'코드 게임'이 IAG Group을 보다 안전한 코딩 미래로 이끄는 방법
IAG Group은 아시아 태평양 지역의 여러 주요 보험 회사의 이름을 딴 이름으로, 수백만 고객을 대상으로 연간 약 114억 호주 달러의 보험료를 부담합니다.비앙카 워스는 IAG 그룹의 기업 보안 교육 및 인식 관리자입니다.개발 팀 내에서 엄격한 보안 인식과 관행의 필요성에 매우 잘 적응한 그녀는 팀이 중요한 보안 코딩 기술을 배울 수 있는 진정으로 혁신적이고 최적의 환경을 만드는 데 착수했습니다.
엔터: 게임 오브 코드
더 챌린지
개발자들은 종종 시간이 많이 걸리고 결과물이 여러 개 있고 프로젝트가 난무하기 마련입니다.그러나 보안 모범 사례를 최신 상태로 유지하는 것은 모든 조직에 가장 중요합니다. 해커로부터 보호하기 위해 수백만 개의 민감한 고객 데이터 프로필을 보유한 조직은 말할 것도 없습니다.Bianca와 그녀의 팀은 사이버 보안 이니셔티브를 더욱 강력하게 만들기 위한 경로에서 명확한 목표를 세웠습니다.그들은 INIAG에서 개발한 애플리케이션의 공격 노출 영역을 최소화하는 것이 최우선 과제라고 판단했으며, 개발자들에게 중요하고 위험도가 높은 취약점을 식별하고 수정하도록 교육함으로써 이에 접근하기로 했습니다.긴 보안 코딩 교육 과정은 분명 존재하지만, 힘들고 지루할 수 있으며, 납품 일정이 엄격한 개발 프로젝트에서 핵심 인력을 빼앗아 비즈니스 전반에 압력을 가할 수 있습니다.워크로드와 운영에 미치는 영향을 최소화하면서 개발 팀의 기술을 빠르게 향상시켜야 할 필요성이 대두되었습니다.호주와 뉴질랜드 전역의 개발자들이 모두 같지 않은 시스템을 개발했기 때문에 이는 결코 쉬운 일이 아니었습니다.
“올해 저는 소스 코드를 변경하여 SQL 인젝션 취약점을 제거했습니다.이러한 점을 인식한 것에 대해 저는 Game of Codes의 공로를 인정합니다.보안 코딩을 최우선으로 생각하는 것만으로도 도움이 됩니다.경쟁은 사람들이 최선을 다하도록 유도하는 좋은 방법입니다... 솔직히 말해서 보안은 모든 사람이 가장 좋아하는 주제가 아니기 때문에 경쟁은 사람들을 참여시킬 수 있는 좋은 방법이기 때문입니다.” R, IAG 개발자
구현 과정
Bianca는 팀 및 Secure Code Warrior와 협력하여 토너먼트를 구현하고 사내 개발자의 기술을 홍보하기 위한 교육을 실시하면서 게임화된 교육 경험을 출시하는 전략을 세웠습니다.이를 위해서는 건전한 커뮤니케이션 전략을 세우고 직원들이 완전히 새로운 플랫폼을 채택하고 잠재력을 최대한 발휘할 수 있도록 하는 다양한 동기와 성격을 충족시키는 것이 필수적이었습니다.
“우리는 직원 및 주요 이해관계자에게 알아야 할 사항, 핵심 메시지, 이에 대응하도록 어떤 인센티브를 제공할 것인지로 구성된 커뮤니케이션 계획을 세웠습니다.대부분의 사람들은 게임화된 경험을 정말 즐깁니다.그것은 단지 그들의 성격, 동기, 그리고 그들을 움직이게 하는 원동력에 달려 있습니다.그래서 우리는 완전히 다른 범위의 사람들에게 동기를 부여하려고 노력합니다.어떤 이들에게는 상을 좋아하고, 어떤 이들에게는 성취 측면 자체만으로도 충분한 요인이 됩니다.” 그녀가 말했다
Bianca와 IAG는 Secure Code Warrior의 게임화된 학습 플랫폼을 전문적으로 선보였습니다. 이를 통해 토너먼트를 '코드 게임 (Game of Codes) '으로 알려진 재미있는 대회 경험으로 탈바꿈시켰습니다. 직원들은 중세 테마 하우스 (브랜드 플레이어 상품 포함) 에 배치되어 HBO에서 제작한 이름에 걸맞은 전투를 벌였습니다.
