지루한 PCI-DSS 컴플라이언스를 모두를 위한 의미 있는 운동으로 전환: 파트 2 - CISOs 및 개발자 인식
이는 조직 내 PCI-DSS 컴플라이언스의 미니 시리즈 2부입니다. 이 마지막 장에서는 CIT와 CIS가 사이버 위험을 줄이고 프로세스를 원활하고 성공적으로 만드는 데 있어 어떻게 우위를 점할 수 있는지 자세히 설명합니다. 그리고 어쩌면 개발자를위한 약간의 재미. (1부 놓쳤나요? 여기에서 확인하고 AppSec 전문가가 더 나은 보안 결과를 위해이 기회를 포착 할 수있는 방법을 알아보십시오.).
PCI-DSS 모범 사례는 의심할 여지없이 공동의 책임이지만 CISO와 CCO는 위에서 번성하고 긍정적 인 보안 프로그램을 만드는 데 상당한 영향을 미칠 수 있습니다. 이들은 최종 사용자와 사이버 보안 신뢰 및 관련 정서의 핵심이며, 초기에 인식에 중점을 두어 개발자와 AppSec 전문가가 회사 내에서 강력한 보안 태세에 기여하는 데 필요한 지식, 도구 및 지원을 받을 수 있도록 강력한 세류 다운 효과를 제공합니다.
규정을 준수하는 것이 중요하지만, 모든 사람이 "왜"와 함께 승선하고 결과를 보고 올바른 방법으로 양육될 때 프로그램은 입법을 초월하고 제2의 성격이 될 수 있습니다.
CIS와 CIO는 상호 신뢰를 창출하는 데 역할을 합니다.
최근에 사이트에 와서 신용 카드 세부 정보를 넘겨주는 것에 대해 두 번 생각했습니까? 현지 피자 가게의 온라인 주문에 전력을 공급하는 스케치 보이는 웹 앱이 아니라면, 특히 온라인 소매점에서 대기업과 가계 이름이 아닌 자주 경험하는 것이 아닐 가능성이 높습니다.
물론 데이터 유출을 공개하지 않는 한.
글로벌 숙박 시설 거인 인 메리어트 (Marriott)는 3 년 동안 두 번째 위반을공개했으며, 이로 인해 520 만 명의 고객 기록이 도난당했습니다. 이번에는 2018 년 치명적인 위반이 처리되었지만 지불 정보가 heist의 일부인 것처럼 나타나지 않습니다. 3억 8,300만 명의 고객이 손상되었으며,500만 개의 암호화되지 않은 여권 번호와 8백만 개의 신용카드 번호가 도난당했습니다.
메리어트 브랜드에 대한 고객신뢰가 아직 그다지 낮지 않다면 곧 바위 바닥을 치는 데 가까워졌다고 말하고 싶습니다. 이것은 CIS가 사이버 위협과의 전쟁에서 오리를 앉아있는 것처럼 느껴지기 때문에 밤에 깨어있게하는 일종의 물건입니다. 그냥 Equifax, 야후, 소니, 대상봐 - 이들은 도난 당한 데이터 기록의 수십억을 나타내는 대규모 위반을 견뎌 낸 몇 가지 거대한 이름입니다, 손상의 수십억 달러, 고객 모양의 구멍은 바로 자신의 경제적 마음을 통해 펀치. 그것은 사업에 대 한 재앙 (대상 은 그들의 2014 위반 후 분기에 4억 4천만 달러 이익 급락을 보고), 그리고 개별 사람들이 일반적으로 책임을 지지 않습니다 하는 동안 -- 결국, 소프트웨어 보안 공유 책임 이어야 한다 -- 그것은 당신이 정확 하 게 다음 이러한 조직에서 일 하는 경우 빛나는 이력서에 싶지 않아 뭔가.
