Transformer la fastidieuse conformité à la norme PCI-DSS en un exercice pertinent pour tous : partie 2 - Sensibilisation des responsables de la sécurité informatique et des développeurs
Dies ist Teil 2 einer Miniserie über PCI-DSS-Compliance innerhalb einer Organisation. In diesem abschließenden Kapitel gehen wir darauf ein, wie CTOs und CISOs bei der Verringerung des Cyber-Risikos von der Spitze aus führen und den Prozess nahtlos und erfolgreich gestalten können... und vielleicht auch ein bisschen Spaß für Entwickler. (Haben Sie Teil 1 verpasst? Lesen Sie ihn hier und erfahren Sie, wie AppSec-Spezialisten diese Chance für bessere Sicherheitsergebnisse ergreifen können).
PCI-DSS-Best-Practice ist zweifellos eine geteilte Verantwortung, aber CISOs und CTOs können ihren beträchtlichen Einfluss nutzen, um ein gedeihliches, positives Sicherheitsprogramm von oben zu gestalten. Sie sind das Aushängeschild für das Vertrauen in die Cybersicherheit und die damit verbundene Stimmung bei den Endbenutzern. Eine frühzeitige Sensibilisierung hat einen starken "Trickle-Down"-Effekt und hilft Entwicklern und AppSec-Experten, das Wissen, die Tools und die Unterstützung zu erhalten, die sie benötigen, um zu einer robusten Sicherheitslage im Unternehmen beizutragen.
Es ist wichtig, die Vorschriften einzuhalten, aber wenn jeder mit dem "Warum" einverstanden ist, Ergebnisse sieht und auf die richtige Weise gefördert wird, kann ein Programm über die Gesetzgebung hinausgehen und zur zweiten Natur werden.
CTOs und CISOs haben die Aufgabe, gegenseitiges Vertrauen zu schaffen
Waren Sie in letzter Zeit auf einer Website und haben zweimal darüber nachgedacht, ob Sie Ihre Kreditkartendaten aushändigen sollten? Sofern es sich nicht um die skizzenhaft aussehende Web-App handelt, die die Online-Bestellung für Ihren örtlichen Pizzaladen durchführt, ist dies wahrscheinlich nicht etwas, das Sie sehr oft erleben, insbesondere nicht bei großen Unternehmen und bekannten Namen im Online-Handel.
Es sei denn, sie geben eine Datenpanne bekannt, natürlich.
Der globale Beherbergungsgigant Marriott hat soeben den zweiten Einbruch innerhalb von drei Jahren bekannt gegeben, der zum Diebstahl von 5,2 Millionen Kundendaten führte. Dieses Mal scheint es noch nicht so, als ob Zahlungsinformationen Teil des Raubes waren, obwohl der katastrophale Einbruch im Jahr 2018 dafür gesorgt hat; 383 Millionen Kunden wurden kompromittiert, wobei 5 Millionen unverschlüsselte Passnummern sowie 8 Millionen Kreditkartennummern gestohlen wurden.
Wenn das Vertrauen der Kunden in die Marke Marriott nicht schon so niedrig wäre, wie es nur sein kann, würde ich sagen, dass es bald den Tiefpunkt erreicht hat. Dies ist die Art von Dingen, die CISOs nachts wach hält, da sie sich wie leichte Beute im Krieg gegen Cyber-Bedrohungen fühlen. Schauen Sie sich nur Equifax, Yahoo, Sony, Target an - das sind nur einige große Namen, die großflächige Sicherheitsverletzungen erlitten haben, die Milliarden von gestohlenen Datensätzen, Hunderte von Milliarden Dollar an Schaden und kundenförmige Löcher in ihre wirtschaftlichen Herzen gestanzt haben. Es ist eine Katastrophe für das Unternehmen (Target meldete einen Gewinneinbruch von 440 Millionen Dollar im Quartal nach dem Einbruch von 2014), und obwohl einzelne Personen in der Regel nicht dafür verantwortlich gemacht werden - schließlich sollte Softwaresicherheit eine gemeinsame Verantwortung sein -, ist es etwas, das man nicht unbedingt in einem ansonsten glänzenden Lebenslauf sehen möchte, wenn man zufällig zu dieser Zeit für diese Organisationen arbeitet.
