterladen
Ressource anzeigen
PDF herunterladen
Ressource anzeigen

Erfahren Sie, wie Sage die Sicherheit mit einem flexiblen, beziehungsorientierten Ansatz verbessert, mehr als 200 Sicherheitsbeauftragte geschaffen und eine messbare Risikominderung erreicht hat.

Interessiert an mehr?

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchen
Weitergeben:
Autor
Veröffentlicht Nov 22, 2023

Weitergeben:
Schaltfläche Video abspielen.
Schaltfläche Video abspielen.

TL;DR

Sage ist ein britischer multinationaler Anbieter von Unternehmenssoftware, der Unternehmen einfach zu bedienende Software und Dienstleistungen für die Bereiche Lohnbuchhaltung, Personalwesen und Finanzen anbietet. Im Jahr 2017 ist Sage das zweitgrößte Technologieunternehmen Großbritanniens, der drittgrößte Anbieter von Enterprise Resource Planning Software weltweit und der größte Anbieter für kleine Unternehmen - mit über 6 Millionen Kunden weltweit.

Situation 

Vor der Zusammenarbeit mit Secure Code Warrior begann Sage vor etwa 10 Jahren mit dem Aufbau seines Security Champion Network. Trotz des robusten Netzwerks sicherheitsorientierter Entwickler waren die Schulungen sporadisch und nicht auf die Risikominderung ausgerichtet. 

Sage erkannte, dass es wichtig war, sich Zeit für den Aufbau von Beziehungen zu nehmen und die Sicherheit über einen bestimmten Zeitraum mit einem flexiblen Ansatz zu verankern. Das Programm von Sage verknüpfte seine Ziele mit der Risikominderung und den materiellen Auswirkungen dieses Programms. Bei der Erprobung des Programms in bestimmten Geschäftsbereichen konzentrierte man sich auf die Messung der Risikominderung und die Rückmeldung an das Unternehmen, um die Zustimmung der Entwickler und der Führungskräfte zu gewinnen. 

Aktion

Mads Howard, People-Centered Security Lead bei Sage, arbeitete mit Entwicklern zusammen, um die Personas von Security Champions zu verstehen. Sie traf sich mit Entwicklern in jeder Geschäftseinheit und führte Interviews mit ihnen durch, um zu verstehen, was sie motiviert, wie sie gerne lernen und welche Einschränkungen sie bei ihrer Arbeit sehen. Sie und ihr Team bemühten sich um den Aufbau von Beziehungen zu den Entwicklern und ihren Teamleitern und betonten, wie wichtig es ist, in ihrem Ansatz flexibel zu sein.

Mads legt Wert auf einen beziehungsorientierten Ansatz,

"Wir haben viel Zeit damit verbracht, Beziehungen zu den Leitern der Entwicklungsteams, den Leitern der technischen Teams und den Produktmanagern aufzubauen - den Leuten, die die Zeit kontrollieren, die während der Sprint-Zyklen für die Ausbildung aufgewendet wird."

Laut Mads ging es auch darum, das Netz der Sicherheitsbeauftragten zu erweitern,

"Das Netzwerk der Sicherheitsbeauftragten wurde als eine Schlüsselkontrolle dieses Programms angesehen. Damit die Produkte dieses Programm durchlaufen konnten, mussten wir die Rolle eines Sicherheitsbeauftragten wirklich ernst nehmen und ihm eine solide Sicherheitsschulung zukommen lassen." 

Das Ziel des Global Security Teams bei Sage war es, ein Sicherheitskontrollprogramm zu implementieren, das die Lernbedürfnisse von Entwicklern in einer komplexen Technologieumgebung berücksichtigt, und einen Partner zu wählen, der mit den vorhandenen Sicherheitswerkzeugen zusammenarbeitet, um das Schwachstellenmanagement zu unterstützen. 

