Einige CISOs nutzen den Mangel an Sicherheitsfachkräften in eine Chance
Da ich diese Woche nach San Francisco reise, um an RSA teilzunehmen, bereite ich mich auf viele Diskussionen mit CISOs vor. Es mag Sie überraschen, aber das Gespräch mit vielen CISOs ist heutzutage nicht gerade erfreulich.
Sie wissen, dass die Sicherheitsrisiken zunehmen, aber viele sehen keine Gelegenheit für Sicherheitsverbesserungen, sondern glauben stattdessen, dass ihre Unternehmen mit größerer Wahrscheinlichkeit Opfer einer Datenschutzverletzung oder eines Cybersicherheitsangriffs werden als je zuvor.
Eines der häufigsten Themen in meinen regelmäßigen CISO-Gesprächen ist ihre Besorgnis über den problematischen Mangel an Cybersicherheitskompetenzen.
„Unser Sicherheitsteam ist nicht groß genug für die Größe unseres Ingenieurteams oder Unternehmens.“
„Unser Sicherheitsteam wird immer wieder von Unternehmen im Ausland abgeworben, die außergewöhnliche Gehaltspakete und die Möglichkeit bieten, zu arbeiten und andere Kontinente zu erkunden.“
„Unsere Sicherheitsexperten sind zu sehr mit der Brandbekämpfung beschäftigt, um ihre Fähigkeiten weiterzuentwickeln“.
Dieses Thema wird durch mehrere Forschungsberichte gestützt, darunter eine Umfrage des Ponemon Institute aus dem Jahr 2017, in der 2018 der „Mangel an kompetenten internen Mitarbeitern“ bei allen anderen Arten von CISO-Cybersicherheitsbedenken an erster Stelle stand.
Diese kritische Lücke bei den Sicherheitskompetenzen wird wahrscheinlich nicht so schnell verschwinden, insbesondere in Märkten wie Australien, wo die besten Talente häufig ins Ausland abwandern und die Einwanderungsgesetze es zunehmend schwieriger machen, ausländische Sicherheitsexperten ins Land zu holen.
Eines der interessanten Dinge am australischen Fachkräftemangel ist, dass die mangelnde Fähigkeit, qualifizierte Experten zu rekrutieren, dazu geführt hat, dass der Aufbau von Fähigkeiten im Bereich der nationalen Sicherheit positiv in den Mittelpunkt gerückt ist. Wie Benjamin Franklin hätte sagen sollen: „Aus Widrigkeiten ergeben sich Chancen.“ Australische Regierungen, Bildungseinrichtungen, Unternehmen und Start-ups arbeiten an Programmen, um vor Ort eine Reihe von Sicherheitskompetenzen aufzubauen.
Ein Bereich, in dem der Mangel an Sicherheitskompetenzen definitiv zu Chancen geführt hat, ist die Entwicklung von Fähigkeiten zur sicheren Codierung innerhalb interner und ausgelagerter Entwicklungsteams. Angesichts der Tatsache, dass die meisten der weltweit größten Sicherheitslücken auf Codierungsfehler zurückzuführen sind und die durchschnittliche Sicherheitsverletzung 3,6 Millionen US-Dollar kostet, ist Softwaresicherheit definitiv ein erheblicher Teil der Sicherheitsherausforderung. Eine der größten (und steigenden) Ausgaben innerhalb der Budgets für Anwendungssicherheit entfällt auf die reaktive Identifizierung und Behebung der Anwendungssicherheit, wobei häufig Jahr für Jahr dieselben alten Fehler auftreten.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Es bedeutet nicht, Sicherheitsexperten durch Entwickler zu ersetzen, aber es bedeutet, Entwickler in Sicherheitsfragen einzubeziehen, Sicherheit zu einem Teil ihrer täglichen Denkweise zu machen und ihnen beizubringen, sicher zu programmieren, und zwar auf unterhaltsame, effektive und effiziente Weise. Das Ergebnis wird sein, dass knappes Sicherheitsexpertise besser darauf verwendet werden kann, die wirklich schwierigen, komplexen Fehler zu finden und zu beheben, als sich mit denselben alten Sicherheitslücken zu befassen.
Für einige CISOs mag das alles zu schön klingen, um wahr zu sein, oder zu schwierig zu implementieren, aber die Wahrheit ist, dass es keines dieser Dinge ist. Bei Secure Code Warrior haben immer mehr CISOs diese Gelegenheit genutzt und dabei das Arbeitsleben sowohl der Sicherheits- als auch der Entwicklungsteams verändert.
