Eine Sicherheitskultur: Wie Sage sein Security-Champions-Programm mit agilem Secure Code Learning aufgebaut hat
Sage ist ein britischer multinationaler Anbieter von Unternehmenssoftware, der Unternehmen einfach zu bedienende Software und Dienstleistungen für die Bereiche Lohnbuchhaltung, Personalwesen und Finanzen anbietet. Im Jahr 2017 ist Sage das zweitgrößte Technologieunternehmen Großbritanniens, der drittgrößte Anbieter von Enterprise Resource Planning Software weltweit und der größte Anbieter für kleine Unternehmen - mit über 6 Millionen Kunden weltweit.
Situation
Vor der Zusammenarbeit mit Secure Code Warrior begann Sage vor etwa 10 Jahren mit dem Aufbau seines Security Champion Network. Trotz des robusten Netzwerks sicherheitsorientierter Entwickler waren die Schulungen sporadisch und nicht auf die Risikominderung ausgerichtet.
Sage erkannte, dass es wichtig war, sich Zeit für den Aufbau von Beziehungen zu nehmen und die Sicherheit über einen bestimmten Zeitraum mit einem flexiblen Ansatz zu verankern. Das Programm von Sage verknüpfte seine Ziele mit der Risikominderung und den materiellen Auswirkungen dieses Programms. Bei der Erprobung des Programms in bestimmten Geschäftsbereichen konzentrierte man sich auf die Messung der Risikominderung und die Rückmeldung an das Unternehmen, um die Zustimmung der Entwickler und der Führungskräfte zu gewinnen.
Aktion
Mads Howard, People-Centered Security Lead bei Sage, arbeitete mit Entwicklern zusammen, um die Personas von Security Champions zu verstehen. Sie traf sich mit Entwicklern in jeder Geschäftseinheit und führte Interviews mit ihnen durch, um zu verstehen, was sie motiviert, wie sie gerne lernen und welche Einschränkungen sie bei ihrer Arbeit sehen. Sie und ihr Team bemühten sich um den Aufbau von Beziehungen zu den Entwicklern und ihren Teamleitern und betonten, wie wichtig es ist, in ihrem Ansatz flexibel zu sein.
Mads legt Wert auf einen beziehungsorientierten Ansatz,
"Wir haben viel Zeit damit verbracht, Beziehungen zu den Leitern der Entwicklungsteams, den Leitern der technischen Teams und den Produktmanagern aufzubauen - den Leuten, die die Zeit kontrollieren, die während der Sprint-Zyklen für die Ausbildung aufgewendet wird."
Laut Mads ging es auch darum, das Netz der Sicherheitsbeauftragten zu erweitern,
"Das Netzwerk der Sicherheitsbeauftragten wurde als eine Schlüsselkontrolle dieses Programms angesehen. Damit die Produkte dieses Programm durchlaufen konnten, mussten wir die Rolle eines Sicherheitsbeauftragten wirklich ernst nehmen und ihm eine solide Sicherheitsschulung zukommen lassen."
Das Ziel des Global Security Teams bei Sage war es, ein Sicherheitskontrollprogramm zu implementieren, das die Lernbedürfnisse von Entwicklern in einer komplexen Technologieumgebung berücksichtigt, und einen Partner zu wählen, der mit den vorhandenen Sicherheitswerkzeugen zusammenarbeitet, um das Schwachstellenmanagement zu unterstützen.
Es war wichtig, dass die Ausbildung als ein wichtiger Aspekt eines ausgereiften Sicherheitskontrollprogramms angesehen wurde. Sie konzentrierten sich auf die Messung der Risikominderung durch:
- Verbesserung der Risikobewertung
- Schwachstellen Alter Verringerung des Rückstands bei den Schwachstellen
- Auflösung Zeit
- Keine geschlossenen Schwachstellen vs. offene Schwachstellen
- Anzahl der Probleme pro Zeile des von Sage geschriebenen Codes (nicht von Dritten)
Für Mads,
"Die nächste Phase für Sage als Unternehmen besteht darin, zu zeigen, dass die Fortbildung durch ein sicheres Kodierungsprogramm, das in die Arbeitsabläufe von Entwicklern eingebettet ist, zu einer messbaren Risikominderung führt."