Der Verzicht auf ein robustes Sicherheitsprogramm zur Erreichung der Compliance in einem Unternehmen, das mit Zahlungen, sensiblen Daten und dem immateriellen Gold der positiven Kundenstimmung zu tun hat, ist ein Indikator für ein Unternehmen, das nicht nur gefährdet ist, sondern auch ernsthaft hinter der Innovation zurückbleibt.
Jeder sollte sich um Vertrauensfragen in der Beziehung Kunde/Organisation kümmern.
Abgesehen von dem Stress und dem Unheil, dem die IT-, Entwicklungs- und Sicherheitsabteilungen nach einer Sicherheitsverletzung ausgesetzt sind, ist der Faktor Vertrauen ein wichtiges Element für den langfristigen Erfolg eines neueren Unternehmens oder das weitere Wachstum eines etablierten Unternehmens. Das Offensichtliche, was Sie zu verlieren drohen, ist Ihr Job, sollte das Unternehmen aufgrund des verlorenen Vertrauens mit einem wirtschaftlichen Abschwung konfrontiert werden.
Die PCI-DSS-Vorschriften nehmen Unternehmen in die Pflicht - und wie oben erwähnt, hat das Ignorieren dieser gut durchdachten Pläne enorme Auswirkungen -, aber sie sind nur so gut wie das Sicherheitsprogramm, das eingerichtet wurde, und die Mitarbeiter, die darin arbeiten. Wenn Sie sie ernst nehmen, aufmerksam bleiben und ein Beispiel für andere geben, dann heben Sie sich auf eine sehr positive Art und Weise ab.
Achtsamkeit ist alles.
Ein fehlendes Security-Awareness-Programm wird die meisten Versuche, PCI-konform zu bleiben, nahezu nutzlos machen. Organisationsweite Security Awareness bildet den kritischsten Teil der Best-Practice-Richtlinien; sie bieten sogar eigene Trainingsmodule dazu an, wie dies in funktionsübergreifenden Rollen umgesetzt werden kann und wie dies in Unternehmen aussieht, die es richtig machen.
Auf dem Weg zu DevSecOps als aktuellem Goldstandard in der sicheren Softwareentwicklung - bei dem Sicherheit als gemeinsame Verantwortung grundlegend ist - müssen Unternehmen die Zeit, das Geld und den Aufwand aufwenden, um sicherzustellen, dass jeder, einschließlich Anbieter und Auftragnehmer, sicherheitsbewusst ist und Best Practices befolgt.
Ein sicherheitsbewusster Entwickler ist ein regelkonformer Entwickler (und der Weg dahin muss nicht langweilig sein)
Wenn es darum geht, ein "zertifizierter" PCI-DSS-konformer Entwickler zu werden, gibt es nicht viele offensichtliche Möglichkeiten. Und warum? Wahrscheinlich, weil es keine "One-and-Done"-Übung sein kann.
Die OWASP-Organisation ist eine der besten auf dem Planeten, wenn es darum geht, zu lernen, wie man häufige Schwachstellen vereitelt, und ihre Top 10 ist offiziell in den PCI-DSS-Richtlinien für Entwickler aufgeführt. Sicherheit im Blick zu behalten und die Fähigkeiten zu verfeinern, erfordert jedoch Zeit und kontinuierliche Bemühungen. Und niemand möchte, dass dies uninspiriert und eine Verschwendung von Mühe ist.
Eine positive Sicherheitskultur ist kein "nice to have" in einer Organisation; wenn sie die Sicherheit ernst nehmen, dann muss sie Teil des Unternehmensalltags sein.
Entwickler stehen an vorderster Front, wenn es darum geht, Schwachstellen zu beseitigen. Erhalten sie die Unterstützung, die Tools und das Training, um ihren Teil des Sicherheitsdeals bei der PCI-DSS-Compliance einzuhalten?
Die Wahrheit ist, dass das richtige Training nahtloser ist; es sollte sich nicht wie eine Vorlesung anfühlen, und es sollte für die tägliche Arbeit höchst relevant sein. Und diese Art von praktischem Training ist eine Möglichkeit zur Weiterbildung - ein Karriereschritt, der nur Vorteile für Entwickler hat, die es ernst damit meinen, Schwachstellen zu stoppen und mit dem Rest des Teams zusammenzuarbeiten, um einen höheren Standard des Codes zu produzieren.
Möchten Sie Ihre Fähigkeiten im sicheren Programmieren gleich testen? Wählen Sie Ihre Mission.
