Der ROI der entwicklergesteuerten Sicherheit
Die Kosten von schlechtem Code
Technologiesprünge machen es Entwicklern leichter als je zuvor, Code schneller als je zuvor bereitzustellen. Dies kann für die Innovation aufregend sein, aber auch entmutigend, wenn es darum geht, die Qualität und Sicherheit von Software zu erhöhen. Die Rechtfertigung der Kosten für zusätzliche Tools, Trainingsprogramme und Investitionen in die Weiterbildung von Entwicklern kann wie ein "Nice-to-have" gegenüber einer kritischen Geschäftsfunktion erscheinen, wenn die Geschwindigkeit des ausgelieferten Codes beibehalten wird.
Die schnellere Bereitstellung von Code mag einfacher geworden sein, die Bereitstellung von sicherem Code ist es leider nicht - und so sind Unternehmen anfälliger für Bedrohungen als je zuvor. Die Kosten der Cyberkriminalität sind weltweit schwindelerregend und steigen rapide an. Tatsächlich beliefen sich die Kosten der Cyberkriminalität im Jahr 2020 auf etwa 1 Billion Dollar. Im Durchschnitt belaufen sich die Kosten einer Datenschutzverletzung auf 4,35 Millionen Dollar - verteilt auf entgangene Geschäfte mit aktuellen und potenziellen Kunden sowie auf die Ressourcen, die für die Aufdeckung, Eskalation und Nacharbeit aufgewendet werden.
Trotz dieser astronomischen Kosten verlangen mehr als die Hälfte der Unternehmen von ihren Entwicklern nicht, dass sie jährlich eine formelle Schulung zu sicherem Code absolvieren.
Sicherheitsexperten wissen, dass das Aufspüren und Beheben von Schwachstellen manchmal wie ein Spiel mit dem Maulwurf erscheint. Selbst wenn Sie bereits über ein Sicherheitsprogramm mit einer Abhilfestrategie verfügen, gibt es immer eine Möglichkeit zur Verbesserung. Die meisten Unternehmen stellen fest, dass ihr Sicherheitsansatz nicht so stabil ist, wie sie dachten, wenn ihre Disaster Recovery- oder Backup-Fähigkeiten auf die Probe gestellt werden. Wenn die Stärkung der Widerstandsfähigkeit Ihres Unternehmens gegenüber Cyberangriffen eine Ihrer obersten Prioritäten ist, sollte ein Perspektivwechsel bei Ihren Entwicklern zu Ihren Plänen gehören, um Ihre Sicherheitslage weiter zu verbessern. Ein qualifiziertes, befähigtes Entwicklerteam, das von Anfang an sicheren Code erstellt und über das nötige Wissen verfügt, um Schwachstellen schnell zu finden und zu beheben, ist das kostengünstigste Mittel zur Risikominderung.
Ein Irrglaube, wenn es um die Ausbildung von Entwicklern geht, ist, dass es sich dabei einfach um Kosten für das Unternehmen oder sogar um eine Versicherungspolice handelt. Laut Klaus Klaus Klinger, DevSec Awareness Evangelist bei der Allianz, "muss das Ganze in den Köpfen des Managements beginnen. Die Investition in die Schulung von Entwicklern ist keine verlorene Investition, sondern eine Investition in Qualität, Produktivität und den Ruf des Unternehmens".
Der ROI ist in diesem Bereich oft schwer zu beziffern, aber letztendlich sollten Unternehmen darüber nachdenken, wie ihre Sicherheitsmaßnahmen ihnen helfen, Risiken zu reduzieren, ihre Vorgehensweise zu rationalisieren und Zeit und Produktivität für ihre Entwicklerteams zu sparen.
Wie kann man den ROI der Cybersicherheitskosten quantifizieren?
Wenn es um den ROI geht, ist es wichtig, ihn in zwei verschiedenen Rahmen zu betrachten: die Kosteneinsparungen durch Risikominderung und die Auswirkungen Ihrer Sicherheitsschulung.
Betrachten wir dieses allzu häufige Beispiel: Eine Sicherheitslücke oder ein Sicherheitsverstoß führt dazu, dass eine E-Commerce-Website mehrere Tage lang offline ist, während die Teams nach dem Problem und dessen Behebung suchen. Die Kosten für das Versäumnis, das Problem zu beheben, lassen sich anhand der entgangenen Einnahmen während des Ausfalls, der Auswirkungen gestohlener Zugangsdaten, des Vertrauensverlusts der Kunden (der langfristig zu Umsatzeinbußen führt) und des allgemeinen Produktivitätsverlusts während der Behebung des Problems beziffern.
