世界クラスのCISOが2023年に予算と取締役会の信頼をどのように獲得しているか
この記事は最初に掲載されました SC マガジン。ここで更新され、シンジケートされました。
CISOは、より多くの資産を保護し、より多くのコードを発送し、より大きな攻撃対象領域を減らし、それを急速に減少する財源で行うという、ますます困難な状況に陥っています。サイバーセキュリティはコストセンターと見なされていることは避けられない事実です。組織のセキュリティプログラムは、脅威アクターが明日の悲惨な見出しで取り上げるのを妨げるものですが、セキュリティリーダーは、執行機関にとって意味のある言葉で、部門全体のビジネス価値を売り込み、証明するためにより多くのことをしなければなりません。
世界トップクラスのCISOは、顧客の信頼とブランドの評判を高め、利用可能なあらゆるツールを活用して否定できない価値を創造する総合的なセキュリティプログラムを主導しています。まずは、一般的なセキュリティ上の落とし穴に対する戦略的かつ予防的なアプローチから始め、優れたセキュリティを維持するには時間、リソース、人材が足りないという考え方は捨て去ります。
役員室での議論を変えましょう。
現在の経済情勢では、支出額、雇用、およびビジネス目標への戦略的影響について精査を免れている企業や部門はほとんどありません。現代の企業が広範なサイバーセキュリティプログラムを必要とすることは当たり前のように思えるかもしれませんが、それは組織にとって多大なコストであり、投資収益率の観点から正当化するのは簡単ではありません。
経営幹部のリーダーや取締役会の利害関係者は、投資サイバーセキュリティイニシアチブから予測される成果を、スプレッドシートの数字以外にも意味のある言葉で明確に理解する必要があります。CISOは技術的な知識と理解のレベルが異なるため、CISOはわかりやすいメッセージで自分の主張を伝える努力をしなければなりません。クラス最高の例を示すには、プログラムの規模、保護が必要なもの、有効化する必要があるのは誰なのかを説明してください。攻撃は増加傾向にあり、 しかし、予算が追いつかないそして、善戦を戦うには、そのメリットを正当化するための口頭でのキャンペーンが始まります。
業種に関係なく、どの企業も急速にテクノロジー企業になりつつあると長い間言われてきました。ほとんどの組織ではデジタルファーストのアプローチが当たり前となっていますが、これは攻撃対象領域が非常に大きく、その時点で可能な限りの保護を必要としています。セキュリティリーダーは多くの役割を担っていますが、(手遅れになるまで)見過ごされがちなのは、本質的に顧客の信頼を守る側であるということです。これは価値提案としていくら強調してもしすぎることはなく、営業やマーケティングの目標と同じくらい重要です。
セキュリティに対する予防的アプローチの価値を証明してください。
現在のサイバーセキュリティ統計 育毛しているただし、FUDでプレイしてスケアモンガーを行うことは、より多くの予算を獲得することになると、通常は無駄な戦術です。企業の経営陣の中で、サイバーセキュリティは優先事項ではないと主張する人はほとんどいませんが、より良い成果を得るために既存のリソースを活用する進取的な戦略が提唱されれば、予算増額を受け入れる傾向がはるかに高くなります。
ニュースター国際安全保障理事会の最近の調査によると、 わずか 50% の企業 既知のサイバーセキュリティ問題に取り組むのに十分な予算があると感じています。そして、グローバルなサイバー攻撃では 38% 増加しています 2021年から2022年の間に、これは平均的なCISOにとってさらに困難な道のりとなる可能性があります。しかし、真の意味で世界トップクラスのセキュリティリーダーは、こうした課題を乗り越え、逆境を乗り越えてイノベーションを起こすことができます。