이 토너먼트는 국제 무대에도 진출했으며 곧 호주 대 뉴질랜드 매치업이 시작될 예정입니다.이를 통해 IAG는 양국을 통틀어 최고의 보안 챔피언을 선정할 수 있을 뿐만 아니라 팀들이 함께 기술을 연마할 수 있는 기회를 얻을 수 있습니다.
그 결과
게임 오브 코드는 사실상 전문 교육 프로그램입니다.재미있는 대화형 토너먼트로 출시되어 직원들이 다양한 방식으로 참여할 수 있었지만, 이 연습의 핵심 실용성은 여전했습니다. 바로 IAG 개발 애플리케이션의 고위험 취약성을 식별하고 방지하는 데 필요한 기술을 개발자에게 제공하는 것이었습니다.
IAG는 개발자와 보안 팀 모두 보안을 최우선으로 생각하는 사고방식으로 작업하고 처음부터 취약점을 식별하는 데 그치지 않고 수정할 수 있도록 함으로써 비용이 많이 드는 침투 테스트 연습을 줄이고 이를 수행하는 팀의 부담을 줄일 수 있을 것으로 예상합니다.
이러한 핵심 역량이 지속적으로 개발되고 있을 뿐만 아니라 Game of Codes는 관계 구축에도 도움이 되어 관련 팀 간의 동지애와 우호적인 경쟁력을 심어주는 동시에 포인트 스코어링 토너먼트 환경에서 측정된 개인들이 자신의 보안 코딩 능력에 대해 더 자신감을 가질 수 있도록 도왔습니다.
Bianca는 이 프로그램에 대한 내부 지원이 엄청나며 경영진으로부터 긍정적인 반응을 얻었다고 말했습니다.이는 또한 앰배서더 프로그램으로 이어졌는데, 이 프로그램에서는 조직 내에서 이 프로그램을 홍보하고 보안을 지키고자 하는 사람들이 참여할 수 있게 되었습니다.
“일부 개발자들에게는 환상적인 경험이었으며 그들의 기술을 훌륭하게 홍보할 수 있었습니다.개발자들은 이를 통해 자신의 업무에서도 혜택을 얻고 있으며, 이는 매우 중요한 사실입니다.”
Game of Codes는 단순히 '단순한 게임'이라거나 부서 관리자가 규정 준수 교육을 더 즐겁게 수강할 수 있는 방법과는 거리가 멀고 유지율이 높고 참여도가 높은 솔루션을 제공합니다. 이는 보안 초보자를 신속하게 보안 챔피언으로 탈바꿈시킬 수 있습니다. 이는 대규모 보안 침해 위험을 최소화하는 데 필수적입니다.
그리고 비앙카 자신의 궁극적인 조언은 다음과 같습니다.
“어떤 프로그램을 출시하고 사람들이 그냥 사용하기를 기대한다면 효과가 없을 것입니다.이를 중심으로 변화된 행동을 시작하고 동기를 부여하는 프로그램을 설계해야 합니다.우리가 만든 것은 기본적으로 보안에 초점을 맞춘 개발자 변경 관리 프로그램이었습니다.”
“Game of Codes 교육 세션을 마친 후 보안에 더 관심을 갖고 자동화 테스트를 만들 때 보안에 대해 생각하게 되었습니다. 저는 애자일 팀에서 선임 테스터로 일하고 있는데 이러한 교육 세션을 통해 보안 테스트에 대해 더 많이 배우고 이를 가능한 전문화라고 생각하게 되었습니다.” A, IAG 시니어 테스터
요약 정보
- IAG는 게임화된 학습 외에도 개발자 채용 시 Secure Code Warrior를 기술 테스트 도구로 사용하고 있습니다.
