Warum wir den menschlichen Faktor bei der Cybersicherheit niemals übersehen dürfen
Wir waren kürzlich sehr erfreut, als der erste Forbes Technology Council-Beitrag unseres Vorsitzenden und CEO Pieter Danhieux online ging. Der Beitrag beschreibt, wie die Weiterbildung von Entwicklern zur Erstellung von sichererem Code ein Schlüssel zur Verhinderung von Cyberangriffen und Datenschutzverletzungen ist. Darüber hinaus wird aufgezeigt, wie dieselben sicherheitsbewussten Entwickler dabei helfen können, besseren und sichereren Code zu liefern, und zwar schneller, als es vielen IT-Abteilungen bewusst ist. Die Notwendigkeit für diesen Ansatz ist sicherlich zwingend. Eine kürzlich durchgeführte Studie hat ergeben, dass heute alle 39 Sekunden ein Cyberangriff stattfindet, und wir alle haben die Störung gesehen, die durch einen einzigen erfolgreichen Ransomware-Angriff auf die Colonial Pipeline verursacht wurde, der im Großen und Ganzen nicht so zerstörerisch war wie der SolarWinds-Hack.
Viele verbreitete Schwachstellen existieren weiterhin, weil sich niemand die Mühe gemacht hat, den Entwicklern zu zeigen, wie man schlechte Codierungsmuster durch einen besseren Weg ersetzt, um die gleichen Funktionen auf eine sicherere Art und Weise zu erreichen. Und die Auswirkungen der Korrektur von Software in einem späten Entwicklungsstadium sind extrem kostspielig, sowohl in Bezug auf die aufgewendeten Stunden als auch auf die Verzögerungen bei der Bereitstellung. Die Korrektur des Codes nach der Bereitstellung, insbesondere nachdem ein Angreifer eine zuvor unentdeckte Schwachstelle ausgenutzt hat, kann manchmal Millionen von Dollar kosten. Und dabei ist der Schaden für den Ruf eines Unternehmens nach einer großen Sicherheitslücke noch gar nicht berücksichtigt.
Sicherheitsgeschulte Entwickler werden natürlich zu besseren Programmierern. Sicherlich sollten CISOs ihre Sicherheitstools nicht so bald fallen lassen, aber indem sie einen umfassenden, präventiven Sicherheitsansatz von oben anführen, können CISOs die größte Ressource ihres Unternehmens nutzen, den Faktor Mensch, insbesondere wenn es um sichere Codierung von Beginn des Softwareentwicklungszyklus an geht.
Um dies zu tun, sind hier die drei wichtigsten Strategien, die Sie im Auge behalten sollten.
1. Seien Sie proaktiv, nicht reaktiv
Unternehmen tappen oft in die Falle, reaktiv zu sein, z. B. auf das zu reagieren, was die Konkurrenz tut, anstatt eine eigene Vision zu entwickeln und zu verfolgen. Viele verfallen auch in diesen Ansatz, wenn es um Sicherheitsschwachstellen im Code geht, und nehmen Cybersicherheit erst dann ernst, wenn sie durch einen erfolgreichen Einbruch dazu gezwungen werden. Leider ist der Schaden dann schon angerichtet, denn Geldstrafen, Wiederherstellungskosten, Kundenverluste und die Wiederherstellung der Marke schlagen zu Buche. Eine andere Form des Reagierens statt Agierens ist das Verlassen auf automatisches oder manuelles Code-Scanning, um Schwachstellen im bestehenden Code zu finden, anstatt sich von vornherein auf die Erstellung sicheren Codes zu konzentrieren. Leider ist das Scannen von Code keine perfekte Lösung, d. h. je mehr Schwachstellen im Code vorhanden sind, desto größer ist die Chance, dass einige davon durchschlüpfen.
Nur wenn Sie proaktiv vorgehen und mit den Entwicklern zusammenarbeiten, um sie von Anfang an bei der Erstellung von sicherem Code zu unterstützen, können Sie einen Softwareentwicklungs-Lebenszyklus etablieren, der die Wahrscheinlichkeit, dass Schwachstellen im Code an die Benutzer weitergegeben werden, deutlich reduziert.
