開発者主導型セキュリティのROI
Die Kosten von schlechtem Code
Technologiesprünge machen es Entwicklern leichter als je zuvor, Code schneller als je zuvor bereitzustellen. Dies kann für die Innovation aufregend sein, aber auch entmutigend, wenn es darum geht, die Qualität und Sicherheit von Software zu erhöhen. Die Rechtfertigung der Kosten für zusätzliche Tools, Trainingsprogramme und Investitionen in die Weiterbildung von Entwicklern kann wie ein "Nice-to-have" gegenüber einer kritischen Geschäftsfunktion erscheinen, wenn die Geschwindigkeit des ausgelieferten Codes beibehalten wird.
Die schnellere Bereitstellung von Code mag einfacher geworden sein, die Bereitstellung von sicherem Code ist es leider nicht - und so sind Unternehmen anfälliger für Bedrohungen als je zuvor. Die Kosten der Cyberkriminalität sind weltweit schwindelerregend und steigen rapide an. Tatsächlich beliefen sich die Kosten der Cyberkriminalität im Jahr 2020 auf etwa 1 Billion Dollar. Im Durchschnitt belaufen sich die Kosten einer Datenschutzverletzung auf 4,35 Millionen Dollar - verteilt auf entgangene Geschäfte mit aktuellen und potenziellen Kunden sowie auf die Ressourcen, die für die Aufdeckung, Eskalation und Nacharbeit aufgewendet werden.
Trotz dieser astronomischen Kosten verlangen mehr als die Hälfte der Unternehmen von ihren Entwicklern nicht, dass sie jährlich eine formelle Schulung zu sicherem Code absolvieren.
Sicherheitsexperten wissen, dass das Aufspüren und Beheben von Schwachstellen manchmal wie ein Spiel mit dem Maulwurf erscheint. Selbst wenn Sie bereits über ein Sicherheitsprogramm mit einer Abhilfestrategie verfügen, gibt es immer eine Möglichkeit zur Verbesserung. Die meisten Unternehmen stellen fest, dass ihr Sicherheitsansatz nicht so stabil ist, wie sie dachten, wenn ihre Disaster Recovery- oder Backup-Fähigkeiten auf die Probe gestellt werden. Wenn die Stärkung der Widerstandsfähigkeit Ihres Unternehmens gegenüber Cyberangriffen eine Ihrer obersten Prioritäten ist, sollte ein Perspektivwechsel bei Ihren Entwicklern zu Ihren Plänen gehören, um Ihre Sicherheitslage weiter zu verbessern. Ein qualifiziertes, befähigtes Entwicklerteam, das von Anfang an sicheren Code erstellt und über das nötige Wissen verfügt, um Schwachstellen schnell zu finden und zu beheben, ist das kostengünstigste Mittel zur Risikominderung.
Ein Irrglaube, wenn es um die Ausbildung von Entwicklern geht, ist, dass es sich dabei einfach um Kosten für das Unternehmen oder sogar um eine Versicherungspolice handelt. Laut Klaus Klaus Klinger, DevSec Awareness Evangelist bei der Allianz, "muss das Ganze in den Köpfen des Managements beginnen. Die Investition in die Schulung von Entwicklern ist keine verlorene Investition, sondern eine Investition in Qualität, Produktivität und den Ruf des Unternehmens".
Der ROI ist in diesem Bereich oft schwer zu beziffern, aber letztendlich sollten Unternehmen darüber nachdenken, wie ihre Sicherheitsmaßnahmen ihnen helfen, Risiken zu reduzieren, ihre Vorgehensweise zu rationalisieren und Zeit und Produktivität für ihre Entwicklerteams zu sparen.
Wie kann man den ROI der Cybersicherheitskosten quantifizieren?
Wenn es um den ROI geht, ist es wichtig, ihn in zwei verschiedenen Rahmen zu betrachten: die Kosteneinsparungen durch Risikominderung und die Auswirkungen Ihrer Sicherheitsschulung.
Betrachten wir dieses allzu häufige Beispiel: Eine Sicherheitslücke oder ein Sicherheitsverstoß führt dazu, dass eine E-Commerce-Website mehrere Tage lang offline ist, während die Teams nach dem Problem und dessen Behebung suchen. Die Kosten für das Versäumnis, das Problem zu beheben, lassen sich anhand der entgangenen Einnahmen während des Ausfalls, der Auswirkungen gestohlener Zugangsdaten, des Vertrauensverlusts der Kunden (der langfristig zu Umsatzeinbußen führt) und des allgemeinen Produktivitätsverlusts während der Behebung des Problems beziffern.
Dies läuft im Grunde auf eine Kosten-Nutzen-Analyse hinaus. Die wichtigsten Bereiche, die Sie bewerten sollten, sind der Reifegrad der Sicherheit in Ihrem Unternehmen, die Risikoakzeptanz Ihres Unternehmens und die Bereiche in Ihrem Code, die gewartet oder verbessert werden müssen.
Die Menschen konzentrieren sich oft auf die falschen Messgrößen, um Erfolg und Wert zu bestimmen. Vielleicht sollten wir uns weniger um die Rendite der Anfangsinvestition des Programms kümmern und stattdessen die Auswirkungen des Programms selbst messen.
Maßnahme zum Nachweis der Wirkung
Um den ROI zu ermitteln, müssen Sie messbare Ziele festlegen. Dies beginnt damit, dass Sie die sicheren Programmierkenntnisse Ihrer Entwickler bewerten und feststellen, wo sie ihre Fähigkeiten ausbauen müssen.