Il s'agit de la deuxième partie d'une mini-série sur la conformité PCI-DSS au sein d'une organisation. Dans ce dernier chapitre, nous expliquons comment les directeurs techniques et les responsables de la sécurité informatique peuvent jouer un rôle de premier plan en matière de réduction des cyberrisques et de rendre le processus fluide, efficace... et peut-être un peu amusant pour les développeurs.
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Dies ist Teil 2 einer Miniserie über PCI-DSS-Compliance innerhalb einer Organisation. In diesem abschließenden Kapitel gehen wir darauf ein, wie CTOs und CISOs bei der Verringerung des Cyber-Risikos von der Spitze aus führen und den Prozess nahtlos und erfolgreich gestalten können... und vielleicht auch ein bisschen Spaß für Entwickler. (Haben Sie Teil 1 verpasst? Lesen Sie ihn hier und erfahren Sie, wie AppSec-Spezialisten diese Chance für bessere Sicherheitsergebnisse ergreifen können).
PCI-DSS-Best-Practice ist zweifellos eine geteilte Verantwortung, aber CISOs und CTOs können ihren beträchtlichen Einfluss nutzen, um ein gedeihliches, positives Sicherheitsprogramm von oben zu gestalten. Sie sind das Aushängeschild für das Vertrauen in die Cybersicherheit und die damit verbundene Stimmung bei den Endbenutzern. Eine frühzeitige Sensibilisierung hat einen starken "Trickle-Down"-Effekt und hilft Entwicklern und AppSec-Experten, das Wissen, die Tools und die Unterstützung zu erhalten, die sie benötigen, um zu einer robusten Sicherheitslage im Unternehmen beizutragen.
Es ist wichtig, die Vorschriften einzuhalten, aber wenn jeder mit dem "Warum" einverstanden ist, Ergebnisse sieht und auf die richtige Weise gefördert wird, kann ein Programm über die Gesetzgebung hinausgehen und zur zweiten Natur werden.
CTOs und CISOs haben die Aufgabe, gegenseitiges Vertrauen zu schaffen
Waren Sie in letzter Zeit auf einer Website und haben zweimal darüber nachgedacht, ob Sie Ihre Kreditkartendaten aushändigen sollten? Sofern es sich nicht um die skizzenhaft aussehende Web-App handelt, die die Online-Bestellung für Ihren örtlichen Pizzaladen durchführt, ist dies wahrscheinlich nicht etwas, das Sie sehr oft erleben, insbesondere nicht bei großen Unternehmen und bekannten Namen im Online-Handel.
Es sei denn, sie geben eine Datenpanne bekannt, natürlich.
Der globale Beherbergungsgigant Marriott hat soeben den zweiten Einbruch innerhalb von drei Jahren bekannt gegeben, der zum Diebstahl von 5,2 Millionen Kundendaten führte. Dieses Mal scheint es noch nicht so, als ob Zahlungsinformationen Teil des Raubes waren, obwohl der katastrophale Einbruch im Jahr 2018 dafür gesorgt hat; 383 Millionen Kunden wurden kompromittiert, wobei 5 Millionen unverschlüsselte Passnummern sowie 8 Millionen Kreditkartennummern gestohlen wurden.
Wenn das Vertrauen der Kunden in die Marke Marriott nicht schon so niedrig wäre, wie es nur sein kann, würde ich sagen, dass es bald den Tiefpunkt erreicht hat. Dies ist die Art von Dingen, die CISOs nachts wach hält, da sie sich wie leichte Beute im Krieg gegen Cyber-Bedrohungen fühlen. Schauen Sie sich nur Equifax, Yahoo, Sony, Target an - das sind nur einige große Namen, die großflächige Sicherheitsverletzungen erlitten haben, die Milliarden von gestohlenen Datensätzen, Hunderte von Milliarden Dollar an Schaden und kundenförmige Löcher in ihre wirtschaftlichen Herzen gestanzt haben. Es ist eine Katastrophe für das Unternehmen (Target meldete einen Gewinneinbruch von 440 Millionen Dollar im Quartal nach dem Einbruch von 2014), und obwohl einzelne Personen in der Regel nicht dafür verantwortlich gemacht werden - schließlich sollte Softwaresicherheit eine gemeinsame Verantwortung sein -, ist es etwas, das man nicht unbedingt in einem ansonsten glänzenden Lebenslauf sehen möchte, wenn man zufällig zu dieser Zeit für diese Organisationen arbeitet.