2. Upskill, nicht Overkill
Wenn Sie sich entschieden haben, Entwicklern das Wissen zu vermitteln, das sie zur Erstellung von sicherem Code benötigen, wählen Sie Ihren Ansatz mit Bedacht. Interne Schulungsworkshops, die die Codierung zum Stillstand bringen, frustrieren Entwickler und Manager gleichermaßen. Offsite-Schulungen courses , die eine Teilnahme am Abend oder am Wochenende erfordern, sind noch weniger beliebt. Die beste Herangehensweise ist der schrittweise Aufbau von Programmierkenntnissen, indem relevante Informationen Schritt für Schritt während des Programmierprozesses vermittelt werden - im Wesentlichen ein Upskilling, ohne die Entwickler wesentlich abzulenken oder den Entwicklungsprozess zu verlangsamen.
3. Anreize schaffen, nicht voraussetzen
Entwickler sollten Sicherheits-Upskilling nicht als Bestrafung oder als totale Plackerei sehen. Manager müssen die Entwickler inspirieren, indem sie ihnen die wichtige Rolle vermitteln, die sicherer Code für den Erfolg des Unternehmens spielt. Es ist auch wichtig, zu vermitteln, dass sichere Programmierer wertvoller für das Unternehmen sind und in Zukunft erweiterte Karrieremöglichkeiten genießen werden.
Die von der Biden-Administration begrüßte Durchführungsverordnung hat den Fokus auf Cybersicherheit und die Notwendigkeit verstärkt, "Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Zulieferer selbst einzubeziehen und innovative Werkzeuge oder Methoden zum Nachweis der Konformität mit sicheren Praktiken zu identifizieren." Aber obwohl Werkzeuge wichtig sind, reichen sie nicht aus. Kein Tool wird jemals vollständig ausschließen können, dass ein Einzelner die eingerichteten Systeme und Tools irgendwie ignoriert, missversteht, missbraucht oder anderweitig umgeht. Um die Sicherheit ihrer Unternehmen zu maximieren, müssen CISOs den menschlichen Faktor ausnutzen und Entwickler dazu ermutigen, bereitwillige Sicherheitsbefürworter und -praktiker zu werden.
Wir waren kürzlich sehr erfreut, als der erste Forbes Technology Council-Beitrag unseres Vorsitzenden und CEO Pieter Danhieux online ging. Der Beitrag beschreibt, wie die Weiterbildung von Entwicklern zur Erstellung von sichererem Code ein Schlüssel zur Verhinderung von Cyberangriffen und Datenschutzverletzungen ist.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior baut eine Kultur von sicherheitsorientierten Entwicklern auf, indem es ihnen die Fähigkeiten vermittelt, sicher zu programmieren. Unser Flaggschiff Agile Learning Platform bietet relevante fähigkeitsbasierte Pfade, praktische Übungen missions und kontextbezogene Tools, mit denen Entwickler ihre Fähigkeiten zum Schreiben von sicherem Code schnell erlernen, aufbauen und anwenden können.
Wir waren kürzlich sehr erfreut, als der erste Forbes Technology Council-Beitrag unseres Vorsitzenden und CEO Pieter Danhieux online ging. Der Beitrag beschreibt, wie die Weiterbildung von Entwicklern zur Erstellung von sichererem Code ein Schlüssel zur Verhinderung von Cyberangriffen und Datenschutzverletzungen ist. Darüber hinaus wird aufgezeigt, wie dieselben sicherheitsbewussten Entwickler dabei helfen können, besseren und sichereren Code zu liefern, und zwar schneller, als es vielen IT-Abteilungen bewusst ist. Die Notwendigkeit für diesen Ansatz ist sicherlich zwingend. Eine kürzlich durchgeführte Studie hat ergeben, dass heute alle 39 Sekunden ein Cyberangriff stattfindet, und wir alle haben die Störung gesehen, die durch einen einzigen erfolgreichen Ransomware-Angriff auf die Colonial Pipeline verursacht wurde, der im Großen und Ganzen nicht so zerstörerisch war wie der SolarWinds-Hack.
Viele verbreitete Schwachstellen existieren weiterhin, weil sich niemand die Mühe gemacht hat, den Entwicklern zu zeigen, wie man schlechte Codierungsmuster durch einen besseren Weg ersetzt, um die gleichen Funktionen auf eine sicherere Art und Weise zu erreichen. Und die Auswirkungen der Korrektur von Software in einem späten Entwicklungsstadium sind extrem kostspielig, sowohl in Bezug auf die aufgewendeten Stunden als auch auf die Verzögerungen bei der Bereitstellung. Die Korrektur des Codes nach der Bereitstellung, insbesondere nachdem ein Angreifer eine zuvor unentdeckte Schwachstelle ausgenutzt hat, kann manchmal Millionen von Dollar kosten. Und dabei ist der Schaden für den Ruf eines Unternehmens nach einer großen Sicherheitslücke noch gar nicht berücksichtigt.
