Wie ein Tier-1-Finanzinstitut eine revolutionäre Sicherheitszertifizierung entwickelt hat Könnte ein Spiel der Weg zum Herzen eines Entwicklers sein, wenn es um die Einhaltung von Sicherheitsvorschriften geht? Mit Millionen von Kunden, einer reichen Geschichte als vertrauenswürdiges globales Finanzinstitut und einem Engagement für Innovation und das Schritthalten mit der digitalen Transformation, nutzte dieser Tier-1-Bankkunde Secure Code Warrior als Teil einer wirklich einzigartigen Bildungserfahrung innerhalb seiner Organisation.
Das Unternehmen hat eine unternehmensinterne Initiative zur Technologieausbildung ins Leben gerufen, die Tausende von Mitarbeitern dabei unterstützen soll, praktische, innovative Fähigkeiten in einer Reihe von Disziplinen zu erlernen, darunter maschinelles Lernen und Cybersicherheit.
Die Finanzdienstleistungsbranche befindet sich derzeit in einer Phase des raschen, radikalen Wandels, in der viele Unternehmen ihr Dienstleistungsangebot ändern, um sich an die rasante Entwicklung der neuen Technologien anzupassen. Im Grunde genommen werden sie zu vollwertigen Technologieunternehmen mit Schwerpunkt Finanzen. Der Ansatz unseres Kunden hat es ihm nicht nur ermöglicht, mit diesem Trend Schritt zu halten, sondern auch bessere (und intelligentere) Ergebnisse zu erzielen als die meisten anderen. Sie haben enorm in ihre eigenen Mitarbeiter investiert, um in diesen wichtigen, aufstrebenden Bereichen auf dem Laufenden zu bleiben, und stehen daher an der Spitze der FinTech-Innovation und -Kompetenz.
Um dieses Programm erfolgreich durchzuführen, sahen unser Kunde und das gesamte Team die Notwendigkeit, sicherzustellen, dass ihre Entwickler in der sicheren Programmierung versiert sind und ein hohes Maß an Bewusstsein für Cybersicherheit besitzen. Der Security Awareness Manager versuchte, das Team positiv zu beeinflussen und es von Anfang an für das Thema Sicherheit zu begeistern.
Die Herausforderung Der Security Awareness Manager unseres Kunden ist seit langem in der Sicherheitsbranche tätig und hat daher das explosive Wachstum der Online-Anwendung bei großen und kleinen Unternehmen sowie die rasche Zunahme von Teams mit digitalem Schwerpunkt aus erster Reihe miterlebt. Er hat aus erster Hand erfahren, dass eine solche Hyper-Expansion unweigerlich zu einem Auseinanderdriften von Fachwissen führen kann, was letztendlich für viele Sicherheits- und Entwicklungsteams ein Problem darstellt: "In der Anfangsphase der Online-Einführung dachten die Entwickler über Sicherheit nach und wandten sie bei der Erstellung ihrer Software an. In einer zunehmend isolierten Umgebung arbeitet ein Team jedoch beispielsweise an einem Betriebssystem, das dann zur Analyse an ein Sicherheitsteam geschickt wird, das oft mit einer Reihe von roten Markierungen und Hinweisen zur Behebung zurückkommt. Das System wird zwangsläufig gesichert, aber die Erkenntnisse und das Wissen verschwinden in einem schwarzen Loch, um dann immer wieder aufzutauchen", sagte er.
Er verwies auf die "menschliche Herausforderung", als er über die Sicherheitsprobleme sprach, mit denen er in seiner Funktion häufig konfrontiert wird:
Software-Ingenieure werden dafür bezahlt, Funktionen zu entwickeln, und die Sicherheit kann als ein großes Hindernis für die agile Entwicklung angesehen werden. Sie sind mit ihren eigenen Prioritäten beschäftigt und betrachten den Sicherheitsaspekt oft als Aufgabe für jemand anderen. Am äußersten Ende der Skala stehen einige, die den Standpunkt vertreten: "Na ja, es ist ja noch nichts passiert. Warum machen wir uns so viele Gedanken über die Sicherheit dieser Software, und warum unterbricht sie meinen Entwicklungszyklus?" In einer Welt der zunehmenden Digitalisierung muss sich diese Einstellung ändern. Anstatt sie als lästig zu betrachten, müssen wir deutlich machen, wie wichtig es ist, die Verantwortung für die Softwaresicherheit zu teilen. Angesichts der zunehmenden Abhängigkeit von der Entwicklung, die unser digitales Leben bestimmt, sah er die Zeichen der Zeit: Als Gesellschaft sind wir leichte Beute für Hacker, und das auf einem zunehmend unfairen Spielfeld für die guten Jungs. Die Entwickler mussten die Sicherheit ernst nehmen, ein starkes Interesse entwickeln und die erste Verteidigungslinie in seinem Unternehmen (und in der Tat in jedem ernsthaften Technologieunternehmen) werden.