Es war wichtig, dass die Ausbildung als ein wichtiger Aspekt eines ausgereiften Sicherheitskontrollprogramms angesehen wurde. Sie konzentrierten sich auf die Messung der Risikominderung durch: 

  • Verbesserung der Risikobewertung
  • Schwachstellen Alter Verringerung des Rückstands bei den Schwachstellen
  • Auflösung Zeit
  • Keine geschlossenen Schwachstellen vs. offene Schwachstellen
  • Anzahl der Probleme pro Zeile des von Sage geschriebenen Codes (nicht von Dritten)

Für Mads,

"Die nächste Phase für Sage als Unternehmen besteht darin, zu zeigen, dass die Fortbildung durch ein sicheres Kodierungsprogramm, das in die Arbeitsabläufe von Entwicklern eingebettet ist, zu einer messbaren Risikominderung führt."

Ergebnisse

Mads betonte, wie wichtig die Partnerschaft und die Beratung durch Secure Code Warrior für sie und ihr Team waren,

"Ich würde ehrlich sagen, dass wir ohne die Unterstützung von Secure Code Warrior nicht in der Lage gewesen wären, so weit zu kommen und eine Art Programm aufzubauen, das diesen Reifegrad in Bezug auf verschiedene Schichten oder Entwicklerteams über verschiedene Technologien hinweg hat." 

Nachdem Mads und ihr Team ihre Interviews abgeschlossen und die Zustimmung der Entwickler gewonnen hatten, begann sie mit der Implementierung von Secure Code Warrior als Teil eines umfassenderen Sicherheitskulturprogramms. 

Das Ergebnis, so Mads, ist,

"Sage hat jetzt mehr als 200 Sicherheitschampions im Programm, und wenn ein Sicherheitschampion 3,5 Stunden pro Woche (oder 10 % seiner Zeit) dem Aufbau von Fähigkeiten widmet, kann er sich für ein Programm zur sicheren Programmierung einsetzen, er kann sich für kontinuierliche Schulungen einsetzen, und er kann sich für den Wert einsetzen, den es ihm bringt." 

Mit der Zustimmung der Führungskräfte und messbaren Zielen für die Risikominderung konnte Mads den Erfolg nicht nur anhand der Anzahl der Mitarbeiter auf einer Plattform und der gespielten Stunden messen, sondern auch anhand der Zeit für die Behebung von Schwachstellen, des Alters der Schwachstellen und eines Vergleichs mit den neuen Funktionen, die für die Kunden entwickelt wurden, um einen ganzheitlichen Blick auf die Reduzierung von Schwachstellen zu erhalten. Für ein Team waren die Auswirkungen enorm - die durchschnittliche Zeit zur Behebung einer Schwachstelle konnte um 82 % reduziert werden

Was jedoch noch wichtiger sei, fügte Howard hinzu, sei das nicht quantifizierbare - das Engagement, der Einsatz und die Bereitschaft der Teams, sich an dem Programm zu beteiligen.

Wichtigste Erkenntnisse

Die Erfahrung von Sage unterstreicht die Relevanz gut geplanter und durchgeführter Sicherheitsschulungen und die Bedeutung eines flexiblen, integrierten Ansatzes - eine Lektion, die sich für jedes Unternehmen lohnt, das ein robustes, sicheres Kodierungsprogramm anstrebt. Laut Mads ist es wichtig, daran zu denken, dass die Zusammenarbeit mit den Entwicklern und nicht gegen sie der Schlüssel zur Implementierung eines erfolgreichen Sicherheitskontrollprogramms und zur Verankerung der Sicherheit in der Unternehmenskultur ist. 

  • Die Schaffung einer Sicherheitskultur geschieht nicht über Nacht. Es ist wichtig, sich Zeit zu nehmen, um Beziehungen aufzubauen und die Sicherheit über einen längeren Zeitraum zu verankern, und dafür Ressourcen bereitzustellen. 
  • Verknüpfen Sie alles mit der Risikominderung und konzentrieren Sie sich auf die materiellen Auswirkungen eines Programms für sichere Kodierung.
  • Konzentrieren Sie sich darauf, wie Sie diese Risikoreduzierung messen können, um sie an das Unternehmen weiterzugeben, damit das Programm sowohl von den Entwicklern als auch von der Unternehmensleitung als wirkungsvoll und erfolgreich angesehen wird. 