Sicherheitsgeschulte Entwickler werden natürlich zu besseren Programmierern. Sicherlich sollten CISOs ihre Sicherheitstools nicht so bald fallen lassen, aber indem sie einen umfassenden, präventiven Sicherheitsansatz von oben anführen, können CISOs die größte Ressource ihres Unternehmens nutzen, den Faktor Mensch, insbesondere wenn es um sichere Codierung von Beginn des Softwareentwicklungszyklus an geht.
Um dies zu tun, sind hier die drei wichtigsten Strategien, die Sie im Auge behalten sollten.
1. Seien Sie proaktiv, nicht reaktiv
Unternehmen tappen oft in die Falle, reaktiv zu sein, z. B. auf das zu reagieren, was die Konkurrenz tut, anstatt eine eigene Vision zu entwickeln und zu verfolgen. Viele verfallen auch in diesen Ansatz, wenn es um Sicherheitsschwachstellen im Code geht, und nehmen Cybersicherheit erst dann ernst, wenn sie durch einen erfolgreichen Einbruch dazu gezwungen werden. Leider ist der Schaden dann schon angerichtet, denn Geldstrafen, Wiederherstellungskosten, Kundenverluste und die Wiederherstellung der Marke schlagen zu Buche. Eine andere Form des Reagierens statt Agierens ist das Verlassen auf automatisches oder manuelles Code-Scanning, um Schwachstellen im bestehenden Code zu finden, anstatt sich von vornherein auf die Erstellung sicheren Codes zu konzentrieren. Leider ist das Scannen von Code keine perfekte Lösung, d. h. je mehr Schwachstellen im Code vorhanden sind, desto größer ist die Chance, dass einige davon durchschlüpfen.
Nur wenn Sie proaktiv vorgehen und mit den Entwicklern zusammenarbeiten, um sie von Anfang an bei der Erstellung von sicherem Code zu unterstützen, können Sie einen Softwareentwicklungs-Lebenszyklus etablieren, der die Wahrscheinlichkeit, dass Schwachstellen im Code an die Benutzer weitergegeben werden, deutlich reduziert.
2. Upskill, nicht Overkill
Wenn Sie sich entschieden haben, Entwicklern das Wissen zu vermitteln, das sie zur Erstellung von sicherem Code benötigen, wählen Sie Ihren Ansatz mit Bedacht. Interne Schulungsworkshops, die die Codierung zum Stillstand bringen, frustrieren Entwickler und Manager gleichermaßen. Offsite-Schulungen courses , die eine Teilnahme am Abend oder am Wochenende erfordern, sind noch weniger beliebt. Die beste Herangehensweise ist der schrittweise Aufbau von Programmierkenntnissen, indem relevante Informationen Schritt für Schritt während des Programmierprozesses vermittelt werden - im Wesentlichen ein Upskilling, ohne die Entwickler wesentlich abzulenken oder den Entwicklungsprozess zu verlangsamen.
3. Anreize schaffen, nicht voraussetzen
Entwickler sollten Sicherheits-Upskilling nicht als Bestrafung oder als totale Plackerei sehen. Manager müssen die Entwickler inspirieren, indem sie ihnen die wichtige Rolle vermitteln, die sicherer Code für den Erfolg des Unternehmens spielt. Es ist auch wichtig, zu vermitteln, dass sichere Programmierer wertvoller für das Unternehmen sind und in Zukunft erweiterte Karrieremöglichkeiten genießen werden.
Die von der Biden-Administration begrüßte Durchführungsverordnung hat den Fokus auf Cybersicherheit und die Notwendigkeit verstärkt, "Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Zulieferer selbst einzubeziehen und innovative Werkzeuge oder Methoden zum Nachweis der Konformität mit sicheren Praktiken zu identifizieren." Aber obwohl Werkzeuge wichtig sind, reichen sie nicht aus. Kein Tool wird jemals vollständig ausschließen können, dass ein Einzelner die eingerichteten Systeme und Tools irgendwie ignoriert, missversteht, missbraucht oder anderweitig umgeht. Um die Sicherheit ihrer Unternehmen zu maximieren, müssen CISOs den menschlichen Faktor ausnutzen und Entwickler dazu ermutigen, bereitwillige Sicherheitsbefürworter und -praktiker zu werden.
