Warum wir den menschlichen Faktor bei der Cybersicherheit niemals übersehen dürfen
Warum wir den menschlichen Faktor bei der Cybersicherheit niemals übersehen dürfen
Wir waren kürzlich sehr erfreut, als der erste Forbes Technology Council-Beitrag unseres Vorsitzenden und CEO Pieter Danhieux online ging. Der Beitrag beschreibt, wie die Weiterbildung von Entwicklern zur Erstellung von sichererem Code ein Schlüssel zur Verhinderung von Cyberangriffen und Datenschutzverletzungen ist. Darüber hinaus wird aufgezeigt, wie dieselben sicherheitsbewussten Entwickler dabei helfen können, besseren und sichereren Code zu liefern, und zwar schneller, als es vielen IT-Abteilungen bewusst ist. Die Notwendigkeit für diesen Ansatz ist sicherlich zwingend. Eine kürzlich durchgeführte Studie hat ergeben, dass heute alle 39 Sekunden ein Cyberangriff stattfindet, und wir alle haben die Störung gesehen, die durch einen einzigen erfolgreichen Ransomware-Angriff auf die Colonial Pipeline verursacht wurde, der im Großen und Ganzen nicht so zerstörerisch war wie der SolarWinds-Hack.
Viele verbreitete Schwachstellen existieren weiterhin, weil sich niemand die Mühe gemacht hat, den Entwicklern zu zeigen, wie man schlechte Codierungsmuster durch einen besseren Weg ersetzt, um die gleichen Funktionen auf eine sicherere Art und Weise zu erreichen. Und die Auswirkungen der Korrektur von Software in einem späten Entwicklungsstadium sind extrem kostspielig, sowohl in Bezug auf die aufgewendeten Stunden als auch auf die Verzögerungen bei der Bereitstellung. Die Korrektur des Codes nach der Bereitstellung, insbesondere nachdem ein Angreifer eine zuvor unentdeckte Schwachstelle ausgenutzt hat, kann manchmal Millionen von Dollar kosten. Und dabei ist der Schaden für den Ruf eines Unternehmens nach einer großen Sicherheitslücke noch gar nicht berücksichtigt.
Sicherheitsgeschulte Entwickler werden natürlich zu besseren Programmierern. Sicherlich sollten CISOs ihre Sicherheitstools nicht so bald fallen lassen, aber indem sie einen umfassenden, präventiven Sicherheitsansatz von oben anführen, können CISOs die größte Ressource ihres Unternehmens nutzen, den Faktor Mensch, insbesondere wenn es um sichere Codierung von Beginn des Softwareentwicklungszyklus an geht.
Um dies zu tun, sind hier die drei wichtigsten Strategien, die Sie im Auge behalten sollten.
1. Seien Sie proaktiv, nicht reaktiv
Unternehmen tappen oft in die Falle, reaktiv zu sein, z. B. auf das zu reagieren, was die Konkurrenz tut, anstatt eine eigene Vision zu entwickeln und zu verfolgen. Viele verfallen auch in diesen Ansatz, wenn es um Sicherheitsschwachstellen im Code geht, und nehmen Cybersicherheit erst dann ernst, wenn sie durch einen erfolgreichen Einbruch dazu gezwungen werden. Leider ist der Schaden dann schon angerichtet, denn Geldstrafen, Wiederherstellungskosten, Kundenverluste und die Wiederherstellung der Marke schlagen zu Buche. Eine andere Form des Reagierens statt Agierens ist das Verlassen auf automatisches oder manuelles Code-Scanning, um Schwachstellen im bestehenden Code zu finden, anstatt sich von vornherein auf die Erstellung sicheren Codes zu konzentrieren. Leider ist das Scannen von Code keine perfekte Lösung, d. h. je mehr Schwachstellen im Code vorhanden sind, desto größer ist die Chance, dass einige davon durchschlüpfen.
Nur wenn Sie proaktiv vorgehen und mit den Entwicklern zusammenarbeiten, um sie von Anfang an bei der Erstellung von sicherem Code zu unterstützen, können Sie einen Softwareentwicklungs-Lebenszyklus etablieren, der die Wahrscheinlichkeit, dass Schwachstellen im Code an die Benutzer weitergegeben werden, deutlich reduziert.
