Einige CISOs nutzen den Mangel an Sicherheitsfachkräften in eine Chance
Da ich diese Woche nach San Francisco reise, um an RSA teilzunehmen, bereite ich mich auf viele Diskussionen mit CISOs vor. Es mag Sie überraschen, aber das Gespräch mit vielen CISOs ist heutzutage nicht gerade erfreulich.
Sie wissen, dass die Sicherheitsrisiken zunehmen, aber viele sehen keine Gelegenheit für Sicherheitsverbesserungen, sondern glauben stattdessen, dass ihre Unternehmen mit größerer Wahrscheinlichkeit Opfer einer Datenschutzverletzung oder eines Cybersicherheitsangriffs werden als je zuvor.
Eines der häufigsten Themen in meinen regelmäßigen CISO-Gesprächen ist ihre Besorgnis über den problematischen Mangel an Cybersicherheitskompetenzen.
„Unser Sicherheitsteam ist nicht groß genug für die Größe unseres Ingenieurteams oder Unternehmens.“
„Unser Sicherheitsteam wird immer wieder von Unternehmen im Ausland abgeworben, die außergewöhnliche Gehaltspakete und die Möglichkeit bieten, zu arbeiten und andere Kontinente zu erkunden.“
„Unsere Sicherheitsexperten sind zu sehr mit der Brandbekämpfung beschäftigt, um ihre Fähigkeiten weiterzuentwickeln“.
Dieses Thema wird durch mehrere Forschungsberichte gestützt, darunter eine Umfrage des Ponemon Institute aus dem Jahr 2017, in der 2018 der „Mangel an kompetenten internen Mitarbeitern“ bei allen anderen Arten von CISO-Cybersicherheitsbedenken an erster Stelle stand.
Diese kritische Lücke bei den Sicherheitskompetenzen wird wahrscheinlich nicht so schnell verschwinden, insbesondere in Märkten wie Australien, wo die besten Talente häufig ins Ausland abwandern und die Einwanderungsgesetze es zunehmend schwieriger machen, ausländische Sicherheitsexperten ins Land zu holen.
Eines der interessanten Dinge am australischen Fachkräftemangel ist, dass die mangelnde Fähigkeit, qualifizierte Experten zu rekrutieren, dazu geführt hat, dass der Aufbau von Fähigkeiten im Bereich der nationalen Sicherheit positiv in den Mittelpunkt gerückt ist. Wie Benjamin Franklin hätte sagen sollen: „Aus Widrigkeiten ergeben sich Chancen.“ Australische Regierungen, Bildungseinrichtungen, Unternehmen und Start-ups arbeiten an Programmen, um vor Ort eine Reihe von Sicherheitskompetenzen aufzubauen.
Ein Bereich, in dem der Mangel an Sicherheitskompetenzen definitiv zu Chancen geführt hat, ist die Entwicklung von Fähigkeiten zur sicheren Codierung innerhalb interner und ausgelagerter Entwicklungsteams. Angesichts der Tatsache, dass die meisten der weltweit größten Sicherheitslücken auf Codierungsfehler zurückzuführen sind und die durchschnittliche Sicherheitsverletzung 3,6 Millionen US-Dollar kostet, ist Softwaresicherheit definitiv ein erheblicher Teil der Sicherheitsherausforderung. Eine der größten (und steigenden) Ausgaben innerhalb der Budgets für Anwendungssicherheit entfällt auf die reaktive Identifizierung und Behebung der Anwendungssicherheit, wobei häufig Jahr für Jahr dieselben alten Fehler auftreten.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Es bedeutet nicht, Sicherheitsexperten durch Entwickler zu ersetzen, aber es bedeutet, Entwickler in Sicherheitsfragen einzubeziehen, Sicherheit zu einem Teil ihrer täglichen Denkweise zu machen und ihnen beizubringen, sicher zu programmieren, und zwar auf unterhaltsame, effektive und effiziente Weise. Das Ergebnis wird sein, dass knappes Sicherheitsexpertise besser darauf verwendet werden kann, die wirklich schwierigen, komplexen Fehler zu finden und zu beheben, als sich mit denselben alten Sicherheitslücken zu befassen.
Für einige CISOs mag das alles zu schön klingen, um wahr zu sein, oder zu schwierig zu implementieren, aber die Wahrheit ist, dass es keines dieser Dinge ist. Bei Secure Code Warrior haben immer mehr CISOs diese Gelegenheit genutzt und dabei das Arbeitsleben sowohl der Sicherheits- als auch der Entwicklungsteams verändert.
