Warum Gamification der Schlüssel zur Verbesserung Ihrer Software-Sicherheit ist
AppSec-Manager, CISOs, CIOs, Cybersecurity-Experten - ich habe im Laufe meiner eigenen Karriere in der Software-Entwicklung und -Sicherheit mit vielen von ihnen gesprochen, die in allen möglichen Unternehmen auf der ganzen Welt arbeiten.
Unabhängig davon, wie unterschiedlich ihre Situation ist, wie erfahren ihr Team ist oder wie viel Zeit in dieser sich ständig verändernden digitalen Welt vergeht, gibt es ein Problem, das immer gleich bleibt: Sie sind selten in der Lage, ihr Entwicklerteam positiv auf das Thema Sicherheit einzuschwören. Sicherheit ist immer noch das Schimpfwort, die Quelle für Konflikte zwischen Teams und der regelrechte Schmerz im Hintern der Branche.
Software-Sicherheit ist jedoch einfach zu wichtig, als dass unsere allgemeine Denkweise diesen Weg weiterverfolgen könnte. Wir müssen daran arbeiten, die Konversation zu ändern, um Sicherheit zu einem integralen Bestandteil des Arbeitslebens eines jeden Entwicklers zu machen. Und ich denke, eine der besten Möglichkeiten, dies zu tun, ist die Befähigung und Einbindung von Entwicklern in das Thema Sicherheit, z. B. durch Gamification.
Die aktuelle Landschaft
Entwickler verlassen die Universität mit sehr wenig praktischem Wissen über die Bereitstellung von sicherem Code, sie arbeiten in Jobs, in denen Sicherheitstraining selten eine Priorität ist (und wenn, dann ist es normalerweise Teil der obligatorischen Compliance-Videos rund um Gesundheit und Sicherheit, die so langweilig sind, dass niemand jemals dazu bewegt werden würde, sich um sichere Programmierung zu kümmern). Sehr oft ist ihre erste Erfahrung mit Sicherheit ein Audit oder ein Fehlerbericht beim Testen, der plötzlich ein zukünftiges Release stoppt und zu einer sofortigen Top-Prioritäts-Störung ihres kreativen Geistes wird. Sie befinden sich im Streit mit denjenigen, die für die Sicherheitsberichte verantwortlich sind, so dass "Sicherheit" in ihrem Kopf zum Synonym für "Kritik" wird. Igitt.
Es ist ehrlich gesagt eine echte Schande, dass diese negative Wahrnehmung von Softwaresicherheit so weit verbreitet ist. Immerhin beziehen sich einige der besten Erinnerungen, die ich an meine Karriere habe, auf das Lernen über Softwaresicherheit. Ich verbrachte meine frühen Hacker-Tage damit, Konferenzen zu besuchen, auf denen ich nicht nur meine Fähigkeiten gegen Gleichgesinnte testen konnte (und, um ehrlich zu sein, ein wenig angeben konnte), sondern auch enormen Spaß daran hatte, Gleichgesinnte zu treffen, die genauso viel Spaß daran hatten, Software zu knacken wie ich.
BruCon, DefCon, BlackHat... diese Veranstaltungen boten Leuten wie mir die Möglichkeit, unsere Fähigkeiten in einem freundlichen Wettbewerb einzusetzen. Obwohl ich nie zugeben würde, dass ich an solchen asozialen Dingen teilnehme, stellten einige sogar ihre Hacking-Fähigkeiten zur Schau, indem sie in die Telefone anderer Teilnehmer einbrachen und ihre Informationen auf den Präsentationsbildschirmen für alle sichtbar anzeigten. Es wurde zu einem Spiel, diese Fehler zu finden - sie auszunutzen und zu beheben - um Software besser zu machen. Vor ein paar Jahren hatte ich das Privileg, vor Hunderten von Kindern im Nahen Osten zu stehen und sie über Cybersicherheit zu unterrichten. Ich erinnere mich noch an ein achtjähriges Mädchen unter meinen Schülern, das beim Spielen etwas über Brute-Forcing von Passwörtern und Base64-Kodierung lernte.
Gamification wird auch verwendet, um Programmierkenntnisse zu vermitteln. Bildungseinrichtungen auf der ganzen Welt nutzen diesen Ansatz, um sehr jungen Kindern bis hin zum Highschool-Alter das Programmieren beizubringen. Kinder im Alter von vier Jahren nehmen jetzt regelmäßig an Ferieninitiativen wie CodeCamp teil, und es gibt eine Reihe von fantastischen Online-Programmen, die Kindern das Programmieren in Python und anderen Sprachen beibringen. Ich habe sogar das erstaunliche bildschirmlose Codierungstool Cubetto für meine vierjährige Tochter gekauft.