Ergebnisse
Mads betonte, wie wichtig die Partnerschaft und die Beratung durch Secure Code Warrior für sie und ihr Team waren,
"Ich würde ehrlich sagen, dass wir ohne die Unterstützung von Secure Code Warrior nicht in der Lage gewesen wären, so weit zu kommen und eine Art Programm aufzubauen, das diesen Reifegrad in Bezug auf verschiedene Schichten oder Entwicklerteams über verschiedene Technologien hinweg hat."
Nachdem Mads und ihr Team ihre Interviews abgeschlossen und die Zustimmung der Entwickler gewonnen hatten, begann sie mit der Implementierung von Secure Code Warrior als Teil eines umfassenderen Sicherheitskulturprogramms.
Das Ergebnis, so Mads, ist,
"Sage hat jetzt mehr als 200 Sicherheitschampions im Programm, und wenn ein Sicherheitschampion 3,5 Stunden pro Woche (oder 10 % seiner Zeit) dem Aufbau von Fähigkeiten widmet, kann er sich für ein Programm zur sicheren Programmierung einsetzen, er kann sich für kontinuierliche Schulungen einsetzen, und er kann sich für den Wert einsetzen, den es ihm bringt."
Mit der Zustimmung der Führungskräfte und messbaren Zielen für die Risikominderung konnte Mads den Erfolg nicht nur anhand der Anzahl der Mitarbeiter auf einer Plattform und der gespielten Stunden messen, sondern auch anhand der Zeit für die Behebung von Schwachstellen, des Alters der Schwachstellen und eines Vergleichs mit den neuen Funktionen, die für die Kunden entwickelt wurden, um einen ganzheitlichen Blick auf die Reduzierung von Schwachstellen zu erhalten. Für ein Team waren die Auswirkungen enorm - die durchschnittliche Zeit zur Behebung einer Schwachstelle konnte um 82 % reduziert werden.
Was jedoch noch wichtiger sei, fügte Howard hinzu, sei das nicht quantifizierbare - das Engagement, der Einsatz und die Bereitschaft der Teams, sich an dem Programm zu beteiligen.
Wichtigste Erkenntnisse
Die Erfahrung von Sage unterstreicht die Relevanz gut geplanter und durchgeführter Sicherheitsschulungen und die Bedeutung eines flexiblen, integrierten Ansatzes - eine Lektion, die sich für jedes Unternehmen lohnt, das ein robustes, sicheres Kodierungsprogramm anstrebt. Laut Mads ist es wichtig, daran zu denken, dass die Zusammenarbeit mit den Entwicklern und nicht gegen sie der Schlüssel zur Implementierung eines erfolgreichen Sicherheitskontrollprogramms und zur Verankerung der Sicherheit in der Unternehmenskultur ist.
- Die Schaffung einer Sicherheitskultur geschieht nicht über Nacht. Es ist wichtig, sich Zeit zu nehmen, um Beziehungen aufzubauen und die Sicherheit über einen längeren Zeitraum zu verankern, und dafür Ressourcen bereitzustellen.
- Verknüpfen Sie alles mit der Risikominderung und konzentrieren Sie sich auf die materiellen Auswirkungen eines Programms für sichere Kodierung.
- Konzentrieren Sie sich darauf, wie Sie diese Risikoreduzierung messen können, um sie an das Unternehmen weiterzugeben, damit das Programm sowohl von den Entwicklern als auch von der Unternehmensleitung als wirkungsvoll und erfolgreich angesehen wird.
Für Entwickler, die sich für die Sicherheit einsetzen wollen, haben sie und ihr Team auch diesen Ratschlag:
- Bauen Sie sich ein Netzwerk von Menschen auf, die sich für Sicherheit interessieren, und nehmen Sie an Konferenzen und Vorträgen teil. Verbringen Sie Zeit damit, sich über die Themen zu informieren, die Sie interessieren.
- Denken Sie daran, dass sich die Kultur eines Unternehmens nicht von heute auf morgen ändert, sondern dass es Zeit braucht, sie zu entwickeln und zu reifen.