- 현재 개발 팀의 100% 를 대상으로 프로그램을 배포하고 있으며, 55% 가 이미 시스템에서 활동하고 있습니다.
- 이들은 시간이 지남에 따라 위험을 최소화하고 비용을 절감하는 데 있어 프로그램의 성공 여부를 측정할 수 있는 주요 내부 지표 세트를 개발했습니다.
IAG 그룹은 많은 주요 보험 회사의 명칭입니다. 아시아 태평양 지역의 기업, 보험 계약 수백만 명의 고객이 약 114억 AUD에 달합니다. 연간 보험료로.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
IAG Group은 아시아 태평양 지역의 여러 주요 보험 회사의 이름을 딴 이름으로, 수백만 고객을 대상으로 연간 약 114억 호주 달러의 보험료를 부담합니다.비앙카 워스는 IAG 그룹의 기업 보안 교육 및 인식 관리자입니다.개발 팀 내에서 엄격한 보안 인식과 관행의 필요성에 매우 잘 적응한 그녀는 팀이 중요한 보안 코딩 기술을 배울 수 있는 진정으로 혁신적이고 최적의 환경을 만드는 데 착수했습니다.
엔터: 게임 오브 코드
더 챌린지
개발자들은 종종 시간이 많이 걸리고 결과물이 여러 개 있고 프로젝트가 난무하기 마련입니다.그러나 보안 모범 사례를 최신 상태로 유지하는 것은 모든 조직에 가장 중요합니다. 해커로부터 보호하기 위해 수백만 개의 민감한 고객 데이터 프로필을 보유한 조직은 말할 것도 없습니다.Bianca와 그녀의 팀은 사이버 보안 이니셔티브를 더욱 강력하게 만들기 위한 경로에서 명확한 목표를 세웠습니다.그들은 INIAG에서 개발한 애플리케이션의 공격 노출 영역을 최소화하는 것이 최우선 과제라고 판단했으며, 개발자들에게 중요하고 위험도가 높은 취약점을 식별하고 수정하도록 교육함으로써 이에 접근하기로 했습니다.긴 보안 코딩 교육 과정은 분명 존재하지만, 힘들고 지루할 수 있으며, 납품 일정이 엄격한 개발 프로젝트에서 핵심 인력을 빼앗아 비즈니스 전반에 압력을 가할 수 있습니다.워크로드와 운영에 미치는 영향을 최소화하면서 개발 팀의 기술을 빠르게 향상시켜야 할 필요성이 대두되었습니다.호주와 뉴질랜드 전역의 개발자들이 모두 같지 않은 시스템을 개발했기 때문에 이는 결코 쉬운 일이 아니었습니다.
“올해 저는 소스 코드를 변경하여 SQL 인젝션 취약점을 제거했습니다.이러한 점을 인식한 것에 대해 저는 Game of Codes의 공로를 인정합니다.보안 코딩을 최우선으로 생각하는 것만으로도 도움이 됩니다.경쟁은 사람들이 최선을 다하도록 유도하는 좋은 방법입니다... 솔직히 말해서 보안은 모든 사람이 가장 좋아하는 주제가 아니기 때문에 경쟁은 사람들을 참여시킬 수 있는 좋은 방법이기 때문입니다.” R, IAG 개발자
구현 과정
Bianca는 팀 및 Secure Code Warrior와 협력하여 토너먼트를 구현하고 사내 개발자의 기술을 홍보하기 위한 교육을 실시하면서 게임화된 교육 경험을 출시하는 전략을 세웠습니다.이를 위해서는 건전한 커뮤니케이션 전략을 세우고 직원들이 완전히 새로운 플랫폼을 채택하고 잠재력을 최대한 발휘할 수 있도록 하는 다양한 동기와 성격을 충족시키는 것이 필수적이었습니다.