Wir waren kürzlich sehr erfreut, als der erste Forbes Technology Council-Beitrag unseres Vorsitzenden und CEO Pieter Danhieux online ging. Der Beitrag beschreibt, wie die Weiterbildung von Entwicklern zur Erstellung von sichererem Code ein Schlüssel zur Verhinderung von Cyberangriffen und Datenschutzverletzungen ist. Darüber hinaus wird aufgezeigt, wie dieselben sicherheitsbewussten Entwickler dabei helfen können, besseren und sichereren Code zu liefern, und zwar schneller, als es vielen IT-Abteilungen bewusst ist. Die Notwendigkeit für diesen Ansatz ist sicherlich zwingend. Eine kürzlich durchgeführte Studie hat ergeben, dass heute alle 39 Sekunden ein Cyberangriff stattfindet, und wir alle haben die Störung gesehen, die durch einen einzigen erfolgreichen Ransomware-Angriff auf die Colonial Pipeline verursacht wurde, der im Großen und Ganzen nicht so zerstörerisch war wie der SolarWinds-Hack.
Viele verbreitete Schwachstellen existieren weiterhin, weil sich niemand die Mühe gemacht hat, den Entwicklern zu zeigen, wie man schlechte Codierungsmuster durch einen besseren Weg ersetzt, um die gleichen Funktionen auf eine sicherere Art und Weise zu erreichen. Und die Auswirkungen der Korrektur von Software in einem späten Entwicklungsstadium sind extrem kostspielig, sowohl in Bezug auf die aufgewendeten Stunden als auch auf die Verzögerungen bei der Bereitstellung. Die Korrektur des Codes nach der Bereitstellung, insbesondere nachdem ein Angreifer eine zuvor unentdeckte Schwachstelle ausgenutzt hat, kann manchmal Millionen von Dollar kosten. Und dabei ist der Schaden für den Ruf eines Unternehmens nach einer großen Sicherheitslücke noch gar nicht berücksichtigt.
Sicherheitsgeschulte Entwickler werden natürlich zu besseren Programmierern. Sicherlich sollten CISOs ihre Sicherheitstools nicht so bald fallen lassen, aber indem sie einen umfassenden, präventiven Sicherheitsansatz von oben anführen, können CISOs die größte Ressource ihres Unternehmens nutzen, den Faktor Mensch, insbesondere wenn es um sichere Codierung von Beginn des Softwareentwicklungszyklus an geht.
Um dies zu tun, sind hier die drei wichtigsten Strategien, die Sie im Auge behalten sollten.
1. Seien Sie proaktiv, nicht reaktiv
Unternehmen tappen oft in die Falle, reaktiv zu sein, z. B. auf das zu reagieren, was die Konkurrenz tut, anstatt eine eigene Vision zu entwickeln und zu verfolgen. Viele verfallen auch in diesen Ansatz, wenn es um Sicherheitsschwachstellen im Code geht, und nehmen Cybersicherheit erst dann ernst, wenn sie durch einen erfolgreichen Einbruch dazu gezwungen werden. Leider ist der Schaden dann schon angerichtet, denn Geldstrafen, Wiederherstellungskosten, Kundenverluste und die Wiederherstellung der Marke schlagen zu Buche. Eine andere Form des Reagierens statt Agierens ist das Verlassen auf automatisches oder manuelles Code-Scanning, um Schwachstellen im bestehenden Code zu finden, anstatt sich von vornherein auf die Erstellung sicheren Codes zu konzentrieren. Leider ist das Scannen von Code keine perfekte Lösung, d. h. je mehr Schwachstellen im Code vorhanden sind, desto größer ist die Chance, dass einige davon durchschlüpfen.
Nur wenn Sie proaktiv vorgehen und mit den Entwicklern zusammenarbeiten, um sie von Anfang an bei der Erstellung von sicherem Code zu unterstützen, können Sie einen Softwareentwicklungs-Lebenszyklus etablieren, der die Wahrscheinlichkeit, dass Schwachstellen im Code an die Benutzer weitergegeben werden, deutlich reduziert.