多くのシナリオでは、予防は治療よりも簡単でわかりやすく、サイバーセキュリティも例外ではありません。総合的なセキュリティ・プログラムは、事後対応型の対策や脆弱性管理をはるかに超えるものでなければなりません。 多くの CISO が懸念する上位 3 つに、開発者がその運動の不可欠な部分であることは理にかなっています。一般的なセキュリティバグに正面から取り組むための実践的な教育が必要です。そうすることで、これらの問題を根本から排除し、そもそも本番環境に移行できないようにすることができます。私たちは今、低品質で安全でないコードの言い訳を続けるわけにはいきません。開発コホートのスキルアップは、コードレベルの脆弱性に対する最も費用対効果が高く強力な救済策です。
CISOが既存の予算を維持するために戦うことは極めて重要であり、特に開発者にとって、役割ベースのセキュリティスキル向上のメリットを詳しく説明することは、扱いにくいセキュリティ技術スタックに次の「特効薬」を追加するよりも早い成果です。
セキュリティはブランドの基本の一部であるべきです。
ほとんどのCISOは、マーケティングに情熱を傾けるためにその役割を果たしたわけではありませんが、少なくとも財源を持っている人に自分の主張を伝える際には、この分野に取り組むべき分野の1つです。
サイバーセキュリティプログラムが顧客の信頼とブランドロイヤルティに与える影響は、いくら強調してもしすぎることはありません。また、大規模なセキュリティ侵害は、聖書のような規模の大量流出を招きかねません。これとは対照的に、厳格なセキュリティ慣行をコアブランドバリューと整合させることで、データのプライバシーと保護は単に最優先事項ではなく、顧客が信頼できるものであるという明確なメッセージを送ることができます。
現代のCISOが時間をかけてセキュリティ戦略とポリシーの競争上の優位性を強調することは、顧客からの好意的な感情と信頼の継続につながるため、極めて重要です。事後対応型のセキュリティだけでは同じ効果が得られず、利用可能なあらゆるリソースで特権資産を保護することに焦点を当てたバランスの取れたアプローチが究極の差別化要因となり得ます。
これ以上言い訳の余地はありませんが、CISOが真に変革をもたらすセキュリティ戦略のための十分な資金調達を求める際に、説得力のある理由はたくさんあります。
CISOは、より多くの資産を保護し、より多くのコードを発送し、より大きな攻撃対象領域を減らし、それを急速に減少する財源で行うという、ますます困難な状況に陥っています。サイバーセキュリティはコストセンターと見なされていることは避けられない事実です。組織のセキュリティプログラムは、脅威アクターが明日の悲惨な見出しで取り上げるのを妨げるものですが、セキュリティリーダーは、執行機関にとって意味のある言葉で、部門全体のビジネス価値を売り込み、証明するためにより多くのことをしなければなりません。
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
마티아스는 15년 이상의 소프트웨어 보안 실무 경험을 가진 연구자이자 개발자입니다. 포티파이 소프트웨어(Fortify Software)와 자신의 회사인 센세이 시큐리티(Sensei Security) 등 기업을 대상으로 솔루션을 개발해 왔습니다. 마티아스는 경력 전반에 걸쳐 여러 애플리케이션 보안 연구 프로젝트를 주도했으며, 이는 상용 제품으로 이어져 10건 이상의 특허를 취득했습니다.업무 외 시간에는 마티아스는 고급 애플리케이션 보안 교육 과정의 강사로 활동하며, RSA 컨퍼런스, 블랙햇, 디프콘, BSIMM, OWASP 앱섹, 브루콘 등 글로벌 컨퍼런스에서 정기적으로 발표를 진행하고 있습니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 그곳에서 애플리케이션의 내부 동작을 숨기기 위한 프로그램 난독화를 통한 애플리케이션 보안을 연구했습니다.