Dies läuft im Grunde auf eine Kosten-Nutzen-Analyse hinaus. Die wichtigsten Bereiche, die Sie bewerten sollten, sind der Reifegrad der Sicherheit in Ihrem Unternehmen, die Risikoakzeptanz Ihres Unternehmens und die Bereiche in Ihrem Code, die gewartet oder verbessert werden müssen.
Die Menschen konzentrieren sich oft auf die falschen Messgrößen, um Erfolg und Wert zu bestimmen. Vielleicht sollten wir uns weniger um die Rendite der Anfangsinvestition des Programms kümmern und stattdessen die Auswirkungen des Programms selbst messen.
Maßnahme zum Nachweis der Wirkung
Um den ROI zu ermitteln, müssen Sie messbare Ziele festlegen. Dies beginnt damit, dass Sie die sicheren Programmierkenntnisse Ihrer Entwickler bewerten und feststellen, wo sie ihre Fähigkeiten ausbauen müssen.
Ein erster Ansatzpunkt wäre die Messung des Engagements, um strategische Entscheidungen über die Gestaltung besserer Schulungsprogramme treffen zu können. Am wichtigsten ist es, die Auswirkungen zu messen. Beginnen Sie damit, die Anzahl der Schwachstellen zu ermitteln, die im Lebenszyklus der Softwareentwicklung durch Codeanalyse, Bug Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Eine der einfachsten Möglichkeiten, um festzustellen, ob Ihr Schulungsprogramm den gewünschten Erfolg hat, ist die Messung des Rückgangs der Schwachstellen, die in Ihre Codebasis insgesamt eingeführt werden.
Die wichtigsten Fragen zur Bewertung des ROI:
1. Rationalisieren wir unseren Ansatz?
Werfen Sie mehr Tools auf das Problem oder lösen Sie es an der Wurzel? Das Hinzufügen weiterer Tools zu Ihrem Tech-Stack führt zu einem "Schweizer Käse"-Ansatz bei der Suche und Behebung von Schwachstellen. Außerdem erhöhen sie die Betriebskosten, ohne die Quelle vieler Schwachstellen zu beeinflussen - den Code. Obwohl Scanning- und Pentesting-Tools unbedingt zu Ihrem Arsenal gehören sollten, sollten sie nicht Ihre letzte Verteidigungslinie sein.
2. Verbessern wir Effizienz und Produktivität?
Die Zeit, die für erschöpfende Codeüberprüfungen und Überarbeitungen des von AppSec zurückgesandten Codes aufgewendet wird, kann zu einem erheblichen Produktivitätsverlust führen. Die Verringerung von "Fire Drills" durch die Ermächtigung und Befähigung von Entwicklerteams, bei der Schulung für sicheren Code selbst Hand anzulegen, sollte ein guter Maßstab für die Bewertung der positiven Auswirkungen Ihres Sicherheitsprogramms sein.
3. verringern wir die Risiken?
Eine Schwachstelle zu finden und zu beheben kann wie das Lösen eines großen Puzzles sein, das manchmal Tage, Wochen oder sogar Monate dauern kann, um es mit einer robusten Lösung abzuschließen. Wenn Entwickler in die Lage versetzt werden, die Fehlerbehebung an der Quelle selbst durchzuführen, kann sich AppSec auf die Risikoüberwachung und die Stärkung der Sicherheitslage des Unternehmens konzentrieren.
4. Erhöhen wir die Geschwindigkeit (bei gleichbleibender Qualität)?
Die schnelle Bereitstellung von Code ist nicht immer eine gute Sache. Wenn man an der falschen Stelle spart und Schwachstellen in den Code einbaut, kann das in der Zukunft viel Kopfzerbrechen bereiten und technische Schulden anhäufen. Kurzfristiges Denken ist hier nicht die Lösung. Man kann das Risiko mindern, indem man seinen Code von Anfang an absichert, so dass sich das Problem in der Zukunft nicht verschlimmert.
Empfohlene Metriken zur Überwachung:
- Engagement - wie viel Zeit planen Sie für die Schulung ein und wie engagieren sich die Entwickler? Nehmen sie an courses, an Bewertungen und an tournaments teil?
- Fähigkeiten - wo liegen die Stärken? Welche Bereiche sind verbesserungsbedürftig?
