So führen Sie effektive Sicherheitsschulungen für Entwickler ein: 5 wichtige Lektionen
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
%20(1).avif)
.avif)
