Warum wir den menschlichen Faktor bei der Cybersicherheit niemals übersehen dürfen
Wir waren kürzlich sehr erfreut, als der erste Forbes Technology Council-Beitrag unseres Vorsitzenden und CEO Pieter Danhieux online ging. Der Beitrag beschreibt, wie die Weiterbildung von Entwicklern zur Erstellung von sichererem Code ein Schlüssel zur Verhinderung von Cyberangriffen und Datenschutzverletzungen ist. Darüber hinaus wird aufgezeigt, wie dieselben sicherheitsbewussten Entwickler dabei helfen können, besseren und sichereren Code zu liefern, und zwar schneller, als es vielen IT-Abteilungen bewusst ist. Die Notwendigkeit für diesen Ansatz ist sicherlich zwingend. Eine kürzlich durchgeführte Studie hat ergeben, dass heute alle 39 Sekunden ein Cyberangriff stattfindet, und wir alle haben die Störung gesehen, die durch einen einzigen erfolgreichen Ransomware-Angriff auf die Colonial Pipeline verursacht wurde, der im Großen und Ganzen nicht so zerstörerisch war wie der SolarWinds-Hack.
Viele verbreitete Schwachstellen existieren weiterhin, weil sich niemand die Mühe gemacht hat, den Entwicklern zu zeigen, wie man schlechte Codierungsmuster durch einen besseren Weg ersetzt, um die gleichen Funktionen auf eine sicherere Art und Weise zu erreichen. Und die Auswirkungen der Korrektur von Software in einem späten Entwicklungsstadium sind extrem kostspielig, sowohl in Bezug auf die aufgewendeten Stunden als auch auf die Verzögerungen bei der Bereitstellung. Die Korrektur des Codes nach der Bereitstellung, insbesondere nachdem ein Angreifer eine zuvor unentdeckte Schwachstelle ausgenutzt hat, kann manchmal Millionen von Dollar kosten. Und dabei ist der Schaden für den Ruf eines Unternehmens nach einer großen Sicherheitslücke noch gar nicht berücksichtigt.
Sicherheitsgeschulte Entwickler werden natürlich zu besseren Programmierern. Sicherlich sollten CISOs ihre Sicherheitstools nicht so bald fallen lassen, aber indem sie einen umfassenden, präventiven Sicherheitsansatz von oben anführen, können CISOs die größte Ressource ihres Unternehmens nutzen, den Faktor Mensch, insbesondere wenn es um sichere Codierung von Beginn des Softwareentwicklungszyklus an geht.
Um dies zu tun, sind hier die drei wichtigsten Strategien, die Sie im Auge behalten sollten.
1. Seien Sie proaktiv, nicht reaktiv
Unternehmen tappen oft in die Falle, reaktiv zu sein, z. B. auf das zu reagieren, was die Konkurrenz tut, anstatt eine eigene Vision zu entwickeln und zu verfolgen. Viele verfallen auch in diesen Ansatz, wenn es um Sicherheitsschwachstellen im Code geht, und nehmen Cybersicherheit erst dann ernst, wenn sie durch einen erfolgreichen Einbruch dazu gezwungen werden. Leider ist der Schaden dann schon angerichtet, denn Geldstrafen, Wiederherstellungskosten, Kundenverluste und die Wiederherstellung der Marke schlagen zu Buche. Eine andere Form des Reagierens statt Agierens ist das Verlassen auf automatisches oder manuelles Code-Scanning, um Schwachstellen im bestehenden Code zu finden, anstatt sich von vornherein auf die Erstellung sicheren Codes zu konzentrieren. Leider ist das Scannen von Code keine perfekte Lösung, d. h. je mehr Schwachstellen im Code vorhanden sind, desto größer ist die Chance, dass einige davon durchschlüpfen.
Nur wenn Sie proaktiv vorgehen und mit den Entwicklern zusammenarbeiten, um sie von Anfang an bei der Erstellung von sicherem Code zu unterstützen, können Sie einen Softwareentwicklungs-Lebenszyklus etablieren, der die Wahrscheinlichkeit, dass Schwachstellen im Code an die Benutzer weitergegeben werden, deutlich reduziert.