この記事は最初に掲載されました SC マガジン。ここで更新され、シンジケートされました。
CISOは、より多くの資産を保護し、より多くのコードを発送し、より大きな攻撃対象領域を減らし、それを急速に減少する財源で行うという、ますます困難な状況に陥っています。サイバーセキュリティはコストセンターと見なされていることは避けられない事実です。組織のセキュリティプログラムは、脅威アクターが明日の悲惨な見出しで取り上げるのを妨げるものですが、セキュリティリーダーは、執行機関にとって意味のある言葉で、部門全体のビジネス価値を売り込み、証明するためにより多くのことをしなければなりません。
世界トップクラスのCISOは、顧客の信頼とブランドの評判を高め、利用可能なあらゆるツールを活用して否定できない価値を創造する総合的なセキュリティプログラムを主導しています。まずは、一般的なセキュリティ上の落とし穴に対する戦略的かつ予防的なアプローチから始め、優れたセキュリティを維持するには時間、リソース、人材が足りないという考え方は捨て去ります。
役員室での議論を変えましょう。
現在の経済情勢では、支出額、雇用、およびビジネス目標への戦略的影響について精査を免れている企業や部門はほとんどありません。現代の企業が広範なサイバーセキュリティプログラムを必要とすることは当たり前のように思えるかもしれませんが、それは組織にとって多大なコストであり、投資収益率の観点から正当化するのは簡単ではありません。
経営幹部のリーダーや取締役会の利害関係者は、投資サイバーセキュリティイニシアチブから予測される成果を、スプレッドシートの数字以外にも意味のある言葉で明確に理解する必要があります。CISOは技術的な知識と理解のレベルが異なるため、CISOはわかりやすいメッセージで自分の主張を伝える努力をしなければなりません。クラス最高の例を示すには、プログラムの規模、保護が必要なもの、有効化する必要があるのは誰なのかを説明してください。攻撃は増加傾向にあり、 しかし、予算が追いつかないそして、善戦を戦うには、そのメリットを正当化するための口頭でのキャンペーンが始まります。
業種に関係なく、どの企業も急速にテクノロジー企業になりつつあると長い間言われてきました。ほとんどの組織ではデジタルファーストのアプローチが当たり前となっていますが、これは攻撃対象領域が非常に大きく、その時点で可能な限りの保護を必要としています。セキュリティリーダーは多くの役割を担っていますが、(手遅れになるまで)見過ごされがちなのは、本質的に顧客の信頼を守る側であるということです。これは価値提案としていくら強調してもしすぎることはなく、営業やマーケティングの目標と同じくらい重要です。
セキュリティに対する予防的アプローチの価値を証明してください。
現在のサイバーセキュリティ統計 育毛しているただし、FUDでプレイしてスケアモンガーを行うことは、より多くの予算を獲得することになると、通常は無駄な戦術です。企業の経営陣の中で、サイバーセキュリティは優先事項ではないと主張する人はほとんどいませんが、より良い成果を得るために既存のリソースを活用する進取的な戦略が提唱されれば、予算増額を受け入れる傾向がはるかに高くなります。
ニュースター国際安全保障理事会の最近の調査によると、 わずか 50% の企業 既知のサイバーセキュリティ問題に取り組むのに十分な予算があると感じています。そして、グローバルなサイバー攻撃では 38% 増加しています 2021年から2022年の間に、これは平均的なCISOにとってさらに困難な道のりとなる可能性があります。しかし、真の意味で世界トップクラスのセキュリティリーダーは、こうした課題を乗り越え、逆境を乗り越えてイノベーションを起こすことができます。
多くのシナリオでは、予防は治療よりも簡単でわかりやすく、サイバーセキュリティも例外ではありません。総合的なセキュリティ・プログラムは、事後対応型の対策や脆弱性管理をはるかに超えるものでなければなりません。 多くの CISO が懸念する上位 3 つに、開発者がその運動の不可欠な部分であることは理にかなっています。一般的なセキュリティバグに正面から取り組むための実践的な教育が必要です。そうすることで、これらの問題を根本から排除し、そもそも本番環境に移行できないようにすることができます。私たちは今、低品質で安全でないコードの言い訳を続けるわけにはいきません。開発コホートのスキルアップは、コードレベルの脆弱性に対する最も費用対効果が高く強力な救済策です。
CISOが既存の予算を維持するために戦うことは極めて重要であり、特に開発者にとって、役割ベースのセキュリティスキル向上のメリットを詳しく説明することは、扱いにくいセキュリティ技術スタックに次の「特効薬」を追加するよりも早い成果です。
セキュリティはブランドの基本の一部であるべきです。