Also machte er sich daran, die traditionelle Ausbildung auf den Kopf zu stellen.
Die Umsetzung Der Security Awareness Manager war die treibende Kraft hinter der Gesamtphilosophie unseres Kunden, einen neuen Standard für Softwarequalität zu setzen. Insbesondere die Vorstellung, dass das Sicherheitsniveau einer Software ein Indikator für ihre Gesamtqualität und Produktlebensfähigkeit ist. Heutzutage ist die Sicherheit in den meisten Fällen nicht eng mit der Qualität verknüpft, und schon gar nicht in der gleichen Weise wie die allgemeine Benutzeroberfläche, die Geschwindigkeit und die Benutzerfreundlichkeit, die bei der Beurteilung von Software berücksichtigt werden.
"Sicherheit muss eine nicht verhandelbare Voraussetzung für hohe Softwarequalität werden", sagte er. "Sie korreliert mit der Zuverlässigkeit, die für die meisten Unternehmen ein großes Anliegen ist, vor allem für solche mit einem sich rasch wandelnden, digitalisierten Geschäftsmodell."
Da die Kosten für die Behebung von Schwachstellen in bereits entwickeltem Code bis zu dreißig Mal höher sind als bei einem von Anfang an sicher geschriebenen Code, ist es zu einem wichtigen Ziel geworden, seinen Entwicklungsteams eine tragfähige Sicherheitskultur "einzubläuen". Schließlich gibt es bestimmte Schwachstellen, die von Scanning-Tools nicht aufgespürt werden können, und die effizienteste Lösung zu deren Bekämpfung ist ein sicherheitsbewusstes Entwicklungsteam.
Der Security Awareness Manager schilderte seine Erfahrungen mit anderen Schulungsformen, von denen viele immer noch häufig eingesetzt werden, um Entwickler zu überzeugen und darauf vorzubereiten, sich mit den wachsenden Sicherheitsbedenken auseinanderzusetzen: Wenn Entwickler durch eine Menge theoretischer Arbeit oder, schlimmer noch, durch unregelmäßige Compliance-Schulungen nach dem Motto "Ankreuzen und weiter geht's" etwas über Sicherheit lernen müssen, gibt es einfach nicht genug praktisches Lernen oder Zeit, um eine nachhaltige Wirkung zu erzielen. Ich war entschlossen, dies zu ändern, indem ich eine effektivere Lösung anwandte", sagte er.
Die Vorteile eines hohen Engagements Unter der Beratung eines versierten Security Awareness Managers und seines Teams implementierte unser Kunde ein maßgeschneidertes Zertifizierungsprogramm, dessen integraler Bestandteil die Plattform Secure Code Warrior ist.
Auf der Suche nach einer effektiveren und ansprechenderen Lösung für die Entwicklerschulung wurde das Unternehmen zu einem frühen Anwender von Gamification und maximierte dessen Wirksamkeit und Potenzial mit einem eigenen strukturierten, umfassenden Lehrplan.
"Es war von entscheidender Bedeutung, dass wir die Ausbildung mit hohem Engagement zu einem Teil der Kultur machten und dass die Studenten immer wieder zurückkamen, um weiter zu lernen. Das System ist ein bewusster Ansatz, um Wissen, Fähigkeiten und ein Gefühl der Wertschätzung für Sicherheit aufzubauen, was letztendlich dazu führt, dass sie mit echtem Quellcode arbeiten, den sie jeden Tag benutzen", sagte er.
Durch eine ganzheitliche Lösung, die sowohl branchenübliche Sicherheitspraktiken als auch interne Richtlinien abdeckt, war unser Kunde in der Lage, die Schulungen schnell umzusetzen, was sich positiv auf die Softwaresicherheit innerhalb des Unternehmens auswirkte.