2. Upskill, nicht Overkill
Wenn Sie sich entschieden haben, Entwicklern das Wissen zu vermitteln, das sie zur Erstellung von sicherem Code benötigen, wählen Sie Ihren Ansatz mit Bedacht. Interne Schulungsworkshops, die die Codierung zum Stillstand bringen, frustrieren Entwickler und Manager gleichermaßen. Offsite-Schulungen courses , die eine Teilnahme am Abend oder am Wochenende erfordern, sind noch weniger beliebt. Die beste Herangehensweise ist der schrittweise Aufbau von Programmierkenntnissen, indem relevante Informationen Schritt für Schritt während des Programmierprozesses vermittelt werden - im Wesentlichen ein Upskilling, ohne die Entwickler wesentlich abzulenken oder den Entwicklungsprozess zu verlangsamen.
3. Anreize schaffen, nicht voraussetzen
Entwickler sollten Sicherheits-Upskilling nicht als Bestrafung oder als totale Plackerei sehen. Manager müssen die Entwickler inspirieren, indem sie ihnen die wichtige Rolle vermitteln, die sicherer Code für den Erfolg des Unternehmens spielt. Es ist auch wichtig, zu vermitteln, dass sichere Programmierer wertvoller für das Unternehmen sind und in Zukunft erweiterte Karrieremöglichkeiten genießen werden.
Die von der Biden-Administration begrüßte Durchführungsverordnung hat den Fokus auf Cybersicherheit und die Notwendigkeit verstärkt, "Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Zulieferer selbst einzubeziehen und innovative Werkzeuge oder Methoden zum Nachweis der Konformität mit sicheren Praktiken zu identifizieren." Aber obwohl Werkzeuge wichtig sind, reichen sie nicht aus. Kein Tool wird jemals vollständig ausschließen können, dass ein Einzelner die eingerichteten Systeme und Tools irgendwie ignoriert, missversteht, missbraucht oder anderweitig umgeht. Um die Sicherheit ihrer Unternehmen zu maximieren, müssen CISOs den menschlichen Faktor ausnutzen und Entwickler dazu ermutigen, bereitwillige Sicherheitsbefürworter und -praktiker zu werden.
Wir waren kürzlich sehr erfreut, als der erste Forbes Technology Council-Beitrag unseres Vorsitzenden und CEO Pieter Danhieux online ging. Der Beitrag beschreibt, wie die Weiterbildung von Entwicklern zur Erstellung von sichererem Code ein Schlüssel zur Verhinderung von Cyberangriffen und Datenschutzverletzungen ist.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenSecure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior baut eine Kultur von sicherheitsorientierten Entwicklern auf, indem es ihnen die Fähigkeiten vermittelt, sicher zu programmieren. Unser Flaggschiff Agile Learning Platform bietet relevante fähigkeitsbasierte Pfade, praktische Übungen missions und kontextbezogene Tools, mit denen Entwickler ihre Fähigkeiten zum Schreiben von sicherem Code schnell erlernen, aufbauen und anwenden können.
Wir waren kürzlich sehr erfreut, als der erste Forbes Technology Council-Beitrag unseres Vorsitzenden und CEO Pieter Danhieux online ging. Der Beitrag beschreibt, wie die Weiterbildung von Entwicklern zur Erstellung von sichererem Code ein Schlüssel zur Verhinderung von Cyberangriffen und Datenschutzverletzungen ist. Darüber hinaus wird aufgezeigt, wie dieselben sicherheitsbewussten Entwickler dabei helfen können, besseren und sichereren Code zu liefern, und zwar schneller, als es vielen IT-Abteilungen bewusst ist. Die Notwendigkeit für diesen Ansatz ist sicherlich zwingend. Eine kürzlich durchgeführte Studie hat ergeben, dass heute alle 39 Sekunden ein Cyberangriff stattfindet, und wir alle haben die Störung gesehen, die durch einen einzigen erfolgreichen Ransomware-Angriff auf die Colonial Pipeline verursacht wurde, der im Großen und Ganzen nicht so zerstörerisch war wie der SolarWinds-Hack.