ほとんどのCISOは、マーケティングに情熱を傾けるためにその役割を果たしたわけではありませんが、少なくとも財源を持っている人に自分の主張を伝える際には、この分野に取り組むべき分野の1つです。
サイバーセキュリティプログラムが顧客の信頼とブランドロイヤルティに与える影響は、いくら強調してもしすぎることはありません。また、大規模なセキュリティ侵害は、聖書のような規模の大量流出を招きかねません。これとは対照的に、厳格なセキュリティ慣行をコアブランドバリューと整合させることで、データのプライバシーと保護は単に最優先事項ではなく、顧客が信頼できるものであるという明確なメッセージを送ることができます。
現代のCISOが時間をかけてセキュリティ戦略とポリシーの競争上の優位性を強調することは、顧客からの好意的な感情と信頼の継続につながるため、極めて重要です。事後対応型のセキュリティだけでは同じ効果が得られず、利用可能なあらゆるリソースで特権資産を保護することに焦点を当てたバランスの取れたアプローチが究極の差別化要因となり得ます。
これ以上言い訳の余地はありませんが、CISOが真に変革をもたらすセキュリティ戦略のための十分な資金調達を求める際に、説得力のある理由はたくさんあります。
この記事は最初に掲載されました SC マガジン。ここで更新され、シンジケートされました。
CISOは、より多くの資産を保護し、より多くのコードを発送し、より大きな攻撃対象領域を減らし、それを急速に減少する財源で行うという、ますます困難な状況に陥っています。サイバーセキュリティはコストセンターと見なされていることは避けられない事実です。組織のセキュリティプログラムは、脅威アクターが明日の悲惨な見出しで取り上げるのを妨げるものですが、セキュリティリーダーは、執行機関にとって意味のある言葉で、部門全体のビジネス価値を売り込み、証明するためにより多くのことをしなければなりません。
世界トップクラスのCISOは、顧客の信頼とブランドの評判を高め、利用可能なあらゆるツールを活用して否定できない価値を創造する総合的なセキュリティプログラムを主導しています。まずは、一般的なセキュリティ上の落とし穴に対する戦略的かつ予防的なアプローチから始め、優れたセキュリティを維持するには時間、リソース、人材が足りないという考え方は捨て去ります。
役員室での議論を変えましょう。
現在の経済情勢では、支出額、雇用、およびビジネス目標への戦略的影響について精査を免れている企業や部門はほとんどありません。現代の企業が広範なサイバーセキュリティプログラムを必要とすることは当たり前のように思えるかもしれませんが、それは組織にとって多大なコストであり、投資収益率の観点から正当化するのは簡単ではありません。
経営幹部のリーダーや取締役会の利害関係者は、投資サイバーセキュリティイニシアチブから予測される成果を、スプレッドシートの数字以外にも意味のある言葉で明確に理解する必要があります。CISOは技術的な知識と理解のレベルが異なるため、CISOはわかりやすいメッセージで自分の主張を伝える努力をしなければなりません。クラス最高の例を示すには、プログラムの規模、保護が必要なもの、有効化する必要があるのは誰なのかを説明してください。攻撃は増加傾向にあり、 しかし、予算が追いつかないそして、善戦を戦うには、そのメリットを正当化するための口頭でのキャンペーンが始まります。
業種に関係なく、どの企業も急速にテクノロジー企業になりつつあると長い間言われてきました。ほとんどの組織ではデジタルファーストのアプローチが当たり前となっていますが、これは攻撃対象領域が非常に大きく、その時点で可能な限りの保護を必要としています。セキュリティリーダーは多くの役割を担っていますが、(手遅れになるまで)見過ごされがちなのは、本質的に顧客の信頼を守る側であるということです。これは価値提案としていくら強調してもしすぎることはなく、営業やマーケティングの目標と同じくらい重要です。
セキュリティに対する予防的アプローチの価値を証明してください。
現在のサイバーセキュリティ統計 育毛しているただし、FUDでプレイしてスケアモンガーを行うことは、より多くの予算を獲得することになると、通常は無駄な戦術です。企業の経営陣の中で、サイバーセキュリティは優先事項ではないと主張する人はほとんどいませんが、より良い成果を得るために既存のリソースを活用する進取的な戦略が提唱されれば、予算増額を受け入れる傾向がはるかに高くなります。
ニュースター国際安全保障理事会の最近の調査によると、 わずか 50% の企業 既知のサイバーセキュリティ問題に取り組むのに十分な予算があると感じています。そして、グローバルなサイバー攻撃では 38% 増加しています 2021年から2022年の間に、これは平均的なCISOにとってさらに困難な道のりとなる可能性があります。しかし、真の意味で世界トップクラスのセキュリティリーダーは、こうした課題を乗り越え、逆境を乗り越えてイノベーションを起こすことができます。