Eine Gruppe von CISOs, die weltweit die Initiative ergriffen haben, um unter ihren Softwareentwicklern eine starke Sicherheitsmentalität und -kompetenz zu entwickeln, sind die australischen Banken. Die australischen Banken waren bereits 2016 und 2017 die ersten Anwender dieses Ansatzes. Die sechs führenden Banken des Landes ermutigen ihre Entwicklerteams nun aktiv dazu, mithilfe unserer spielerischen Online-Lernumgebung im Selbststudium sichere Programmierkenntnisse zu erwerben. Die Banken überprüfen außerdem regelmäßig Echtzeitkennzahlen und Berichte, um die Stärken und Schwächen ihrer Entwickler und Teams zu überprüfen.
Der Ansatz führt zu greifbaren und positiven Ergebnissen, darunter eine Verringerung des Auftretens häufiger Sicherheitslücken, ein erhöhtes Sicherheitsbewusstsein der Entwickler und eine verbesserte Beziehung zwischen Sicherheits- und Entwicklungsteams. Unternehmen, die ihren Entwicklern das sichere Programmieren beibringen, werden den Druck auf ihr vorhandenes Sicherheitstalent verringern und ihr Risiko durch Softwareunsicherheiten verringern.
Wenn Sie ein CISO sind (oder einen kennen), der sich über die Sicherheitslage in Ihrem Unternehmen deprimiert fühlt, empfehle ich Ihnen, über einen einfachen Weg nachzudenken, um einige positive und greifbare Punkte zur Sicherheitsverbesserung zu erzielen. Ermöglichen Sie Ihren Entwicklern, sicheres Programmieren zu lernen, und zwar auf eine Weise, die relevant, positiv und unterhaltsam ist. Ihre Sicherheits- und Entwicklungsteams werden es Ihnen danken und Sie werden auch Kosten und Verzögerungen bei Produktinnovationen und -entwicklungen vermeiden. Ich wette, das wird den Weg für viele positive Sicherheitsgespräche ebnen _...
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, aus der Sicherheitslücke heraus eine gewisse proaktive Kontrolle zu übernehmen. Hier besteht die Möglichkeit, schnelle, einfache und messbare Verbesserungen sowohl für Sicherheits- als auch für Entwicklungsteams zu erzielen.
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Da ich diese Woche nach San Francisco reise, um an RSA teilzunehmen, bereite ich mich auf viele Diskussionen mit CISOs vor. Es mag Sie überraschen, aber das Gespräch mit vielen CISOs ist heutzutage nicht gerade erfreulich.
Sie wissen, dass die Sicherheitsrisiken zunehmen, aber viele sehen keine Gelegenheit für Sicherheitsverbesserungen, sondern glauben stattdessen, dass ihre Unternehmen mit größerer Wahrscheinlichkeit Opfer einer Datenschutzverletzung oder eines Cybersicherheitsangriffs werden als je zuvor.
Eines der häufigsten Themen in meinen regelmäßigen CISO-Gesprächen ist ihre Besorgnis über den problematischen Mangel an Cybersicherheitskompetenzen.
„Unser Sicherheitsteam ist nicht groß genug für die Größe unseres Ingenieurteams oder Unternehmens.“
„Unser Sicherheitsteam wird immer wieder von Unternehmen im Ausland abgeworben, die außergewöhnliche Gehaltspakete und die Möglichkeit bieten, zu arbeiten und andere Kontinente zu erkunden.“
„Unsere Sicherheitsexperten sind zu sehr mit der Brandbekämpfung beschäftigt, um ihre Fähigkeiten weiterzuentwickeln“.
Dieses Thema wird durch mehrere Forschungsberichte gestützt, darunter eine Umfrage des Ponemon Institute aus dem Jahr 2017, in der 2018 der „Mangel an kompetenten internen Mitarbeitern“ bei allen anderen Arten von CISO-Cybersicherheitsbedenken an erster Stelle stand.
Diese kritische Lücke bei den Sicherheitskompetenzen wird wahrscheinlich nicht so schnell verschwinden, insbesondere in Märkten wie Australien, wo die besten Talente häufig ins Ausland abwandern und die Einwanderungsgesetze es zunehmend schwieriger machen, ausländische Sicherheitsexperten ins Land zu holen.