Für Entwickler, die sich für die Sicherheit einsetzen wollen, haben sie und ihr Team auch diesen Ratschlag: 

  • Bauen Sie sich ein Netzwerk von Menschen auf, die sich für Sicherheit interessieren, und nehmen Sie an Konferenzen und Vorträgen teil. Verbringen Sie Zeit damit, sich über die Themen zu informieren, die Sie interessieren. 
  • Denken Sie daran, dass sich die Kultur eines Unternehmens nicht von heute auf morgen ändert, sondern dass es Zeit braucht, sie zu entwickeln und zu reifen. 

PDF herunterladen
Ressource anzeigen
PDF herunterladen
Ressource anzeigen

Füllen Sie das folgende Formular aus, um den Bericht herunterzuladen

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Senden
Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.
Schaltfläche Video abspielen.
Schaltfläche Video abspielen.

TL;DR

Sage ist ein britischer multinationaler Anbieter von Unternehmenssoftware, der Unternehmen einfach zu bedienende Software und Dienstleistungen für die Bereiche Lohnbuchhaltung, Personalwesen und Finanzen anbietet. Im Jahr 2017 ist Sage das zweitgrößte Technologieunternehmen Großbritanniens, der drittgrößte Anbieter von Enterprise Resource Planning Software weltweit und der größte Anbieter für kleine Unternehmen - mit über 6 Millionen Kunden weltweit.

Situation 

Vor der Zusammenarbeit mit Secure Code Warrior begann Sage vor etwa 10 Jahren mit dem Aufbau seines Security Champion Network. Trotz des robusten Netzwerks sicherheitsorientierter Entwickler waren die Schulungen sporadisch und nicht auf die Risikominderung ausgerichtet. 

Sage erkannte, dass es wichtig war, sich Zeit für den Aufbau von Beziehungen zu nehmen und die Sicherheit über einen bestimmten Zeitraum mit einem flexiblen Ansatz zu verankern. Das Programm von Sage verknüpfte seine Ziele mit der Risikominderung und den materiellen Auswirkungen dieses Programms. Bei der Erprobung des Programms in bestimmten Geschäftsbereichen konzentrierte man sich auf die Messung der Risikominderung und die Rückmeldung an das Unternehmen, um die Zustimmung der Entwickler und der Führungskräfte zu gewinnen. 

Aktion

Mads Howard, People-Centered Security Lead bei Sage, arbeitete mit Entwicklern zusammen, um die Personas von Security Champions zu verstehen. Sie traf sich mit Entwicklern in jeder Geschäftseinheit und führte Interviews mit ihnen durch, um zu verstehen, was sie motiviert, wie sie gerne lernen und welche Einschränkungen sie bei ihrer Arbeit sehen. Sie und ihr Team bemühten sich um den Aufbau von Beziehungen zu den Entwicklern und ihren Teamleitern und betonten, wie wichtig es ist, in ihrem Ansatz flexibel zu sein.

Mads legt Wert auf einen beziehungsorientierten Ansatz,

"Wir haben viel Zeit damit verbracht, Beziehungen zu den Leitern der Entwicklungsteams, den Leitern der technischen Teams und den Produktmanagern aufzubauen - den Leuten, die die Zeit kontrollieren, die während der Sprint-Zyklen für die Ausbildung aufgewendet wird."

Laut Mads ging es auch darum, das Netz der Sicherheitsbeauftragten zu erweitern,

"Das Netzwerk der Sicherheitsbeauftragten wurde als eine Schlüsselkontrolle dieses Programms angesehen. Damit die Produkte dieses Programm durchlaufen konnten, mussten wir die Rolle eines Sicherheitsbeauftragten wirklich ernst nehmen und ihm eine solide Sicherheitsschulung zukommen lassen." 