Doch trotz all dieses Spaßes und Fortschritts gibt es eine Lücke. Niemand dachte an die Möglichkeit, Gamification zu nutzen, um Entwicklern beizubringen, wie man sicheren Code schreibt.
Nun... fast niemand. Vor ein paar Jahren kam ich zu der Erkenntnis, dass wir Sicherheit wieder inspirierend machen und Entwickler wirklich motivieren müssen, sich zu beteiligen und zu spielen.
Gamification: Der einfache Weg nach vorn.
Es gibt einen tiefen Antrieb in mir, Entwickler mit Sicherheitswissen aufzurichten und zu befähigen, und es ist diese Leidenschaft, die mich zur Gründung von Secure Code Warrior geführt hat. Softwaresicherheit ist so wichtig, und sie kann wirklich aufregend sein.
Ich bin nicht allein mit meiner Meinung.
Gamification kann selbst die alltäglichsten Aufgaben unterhaltsamer machen und hält die Menschen so engagiert, dass sie weiter spielen, gewinnen und Fortschritte machen wollen - schauen Sie sich nur an, wie Pok̩mon Go! selbst die faulsten Menschen von der Couch, nach draußen und auf die Suche nach imaginären Kreaturen gebracht hat, oder wie FitBit es für viele zu einem täglichen Ziel macht, ihre Schrittzahl zu erreichen... ein sehr reales Gefühl der Enttäuschung stellt sich ein, wenn diese Ziele nicht erreicht werden, wenn Serien beendet werden und Abzeichen nicht verdient werden.
Also, zurück zum Sicherheitstraining. Wir haben bei vielen Kunden bewiesen, dass Gamification der Schlüssel ist, um die Sicherheitskultur in ihren Organisationen wirklich zu verändern, Brücken zwischen AppSec- und Entwicklungsteams zu bauen und ihnen generell dabei zu helfen, Software mit einem höheren Standard zu entwickeln.
Im Moment ist die Sicherheit nicht die Priorität des Entwicklers. Indem Sie Ihren Trainingsmethoden ein freundliches, wettbewerbsorientiertes und fesselndes Element hinzufügen, motivieren Sie sie, nicht nur zu "spielen", sondern immer wieder zurückzukehren, um mehr Punkte zu sammeln, Highscores zu schlagen, genauer zu werden und die anderen Teammitglieder herauszufordern.
Wir wissen bereits, dass erfolgreiches Training in etwa so aussieht:
- Entwickler können in echtem Code und in ihren eigenen Sprachen/Frameworks arbeiten
- Die Challenges sind kurz und decken alle gängigen Sicherheitslücken ab
- Herausforderungen werden ständig erweitert und aktualisiert, so dass Entwickler ihre Fähigkeiten im Laufe der Zeit weiter ausbauen können
- Die Herausforderungen variieren in ihrer Komplexität, so dass sie sowohl für erfahrene als auch für weniger erfahrene Entwickler interessant sind
- Entwickler und ihre Manager können den Fortschritt einsehen, einschließlich der abgeschlossenen Herausforderungen, ihrer Stärken und Schwächen, der für das Training aufgewendeten Zeit und ihrer Gesamtgenauigkeit.
Einer unserer größten Kunden zeigte die wahre Magie einer gamifizierten Plattform bei der Einführung, indem er seine Entwickler mit thematischer Teamkleidung ausstattete, tolle Preise für die Gewinner der Spiele auslobte und tournament wirklich zu einem unvergesslichen Tag machte. Seitdem haben sie internationale Wettbewerbe angeboten, und ihr gesamtes Team sammelt bis heute fleißig Trainingsstunden.
Ihre eigene Software-Revolution beginnt hier. Der australische Bankensektor ist führend bei der Einführung von gamifizierten Schulungen im Kampf gegen schlechten Code, in einem wirklich innovativen Ansatz, der traditionelle (oder langweilige) Schulungen auf den Kopf stellt - sehen Sie sich nur an, was unser Kunde mit seinem Next-Level tournament gemacht hat. Sind Sie bereit, Ihr Team mit uns auf ein neues Level zu bringen?
Wir müssen daran arbeiten, die Konversation zu ändern, um Sicherheit zu einem integralen Bestandteil des Arbeitslebens eines jeden Entwicklers zu machen. Und ich denke, eine der besten Möglichkeiten, dies zu tun, ist, Entwickler zu befähigen und mit ihnen über Sicherheit zu sprechen, zum Beispiel durch Gamification.