多くのシナリオでは、予防は治療よりも簡単でわかりやすく、サイバーセキュリティも例外ではありません。総合的なセキュリティ・プログラムは、事後対応型の対策や脆弱性管理をはるかに超えるものでなければなりません。 多くの CISO が懸念する上位 3 つに、開発者がその運動の不可欠な部分であることは理にかなっています。一般的なセキュリティバグに正面から取り組むための実践的な教育が必要です。そうすることで、これらの問題を根本から排除し、そもそも本番環境に移行できないようにすることができます。私たちは今、低品質で安全でないコードの言い訳を続けるわけにはいきません。開発コホートのスキルアップは、コードレベルの脆弱性に対する最も費用対効果が高く強力な救済策です。
CISOが既存の予算を維持するために戦うことは極めて重要であり、特に開発者にとって、役割ベースのセキュリティスキル向上のメリットを詳しく説明することは、扱いにくいセキュリティ技術スタックに次の「特効薬」を追加するよりも早い成果です。
セキュリティはブランドの基本の一部であるべきです。
ほとんどのCISOは、マーケティングに情熱を傾けるためにその役割を果たしたわけではありませんが、少なくとも財源を持っている人に自分の主張を伝える際には、この分野に取り組むべき分野の1つです。
サイバーセキュリティプログラムが顧客の信頼とブランドロイヤルティに与える影響は、いくら強調してもしすぎることはありません。また、大規模なセキュリティ侵害は、聖書のような規模の大量流出を招きかねません。これとは対照的に、厳格なセキュリティ慣行をコアブランドバリューと整合させることで、データのプライバシーと保護は単に最優先事項ではなく、顧客が信頼できるものであるという明確なメッセージを送ることができます。
現代のCISOが時間をかけてセキュリティ戦略とポリシーの競争上の優位性を強調することは、顧客からの好意的な感情と信頼の継続につながるため、極めて重要です。事後対応型のセキュリティだけでは同じ効果が得られず、利用可能なあらゆるリソースで特権資産を保護することに焦点を当てたバランスの取れたアプローチが究極の差別化要因となり得ます。
これ以上言い訳の余地はありませんが、CISOが真に変革をもたらすセキュリティ戦略のための十分な資金調達を求める際に、説得力のある理由はたくさんあります。
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
마티아스는 15년 이상의 소프트웨어 보안 실무 경험을 가진 연구자이자 개발자입니다. 포티파이 소프트웨어(Fortify Software)와 자신의 회사인 센세이 시큐리티(Sensei Security) 등 기업을 대상으로 솔루션을 개발해 왔습니다. 마티아스는 경력 전반에 걸쳐 여러 애플리케이션 보안 연구 프로젝트를 주도했으며, 이는 상용 제품으로 이어져 10건 이상의 특허를 취득했습니다.업무 외 시간에는 마티아스는 고급 애플리케이션 보안 교육 과정의 강사로 활동하며, RSA 컨퍼런스, 블랙햇, 디프콘, BSIMM, OWASP 앱섹, 브루콘 등 글로벌 컨퍼런스에서 정기적으로 발표를 진행하고 있습니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 그곳에서 애플리케이션의 내부 동작을 숨기기 위한 프로그램 난독화를 통한 애플리케이션 보안을 연구했습니다.
この記事は最初に掲載されました SC マガジン。ここで更新され、シンジケートされました。
CISOは、より多くの資産を保護し、より多くのコードを発送し、より大きな攻撃対象領域を減らし、それを急速に減少する財源で行うという、ますます困難な状況に陥っています。サイバーセキュリティはコストセンターと見なされていることは避けられない事実です。組織のセキュリティプログラムは、脅威アクターが明日の悲惨な見出しで取り上げるのを妨げるものですが、セキュリティリーダーは、執行機関にとって意味のある言葉で、部門全体のビジネス価値を売り込み、証明するためにより多くのことをしなければなりません。
世界トップクラスのCISOは、顧客の信頼とブランドの評判を高め、利用可能なあらゆるツールを活用して否定できない価値を創造する総合的なセキュリティプログラムを主導しています。まずは、一般的なセキュリティ上の落とし穴に対する戦略的かつ予防的なアプローチから始め、優れたセキュリティを維持するには時間、リソース、人材が足りないという考え方は捨て去ります。
役員室での議論を変えましょう。
現在の経済情勢では、支出額、雇用、およびビジネス目標への戦略的影響について精査を免れている企業や部門はほとんどありません。現代の企業が広範なサイバーセキュリティプログラムを必要とすることは当たり前のように思えるかもしれませんが、それは組織にとって多大なコストであり、投資収益率の観点から正当化するのは簡単ではありません。
