Wie man ein effektives Sicherheitstraining für Entwickler einführt: 5 wichtige Lektionen

Veröffentlicht Oct 04, 2017
von Pieter Danhieux
FALLSTUDIE

Wie man ein effektives Sicherheitstraining für Entwickler einführt: 5 wichtige Lektionen

Veröffentlicht Oct 04, 2017
von Pieter Danhieux
Ressource anzeigen
Ressource anzeigen

Warum erzielt ein Schulungsprogramm für die Sicherheit von Entwickleranwendungen bessere Ergebnisse als ein anderes?

In meinen mehr als 10 Jahren als SANS-Trainer und den letzten drei Jahren, in denen ich Secure Code Warrior (SCW) gegründet und aufgebaut habe, habe ich gesehen, wie wertvoll es ist, Zeit und Ressourcen zu investieren, damit Schulungsprogramme die besten Ergebnisse erzielen.

In unserem ersten Verkaufsjahr hat unser Unternehmen mehr als 10.000 Entwickler an Schulungen zu sicherem Code teilhaben lassen, und ich habe eine Reihe von Trends bei denjenigen festgestellt, die das Programm am effektivsten eingeführt haben. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hohe Rentabilität des Programms, da Sicherheitsschwächen früher erkannt werden, bevor sie teuer werden.

Ich gebe es ungern zu, aber es gab auch einige, die den "Low-Effort"-Ansatz wählten und versuchten, ein Programm auszurollen, indem sie eine E-Mail mit einem Link zum Training schickten. Es ist nicht überraschend, dass das nicht so gut funktioniert und wir mussten diese Roll-outs korrigieren.

Im Folgenden teile ich fünf wichtige Erkenntnisse mit, die das Engagement, die Wirkung und den Erfolg jedes Sicherheitstrainingsprogramms für Entwickler, einschließlich unseres, erheblich verbessern werden.

1. Bringen Sie etwas Spaß in den Auftakt, wenn Sie wollen, dass Ihr Programm Wirkung zeigt

Ein spezielles Kick-Off-Tag-Event zu veranstalten oder Ihrem Programm ein Film-/Geek-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied für den Grad der Aufregung und der Teilnahme machen. Einer unserer großen Kunden hat ein ganzes Fantasieprogramm rund um eine beliebte Fernsehserie erstellt, mit T-Shirts, Ansteckern und Aufklebern, die das gesamte Trainingsprogramm zu einem Erlebnis machen, das kein Entwickler verpassen möchte. Ein anderer hat seine Veranstaltung rund um Star Wars thematisiert, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern, an Bord zu kommen, und sorgt dafür, dass sich die kurzen Trainingseinheiten für Entwickler mit sicheren Code-Fähigkeiten wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Meilenstein Nr. 1 ist erreicht, wir haben ihre Aufmerksamkeit und sie wissen über das Programm Bescheid.

2. Finden Sie den richtigen Champion für die Sicherheitsschulung von Entwicklern (Hinweis: Sie brauchen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)

Die richtigen Sicherheits-Champions in jedem Scrum-Team zu finden, ist entscheidend für den anhaltenden Programmerfolg, besonders in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklungsexperten über ausgeprägte menschliche und/oder kommunikative Fähigkeiten. Die besten Sicherheits-Champions, die Ihrem Programm eine positive, anhaltende Wirkung verleihen, sind diejenigen, die sich leidenschaftlich für Sicherheit engagieren und über ausgeprägte Menschenkenntnis, Einflussnahme und Kommunikationsfähigkeiten verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeiten.

3. Coole Belohnungen haben, die Fähigkeiten anerkennen

Im Allgemeinen mag es jeder Computerfreak " einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt zu werden. Wenn Sie sie mit speziellen Statusaufklebern, geekigen Gadgets, besonderen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie diese mit Stolz tragen oder zur Schau stellen. Wenn jemand etwas Bedeutendes im Trainingsprogramm erreicht, ist es wichtig, sich Möglichkeiten zu überlegen, ihm Anerkennung und Aufmerksamkeit zu geben. Ich habe eine großartige Initiative bei einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior Champions machte und sie zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens in der Mitarbeiterzeitung veröffentlichte.