Ein erster Ansatzpunkt wäre die Messung des Engagements, um strategische Entscheidungen über die Gestaltung besserer Schulungsprogramme treffen zu können. Am wichtigsten ist es, die Auswirkungen zu messen. Beginnen Sie damit, die Anzahl der Schwachstellen zu ermitteln, die im Lebenszyklus der Softwareentwicklung durch Codeanalyse, Bug Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Eine der einfachsten Möglichkeiten, um festzustellen, ob Ihr Schulungsprogramm den gewünschten Erfolg hat, ist die Messung des Rückgangs der Schwachstellen, die in Ihre Codebasis insgesamt eingeführt werden.
Die wichtigsten Fragen zur Bewertung des ROI:
1. Rationalisieren wir unseren Ansatz?
Werfen Sie mehr Tools auf das Problem oder lösen Sie es an der Wurzel? Das Hinzufügen weiterer Tools zu Ihrem Tech-Stack führt zu einem "Schweizer Käse"-Ansatz bei der Suche und Behebung von Schwachstellen. Außerdem erhöhen sie die Betriebskosten, ohne die Quelle vieler Schwachstellen zu beeinflussen - den Code. Obwohl Scanning- und Pentesting-Tools unbedingt zu Ihrem Arsenal gehören sollten, sollten sie nicht Ihre letzte Verteidigungslinie sein.
2. Verbessern wir Effizienz und Produktivität?
Die Zeit, die für erschöpfende Codeüberprüfungen und Überarbeitungen des von AppSec zurückgesandten Codes aufgewendet wird, kann zu einem erheblichen Produktivitätsverlust führen. Die Verringerung von "Fire Drills" durch die Ermächtigung und Befähigung von Entwicklerteams, bei der Schulung für sicheren Code selbst Hand anzulegen, sollte ein guter Maßstab für die Bewertung der positiven Auswirkungen Ihres Sicherheitsprogramms sein.
3. verringern wir die Risiken?
Eine Schwachstelle zu finden und zu beheben kann wie das Lösen eines großen Puzzles sein, das manchmal Tage, Wochen oder sogar Monate dauern kann, um es mit einer robusten Lösung abzuschließen. Wenn Entwickler in die Lage versetzt werden, die Fehlerbehebung an der Quelle selbst durchzuführen, kann sich AppSec auf die Risikoüberwachung und die Stärkung der Sicherheitslage des Unternehmens konzentrieren.
4. Erhöhen wir die Geschwindigkeit (bei gleichbleibender Qualität)?
Die schnelle Bereitstellung von Code ist nicht immer eine gute Sache. Wenn man an der falschen Stelle spart und Schwachstellen in den Code einbaut, kann das in der Zukunft viel Kopfzerbrechen bereiten und technische Schulden anhäufen. Kurzfristiges Denken ist hier nicht die Lösung. Man kann das Risiko mindern, indem man seinen Code von Anfang an absichert, so dass sich das Problem in der Zukunft nicht verschlimmert.
Empfohlene Metriken zur Überwachung:
- Engagement - wie viel Zeit planen Sie für die Schulung ein und wie engagieren sich die Entwickler? Nehmen sie an courses, an Bewertungen und an tournaments teil?
- Fähigkeiten - wo liegen die Stärken? Welche Bereiche sind verbesserungsbedürftig?
- Verringerung der Schwachstellen - haben Sie bei der Codeüberprüfung einen messbaren Rückgang der Schwachstellen festgestellt? Erleben Sie, dass weniger Nacharbeit von AppSec zurückkommt?
- Produktivität - wie lange dauert es, ein Problem zu beheben? Haben Sie eine Steigerung der Produktivität oder Geschwindigkeit bei der Reduzierung von Schwachstellen festgestellt?
Wert schaffen durch Linksverschiebung
Sicherheitsverletzungen und Schwachstellen nehmen jedes Jahr rapide zu. Es ist wichtig, proaktiv einen ganzheitlichen Ansatz für die Sicherheit zu entwickeln - angefangen bei Ihrem Code. Dies wird dazu beitragen,:
- Reduzieren Sie die Komplexität, indem Sie in Ihre wertvollsten Ressourcen - Ihre Mitarbeiter - investieren, anstatt Geld für Tools auszugeben, die nur einen Teil des Problems lösen.
- Verbessern Sie die Effizienz und Gesamteffektivität, indem Sie Nacharbeiten oder Fehlerbehebungen einschränken, die normalerweise von AppSec nach der Bereitstellung des Codes identifiziert werden würden.
- Risikominimierung und Einhaltung von Vorschriften, um kostspielige Bußgelder, den Verlust des Kundenvertrauens oder - noch schlimmer - die Kosten einer Datenschutzverletzung zu vermeiden
Vermeiden Sie kurzfristiges Denken und schnelle Lösungen. Sie können nur zu technischen Schulden und weiteren Kosten führen. Planen Sie langfristig, indem Sie Ihre Entwickler weiterbilden und befähigen, Ihre beste Verteidigungslinie gegen Schwachstellen und Cyberkriminalität zu sein, und überzeugen Sie sich selbst von den Auswirkungen und Kosteneinsparungen.