Der Verzicht auf ein robustes Sicherheitsprogramm zur Erreichung der Compliance in einem Unternehmen, das mit Zahlungen, sensiblen Daten und dem immateriellen Gold der positiven Kundenstimmung zu tun hat, ist ein Indikator für ein Unternehmen, das nicht nur gefährdet ist, sondern auch ernsthaft hinter der Innovation zurückbleibt.
Jeder sollte sich um Vertrauensfragen in der Beziehung Kunde/Organisation kümmern.
Abgesehen von dem Stress und dem Unheil, dem die IT-, Entwicklungs- und Sicherheitsabteilungen nach einer Sicherheitsverletzung ausgesetzt sind, ist der Faktor Vertrauen ein wichtiges Element für den langfristigen Erfolg eines neueren Unternehmens oder das weitere Wachstum eines etablierten Unternehmens. Das Offensichtliche, was Sie zu verlieren drohen, ist Ihr Job, sollte das Unternehmen aufgrund des verlorenen Vertrauens mit einem wirtschaftlichen Abschwung konfrontiert werden.
Die PCI-DSS-Vorschriften nehmen Unternehmen in die Pflicht - und wie oben erwähnt, hat das Ignorieren dieser gut durchdachten Pläne enorme Auswirkungen -, aber sie sind nur so gut wie das Sicherheitsprogramm, das eingerichtet wurde, und die Mitarbeiter, die darin arbeiten. Wenn Sie sie ernst nehmen, aufmerksam bleiben und ein Beispiel für andere geben, dann heben Sie sich auf eine sehr positive Art und Weise ab.
Achtsamkeit ist alles.
Ein fehlendes Security-Awareness-Programm wird die meisten Versuche, PCI-konform zu bleiben, nahezu nutzlos machen. Organisationsweite Security Awareness bildet den kritischsten Teil der Best-Practice-Richtlinien; sie bieten sogar eigene Trainingsmodule dazu an, wie dies in funktionsübergreifenden Rollen umgesetzt werden kann und wie dies in Unternehmen aussieht, die es richtig machen.
Auf dem Weg zu DevSecOps als aktuellem Goldstandard in der sicheren Softwareentwicklung - bei dem Sicherheit als gemeinsame Verantwortung grundlegend ist - müssen Unternehmen die Zeit, das Geld und den Aufwand aufwenden, um sicherzustellen, dass jeder, einschließlich Anbieter und Auftragnehmer, sicherheitsbewusst ist und Best Practices befolgt.
Ein sicherheitsbewusster Entwickler ist ein regelkonformer Entwickler (und der Weg dahin muss nicht langweilig sein)
Wenn es darum geht, ein "zertifizierter" PCI-DSS-konformer Entwickler zu werden, gibt es nicht viele offensichtliche Möglichkeiten. Und warum? Wahrscheinlich, weil es keine "One-and-Done"-Übung sein kann.
Die OWASP-Organisation ist eine der besten auf dem Planeten, wenn es darum geht, zu lernen, wie man häufige Schwachstellen vereitelt, und ihre Top 10 ist offiziell in den PCI-DSS-Richtlinien für Entwickler aufgeführt. Sicherheit im Blick zu behalten und die Fähigkeiten zu verfeinern, erfordert jedoch Zeit und kontinuierliche Bemühungen. Und niemand möchte, dass dies uninspiriert und eine Verschwendung von Mühe ist.
Eine positive Sicherheitskultur ist kein "nice to have" in einer Organisation; wenn sie die Sicherheit ernst nehmen, dann muss sie Teil des Unternehmensalltags sein.
Entwickler stehen an vorderster Front, wenn es darum geht, Schwachstellen zu beseitigen. Erhalten sie die Unterstützung, die Tools und das Training, um ihren Teil des Sicherheitsdeals bei der PCI-DSS-Compliance einzuhalten?
Die Wahrheit ist, dass das richtige Training nahtloser ist; es sollte sich nicht wie eine Vorlesung anfühlen, und es sollte für die tägliche Arbeit höchst relevant sein. Und diese Art von praktischem Training ist eine Möglichkeit zur Weiterbildung - ein Karriereschritt, der nur Vorteile für Entwickler hat, die es ernst damit meinen, Schwachstellen zu stoppen und mit dem Rest des Teams zusammenzuarbeiten, um einen höheren Standard des Codes zu produzieren.