지불, 민감한 데이터 및 긍정적 인 고객 정서인 무형의 금을 다루는 조직에서 준수를 달성하기 위한 강력한 보안 프로그램을 예견하는 것은 위험에 처할 뿐만 아니라 혁신에서 심각하게 뒤쳐지는 회사의 지표입니다.
모든 사람은 고객/조직 관계의 신뢰 문제에 관심을 가져야 합니다.
IT, 개발 및 보안 부서가 위반 후 직면한 스트레스와 재앙 외에도 신뢰 요인은 새로운 회사의 장기적인 성공 또는 확립 된 회사의 지속적인 성장의 주요 요소입니다. 당신이 잃을 서 명백한 것은 당신의 직업이다, 회사가 잃어버린 믿음의 결과로 경제 침체에 직면해야.
PCI-DSS 규정은 기업에 책임을 묻고, 위와 같이, 이러한 잘 배치 된 계획을 무시하는 것은 엄청난 의미가 있습니다 - 그러나 그들은 장소에 배치 된 보안 프로그램만큼 좋은, 그리고 그 안에서 일하는 사람들. 당신이 그들을 진지하게 받아들이고, 인식하고, 다른 사람들에게 모범을 보이고 있다면, 당신은 매우 긍정적 인 방법으로 자신을 차별화하고 있습니다.
인식은 전부입니다.
실패한 보안 인식 프로그램은 대부분의 시도가 PCI 를 사용하지 않는 것에 가깝게 유지하려고 할 것입니다. 조직 전체보안 인식은 모범 사례 지침에서 가장 중요한 부분을 형성합니다. 그들은 심지어 이 것을 상호 기능적 역할로 구현할 수 있는 방법과 이를 올바르게 수행하는 기업에서 어떤 모습에 대한 자체 교육 모듈을 제공합니다.
공동책임으로서의 보안이 기본인 보안 소프트웨어 개발의 현재 금본위제로 발전함에 따라 기업은 공급업체와 계약업체를 포함한 모든 사람이 보안 을 인식하고 모범 사례를 따르도록 시간과 돈과 노력을 기울여야 합니다.
보안 인식 개발자는 규정을 준수하는 개발자입니다(그리고 그 곳에 도착하는 것은 지루할 필요가 없습니다).
"인증된" 호환 PCI-DSS 개발자가 되는 데 있어 확실한 옵션이 많지 않습니다. 왜? 아마 그것은 "하나 와 완료"운동이 될 수 없기 때문에.
OWASP 조직은 일반적인 취약점을 저지하는 방법을 배우는 데 있어 지구상에서 가장 좋은 조직 중 하나이며, 상위 10대는 개발자를 위한 PCI-DSS 지침에 공식적으로 나열되어 있습니다. 그러나 보안 을 염두에 두고 연마 기술을 유지하는 데는 시간과 지속적인 노력이 필요합니다. 그리고 아무도 이것이 영감과 노력의 낭비가되기를 원하지 않습니다.
긍정적인 보안 문화는 조직에서 "가지고 있는 것이 좋은" 것이 아닙니다. 보안을 진지하게 받아들이고 있다면 회사의 일상적인 운영에 참여해야 합니다.
개발자는 취약점을 막을 때 최전선에서 전투를 벌이고 있습니다. PCI-DSS 규정 준수에서 보안 거래의 일부를 유지하기 위한 지원, 도구 및 교육을 받고 있습니까?
진실은, 올바른 훈련은 더 원활하다; 강의처럼 느껴서는 안 되며, 매일 수행되는 작업과 매우 관련이 있어야 합니다. 그리고 이러한 종류의 실습 교육은 취약점을 중지하고 더 높은 수준의 코드를 생성하기 위해 팀의 나머지 부분과 협력하는 것에 대해 진지한 개발자에게만 긍정적 인 경력 이동을 제공하는 업스킬링 기회입니다.
지금 보안 코딩 기술을 테스트하고 싶으신가요? 당신의 임무를 선택합니다.