4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen

Auch wenn Sie Ihre Entwickler zur "ersten Verteidigungslinie" in Ihrem Sicherheitsprogramm machen wollen, indem Sie ihnen helfen, sicher zu programmieren, bedeutet das nicht, dass sie die detailliertesten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen ständig neue Sicherheitslücken und Beispiele für Datenverletzungen vorsetzen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel ist es oft, ein großartiges Produkt oder eine Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfrachten, laufen Sie Gefahr, ihn zu desinteressieren. Die wichtigsten Lektionen, die wir gelernt haben, sind, dass sie grundlegende Sicherheitshygiene verstehen müssen und dass wir sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.

5. Messen Sie nicht die Schulung, sondern die Wirkung

Messen Sie nicht, wie viele Stunden Training Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, sondern die Anzahl der Schwachstellen, die im Entwicklungslebenszyklus durch Code-Analyse, Bug-Bounties oder klassische Schwachstellen-Tests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Trainingsprogramm funktioniert, wird die Anzahl der gefundenen Schwachstellen sinken. Die zweite Sache, die Sie messen sollten, ist die Zeit, die es braucht, um eine Schwachstelle zu beheben. Wenn ein Entwickler einen Monat braucht, um die Schwachstelle zu beheben, zeigt das deutlich, dass er nicht versteht, wie man es macht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Metriken, die clevere Unternehmen einsetzen, um die Wirkung ihrer Entwicklerschulungen zur sicheren Codierung zu messen.

5 wichtige Lektionen, wie man ein effektives Sicherheitstraining für Entwickler einführt:

  1. Bringen Sie etwas Spaß in den Auftakt, wenn Sie wollen, dass Ihr Programm Wirkung zeigt
  2. Finden Sie den richtigen Champion für die Sicherheitsschulung von Entwicklern (Hinweis: Sie brauchen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
  3. Coole Belohnungen haben, die Fähigkeiten anerkennen
  4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
  5. Messen Sie nicht das Training, messen Sie die Wirkung
Ressource anzeigen
Ressource anzeigen

Autor

Pieter Danhieux

Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

Sie wollen mehr?

Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.

Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.

Blog ansehen
Sie wollen mehr?

Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit

Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.

Ressourcendrehscheibe

Wie man ein effektives Sicherheitstraining für Entwickler einführt: 5 wichtige Lektionen

Veröffentlicht Oct 04, 2017
Von Pieter Danhieux

Warum erzielt ein Schulungsprogramm für die Sicherheit von Entwickleranwendungen bessere Ergebnisse als ein anderes?

In meinen mehr als 10 Jahren als SANS-Trainer und den letzten drei Jahren, in denen ich Secure Code Warrior (SCW) gegründet und aufgebaut habe, habe ich gesehen, wie wertvoll es ist, Zeit und Ressourcen zu investieren, damit Schulungsprogramme die besten Ergebnisse erzielen.

In unserem ersten Verkaufsjahr hat unser Unternehmen mehr als 10.000 Entwickler an Schulungen zu sicherem Code teilhaben lassen, und ich habe eine Reihe von Trends bei denjenigen festgestellt, die das Programm am effektivsten eingeführt haben. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hohe Rentabilität des Programms, da Sicherheitsschwächen früher erkannt werden, bevor sie teuer werden.

Ich gebe es ungern zu, aber es gab auch einige, die den "Low-Effort"-Ansatz wählten und versuchten, ein Programm auszurollen, indem sie eine E-Mail mit einem Link zum Training schickten. Es ist nicht überraschend, dass das nicht so gut funktioniert und wir mussten diese Roll-outs korrigieren.

Im Folgenden teile ich fünf wichtige Erkenntnisse mit, die das Engagement, die Wirkung und den Erfolg jedes Sicherheitstrainingsprogramms für Entwickler, einschließlich unseres, erheblich verbessern werden.