Wir müssen daran arbeiten, die Konversation zu ändern, um Sicherheit zu einem integralen Bestandteil des Arbeitslebens eines jeden Entwicklers zu machen. Und ich denke, eine der besten Möglichkeiten, dies zu tun, ist, Entwickler zu befähigen und mit ihnen über Sicherheit zu sprechen, zum Beispiel durch Gamification.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
AppSec-Manager, CISOs, CIOs, Cybersecurity-Experten - ich habe im Laufe meiner eigenen Karriere in der Software-Entwicklung und -Sicherheit mit vielen von ihnen gesprochen, die in allen möglichen Unternehmen auf der ganzen Welt arbeiten.
Unabhängig davon, wie unterschiedlich ihre Situation ist, wie erfahren ihr Team ist oder wie viel Zeit in dieser sich ständig verändernden digitalen Welt vergeht, gibt es ein Problem, das immer gleich bleibt: Sie sind selten in der Lage, ihr Entwicklerteam positiv auf das Thema Sicherheit einzuschwören. Sicherheit ist immer noch das Schimpfwort, die Quelle für Konflikte zwischen Teams und der regelrechte Schmerz im Hintern der Branche.
Software-Sicherheit ist jedoch einfach zu wichtig, als dass unsere allgemeine Denkweise diesen Weg weiterverfolgen könnte. Wir müssen daran arbeiten, die Konversation zu ändern, um Sicherheit zu einem integralen Bestandteil des Arbeitslebens eines jeden Entwicklers zu machen. Und ich denke, eine der besten Möglichkeiten, dies zu tun, ist die Befähigung und Einbindung von Entwicklern in das Thema Sicherheit, z. B. durch Gamification.
Die aktuelle Landschaft
Entwickler verlassen die Universität mit sehr wenig praktischem Wissen über die Bereitstellung von sicherem Code, sie arbeiten in Jobs, in denen Sicherheitstraining selten eine Priorität ist (und wenn, dann ist es normalerweise Teil der obligatorischen Compliance-Videos rund um Gesundheit und Sicherheit, die so langweilig sind, dass niemand jemals dazu bewegt werden würde, sich um sichere Programmierung zu kümmern). Sehr oft ist ihre erste Erfahrung mit Sicherheit ein Audit oder ein Fehlerbericht beim Testen, der plötzlich ein zukünftiges Release stoppt und zu einer sofortigen Top-Prioritäts-Störung ihres kreativen Geistes wird. Sie befinden sich im Streit mit denjenigen, die für die Sicherheitsberichte verantwortlich sind, so dass "Sicherheit" in ihrem Kopf zum Synonym für "Kritik" wird. Igitt.
Es ist ehrlich gesagt eine echte Schande, dass diese negative Wahrnehmung von Softwaresicherheit so weit verbreitet ist. Immerhin beziehen sich einige der besten Erinnerungen, die ich an meine Karriere habe, auf das Lernen über Softwaresicherheit. Ich verbrachte meine frühen Hacker-Tage damit, Konferenzen zu besuchen, auf denen ich nicht nur meine Fähigkeiten gegen Gleichgesinnte testen konnte (und, um ehrlich zu sein, ein wenig angeben konnte), sondern auch enormen Spaß daran hatte, Gleichgesinnte zu treffen, die genauso viel Spaß daran hatten, Software zu knacken wie ich.
BruCon, DefCon, BlackHat... diese Veranstaltungen boten Leuten wie mir die Möglichkeit, unsere Fähigkeiten in einem freundlichen Wettbewerb einzusetzen. Obwohl ich nie zugeben würde, dass ich an solchen asozialen Dingen teilnehme, stellten einige sogar ihre Hacking-Fähigkeiten zur Schau, indem sie in die Telefone anderer Teilnehmer einbrachen und ihre Informationen auf den Präsentationsbildschirmen für alle sichtbar anzeigten. Es wurde zu einem Spiel, diese Fehler zu finden - sie auszunutzen und zu beheben - um Software besser zu machen. Vor ein paar Jahren hatte ich das Privileg, vor Hunderten von Kindern im Nahen Osten zu stehen und sie über Cybersicherheit zu unterrichten. Ich erinnere mich noch an ein achtjähriges Mädchen unter meinen Schülern, das beim Spielen etwas über Brute-Forcing von Passwörtern und Base64-Kodierung lernte.
