Der Meister des armseligen Codes
Dank technologischer Fortschritte können Entwickler Code schneller als je zuvor veröffentlichen. Das mag für Innovationen interessant sein, kann jedoch eine Herausforderung für die Qualität und Sicherheit der Software darstellen. Die Kosten für zusätzliche Tools, Schulungsprogramme und die Verbesserung der Entwicklerfähigkeiten zu rechtfertigen, mag angesichts der Geschwindigkeit der Codeveröffentlichung wie ein „nice to have“ erscheinen, kann jedoch als wichtige Geschäftsfunktion angesehen werden.
Schnellere Liefercodes mögen einfacher geworden sein, aber leider gilt das nicht für sichere Codes. Unternehmen sind heute mehr denn je Bedrohungen ausgesetzt. Die Kosten durch Cyberkriminalität sind weltweit enorm und steigen rapide an.Tatsächlich beliefen sich die Kosten durch Cyberkriminalität im Jahr 2020 auf etwa 1 Billion US-Dollar. Im Durchschnitt belaufen sich die Kosten durch Datenverletzungen auf 4,35 Millionen US-Dollar, die sich über die Kosten für den Verlust bestehender und potenzieller Kunden sowie die Ressourcen für die Erkennung, Eskalation und Nachbearbeitung verteilen.
Trotz dieser astronomischen Kosten verlangt mehr als die Hälfte der Unternehmen von ihren Entwicklern keine jährliche formelle Schulung zum Thema Sicherheitscode.
Sicherheitsexperten wissen, dass das Aufspüren und Beheben von Schwachstellen sich manchmal wie ein Katz-und-Maus-Spiel anfühlen kann. Selbst wenn Sie bereits über ein Sicherheitsprogramm mit Korrekturstrategien verfügen, gibt es immer Raum für Verbesserungen. Die meisten Unternehmen stellen beim Testen ihrer Disaster-Recovery- oder Backup-Funktionen fest, dass ihr Sicherheitsansatz nicht so robust ist, wie sie gedacht hatten.Wenn die Stärkung der Widerstandsfähigkeit Ihres Unternehmens gegenüber Cyberangriffen eine Ihrer obersten Prioritäten ist, sollten Sie die Verantwortung für die kontinuierliche Verbesserung Ihrer Sicherheitsvorkehrungen an Ihre Entwickler übertragen. Ein Team aus erfahrenen und kompetenten Entwicklern, die über ausreichende Kenntnisse verfügen, um von Anfang an sicheren Code zu schreiben und Schwachstellen schnell zu finden und zu beheben, ist die kostengünstigste Methode zur Risikominderung.
Ein häufiges Missverständnis in Bezug auf Entwicklerschulungen ist, dass es sich dabei lediglich um Geschäftskosten oder Kosten für Versicherungspolicen handelt. Klaus Klinger, DevSecAware-Evangelist bei Allianz, sagt dazu: „Alles muss bei der Geschäftsleitung beginnen. Die Investition in Entwicklerschulungen ist kein Verlust, sondern eine Investition in Qualität, Produktivität und den Ruf des Unternehmens.“
In diesem Bereich ist es oft schwierig, den ROI zu quantifizieren, aber letztendlich muss das Unternehmen berücksichtigen, wie die Sicherheitsmaßnahmen dazu beitragen, Risiken zu reduzieren, den Ansatz zu vereinfachen und Zeit und Produktivität des Entwicklerteams zu sparen.
Wie lässt sich der ROI von Cybersicherheitskosten quantifizieren?
In Bezug auf den ROI ist es wichtig, zwei Rahmenbedingungen zu berücksichtigen: Kosteneinsparungen durch Risikominderung und die Auswirkungen von Sicherheitsschulungen.
Betrachten wir ein sehr häufiges Beispiel. Aufgrund einer Schwachstelle oder einer Sicherheitsverletzung muss eine E-Commerce-Website für mehrere Tage offline genommen werden, während das Team nach dem Problem und einer Lösung sucht. Die Kosten, die durch das Scheitern der Problemlösung entstehen, lassen sich quantifizieren als Umsatzverluste aufgrund des Betriebsausfalls, Auswirkungen durch den Diebstahl von Zugangsdaten, Verlust des Kundenvertrauens (was zu langfristigen Umsatzrückgängen führt) und allgemeine Produktivitätsverluste aufgrund der Problemlösung.
Dies lässt sich letztlich auf eine Kosten-Nutzen-Analyse zurückführen. Die wichtigsten zu bewertenden Bereiche sind der Reifegrad der Unternehmenssicherheit, die Risikobereitschaft des Unternehmens und die Bereiche des Codes, die gewartet oder verbessert werden müssen.
Menschen konzentrieren sich oft auf falsche Indikatoren, um Erfolg und Wert zu bestimmen. Vielleicht sollten wir uns weniger um die anfängliche Kapitalrendite eines Programms kümmern und stattdessen Folgendes messen: die Wirkung des Programms selbst.
Maßnahmen zum Nachweis der Auswirkungen
Um den ROI zu ermitteln, müssen messbare Ziele festgelegt werden. Dies beginnt mit der Bewertung der Kenntnisse der Entwickler im Bereich sicheres Codieren und dem Verständnis, in welchen Bereichen die Entwickler ihre Fähigkeiten verbessern müssen.