Möchten Sie Ihre Fähigkeiten im sicheren Programmieren gleich testen? Wählen Sie Ihre Mission.
Dies ist Teil 2 einer Miniserie über PCI-DSS-Compliance innerhalb einer Organisation. In diesem abschließenden Kapitel gehen wir darauf ein, wie CTOs und CISOs bei der Verringerung des Cyber-Risikos von der Spitze aus führen und den Prozess nahtlos und erfolgreich gestalten können... und vielleicht auch ein bisschen Spaß für Entwickler. (Haben Sie Teil 1 verpasst? Lesen Sie ihn hier und erfahren Sie, wie AppSec-Spezialisten diese Chance für bessere Sicherheitsergebnisse ergreifen können).
PCI-DSS-Best-Practice ist zweifellos eine geteilte Verantwortung, aber CISOs und CTOs können ihren beträchtlichen Einfluss nutzen, um ein gedeihliches, positives Sicherheitsprogramm von oben zu gestalten. Sie sind das Aushängeschild für das Vertrauen in die Cybersicherheit und die damit verbundene Stimmung bei den Endbenutzern. Eine frühzeitige Sensibilisierung hat einen starken "Trickle-Down"-Effekt und hilft Entwicklern und AppSec-Experten, das Wissen, die Tools und die Unterstützung zu erhalten, die sie benötigen, um zu einer robusten Sicherheitslage im Unternehmen beizutragen.
Es ist wichtig, die Vorschriften einzuhalten, aber wenn jeder mit dem "Warum" einverstanden ist, Ergebnisse sieht und auf die richtige Weise gefördert wird, kann ein Programm über die Gesetzgebung hinausgehen und zur zweiten Natur werden.
CTOs und CISOs haben die Aufgabe, gegenseitiges Vertrauen zu schaffen
Waren Sie in letzter Zeit auf einer Website und haben zweimal darüber nachgedacht, ob Sie Ihre Kreditkartendaten aushändigen sollten? Sofern es sich nicht um die skizzenhaft aussehende Web-App handelt, die die Online-Bestellung für Ihren örtlichen Pizzaladen durchführt, ist dies wahrscheinlich nicht etwas, das Sie sehr oft erleben, insbesondere nicht bei großen Unternehmen und bekannten Namen im Online-Handel.
Es sei denn, sie geben eine Datenpanne bekannt, natürlich.
Der globale Beherbergungsgigant Marriott hat soeben den zweiten Einbruch innerhalb von drei Jahren bekannt gegeben, der zum Diebstahl von 5,2 Millionen Kundendaten führte. Dieses Mal scheint es noch nicht so, als ob Zahlungsinformationen Teil des Raubes waren, obwohl der katastrophale Einbruch im Jahr 2018 dafür gesorgt hat; 383 Millionen Kunden wurden kompromittiert, wobei 5 Millionen unverschlüsselte Passnummern sowie 8 Millionen Kreditkartennummern gestohlen wurden.
Wenn das Vertrauen der Kunden in die Marke Marriott nicht schon so niedrig wäre, wie es nur sein kann, würde ich sagen, dass es bald den Tiefpunkt erreicht hat. Dies ist die Art von Dingen, die CISOs nachts wach hält, da sie sich wie leichte Beute im Krieg gegen Cyber-Bedrohungen fühlen. Schauen Sie sich nur Equifax, Yahoo, Sony, Target an - das sind nur einige große Namen, die großflächige Sicherheitsverletzungen erlitten haben, die Milliarden von gestohlenen Datensätzen, Hunderte von Milliarden Dollar an Schaden und kundenförmige Löcher in ihre wirtschaftlichen Herzen gestanzt haben. Es ist eine Katastrophe für das Unternehmen (Target meldete einen Gewinneinbruch von 440 Millionen Dollar im Quartal nach dem Einbruch von 2014), und obwohl einzelne Personen in der Regel nicht dafür verantwortlich gemacht werden - schließlich sollte Softwaresicherheit eine gemeinsame Verantwortung sein -, ist es etwas, das man nicht unbedingt in einem ansonsten glänzenden Lebenslauf sehen möchte, wenn man zufällig zu dieser Zeit für diese Organisationen arbeitet.
