Sage ist ein britischer multinationaler Anbieter von Unternehmenssoftware, der Unternehmen einfach zu bedienende Software und Dienstleistungen für die Bereiche Lohnbuchhaltung, Personalwesen und Finanzen anbietet. Im Jahr 2017 ist Sage das zweitgrößte Technologieunternehmen Großbritanniens, der drittgrößte Anbieter von Enterprise Resource Planning Software weltweit und der größte Anbieter für kleine Unternehmen - mit über 6 Millionen Kunden weltweit.

Situation 

Vor der Zusammenarbeit mit Secure Code Warrior begann Sage vor etwa 10 Jahren mit dem Aufbau seines Security Champion Network. Trotz des robusten Netzwerks sicherheitsorientierter Entwickler waren die Schulungen sporadisch und nicht auf die Risikominderung ausgerichtet. 

Sage erkannte, dass es wichtig war, sich Zeit für den Aufbau von Beziehungen zu nehmen und die Sicherheit über einen bestimmten Zeitraum mit einem flexiblen Ansatz zu verankern. Das Programm von Sage verknüpfte seine Ziele mit der Risikominderung und den materiellen Auswirkungen dieses Programms. Bei der Erprobung des Programms in bestimmten Geschäftsbereichen konzentrierte man sich auf die Messung der Risikominderung und die Rückmeldung an das Unternehmen, um die Zustimmung der Entwickler und der Führungskräfte zu gewinnen. 

Aktion

Mads Howard, People-Centered Security Lead bei Sage, arbeitete mit Entwicklern zusammen, um die Personas von Security Champions zu verstehen. Sie traf sich mit Entwicklern in jeder Geschäftseinheit und führte Interviews mit ihnen durch, um zu verstehen, was sie motiviert, wie sie gerne lernen und welche Einschränkungen sie bei ihrer Arbeit sehen. Sie und ihr Team bemühten sich um den Aufbau von Beziehungen zu den Entwicklern und ihren Teamleitern und betonten, wie wichtig es ist, in ihrem Ansatz flexibel zu sein.

Mads legt Wert auf einen beziehungsorientierten Ansatz,

"Wir haben viel Zeit damit verbracht, Beziehungen zu den Leitern der Entwicklungsteams, den Leitern der technischen Teams und den Produktmanagern aufzubauen - den Leuten, die die Zeit kontrollieren, die während der Sprint-Zyklen für die Ausbildung aufgewendet wird."

Laut Mads ging es auch darum, das Netz der Sicherheitsbeauftragten zu erweitern,

"Das Netzwerk der Sicherheitsbeauftragten wurde als eine Schlüsselkontrolle dieses Programms angesehen. Damit die Produkte dieses Programm durchlaufen konnten, mussten wir die Rolle eines Sicherheitsbeauftragten wirklich ernst nehmen und ihm eine solide Sicherheitsschulung zukommen lassen." 

Das Ziel des Global Security Teams bei Sage war es, ein Sicherheitskontrollprogramm zu implementieren, das die Lernbedürfnisse von Entwicklern in einer komplexen Technologieumgebung berücksichtigt, und einen Partner zu wählen, der mit den vorhandenen Sicherheitswerkzeugen zusammenarbeitet, um das Schwachstellenmanagement zu unterstützen. 

Es war wichtig, dass die Ausbildung als ein wichtiger Aspekt eines ausgereiften Sicherheitskontrollprogramms angesehen wurde. Sie konzentrierten sich auf die Messung der Risikominderung durch: 

• Verbesserung der Risikobewertung
• Schwachstellen Alter Verringerung des Rückstands bei den Schwachstellen
• Auflösung Zeit
• Keine geschlossenen Schwachstellen vs. offene Schwachstellen
• Anzahl der Probleme pro Zeile des von Sage geschriebenen Codes (nicht von Dritten)

Für Mads,

"Die nächste Phase für Sage als Unternehmen besteht darin, zu zeigen, dass die Fortbildung durch ein sicheres Kodierungsprogramm, das in die Arbeitsabläufe von Entwicklern eingebettet ist, zu einer messbaren Risikominderung führt."