Der Ausgangspunkt ist die Messung der Beteiligung, um strategische Entscheidungen darüber zu treffen, wie ein reichhaltigeres Schulungsprogramm aufgebaut werden kann. Das Wichtigste ist die Messung der Wirksamkeit. Beginnen Sie zunächst damit, die Anzahl der Schwachstellen, die im Softwareentwicklungszyklus gefunden werden, durch Code-Analyse, Bug-Bounty-Programme oder bestehende Schwachstellentests zu ermitteln, bevor Sie das Programm in den einzelnen Teams starten.Eine der einfachsten Methoden, um festzustellen, ob das Schulungsprogramm die gewünschten Ergebnisse erzielt, ist die Messung des allgemeinen Rückgangs der Schwachstellen, die in die Codebasis gelangen.
Wichtige Fragen für die ROI-Bewertung:
1. Vereinfachen Sie den Zugangsweg?
Verwenden Sie mehr Tools für das Problemoder beheben Sie die Ursache des Problems? Durch Hinzufügen weiterer Tools zu Ihrem Technologie-Stack können Sie einen „Schweizer Käse“-Ansatz entwickeln, bei dem Schwachstellen gefunden und behoben werden. Außerdem steigen die Betriebskosten, ohne dass dies nennenswerte Auswirkungen auf den Code hat, der die Ursache vieler Schwachstellen ist. Scan- und Penetrationstest-Tools sollten unbedingt zu Ihrem Arsenal gehören, aber sie sollten nicht Ihre letzte Verteidigungslinie sein.
2. Werden Effizienz und Produktivität verbessert?
Die Zeit, die für die gründliche Überprüfung und Überarbeitung des von AppSec übermittelten Codes aufgewendet wird, kann die Produktivität erheblich beeinträchtigen. Durch die Erteilung von Berechtigungen und die Unterstützung des Entwicklerteams, damit dieses selbstständig üben kann, lassen sich Notfallmaßnahmen reduzieren. Die Schulung zum Thema Sicherheitscode sollte als guter Maßstab für die Bewertung der positiven Auswirkungen des Sicherheitsprogramms dienen.
3. Reduzieren Sie das Risiko?
Das Aufspüren und Beheben von Schwachstellen kann mit dem Lösen eines riesigen Puzzles vergleichbar sein. Manchmal kann es Tage, Wochen oder Monate dauern, bis eine leistungsstarke Lösung gefunden ist. AppSec ermöglicht es Entwicklern, Korrekturmaßnahmen direkt an der Quelle zu ergreifen, sodass sie sich auf die Risikoüberwachung und die Stärkung der Sicherheitslage des Unternehmens konzentrieren können.
4. Ist die Geschwindigkeit erhöht, aber die Qualität bleibt erhalten?
Schnelle Liefercodes sind nicht immer gut. Wenn Probleme behoben werden und Schwachstellen in den Code eingebaut werden, kann dies in Zukunft zu vielen Schwierigkeiten führen und technische Schulden anhäufen. Hier ist kurzfristiges Denken nicht die Lösung. Durch den Schutz des Codes von Anfang an können Risiken gemindert werden, indem verhindert wird, dass sich Probleme später verschlimmern.
Empfohlene Indikatoren zur Nachverfolgung:
- Teilnahme – Wie viel Zeit wird für die Schulung eingeplant und wie hoch ist die Beteiligung der Entwickler? Nehmen sie an Schulungen teil, werden sie bewertet und nehmen sie an Turnieren teil?
- Technologie – Wo liegen Ihre Stärken? In welchen Bereichen sehen Sie Verbesserungsbedarf?
- Reduzierung der Schwachstellen – Haben Sie während der Codeüberprüfung eine deutliche Verringerung der Schwachstellen festgestellt? Gibt es weniger Nacharbeiten im Bereich AppSec?
- Produktivität – Wie lange dauert es, Probleme zu lösen? Haben Sie jemals beobachtet, dass sich die Produktivität oder Geschwindigkeit durch die Reduzierung von Schwachstellen verbessert hat?
Nach links bewegen und Wert schaffen
Sicherheitsverletzungen und Schwachstellen nehmen jedes Jahr rapide zu. Es ist wichtig, zunächst mit dem Code zu beginnen und vorab einen ganzheitlichen Ansatz für die Sicherheit zu entwickeln. Dadurch lassen sich folgende Vorteile erzielen:
- Anstatt Geld in Tools zu investieren, die nur einen Teil des Problems lösen, reduzieren Sie die Komplexität, indem Sie in die wichtigste Ressource investieren: Ihre Mitarbeiter.
- AppSec에서 일반적으로 식별할 수 있는 재작업이나 수정을 제한하여 효율성과 전반적인 효과를 개선합니다. 후 코드가 배포되었습니다
- Durch die Minderung von Risiken und die Einhaltung von Vorschriften können Sie hohe Geldstrafen, den Verlust des Kundenvertrauens oder im schlimmsten Fall Kosten aufgrund von Datenverletzungen vermeiden.
Vermeiden Sie kurzfristiges Denken und schnelle Korrekturen. Dies führt nicht nur zu technischen Schulden, sondern kann auch zu höheren Kosten in der Zukunft führen. Nutzen Sie die Kraft der technologischen Weiterentwicklung, um langfristige Pläne zu erstellen, damit Entwickler die beste Verteidigungslinie gegen Schwachstellen und Cyberkriminalität bilden können. Überprüfen Sie selbst die Auswirkungen und Kosteneinsparungen.