Eines der interessanten Dinge am australischen Fachkräftemangel ist, dass die mangelnde Fähigkeit, qualifizierte Experten zu rekrutieren, dazu geführt hat, dass der Aufbau von Fähigkeiten im Bereich der nationalen Sicherheit positiv in den Mittelpunkt gerückt ist. Wie Benjamin Franklin hätte sagen sollen: „Aus Widrigkeiten ergeben sich Chancen.“ Australische Regierungen, Bildungseinrichtungen, Unternehmen und Start-ups arbeiten an Programmen, um vor Ort eine Reihe von Sicherheitskompetenzen aufzubauen.
Ein Bereich, in dem der Mangel an Sicherheitskompetenzen definitiv zu Chancen geführt hat, ist die Entwicklung von Fähigkeiten zur sicheren Codierung innerhalb interner und ausgelagerter Entwicklungsteams. Angesichts der Tatsache, dass die meisten der weltweit größten Sicherheitslücken auf Codierungsfehler zurückzuführen sind und die durchschnittliche Sicherheitsverletzung 3,6 Millionen US-Dollar kostet, ist Softwaresicherheit definitiv ein erheblicher Teil der Sicherheitsherausforderung. Eine der größten (und steigenden) Ausgaben innerhalb der Budgets für Anwendungssicherheit entfällt auf die reaktive Identifizierung und Behebung der Anwendungssicherheit, wobei häufig Jahr für Jahr dieselben alten Fehler auftreten.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Es bedeutet nicht, Sicherheitsexperten durch Entwickler zu ersetzen, aber es bedeutet, Entwickler in Sicherheitsfragen einzubeziehen, Sicherheit zu einem Teil ihrer täglichen Denkweise zu machen und ihnen beizubringen, sicher zu programmieren, und zwar auf unterhaltsame, effektive und effiziente Weise. Das Ergebnis wird sein, dass knappes Sicherheitsexpertise besser darauf verwendet werden kann, die wirklich schwierigen, komplexen Fehler zu finden und zu beheben, als sich mit denselben alten Sicherheitslücken zu befassen.
Für einige CISOs mag das alles zu schön klingen, um wahr zu sein, oder zu schwierig zu implementieren, aber die Wahrheit ist, dass es keines dieser Dinge ist. Bei Secure Code Warrior haben immer mehr CISOs diese Gelegenheit genutzt und dabei das Arbeitsleben sowohl der Sicherheits- als auch der Entwicklungsteams verändert.
Eine Gruppe von CISOs, die weltweit die Initiative ergriffen haben, um unter ihren Softwareentwicklern eine starke Sicherheitsmentalität und -kompetenz zu entwickeln, sind die australischen Banken. Die australischen Banken waren bereits 2016 und 2017 die ersten Anwender dieses Ansatzes. Die sechs führenden Banken des Landes ermutigen ihre Entwicklerteams nun aktiv dazu, mithilfe unserer spielerischen Online-Lernumgebung im Selbststudium sichere Programmierkenntnisse zu erwerben. Die Banken überprüfen außerdem regelmäßig Echtzeitkennzahlen und Berichte, um die Stärken und Schwächen ihrer Entwickler und Teams zu überprüfen.
Der Ansatz führt zu greifbaren und positiven Ergebnissen, darunter eine Verringerung des Auftretens häufiger Sicherheitslücken, ein erhöhtes Sicherheitsbewusstsein der Entwickler und eine verbesserte Beziehung zwischen Sicherheits- und Entwicklungsteams. Unternehmen, die ihren Entwicklern das sichere Programmieren beibringen, werden den Druck auf ihr vorhandenes Sicherheitstalent verringern und ihr Risiko durch Softwareunsicherheiten verringern.
Wenn Sie ein CISO sind (oder einen kennen), der sich über die Sicherheitslage in Ihrem Unternehmen deprimiert fühlt, empfehle ich Ihnen, über einen einfachen Weg nachzudenken, um einige positive und greifbare Punkte zur Sicherheitsverbesserung zu erzielen. Ermöglichen Sie Ihren Entwicklern, sicheres Programmieren zu lernen, und zwar auf eine Weise, die relevant, positiv und unterhaltsam ist. Ihre Sicherheits- und Entwicklungsteams werden es Ihnen danken und Sie werden auch Kosten und Verzögerungen bei Produktinnovationen und -entwicklungen vermeiden. Ich wette, das wird den Weg für viele positive Sicherheitsgespräche ebnen _...