- Verringerung der Schwachstellen - haben Sie bei der Codeüberprüfung einen messbaren Rückgang der Schwachstellen festgestellt? Erleben Sie, dass weniger Nacharbeit von AppSec zurückkommt?
- Produktivität - wie lange dauert es, ein Problem zu beheben? Haben Sie eine Steigerung der Produktivität oder Geschwindigkeit bei der Reduzierung von Schwachstellen festgestellt?
Wert schaffen durch Linksverschiebung
Sicherheitsverletzungen und Schwachstellen nehmen jedes Jahr rapide zu. Es ist wichtig, proaktiv einen ganzheitlichen Ansatz für die Sicherheit zu entwickeln - angefangen bei Ihrem Code. Dies wird dazu beitragen,:
- Reduzieren Sie die Komplexität, indem Sie in Ihre wertvollsten Ressourcen - Ihre Mitarbeiter - investieren, anstatt Geld für Tools auszugeben, die nur einen Teil des Problems lösen.
- Verbessern Sie die Effizienz und Gesamteffektivität, indem Sie Nacharbeiten oder Fehlerbehebungen einschränken, die normalerweise von AppSec nach der Bereitstellung des Codes identifiziert werden würden.
- Risikominimierung und Einhaltung von Vorschriften, um kostspielige Bußgelder, den Verlust des Kundenvertrauens oder - noch schlimmer - die Kosten einer Datenschutzverletzung zu vermeiden
Vermeiden Sie kurzfristiges Denken und schnelle Lösungen. Sie können nur zu technischen Schulden und weiteren Kosten führen. Planen Sie langfristig, indem Sie Ihre Entwickler weiterbilden und befähigen, Ihre beste Verteidigungslinie gegen Schwachstellen und Cyberkriminalität zu sein, und überzeugen Sie sich selbst von den Auswirkungen und Kosteneinsparungen.
Möchten Sie mehr erfahren?
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Secure Code Warrior
Secure Code Warrior baut eine Kultur von sicherheitsorientierten Entwicklern auf, indem es ihnen die Fähigkeiten vermittelt, sicher zu programmieren. Unser Flaggschiff Agile Learning Platform bietet relevante fähigkeitsbasierte Pfade, praktische Übungen missions und kontextbezogene Tools, mit denen Entwickler ihre Fähigkeiten zum Schreiben von sicherem Code schnell erlernen, aufbauen und anwenden können.
Verwandte Artikel, die wir empfehlen
Verwandte Artikel, die wir empfehlen
Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.
Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.
Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit
Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.
Der ROI der entwicklergesteuerten Sicherheit
Die Kosten von schlechtem Code
Technologiesprünge machen es Entwicklern leichter als je zuvor, Code schneller als je zuvor bereitzustellen. Dies kann für die Innovation aufregend sein, aber auch entmutigend, wenn es darum geht, die Qualität und Sicherheit von Software zu erhöhen. Die Rechtfertigung der Kosten für zusätzliche Tools, Trainingsprogramme und Investitionen in die Weiterbildung von Entwicklern kann wie ein "Nice-to-have" gegenüber einer kritischen Geschäftsfunktion erscheinen, wenn die Geschwindigkeit des ausgelieferten Codes beibehalten wird.
Die schnellere Bereitstellung von Code mag einfacher geworden sein, die Bereitstellung von sicherem Code ist es leider nicht - und so sind Unternehmen anfälliger für Bedrohungen als je zuvor. Die Kosten der Cyberkriminalität sind weltweit schwindelerregend und steigen rapide an. Tatsächlich beliefen sich die Kosten der Cyberkriminalität im Jahr 2020 auf etwa 1 Billion Dollar. Im Durchschnitt belaufen sich die Kosten einer Datenschutzverletzung auf 4,35 Millionen Dollar - verteilt auf entgangene Geschäfte mit aktuellen und potenziellen Kunden sowie auf die Ressourcen, die für die Aufdeckung, Eskalation und Nacharbeit aufgewendet werden.
Trotz dieser astronomischen Kosten verlangen mehr als die Hälfte der Unternehmen von ihren Entwicklern nicht, dass sie jährlich eine formelle Schulung zu sicherem Code absolvieren.