“우리는 직원 및 주요 이해관계자에게 알아야 할 사항, 핵심 메시지, 이에 대응하도록 어떤 인센티브를 제공할 것인지로 구성된 커뮤니케이션 계획을 세웠습니다.대부분의 사람들은 게임화된 경험을 정말 즐깁니다.그것은 단지 그들의 성격, 동기, 그리고 그들을 움직이게 하는 원동력에 달려 있습니다.그래서 우리는 완전히 다른 범위의 사람들에게 동기를 부여하려고 노력합니다.어떤 이들에게는 상을 좋아하고, 어떤 이들에게는 성취 측면 자체만으로도 충분한 요인이 됩니다.” 그녀가 말했다
Bianca와 IAG는 Secure Code Warrior의 게임화된 학습 플랫폼을 전문적으로 선보였습니다. 이를 통해 토너먼트를 '코드 게임 (Game of Codes) '으로 알려진 재미있는 대회 경험으로 탈바꿈시켰습니다. 직원들은 중세 테마 하우스 (브랜드 플레이어 상품 포함) 에 배치되어 HBO에서 제작한 이름에 걸맞은 전투를 벌였습니다.
이 토너먼트는 국제 무대에도 진출했으며 곧 호주 대 뉴질랜드 매치업이 시작될 예정입니다.이를 통해 IAG는 양국을 통틀어 최고의 보안 챔피언을 선정할 수 있을 뿐만 아니라 팀들이 함께 기술을 연마할 수 있는 기회를 얻을 수 있습니다.
그 결과
게임 오브 코드는 사실상 전문 교육 프로그램입니다.재미있는 대화형 토너먼트로 출시되어 직원들이 다양한 방식으로 참여할 수 있었지만, 이 연습의 핵심 실용성은 여전했습니다. 바로 IAG 개발 애플리케이션의 고위험 취약성을 식별하고 방지하는 데 필요한 기술을 개발자에게 제공하는 것이었습니다.
IAG는 개발자와 보안 팀 모두 보안을 최우선으로 생각하는 사고방식으로 작업하고 처음부터 취약점을 식별하는 데 그치지 않고 수정할 수 있도록 함으로써 비용이 많이 드는 침투 테스트 연습을 줄이고 이를 수행하는 팀의 부담을 줄일 수 있을 것으로 예상합니다.
이러한 핵심 역량이 지속적으로 개발되고 있을 뿐만 아니라 Game of Codes는 관계 구축에도 도움이 되어 관련 팀 간의 동지애와 우호적인 경쟁력을 심어주는 동시에 포인트 스코어링 토너먼트 환경에서 측정된 개인들이 자신의 보안 코딩 능력에 대해 더 자신감을 가질 수 있도록 도왔습니다.
Bianca는 이 프로그램에 대한 내부 지원이 엄청나며 경영진으로부터 긍정적인 반응을 얻었다고 말했습니다.이는 또한 앰배서더 프로그램으로 이어졌는데, 이 프로그램에서는 조직 내에서 이 프로그램을 홍보하고 보안을 지키고자 하는 사람들이 참여할 수 있게 되었습니다.
“일부 개발자들에게는 환상적인 경험이었으며 그들의 기술을 훌륭하게 홍보할 수 있었습니다.개발자들은 이를 통해 자신의 업무에서도 혜택을 얻고 있으며, 이는 매우 중요한 사실입니다.”
Game of Codes는 단순히 '단순한 게임'이라거나 부서 관리자가 규정 준수 교육을 더 즐겁게 수강할 수 있는 방법과는 거리가 멀고 유지율이 높고 참여도가 높은 솔루션을 제공합니다. 이는 보안 초보자를 신속하게 보안 챔피언으로 탈바꿈시킬 수 있습니다. 이는 대규모 보안 침해 위험을 최소화하는 데 필수적입니다.
그리고 비앙카 자신의 궁극적인 조언은 다음과 같습니다.