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Da ich diese Woche nach San Francisco reise, um an RSA teilzunehmen, bereite ich mich auf viele Diskussionen mit CISOs vor. Es mag Sie überraschen, aber das Gespräch mit vielen CISOs ist heutzutage nicht gerade erfreulich.
Sie wissen, dass die Sicherheitsrisiken zunehmen, aber viele sehen keine Gelegenheit für Sicherheitsverbesserungen, sondern glauben stattdessen, dass ihre Unternehmen mit größerer Wahrscheinlichkeit Opfer einer Datenschutzverletzung oder eines Cybersicherheitsangriffs werden als je zuvor.
Eines der häufigsten Themen in meinen regelmäßigen CISO-Gesprächen ist ihre Besorgnis über den problematischen Mangel an Cybersicherheitskompetenzen.
„Unser Sicherheitsteam ist nicht groß genug für die Größe unseres Ingenieurteams oder Unternehmens.“
„Unser Sicherheitsteam wird immer wieder von Unternehmen im Ausland abgeworben, die außergewöhnliche Gehaltspakete und die Möglichkeit bieten, zu arbeiten und andere Kontinente zu erkunden.“
„Unsere Sicherheitsexperten sind zu sehr mit der Brandbekämpfung beschäftigt, um ihre Fähigkeiten weiterzuentwickeln“.
Dieses Thema wird durch mehrere Forschungsberichte gestützt, darunter eine Umfrage des Ponemon Institute aus dem Jahr 2017, in der 2018 der „Mangel an kompetenten internen Mitarbeitern“ bei allen anderen Arten von CISO-Cybersicherheitsbedenken an erster Stelle stand.
Diese kritische Lücke bei den Sicherheitskompetenzen wird wahrscheinlich nicht so schnell verschwinden, insbesondere in Märkten wie Australien, wo die besten Talente häufig ins Ausland abwandern und die Einwanderungsgesetze es zunehmend schwieriger machen, ausländische Sicherheitsexperten ins Land zu holen.
Eines der interessanten Dinge am australischen Fachkräftemangel ist, dass die mangelnde Fähigkeit, qualifizierte Experten zu rekrutieren, dazu geführt hat, dass der Aufbau von Fähigkeiten im Bereich der nationalen Sicherheit positiv in den Mittelpunkt gerückt ist. Wie Benjamin Franklin hätte sagen sollen: „Aus Widrigkeiten ergeben sich Chancen.“ Australische Regierungen, Bildungseinrichtungen, Unternehmen und Start-ups arbeiten an Programmen, um vor Ort eine Reihe von Sicherheitskompetenzen aufzubauen.
Ein Bereich, in dem der Mangel an Sicherheitskompetenzen definitiv zu Chancen geführt hat, ist die Entwicklung von Fähigkeiten zur sicheren Codierung innerhalb interner und ausgelagerter Entwicklungsteams. Angesichts der Tatsache, dass die meisten der weltweit größten Sicherheitslücken auf Codierungsfehler zurückzuführen sind und die durchschnittliche Sicherheitsverletzung 3,6 Millionen US-Dollar kostet, ist Softwaresicherheit definitiv ein erheblicher Teil der Sicherheitsherausforderung. Eine der größten (und steigenden) Ausgaben innerhalb der Budgets für Anwendungssicherheit entfällt auf die reaktive Identifizierung und Behebung der Anwendungssicherheit, wobei häufig Jahr für Jahr dieselben alten Fehler auftreten.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Es bedeutet nicht, Sicherheitsexperten durch Entwickler zu ersetzen, aber es bedeutet, Entwickler in Sicherheitsfragen einzubeziehen, Sicherheit zu einem Teil ihrer täglichen Denkweise zu machen und ihnen beizubringen, sicher zu programmieren, und zwar auf unterhaltsame, effektive und effiziente Weise. Das Ergebnis wird sein, dass knappes Sicherheitsexpertise besser darauf verwendet werden kann, die wirklich schwierigen, komplexen Fehler zu finden und zu beheben, als sich mit denselben alten Sicherheitslücken zu befassen.