テクノロジースタックや追加のトレーニングプログラムへの投資に関しては、誰もが投資収益率を高めたいと考えていますが、セキュリティに関しては、単純な ROI の計算にとどまらない長い時間をかけて取り組む必要があります。開発者が主導するセキュリティに投資することで、高額な情報漏えい、生産性の低下、蓄積された技術負債の費用を節約できるだけでなく、今日の脅威環境の一歩先を行くための積極的で費用対効果の高い戦略を構築する方法を学びましょう。
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Dieser Artikel wurde vom Branchenexperten-Team von Secure Code Warrior verfasst. Er zielt darauf ab, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie benötigen, um von Anfang an sichere Software zu entwickeln. Dabei werden fundierte Fachkenntnisse über die Praxis des sicheren Codierens, Branchentrends und Einblicke aus der Praxis genutzt.
Die Kosten von schlechtem Code
Technologiesprünge machen es Entwicklern leichter als je zuvor, Code schneller als je zuvor bereitzustellen. Dies kann für die Innovation aufregend sein, aber auch entmutigend, wenn es darum geht, die Qualität und Sicherheit von Software zu erhöhen. Die Rechtfertigung der Kosten für zusätzliche Tools, Trainingsprogramme und Investitionen in die Weiterbildung von Entwicklern kann wie ein "Nice-to-have" gegenüber einer kritischen Geschäftsfunktion erscheinen, wenn die Geschwindigkeit des ausgelieferten Codes beibehalten wird.
Die schnellere Bereitstellung von Code mag einfacher geworden sein, die Bereitstellung von sicherem Code ist es leider nicht - und so sind Unternehmen anfälliger für Bedrohungen als je zuvor. Die Kosten der Cyberkriminalität sind weltweit schwindelerregend und steigen rapide an. Tatsächlich beliefen sich die Kosten der Cyberkriminalität im Jahr 2020 auf etwa 1 Billion Dollar. Im Durchschnitt belaufen sich die Kosten einer Datenschutzverletzung auf 4,35 Millionen Dollar - verteilt auf entgangene Geschäfte mit aktuellen und potenziellen Kunden sowie auf die Ressourcen, die für die Aufdeckung, Eskalation und Nacharbeit aufgewendet werden.
Trotz dieser astronomischen Kosten verlangen mehr als die Hälfte der Unternehmen von ihren Entwicklern nicht, dass sie jährlich eine formelle Schulung zu sicherem Code absolvieren.
Sicherheitsexperten wissen, dass das Aufspüren und Beheben von Schwachstellen manchmal wie ein Spiel mit dem Maulwurf erscheint. Selbst wenn Sie bereits über ein Sicherheitsprogramm mit einer Abhilfestrategie verfügen, gibt es immer eine Möglichkeit zur Verbesserung. Die meisten Unternehmen stellen fest, dass ihr Sicherheitsansatz nicht so stabil ist, wie sie dachten, wenn ihre Disaster Recovery- oder Backup-Fähigkeiten auf die Probe gestellt werden. Wenn die Stärkung der Widerstandsfähigkeit Ihres Unternehmens gegenüber Cyberangriffen eine Ihrer obersten Prioritäten ist, sollte ein Perspektivwechsel bei Ihren Entwicklern zu Ihren Plänen gehören, um Ihre Sicherheitslage weiter zu verbessern. Ein qualifiziertes, befähigtes Entwicklerteam, das von Anfang an sicheren Code erstellt und über das nötige Wissen verfügt, um Schwachstellen schnell zu finden und zu beheben, ist das kostengünstigste Mittel zur Risikominderung.
Ein Irrglaube, wenn es um die Ausbildung von Entwicklern geht, ist, dass es sich dabei einfach um Kosten für das Unternehmen oder sogar um eine Versicherungspolice handelt. Laut Klaus Klaus Klinger, DevSec Awareness Evangelist bei der Allianz, "muss das Ganze in den Köpfen des Managements beginnen. Die Investition in die Schulung von Entwicklern ist keine verlorene Investition, sondern eine Investition in Qualität, Produktivität und den Ruf des Unternehmens".
Der ROI ist in diesem Bereich oft schwer zu beziffern, aber letztendlich sollten Unternehmen darüber nachdenken, wie ihre Sicherheitsmaßnahmen ihnen helfen, Risiken zu reduzieren, ihre Vorgehensweise zu rationalisieren und Zeit und Produktivität für ihre Entwicklerteams zu sparen.
Wie kann man den ROI der Cybersicherheitskosten quantifizieren?
Wenn es um den ROI geht, ist es wichtig, ihn in zwei verschiedenen Rahmen zu betrachten: die Kosteneinsparungen durch Risikominderung und die Auswirkungen Ihrer Sicherheitsschulung.
Betrachten wir dieses allzu häufige Beispiel: Eine Sicherheitslücke oder ein Sicherheitsverstoß führt dazu, dass eine E-Commerce-Website mehrere Tage lang offline ist, während die Teams nach dem Problem und dessen Behebung suchen. Die Kosten für das Versäumnis, das Problem zu beheben, lassen sich anhand der entgangenen Einnahmen während des Ausfalls, der Auswirkungen gestohlener Zugangsdaten, des Vertrauensverlusts der Kunden (der langfristig zu Umsatzeinbußen führt) und des allgemeinen Produktivitätsverlusts während der Behebung des Problems beziffern.
Dies läuft im Grunde auf eine Kosten-Nutzen-Analyse hinaus. Die wichtigsten Bereiche, die Sie bewerten sollten, sind der Reifegrad der Sicherheit in Ihrem Unternehmen, die Risikoakzeptanz Ihres Unternehmens und die Bereiche in Ihrem Code, die gewartet oder verbessert werden müssen.
