So führen Sie effektive Sicherheitsschulungen für Entwickler ein: 5 wichtige Lektionen
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
%20(1).avif)
.avif)