Für einige CISOs mag das alles zu schön klingen, um wahr zu sein, oder zu schwierig zu implementieren, aber die Wahrheit ist, dass es keines dieser Dinge ist. Bei Secure Code Warrior haben immer mehr CISOs diese Gelegenheit genutzt und dabei das Arbeitsleben sowohl der Sicherheits- als auch der Entwicklungsteams verändert.
Eine Gruppe von CISOs, die weltweit die Initiative ergriffen haben, um unter ihren Softwareentwicklern eine starke Sicherheitsmentalität und -kompetenz zu entwickeln, sind die australischen Banken. Die australischen Banken waren bereits 2016 und 2017 die ersten Anwender dieses Ansatzes. Die sechs führenden Banken des Landes ermutigen ihre Entwicklerteams nun aktiv dazu, mithilfe unserer spielerischen Online-Lernumgebung im Selbststudium sichere Programmierkenntnisse zu erwerben. Die Banken überprüfen außerdem regelmäßig Echtzeitkennzahlen und Berichte, um die Stärken und Schwächen ihrer Entwickler und Teams zu überprüfen.
Der Ansatz führt zu greifbaren und positiven Ergebnissen, darunter eine Verringerung des Auftretens häufiger Sicherheitslücken, ein erhöhtes Sicherheitsbewusstsein der Entwickler und eine verbesserte Beziehung zwischen Sicherheits- und Entwicklungsteams. Unternehmen, die ihren Entwicklern das sichere Programmieren beibringen, werden den Druck auf ihr vorhandenes Sicherheitstalent verringern und ihr Risiko durch Softwareunsicherheiten verringern.
Wenn Sie ein CISO sind (oder einen kennen), der sich über die Sicherheitslage in Ihrem Unternehmen deprimiert fühlt, empfehle ich Ihnen, über einen einfachen Weg nachzudenken, um einige positive und greifbare Punkte zur Sicherheitsverbesserung zu erzielen. Ermöglichen Sie Ihren Entwicklern, sicheres Programmieren zu lernen, und zwar auf eine Weise, die relevant, positiv und unterhaltsam ist. Ihre Sicherheits- und Entwicklungsteams werden es Ihnen danken und Sie werden auch Kosten und Verzögerungen bei Produktinnovationen und -entwicklungen vermeiden. Ich wette, das wird den Weg für viele positive Sicherheitsgespräche ebnen _...
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Da ich diese Woche nach San Francisco reise, um an RSA teilzunehmen, bereite ich mich auf viele Diskussionen mit CISOs vor. Es mag Sie überraschen, aber das Gespräch mit vielen CISOs ist heutzutage nicht gerade erfreulich.
Sie wissen, dass die Sicherheitsrisiken zunehmen, aber viele sehen keine Gelegenheit für Sicherheitsverbesserungen, sondern glauben stattdessen, dass ihre Unternehmen mit größerer Wahrscheinlichkeit Opfer einer Datenschutzverletzung oder eines Cybersicherheitsangriffs werden als je zuvor.
Eines der häufigsten Themen in meinen regelmäßigen CISO-Gesprächen ist ihre Besorgnis über den problematischen Mangel an Cybersicherheitskompetenzen.
„Unser Sicherheitsteam ist nicht groß genug für die Größe unseres Ingenieurteams oder Unternehmens.“
„Unser Sicherheitsteam wird immer wieder von Unternehmen im Ausland abgeworben, die außergewöhnliche Gehaltspakete und die Möglichkeit bieten, zu arbeiten und andere Kontinente zu erkunden.“
„Unsere Sicherheitsexperten sind zu sehr mit der Brandbekämpfung beschäftigt, um ihre Fähigkeiten weiterzuentwickeln“.
Dieses Thema wird durch mehrere Forschungsberichte gestützt, darunter eine Umfrage des Ponemon Institute aus dem Jahr 2017, in der 2018 der „Mangel an kompetenten internen Mitarbeitern“ bei allen anderen Arten von CISO-Cybersicherheitsbedenken an erster Stelle stand.
Diese kritische Lücke bei den Sicherheitskompetenzen wird wahrscheinlich nicht so schnell verschwinden, insbesondere in Märkten wie Australien, wo die besten Talente häufig ins Ausland abwandern und die Einwanderungsgesetze es zunehmend schwieriger machen, ausländische Sicherheitsexperten ins Land zu holen.