Die Menschen konzentrieren sich oft auf die falschen Messgrößen, um Erfolg und Wert zu bestimmen. Vielleicht sollten wir uns weniger um die Rendite der Anfangsinvestition des Programms kümmern und stattdessen die Auswirkungen des Programms selbst messen.
Maßnahme zum Nachweis der Wirkung
Um den ROI zu ermitteln, müssen Sie messbare Ziele festlegen. Dies beginnt damit, dass Sie die sicheren Programmierkenntnisse Ihrer Entwickler bewerten und feststellen, wo sie ihre Fähigkeiten ausbauen müssen.
Ein erster Ansatzpunkt wäre die Messung des Engagements, um strategische Entscheidungen über die Gestaltung besserer Schulungsprogramme treffen zu können. Am wichtigsten ist es, die Auswirkungen zu messen. Beginnen Sie damit, die Anzahl der Schwachstellen zu ermitteln, die im Lebenszyklus der Softwareentwicklung durch Codeanalyse, Bug Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Eine der einfachsten Möglichkeiten, um festzustellen, ob Ihr Schulungsprogramm den gewünschten Erfolg hat, ist die Messung des Rückgangs der Schwachstellen, die in Ihre Codebasis insgesamt eingeführt werden.
Die wichtigsten Fragen zur Bewertung des ROI:
1. Rationalisieren wir unseren Ansatz?
Werfen Sie mehr Tools auf das Problem oder lösen Sie es an der Wurzel? Das Hinzufügen weiterer Tools zu Ihrem Tech-Stack führt zu einem "Schweizer Käse"-Ansatz bei der Suche und Behebung von Schwachstellen. Außerdem erhöhen sie die Betriebskosten, ohne die Quelle vieler Schwachstellen zu beeinflussen - den Code. Obwohl Scanning- und Pentesting-Tools unbedingt zu Ihrem Arsenal gehören sollten, sollten sie nicht Ihre letzte Verteidigungslinie sein.
2. Verbessern wir Effizienz und Produktivität?
Die Zeit, die für erschöpfende Codeüberprüfungen und Überarbeitungen des von AppSec zurückgesandten Codes aufgewendet wird, kann zu einem erheblichen Produktivitätsverlust führen. Die Verringerung von "Fire Drills" durch die Ermächtigung und Befähigung von Entwicklerteams, bei der Schulung für sicheren Code selbst Hand anzulegen, sollte ein guter Maßstab für die Bewertung der positiven Auswirkungen Ihres Sicherheitsprogramms sein.
3. verringern wir die Risiken?
Eine Schwachstelle zu finden und zu beheben kann wie das Lösen eines großen Puzzles sein, das manchmal Tage, Wochen oder sogar Monate dauern kann, um es mit einer robusten Lösung abzuschließen. Wenn Entwickler in die Lage versetzt werden, die Fehlerbehebung an der Quelle selbst durchzuführen, kann sich AppSec auf die Risikoüberwachung und die Stärkung der Sicherheitslage des Unternehmens konzentrieren.
4. Erhöhen wir die Geschwindigkeit (bei gleichbleibender Qualität)?
Die schnelle Bereitstellung von Code ist nicht immer eine gute Sache. Wenn man an der falschen Stelle spart und Schwachstellen in den Code einbaut, kann das in der Zukunft viel Kopfzerbrechen bereiten und technische Schulden anhäufen. Kurzfristiges Denken ist hier nicht die Lösung. Man kann das Risiko mindern, indem man seinen Code von Anfang an absichert, so dass sich das Problem in der Zukunft nicht verschlimmert.
Empfohlene Metriken zur Überwachung:
- Engagement - wie viel Zeit planen Sie für die Schulung ein und wie engagieren sich die Entwickler? Nehmen sie an courses, an Bewertungen und an tournaments teil?
- Fähigkeiten - wo liegen die Stärken? Welche Bereiche sind verbesserungsbedürftig?
- Verringerung der Schwachstellen - haben Sie bei der Codeüberprüfung einen messbaren Rückgang der Schwachstellen festgestellt? Erleben Sie, dass weniger Nacharbeit von AppSec zurückkommt?
- Produktivität - wie lange dauert es, ein Problem zu beheben? Haben Sie eine Steigerung der Produktivität oder Geschwindigkeit bei der Reduzierung von Schwachstellen festgestellt?
Wert schaffen durch Linksverschiebung
Sicherheitsverletzungen und Schwachstellen nehmen jedes Jahr rapide zu. Es ist wichtig, proaktiv einen ganzheitlichen Ansatz für die Sicherheit zu entwickeln - angefangen bei Ihrem Code. Dies wird dazu beitragen,:
- Reduzieren Sie die Komplexität, indem Sie in Ihre wertvollsten Ressourcen - Ihre Mitarbeiter - investieren, anstatt Geld für Tools auszugeben, die nur einen Teil des Problems lösen.
- Verbessern Sie die Effizienz und Gesamteffektivität, indem Sie Nacharbeiten oder Fehlerbehebungen einschränken, die normalerweise von AppSec nach der Bereitstellung des Codes identifiziert werden würden.
- Risikominimierung und Einhaltung von Vorschriften, um kostspielige Bußgelder, den Verlust des Kundenvertrauens oder - noch schlimmer - die Kosten einer Datenschutzverletzung zu vermeiden
Vermeiden Sie kurzfristiges Denken und schnelle Lösungen. Sie können nur zu technischen Schulden und weiteren Kosten führen. Planen Sie langfristig, indem Sie Ihre Entwickler weiterbilden und befähigen, Ihre beste Verteidigungslinie gegen Schwachstellen und Cyberkriminalität zu sein, und überzeugen Sie sich selbst von den Auswirkungen und Kosteneinsparungen.