Das Ziel des Global Security Teams bei Sage war es, ein Sicherheitskontrollprogramm zu implementieren, das die Lernbedürfnisse von Entwicklern in einer komplexen Technologieumgebung berücksichtigt, und einen Partner zu wählen, der mit den vorhandenen Sicherheitswerkzeugen zusammenarbeitet, um das Schwachstellenmanagement zu unterstützen. 

Es war wichtig, dass die Ausbildung als ein wichtiger Aspekt eines ausgereiften Sicherheitskontrollprogramms angesehen wurde. Sie konzentrierten sich auf die Messung der Risikominderung durch: 

  • Verbesserung der Risikobewertung
  • Schwachstellen Alter Verringerung des Rückstands bei den Schwachstellen
  • Auflösung Zeit
  • Keine geschlossenen Schwachstellen vs. offene Schwachstellen
  • Anzahl der Probleme pro Zeile des von Sage geschriebenen Codes (nicht von Dritten)

Für Mads,

"Die nächste Phase für Sage als Unternehmen besteht darin, zu zeigen, dass die Fortbildung durch ein sicheres Kodierungsprogramm, das in die Arbeitsabläufe von Entwicklern eingebettet ist, zu einer messbaren Risikominderung führt."

Ergebnisse

Mads betonte, wie wichtig die Partnerschaft und die Beratung durch Secure Code Warrior für sie und ihr Team waren,

"Ich würde ehrlich sagen, dass wir ohne die Unterstützung von Secure Code Warrior nicht in der Lage gewesen wären, so weit zu kommen und eine Art Programm aufzubauen, das diesen Reifegrad in Bezug auf verschiedene Schichten oder Entwicklerteams über verschiedene Technologien hinweg hat." 

Nachdem Mads und ihr Team ihre Interviews abgeschlossen und die Zustimmung der Entwickler gewonnen hatten, begann sie mit der Implementierung von Secure Code Warrior als Teil eines umfassenderen Sicherheitskulturprogramms. 

Das Ergebnis, so Mads, ist,

"Sage hat jetzt mehr als 200 Sicherheitschampions im Programm, und wenn ein Sicherheitschampion 3,5 Stunden pro Woche (oder 10 % seiner Zeit) dem Aufbau von Fähigkeiten widmet, kann er sich für ein Programm zur sicheren Programmierung einsetzen, er kann sich für kontinuierliche Schulungen einsetzen, und er kann sich für den Wert einsetzen, den es ihm bringt." 

Mit der Zustimmung der Führungskräfte und messbaren Zielen für die Risikominderung konnte Mads den Erfolg nicht nur anhand der Anzahl der Mitarbeiter auf einer Plattform und der gespielten Stunden messen, sondern auch anhand der Zeit für die Behebung von Schwachstellen, des Alters der Schwachstellen und eines Vergleichs mit den neuen Funktionen, die für die Kunden entwickelt wurden, um einen ganzheitlichen Blick auf die Reduzierung von Schwachstellen zu erhalten. Für ein Team waren die Auswirkungen enorm - die durchschnittliche Zeit zur Behebung einer Schwachstelle konnte um 82 % reduziert werden

Was jedoch noch wichtiger sei, fügte Howard hinzu, sei das nicht quantifizierbare - das Engagement, der Einsatz und die Bereitschaft der Teams, sich an dem Programm zu beteiligen.

Wichtigste Erkenntnisse

Die Erfahrung von Sage unterstreicht die Relevanz gut geplanter und durchgeführter Sicherheitsschulungen und die Bedeutung eines flexiblen, integrierten Ansatzes - eine Lektion, die sich für jedes Unternehmen lohnt, das ein robustes, sicheres Kodierungsprogramm anstrebt. Laut Mads ist es wichtig, daran zu denken, dass die Zusammenarbeit mit den Entwicklern und nicht gegen sie der Schlüssel zur Implementierung eines erfolgreichen Sicherheitskontrollprogramms und zur Verankerung der Sicherheit in der Unternehmenskultur ist. 