2. Upskill, nicht Overkill
Wenn Sie sich entschieden haben, Entwicklern das Wissen zu vermitteln, das sie zur Erstellung von sicherem Code benötigen, wählen Sie Ihren Ansatz mit Bedacht. Interne Schulungsworkshops, die die Codierung zum Stillstand bringen, frustrieren Entwickler und Manager gleichermaßen. Offsite-Schulungen courses , die eine Teilnahme am Abend oder am Wochenende erfordern, sind noch weniger beliebt. Die beste Herangehensweise ist der schrittweise Aufbau von Programmierkenntnissen, indem relevante Informationen Schritt für Schritt während des Programmierprozesses vermittelt werden - im Wesentlichen ein Upskilling, ohne die Entwickler wesentlich abzulenken oder den Entwicklungsprozess zu verlangsamen.
3. Anreize schaffen, nicht voraussetzen
Entwickler sollten Sicherheits-Upskilling nicht als Bestrafung oder als totale Plackerei sehen. Manager müssen die Entwickler inspirieren, indem sie ihnen die wichtige Rolle vermitteln, die sicherer Code für den Erfolg des Unternehmens spielt. Es ist auch wichtig, zu vermitteln, dass sichere Programmierer wertvoller für das Unternehmen sind und in Zukunft erweiterte Karrieremöglichkeiten genießen werden.
Die von der Biden-Administration begrüßte Durchführungsverordnung hat den Fokus auf Cybersicherheit und die Notwendigkeit verstärkt, "Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Zulieferer selbst einzubeziehen und innovative Werkzeuge oder Methoden zum Nachweis der Konformität mit sicheren Praktiken zu identifizieren." Aber obwohl Werkzeuge wichtig sind, reichen sie nicht aus. Kein Tool wird jemals vollständig ausschließen können, dass ein Einzelner die eingerichteten Systeme und Tools irgendwie ignoriert, missversteht, missbraucht oder anderweitig umgeht. Um die Sicherheit ihrer Unternehmen zu maximieren, müssen CISOs den menschlichen Faktor ausnutzen und Entwickler dazu ermutigen, bereitwillige Sicherheitsbefürworter und -praktiker zu werden.
Secure Code Warrior
Secure Code Warrior baut eine Kultur von sicherheitsorientierten Entwicklern auf, indem es ihnen die Fähigkeiten vermittelt, sicher zu programmieren. Unser Flaggschiff Agile Learning Platform bietet relevante fähigkeitsbasierte Pfade, praktische Übungen missions und kontextbezogene Tools, mit denen Entwickler ihre Fähigkeiten zum Schreiben von sicherem Code schnell erlernen, aufbauen und anwenden können.
Verwandte Artikel, die wir empfehlen
Verwandte Artikel, die wir empfehlen
Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.
Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.
Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit
Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.
Warum wir den menschlichen Faktor bei der Cybersicherheit niemals übersehen dürfen
Wir waren kürzlich sehr erfreut, als der erste Forbes Technology Council-Beitrag unseres Vorsitzenden und CEO Pieter Danhieux online ging. Der Beitrag beschreibt, wie die Weiterbildung von Entwicklern zur Erstellung von sichererem Code ein Schlüssel zur Verhinderung von Cyberangriffen und Datenschutzverletzungen ist. Darüber hinaus wird aufgezeigt, wie dieselben sicherheitsbewussten Entwickler dabei helfen können, besseren und sichereren Code zu liefern, und zwar schneller, als es vielen IT-Abteilungen bewusst ist. Die Notwendigkeit für diesen Ansatz ist sicherlich zwingend. Eine kürzlich durchgeführte Studie hat ergeben, dass heute alle 39 Sekunden ein Cyberangriff stattfindet, und wir alle haben die Störung gesehen, die durch einen einzigen erfolgreichen Ransomware-Angriff auf die Colonial Pipeline verursacht wurde, der im Großen und Ganzen nicht so zerstörerisch war wie der SolarWinds-Hack.
Viele verbreitete Schwachstellen existieren weiterhin, weil sich niemand die Mühe gemacht hat, den Entwicklern zu zeigen, wie man schlechte Codierungsmuster durch einen besseren Weg ersetzt, um die gleichen Funktionen auf eine sicherere Art und Weise zu erreichen. Und die Auswirkungen der Korrektur von Software in einem späten Entwicklungsstadium sind extrem kostspielig, sowohl in Bezug auf die aufgewendeten Stunden als auch auf die Verzögerungen bei der Bereitstellung. Die Korrektur des Codes nach der Bereitstellung, insbesondere nachdem ein Angreifer eine zuvor unentdeckte Schwachstelle ausgenutzt hat, kann manchmal Millionen von Dollar kosten. Und dabei ist der Schaden für den Ruf eines Unternehmens nach einer großen Sicherheitslücke noch gar nicht berücksichtigt.