Viele verbreitete Schwachstellen existieren weiterhin, weil sich niemand die Mühe gemacht hat, den Entwicklern zu zeigen, wie man schlechte Codierungsmuster durch einen besseren Weg ersetzt, um die gleichen Funktionen auf eine sicherere Art und Weise zu erreichen. Und die Auswirkungen der Korrektur von Software in einem späten Entwicklungsstadium sind extrem kostspielig, sowohl in Bezug auf die aufgewendeten Stunden als auch auf die Verzögerungen bei der Bereitstellung. Die Korrektur des Codes nach der Bereitstellung, insbesondere nachdem ein Angreifer eine zuvor unentdeckte Schwachstelle ausgenutzt hat, kann manchmal Millionen von Dollar kosten. Und dabei ist der Schaden für den Ruf eines Unternehmens nach einer großen Sicherheitslücke noch gar nicht berücksichtigt.
Sicherheitsgeschulte Entwickler werden natürlich zu besseren Programmierern. Sicherlich sollten CISOs ihre Sicherheitstools nicht so bald fallen lassen, aber indem sie einen umfassenden, präventiven Sicherheitsansatz von oben anführen, können CISOs die größte Ressource ihres Unternehmens nutzen, den Faktor Mensch, insbesondere wenn es um sichere Codierung von Beginn des Softwareentwicklungszyklus an geht.
Um dies zu tun, sind hier die drei wichtigsten Strategien, die Sie im Auge behalten sollten.
1. Seien Sie proaktiv, nicht reaktiv
Unternehmen tappen oft in die Falle, reaktiv zu sein, z. B. auf das zu reagieren, was die Konkurrenz tut, anstatt eine eigene Vision zu entwickeln und zu verfolgen. Viele verfallen auch in diesen Ansatz, wenn es um Sicherheitsschwachstellen im Code geht, und nehmen Cybersicherheit erst dann ernst, wenn sie durch einen erfolgreichen Einbruch dazu gezwungen werden. Leider ist der Schaden dann schon angerichtet, denn Geldstrafen, Wiederherstellungskosten, Kundenverluste und die Wiederherstellung der Marke schlagen zu Buche. Eine andere Form des Reagierens statt Agierens ist das Verlassen auf automatisches oder manuelles Code-Scanning, um Schwachstellen im bestehenden Code zu finden, anstatt sich von vornherein auf die Erstellung sicheren Codes zu konzentrieren. Leider ist das Scannen von Code keine perfekte Lösung, d. h. je mehr Schwachstellen im Code vorhanden sind, desto größer ist die Chance, dass einige davon durchschlüpfen.
Nur wenn Sie proaktiv vorgehen und mit den Entwicklern zusammenarbeiten, um sie von Anfang an bei der Erstellung von sicherem Code zu unterstützen, können Sie einen Softwareentwicklungs-Lebenszyklus etablieren, der die Wahrscheinlichkeit, dass Schwachstellen im Code an die Benutzer weitergegeben werden, deutlich reduziert.
2. Upskill, nicht Overkill
Wenn Sie sich entschieden haben, Entwicklern das Wissen zu vermitteln, das sie zur Erstellung von sicherem Code benötigen, wählen Sie Ihren Ansatz mit Bedacht. Interne Schulungsworkshops, die die Codierung zum Stillstand bringen, frustrieren Entwickler und Manager gleichermaßen. Offsite-Schulungen courses , die eine Teilnahme am Abend oder am Wochenende erfordern, sind noch weniger beliebt. Die beste Herangehensweise ist der schrittweise Aufbau von Programmierkenntnissen, indem relevante Informationen Schritt für Schritt während des Programmierprozesses vermittelt werden - im Wesentlichen ein Upskilling, ohne die Entwickler wesentlich abzulenken oder den Entwicklungsprozess zu verlangsamen.