Die Kosten von schlechtem Code
Technologiesprünge machen es Entwicklern leichter als je zuvor, Code schneller als je zuvor bereitzustellen. Dies kann für die Innovation aufregend sein, aber auch entmutigend, wenn es darum geht, die Qualität und Sicherheit von Software zu erhöhen. Die Rechtfertigung der Kosten für zusätzliche Tools, Trainingsprogramme und Investitionen in die Weiterbildung von Entwicklern kann wie ein "Nice-to-have" gegenüber einer kritischen Geschäftsfunktion erscheinen, wenn die Geschwindigkeit des ausgelieferten Codes beibehalten wird.
Die schnellere Bereitstellung von Code mag einfacher geworden sein, die Bereitstellung von sicherem Code ist es leider nicht - und so sind Unternehmen anfälliger für Bedrohungen als je zuvor. Die Kosten der Cyberkriminalität sind weltweit schwindelerregend und steigen rapide an. Tatsächlich beliefen sich die Kosten der Cyberkriminalität im Jahr 2020 auf etwa 1 Billion Dollar. Im Durchschnitt belaufen sich die Kosten einer Datenschutzverletzung auf 4,35 Millionen Dollar - verteilt auf entgangene Geschäfte mit aktuellen und potenziellen Kunden sowie auf die Ressourcen, die für die Aufdeckung, Eskalation und Nacharbeit aufgewendet werden.
Trotz dieser astronomischen Kosten verlangen mehr als die Hälfte der Unternehmen von ihren Entwicklern nicht, dass sie jährlich eine formelle Schulung zu sicherem Code absolvieren.
Sicherheitsexperten wissen, dass das Aufspüren und Beheben von Schwachstellen manchmal wie ein Spiel mit dem Maulwurf erscheint. Selbst wenn Sie bereits über ein Sicherheitsprogramm mit einer Abhilfestrategie verfügen, gibt es immer eine Möglichkeit zur Verbesserung. Die meisten Unternehmen stellen fest, dass ihr Sicherheitsansatz nicht so stabil ist, wie sie dachten, wenn ihre Disaster Recovery- oder Backup-Fähigkeiten auf die Probe gestellt werden. Wenn die Stärkung der Widerstandsfähigkeit Ihres Unternehmens gegenüber Cyberangriffen eine Ihrer obersten Prioritäten ist, sollte ein Perspektivwechsel bei Ihren Entwicklern zu Ihren Plänen gehören, um Ihre Sicherheitslage weiter zu verbessern. Ein qualifiziertes, befähigtes Entwicklerteam, das von Anfang an sicheren Code erstellt und über das nötige Wissen verfügt, um Schwachstellen schnell zu finden und zu beheben, ist das kostengünstigste Mittel zur Risikominderung.
Ein Irrglaube, wenn es um die Ausbildung von Entwicklern geht, ist, dass es sich dabei einfach um Kosten für das Unternehmen oder sogar um eine Versicherungspolice handelt. Laut Klaus Klaus Klinger, DevSec Awareness Evangelist bei der Allianz, "muss das Ganze in den Köpfen des Managements beginnen. Die Investition in die Schulung von Entwicklern ist keine verlorene Investition, sondern eine Investition in Qualität, Produktivität und den Ruf des Unternehmens".
Der ROI ist in diesem Bereich oft schwer zu beziffern, aber letztendlich sollten Unternehmen darüber nachdenken, wie ihre Sicherheitsmaßnahmen ihnen helfen, Risiken zu reduzieren, ihre Vorgehensweise zu rationalisieren und Zeit und Produktivität für ihre Entwicklerteams zu sparen.
Wie kann man den ROI der Cybersicherheitskosten quantifizieren?
Wenn es um den ROI geht, ist es wichtig, ihn in zwei verschiedenen Rahmen zu betrachten: die Kosteneinsparungen durch Risikominderung und die Auswirkungen Ihrer Sicherheitsschulung.
Betrachten wir dieses allzu häufige Beispiel: Eine Sicherheitslücke oder ein Sicherheitsverstoß führt dazu, dass eine E-Commerce-Website mehrere Tage lang offline ist, während die Teams nach dem Problem und dessen Behebung suchen. Die Kosten für das Versäumnis, das Problem zu beheben, lassen sich anhand der entgangenen Einnahmen während des Ausfalls, der Auswirkungen gestohlener Zugangsdaten, des Vertrauensverlusts der Kunden (der langfristig zu Umsatzeinbußen führt) und des allgemeinen Produktivitätsverlusts während der Behebung des Problems beziffern.
Dies läuft im Grunde auf eine Kosten-Nutzen-Analyse hinaus. Die wichtigsten Bereiche, die Sie bewerten sollten, sind der Reifegrad der Sicherheit in Ihrem Unternehmen, die Risikoakzeptanz Ihres Unternehmens und die Bereiche in Ihrem Code, die gewartet oder verbessert werden müssen.
Die Menschen konzentrieren sich oft auf die falschen Messgrößen, um Erfolg und Wert zu bestimmen. Vielleicht sollten wir uns weniger um die Rendite der Anfangsinvestition des Programms kümmern und stattdessen die Auswirkungen des Programms selbst messen.