2. Upskill, nicht Overkill
Wenn Sie sich entschieden haben, Entwicklern das Wissen zu vermitteln, das sie zur Erstellung von sicherem Code benötigen, wählen Sie Ihren Ansatz mit Bedacht. Interne Schulungsworkshops, die die Codierung zum Stillstand bringen, frustrieren Entwickler und Manager gleichermaßen. Offsite-Schulungen courses , die eine Teilnahme am Abend oder am Wochenende erfordern, sind noch weniger beliebt. Die beste Herangehensweise ist der schrittweise Aufbau von Programmierkenntnissen, indem relevante Informationen Schritt für Schritt während des Programmierprozesses vermittelt werden - im Wesentlichen ein Upskilling, ohne die Entwickler wesentlich abzulenken oder den Entwicklungsprozess zu verlangsamen.
3. Anreize schaffen, nicht voraussetzen
Entwickler sollten Sicherheits-Upskilling nicht als Bestrafung oder als totale Plackerei sehen. Manager müssen die Entwickler inspirieren, indem sie ihnen die wichtige Rolle vermitteln, die sicherer Code für den Erfolg des Unternehmens spielt. Es ist auch wichtig, zu vermitteln, dass sichere Programmierer wertvoller für das Unternehmen sind und in Zukunft erweiterte Karrieremöglichkeiten genießen werden.
Die von der Biden-Administration begrüßte Durchführungsverordnung hat den Fokus auf Cybersicherheit und die Notwendigkeit verstärkt, "Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Zulieferer selbst einzubeziehen und innovative Werkzeuge oder Methoden zum Nachweis der Konformität mit sicheren Praktiken zu identifizieren." Aber obwohl Werkzeuge wichtig sind, reichen sie nicht aus. Kein Tool wird jemals vollständig ausschließen können, dass ein Einzelner die eingerichteten Systeme und Tools irgendwie ignoriert, missversteht, missbraucht oder anderweitig umgeht. Um die Sicherheit ihrer Unternehmen zu maximieren, müssen CISOs den menschlichen Faktor ausnutzen und Entwickler dazu ermutigen, bereitwillige Sicherheitsbefürworter und -praktiker zu werden.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior baut eine Kultur von sicherheitsorientierten Entwicklern auf, indem es ihnen die Fähigkeiten vermittelt, sicher zu programmieren. Unser Flaggschiff Agile Learning Platform bietet relevante fähigkeitsbasierte Pfade, praktische Übungen missions und kontextbezogene Tools, mit denen Entwickler ihre Fähigkeiten zum Schreiben von sicherem Code schnell erlernen, aufbauen und anwenden können.
Wir waren kürzlich sehr erfreut, als der erste Forbes Technology Council-Beitrag unseres Vorsitzenden und CEO Pieter Danhieux online ging. Der Beitrag beschreibt, wie die Weiterbildung von Entwicklern zur Erstellung von sichererem Code ein Schlüssel zur Verhinderung von Cyberangriffen und Datenschutzverletzungen ist. Darüber hinaus wird aufgezeigt, wie dieselben sicherheitsbewussten Entwickler dabei helfen können, besseren und sichereren Code zu liefern, und zwar schneller, als es vielen IT-Abteilungen bewusst ist. Die Notwendigkeit für diesen Ansatz ist sicherlich zwingend. Eine kürzlich durchgeführte Studie hat ergeben, dass heute alle 39 Sekunden ein Cyberangriff stattfindet, und wir alle haben die Störung gesehen, die durch einen einzigen erfolgreichen Ransomware-Angriff auf die Colonial Pipeline verursacht wurde, der im Großen und Ganzen nicht so zerstörerisch war wie der SolarWinds-Hack.
Viele verbreitete Schwachstellen existieren weiterhin, weil sich niemand die Mühe gemacht hat, den Entwicklern zu zeigen, wie man schlechte Codierungsmuster durch einen besseren Weg ersetzt, um die gleichen Funktionen auf eine sicherere Art und Weise zu erreichen. Und die Auswirkungen der Korrektur von Software in einem späten Entwicklungsstadium sind extrem kostspielig, sowohl in Bezug auf die aufgewendeten Stunden als auch auf die Verzögerungen bei der Bereitstellung. Die Korrektur des Codes nach der Bereitstellung, insbesondere nachdem ein Angreifer eine zuvor unentdeckte Schwachstelle ausgenutzt hat, kann manchmal Millionen von Dollar kosten. Und dabei ist der Schaden für den Ruf eines Unternehmens nach einer großen Sicherheitslücke noch gar nicht berücksichtigt.