経営幹部のリーダーや取締役会の利害関係者は、投資サイバーセキュリティイニシアチブから予測される成果を、スプレッドシートの数字以外にも意味のある言葉で明確に理解する必要があります。CISOは技術的な知識と理解のレベルが異なるため、CISOはわかりやすいメッセージで自分の主張を伝える努力をしなければなりません。クラス最高の例を示すには、プログラムの規模、保護が必要なもの、有効化する必要があるのは誰なのかを説明してください。攻撃は増加傾向にあり、 しかし、予算が追いつかないそして、善戦を戦うには、そのメリットを正当化するための口頭でのキャンペーンが始まります。
業種に関係なく、どの企業も急速にテクノロジー企業になりつつあると長い間言われてきました。ほとんどの組織ではデジタルファーストのアプローチが当たり前となっていますが、これは攻撃対象領域が非常に大きく、その時点で可能な限りの保護を必要としています。セキュリティリーダーは多くの役割を担っていますが、(手遅れになるまで)見過ごされがちなのは、本質的に顧客の信頼を守る側であるということです。これは価値提案としていくら強調してもしすぎることはなく、営業やマーケティングの目標と同じくらい重要です。
セキュリティに対する予防的アプローチの価値を証明してください。
現在のサイバーセキュリティ統計 育毛しているただし、FUDでプレイしてスケアモンガーを行うことは、より多くの予算を獲得することになると、通常は無駄な戦術です。企業の経営陣の中で、サイバーセキュリティは優先事項ではないと主張する人はほとんどいませんが、より良い成果を得るために既存のリソースを活用する進取的な戦略が提唱されれば、予算増額を受け入れる傾向がはるかに高くなります。
ニュースター国際安全保障理事会の最近の調査によると、 わずか 50% の企業 既知のサイバーセキュリティ問題に取り組むのに十分な予算があると感じています。そして、グローバルなサイバー攻撃では 38% 増加しています 2021年から2022年の間に、これは平均的なCISOにとってさらに困難な道のりとなる可能性があります。しかし、真の意味で世界トップクラスのセキュリティリーダーは、こうした課題を乗り越え、逆境を乗り越えてイノベーションを起こすことができます。
多くのシナリオでは、予防は治療よりも簡単でわかりやすく、サイバーセキュリティも例外ではありません。総合的なセキュリティ・プログラムは、事後対応型の対策や脆弱性管理をはるかに超えるものでなければなりません。 多くの CISO が懸念する上位 3 つに、開発者がその運動の不可欠な部分であることは理にかなっています。一般的なセキュリティバグに正面から取り組むための実践的な教育が必要です。そうすることで、これらの問題を根本から排除し、そもそも本番環境に移行できないようにすることができます。私たちは今、低品質で安全でないコードの言い訳を続けるわけにはいきません。開発コホートのスキルアップは、コードレベルの脆弱性に対する最も費用対効果が高く強力な救済策です。
CISOが既存の予算を維持するために戦うことは極めて重要であり、特に開発者にとって、役割ベースのセキュリティスキル向上のメリットを詳しく説明することは、扱いにくいセキュリティ技術スタックに次の「特効薬」を追加するよりも早い成果です。
セキュリティはブランドの基本の一部であるべきです。
ほとんどのCISOは、マーケティングに情熱を傾けるためにその役割を果たしたわけではありませんが、少なくとも財源を持っている人に自分の主張を伝える際には、この分野に取り組むべき分野の1つです。
サイバーセキュリティプログラムが顧客の信頼とブランドロイヤルティに与える影響は、いくら強調してもしすぎることはありません。また、大規模なセキュリティ侵害は、聖書のような規模の大量流出を招きかねません。これとは対照的に、厳格なセキュリティ慣行をコアブランドバリューと整合させることで、データのプライバシーと保護は単に最優先事項ではなく、顧客が信頼できるものであるという明確なメッセージを送ることができます。
現代のCISOが時間をかけてセキュリティ戦略とポリシーの競争上の優位性を強調することは、顧客からの好意的な感情と信頼の継続につながるため、極めて重要です。事後対応型のセキュリティだけでは同じ効果が得られず、利用可能なあらゆるリソースで特権資産を保護することに焦点を当てたバランスの取れたアプローチが究極の差別化要因となり得ます。
これ以上言い訳の余地はありませんが、CISOが真に変革をもたらすセキュリティ戦略のための十分な資金調達を求める際に、説得力のある理由はたくさんあります。
목차
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약[다운로드]
%20(1).avif)
.avif)