Erfahren Sie, wie Sage die Sicherheit mit einem flexiblen, beziehungsorientierten Ansatz verbessert, mehr als 200 Sicherheitsbeauftragte geschaffen und eine messbare Risikominderung erreicht hat.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Sage ist ein britischer multinationaler Anbieter von Unternehmenssoftware, der Unternehmen einfach zu bedienende Software und Dienstleistungen für die Bereiche Lohnbuchhaltung, Personalwesen und Finanzen anbietet. Im Jahr 2017 ist Sage das zweitgrößte Technologieunternehmen Großbritanniens, der drittgrößte Anbieter von Enterprise Resource Planning Software weltweit und der größte Anbieter für kleine Unternehmen - mit über 6 Millionen Kunden weltweit.
Situation
Vor der Zusammenarbeit mit Secure Code Warrior begann Sage vor etwa 10 Jahren mit dem Aufbau seines Security Champion Network. Trotz des robusten Netzwerks sicherheitsorientierter Entwickler waren die Schulungen sporadisch und nicht auf die Risikominderung ausgerichtet.
Sage erkannte, dass es wichtig war, sich Zeit für den Aufbau von Beziehungen zu nehmen und die Sicherheit über einen bestimmten Zeitraum mit einem flexiblen Ansatz zu verankern. Das Programm von Sage verknüpfte seine Ziele mit der Risikominderung und den materiellen Auswirkungen dieses Programms. Bei der Erprobung des Programms in bestimmten Geschäftsbereichen konzentrierte man sich auf die Messung der Risikominderung und die Rückmeldung an das Unternehmen, um die Zustimmung der Entwickler und der Führungskräfte zu gewinnen.
Aktion
Mads Howard, People-Centered Security Lead bei Sage, arbeitete mit Entwicklern zusammen, um die Personas von Security Champions zu verstehen. Sie traf sich mit Entwicklern in jeder Geschäftseinheit und führte Interviews mit ihnen durch, um zu verstehen, was sie motiviert, wie sie gerne lernen und welche Einschränkungen sie bei ihrer Arbeit sehen. Sie und ihr Team bemühten sich um den Aufbau von Beziehungen zu den Entwicklern und ihren Teamleitern und betonten, wie wichtig es ist, in ihrem Ansatz flexibel zu sein.
Mads legt Wert auf einen beziehungsorientierten Ansatz,
"Wir haben viel Zeit damit verbracht, Beziehungen zu den Leitern der Entwicklungsteams, den Leitern der technischen Teams und den Produktmanagern aufzubauen - den Leuten, die die Zeit kontrollieren, die während der Sprint-Zyklen für die Ausbildung aufgewendet wird."
Laut Mads ging es auch darum, das Netz der Sicherheitsbeauftragten zu erweitern,
"Das Netzwerk der Sicherheitsbeauftragten wurde als eine Schlüsselkontrolle dieses Programms angesehen. Damit die Produkte dieses Programm durchlaufen konnten, mussten wir die Rolle eines Sicherheitsbeauftragten wirklich ernst nehmen und ihm eine solide Sicherheitsschulung zukommen lassen."
Das Ziel des Global Security Teams bei Sage war es, ein Sicherheitskontrollprogramm zu implementieren, das die Lernbedürfnisse von Entwicklern in einer komplexen Technologieumgebung berücksichtigt, und einen Partner zu wählen, der mit den vorhandenen Sicherheitswerkzeugen zusammenarbeitet, um das Schwachstellenmanagement zu unterstützen.
Es war wichtig, dass die Ausbildung als ein wichtiger Aspekt eines ausgereiften Sicherheitskontrollprogramms angesehen wurde. Sie konzentrierten sich auf die Messung der Risikominderung durch:
- Verbesserung der Risikobewertung
- Schwachstellen Alter Verringerung des Rückstands bei den Schwachstellen
- Auflösung Zeit
- Keine geschlossenen Schwachstellen vs. offene Schwachstellen
- Anzahl der Probleme pro Zeile des von Sage geschriebenen Codes (nicht von Dritten)
Für Mads,
"Die nächste Phase für Sage als Unternehmen besteht darin, zu zeigen, dass die Fortbildung durch ein sicheres Kodierungsprogramm, das in die Arbeitsabläufe von Entwicklern eingebettet ist, zu einer messbaren Risikominderung führt."