Ergebnisse

Mads betonte, wie wichtig die Partnerschaft und die Beratung durch Secure Code Warrior für sie und ihr Team waren,

"Ich würde ehrlich sagen, dass wir ohne die Unterstützung von Secure Code Warrior nicht in der Lage gewesen wären, so weit zu kommen und eine Art Programm aufzubauen, das diesen Reifegrad in Bezug auf verschiedene Schichten oder Entwicklerteams über verschiedene Technologien hinweg hat." 

Nachdem Mads und ihr Team ihre Interviews abgeschlossen und die Zustimmung der Entwickler gewonnen hatten, begann sie mit der Implementierung von Secure Code Warrior als Teil eines umfassenderen Sicherheitskulturprogramms. 

Das Ergebnis, so Mads, ist,

"Sage hat jetzt mehr als 200 Sicherheitschampions im Programm, und wenn ein Sicherheitschampion 3,5 Stunden pro Woche (oder 10 % seiner Zeit) dem Aufbau von Fähigkeiten widmet, kann er sich für ein Programm zur sicheren Programmierung einsetzen, er kann sich für kontinuierliche Schulungen einsetzen, und er kann sich für den Wert einsetzen, den es ihm bringt." 

Mit der Zustimmung der Führungskräfte und messbaren Zielen für die Risikominderung konnte Mads den Erfolg nicht nur anhand der Anzahl der Mitarbeiter auf einer Plattform und der gespielten Stunden messen, sondern auch anhand der Zeit für die Behebung von Schwachstellen, des Alters der Schwachstellen und eines Vergleichs mit den neuen Funktionen, die für die Kunden entwickelt wurden, um einen ganzheitlichen Blick auf die Reduzierung von Schwachstellen zu erhalten. Für ein Team waren die Auswirkungen enorm - die durchschnittliche Zeit zur Behebung einer Schwachstelle konnte um 82 % reduziert werden. 

Was jedoch noch wichtiger sei, fügte Howard hinzu, sei das nicht quantifizierbare - das Engagement, der Einsatz und die Bereitschaft der Teams, sich an dem Programm zu beteiligen.

Wichtigste Erkenntnisse

Die Erfahrung von Sage unterstreicht die Relevanz gut geplanter und durchgeführter Sicherheitsschulungen und die Bedeutung eines flexiblen, integrierten Ansatzes - eine Lektion, die sich für jedes Unternehmen lohnt, das ein robustes, sicheres Kodierungsprogramm anstrebt. Laut Mads ist es wichtig, daran zu denken, dass die Zusammenarbeit mit den Entwicklern und nicht gegen sie der Schlüssel zur Implementierung eines erfolgreichen Sicherheitskontrollprogramms und zur Verankerung der Sicherheit in der Unternehmenskultur ist. 

• Die Schaffung einer Sicherheitskultur geschieht nicht über Nacht. Es ist wichtig, sich Zeit zu nehmen, um Beziehungen aufzubauen und die Sicherheit über einen längeren Zeitraum zu verankern, und dafür Ressourcen bereitzustellen. 
• Verknüpfen Sie alles mit der Risikominderung und konzentrieren Sie sich auf die materiellen Auswirkungen eines Programms für sichere Kodierung.
• Konzentrieren Sie sich darauf, wie Sie diese Risikoreduzierung messen können, um sie an das Unternehmen weiterzugeben, damit das Programm sowohl von den Entwicklern als auch von der Unternehmensleitung als wirkungsvoll und erfolgreich angesehen wird. 

Für Entwickler, die sich für die Sicherheit einsetzen wollen, haben sie und ihr Team auch diesen Ratschlag: 

• Bauen Sie sich ein Netzwerk von Menschen auf, die sich für Sicherheit interessieren, und nehmen Sie an Konferenzen und Vorträgen teil. Verbringen Sie Zeit damit, sich über die Themen zu informieren, die Sie interessieren. 
• Denken Sie daran, dass sich die Kultur eines Unternehmens nicht von heute auf morgen ändert, sondern dass es Zeit braucht, sie zu entwickeln und zu reifen. 

‍