“어떤 프로그램을 출시하고 사람들이 그냥 사용하기를 기대한다면 효과가 없을 것입니다.이를 중심으로 변화된 행동을 시작하고 동기를 부여하는 프로그램을 설계해야 합니다.우리가 만든 것은 기본적으로 보안에 초점을 맞춘 개발자 변경 관리 프로그램이었습니다.”
“Game of Codes 교육 세션을 마친 후 보안에 더 관심을 갖고 자동화 테스트를 만들 때 보안에 대해 생각하게 되었습니다. 저는 애자일 팀에서 선임 테스터로 일하고 있는데 이러한 교육 세션을 통해 보안 테스트에 대해 더 많이 배우고 이를 가능한 전문화라고 생각하게 되었습니다.” A, IAG 시니어 테스터
요약 정보
- IAG는 게임화된 학습 외에도 개발자 채용 시 Secure Code Warrior를 기술 테스트 도구로 사용하고 있습니다.
- 현재 개발 팀의 100% 를 대상으로 프로그램을 배포하고 있으며, 55% 가 이미 시스템에서 활동하고 있습니다.
- 이들은 시간이 지남에 따라 위험을 최소화하고 비용을 절감하는 데 있어 프로그램의 성공 여부를 측정할 수 있는 주요 내부 지표 세트를 개발했습니다.
IAG Group은 아시아 태평양 지역의 여러 주요 보험 회사의 이름을 딴 이름으로, 수백만 고객을 대상으로 연간 약 114억 호주 달러의 보험료를 부담합니다.비앙카 워스는 IAG 그룹의 기업 보안 교육 및 인식 관리자입니다.개발 팀 내에서 엄격한 보안 인식과 관행의 필요성에 매우 잘 적응한 그녀는 팀이 중요한 보안 코딩 기술을 배울 수 있는 진정으로 혁신적이고 최적의 환경을 만드는 데 착수했습니다.
엔터: 게임 오브 코드
더 챌린지
개발자들은 종종 시간이 많이 걸리고 결과물이 여러 개 있고 프로젝트가 난무하기 마련입니다.그러나 보안 모범 사례를 최신 상태로 유지하는 것은 모든 조직에 가장 중요합니다. 해커로부터 보호하기 위해 수백만 개의 민감한 고객 데이터 프로필을 보유한 조직은 말할 것도 없습니다.Bianca와 그녀의 팀은 사이버 보안 이니셔티브를 더욱 강력하게 만들기 위한 경로에서 명확한 목표를 세웠습니다.그들은 INIAG에서 개발한 애플리케이션의 공격 노출 영역을 최소화하는 것이 최우선 과제라고 판단했으며, 개발자들에게 중요하고 위험도가 높은 취약점을 식별하고 수정하도록 교육함으로써 이에 접근하기로 했습니다.긴 보안 코딩 교육 과정은 분명 존재하지만, 힘들고 지루할 수 있으며, 납품 일정이 엄격한 개발 프로젝트에서 핵심 인력을 빼앗아 비즈니스 전반에 압력을 가할 수 있습니다.워크로드와 운영에 미치는 영향을 최소화하면서 개발 팀의 기술을 빠르게 향상시켜야 할 필요성이 대두되었습니다.호주와 뉴질랜드 전역의 개발자들이 모두 같지 않은 시스템을 개발했기 때문에 이는 결코 쉬운 일이 아니었습니다.
“올해 저는 소스 코드를 변경하여 SQL 인젝션 취약점을 제거했습니다.이러한 점을 인식한 것에 대해 저는 Game of Codes의 공로를 인정합니다.보안 코딩을 최우선으로 생각하는 것만으로도 도움이 됩니다.경쟁은 사람들이 최선을 다하도록 유도하는 좋은 방법입니다... 솔직히 말해서 보안은 모든 사람이 가장 좋아하는 주제가 아니기 때문에 경쟁은 사람들을 참여시킬 수 있는 좋은 방법이기 때문입니다.” R, IAG 개발자
구현 과정
Bianca는 팀 및 Secure Code Warrior와 협력하여 토너먼트를 구현하고 사내 개발자의 기술을 홍보하기 위한 교육을 실시하면서 게임화된 교육 경험을 출시하는 전략을 세웠습니다.이를 위해서는 건전한 커뮤니케이션 전략을 세우고 직원들이 완전히 새로운 플랫폼을 채택하고 잠재력을 최대한 발휘할 수 있도록 하는 다양한 동기와 성격을 충족시키는 것이 필수적이었습니다.