Maßnahme zum Nachweis der Wirkung
Um den ROI zu ermitteln, müssen Sie messbare Ziele festlegen. Dies beginnt damit, dass Sie die sicheren Programmierkenntnisse Ihrer Entwickler bewerten und feststellen, wo sie ihre Fähigkeiten ausbauen müssen.
Ein erster Ansatzpunkt wäre die Messung des Engagements, um strategische Entscheidungen über die Gestaltung besserer Schulungsprogramme treffen zu können. Am wichtigsten ist es, die Auswirkungen zu messen. Beginnen Sie damit, die Anzahl der Schwachstellen zu ermitteln, die im Lebenszyklus der Softwareentwicklung durch Codeanalyse, Bug Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Eine der einfachsten Möglichkeiten, um festzustellen, ob Ihr Schulungsprogramm den gewünschten Erfolg hat, ist die Messung des Rückgangs der Schwachstellen, die in Ihre Codebasis insgesamt eingeführt werden.
Die wichtigsten Fragen zur Bewertung des ROI:
1. Rationalisieren wir unseren Ansatz?
Werfen Sie mehr Tools auf das Problem oder lösen Sie es an der Wurzel? Das Hinzufügen weiterer Tools zu Ihrem Tech-Stack führt zu einem "Schweizer Käse"-Ansatz bei der Suche und Behebung von Schwachstellen. Außerdem erhöhen sie die Betriebskosten, ohne die Quelle vieler Schwachstellen zu beeinflussen - den Code. Obwohl Scanning- und Pentesting-Tools unbedingt zu Ihrem Arsenal gehören sollten, sollten sie nicht Ihre letzte Verteidigungslinie sein.
2. Verbessern wir Effizienz und Produktivität?
Die Zeit, die für erschöpfende Codeüberprüfungen und Überarbeitungen des von AppSec zurückgesandten Codes aufgewendet wird, kann zu einem erheblichen Produktivitätsverlust führen. Die Verringerung von "Fire Drills" durch die Ermächtigung und Befähigung von Entwicklerteams, bei der Schulung für sicheren Code selbst Hand anzulegen, sollte ein guter Maßstab für die Bewertung der positiven Auswirkungen Ihres Sicherheitsprogramms sein.
3. verringern wir die Risiken?
Eine Schwachstelle zu finden und zu beheben kann wie das Lösen eines großen Puzzles sein, das manchmal Tage, Wochen oder sogar Monate dauern kann, um es mit einer robusten Lösung abzuschließen. Wenn Entwickler in die Lage versetzt werden, die Fehlerbehebung an der Quelle selbst durchzuführen, kann sich AppSec auf die Risikoüberwachung und die Stärkung der Sicherheitslage des Unternehmens konzentrieren.
4. Erhöhen wir die Geschwindigkeit (bei gleichbleibender Qualität)?
Die schnelle Bereitstellung von Code ist nicht immer eine gute Sache. Wenn man an der falschen Stelle spart und Schwachstellen in den Code einbaut, kann das in der Zukunft viel Kopfzerbrechen bereiten und technische Schulden anhäufen. Kurzfristiges Denken ist hier nicht die Lösung. Man kann das Risiko mindern, indem man seinen Code von Anfang an absichert, so dass sich das Problem in der Zukunft nicht verschlimmert.
Empfohlene Metriken zur Überwachung:
- Engagement - wie viel Zeit planen Sie für die Schulung ein und wie engagieren sich die Entwickler? Nehmen sie an courses, an Bewertungen und an tournaments teil?
- Fähigkeiten - wo liegen die Stärken? Welche Bereiche sind verbesserungsbedürftig?
- Verringerung der Schwachstellen - haben Sie bei der Codeüberprüfung einen messbaren Rückgang der Schwachstellen festgestellt? Erleben Sie, dass weniger Nacharbeit von AppSec zurückkommt?
- Produktivität - wie lange dauert es, ein Problem zu beheben? Haben Sie eine Steigerung der Produktivität oder Geschwindigkeit bei der Reduzierung von Schwachstellen festgestellt?
Wert schaffen durch Linksverschiebung
Sicherheitsverletzungen und Schwachstellen nehmen jedes Jahr rapide zu. Es ist wichtig, proaktiv einen ganzheitlichen Ansatz für die Sicherheit zu entwickeln - angefangen bei Ihrem Code. Dies wird dazu beitragen,:
- Reduzieren Sie die Komplexität, indem Sie in Ihre wertvollsten Ressourcen - Ihre Mitarbeiter - investieren, anstatt Geld für Tools auszugeben, die nur einen Teil des Problems lösen.
- Verbessern Sie die Effizienz und Gesamteffektivität, indem Sie Nacharbeiten oder Fehlerbehebungen einschränken, die normalerweise von AppSec nach der Bereitstellung des Codes identifiziert werden würden.
- Risikominimierung und Einhaltung von Vorschriften, um kostspielige Bußgelder, den Verlust des Kundenvertrauens oder - noch schlimmer - die Kosten einer Datenschutzverletzung zu vermeiden
Vermeiden Sie kurzfristiges Denken und schnelle Lösungen. Sie können nur zu technischen Schulden und weiteren Kosten führen. Planen Sie langfristig, indem Sie Ihre Entwickler weiterbilden und befähigen, Ihre beste Verteidigungslinie gegen Schwachstellen und Cyberkriminalität zu sein, und überzeugen Sie sich selbst von den Auswirkungen und Kosteneinsparungen.