Gamification wird auch verwendet, um Programmierkenntnisse zu vermitteln. Bildungseinrichtungen auf der ganzen Welt nutzen diesen Ansatz, um sehr jungen Kindern bis hin zum Highschool-Alter das Programmieren beizubringen. Kinder im Alter von vier Jahren nehmen jetzt regelmäßig an Ferieninitiativen wie CodeCamp teil, und es gibt eine Reihe von fantastischen Online-Programmen, die Kindern das Programmieren in Python und anderen Sprachen beibringen. Ich habe sogar das erstaunliche bildschirmlose Codierungstool Cubetto für meine vierjährige Tochter gekauft.
Doch trotz all dieses Spaßes und Fortschritts gibt es eine Lücke. Niemand dachte an die Möglichkeit, Gamification zu nutzen, um Entwicklern beizubringen, wie man sicheren Code schreibt.
Nun... fast niemand. Vor ein paar Jahren kam ich zu der Erkenntnis, dass wir Sicherheit wieder inspirierend machen und Entwickler wirklich motivieren müssen, sich zu beteiligen und zu spielen.
Gamification: Der einfache Weg nach vorn.
Es gibt einen tiefen Antrieb in mir, Entwickler mit Sicherheitswissen aufzurichten und zu befähigen, und es ist diese Leidenschaft, die mich zur Gründung von Secure Code Warrior geführt hat. Softwaresicherheit ist so wichtig, und sie kann wirklich aufregend sein.
Ich bin nicht allein mit meiner Meinung.
Gamification kann selbst die alltäglichsten Aufgaben unterhaltsamer machen und hält die Menschen so engagiert, dass sie weiter spielen, gewinnen und Fortschritte machen wollen - schauen Sie sich nur an, wie Pok̩mon Go! selbst die faulsten Menschen von der Couch, nach draußen und auf die Suche nach imaginären Kreaturen gebracht hat, oder wie FitBit es für viele zu einem täglichen Ziel macht, ihre Schrittzahl zu erreichen... ein sehr reales Gefühl der Enttäuschung stellt sich ein, wenn diese Ziele nicht erreicht werden, wenn Serien beendet werden und Abzeichen nicht verdient werden.
Also, zurück zum Sicherheitstraining. Wir haben bei vielen Kunden bewiesen, dass Gamification der Schlüssel ist, um die Sicherheitskultur in ihren Organisationen wirklich zu verändern, Brücken zwischen AppSec- und Entwicklungsteams zu bauen und ihnen generell dabei zu helfen, Software mit einem höheren Standard zu entwickeln.
Im Moment ist die Sicherheit nicht die Priorität des Entwicklers. Indem Sie Ihren Trainingsmethoden ein freundliches, wettbewerbsorientiertes und fesselndes Element hinzufügen, motivieren Sie sie, nicht nur zu "spielen", sondern immer wieder zurückzukehren, um mehr Punkte zu sammeln, Highscores zu schlagen, genauer zu werden und die anderen Teammitglieder herauszufordern.
Wir wissen bereits, dass erfolgreiches Training in etwa so aussieht:
- Entwickler können in echtem Code und in ihren eigenen Sprachen/Frameworks arbeiten
- Die Challenges sind kurz und decken alle gängigen Sicherheitslücken ab
- Herausforderungen werden ständig erweitert und aktualisiert, so dass Entwickler ihre Fähigkeiten im Laufe der Zeit weiter ausbauen können
- Die Herausforderungen variieren in ihrer Komplexität, so dass sie sowohl für erfahrene als auch für weniger erfahrene Entwickler interessant sind
- Entwickler und ihre Manager können den Fortschritt einsehen, einschließlich der abgeschlossenen Herausforderungen, ihrer Stärken und Schwächen, der für das Training aufgewendeten Zeit und ihrer Gesamtgenauigkeit.
Einer unserer größten Kunden zeigte die wahre Magie einer gamifizierten Plattform bei der Einführung, indem er seine Entwickler mit thematischer Teamkleidung ausstattete, tolle Preise für die Gewinner der Spiele auslobte und tournament wirklich zu einem unvergesslichen Tag machte. Seitdem haben sie internationale Wettbewerbe angeboten, und ihr gesamtes Team sammelt bis heute fleißig Trainingsstunden.
Ihre eigene Software-Revolution beginnt hier. Der australische Bankensektor ist führend bei der Einführung von gamifizierten Schulungen im Kampf gegen schlechten Code, in einem wirklich innovativen Ansatz, der traditionelle (oder langweilige) Schulungen auf den Kopf stellt - sehen Sie sich nur an, was unser Kunde mit seinem Next-Level tournament gemacht hat. Sind Sie bereit, Ihr Team mit uns auf ein neues Level zu bringen?