“우리는 직원 및 주요 이해관계자에게 알아야 할 사항, 핵심 메시지, 이에 대응하도록 어떤 인센티브를 제공할 것인지로 구성된 커뮤니케이션 계획을 세웠습니다.대부분의 사람들은 게임화된 경험을 정말 즐깁니다.그것은 단지 그들의 성격, 동기, 그리고 그들을 움직이게 하는 원동력에 달려 있습니다.그래서 우리는 완전히 다른 범위의 사람들에게 동기를 부여하려고 노력합니다.어떤 이들에게는 상을 좋아하고, 어떤 이들에게는 성취 측면 자체만으로도 충분한 요인이 됩니다.” 그녀가 말했다
Bianca와 IAG는 Secure Code Warrior의 게임화된 학습 플랫폼을 전문적으로 선보였습니다. 이를 통해 토너먼트를 '코드 게임 (Game of Codes) '으로 알려진 재미있는 대회 경험으로 탈바꿈시켰습니다. 직원들은 중세 테마 하우스 (브랜드 플레이어 상품 포함) 에 배치되어 HBO에서 제작한 이름에 걸맞은 전투를 벌였습니다.
이 토너먼트는 국제 무대에도 진출했으며 곧 호주 대 뉴질랜드 매치업이 시작될 예정입니다.이를 통해 IAG는 양국을 통틀어 최고의 보안 챔피언을 선정할 수 있을 뿐만 아니라 팀들이 함께 기술을 연마할 수 있는 기회를 얻을 수 있습니다.
그 결과
게임 오브 코드는 사실상 전문 교육 프로그램입니다.재미있는 대화형 토너먼트로 출시되어 직원들이 다양한 방식으로 참여할 수 있었지만, 이 연습의 핵심 실용성은 여전했습니다. 바로 IAG 개발 애플리케이션의 고위험 취약성을 식별하고 방지하는 데 필요한 기술을 개발자에게 제공하는 것이었습니다.
IAG는 개발자와 보안 팀 모두 보안을 최우선으로 생각하는 사고방식으로 작업하고 처음부터 취약점을 식별하는 데 그치지 않고 수정할 수 있도록 함으로써 비용이 많이 드는 침투 테스트 연습을 줄이고 이를 수행하는 팀의 부담을 줄일 수 있을 것으로 예상합니다.
이러한 핵심 역량이 지속적으로 개발되고 있을 뿐만 아니라 Game of Codes는 관계 구축에도 도움이 되어 관련 팀 간의 동지애와 우호적인 경쟁력을 심어주는 동시에 포인트 스코어링 토너먼트 환경에서 측정된 개인들이 자신의 보안 코딩 능력에 대해 더 자신감을 가질 수 있도록 도왔습니다.
Bianca는 이 프로그램에 대한 내부 지원이 엄청나며 경영진으로부터 긍정적인 반응을 얻었다고 말했습니다.이는 또한 앰배서더 프로그램으로 이어졌는데, 이 프로그램에서는 조직 내에서 이 프로그램을 홍보하고 보안을 지키고자 하는 사람들이 참여할 수 있게 되었습니다.
“일부 개발자들에게는 환상적인 경험이었으며 그들의 기술을 훌륭하게 홍보할 수 있었습니다.개발자들은 이를 통해 자신의 업무에서도 혜택을 얻고 있으며, 이는 매우 중요한 사실입니다.”
Game of Codes는 단순히 '단순한 게임'이라거나 부서 관리자가 규정 준수 교육을 더 즐겁게 수강할 수 있는 방법과는 거리가 멀고 유지율이 높고 참여도가 높은 솔루션을 제공합니다. 이는 보안 초보자를 신속하게 보안 챔피언으로 탈바꿈시킬 수 있습니다. 이는 대규모 보안 침해 위험을 최소화하는 데 필수적입니다.