  • Die Schaffung einer Sicherheitskultur geschieht nicht über Nacht. Es ist wichtig, sich Zeit zu nehmen, um Beziehungen aufzubauen und die Sicherheit über einen längeren Zeitraum zu verankern, und dafür Ressourcen bereitzustellen. 
  • Verknüpfen Sie alles mit der Risikominderung und konzentrieren Sie sich auf die materiellen Auswirkungen eines Programms für sichere Kodierung.
  • Konzentrieren Sie sich darauf, wie Sie diese Risikoreduzierung messen können, um sie an das Unternehmen weiterzugeben, damit das Programm sowohl von den Entwicklern als auch von der Unternehmensleitung als wirkungsvoll und erfolgreich angesehen wird. 

Für Entwickler, die sich für die Sicherheit einsetzen wollen, haben sie und ihr Team auch diesen Ratschlag: 

  • Bauen Sie sich ein Netzwerk von Menschen auf, die sich für Sicherheit interessieren, und nehmen Sie an Konferenzen und Vorträgen teil. Verbringen Sie Zeit damit, sich über die Themen zu informieren, die Sie interessieren. 
  • Denken Sie daran, dass sich die Kultur eines Unternehmens nicht von heute auf morgen ändert, sondern dass es Zeit braucht, sie zu entwickeln und zu reifen. 

Auf Ressource zugreifen

Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Bericht ansehenDemo buchen
PDF herunterladen
PDF herunterladen
Ressource anzeigen
Weitergeben:
Interessiert an mehr?

Weitergeben:
Autor
Veröffentlicht Nov 22, 2023

Weitergeben:

TL;DR

Sage ist ein britischer multinationaler Anbieter von Unternehmenssoftware, der Unternehmen einfach zu bedienende Software und Dienstleistungen für die Bereiche Lohnbuchhaltung, Personalwesen und Finanzen anbietet. Im Jahr 2017 ist Sage das zweitgrößte Technologieunternehmen Großbritanniens, der drittgrößte Anbieter von Enterprise Resource Planning Software weltweit und der größte Anbieter für kleine Unternehmen - mit über 6 Millionen Kunden weltweit.

Situation 

Vor der Zusammenarbeit mit Secure Code Warrior begann Sage vor etwa 10 Jahren mit dem Aufbau seines Security Champion Network. Trotz des robusten Netzwerks sicherheitsorientierter Entwickler waren die Schulungen sporadisch und nicht auf die Risikominderung ausgerichtet. 

Sage erkannte, dass es wichtig war, sich Zeit für den Aufbau von Beziehungen zu nehmen und die Sicherheit über einen bestimmten Zeitraum mit einem flexiblen Ansatz zu verankern. Das Programm von Sage verknüpfte seine Ziele mit der Risikominderung und den materiellen Auswirkungen dieses Programms. Bei der Erprobung des Programms in bestimmten Geschäftsbereichen konzentrierte man sich auf die Messung der Risikominderung und die Rückmeldung an das Unternehmen, um die Zustimmung der Entwickler und der Führungskräfte zu gewinnen. 

Aktion

Mads Howard, People-Centered Security Lead bei Sage, arbeitete mit Entwicklern zusammen, um die Personas von Security Champions zu verstehen. Sie traf sich mit Entwicklern in jeder Geschäftseinheit und führte Interviews mit ihnen durch, um zu verstehen, was sie motiviert, wie sie gerne lernen und welche Einschränkungen sie bei ihrer Arbeit sehen. Sie und ihr Team bemühten sich um den Aufbau von Beziehungen zu den Entwicklern und ihren Teamleitern und betonten, wie wichtig es ist, in ihrem Ansatz flexibel zu sein.

Mads legt Wert auf einen beziehungsorientierten Ansatz,

"Wir haben viel Zeit damit verbracht, Beziehungen zu den Leitern der Entwicklungsteams, den Leitern der technischen Teams und den Produktmanagern aufzubauen - den Leuten, die die Zeit kontrollieren, die während der Sprint-Zyklen für die Ausbildung aufgewendet wird."