Eine Gruppe von CISOs, die weltweit die Initiative ergriffen haben, um unter ihren Softwareentwicklern eine starke Sicherheitsmentalität und -kompetenz zu entwickeln, sind die australischen Banken. Die australischen Banken waren bereits 2016 und 2017 die ersten Anwender dieses Ansatzes. Die sechs führenden Banken des Landes ermutigen ihre Entwicklerteams nun aktiv dazu, mithilfe unserer spielerischen Online-Lernumgebung im Selbststudium sichere Programmierkenntnisse zu erwerben. Die Banken überprüfen außerdem regelmäßig Echtzeitkennzahlen und Berichte, um die Stärken und Schwächen ihrer Entwickler und Teams zu überprüfen.
Der Ansatz führt zu greifbaren und positiven Ergebnissen, darunter eine Verringerung des Auftretens häufiger Sicherheitslücken, ein erhöhtes Sicherheitsbewusstsein der Entwickler und eine verbesserte Beziehung zwischen Sicherheits- und Entwicklungsteams. Unternehmen, die ihren Entwicklern das sichere Programmieren beibringen, werden den Druck auf ihr vorhandenes Sicherheitstalent verringern und ihr Risiko durch Softwareunsicherheiten verringern.
Wenn Sie ein CISO sind (oder einen kennen), der sich über die Sicherheitslage in Ihrem Unternehmen deprimiert fühlt, empfehle ich Ihnen, über einen einfachen Weg nachzudenken, um einige positive und greifbare Punkte zur Sicherheitsverbesserung zu erzielen. Ermöglichen Sie Ihren Entwicklern, sicheres Programmieren zu lernen, und zwar auf eine Weise, die relevant, positiv und unterhaltsam ist. Ihre Sicherheits- und Entwicklungsteams werden es Ihnen danken und Sie werden auch Kosten und Verzögerungen bei Produktinnovationen und -entwicklungen vermeiden. Ich wette, das wird den Weg für viele positive Sicherheitsgespräche ebnen _...
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, aus der Sicherheitslücke heraus eine gewisse proaktive Kontrolle zu übernehmen. Hier besteht die Möglichkeit, schnelle, einfache und messbare Verbesserungen sowohl für Sicherheits- als auch für Entwicklungsteams zu erzielen.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Da ich diese Woche nach San Francisco reise, um an RSA teilzunehmen, bereite ich mich auf viele Diskussionen mit CISOs vor. Es mag Sie überraschen, aber das Gespräch mit vielen CISOs ist heutzutage nicht gerade erfreulich.
Sie wissen, dass die Sicherheitsrisiken zunehmen, aber viele sehen keine Gelegenheit für Sicherheitsverbesserungen, sondern glauben stattdessen, dass ihre Unternehmen mit größerer Wahrscheinlichkeit Opfer einer Datenschutzverletzung oder eines Cybersicherheitsangriffs werden als je zuvor.
Eines der häufigsten Themen in meinen regelmäßigen CISO-Gesprächen ist ihre Besorgnis über den problematischen Mangel an Cybersicherheitskompetenzen.
„Unser Sicherheitsteam ist nicht groß genug für die Größe unseres Ingenieurteams oder Unternehmens.“
„Unser Sicherheitsteam wird immer wieder von Unternehmen im Ausland abgeworben, die außergewöhnliche Gehaltspakete und die Möglichkeit bieten, zu arbeiten und andere Kontinente zu erkunden.“
„Unsere Sicherheitsexperten sind zu sehr mit der Brandbekämpfung beschäftigt, um ihre Fähigkeiten weiterzuentwickeln“.
Dieses Thema wird durch mehrere Forschungsberichte gestützt, darunter eine Umfrage des Ponemon Institute aus dem Jahr 2017, in der 2018 der „Mangel an kompetenten internen Mitarbeitern“ bei allen anderen Arten von CISO-Cybersicherheitsbedenken an erster Stelle stand.
Diese kritische Lücke bei den Sicherheitskompetenzen wird wahrscheinlich nicht so schnell verschwinden, insbesondere in Märkten wie Australien, wo die besten Talente häufig ins Ausland abwandern und die Einwanderungsgesetze es zunehmend schwieriger machen, ausländische Sicherheitsexperten ins Land zu holen.