Sicherheitsgeschulte Entwickler werden natürlich zu besseren Programmierern. Sicherlich sollten CISOs ihre Sicherheitstools nicht so bald fallen lassen, aber indem sie einen umfassenden, präventiven Sicherheitsansatz von oben anführen, können CISOs die größte Ressource ihres Unternehmens nutzen, den Faktor Mensch, insbesondere wenn es um sichere Codierung von Beginn des Softwareentwicklungszyklus an geht.
Um dies zu tun, sind hier die drei wichtigsten Strategien, die Sie im Auge behalten sollten.
1. Seien Sie proaktiv, nicht reaktiv
Unternehmen tappen oft in die Falle, reaktiv zu sein, z. B. auf das zu reagieren, was die Konkurrenz tut, anstatt eine eigene Vision zu entwickeln und zu verfolgen. Viele verfallen auch in diesen Ansatz, wenn es um Sicherheitsschwachstellen im Code geht, und nehmen Cybersicherheit erst dann ernst, wenn sie durch einen erfolgreichen Einbruch dazu gezwungen werden. Leider ist der Schaden dann schon angerichtet, denn Geldstrafen, Wiederherstellungskosten, Kundenverluste und die Wiederherstellung der Marke schlagen zu Buche. Eine andere Form des Reagierens statt Agierens ist das Verlassen auf automatisches oder manuelles Code-Scanning, um Schwachstellen im bestehenden Code zu finden, anstatt sich von vornherein auf die Erstellung sicheren Codes zu konzentrieren. Leider ist das Scannen von Code keine perfekte Lösung, d. h. je mehr Schwachstellen im Code vorhanden sind, desto größer ist die Chance, dass einige davon durchschlüpfen.
Nur wenn Sie proaktiv vorgehen und mit den Entwicklern zusammenarbeiten, um sie von Anfang an bei der Erstellung von sicherem Code zu unterstützen, können Sie einen Softwareentwicklungs-Lebenszyklus etablieren, der die Wahrscheinlichkeit, dass Schwachstellen im Code an die Benutzer weitergegeben werden, deutlich reduziert.
2. Upskill, nicht Overkill
Wenn Sie sich entschieden haben, Entwicklern das Wissen zu vermitteln, das sie zur Erstellung von sicherem Code benötigen, wählen Sie Ihren Ansatz mit Bedacht. Interne Schulungsworkshops, die die Codierung zum Stillstand bringen, frustrieren Entwickler und Manager gleichermaßen. Offsite-Schulungen courses , die eine Teilnahme am Abend oder am Wochenende erfordern, sind noch weniger beliebt. Die beste Herangehensweise ist der schrittweise Aufbau von Programmierkenntnissen, indem relevante Informationen Schritt für Schritt während des Programmierprozesses vermittelt werden - im Wesentlichen ein Upskilling, ohne die Entwickler wesentlich abzulenken oder den Entwicklungsprozess zu verlangsamen.
3. Anreize schaffen, nicht voraussetzen
Entwickler sollten Sicherheits-Upskilling nicht als Bestrafung oder als totale Plackerei sehen. Manager müssen die Entwickler inspirieren, indem sie ihnen die wichtige Rolle vermitteln, die sicherer Code für den Erfolg des Unternehmens spielt. Es ist auch wichtig, zu vermitteln, dass sichere Programmierer wertvoller für das Unternehmen sind und in Zukunft erweiterte Karrieremöglichkeiten genießen werden.
Die von der Biden-Administration begrüßte Durchführungsverordnung hat den Fokus auf Cybersicherheit und die Notwendigkeit verstärkt, "Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Zulieferer selbst einzubeziehen und innovative Werkzeuge oder Methoden zum Nachweis der Konformität mit sicheren Praktiken zu identifizieren." Aber obwohl Werkzeuge wichtig sind, reichen sie nicht aus. Kein Tool wird jemals vollständig ausschließen können, dass ein Einzelner die eingerichteten Systeme und Tools irgendwie ignoriert, missversteht, missbraucht oder anderweitig umgeht. Um die Sicherheit ihrer Unternehmen zu maximieren, müssen CISOs den menschlichen Faktor ausnutzen und Entwickler dazu ermutigen, bereitwillige Sicherheitsbefürworter und -praktiker zu werden.
Inhaltsübersicht
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
.png)
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