Ergebnisse
Mads betonte, wie wichtig die Partnerschaft und die Beratung durch Secure Code Warrior für sie und ihr Team waren,
"Ich würde ehrlich sagen, dass wir ohne die Unterstützung von Secure Code Warrior nicht in der Lage gewesen wären, so weit zu kommen und eine Art Programm aufzubauen, das diesen Reifegrad in Bezug auf verschiedene Schichten oder Entwicklerteams über verschiedene Technologien hinweg hat."
Nachdem Mads und ihr Team ihre Interviews abgeschlossen und die Zustimmung der Entwickler gewonnen hatten, begann sie mit der Implementierung von Secure Code Warrior als Teil eines umfassenderen Sicherheitskulturprogramms.
Das Ergebnis, so Mads, ist,
"Sage hat jetzt mehr als 200 Sicherheitschampions im Programm, und wenn ein Sicherheitschampion 3,5 Stunden pro Woche (oder 10 % seiner Zeit) dem Aufbau von Fähigkeiten widmet, kann er sich für ein Programm zur sicheren Programmierung einsetzen, er kann sich für kontinuierliche Schulungen einsetzen, und er kann sich für den Wert einsetzen, den es ihm bringt."
Mit der Zustimmung der Führungskräfte und messbaren Zielen für die Risikominderung konnte Mads den Erfolg nicht nur anhand der Anzahl der Mitarbeiter auf einer Plattform und der gespielten Stunden messen, sondern auch anhand der Zeit für die Behebung von Schwachstellen, des Alters der Schwachstellen und eines Vergleichs mit den neuen Funktionen, die für die Kunden entwickelt wurden, um einen ganzheitlichen Blick auf die Reduzierung von Schwachstellen zu erhalten. Für ein Team waren die Auswirkungen enorm - die durchschnittliche Zeit zur Behebung einer Schwachstelle konnte um 82 % reduziert werden.
Was jedoch noch wichtiger sei, fügte Howard hinzu, sei das nicht quantifizierbare - das Engagement, der Einsatz und die Bereitschaft der Teams, sich an dem Programm zu beteiligen.
Wichtigste Erkenntnisse
Die Erfahrung von Sage unterstreicht die Relevanz gut geplanter und durchgeführter Sicherheitsschulungen und die Bedeutung eines flexiblen, integrierten Ansatzes - eine Lektion, die sich für jedes Unternehmen lohnt, das ein robustes, sicheres Kodierungsprogramm anstrebt. Laut Mads ist es wichtig, daran zu denken, dass die Zusammenarbeit mit den Entwicklern und nicht gegen sie der Schlüssel zur Implementierung eines erfolgreichen Sicherheitskontrollprogramms und zur Verankerung der Sicherheit in der Unternehmenskultur ist.
- Die Schaffung einer Sicherheitskultur geschieht nicht über Nacht. Es ist wichtig, sich Zeit zu nehmen, um Beziehungen aufzubauen und die Sicherheit über einen längeren Zeitraum zu verankern, und dafür Ressourcen bereitzustellen.
- Verknüpfen Sie alles mit der Risikominderung und konzentrieren Sie sich auf die materiellen Auswirkungen eines Programms für sichere Kodierung.
- Konzentrieren Sie sich darauf, wie Sie diese Risikoreduzierung messen können, um sie an das Unternehmen weiterzugeben, damit das Programm sowohl von den Entwicklern als auch von der Unternehmensleitung als wirkungsvoll und erfolgreich angesehen wird.
Für Entwickler, die sich für die Sicherheit einsetzen wollen, haben sie und ihr Team auch diesen Ratschlag:
- Bauen Sie sich ein Netzwerk von Menschen auf, die sich für Sicherheit interessieren, und nehmen Sie an Konferenzen und Vorträgen teil. Verbringen Sie Zeit damit, sich über die Themen zu informieren, die Sie interessieren.
