So führen Sie effektive Sicherheitsschulungen für Entwickler ein: 5 wichtige Lektionen
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 eröffnet unsere zehnteilige Reihe „Enabler of Success“ und zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und Geschwindigkeit verbunden werden kann, um eine langfristige Programmreife zu erreichen.