Wir müssen daran arbeiten, die Konversation zu ändern, um Sicherheit zu einem integralen Bestandteil des Arbeitslebens eines jeden Entwicklers zu machen. Und ich denke, eine der besten Möglichkeiten, dies zu tun, ist, Entwickler zu befähigen und mit ihnen über Sicherheit zu sprechen, zum Beispiel durch Gamification.
AppSec-Manager, CISOs, CIOs, Cybersecurity-Experten - ich habe im Laufe meiner eigenen Karriere in der Software-Entwicklung und -Sicherheit mit vielen von ihnen gesprochen, die in allen möglichen Unternehmen auf der ganzen Welt arbeiten.
Unabhängig davon, wie unterschiedlich ihre Situation ist, wie erfahren ihr Team ist oder wie viel Zeit in dieser sich ständig verändernden digitalen Welt vergeht, gibt es ein Problem, das immer gleich bleibt: Sie sind selten in der Lage, ihr Entwicklerteam positiv auf das Thema Sicherheit einzuschwören. Sicherheit ist immer noch das Schimpfwort, die Quelle für Konflikte zwischen Teams und der regelrechte Schmerz im Hintern der Branche.
Software-Sicherheit ist jedoch einfach zu wichtig, als dass unsere allgemeine Denkweise diesen Weg weiterverfolgen könnte. Wir müssen daran arbeiten, die Konversation zu ändern, um Sicherheit zu einem integralen Bestandteil des Arbeitslebens eines jeden Entwicklers zu machen. Und ich denke, eine der besten Möglichkeiten, dies zu tun, ist die Befähigung und Einbindung von Entwicklern in das Thema Sicherheit, z. B. durch Gamification.
Die aktuelle Landschaft
Entwickler verlassen die Universität mit sehr wenig praktischem Wissen über die Bereitstellung von sicherem Code, sie arbeiten in Jobs, in denen Sicherheitstraining selten eine Priorität ist (und wenn, dann ist es normalerweise Teil der obligatorischen Compliance-Videos rund um Gesundheit und Sicherheit, die so langweilig sind, dass niemand jemals dazu bewegt werden würde, sich um sichere Programmierung zu kümmern). Sehr oft ist ihre erste Erfahrung mit Sicherheit ein Audit oder ein Fehlerbericht beim Testen, der plötzlich ein zukünftiges Release stoppt und zu einer sofortigen Top-Prioritäts-Störung ihres kreativen Geistes wird. Sie befinden sich im Streit mit denjenigen, die für die Sicherheitsberichte verantwortlich sind, so dass "Sicherheit" in ihrem Kopf zum Synonym für "Kritik" wird. Igitt.
Es ist ehrlich gesagt eine echte Schande, dass diese negative Wahrnehmung von Softwaresicherheit so weit verbreitet ist. Immerhin beziehen sich einige der besten Erinnerungen, die ich an meine Karriere habe, auf das Lernen über Softwaresicherheit. Ich verbrachte meine frühen Hacker-Tage damit, Konferenzen zu besuchen, auf denen ich nicht nur meine Fähigkeiten gegen Gleichgesinnte testen konnte (und, um ehrlich zu sein, ein wenig angeben konnte), sondern auch enormen Spaß daran hatte, Gleichgesinnte zu treffen, die genauso viel Spaß daran hatten, Software zu knacken wie ich.
BruCon, DefCon, BlackHat... diese Veranstaltungen boten Leuten wie mir die Möglichkeit, unsere Fähigkeiten in einem freundlichen Wettbewerb einzusetzen. Obwohl ich nie zugeben würde, dass ich an solchen asozialen Dingen teilnehme, stellten einige sogar ihre Hacking-Fähigkeiten zur Schau, indem sie in die Telefone anderer Teilnehmer einbrachen und ihre Informationen auf den Präsentationsbildschirmen für alle sichtbar anzeigten. Es wurde zu einem Spiel, diese Fehler zu finden - sie auszunutzen und zu beheben - um Software besser zu machen. Vor ein paar Jahren hatte ich das Privileg, vor Hunderten von Kindern im Nahen Osten zu stehen und sie über Cybersicherheit zu unterrichten. Ich erinnere mich noch an ein achtjähriges Mädchen unter meinen Schülern, das beim Spielen etwas über Brute-Forcing von Passwörtern und Base64-Kodierung lernte.
Gamification wird auch verwendet, um Programmierkenntnisse zu vermitteln. Bildungseinrichtungen auf der ganzen Welt nutzen diesen Ansatz, um sehr jungen Kindern bis hin zum Highschool-Alter das Programmieren beizubringen. Kinder im Alter von vier Jahren nehmen jetzt regelmäßig an Ferieninitiativen wie CodeCamp teil, und es gibt eine Reihe von fantastischen Online-Programmen, die Kindern das Programmieren in Python und anderen Sprachen beibringen. Ich habe sogar das erstaunliche bildschirmlose Codierungstool Cubetto für meine vierjährige Tochter gekauft.