Eines der interessanten Dinge am australischen Fachkräftemangel ist, dass die mangelnde Fähigkeit, qualifizierte Experten zu rekrutieren, dazu geführt hat, dass der Aufbau von Fähigkeiten im Bereich der nationalen Sicherheit positiv in den Mittelpunkt gerückt ist. Wie Benjamin Franklin hätte sagen sollen: „Aus Widrigkeiten ergeben sich Chancen.“ Australische Regierungen, Bildungseinrichtungen, Unternehmen und Start-ups arbeiten an Programmen, um vor Ort eine Reihe von Sicherheitskompetenzen aufzubauen.
Ein Bereich, in dem der Mangel an Sicherheitskompetenzen definitiv zu Chancen geführt hat, ist die Entwicklung von Fähigkeiten zur sicheren Codierung innerhalb interner und ausgelagerter Entwicklungsteams. Angesichts der Tatsache, dass die meisten der weltweit größten Sicherheitslücken auf Codierungsfehler zurückzuführen sind und die durchschnittliche Sicherheitsverletzung 3,6 Millionen US-Dollar kostet, ist Softwaresicherheit definitiv ein erheblicher Teil der Sicherheitsherausforderung. Eine der größten (und steigenden) Ausgaben innerhalb der Budgets für Anwendungssicherheit entfällt auf die reaktive Identifizierung und Behebung der Anwendungssicherheit, wobei häufig Jahr für Jahr dieselben alten Fehler auftreten.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Es bedeutet nicht, Sicherheitsexperten durch Entwickler zu ersetzen, aber es bedeutet, Entwickler in Sicherheitsfragen einzubeziehen, Sicherheit zu einem Teil ihrer täglichen Denkweise zu machen und ihnen beizubringen, sicher zu programmieren, und zwar auf unterhaltsame, effektive und effiziente Weise. Das Ergebnis wird sein, dass knappes Sicherheitsexpertise besser darauf verwendet werden kann, die wirklich schwierigen, komplexen Fehler zu finden und zu beheben, als sich mit denselben alten Sicherheitslücken zu befassen.
Für einige CISOs mag das alles zu schön klingen, um wahr zu sein, oder zu schwierig zu implementieren, aber die Wahrheit ist, dass es keines dieser Dinge ist. Bei Secure Code Warrior haben immer mehr CISOs diese Gelegenheit genutzt und dabei das Arbeitsleben sowohl der Sicherheits- als auch der Entwicklungsteams verändert.
Eine Gruppe von CISOs, die weltweit die Initiative ergriffen haben, um unter ihren Softwareentwicklern eine starke Sicherheitsmentalität und -kompetenz zu entwickeln, sind die australischen Banken. Die australischen Banken waren bereits 2016 und 2017 die ersten Anwender dieses Ansatzes. Die sechs führenden Banken des Landes ermutigen ihre Entwicklerteams nun aktiv dazu, mithilfe unserer spielerischen Online-Lernumgebung im Selbststudium sichere Programmierkenntnisse zu erwerben. Die Banken überprüfen außerdem regelmäßig Echtzeitkennzahlen und Berichte, um die Stärken und Schwächen ihrer Entwickler und Teams zu überprüfen.
Der Ansatz führt zu greifbaren und positiven Ergebnissen, darunter eine Verringerung des Auftretens häufiger Sicherheitslücken, ein erhöhtes Sicherheitsbewusstsein der Entwickler und eine verbesserte Beziehung zwischen Sicherheits- und Entwicklungsteams. Unternehmen, die ihren Entwicklern das sichere Programmieren beibringen, werden den Druck auf ihr vorhandenes Sicherheitstalent verringern und ihr Risiko durch Softwareunsicherheiten verringern.
Wenn Sie ein CISO sind (oder einen kennen), der sich über die Sicherheitslage in Ihrem Unternehmen deprimiert fühlt, empfehle ich Ihnen, über einen einfachen Weg nachzudenken, um einige positive und greifbare Punkte zur Sicherheitsverbesserung zu erzielen. Ermöglichen Sie Ihren Entwicklern, sicheres Programmieren zu lernen, und zwar auf eine Weise, die relevant, positiv und unterhaltsam ist. Ihre Sicherheits- und Entwicklungsteams werden es Ihnen danken und Sie werden auch Kosten und Verzögerungen bei Produktinnovationen und -entwicklungen vermeiden. Ich wette, das wird den Weg für viele positive Sicherheitsgespräche ebnen _...