- Denken Sie daran, dass sich die Kultur eines Unternehmens nicht von heute auf morgen ändert, sondern dass es Zeit braucht, sie zu entwickeln und zu reifen.
Sage ist ein britischer multinationaler Anbieter von Unternehmenssoftware, der Unternehmen einfach zu bedienende Software und Dienstleistungen für die Bereiche Lohnbuchhaltung, Personalwesen und Finanzen anbietet. Im Jahr 2017 ist Sage das zweitgrößte Technologieunternehmen Großbritanniens, der drittgrößte Anbieter von Enterprise Resource Planning Software weltweit und der größte Anbieter für kleine Unternehmen - mit über 6 Millionen Kunden weltweit.
Situation
Vor der Zusammenarbeit mit Secure Code Warrior begann Sage vor etwa 10 Jahren mit dem Aufbau seines Security Champion Network. Trotz des robusten Netzwerks sicherheitsorientierter Entwickler waren die Schulungen sporadisch und nicht auf die Risikominderung ausgerichtet.
Sage erkannte, dass es wichtig war, sich Zeit für den Aufbau von Beziehungen zu nehmen und die Sicherheit über einen bestimmten Zeitraum mit einem flexiblen Ansatz zu verankern. Das Programm von Sage verknüpfte seine Ziele mit der Risikominderung und den materiellen Auswirkungen dieses Programms. Bei der Erprobung des Programms in bestimmten Geschäftsbereichen konzentrierte man sich auf die Messung der Risikominderung und die Rückmeldung an das Unternehmen, um die Zustimmung der Entwickler und der Führungskräfte zu gewinnen.
Aktion
Mads Howard, People-Centered Security Lead bei Sage, arbeitete mit Entwicklern zusammen, um die Personas von Security Champions zu verstehen. Sie traf sich mit Entwicklern in jeder Geschäftseinheit und führte Interviews mit ihnen durch, um zu verstehen, was sie motiviert, wie sie gerne lernen und welche Einschränkungen sie bei ihrer Arbeit sehen. Sie und ihr Team bemühten sich um den Aufbau von Beziehungen zu den Entwicklern und ihren Teamleitern und betonten, wie wichtig es ist, in ihrem Ansatz flexibel zu sein.
Mads legt Wert auf einen beziehungsorientierten Ansatz,
"Wir haben viel Zeit damit verbracht, Beziehungen zu den Leitern der Entwicklungsteams, den Leitern der technischen Teams und den Produktmanagern aufzubauen - den Leuten, die die Zeit kontrollieren, die während der Sprint-Zyklen für die Ausbildung aufgewendet wird."
Laut Mads ging es auch darum, das Netz der Sicherheitsbeauftragten zu erweitern,
"Das Netzwerk der Sicherheitsbeauftragten wurde als eine Schlüsselkontrolle dieses Programms angesehen. Damit die Produkte dieses Programm durchlaufen konnten, mussten wir die Rolle eines Sicherheitsbeauftragten wirklich ernst nehmen und ihm eine solide Sicherheitsschulung zukommen lassen."
Das Ziel des Global Security Teams bei Sage war es, ein Sicherheitskontrollprogramm zu implementieren, das die Lernbedürfnisse von Entwicklern in einer komplexen Technologieumgebung berücksichtigt, und einen Partner zu wählen, der mit den vorhandenen Sicherheitswerkzeugen zusammenarbeitet, um das Schwachstellenmanagement zu unterstützen.
Es war wichtig, dass die Ausbildung als ein wichtiger Aspekt eines ausgereiften Sicherheitskontrollprogramms angesehen wurde. Sie konzentrierten sich auf die Messung der Risikominderung durch:
- Verbesserung der Risikobewertung
- Schwachstellen Alter Verringerung des Rückstands bei den Schwachstellen
- Auflösung Zeit
- Keine geschlossenen Schwachstellen vs. offene Schwachstellen
- Anzahl der Probleme pro Zeile des von Sage geschriebenen Codes (nicht von Dritten)
Für Mads,
"Die nächste Phase für Sage als Unternehmen besteht darin, zu zeigen, dass die Fortbildung durch ein sicheres Kodierungsprogramm, das in die Arbeitsabläufe von Entwicklern eingebettet ist, zu einer messbaren Risikominderung führt."