그리고 비앙카 자신의 궁극적인 조언은 다음과 같습니다.
“어떤 프로그램을 출시하고 사람들이 그냥 사용하기를 기대한다면 효과가 없을 것입니다.이를 중심으로 변화된 행동을 시작하고 동기를 부여하는 프로그램을 설계해야 합니다.우리가 만든 것은 기본적으로 보안에 초점을 맞춘 개발자 변경 관리 프로그램이었습니다.”
“Game of Codes 교육 세션을 마친 후 보안에 더 관심을 갖고 자동화 테스트를 만들 때 보안에 대해 생각하게 되었습니다. 저는 애자일 팀에서 선임 테스터로 일하고 있는데 이러한 교육 세션을 통해 보안 테스트에 대해 더 많이 배우고 이를 가능한 전문화라고 생각하게 되었습니다.” A, IAG 시니어 테스터
요약 정보
- IAG는 게임화된 학습 외에도 개발자 채용 시 Secure Code Warrior를 기술 테스트 도구로 사용하고 있습니다.
- 현재 개발 팀의 100% 를 대상으로 프로그램을 배포하고 있으며, 55% 가 이미 시스템에서 활동하고 있습니다.
- 이들은 시간이 지남에 따라 위험을 최소화하고 비용을 절감하는 데 있어 프로그램의 성공 여부를 측정할 수 있는 주요 내부 지표 세트를 개발했습니다.
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
IAG Group은 아시아 태평양 지역의 여러 주요 보험 회사의 이름을 딴 이름으로, 수백만 고객을 대상으로 연간 약 114억 호주 달러의 보험료를 부담합니다.비앙카 워스는 IAG 그룹의 기업 보안 교육 및 인식 관리자입니다.개발 팀 내에서 엄격한 보안 인식과 관행의 필요성에 매우 잘 적응한 그녀는 팀이 중요한 보안 코딩 기술을 배울 수 있는 진정으로 혁신적이고 최적의 환경을 만드는 데 착수했습니다.
엔터: 게임 오브 코드
더 챌린지
개발자들은 종종 시간이 많이 걸리고 결과물이 여러 개 있고 프로젝트가 난무하기 마련입니다.그러나 보안 모범 사례를 최신 상태로 유지하는 것은 모든 조직에 가장 중요합니다. 해커로부터 보호하기 위해 수백만 개의 민감한 고객 데이터 프로필을 보유한 조직은 말할 것도 없습니다.Bianca와 그녀의 팀은 사이버 보안 이니셔티브를 더욱 강력하게 만들기 위한 경로에서 명확한 목표를 세웠습니다.그들은 INIAG에서 개발한 애플리케이션의 공격 노출 영역을 최소화하는 것이 최우선 과제라고 판단했으며, 개발자들에게 중요하고 위험도가 높은 취약점을 식별하고 수정하도록 교육함으로써 이에 접근하기로 했습니다.긴 보안 코딩 교육 과정은 분명 존재하지만, 힘들고 지루할 수 있으며, 납품 일정이 엄격한 개발 프로젝트에서 핵심 인력을 빼앗아 비즈니스 전반에 압력을 가할 수 있습니다.워크로드와 운영에 미치는 영향을 최소화하면서 개발 팀의 기술을 빠르게 향상시켜야 할 필요성이 대두되었습니다.호주와 뉴질랜드 전역의 개발자들이 모두 같지 않은 시스템을 개발했기 때문에 이는 결코 쉬운 일이 아니었습니다.