* Stand der Statistiken: Oktober 2019. Das Ergebnis Das Zertifizierungsprogramm unseres Kunden ist ein erfolgreiches, sich ständig weiterentwickelndes Schulungsformat, das sich perfekt für zukunftsweisende Initiativen wie die firmeninternen technischen Bildungseinrichtungen eignet. Der tiefgreifende Kurs, der auf so unterhaltsame, interaktive und motivierende Weise durchgeführt wird, stellt sicher, dass alle Teilnehmer die besten Chancen haben, ihr Wissen zu behalten, und unterstützt sie dabei, eine echte Sicherheitskultur und -mentalität zu entwickeln. Auch wenn der Spielcharakter das Lernen schmackhaft macht, bleibt der praktische Kern des Programms bestehen: Entwicklern werden die erforderlichen Fähigkeiten vermittelt, um risikoreiche Schwachstellen in ihren Anwendungen zu erkennen und zu beseitigen.
Es ist wichtig, darauf hinzuweisen, dass die Schulung nicht obligatorisch war, sondern ein Element der Motivation seitens des Entwicklers erforderte. Dies wurde zweifellos durch das Angebot von Anreizen und Belohnungen unterstützt, aber die Annahme des Programms durch das gesamte Team war das Ergebnis der Unterstützung und Zustimmung des Prozesses durch das gesamte Team.
Das Programm trägt nicht nur dazu bei, wichtige Kompetenzen weiterzuentwickeln, sondern auch die Beziehungslücken zwischen Entwicklungs- und AppSec-Teams zu schließen, indem es dafür sorgt, dass sie auf derselben Seite stehen, dieselbe Sprache sprechen und gemeinsame Interessen entwickeln.
Dieses Programm ist weit davon entfernt, ein Kontrollkästchen für die Einhaltung von Vorschriften zu sein. Es ist zu einem grundlegenden Instrument für die kontinuierliche Unterstützung geschätzter Mitarbeiter und ihrer Karriere geworden und bietet messbare Weiterbildungsmöglichkeiten in einer der wachstumsstärksten Branchen der Welt: der Cybersicherheit. Es sind Schulungsprogramme wie dieses, die zum Maßstab für die Verbesserung der Softwaresicherheit von Anfang an werden.
Schnelle Fakten Es gab eine noch nie dagewesene Resonanz von Studenten, die die Zertifizierung abgeschlossen und ihr Interesse bekundet haben, Ausbilder zu werden. Diese Basis-Evangelisation ist ein wichtiger Faktor für die Verbreitung von Mund-zu-Mund-Propaganda, die Akzeptanz und das allgemeine Sicherheitsbewusstsein. Unser Kunde ist dabei, das Programm auf mehr als 2500 Entwickler in seinem Unternehmen auszuweiten, von denen über 90 % bereits im System aktiv sind. Sie nutzen diese Schulungen, um ihre Mitarbeiter bei der allgemeinen Karriereentwicklung zu unterstützen und sicherzustellen, dass sie mit dem Wissen ausgestattet sind, das sie benötigen, um ihre Fähigkeiten in einem sich ständig verändernden technologischen Umfeld zu nutzen.
Tipps für den Erfolg
→ Nehmen Sie sich die Zeit, den Nutzen der Schulung, die geplante Einführung und die erwarteten Ergebnisse
den wichtigsten Interessengruppen, Teilnehmern und Teamleitern zu erklären. Wenn sie von Anfang an einbezogen werden,
Wenn sie von Anfang an einbezogen werden, kann es einfacher sein, Unterstützung in wichtigen Bereichen zu erhalten, wenn das Programm wächst.
→ Es ist ein Marathon, kein Sprint: Jedes Schulungsprogramm sollte wachsen und sich an die sich ändernden
Bedürfnisse der Branche und des Unternehmens anpassen. Es muss nicht vom ersten Tag an in Stein gemeißelt sein.
→ Es muss Spaß machen! Schulungen müssen nicht langweilig sein, und eine spielerische Plattform wie Secure Code
Warrior ist die perfekte Gelegenheit, um eine so wichtige Aufgabe in ein unvergessliches Ereignis zu verwandeln.
Sie werden mit hohem Engagement belohnt, wenn Sie sich die Mühe machen, Preise einzubauen,
Zertifikate und sogar ein Thema - die Möglichkeiten sind endlos.