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Da ich diese Woche nach San Francisco reise, um an RSA teilzunehmen, bereite ich mich auf viele Diskussionen mit CISOs vor. Es mag Sie überraschen, aber das Gespräch mit vielen CISOs ist heutzutage nicht gerade erfreulich.
Sie wissen, dass die Sicherheitsrisiken zunehmen, aber viele sehen keine Gelegenheit für Sicherheitsverbesserungen, sondern glauben stattdessen, dass ihre Unternehmen mit größerer Wahrscheinlichkeit Opfer einer Datenschutzverletzung oder eines Cybersicherheitsangriffs werden als je zuvor.
Eines der häufigsten Themen in meinen regelmäßigen CISO-Gesprächen ist ihre Besorgnis über den problematischen Mangel an Cybersicherheitskompetenzen.
„Unser Sicherheitsteam ist nicht groß genug für die Größe unseres Ingenieurteams oder Unternehmens.“
„Unser Sicherheitsteam wird immer wieder von Unternehmen im Ausland abgeworben, die außergewöhnliche Gehaltspakete und die Möglichkeit bieten, zu arbeiten und andere Kontinente zu erkunden.“
„Unsere Sicherheitsexperten sind zu sehr mit der Brandbekämpfung beschäftigt, um ihre Fähigkeiten weiterzuentwickeln“.
Dieses Thema wird durch mehrere Forschungsberichte gestützt, darunter eine Umfrage des Ponemon Institute aus dem Jahr 2017, in der 2018 der „Mangel an kompetenten internen Mitarbeitern“ bei allen anderen Arten von CISO-Cybersicherheitsbedenken an erster Stelle stand.
Diese kritische Lücke bei den Sicherheitskompetenzen wird wahrscheinlich nicht so schnell verschwinden, insbesondere in Märkten wie Australien, wo die besten Talente häufig ins Ausland abwandern und die Einwanderungsgesetze es zunehmend schwieriger machen, ausländische Sicherheitsexperten ins Land zu holen.
Eines der interessanten Dinge am australischen Fachkräftemangel ist, dass die mangelnde Fähigkeit, qualifizierte Experten zu rekrutieren, dazu geführt hat, dass der Aufbau von Fähigkeiten im Bereich der nationalen Sicherheit positiv in den Mittelpunkt gerückt ist. Wie Benjamin Franklin hätte sagen sollen: „Aus Widrigkeiten ergeben sich Chancen.“ Australische Regierungen, Bildungseinrichtungen, Unternehmen und Start-ups arbeiten an Programmen, um vor Ort eine Reihe von Sicherheitskompetenzen aufzubauen.
Ein Bereich, in dem der Mangel an Sicherheitskompetenzen definitiv zu Chancen geführt hat, ist die Entwicklung von Fähigkeiten zur sicheren Codierung innerhalb interner und ausgelagerter Entwicklungsteams. Angesichts der Tatsache, dass die meisten der weltweit größten Sicherheitslücken auf Codierungsfehler zurückzuführen sind und die durchschnittliche Sicherheitsverletzung 3,6 Millionen US-Dollar kostet, ist Softwaresicherheit definitiv ein erheblicher Teil der Sicherheitsherausforderung. Eine der größten (und steigenden) Ausgaben innerhalb der Budgets für Anwendungssicherheit entfällt auf die reaktive Identifizierung und Behebung der Anwendungssicherheit, wobei häufig Jahr für Jahr dieselben alten Fehler auftreten.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Es bedeutet nicht, Sicherheitsexperten durch Entwickler zu ersetzen, aber es bedeutet, Entwickler in Sicherheitsfragen einzubeziehen, Sicherheit zu einem Teil ihrer täglichen Denkweise zu machen und ihnen beizubringen, sicher zu programmieren, und zwar auf unterhaltsame, effektive und effiziente Weise. Das Ergebnis wird sein, dass knappes Sicherheitsexpertise besser darauf verwendet werden kann, die wirklich schwierigen, komplexen Fehler zu finden und zu beheben, als sich mit denselben alten Sicherheitslücken zu befassen.