마티아스 마두, Ph.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
지루한 PCI-DSS 컴플라이언스를 모두를 위한 의미 있는 운동으로 전환: 파트 2 - CISOs 및 개발자 인식
이는 조직 내 PCI-DSS 컴플라이언스의 미니 시리즈 2부입니다. 이 마지막 장에서는 CIT와 CIS가 사이버 위험을 줄이고 프로세스를 원활하고 성공적으로 만드는 데 있어 어떻게 우위를 점할 수 있는지 자세히 설명합니다. 그리고 어쩌면 개발자를위한 약간의 재미. (1부 놓쳤나요? 여기에서 확인하고 AppSec 전문가가 더 나은 보안 결과를 위해이 기회를 포착 할 수있는 방법을 알아보십시오.).
PCI-DSS 모범 사례는 의심할 여지없이 공동의 책임이지만 CISO와 CCO는 위에서 번성하고 긍정적 인 보안 프로그램을 만드는 데 상당한 영향을 미칠 수 있습니다. 이들은 최종 사용자와 사이버 보안 신뢰 및 관련 정서의 핵심이며, 초기에 인식에 중점을 두어 개발자와 AppSec 전문가가 회사 내에서 강력한 보안 태세에 기여하는 데 필요한 지식, 도구 및 지원을 받을 수 있도록 강력한 세류 다운 효과를 제공합니다.
규정을 준수하는 것이 중요하지만, 모든 사람이 "왜"와 함께 승선하고 결과를 보고 올바른 방법으로 양육될 때 프로그램은 입법을 초월하고 제2의 성격이 될 수 있습니다.
CIS와 CIO는 상호 신뢰를 창출하는 데 역할을 합니다.
최근에 사이트에 와서 신용 카드 세부 정보를 넘겨주는 것에 대해 두 번 생각했습니까? 현지 피자 가게의 온라인 주문에 전력을 공급하는 스케치 보이는 웹 앱이 아니라면, 특히 온라인 소매점에서 대기업과 가계 이름이 아닌 자주 경험하는 것이 아닐 가능성이 높습니다.
물론 데이터 유출을 공개하지 않는 한.
글로벌 숙박 시설 거인 인 메리어트 (Marriott)는 3 년 동안 두 번째 위반을공개했으며, 이로 인해 520 만 명의 고객 기록이 도난당했습니다. 이번에는 2018 년 치명적인 위반이 처리되었지만 지불 정보가 heist의 일부인 것처럼 나타나지 않습니다. 3억 8,300만 명의 고객이 손상되었으며,500만 개의 암호화되지 않은 여권 번호와 8백만 개의 신용카드 번호가 도난당했습니다.
메리어트 브랜드에 대한 고객신뢰가 아직 그다지 낮지 않다면 곧 바위 바닥을 치는 데 가까워졌다고 말하고 싶습니다. 이것은 CIS가 사이버 위협과의 전쟁에서 오리를 앉아있는 것처럼 느껴지기 때문에 밤에 깨어있게하는 일종의 물건입니다. 그냥 Equifax, 야후, 소니, 대상봐 - 이들은 도난 당한 데이터 기록의 수십억을 나타내는 대규모 위반을 견뎌 낸 몇 가지 거대한 이름입니다, 손상의 수십억 달러, 고객 모양의 구멍은 바로 자신의 경제적 마음을 통해 펀치. 그것은 사업에 대 한 재앙 (대상 은 그들의 2014 위반 후 분기에 4억 4천만 달러 이익 급락을 보고), 그리고 개별 사람들이 일반적으로 책임을 지지 않습니다 하는 동안 -- 결국, 소프트웨어 보안 공유 책임 이어야 한다 -- 그것은 당신이 정확 하 게 다음 이러한 조직에서 일 하는 경우 빛나는 이력서에 싶지 않아 뭔가.