Ergebnisse
Mads betonte, wie wichtig die Partnerschaft und die Beratung durch Secure Code Warrior für sie und ihr Team waren,
"Ich würde ehrlich sagen, dass wir ohne die Unterstützung von Secure Code Warrior nicht in der Lage gewesen wären, so weit zu kommen und eine Art Programm aufzubauen, das diesen Reifegrad in Bezug auf verschiedene Schichten oder Entwicklerteams über verschiedene Technologien hinweg hat."
Nachdem Mads und ihr Team ihre Interviews abgeschlossen und die Zustimmung der Entwickler gewonnen hatten, begann sie mit der Implementierung von Secure Code Warrior als Teil eines umfassenderen Sicherheitskulturprogramms.
Das Ergebnis, so Mads, ist,
"Sage hat jetzt mehr als 200 Sicherheitschampions im Programm, und wenn ein Sicherheitschampion 3,5 Stunden pro Woche (oder 10 % seiner Zeit) dem Aufbau von Fähigkeiten widmet, kann er sich für ein Programm zur sicheren Programmierung einsetzen, er kann sich für kontinuierliche Schulungen einsetzen, und er kann sich für den Wert einsetzen, den es ihm bringt."
Mit der Zustimmung der Führungskräfte und messbaren Zielen für die Risikominderung konnte Mads den Erfolg nicht nur anhand der Anzahl der Mitarbeiter auf einer Plattform und der gespielten Stunden messen, sondern auch anhand der Zeit für die Behebung von Schwachstellen, des Alters der Schwachstellen und eines Vergleichs mit den neuen Funktionen, die für die Kunden entwickelt wurden, um einen ganzheitlichen Blick auf die Reduzierung von Schwachstellen zu erhalten. Für ein Team waren die Auswirkungen enorm - die durchschnittliche Zeit zur Behebung einer Schwachstelle konnte um 82 % reduziert werden.
Was jedoch noch wichtiger sei, fügte Howard hinzu, sei das nicht quantifizierbare - das Engagement, der Einsatz und die Bereitschaft der Teams, sich an dem Programm zu beteiligen.
Wichtigste Erkenntnisse
Die Erfahrung von Sage unterstreicht die Relevanz gut geplanter und durchgeführter Sicherheitsschulungen und die Bedeutung eines flexiblen, integrierten Ansatzes - eine Lektion, die sich für jedes Unternehmen lohnt, das ein robustes, sicheres Kodierungsprogramm anstrebt. Laut Mads ist es wichtig, daran zu denken, dass die Zusammenarbeit mit den Entwicklern und nicht gegen sie der Schlüssel zur Implementierung eines erfolgreichen Sicherheitskontrollprogramms und zur Verankerung der Sicherheit in der Unternehmenskultur ist.
- Die Schaffung einer Sicherheitskultur geschieht nicht über Nacht. Es ist wichtig, sich Zeit zu nehmen, um Beziehungen aufzubauen und die Sicherheit über einen längeren Zeitraum zu verankern, und dafür Ressourcen bereitzustellen.
- Verknüpfen Sie alles mit der Risikominderung und konzentrieren Sie sich auf die materiellen Auswirkungen eines Programms für sichere Kodierung.
- Konzentrieren Sie sich darauf, wie Sie diese Risikoreduzierung messen können, um sie an das Unternehmen weiterzugeben, damit das Programm sowohl von den Entwicklern als auch von der Unternehmensleitung als wirkungsvoll und erfolgreich angesehen wird.
Für Entwickler, die sich für die Sicherheit einsetzen wollen, haben sie und ihr Team auch diesen Ratschlag:
- Bauen Sie sich ein Netzwerk von Menschen auf, die sich für Sicherheit interessieren, und nehmen Sie an Konferenzen und Vorträgen teil. Verbringen Sie Zeit damit, sich über die Themen zu informieren, die Sie interessieren.