3. Anreize schaffen, nicht voraussetzen
Entwickler sollten Sicherheits-Upskilling nicht als Bestrafung oder als totale Plackerei sehen. Manager müssen die Entwickler inspirieren, indem sie ihnen die wichtige Rolle vermitteln, die sicherer Code für den Erfolg des Unternehmens spielt. Es ist auch wichtig, zu vermitteln, dass sichere Programmierer wertvoller für das Unternehmen sind und in Zukunft erweiterte Karrieremöglichkeiten genießen werden.
Die von der Biden-Administration begrüßte Durchführungsverordnung hat den Fokus auf Cybersicherheit und die Notwendigkeit verstärkt, "Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Zulieferer selbst einzubeziehen und innovative Werkzeuge oder Methoden zum Nachweis der Konformität mit sicheren Praktiken zu identifizieren." Aber obwohl Werkzeuge wichtig sind, reichen sie nicht aus. Kein Tool wird jemals vollständig ausschließen können, dass ein Einzelner die eingerichteten Systeme und Tools irgendwie ignoriert, missversteht, missbraucht oder anderweitig umgeht. Um die Sicherheit ihrer Unternehmen zu maximieren, müssen CISOs den menschlichen Faktor ausnutzen und Entwickler dazu ermutigen, bereitwillige Sicherheitsbefürworter und -praktiker zu werden.
Wir waren kürzlich sehr erfreut, als der erste Forbes Technology Council-Beitrag unseres Vorsitzenden und CEO Pieter Danhieux online ging. Der Beitrag beschreibt, wie die Weiterbildung von Entwicklern zur Erstellung von sichererem Code ein Schlüssel zur Verhinderung von Cyberangriffen und Datenschutzverletzungen ist. Darüber hinaus wird aufgezeigt, wie dieselben sicherheitsbewussten Entwickler dabei helfen können, besseren und sichereren Code zu liefern, und zwar schneller, als es vielen IT-Abteilungen bewusst ist. Die Notwendigkeit für diesen Ansatz ist sicherlich zwingend. Eine kürzlich durchgeführte Studie hat ergeben, dass heute alle 39 Sekunden ein Cyberangriff stattfindet, und wir alle haben die Störung gesehen, die durch einen einzigen erfolgreichen Ransomware-Angriff auf die Colonial Pipeline verursacht wurde, der im Großen und Ganzen nicht so zerstörerisch war wie der SolarWinds-Hack.
Viele verbreitete Schwachstellen existieren weiterhin, weil sich niemand die Mühe gemacht hat, den Entwicklern zu zeigen, wie man schlechte Codierungsmuster durch einen besseren Weg ersetzt, um die gleichen Funktionen auf eine sicherere Art und Weise zu erreichen. Und die Auswirkungen der Korrektur von Software in einem späten Entwicklungsstadium sind extrem kostspielig, sowohl in Bezug auf die aufgewendeten Stunden als auch auf die Verzögerungen bei der Bereitstellung. Die Korrektur des Codes nach der Bereitstellung, insbesondere nachdem ein Angreifer eine zuvor unentdeckte Schwachstelle ausgenutzt hat, kann manchmal Millionen von Dollar kosten. Und dabei ist der Schaden für den Ruf eines Unternehmens nach einer großen Sicherheitslücke noch gar nicht berücksichtigt.
Sicherheitsgeschulte Entwickler werden natürlich zu besseren Programmierern. Sicherlich sollten CISOs ihre Sicherheitstools nicht so bald fallen lassen, aber indem sie einen umfassenden, präventiven Sicherheitsansatz von oben anführen, können CISOs die größte Ressource ihres Unternehmens nutzen, den Faktor Mensch, insbesondere wenn es um sichere Codierung von Beginn des Softwareentwicklungszyklus an geht.
Um dies zu tun, sind hier die drei wichtigsten Strategien, die Sie im Auge behalten sollten.