Doch trotz all dieses Spaßes und Fortschritts gibt es eine Lücke. Niemand dachte an die Möglichkeit, Gamification zu nutzen, um Entwicklern beizubringen, wie man sicheren Code schreibt.
Nun... fast niemand. Vor ein paar Jahren kam ich zu der Erkenntnis, dass wir Sicherheit wieder inspirierend machen und Entwickler wirklich motivieren müssen, sich zu beteiligen und zu spielen.
Gamification: Der einfache Weg nach vorn.
Es gibt einen tiefen Antrieb in mir, Entwickler mit Sicherheitswissen aufzurichten und zu befähigen, und es ist diese Leidenschaft, die mich zur Gründung von Secure Code Warrior geführt hat. Softwaresicherheit ist so wichtig, und sie kann wirklich aufregend sein.
Ich bin nicht allein mit meiner Meinung.
Gamification kann selbst die alltäglichsten Aufgaben unterhaltsamer machen und hält die Menschen so engagiert, dass sie weiter spielen, gewinnen und Fortschritte machen wollen - schauen Sie sich nur an, wie Pok̩mon Go! selbst die faulsten Menschen von der Couch, nach draußen und auf die Suche nach imaginären Kreaturen gebracht hat, oder wie FitBit es für viele zu einem täglichen Ziel macht, ihre Schrittzahl zu erreichen... ein sehr reales Gefühl der Enttäuschung stellt sich ein, wenn diese Ziele nicht erreicht werden, wenn Serien beendet werden und Abzeichen nicht verdient werden.
Also, zurück zum Sicherheitstraining. Wir haben bei vielen Kunden bewiesen, dass Gamification der Schlüssel ist, um die Sicherheitskultur in ihren Organisationen wirklich zu verändern, Brücken zwischen AppSec- und Entwicklungsteams zu bauen und ihnen generell dabei zu helfen, Software mit einem höheren Standard zu entwickeln.
Im Moment ist die Sicherheit nicht die Priorität des Entwicklers. Indem Sie Ihren Trainingsmethoden ein freundliches, wettbewerbsorientiertes und fesselndes Element hinzufügen, motivieren Sie sie, nicht nur zu "spielen", sondern immer wieder zurückzukehren, um mehr Punkte zu sammeln, Highscores zu schlagen, genauer zu werden und die anderen Teammitglieder herauszufordern.
Wir wissen bereits, dass erfolgreiches Training in etwa so aussieht:
- Entwickler können in echtem Code und in ihren eigenen Sprachen/Frameworks arbeiten
- Die Challenges sind kurz und decken alle gängigen Sicherheitslücken ab
- Herausforderungen werden ständig erweitert und aktualisiert, so dass Entwickler ihre Fähigkeiten im Laufe der Zeit weiter ausbauen können
- Die Herausforderungen variieren in ihrer Komplexität, so dass sie sowohl für erfahrene als auch für weniger erfahrene Entwickler interessant sind
- Entwickler und ihre Manager können den Fortschritt einsehen, einschließlich der abgeschlossenen Herausforderungen, ihrer Stärken und Schwächen, der für das Training aufgewendeten Zeit und ihrer Gesamtgenauigkeit.
Einer unserer größten Kunden zeigte die wahre Magie einer gamifizierten Plattform bei der Einführung, indem er seine Entwickler mit thematischer Teamkleidung ausstattete, tolle Preise für die Gewinner der Spiele auslobte und tournament wirklich zu einem unvergesslichen Tag machte. Seitdem haben sie internationale Wettbewerbe angeboten, und ihr gesamtes Team sammelt bis heute fleißig Trainingsstunden.
Ihre eigene Software-Revolution beginnt hier. Der australische Bankensektor ist führend bei der Einführung von gamifizierten Schulungen im Kampf gegen schlechten Code, in einem wirklich innovativen Ansatz, der traditionelle (oder langweilige) Schulungen auf den Kopf stellt - sehen Sie sich nur an, was unser Kunde mit seinem Next-Level tournament gemacht hat. Sind Sie bereit, Ihr Team mit uns auf ein neues Level zu bringen?