Für einige CISOs mag das alles zu schön klingen, um wahr zu sein, oder zu schwierig zu implementieren, aber die Wahrheit ist, dass es keines dieser Dinge ist. Bei Secure Code Warrior haben immer mehr CISOs diese Gelegenheit genutzt und dabei das Arbeitsleben sowohl der Sicherheits- als auch der Entwicklungsteams verändert.
Eine Gruppe von CISOs, die weltweit die Initiative ergriffen haben, um unter ihren Softwareentwicklern eine starke Sicherheitsmentalität und -kompetenz zu entwickeln, sind die australischen Banken. Die australischen Banken waren bereits 2016 und 2017 die ersten Anwender dieses Ansatzes. Die sechs führenden Banken des Landes ermutigen ihre Entwicklerteams nun aktiv dazu, mithilfe unserer spielerischen Online-Lernumgebung im Selbststudium sichere Programmierkenntnisse zu erwerben. Die Banken überprüfen außerdem regelmäßig Echtzeitkennzahlen und Berichte, um die Stärken und Schwächen ihrer Entwickler und Teams zu überprüfen.
Der Ansatz führt zu greifbaren und positiven Ergebnissen, darunter eine Verringerung des Auftretens häufiger Sicherheitslücken, ein erhöhtes Sicherheitsbewusstsein der Entwickler und eine verbesserte Beziehung zwischen Sicherheits- und Entwicklungsteams. Unternehmen, die ihren Entwicklern das sichere Programmieren beibringen, werden den Druck auf ihr vorhandenes Sicherheitstalent verringern und ihr Risiko durch Softwareunsicherheiten verringern.
Wenn Sie ein CISO sind (oder einen kennen), der sich über die Sicherheitslage in Ihrem Unternehmen deprimiert fühlt, empfehle ich Ihnen, über einen einfachen Weg nachzudenken, um einige positive und greifbare Punkte zur Sicherheitsverbesserung zu erzielen. Ermöglichen Sie Ihren Entwicklern, sicheres Programmieren zu lernen, und zwar auf eine Weise, die relevant, positiv und unterhaltsam ist. Ihre Sicherheits- und Entwicklungsteams werden es Ihnen danken und Sie werden auch Kosten und Verzögerungen bei Produktinnovationen und -entwicklungen vermeiden. Ich wette, das wird den Weg für viele positive Sicherheitsgespräche ebnen _...
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Da ich diese Woche nach San Francisco reise, um an RSA teilzunehmen, bereite ich mich auf viele Diskussionen mit CISOs vor. Es mag Sie überraschen, aber das Gespräch mit vielen CISOs ist heutzutage nicht gerade erfreulich.
Sie wissen, dass die Sicherheitsrisiken zunehmen, aber viele sehen keine Gelegenheit für Sicherheitsverbesserungen, sondern glauben stattdessen, dass ihre Unternehmen mit größerer Wahrscheinlichkeit Opfer einer Datenschutzverletzung oder eines Cybersicherheitsangriffs werden als je zuvor.
Eines der häufigsten Themen in meinen regelmäßigen CISO-Gesprächen ist ihre Besorgnis über den problematischen Mangel an Cybersicherheitskompetenzen.
„Unser Sicherheitsteam ist nicht groß genug für die Größe unseres Ingenieurteams oder Unternehmens.“
„Unser Sicherheitsteam wird immer wieder von Unternehmen im Ausland abgeworben, die außergewöhnliche Gehaltspakete und die Möglichkeit bieten, zu arbeiten und andere Kontinente zu erkunden.“
„Unsere Sicherheitsexperten sind zu sehr mit der Brandbekämpfung beschäftigt, um ihre Fähigkeiten weiterzuentwickeln“.
Dieses Thema wird durch mehrere Forschungsberichte gestützt, darunter eine Umfrage des Ponemon Institute aus dem Jahr 2017, in der 2018 der „Mangel an kompetenten internen Mitarbeitern“ bei allen anderen Arten von CISO-Cybersicherheitsbedenken an erster Stelle stand.
Diese kritische Lücke bei den Sicherheitskompetenzen wird wahrscheinlich nicht so schnell verschwinden, insbesondere in Märkten wie Australien, wo die besten Talente häufig ins Ausland abwandern und die Einwanderungsgesetze es zunehmend schwieriger machen, ausländische Sicherheitsexperten ins Land zu holen.