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Dieser Artikel wurde vom Branchenexperten-Team von Secure Code Warrior verfasst. Er zielt darauf ab, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie benötigen, um von Anfang an sichere Software zu entwickeln. Dabei werden fundierte Fachkenntnisse über die Praxis des sicheren Codierens, Branchentrends und Einblicke aus der Praxis genutzt.
Die Kosten von schlechtem Code
Technologiesprünge machen es Entwicklern leichter als je zuvor, Code schneller als je zuvor bereitzustellen. Dies kann für die Innovation aufregend sein, aber auch entmutigend, wenn es darum geht, die Qualität und Sicherheit von Software zu erhöhen. Die Rechtfertigung der Kosten für zusätzliche Tools, Trainingsprogramme und Investitionen in die Weiterbildung von Entwicklern kann wie ein "Nice-to-have" gegenüber einer kritischen Geschäftsfunktion erscheinen, wenn die Geschwindigkeit des ausgelieferten Codes beibehalten wird.
Die schnellere Bereitstellung von Code mag einfacher geworden sein, die Bereitstellung von sicherem Code ist es leider nicht - und so sind Unternehmen anfälliger für Bedrohungen als je zuvor. Die Kosten der Cyberkriminalität sind weltweit schwindelerregend und steigen rapide an. Tatsächlich beliefen sich die Kosten der Cyberkriminalität im Jahr 2020 auf etwa 1 Billion Dollar. Im Durchschnitt belaufen sich die Kosten einer Datenschutzverletzung auf 4,35 Millionen Dollar - verteilt auf entgangene Geschäfte mit aktuellen und potenziellen Kunden sowie auf die Ressourcen, die für die Aufdeckung, Eskalation und Nacharbeit aufgewendet werden.
Trotz dieser astronomischen Kosten verlangen mehr als die Hälfte der Unternehmen von ihren Entwicklern nicht, dass sie jährlich eine formelle Schulung zu sicherem Code absolvieren.
Sicherheitsexperten wissen, dass das Aufspüren und Beheben von Schwachstellen manchmal wie ein Spiel mit dem Maulwurf erscheint. Selbst wenn Sie bereits über ein Sicherheitsprogramm mit einer Abhilfestrategie verfügen, gibt es immer eine Möglichkeit zur Verbesserung. Die meisten Unternehmen stellen fest, dass ihr Sicherheitsansatz nicht so stabil ist, wie sie dachten, wenn ihre Disaster Recovery- oder Backup-Fähigkeiten auf die Probe gestellt werden. Wenn die Stärkung der Widerstandsfähigkeit Ihres Unternehmens gegenüber Cyberangriffen eine Ihrer obersten Prioritäten ist, sollte ein Perspektivwechsel bei Ihren Entwicklern zu Ihren Plänen gehören, um Ihre Sicherheitslage weiter zu verbessern. Ein qualifiziertes, befähigtes Entwicklerteam, das von Anfang an sicheren Code erstellt und über das nötige Wissen verfügt, um Schwachstellen schnell zu finden und zu beheben, ist das kostengünstigste Mittel zur Risikominderung.
Ein Irrglaube, wenn es um die Ausbildung von Entwicklern geht, ist, dass es sich dabei einfach um Kosten für das Unternehmen oder sogar um eine Versicherungspolice handelt. Laut Klaus Klaus Klinger, DevSec Awareness Evangelist bei der Allianz, "muss das Ganze in den Köpfen des Managements beginnen. Die Investition in die Schulung von Entwicklern ist keine verlorene Investition, sondern eine Investition in Qualität, Produktivität und den Ruf des Unternehmens".
Der ROI ist in diesem Bereich oft schwer zu beziffern, aber letztendlich sollten Unternehmen darüber nachdenken, wie ihre Sicherheitsmaßnahmen ihnen helfen, Risiken zu reduzieren, ihre Vorgehensweise zu rationalisieren und Zeit und Produktivität für ihre Entwicklerteams zu sparen.
Wie kann man den ROI der Cybersicherheitskosten quantifizieren?
Wenn es um den ROI geht, ist es wichtig, ihn in zwei verschiedenen Rahmen zu betrachten: die Kosteneinsparungen durch Risikominderung und die Auswirkungen Ihrer Sicherheitsschulung.
Betrachten wir dieses allzu häufige Beispiel: Eine Sicherheitslücke oder ein Sicherheitsverstoß führt dazu, dass eine E-Commerce-Website mehrere Tage lang offline ist, während die Teams nach dem Problem und dessen Behebung suchen. Die Kosten für das Versäumnis, das Problem zu beheben, lassen sich anhand der entgangenen Einnahmen während des Ausfalls, der Auswirkungen gestohlener Zugangsdaten, des Vertrauensverlusts der Kunden (der langfristig zu Umsatzeinbußen führt) und des allgemeinen Produktivitätsverlusts während der Behebung des Problems beziffern.
Dies läuft im Grunde auf eine Kosten-Nutzen-Analyse hinaus. Die wichtigsten Bereiche, die Sie bewerten sollten, sind der Reifegrad der Sicherheit in Ihrem Unternehmen, die Risikoakzeptanz Ihres Unternehmens und die Bereiche in Ihrem Code, die gewartet oder verbessert werden müssen.
Die Menschen konzentrieren sich oft auf die falschen Messgrößen, um Erfolg und Wert zu bestimmen. Vielleicht sollten wir uns weniger um die Rendite der Anfangsinvestition des Programms kümmern und stattdessen die Auswirkungen des Programms selbst messen.