Laut Mads ging es auch darum, das Netz der Sicherheitsbeauftragten zu erweitern,

"Das Netzwerk der Sicherheitsbeauftragten wurde als eine Schlüsselkontrolle dieses Programms angesehen. Damit die Produkte dieses Programm durchlaufen konnten, mussten wir die Rolle eines Sicherheitsbeauftragten wirklich ernst nehmen und ihm eine solide Sicherheitsschulung zukommen lassen." 

Das Ziel des Global Security Teams bei Sage war es, ein Sicherheitskontrollprogramm zu implementieren, das die Lernbedürfnisse von Entwicklern in einer komplexen Technologieumgebung berücksichtigt, und einen Partner zu wählen, der mit den vorhandenen Sicherheitswerkzeugen zusammenarbeitet, um das Schwachstellenmanagement zu unterstützen. 

Es war wichtig, dass die Ausbildung als ein wichtiger Aspekt eines ausgereiften Sicherheitskontrollprogramms angesehen wurde. Sie konzentrierten sich auf die Messung der Risikominderung durch: 

  • Verbesserung der Risikobewertung
  • Schwachstellen Alter Verringerung des Rückstands bei den Schwachstellen
  • Auflösung Zeit
  • Keine geschlossenen Schwachstellen vs. offene Schwachstellen
  • Anzahl der Probleme pro Zeile des von Sage geschriebenen Codes (nicht von Dritten)

Für Mads,

"Die nächste Phase für Sage als Unternehmen besteht darin, zu zeigen, dass die Fortbildung durch ein sicheres Kodierungsprogramm, das in die Arbeitsabläufe von Entwicklern eingebettet ist, zu einer messbaren Risikominderung führt."

Ergebnisse

Mads betonte, wie wichtig die Partnerschaft und die Beratung durch Secure Code Warrior für sie und ihr Team waren,

"Ich würde ehrlich sagen, dass wir ohne die Unterstützung von Secure Code Warrior nicht in der Lage gewesen wären, so weit zu kommen und eine Art Programm aufzubauen, das diesen Reifegrad in Bezug auf verschiedene Schichten oder Entwicklerteams über verschiedene Technologien hinweg hat." 

Nachdem Mads und ihr Team ihre Interviews abgeschlossen und die Zustimmung der Entwickler gewonnen hatten, begann sie mit der Implementierung von Secure Code Warrior als Teil eines umfassenderen Sicherheitskulturprogramms. 

Das Ergebnis, so Mads, ist,

"Sage hat jetzt mehr als 200 Sicherheitschampions im Programm, und wenn ein Sicherheitschampion 3,5 Stunden pro Woche (oder 10 % seiner Zeit) dem Aufbau von Fähigkeiten widmet, kann er sich für ein Programm zur sicheren Programmierung einsetzen, er kann sich für kontinuierliche Schulungen einsetzen, und er kann sich für den Wert einsetzen, den es ihm bringt." 

Mit der Zustimmung der Führungskräfte und messbaren Zielen für die Risikominderung konnte Mads den Erfolg nicht nur anhand der Anzahl der Mitarbeiter auf einer Plattform und der gespielten Stunden messen, sondern auch anhand der Zeit für die Behebung von Schwachstellen, des Alters der Schwachstellen und eines Vergleichs mit den neuen Funktionen, die für die Kunden entwickelt wurden, um einen ganzheitlichen Blick auf die Reduzierung von Schwachstellen zu erhalten. Für ein Team waren die Auswirkungen enorm - die durchschnittliche Zeit zur Behebung einer Schwachstelle konnte um 82 % reduziert werden

Was jedoch noch wichtiger sei, fügte Howard hinzu, sei das nicht quantifizierbare - das Engagement, der Einsatz und die Bereitschaft der Teams, sich an dem Programm zu beteiligen.