Eines der interessanten Dinge am australischen Fachkräftemangel ist, dass die mangelnde Fähigkeit, qualifizierte Experten zu rekrutieren, dazu geführt hat, dass der Aufbau von Fähigkeiten im Bereich der nationalen Sicherheit positiv in den Mittelpunkt gerückt ist. Wie Benjamin Franklin hätte sagen sollen: „Aus Widrigkeiten ergeben sich Chancen.“ Australische Regierungen, Bildungseinrichtungen, Unternehmen und Start-ups arbeiten an Programmen, um vor Ort eine Reihe von Sicherheitskompetenzen aufzubauen.
Ein Bereich, in dem der Mangel an Sicherheitskompetenzen definitiv zu Chancen geführt hat, ist die Entwicklung von Fähigkeiten zur sicheren Codierung innerhalb interner und ausgelagerter Entwicklungsteams. Angesichts der Tatsache, dass die meisten der weltweit größten Sicherheitslücken auf Codierungsfehler zurückzuführen sind und die durchschnittliche Sicherheitsverletzung 3,6 Millionen US-Dollar kostet, ist Softwaresicherheit definitiv ein erheblicher Teil der Sicherheitsherausforderung. Eine der größten (und steigenden) Ausgaben innerhalb der Budgets für Anwendungssicherheit entfällt auf die reaktive Identifizierung und Behebung der Anwendungssicherheit, wobei häufig Jahr für Jahr dieselben alten Fehler auftreten.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Es bedeutet nicht, Sicherheitsexperten durch Entwickler zu ersetzen, aber es bedeutet, Entwickler in Sicherheitsfragen einzubeziehen, Sicherheit zu einem Teil ihrer täglichen Denkweise zu machen und ihnen beizubringen, sicher zu programmieren, und zwar auf unterhaltsame, effektive und effiziente Weise. Das Ergebnis wird sein, dass knappes Sicherheitsexpertise besser darauf verwendet werden kann, die wirklich schwierigen, komplexen Fehler zu finden und zu beheben, als sich mit denselben alten Sicherheitslücken zu befassen.
Für einige CISOs mag das alles zu schön klingen, um wahr zu sein, oder zu schwierig zu implementieren, aber die Wahrheit ist, dass es keines dieser Dinge ist. Bei Secure Code Warrior haben immer mehr CISOs diese Gelegenheit genutzt und dabei das Arbeitsleben sowohl der Sicherheits- als auch der Entwicklungsteams verändert.
Eine Gruppe von CISOs, die weltweit die Initiative ergriffen haben, um unter ihren Softwareentwicklern eine starke Sicherheitsmentalität und -kompetenz zu entwickeln, sind die australischen Banken. Die australischen Banken waren bereits 2016 und 2017 die ersten Anwender dieses Ansatzes. Die sechs führenden Banken des Landes ermutigen ihre Entwicklerteams nun aktiv dazu, mithilfe unserer spielerischen Online-Lernumgebung im Selbststudium sichere Programmierkenntnisse zu erwerben. Die Banken überprüfen außerdem regelmäßig Echtzeitkennzahlen und Berichte, um die Stärken und Schwächen ihrer Entwickler und Teams zu überprüfen.
Der Ansatz führt zu greifbaren und positiven Ergebnissen, darunter eine Verringerung des Auftretens häufiger Sicherheitslücken, ein erhöhtes Sicherheitsbewusstsein der Entwickler und eine verbesserte Beziehung zwischen Sicherheits- und Entwicklungsteams. Unternehmen, die ihren Entwicklern das sichere Programmieren beibringen, werden den Druck auf ihr vorhandenes Sicherheitstalent verringern und ihr Risiko durch Softwareunsicherheiten verringern.
Wenn Sie ein CISO sind (oder einen kennen), der sich über die Sicherheitslage in Ihrem Unternehmen deprimiert fühlt, empfehle ich Ihnen, über einen einfachen Weg nachzudenken, um einige positive und greifbare Punkte zur Sicherheitsverbesserung zu erzielen. Ermöglichen Sie Ihren Entwicklern, sicheres Programmieren zu lernen, und zwar auf eine Weise, die relevant, positiv und unterhaltsam ist. Ihre Sicherheits- und Entwicklungsteams werden es Ihnen danken und Sie werden auch Kosten und Verzögerungen bei Produktinnovationen und -entwicklungen vermeiden. Ich wette, das wird den Weg für viele positive Sicherheitsgespräche ebnen _...
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
%20(1).avif)
.avif)