Wir müssen daran arbeiten, die Konversation zu ändern, um Sicherheit zu einem integralen Bestandteil des Arbeitslebens eines jeden Entwicklers zu machen. Und ich denke, eine der besten Möglichkeiten, dies zu tun, ist, Entwickler zu befähigen und mit ihnen über Sicherheit zu sprechen, zum Beispiel durch Gamification.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
AppSec-Manager, CISOs, CIOs, Cybersecurity-Experten - ich habe im Laufe meiner eigenen Karriere in der Software-Entwicklung und -Sicherheit mit vielen von ihnen gesprochen, die in allen möglichen Unternehmen auf der ganzen Welt arbeiten.
Unabhängig davon, wie unterschiedlich ihre Situation ist, wie erfahren ihr Team ist oder wie viel Zeit in dieser sich ständig verändernden digitalen Welt vergeht, gibt es ein Problem, das immer gleich bleibt: Sie sind selten in der Lage, ihr Entwicklerteam positiv auf das Thema Sicherheit einzuschwören. Sicherheit ist immer noch das Schimpfwort, die Quelle für Konflikte zwischen Teams und der regelrechte Schmerz im Hintern der Branche.
Software-Sicherheit ist jedoch einfach zu wichtig, als dass unsere allgemeine Denkweise diesen Weg weiterverfolgen könnte. Wir müssen daran arbeiten, die Konversation zu ändern, um Sicherheit zu einem integralen Bestandteil des Arbeitslebens eines jeden Entwicklers zu machen. Und ich denke, eine der besten Möglichkeiten, dies zu tun, ist die Befähigung und Einbindung von Entwicklern in das Thema Sicherheit, z. B. durch Gamification.
Die aktuelle Landschaft
Entwickler verlassen die Universität mit sehr wenig praktischem Wissen über die Bereitstellung von sicherem Code, sie arbeiten in Jobs, in denen Sicherheitstraining selten eine Priorität ist (und wenn, dann ist es normalerweise Teil der obligatorischen Compliance-Videos rund um Gesundheit und Sicherheit, die so langweilig sind, dass niemand jemals dazu bewegt werden würde, sich um sichere Programmierung zu kümmern). Sehr oft ist ihre erste Erfahrung mit Sicherheit ein Audit oder ein Fehlerbericht beim Testen, der plötzlich ein zukünftiges Release stoppt und zu einer sofortigen Top-Prioritäts-Störung ihres kreativen Geistes wird. Sie befinden sich im Streit mit denjenigen, die für die Sicherheitsberichte verantwortlich sind, so dass "Sicherheit" in ihrem Kopf zum Synonym für "Kritik" wird. Igitt.
Es ist ehrlich gesagt eine echte Schande, dass diese negative Wahrnehmung von Softwaresicherheit so weit verbreitet ist. Immerhin beziehen sich einige der besten Erinnerungen, die ich an meine Karriere habe, auf das Lernen über Softwaresicherheit. Ich verbrachte meine frühen Hacker-Tage damit, Konferenzen zu besuchen, auf denen ich nicht nur meine Fähigkeiten gegen Gleichgesinnte testen konnte (und, um ehrlich zu sein, ein wenig angeben konnte), sondern auch enormen Spaß daran hatte, Gleichgesinnte zu treffen, die genauso viel Spaß daran hatten, Software zu knacken wie ich.
BruCon, DefCon, BlackHat... diese Veranstaltungen boten Leuten wie mir die Möglichkeit, unsere Fähigkeiten in einem freundlichen Wettbewerb einzusetzen. Obwohl ich nie zugeben würde, dass ich an solchen asozialen Dingen teilnehme, stellten einige sogar ihre Hacking-Fähigkeiten zur Schau, indem sie in die Telefone anderer Teilnehmer einbrachen und ihre Informationen auf den Präsentationsbildschirmen für alle sichtbar anzeigten. Es wurde zu einem Spiel, diese Fehler zu finden - sie auszunutzen und zu beheben - um Software besser zu machen. Vor ein paar Jahren hatte ich das Privileg, vor Hunderten von Kindern im Nahen Osten zu stehen und sie über Cybersicherheit zu unterrichten. Ich erinnere mich noch an ein achtjähriges Mädchen unter meinen Schülern, das beim Spielen etwas über Brute-Forcing von Passwörtern und Base64-Kodierung lernte.
Gamification wird auch verwendet, um Programmierkenntnisse zu vermitteln. Bildungseinrichtungen auf der ganzen Welt nutzen diesen Ansatz, um sehr jungen Kindern bis hin zum Highschool-Alter das Programmieren beizubringen. Kinder im Alter von vier Jahren nehmen jetzt regelmäßig an Ferieninitiativen wie CodeCamp teil, und es gibt eine Reihe von fantastischen Online-Programmen, die Kindern das Programmieren in Python und anderen Sprachen beibringen. Ich habe sogar das erstaunliche bildschirmlose Codierungstool Cubetto für meine vierjährige Tochter gekauft.