1. Seien Sie proaktiv, nicht reaktiv
Unternehmen tappen oft in die Falle, reaktiv zu sein, z. B. auf das zu reagieren, was die Konkurrenz tut, anstatt eine eigene Vision zu entwickeln und zu verfolgen. Viele verfallen auch in diesen Ansatz, wenn es um Sicherheitsschwachstellen im Code geht, und nehmen Cybersicherheit erst dann ernst, wenn sie durch einen erfolgreichen Einbruch dazu gezwungen werden. Leider ist der Schaden dann schon angerichtet, denn Geldstrafen, Wiederherstellungskosten, Kundenverluste und die Wiederherstellung der Marke schlagen zu Buche. Eine andere Form des Reagierens statt Agierens ist das Verlassen auf automatisches oder manuelles Code-Scanning, um Schwachstellen im bestehenden Code zu finden, anstatt sich von vornherein auf die Erstellung sicheren Codes zu konzentrieren. Leider ist das Scannen von Code keine perfekte Lösung, d. h. je mehr Schwachstellen im Code vorhanden sind, desto größer ist die Chance, dass einige davon durchschlüpfen.
Nur wenn Sie proaktiv vorgehen und mit den Entwicklern zusammenarbeiten, um sie von Anfang an bei der Erstellung von sicherem Code zu unterstützen, können Sie einen Softwareentwicklungs-Lebenszyklus etablieren, der die Wahrscheinlichkeit, dass Schwachstellen im Code an die Benutzer weitergegeben werden, deutlich reduziert.
2. Upskill, nicht Overkill
Wenn Sie sich entschieden haben, Entwicklern das Wissen zu vermitteln, das sie zur Erstellung von sicherem Code benötigen, wählen Sie Ihren Ansatz mit Bedacht. Interne Schulungsworkshops, die die Codierung zum Stillstand bringen, frustrieren Entwickler und Manager gleichermaßen. Offsite-Schulungen courses , die eine Teilnahme am Abend oder am Wochenende erfordern, sind noch weniger beliebt. Die beste Herangehensweise ist der schrittweise Aufbau von Programmierkenntnissen, indem relevante Informationen Schritt für Schritt während des Programmierprozesses vermittelt werden - im Wesentlichen ein Upskilling, ohne die Entwickler wesentlich abzulenken oder den Entwicklungsprozess zu verlangsamen.
3. Anreize schaffen, nicht voraussetzen
Entwickler sollten Sicherheits-Upskilling nicht als Bestrafung oder als totale Plackerei sehen. Manager müssen die Entwickler inspirieren, indem sie ihnen die wichtige Rolle vermitteln, die sicherer Code für den Erfolg des Unternehmens spielt. Es ist auch wichtig, zu vermitteln, dass sichere Programmierer wertvoller für das Unternehmen sind und in Zukunft erweiterte Karrieremöglichkeiten genießen werden.
Die von der Biden-Administration begrüßte Durchführungsverordnung hat den Fokus auf Cybersicherheit und die Notwendigkeit verstärkt, "Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Zulieferer selbst einzubeziehen und innovative Werkzeuge oder Methoden zum Nachweis der Konformität mit sicheren Praktiken zu identifizieren." Aber obwohl Werkzeuge wichtig sind, reichen sie nicht aus. Kein Tool wird jemals vollständig ausschließen können, dass ein Einzelner die eingerichteten Systeme und Tools irgendwie ignoriert, missversteht, missbraucht oder anderweitig umgeht. Um die Sicherheit ihrer Unternehmen zu maximieren, müssen CISOs den menschlichen Faktor ausnutzen und Entwickler dazu ermutigen, bereitwillige Sicherheitsbefürworter und -praktiker zu werden.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenSecure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior baut eine Kultur von sicherheitsorientierten Entwicklern auf, indem es ihnen die Fähigkeiten vermittelt, sicher zu programmieren. Unser Flaggschiff Agile Learning Platform bietet relevante fähigkeitsbasierte Pfade, praktische Übungen missions und kontextbezogene Tools, mit denen Entwickler ihre Fähigkeiten zum Schreiben von sicherem Code schnell erlernen, aufbauen und anwenden können.