Wichtigste Erkenntnisse

Die Erfahrung von Sage unterstreicht die Relevanz gut geplanter und durchgeführter Sicherheitsschulungen und die Bedeutung eines flexiblen, integrierten Ansatzes - eine Lektion, die sich für jedes Unternehmen lohnt, das ein robustes, sicheres Kodierungsprogramm anstrebt. Laut Mads ist es wichtig, daran zu denken, dass die Zusammenarbeit mit den Entwicklern und nicht gegen sie der Schlüssel zur Implementierung eines erfolgreichen Sicherheitskontrollprogramms und zur Verankerung der Sicherheit in der Unternehmenskultur ist. 

  • Die Schaffung einer Sicherheitskultur geschieht nicht über Nacht. Es ist wichtig, sich Zeit zu nehmen, um Beziehungen aufzubauen und die Sicherheit über einen längeren Zeitraum zu verankern, und dafür Ressourcen bereitzustellen. 
  • Verknüpfen Sie alles mit der Risikominderung und konzentrieren Sie sich auf die materiellen Auswirkungen eines Programms für sichere Kodierung.
  • Konzentrieren Sie sich darauf, wie Sie diese Risikoreduzierung messen können, um sie an das Unternehmen weiterzugeben, damit das Programm sowohl von den Entwicklern als auch von der Unternehmensleitung als wirkungsvoll und erfolgreich angesehen wird. 

Für Entwickler, die sich für die Sicherheit einsetzen wollen, haben sie und ihr Team auch diesen Ratschlag: 

  • Bauen Sie sich ein Netzwerk von Menschen auf, die sich für Sicherheit interessieren, und nehmen Sie an Konferenzen und Vorträgen teil. Verbringen Sie Zeit damit, sich über die Themen zu informieren, die Sie interessieren. 
  • Denken Sie daran, dass sich die Kultur eines Unternehmens nicht von heute auf morgen ändert, sondern dass es Zeit braucht, sie zu entwickeln und zu reifen. 

Inhaltsübersicht

PDF herunterladen
PDF herunterladen
Ressource anzeigen
Interessiert an mehr?

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchenHerunterladen
Weitergeben:
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge

Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen

Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.

Mehr erfahren
15. Oktober 2024
Whitepapers
One Pager

SCW Trust Score: Ihr Tor zu herausragender Sicherheit durch Design

Erfahren Sie, wie der SCW Trust Score Ihrem Unternehmen dabei helfen kann, bei Secure-by-Design-Initiativen eine Vorreiterrolle einzunehmen.

15. Oktober 2024
Bericht

Gartner® Hype Cycle™ für Anwendungssicherheit, 2024

Wir freuen uns, bekannt geben zu können, dass Secure Code Warrior im Juli 2024 im Hype CycleTM for Application Security Report von Gartner zum #SampleVendor ernannt wurde.

22. August 2024
Fallstudien

DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior

DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.

Aug 15, 2024
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge

Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen

Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.

Mehr erfahren
13. November 2024
Blog
Blog

Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel

Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern. 

31. Oktober 2024
Blog

Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern

Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.

22. Oktober 2024
Blog

Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen

Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.

15. Oktober 2024

Entwicklergesteuerte Kodierung.

Sicher ist sicher.

Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.

Demo buchenJetzt ausprobieren
Verbinden
Facebook
X
LinkedIn
Unternehmen
Über unsPartnerKarriereTrust CenterKontaktEreignisseLeitlinienPressemappeLaden Sie
Produkt
CoursesMissionsTournamentsBeurteilungenAusbildungSCW für GitHubSCW für JiraIntegrationenLernressourcenAnmerkungen zur VeröffentlichungPläne
Lösungen
RegierungEinzelhandelFinanzen und BankwesenVersicherungTechnologieAutomobilindustrieGesundheitswesenTechnische TeamsSicherheitsteamsC-Suite
Ressourcen
RessourcendrehscheibeBlogVideosBroschüreWhitepapersFallstudienBerichteInfografikeneBooksWebinareLeitfäden
Sydney
Boston
Portland
London
Brügge
Reykjavík
Copyright © 2015-2023 Secure Code Warrior Limited.
DatenschutzCookie-Richtlinie | Zugänglichkeit | Rechtliches | Website-Karte