Doch trotz all dieses Spaßes und Fortschritts gibt es eine Lücke. Niemand dachte an die Möglichkeit, Gamification zu nutzen, um Entwicklern beizubringen, wie man sicheren Code schreibt.
Nun... fast niemand. Vor ein paar Jahren kam ich zu der Erkenntnis, dass wir Sicherheit wieder inspirierend machen und Entwickler wirklich motivieren müssen, sich zu beteiligen und zu spielen.
Gamification: Der einfache Weg nach vorn.
Es gibt einen tiefen Antrieb in mir, Entwickler mit Sicherheitswissen aufzurichten und zu befähigen, und es ist diese Leidenschaft, die mich zur Gründung von Secure Code Warrior geführt hat. Softwaresicherheit ist so wichtig, und sie kann wirklich aufregend sein.
Ich bin nicht allein mit meiner Meinung.
Gamification kann selbst die alltäglichsten Aufgaben unterhaltsamer machen und hält die Menschen so engagiert, dass sie weiter spielen, gewinnen und Fortschritte machen wollen - schauen Sie sich nur an, wie Pok̩mon Go! selbst die faulsten Menschen von der Couch, nach draußen und auf die Suche nach imaginären Kreaturen gebracht hat, oder wie FitBit es für viele zu einem täglichen Ziel macht, ihre Schrittzahl zu erreichen... ein sehr reales Gefühl der Enttäuschung stellt sich ein, wenn diese Ziele nicht erreicht werden, wenn Serien beendet werden und Abzeichen nicht verdient werden.
Also, zurück zum Sicherheitstraining. Wir haben bei vielen Kunden bewiesen, dass Gamification der Schlüssel ist, um die Sicherheitskultur in ihren Organisationen wirklich zu verändern, Brücken zwischen AppSec- und Entwicklungsteams zu bauen und ihnen generell dabei zu helfen, Software mit einem höheren Standard zu entwickeln.
Im Moment ist die Sicherheit nicht die Priorität des Entwicklers. Indem Sie Ihren Trainingsmethoden ein freundliches, wettbewerbsorientiertes und fesselndes Element hinzufügen, motivieren Sie sie, nicht nur zu "spielen", sondern immer wieder zurückzukehren, um mehr Punkte zu sammeln, Highscores zu schlagen, genauer zu werden und die anderen Teammitglieder herauszufordern.
Wir wissen bereits, dass erfolgreiches Training in etwa so aussieht:
- Entwickler können in echtem Code und in ihren eigenen Sprachen/Frameworks arbeiten
- Die Challenges sind kurz und decken alle gängigen Sicherheitslücken ab
- Herausforderungen werden ständig erweitert und aktualisiert, so dass Entwickler ihre Fähigkeiten im Laufe der Zeit weiter ausbauen können
- Die Herausforderungen variieren in ihrer Komplexität, so dass sie sowohl für erfahrene als auch für weniger erfahrene Entwickler interessant sind
- Entwickler und ihre Manager können den Fortschritt einsehen, einschließlich der abgeschlossenen Herausforderungen, ihrer Stärken und Schwächen, der für das Training aufgewendeten Zeit und ihrer Gesamtgenauigkeit.
Einer unserer größten Kunden zeigte die wahre Magie einer gamifizierten Plattform bei der Einführung, indem er seine Entwickler mit thematischer Teamkleidung ausstattete, tolle Preise für die Gewinner der Spiele auslobte und tournament wirklich zu einem unvergesslichen Tag machte. Seitdem haben sie internationale Wettbewerbe angeboten, und ihr gesamtes Team sammelt bis heute fleißig Trainingsstunden.
Ihre eigene Software-Revolution beginnt hier. Der australische Bankensektor ist führend bei der Einführung von gamifizierten Schulungen im Kampf gegen schlechten Code, in einem wirklich innovativen Ansatz, der traditionelle (oder langweilige) Schulungen auf den Kopf stellt - sehen Sie sich nur an, was unser Kunde mit seinem Next-Level tournament gemacht hat. Sind Sie bereit, Ihr Team mit uns auf ein neues Level zu bringen?
Wir müssen daran arbeiten, die Konversation zu ändern, um Sicherheit zu einem integralen Bestandteil des Arbeitslebens eines jeden Entwicklers zu machen. Und ich denke, eine der besten Möglichkeiten, dies zu tun, ist, Entwickler zu befähigen und mit ihnen über Sicherheit zu sprechen, zum Beispiel durch Gamification.
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.