Sicherheitsexperten wissen, dass das Aufspüren und Beheben von Schwachstellen manchmal wie ein Spiel mit dem Maulwurf erscheint. Selbst wenn Sie bereits über ein Sicherheitsprogramm mit einer Abhilfestrategie verfügen, gibt es immer eine Möglichkeit zur Verbesserung. Die meisten Unternehmen stellen fest, dass ihr Sicherheitsansatz nicht so stabil ist, wie sie dachten, wenn ihre Disaster Recovery- oder Backup-Fähigkeiten auf die Probe gestellt werden. Wenn die Stärkung der Widerstandsfähigkeit Ihres Unternehmens gegenüber Cyberangriffen eine Ihrer obersten Prioritäten ist, sollte ein Perspektivwechsel bei Ihren Entwicklern zu Ihren Plänen gehören, um Ihre Sicherheitslage weiter zu verbessern. Ein qualifiziertes, befähigtes Entwicklerteam, das von Anfang an sicheren Code erstellt und über das nötige Wissen verfügt, um Schwachstellen schnell zu finden und zu beheben, ist das kostengünstigste Mittel zur Risikominderung.
Ein Irrglaube, wenn es um die Ausbildung von Entwicklern geht, ist, dass es sich dabei einfach um Kosten für das Unternehmen oder sogar um eine Versicherungspolice handelt. Laut Klaus Klaus Klinger, DevSec Awareness Evangelist bei der Allianz, "muss das Ganze in den Köpfen des Managements beginnen. Die Investition in die Schulung von Entwicklern ist keine verlorene Investition, sondern eine Investition in Qualität, Produktivität und den Ruf des Unternehmens".
Der ROI ist in diesem Bereich oft schwer zu beziffern, aber letztendlich sollten Unternehmen darüber nachdenken, wie ihre Sicherheitsmaßnahmen ihnen helfen, Risiken zu reduzieren, ihre Vorgehensweise zu rationalisieren und Zeit und Produktivität für ihre Entwicklerteams zu sparen.
Wie kann man den ROI der Cybersicherheitskosten quantifizieren?
Wenn es um den ROI geht, ist es wichtig, ihn in zwei verschiedenen Rahmen zu betrachten: die Kosteneinsparungen durch Risikominderung und die Auswirkungen Ihrer Sicherheitsschulung.
Betrachten wir dieses allzu häufige Beispiel: Eine Sicherheitslücke oder ein Sicherheitsverstoß führt dazu, dass eine E-Commerce-Website mehrere Tage lang offline ist, während die Teams nach dem Problem und dessen Behebung suchen. Die Kosten für das Versäumnis, das Problem zu beheben, lassen sich anhand der entgangenen Einnahmen während des Ausfalls, der Auswirkungen gestohlener Zugangsdaten, des Vertrauensverlusts der Kunden (der langfristig zu Umsatzeinbußen führt) und des allgemeinen Produktivitätsverlusts während der Behebung des Problems beziffern.
Dies läuft im Grunde auf eine Kosten-Nutzen-Analyse hinaus. Die wichtigsten Bereiche, die Sie bewerten sollten, sind der Reifegrad der Sicherheit in Ihrem Unternehmen, die Risikoakzeptanz Ihres Unternehmens und die Bereiche in Ihrem Code, die gewartet oder verbessert werden müssen.
Die Menschen konzentrieren sich oft auf die falschen Messgrößen, um Erfolg und Wert zu bestimmen. Vielleicht sollten wir uns weniger um die Rendite der Anfangsinvestition des Programms kümmern und stattdessen die Auswirkungen des Programms selbst messen.
Maßnahme zum Nachweis der Wirkung
Um den ROI zu ermitteln, müssen Sie messbare Ziele festlegen. Dies beginnt damit, dass Sie die sicheren Programmierkenntnisse Ihrer Entwickler bewerten und feststellen, wo sie ihre Fähigkeiten ausbauen müssen.
Ein erster Ansatzpunkt wäre die Messung des Engagements, um strategische Entscheidungen über die Gestaltung besserer Schulungsprogramme treffen zu können. Am wichtigsten ist es, die Auswirkungen zu messen. Beginnen Sie damit, die Anzahl der Schwachstellen zu ermitteln, die im Lebenszyklus der Softwareentwicklung durch Codeanalyse, Bug Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Eine der einfachsten Möglichkeiten, um festzustellen, ob Ihr Schulungsprogramm den gewünschten Erfolg hat, ist die Messung des Rückgangs der Schwachstellen, die in Ihre Codebasis insgesamt eingeführt werden.