- Denken Sie daran, dass sich die Kultur eines Unternehmens nicht von heute auf morgen ändert, sondern dass es Zeit braucht, sie zu entwickeln und zu reifen.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Sage ist ein britischer multinationaler Anbieter von Unternehmenssoftware, der Unternehmen einfach zu bedienende Software und Dienstleistungen für die Bereiche Lohnbuchhaltung, Personalwesen und Finanzen anbietet. Im Jahr 2017 ist Sage das zweitgrößte Technologieunternehmen Großbritanniens, der drittgrößte Anbieter von Enterprise Resource Planning Software weltweit und der größte Anbieter für kleine Unternehmen - mit über 6 Millionen Kunden weltweit.
Situation
Vor der Zusammenarbeit mit Secure Code Warrior begann Sage vor etwa 10 Jahren mit dem Aufbau seines Security Champion Network. Trotz des robusten Netzwerks sicherheitsorientierter Entwickler waren die Schulungen sporadisch und nicht auf die Risikominderung ausgerichtet.
Sage erkannte, dass es wichtig war, sich Zeit für den Aufbau von Beziehungen zu nehmen und die Sicherheit über einen bestimmten Zeitraum mit einem flexiblen Ansatz zu verankern. Das Programm von Sage verknüpfte seine Ziele mit der Risikominderung und den materiellen Auswirkungen dieses Programms. Bei der Erprobung des Programms in bestimmten Geschäftsbereichen konzentrierte man sich auf die Messung der Risikominderung und die Rückmeldung an das Unternehmen, um die Zustimmung der Entwickler und der Führungskräfte zu gewinnen.
Aktion
Mads Howard, People-Centered Security Lead bei Sage, arbeitete mit Entwicklern zusammen, um die Personas von Security Champions zu verstehen. Sie traf sich mit Entwicklern in jeder Geschäftseinheit und führte Interviews mit ihnen durch, um zu verstehen, was sie motiviert, wie sie gerne lernen und welche Einschränkungen sie bei ihrer Arbeit sehen. Sie und ihr Team bemühten sich um den Aufbau von Beziehungen zu den Entwicklern und ihren Teamleitern und betonten, wie wichtig es ist, in ihrem Ansatz flexibel zu sein.
Mads legt Wert auf einen beziehungsorientierten Ansatz,
"Wir haben viel Zeit damit verbracht, Beziehungen zu den Leitern der Entwicklungsteams, den Leitern der technischen Teams und den Produktmanagern aufzubauen - den Leuten, die die Zeit kontrollieren, die während der Sprint-Zyklen für die Ausbildung aufgewendet wird."
Laut Mads ging es auch darum, das Netz der Sicherheitsbeauftragten zu erweitern,
"Das Netzwerk der Sicherheitsbeauftragten wurde als eine Schlüsselkontrolle dieses Programms angesehen. Damit die Produkte dieses Programm durchlaufen konnten, mussten wir die Rolle eines Sicherheitsbeauftragten wirklich ernst nehmen und ihm eine solide Sicherheitsschulung zukommen lassen."
Das Ziel des Global Security Teams bei Sage war es, ein Sicherheitskontrollprogramm zu implementieren, das die Lernbedürfnisse von Entwicklern in einer komplexen Technologieumgebung berücksichtigt, und einen Partner zu wählen, der mit den vorhandenen Sicherheitswerkzeugen zusammenarbeitet, um das Schwachstellenmanagement zu unterstützen.
Es war wichtig, dass die Ausbildung als ein wichtiger Aspekt eines ausgereiften Sicherheitskontrollprogramms angesehen wurde. Sie konzentrierten sich auf die Messung der Risikominderung durch:
- Verbesserung der Risikobewertung
- Schwachstellen Alter Verringerung des Rückstands bei den Schwachstellen
- Auflösung Zeit
- Keine geschlossenen Schwachstellen vs. offene Schwachstellen
- Anzahl der Probleme pro Zeile des von Sage geschriebenen Codes (nicht von Dritten)
Für Mads,
"Die nächste Phase für Sage als Unternehmen besteht darin, zu zeigen, dass die Fortbildung durch ein sicheres Kodierungsprogramm, das in die Arbeitsabläufe von Entwicklern eingebettet ist, zu einer messbaren Risikominderung führt."