Wir waren kürzlich sehr erfreut, als der erste Forbes Technology Council-Beitrag unseres Vorsitzenden und CEO Pieter Danhieux online ging. Der Beitrag beschreibt, wie die Weiterbildung von Entwicklern zur Erstellung von sichererem Code ein Schlüssel zur Verhinderung von Cyberangriffen und Datenschutzverletzungen ist. Darüber hinaus wird aufgezeigt, wie dieselben sicherheitsbewussten Entwickler dabei helfen können, besseren und sichereren Code zu liefern, und zwar schneller, als es vielen IT-Abteilungen bewusst ist. Die Notwendigkeit für diesen Ansatz ist sicherlich zwingend. Eine kürzlich durchgeführte Studie hat ergeben, dass heute alle 39 Sekunden ein Cyberangriff stattfindet, und wir alle haben die Störung gesehen, die durch einen einzigen erfolgreichen Ransomware-Angriff auf die Colonial Pipeline verursacht wurde, der im Großen und Ganzen nicht so zerstörerisch war wie der SolarWinds-Hack.
Viele verbreitete Schwachstellen existieren weiterhin, weil sich niemand die Mühe gemacht hat, den Entwicklern zu zeigen, wie man schlechte Codierungsmuster durch einen besseren Weg ersetzt, um die gleichen Funktionen auf eine sicherere Art und Weise zu erreichen. Und die Auswirkungen der Korrektur von Software in einem späten Entwicklungsstadium sind extrem kostspielig, sowohl in Bezug auf die aufgewendeten Stunden als auch auf die Verzögerungen bei der Bereitstellung. Die Korrektur des Codes nach der Bereitstellung, insbesondere nachdem ein Angreifer eine zuvor unentdeckte Schwachstelle ausgenutzt hat, kann manchmal Millionen von Dollar kosten. Und dabei ist der Schaden für den Ruf eines Unternehmens nach einer großen Sicherheitslücke noch gar nicht berücksichtigt.
Sicherheitsgeschulte Entwickler werden natürlich zu besseren Programmierern. Sicherlich sollten CISOs ihre Sicherheitstools nicht so bald fallen lassen, aber indem sie einen umfassenden, präventiven Sicherheitsansatz von oben anführen, können CISOs die größte Ressource ihres Unternehmens nutzen, den Faktor Mensch, insbesondere wenn es um sichere Codierung von Beginn des Softwareentwicklungszyklus an geht.
Um dies zu tun, sind hier die drei wichtigsten Strategien, die Sie im Auge behalten sollten.
1. Seien Sie proaktiv, nicht reaktiv
Unternehmen tappen oft in die Falle, reaktiv zu sein, z. B. auf das zu reagieren, was die Konkurrenz tut, anstatt eine eigene Vision zu entwickeln und zu verfolgen. Viele verfallen auch in diesen Ansatz, wenn es um Sicherheitsschwachstellen im Code geht, und nehmen Cybersicherheit erst dann ernst, wenn sie durch einen erfolgreichen Einbruch dazu gezwungen werden. Leider ist der Schaden dann schon angerichtet, denn Geldstrafen, Wiederherstellungskosten, Kundenverluste und die Wiederherstellung der Marke schlagen zu Buche. Eine andere Form des Reagierens statt Agierens ist das Verlassen auf automatisches oder manuelles Code-Scanning, um Schwachstellen im bestehenden Code zu finden, anstatt sich von vornherein auf die Erstellung sicheren Codes zu konzentrieren. Leider ist das Scannen von Code keine perfekte Lösung, d. h. je mehr Schwachstellen im Code vorhanden sind, desto größer ist die Chance, dass einige davon durchschlüpfen.
Nur wenn Sie proaktiv vorgehen und mit den Entwicklern zusammenarbeiten, um sie von Anfang an bei der Erstellung von sicherem Code zu unterstützen, können Sie einen Softwareentwicklungs-Lebenszyklus etablieren, der die Wahrscheinlichkeit, dass Schwachstellen im Code an die Benutzer weitergegeben werden, deutlich reduziert.