1. Bringen Sie etwas Spaß in den Auftakt, wenn Sie wollen, dass Ihr Programm Wirkung zeigt

Ein spezielles Kick-Off-Tag-Event zu veranstalten oder Ihrem Programm ein Film-/Geek-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied für den Grad der Aufregung und der Teilnahme machen. Einer unserer großen Kunden hat ein ganzes Fantasieprogramm rund um eine beliebte Fernsehserie erstellt, mit T-Shirts, Ansteckern und Aufklebern, die das gesamte Trainingsprogramm zu einem Erlebnis machen, das kein Entwickler verpassen möchte. Ein anderer hat seine Veranstaltung rund um Star Wars thematisiert, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern, an Bord zu kommen, und sorgt dafür, dass sich die kurzen Trainingseinheiten für Entwickler mit sicheren Code-Fähigkeiten wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Meilenstein Nr. 1 ist erreicht, wir haben ihre Aufmerksamkeit und sie wissen über das Programm Bescheid.

2. Finden Sie den richtigen Champion für die Sicherheitsschulung von Entwicklern (Hinweis: Sie brauchen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)

Die richtigen Sicherheits-Champions in jedem Scrum-Team zu finden, ist entscheidend für den anhaltenden Programmerfolg, besonders in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklungsexperten über ausgeprägte menschliche und/oder kommunikative Fähigkeiten. Die besten Sicherheits-Champions, die Ihrem Programm eine positive, anhaltende Wirkung verleihen, sind diejenigen, die sich leidenschaftlich für Sicherheit engagieren und über ausgeprägte Menschenkenntnis, Einflussnahme und Kommunikationsfähigkeiten verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeiten.

3. Coole Belohnungen haben, die Fähigkeiten anerkennen

Im Allgemeinen mag es jeder Computerfreak " einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt zu werden. Wenn Sie sie mit speziellen Statusaufklebern, geekigen Gadgets, besonderen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie diese mit Stolz tragen oder zur Schau stellen. Wenn jemand etwas Bedeutendes im Trainingsprogramm erreicht, ist es wichtig, sich Möglichkeiten zu überlegen, ihm Anerkennung und Aufmerksamkeit zu geben. Ich habe eine großartige Initiative bei einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior Champions machte und sie zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens in der Mitarbeiterzeitung veröffentlichte.

4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen

Auch wenn Sie Ihre Entwickler zur "ersten Verteidigungslinie" in Ihrem Sicherheitsprogramm machen wollen, indem Sie ihnen helfen, sicher zu programmieren, bedeutet das nicht, dass sie die detailliertesten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen ständig neue Sicherheitslücken und Beispiele für Datenverletzungen vorsetzen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel ist es oft, ein großartiges Produkt oder eine Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfrachten, laufen Sie Gefahr, ihn zu desinteressieren. Die wichtigsten Lektionen, die wir gelernt haben, sind, dass sie grundlegende Sicherheitshygiene verstehen müssen und dass wir sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.

5. Messen Sie nicht die Schulung, sondern die Wirkung

Messen Sie nicht, wie viele Stunden Training Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, sondern die Anzahl der Schwachstellen, die im Entwicklungslebenszyklus durch Code-Analyse, Bug-Bounties oder klassische Schwachstellen-Tests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Trainingsprogramm funktioniert, wird die Anzahl der gefundenen Schwachstellen sinken. Die zweite Sache, die Sie messen sollten, ist die Zeit, die es braucht, um eine Schwachstelle zu beheben. Wenn ein Entwickler einen Monat braucht, um die Schwachstelle zu beheben, zeigt das deutlich, dass er nicht versteht, wie man es macht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Metriken, die clevere Unternehmen einsetzen, um die Wirkung ihrer Entwicklerschulungen zur sicheren Codierung zu messen.

5 wichtige Lektionen, wie man ein effektives Sicherheitstraining für Entwickler einführt:

  1. Bringen Sie etwas Spaß in den Auftakt, wenn Sie wollen, dass Ihr Programm Wirkung zeigt
  2. Finden Sie den richtigen Champion für die Sicherheitsschulung von Entwicklern (Hinweis: Sie brauchen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
  3. Coole Belohnungen haben, die Fähigkeiten anerkennen
  4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
  5. Messen Sie nicht das Training, messen Sie die Wirkung

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.