Ergebnisse
Mads betonte, wie wichtig die Partnerschaft und die Beratung durch Secure Code Warrior für sie und ihr Team waren,
"Ich würde ehrlich sagen, dass wir ohne die Unterstützung von Secure Code Warrior nicht in der Lage gewesen wären, so weit zu kommen und eine Art Programm aufzubauen, das diesen Reifegrad in Bezug auf verschiedene Schichten oder Entwicklerteams über verschiedene Technologien hinweg hat."
Nachdem Mads und ihr Team ihre Interviews abgeschlossen und die Zustimmung der Entwickler gewonnen hatten, begann sie mit der Implementierung von Secure Code Warrior als Teil eines umfassenderen Sicherheitskulturprogramms.
Das Ergebnis, so Mads, ist,
"Sage hat jetzt mehr als 200 Sicherheitschampions im Programm, und wenn ein Sicherheitschampion 3,5 Stunden pro Woche (oder 10 % seiner Zeit) dem Aufbau von Fähigkeiten widmet, kann er sich für ein Programm zur sicheren Programmierung einsetzen, er kann sich für kontinuierliche Schulungen einsetzen, und er kann sich für den Wert einsetzen, den es ihm bringt."
Mit der Zustimmung der Führungskräfte und messbaren Zielen für die Risikominderung konnte Mads den Erfolg nicht nur anhand der Anzahl der Mitarbeiter auf einer Plattform und der gespielten Stunden messen, sondern auch anhand der Zeit für die Behebung von Schwachstellen, des Alters der Schwachstellen und eines Vergleichs mit den neuen Funktionen, die für die Kunden entwickelt wurden, um einen ganzheitlichen Blick auf die Reduzierung von Schwachstellen zu erhalten. Für ein Team waren die Auswirkungen enorm - die durchschnittliche Zeit zur Behebung einer Schwachstelle konnte um 82 % reduziert werden.
Was jedoch noch wichtiger sei, fügte Howard hinzu, sei das nicht quantifizierbare - das Engagement, der Einsatz und die Bereitschaft der Teams, sich an dem Programm zu beteiligen.
Wichtigste Erkenntnisse
Die Erfahrung von Sage unterstreicht die Relevanz gut geplanter und durchgeführter Sicherheitsschulungen und die Bedeutung eines flexiblen, integrierten Ansatzes - eine Lektion, die sich für jedes Unternehmen lohnt, das ein robustes, sicheres Kodierungsprogramm anstrebt. Laut Mads ist es wichtig, daran zu denken, dass die Zusammenarbeit mit den Entwicklern und nicht gegen sie der Schlüssel zur Implementierung eines erfolgreichen Sicherheitskontrollprogramms und zur Verankerung der Sicherheit in der Unternehmenskultur ist.
- Die Schaffung einer Sicherheitskultur geschieht nicht über Nacht. Es ist wichtig, sich Zeit zu nehmen, um Beziehungen aufzubauen und die Sicherheit über einen längeren Zeitraum zu verankern, und dafür Ressourcen bereitzustellen.
- Verknüpfen Sie alles mit der Risikominderung und konzentrieren Sie sich auf die materiellen Auswirkungen eines Programms für sichere Kodierung.
- Konzentrieren Sie sich darauf, wie Sie diese Risikoreduzierung messen können, um sie an das Unternehmen weiterzugeben, damit das Programm sowohl von den Entwicklern als auch von der Unternehmensleitung als wirkungsvoll und erfolgreich angesehen wird.
Für Entwickler, die sich für die Sicherheit einsetzen wollen, haben sie und ihr Team auch diesen Ratschlag:
- Bauen Sie sich ein Netzwerk von Menschen auf, die sich für Sicherheit interessieren, und nehmen Sie an Konferenzen und Vorträgen teil. Verbringen Sie Zeit damit, sich über die Themen zu informieren, die Sie interessieren.
- Denken Sie daran, dass sich die Kultur eines Unternehmens nicht von heute auf morgen ändert, sondern dass es Zeit braucht, sie zu entwickeln und zu reifen.
Inhaltsverzeichnis
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