Der Verzicht auf ein robustes Sicherheitsprogramm zur Erreichung der Compliance in einem Unternehmen, das mit Zahlungen, sensiblen Daten und dem immateriellen Gold der positiven Kundenstimmung zu tun hat, ist ein Indikator für ein Unternehmen, das nicht nur gefährdet ist, sondern auch ernsthaft hinter der Innovation zurückbleibt.
Jeder sollte sich um Vertrauensfragen in der Beziehung Kunde/Organisation kümmern.
Abgesehen von dem Stress und dem Unheil, dem die IT-, Entwicklungs- und Sicherheitsabteilungen nach einer Sicherheitsverletzung ausgesetzt sind, ist der Faktor Vertrauen ein wichtiges Element für den langfristigen Erfolg eines neueren Unternehmens oder das weitere Wachstum eines etablierten Unternehmens. Das Offensichtliche, was Sie zu verlieren drohen, ist Ihr Job, sollte das Unternehmen aufgrund des verlorenen Vertrauens mit einem wirtschaftlichen Abschwung konfrontiert werden.
Die PCI-DSS-Vorschriften nehmen Unternehmen in die Pflicht - und wie oben erwähnt, hat das Ignorieren dieser gut durchdachten Pläne enorme Auswirkungen -, aber sie sind nur so gut wie das Sicherheitsprogramm, das eingerichtet wurde, und die Mitarbeiter, die darin arbeiten. Wenn Sie sie ernst nehmen, aufmerksam bleiben und ein Beispiel für andere geben, dann heben Sie sich auf eine sehr positive Art und Weise ab.
Achtsamkeit ist alles.
Ein fehlendes Security-Awareness-Programm wird die meisten Versuche, PCI-konform zu bleiben, nahezu nutzlos machen. Organisationsweite Security Awareness bildet den kritischsten Teil der Best-Practice-Richtlinien; sie bieten sogar eigene Trainingsmodule dazu an, wie dies in funktionsübergreifenden Rollen umgesetzt werden kann und wie dies in Unternehmen aussieht, die es richtig machen.
Auf dem Weg zu DevSecOps als aktuellem Goldstandard in der sicheren Softwareentwicklung - bei dem Sicherheit als gemeinsame Verantwortung grundlegend ist - müssen Unternehmen die Zeit, das Geld und den Aufwand aufwenden, um sicherzustellen, dass jeder, einschließlich Anbieter und Auftragnehmer, sicherheitsbewusst ist und Best Practices befolgt.
Ein sicherheitsbewusster Entwickler ist ein regelkonformer Entwickler (und der Weg dahin muss nicht langweilig sein)
Wenn es darum geht, ein "zertifizierter" PCI-DSS-konformer Entwickler zu werden, gibt es nicht viele offensichtliche Möglichkeiten. Und warum? Wahrscheinlich, weil es keine "One-and-Done"-Übung sein kann.
Die OWASP-Organisation ist eine der besten auf dem Planeten, wenn es darum geht, zu lernen, wie man häufige Schwachstellen vereitelt, und ihre Top 10 ist offiziell in den PCI-DSS-Richtlinien für Entwickler aufgeführt. Sicherheit im Blick zu behalten und die Fähigkeiten zu verfeinern, erfordert jedoch Zeit und kontinuierliche Bemühungen. Und niemand möchte, dass dies uninspiriert und eine Verschwendung von Mühe ist.
Eine positive Sicherheitskultur ist kein "nice to have" in einer Organisation; wenn sie die Sicherheit ernst nehmen, dann muss sie Teil des Unternehmensalltags sein.
Entwickler stehen an vorderster Front, wenn es darum geht, Schwachstellen zu beseitigen. Erhalten sie die Unterstützung, die Tools und das Training, um ihren Teil des Sicherheitsdeals bei der PCI-DSS-Compliance einzuhalten?
Die Wahrheit ist, dass das richtige Training nahtloser ist; es sollte sich nicht wie eine Vorlesung anfühlen, und es sollte für die tägliche Arbeit höchst relevant sein. Und diese Art von praktischem Training ist eine Möglichkeit zur Weiterbildung - ein Karriereschritt, der nur Vorteile für Entwickler hat, die es ernst damit meinen, Schwachstellen zu stoppen und mit dem Rest des Teams zusammenzuarbeiten, um einen höheren Standard des Codes zu produzieren.