Maßnahme zum Nachweis der Wirkung
Um den ROI zu ermitteln, müssen Sie messbare Ziele festlegen. Dies beginnt damit, dass Sie die sicheren Programmierkenntnisse Ihrer Entwickler bewerten und feststellen, wo sie ihre Fähigkeiten ausbauen müssen.
Ein erster Ansatzpunkt wäre die Messung des Engagements, um strategische Entscheidungen über die Gestaltung besserer Schulungsprogramme treffen zu können. Am wichtigsten ist es, die Auswirkungen zu messen. Beginnen Sie damit, die Anzahl der Schwachstellen zu ermitteln, die im Lebenszyklus der Softwareentwicklung durch Codeanalyse, Bug Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Eine der einfachsten Möglichkeiten, um festzustellen, ob Ihr Schulungsprogramm den gewünschten Erfolg hat, ist die Messung des Rückgangs der Schwachstellen, die in Ihre Codebasis insgesamt eingeführt werden.
Die wichtigsten Fragen zur Bewertung des ROI:
1. Rationalisieren wir unseren Ansatz?
Werfen Sie mehr Tools auf das Problem oder lösen Sie es an der Wurzel? Das Hinzufügen weiterer Tools zu Ihrem Tech-Stack führt zu einem "Schweizer Käse"-Ansatz bei der Suche und Behebung von Schwachstellen. Außerdem erhöhen sie die Betriebskosten, ohne die Quelle vieler Schwachstellen zu beeinflussen - den Code. Obwohl Scanning- und Pentesting-Tools unbedingt zu Ihrem Arsenal gehören sollten, sollten sie nicht Ihre letzte Verteidigungslinie sein.
2. Verbessern wir Effizienz und Produktivität?
Die Zeit, die für erschöpfende Codeüberprüfungen und Überarbeitungen des von AppSec zurückgesandten Codes aufgewendet wird, kann zu einem erheblichen Produktivitätsverlust führen. Die Verringerung von "Fire Drills" durch die Ermächtigung und Befähigung von Entwicklerteams, bei der Schulung für sicheren Code selbst Hand anzulegen, sollte ein guter Maßstab für die Bewertung der positiven Auswirkungen Ihres Sicherheitsprogramms sein.
3. verringern wir die Risiken?
Eine Schwachstelle zu finden und zu beheben kann wie das Lösen eines großen Puzzles sein, das manchmal Tage, Wochen oder sogar Monate dauern kann, um es mit einer robusten Lösung abzuschließen. Wenn Entwickler in die Lage versetzt werden, die Fehlerbehebung an der Quelle selbst durchzuführen, kann sich AppSec auf die Risikoüberwachung und die Stärkung der Sicherheitslage des Unternehmens konzentrieren.
4. Erhöhen wir die Geschwindigkeit (bei gleichbleibender Qualität)?
Die schnelle Bereitstellung von Code ist nicht immer eine gute Sache. Wenn man an der falschen Stelle spart und Schwachstellen in den Code einbaut, kann das in der Zukunft viel Kopfzerbrechen bereiten und technische Schulden anhäufen. Kurzfristiges Denken ist hier nicht die Lösung. Man kann das Risiko mindern, indem man seinen Code von Anfang an absichert, so dass sich das Problem in der Zukunft nicht verschlimmert.
Empfohlene Metriken zur Überwachung:
- Engagement - wie viel Zeit planen Sie für die Schulung ein und wie engagieren sich die Entwickler? Nehmen sie an courses, an Bewertungen und an tournaments teil?
- Fähigkeiten - wo liegen die Stärken? Welche Bereiche sind verbesserungsbedürftig?
- Verringerung der Schwachstellen - haben Sie bei der Codeüberprüfung einen messbaren Rückgang der Schwachstellen festgestellt? Erleben Sie, dass weniger Nacharbeit von AppSec zurückkommt?
- Produktivität - wie lange dauert es, ein Problem zu beheben? Haben Sie eine Steigerung der Produktivität oder Geschwindigkeit bei der Reduzierung von Schwachstellen festgestellt?
Wert schaffen durch Linksverschiebung
Sicherheitsverletzungen und Schwachstellen nehmen jedes Jahr rapide zu. Es ist wichtig, proaktiv einen ganzheitlichen Ansatz für die Sicherheit zu entwickeln - angefangen bei Ihrem Code. Dies wird dazu beitragen,:
- Reduzieren Sie die Komplexität, indem Sie in Ihre wertvollsten Ressourcen - Ihre Mitarbeiter - investieren, anstatt Geld für Tools auszugeben, die nur einen Teil des Problems lösen.
- Verbessern Sie die Effizienz und Gesamteffektivität, indem Sie Nacharbeiten oder Fehlerbehebungen einschränken, die normalerweise von AppSec nach der Bereitstellung des Codes identifiziert werden würden.
- Risikominimierung und Einhaltung von Vorschriften, um kostspielige Bußgelder, den Verlust des Kundenvertrauens oder - noch schlimmer - die Kosten einer Datenschutzverletzung zu vermeiden
Vermeiden Sie kurzfristiges Denken und schnelle Lösungen. Sie können nur zu technischen Schulden und weiteren Kosten führen. Planen Sie langfristig, indem Sie Ihre Entwickler weiterbilden und befähigen, Ihre beste Verteidigungslinie gegen Schwachstellen und Cyberkriminalität zu sein, und überzeugen Sie sich selbst von den Auswirkungen und Kosteneinsparungen.
目次
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