Eines der interessanten Dinge am australischen Fachkräftemangel ist, dass die mangelnde Fähigkeit, qualifizierte Experten zu rekrutieren, dazu geführt hat, dass der Aufbau von Fähigkeiten im Bereich der nationalen Sicherheit positiv in den Mittelpunkt gerückt ist. Wie Benjamin Franklin hätte sagen sollen: „Aus Widrigkeiten ergeben sich Chancen.“ Australische Regierungen, Bildungseinrichtungen, Unternehmen und Start-ups arbeiten an Programmen, um vor Ort eine Reihe von Sicherheitskompetenzen aufzubauen.
Ein Bereich, in dem der Mangel an Sicherheitskompetenzen definitiv zu Chancen geführt hat, ist die Entwicklung von Fähigkeiten zur sicheren Codierung innerhalb interner und ausgelagerter Entwicklungsteams. Angesichts der Tatsache, dass die meisten der weltweit größten Sicherheitslücken auf Codierungsfehler zurückzuführen sind und die durchschnittliche Sicherheitsverletzung 3,6 Millionen US-Dollar kostet, ist Softwaresicherheit definitiv ein erheblicher Teil der Sicherheitsherausforderung. Eine der größten (und steigenden) Ausgaben innerhalb der Budgets für Anwendungssicherheit entfällt auf die reaktive Identifizierung und Behebung der Anwendungssicherheit, wobei häufig Jahr für Jahr dieselben alten Fehler auftreten.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Es bedeutet nicht, Sicherheitsexperten durch Entwickler zu ersetzen, aber es bedeutet, Entwickler in Sicherheitsfragen einzubeziehen, Sicherheit zu einem Teil ihrer täglichen Denkweise zu machen und ihnen beizubringen, sicher zu programmieren, und zwar auf unterhaltsame, effektive und effiziente Weise. Das Ergebnis wird sein, dass knappes Sicherheitsexpertise besser darauf verwendet werden kann, die wirklich schwierigen, komplexen Fehler zu finden und zu beheben, als sich mit denselben alten Sicherheitslücken zu befassen.
Für einige CISOs mag das alles zu schön klingen, um wahr zu sein, oder zu schwierig zu implementieren, aber die Wahrheit ist, dass es keines dieser Dinge ist. Bei Secure Code Warrior haben immer mehr CISOs diese Gelegenheit genutzt und dabei das Arbeitsleben sowohl der Sicherheits- als auch der Entwicklungsteams verändert.
Eine Gruppe von CISOs, die weltweit die Initiative ergriffen haben, um unter ihren Softwareentwicklern eine starke Sicherheitsmentalität und -kompetenz zu entwickeln, sind die australischen Banken. Die australischen Banken waren bereits 2016 und 2017 die ersten Anwender dieses Ansatzes. Die sechs führenden Banken des Landes ermutigen ihre Entwicklerteams nun aktiv dazu, mithilfe unserer spielerischen Online-Lernumgebung im Selbststudium sichere Programmierkenntnisse zu erwerben. Die Banken überprüfen außerdem regelmäßig Echtzeitkennzahlen und Berichte, um die Stärken und Schwächen ihrer Entwickler und Teams zu überprüfen.
Der Ansatz führt zu greifbaren und positiven Ergebnissen, darunter eine Verringerung des Auftretens häufiger Sicherheitslücken, ein erhöhtes Sicherheitsbewusstsein der Entwickler und eine verbesserte Beziehung zwischen Sicherheits- und Entwicklungsteams. Unternehmen, die ihren Entwicklern das sichere Programmieren beibringen, werden den Druck auf ihr vorhandenes Sicherheitstalent verringern und ihr Risiko durch Softwareunsicherheiten verringern.
Wenn Sie ein CISO sind (oder einen kennen), der sich über die Sicherheitslage in Ihrem Unternehmen deprimiert fühlt, empfehle ich Ihnen, über einen einfachen Weg nachzudenken, um einige positive und greifbare Punkte zur Sicherheitsverbesserung zu erzielen. Ermöglichen Sie Ihren Entwicklern, sicheres Programmieren zu lernen, und zwar auf eine Weise, die relevant, positiv und unterhaltsam ist. Ihre Sicherheits- und Entwicklungsteams werden es Ihnen danken und Sie werden auch Kosten und Verzögerungen bei Produktinnovationen und -entwicklungen vermeiden. Ich wette, das wird den Weg für viele positive Sicherheitsgespräche ebnen _...
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
%20(1).avif)
.avif)