지불, 민감한 데이터 및 긍정적 인 고객 정서인 무형의 금을 다루는 조직에서 준수를 달성하기 위한 강력한 보안 프로그램을 예견하는 것은 위험에 처할 뿐만 아니라 혁신에서 심각하게 뒤쳐지는 회사의 지표입니다.
모든 사람은 고객/조직 관계의 신뢰 문제에 관심을 가져야 합니다.
IT, 개발 및 보안 부서가 위반 후 직면한 스트레스와 재앙 외에도 신뢰 요인은 새로운 회사의 장기적인 성공 또는 확립 된 회사의 지속적인 성장의 주요 요소입니다. 당신이 잃을 서 명백한 것은 당신의 직업이다, 회사가 잃어버린 믿음의 결과로 경제 침체에 직면해야.
PCI-DSS 규정은 기업에 책임을 묻고, 위와 같이, 이러한 잘 배치 된 계획을 무시하는 것은 엄청난 의미가 있습니다 - 그러나 그들은 장소에 배치 된 보안 프로그램만큼 좋은, 그리고 그 안에서 일하는 사람들. 당신이 그들을 진지하게 받아들이고, 인식하고, 다른 사람들에게 모범을 보이고 있다면, 당신은 매우 긍정적 인 방법으로 자신을 차별화하고 있습니다.
인식은 전부입니다.
실패한 보안 인식 프로그램은 대부분의 시도가 PCI 를 사용하지 않는 것에 가깝게 유지하려고 할 것입니다. 조직 전체보안 인식은 모범 사례 지침에서 가장 중요한 부분을 형성합니다. 그들은 심지어 이 것을 상호 기능적 역할로 구현할 수 있는 방법과 이를 올바르게 수행하는 기업에서 어떤 모습에 대한 자체 교육 모듈을 제공합니다.
공동책임으로서의 보안이 기본인 보안 소프트웨어 개발의 현재 금본위제로 발전함에 따라 기업은 공급업체와 계약업체를 포함한 모든 사람이 보안 을 인식하고 모범 사례를 따르도록 시간과 돈과 노력을 기울여야 합니다.
보안 인식 개발자는 규정을 준수하는 개발자입니다(그리고 그 곳에 도착하는 것은 지루할 필요가 없습니다).
"인증된" 호환 PCI-DSS 개발자가 되는 데 있어 확실한 옵션이 많지 않습니다. 왜? 아마 그것은 "하나 와 완료"운동이 될 수 없기 때문에.
OWASP 조직은 일반적인 취약점을 저지하는 방법을 배우는 데 있어 지구상에서 가장 좋은 조직 중 하나이며, 상위 10대는 개발자를 위한 PCI-DSS 지침에 공식적으로 나열되어 있습니다. 그러나 보안 을 염두에 두고 연마 기술을 유지하는 데는 시간과 지속적인 노력이 필요합니다. 그리고 아무도 이것이 영감과 노력의 낭비가되기를 원하지 않습니다.
긍정적인 보안 문화는 조직에서 "가지고 있는 것이 좋은" 것이 아닙니다. 보안을 진지하게 받아들이고 있다면 회사의 일상적인 운영에 참여해야 합니다.
개발자는 취약점을 막을 때 최전선에서 전투를 벌이고 있습니다. PCI-DSS 규정 준수에서 보안 거래의 일부를 유지하기 위한 지원, 도구 및 교육을 받고 있습니까?
진실은, 올바른 훈련은 더 원활하다; 강의처럼 느껴서는 안 되며, 매일 수행되는 작업과 매우 관련이 있어야 합니다. 그리고 이러한 종류의 실습 교육은 취약점을 중지하고 더 높은 수준의 코드를 생성하기 위해 팀의 나머지 부분과 협력하는 것에 대해 진지한 개발자에게만 긍정적 인 경력 이동을 제공하는 업스킬링 기회입니다.
지금 보안 코딩 기술을 테스트하고 싶으신가요? 당신의 임무를 선택합니다.