Möchten Sie Ihre Fähigkeiten im sicheren Programmieren gleich testen? Wählen Sie Ihre Mission.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Dies ist Teil 2 einer Miniserie über PCI-DSS-Compliance innerhalb einer Organisation. In diesem abschließenden Kapitel gehen wir darauf ein, wie CTOs und CISOs bei der Verringerung des Cyber-Risikos von der Spitze aus führen und den Prozess nahtlos und erfolgreich gestalten können... und vielleicht auch ein bisschen Spaß für Entwickler. (Haben Sie Teil 1 verpasst? Lesen Sie ihn hier und erfahren Sie, wie AppSec-Spezialisten diese Chance für bessere Sicherheitsergebnisse ergreifen können).
PCI-DSS-Best-Practice ist zweifellos eine geteilte Verantwortung, aber CISOs und CTOs können ihren beträchtlichen Einfluss nutzen, um ein gedeihliches, positives Sicherheitsprogramm von oben zu gestalten. Sie sind das Aushängeschild für das Vertrauen in die Cybersicherheit und die damit verbundene Stimmung bei den Endbenutzern. Eine frühzeitige Sensibilisierung hat einen starken "Trickle-Down"-Effekt und hilft Entwicklern und AppSec-Experten, das Wissen, die Tools und die Unterstützung zu erhalten, die sie benötigen, um zu einer robusten Sicherheitslage im Unternehmen beizutragen.
Es ist wichtig, die Vorschriften einzuhalten, aber wenn jeder mit dem "Warum" einverstanden ist, Ergebnisse sieht und auf die richtige Weise gefördert wird, kann ein Programm über die Gesetzgebung hinausgehen und zur zweiten Natur werden.
CTOs und CISOs haben die Aufgabe, gegenseitiges Vertrauen zu schaffen
Waren Sie in letzter Zeit auf einer Website und haben zweimal darüber nachgedacht, ob Sie Ihre Kreditkartendaten aushändigen sollten? Sofern es sich nicht um die skizzenhaft aussehende Web-App handelt, die die Online-Bestellung für Ihren örtlichen Pizzaladen durchführt, ist dies wahrscheinlich nicht etwas, das Sie sehr oft erleben, insbesondere nicht bei großen Unternehmen und bekannten Namen im Online-Handel.
Es sei denn, sie geben eine Datenpanne bekannt, natürlich.
Der globale Beherbergungsgigant Marriott hat soeben den zweiten Einbruch innerhalb von drei Jahren bekannt gegeben, der zum Diebstahl von 5,2 Millionen Kundendaten führte. Dieses Mal scheint es noch nicht so, als ob Zahlungsinformationen Teil des Raubes waren, obwohl der katastrophale Einbruch im Jahr 2018 dafür gesorgt hat; 383 Millionen Kunden wurden kompromittiert, wobei 5 Millionen unverschlüsselte Passnummern sowie 8 Millionen Kreditkartennummern gestohlen wurden.
Wenn das Vertrauen der Kunden in die Marke Marriott nicht schon so niedrig wäre, wie es nur sein kann, würde ich sagen, dass es bald den Tiefpunkt erreicht hat. Dies ist die Art von Dingen, die CISOs nachts wach hält, da sie sich wie leichte Beute im Krieg gegen Cyber-Bedrohungen fühlen. Schauen Sie sich nur Equifax, Yahoo, Sony, Target an - das sind nur einige große Namen, die großflächige Sicherheitsverletzungen erlitten haben, die Milliarden von gestohlenen Datensätzen, Hunderte von Milliarden Dollar an Schaden und kundenförmige Löcher in ihre wirtschaftlichen Herzen gestanzt haben. Es ist eine Katastrophe für das Unternehmen (Target meldete einen Gewinneinbruch von 440 Millionen Dollar im Quartal nach dem Einbruch von 2014), und obwohl einzelne Personen in der Regel nicht dafür verantwortlich gemacht werden - schließlich sollte Softwaresicherheit eine gemeinsame Verantwortung sein -, ist es etwas, das man nicht unbedingt in einem ansonsten glänzenden Lebenslauf sehen möchte, wenn man zufällig zu dieser Zeit für diese Organisationen arbeitet.
Der Verzicht auf ein robustes Sicherheitsprogramm zur Erreichung der Compliance in einem Unternehmen, das mit Zahlungen, sensiblen Daten und dem immateriellen Gold der positiven Kundenstimmung zu tun hat, ist ein Indikator für ein Unternehmen, das nicht nur gefährdet ist, sondern auch ernsthaft hinter der Innovation zurückbleibt.