Sicherheitsgeschulte Entwickler werden natürlich zu besseren Programmierern. Sicherlich sollten CISOs ihre Sicherheitstools nicht so bald fallen lassen, aber indem sie einen umfassenden, präventiven Sicherheitsansatz von oben anführen, können CISOs die größte Ressource ihres Unternehmens nutzen, den Faktor Mensch, insbesondere wenn es um sichere Codierung von Beginn des Softwareentwicklungszyklus an geht.
Um dies zu tun, sind hier die drei wichtigsten Strategien, die Sie im Auge behalten sollten.
1. Seien Sie proaktiv, nicht reaktiv
Unternehmen tappen oft in die Falle, reaktiv zu sein, z. B. auf das zu reagieren, was die Konkurrenz tut, anstatt eine eigene Vision zu entwickeln und zu verfolgen. Viele verfallen auch in diesen Ansatz, wenn es um Sicherheitsschwachstellen im Code geht, und nehmen Cybersicherheit erst dann ernst, wenn sie durch einen erfolgreichen Einbruch dazu gezwungen werden. Leider ist der Schaden dann schon angerichtet, denn Geldstrafen, Wiederherstellungskosten, Kundenverluste und die Wiederherstellung der Marke schlagen zu Buche. Eine andere Form des Reagierens statt Agierens ist das Verlassen auf automatisches oder manuelles Code-Scanning, um Schwachstellen im bestehenden Code zu finden, anstatt sich von vornherein auf die Erstellung sicheren Codes zu konzentrieren. Leider ist das Scannen von Code keine perfekte Lösung, d. h. je mehr Schwachstellen im Code vorhanden sind, desto größer ist die Chance, dass einige davon durchschlüpfen.
Nur wenn Sie proaktiv vorgehen und mit den Entwicklern zusammenarbeiten, um sie von Anfang an bei der Erstellung von sicherem Code zu unterstützen, können Sie einen Softwareentwicklungs-Lebenszyklus etablieren, der die Wahrscheinlichkeit, dass Schwachstellen im Code an die Benutzer weitergegeben werden, deutlich reduziert.
2. Upskill, nicht Overkill
Wenn Sie sich entschieden haben, Entwicklern das Wissen zu vermitteln, das sie zur Erstellung von sicherem Code benötigen, wählen Sie Ihren Ansatz mit Bedacht. Interne Schulungsworkshops, die die Codierung zum Stillstand bringen, frustrieren Entwickler und Manager gleichermaßen. Offsite-Schulungen courses , die eine Teilnahme am Abend oder am Wochenende erfordern, sind noch weniger beliebt. Die beste Herangehensweise ist der schrittweise Aufbau von Programmierkenntnissen, indem relevante Informationen Schritt für Schritt während des Programmierprozesses vermittelt werden - im Wesentlichen ein Upskilling, ohne die Entwickler wesentlich abzulenken oder den Entwicklungsprozess zu verlangsamen.
3. Anreize schaffen, nicht voraussetzen
Entwickler sollten Sicherheits-Upskilling nicht als Bestrafung oder als totale Plackerei sehen. Manager müssen die Entwickler inspirieren, indem sie ihnen die wichtige Rolle vermitteln, die sicherer Code für den Erfolg des Unternehmens spielt. Es ist auch wichtig, zu vermitteln, dass sichere Programmierer wertvoller für das Unternehmen sind und in Zukunft erweiterte Karrieremöglichkeiten genießen werden.
Die von der Biden-Administration begrüßte Durchführungsverordnung hat den Fokus auf Cybersicherheit und die Notwendigkeit verstärkt, "Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Zulieferer selbst einzubeziehen und innovative Werkzeuge oder Methoden zum Nachweis der Konformität mit sicheren Praktiken zu identifizieren." Aber obwohl Werkzeuge wichtig sind, reichen sie nicht aus. Kein Tool wird jemals vollständig ausschließen können, dass ein Einzelner die eingerichteten Systeme und Tools irgendwie ignoriert, missversteht, missbraucht oder anderweitig umgeht. Um die Sicherheit ihrer Unternehmen zu maximieren, müssen CISOs den menschlichen Faktor ausnutzen und Entwickler dazu ermutigen, bereitwillige Sicherheitsbefürworter und -praktiker zu werden.