2. Upskill, nicht Overkill
Wenn Sie sich entschieden haben, Entwicklern das Wissen zu vermitteln, das sie zur Erstellung von sicherem Code benötigen, wählen Sie Ihren Ansatz mit Bedacht. Interne Schulungsworkshops, die die Codierung zum Stillstand bringen, frustrieren Entwickler und Manager gleichermaßen. Offsite-Schulungen courses , die eine Teilnahme am Abend oder am Wochenende erfordern, sind noch weniger beliebt. Die beste Herangehensweise ist der schrittweise Aufbau von Programmierkenntnissen, indem relevante Informationen Schritt für Schritt während des Programmierprozesses vermittelt werden - im Wesentlichen ein Upskilling, ohne die Entwickler wesentlich abzulenken oder den Entwicklungsprozess zu verlangsamen.
3. Anreize schaffen, nicht voraussetzen
Entwickler sollten Sicherheits-Upskilling nicht als Bestrafung oder als totale Plackerei sehen. Manager müssen die Entwickler inspirieren, indem sie ihnen die wichtige Rolle vermitteln, die sicherer Code für den Erfolg des Unternehmens spielt. Es ist auch wichtig, zu vermitteln, dass sichere Programmierer wertvoller für das Unternehmen sind und in Zukunft erweiterte Karrieremöglichkeiten genießen werden.
Die von der Biden-Administration begrüßte Durchführungsverordnung hat den Fokus auf Cybersicherheit und die Notwendigkeit verstärkt, "Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Zulieferer selbst einzubeziehen und innovative Werkzeuge oder Methoden zum Nachweis der Konformität mit sicheren Praktiken zu identifizieren." Aber obwohl Werkzeuge wichtig sind, reichen sie nicht aus. Kein Tool wird jemals vollständig ausschließen können, dass ein Einzelner die eingerichteten Systeme und Tools irgendwie ignoriert, missversteht, missbraucht oder anderweitig umgeht. Um die Sicherheit ihrer Unternehmen zu maximieren, müssen CISOs den menschlichen Faktor ausnutzen und Entwickler dazu ermutigen, bereitwillige Sicherheitsbefürworter und -praktiker zu werden.
Inhaltsübersicht
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Die Leistungsfähigkeit von OpenText Fortify + Secure Code Warrior
OpenText Fortify und Secure Code Warrior bündeln ihre Kräfte, um Unternehmen dabei zu helfen, Risiken zu reduzieren, Entwickler zu Sicherheits-Champions zu machen und Kundenvertrauen aufzubauen. Lesen Sie hier mehr darüber.
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
Ressourcen für den Einstieg
10 wichtige Vorhersagen: Secure Code Warrior über den Einfluss von KI und Secure-by-Design im Jahr 2025
Unternehmen stehen vor schwierigen Entscheidungen über den Einsatz von KI, um die langfristige Produktivität, Nachhaltigkeit und den Sicherheits-ROI zu unterstützen. In den letzten Jahren ist uns klar geworden, dass KI die Rolle des Entwicklers niemals vollständig ersetzen wird. Von KI + Entwicklerpartnerschaften bis hin zum zunehmenden Druck (und der Verwirrung) rund um die Secure-by-Design-Erwartungen - lassen Sie uns einen genaueren Blick darauf werfen, was wir im nächsten Jahr erwarten können.
OWASP Top 10 für LLM-Bewerbungen: Was ist neu, was hat sich geändert, und wie bleibt man sicher?
Bleiben Sie bei der Absicherung von LLM-Anwendungen mit den neuesten OWASP Top 10 Updates immer einen Schritt voraus. Entdecken Sie, was neu ist, was sich geändert hat und wie Secure Code Warrior Sie mit aktuellen Lernressourcen ausstattet, um Risiken in der generativen KI zu minimieren.
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.