Jeder sollte sich um Vertrauensfragen in der Beziehung Kunde/Organisation kümmern.
Abgesehen von dem Stress und dem Unheil, dem die IT-, Entwicklungs- und Sicherheitsabteilungen nach einer Sicherheitsverletzung ausgesetzt sind, ist der Faktor Vertrauen ein wichtiges Element für den langfristigen Erfolg eines neueren Unternehmens oder das weitere Wachstum eines etablierten Unternehmens. Das Offensichtliche, was Sie zu verlieren drohen, ist Ihr Job, sollte das Unternehmen aufgrund des verlorenen Vertrauens mit einem wirtschaftlichen Abschwung konfrontiert werden.
Die PCI-DSS-Vorschriften nehmen Unternehmen in die Pflicht - und wie oben erwähnt, hat das Ignorieren dieser gut durchdachten Pläne enorme Auswirkungen -, aber sie sind nur so gut wie das Sicherheitsprogramm, das eingerichtet wurde, und die Mitarbeiter, die darin arbeiten. Wenn Sie sie ernst nehmen, aufmerksam bleiben und ein Beispiel für andere geben, dann heben Sie sich auf eine sehr positive Art und Weise ab.
Achtsamkeit ist alles.
Ein fehlendes Security-Awareness-Programm wird die meisten Versuche, PCI-konform zu bleiben, nahezu nutzlos machen. Organisationsweite Security Awareness bildet den kritischsten Teil der Best-Practice-Richtlinien; sie bieten sogar eigene Trainingsmodule dazu an, wie dies in funktionsübergreifenden Rollen umgesetzt werden kann und wie dies in Unternehmen aussieht, die es richtig machen.
Auf dem Weg zu DevSecOps als aktuellem Goldstandard in der sicheren Softwareentwicklung - bei dem Sicherheit als gemeinsame Verantwortung grundlegend ist - müssen Unternehmen die Zeit, das Geld und den Aufwand aufwenden, um sicherzustellen, dass jeder, einschließlich Anbieter und Auftragnehmer, sicherheitsbewusst ist und Best Practices befolgt.
Ein sicherheitsbewusster Entwickler ist ein regelkonformer Entwickler (und der Weg dahin muss nicht langweilig sein)
Wenn es darum geht, ein "zertifizierter" PCI-DSS-konformer Entwickler zu werden, gibt es nicht viele offensichtliche Möglichkeiten. Und warum? Wahrscheinlich, weil es keine "One-and-Done"-Übung sein kann.
Die OWASP-Organisation ist eine der besten auf dem Planeten, wenn es darum geht, zu lernen, wie man häufige Schwachstellen vereitelt, und ihre Top 10 ist offiziell in den PCI-DSS-Richtlinien für Entwickler aufgeführt. Sicherheit im Blick zu behalten und die Fähigkeiten zu verfeinern, erfordert jedoch Zeit und kontinuierliche Bemühungen. Und niemand möchte, dass dies uninspiriert und eine Verschwendung von Mühe ist.
Eine positive Sicherheitskultur ist kein "nice to have" in einer Organisation; wenn sie die Sicherheit ernst nehmen, dann muss sie Teil des Unternehmensalltags sein.
Entwickler stehen an vorderster Front, wenn es darum geht, Schwachstellen zu beseitigen. Erhalten sie die Unterstützung, die Tools und das Training, um ihren Teil des Sicherheitsdeals bei der PCI-DSS-Compliance einzuhalten?
Die Wahrheit ist, dass das richtige Training nahtloser ist; es sollte sich nicht wie eine Vorlesung anfühlen, und es sollte für die tägliche Arbeit höchst relevant sein. Und diese Art von praktischem Training ist eine Möglichkeit zur Weiterbildung - ein Karriereschritt, der nur Vorteile für Entwickler hat, die es ernst damit meinen, Schwachstellen zu stoppen und mit dem Rest des Teams zusammenzuarbeiten, um einen höheren Standard des Codes zu produzieren.
Möchten Sie Ihre Fähigkeiten im sicheren Programmieren gleich testen? Wählen Sie Ihre Mission.
Inhaltsverzeichnis
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
Die Leistungsfähigkeit von OpenText Application Security + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.