Die wichtigsten Fragen zur Bewertung des ROI:
1. Rationalisieren wir unseren Ansatz?
Werfen Sie mehr Tools auf das Problem oder lösen Sie es an der Wurzel? Das Hinzufügen weiterer Tools zu Ihrem Tech-Stack führt zu einem "Schweizer Käse"-Ansatz bei der Suche und Behebung von Schwachstellen. Außerdem erhöhen sie die Betriebskosten, ohne die Quelle vieler Schwachstellen zu beeinflussen - den Code. Obwohl Scanning- und Pentesting-Tools unbedingt zu Ihrem Arsenal gehören sollten, sollten sie nicht Ihre letzte Verteidigungslinie sein.
2. Verbessern wir Effizienz und Produktivität?
Die Zeit, die für erschöpfende Codeüberprüfungen und Überarbeitungen des von AppSec zurückgesandten Codes aufgewendet wird, kann zu einem erheblichen Produktivitätsverlust führen. Die Verringerung von "Fire Drills" durch die Ermächtigung und Befähigung von Entwicklerteams, bei der Schulung für sicheren Code selbst Hand anzulegen, sollte ein guter Maßstab für die Bewertung der positiven Auswirkungen Ihres Sicherheitsprogramms sein.
3. verringern wir die Risiken?
Eine Schwachstelle zu finden und zu beheben kann wie das Lösen eines großen Puzzles sein, das manchmal Tage, Wochen oder sogar Monate dauern kann, um es mit einer robusten Lösung abzuschließen. Wenn Entwickler in die Lage versetzt werden, die Fehlerbehebung an der Quelle selbst durchzuführen, kann sich AppSec auf die Risikoüberwachung und die Stärkung der Sicherheitslage des Unternehmens konzentrieren.
4. Erhöhen wir die Geschwindigkeit (bei gleichbleibender Qualität)?
Die schnelle Bereitstellung von Code ist nicht immer eine gute Sache. Wenn man an der falschen Stelle spart und Schwachstellen in den Code einbaut, kann das in der Zukunft viel Kopfzerbrechen bereiten und technische Schulden anhäufen. Kurzfristiges Denken ist hier nicht die Lösung. Man kann das Risiko mindern, indem man seinen Code von Anfang an absichert, so dass sich das Problem in der Zukunft nicht verschlimmert.
Empfohlene Metriken zur Überwachung:
- Engagement - wie viel Zeit planen Sie für die Schulung ein und wie engagieren sich die Entwickler? Nehmen sie an courses, an Bewertungen und an tournaments teil?
- Fähigkeiten - wo liegen die Stärken? Welche Bereiche sind verbesserungsbedürftig?
- Verringerung der Schwachstellen - haben Sie bei der Codeüberprüfung einen messbaren Rückgang der Schwachstellen festgestellt? Erleben Sie, dass weniger Nacharbeit von AppSec zurückkommt?
- Produktivität - wie lange dauert es, ein Problem zu beheben? Haben Sie eine Steigerung der Produktivität oder Geschwindigkeit bei der Reduzierung von Schwachstellen festgestellt?
Wert schaffen durch Linksverschiebung
Sicherheitsverletzungen und Schwachstellen nehmen jedes Jahr rapide zu. Es ist wichtig, proaktiv einen ganzheitlichen Ansatz für die Sicherheit zu entwickeln - angefangen bei Ihrem Code. Dies wird dazu beitragen,:
- Reduzieren Sie die Komplexität, indem Sie in Ihre wertvollsten Ressourcen - Ihre Mitarbeiter - investieren, anstatt Geld für Tools auszugeben, die nur einen Teil des Problems lösen.
- Verbessern Sie die Effizienz und Gesamteffektivität, indem Sie Nacharbeiten oder Fehlerbehebungen einschränken, die normalerweise von AppSec nach der Bereitstellung des Codes identifiziert werden würden.
- Risikominimierung und Einhaltung von Vorschriften, um kostspielige Bußgelder, den Verlust des Kundenvertrauens oder - noch schlimmer - die Kosten einer Datenschutzverletzung zu vermeiden
Vermeiden Sie kurzfristiges Denken und schnelle Lösungen. Sie können nur zu technischen Schulden und weiteren Kosten führen. Planen Sie langfristig, indem Sie Ihre Entwickler weiterbilden und befähigen, Ihre beste Verteidigungslinie gegen Schwachstellen und Cyberkriminalität zu sein, und überzeugen Sie sich selbst von den Auswirkungen und Kosteneinsparungen.