“올해 저는 소스 코드를 변경하여 SQL 인젝션 취약점을 제거했습니다.이러한 점을 인식한 것에 대해 저는 Game of Codes의 공로를 인정합니다.보안 코딩을 최우선으로 생각하는 것만으로도 도움이 됩니다.경쟁은 사람들이 최선을 다하도록 유도하는 좋은 방법입니다... 솔직히 말해서 보안은 모든 사람이 가장 좋아하는 주제가 아니기 때문에 경쟁은 사람들을 참여시킬 수 있는 좋은 방법이기 때문입니다.” R, IAG 개발자
구현 과정
Bianca는 팀 및 Secure Code Warrior와 협력하여 토너먼트를 구현하고 사내 개발자의 기술을 홍보하기 위한 교육을 실시하면서 게임화된 교육 경험을 출시하는 전략을 세웠습니다.이를 위해서는 건전한 커뮤니케이션 전략을 세우고 직원들이 완전히 새로운 플랫폼을 채택하고 잠재력을 최대한 발휘할 수 있도록 하는 다양한 동기와 성격을 충족시키는 것이 필수적이었습니다.
“우리는 직원 및 주요 이해관계자에게 알아야 할 사항, 핵심 메시지, 이에 대응하도록 어떤 인센티브를 제공할 것인지로 구성된 커뮤니케이션 계획을 세웠습니다.대부분의 사람들은 게임화된 경험을 정말 즐깁니다.그것은 단지 그들의 성격, 동기, 그리고 그들을 움직이게 하는 원동력에 달려 있습니다.그래서 우리는 완전히 다른 범위의 사람들에게 동기를 부여하려고 노력합니다.어떤 이들에게는 상을 좋아하고, 어떤 이들에게는 성취 측면 자체만으로도 충분한 요인이 됩니다.” 그녀가 말했다
Bianca와 IAG는 Secure Code Warrior의 게임화된 학습 플랫폼을 전문적으로 선보였습니다. 이를 통해 토너먼트를 '코드 게임 (Game of Codes) '으로 알려진 재미있는 대회 경험으로 탈바꿈시켰습니다. 직원들은 중세 테마 하우스 (브랜드 플레이어 상품 포함) 에 배치되어 HBO에서 제작한 이름에 걸맞은 전투를 벌였습니다.
이 토너먼트는 국제 무대에도 진출했으며 곧 호주 대 뉴질랜드 매치업이 시작될 예정입니다.이를 통해 IAG는 양국을 통틀어 최고의 보안 챔피언을 선정할 수 있을 뿐만 아니라 팀들이 함께 기술을 연마할 수 있는 기회를 얻을 수 있습니다.
그 결과
게임 오브 코드는 사실상 전문 교육 프로그램입니다.재미있는 대화형 토너먼트로 출시되어 직원들이 다양한 방식으로 참여할 수 있었지만, 이 연습의 핵심 실용성은 여전했습니다. 바로 IAG 개발 애플리케이션의 고위험 취약성을 식별하고 방지하는 데 필요한 기술을 개발자에게 제공하는 것이었습니다.
IAG는 개발자와 보안 팀 모두 보안을 최우선으로 생각하는 사고방식으로 작업하고 처음부터 취약점을 식별하는 데 그치지 않고 수정할 수 있도록 함으로써 비용이 많이 드는 침투 테스트 연습을 줄이고 이를 수행하는 팀의 부담을 줄일 수 있을 것으로 예상합니다.
이러한 핵심 역량이 지속적으로 개발되고 있을 뿐만 아니라 Game of Codes는 관계 구축에도 도움이 되어 관련 팀 간의 동지애와 우호적인 경쟁력을 심어주는 동시에 포인트 스코어링 토너먼트 환경에서 측정된 개인들이 자신의 보안 코딩 능력에 대해 더 자신감을 가질 수 있도록 도왔습니다.
Bianca는 이 프로그램에 대한 내부 지원이 엄청나며 경영진으로부터 긍정적인 반응을 얻었다고 말했습니다.이는 또한 앰배서더 프로그램으로 이어졌는데, 이 프로그램에서는 조직 내에서 이 프로그램을 홍보하고 보안을 지키고자 하는 사람들이 참여할 수 있게 되었습니다.
“일부 개발자들에게는 환상적인 경험이었으며 그들의 기술을 훌륭하게 홍보할 수 있었습니다.개발자들은 이를 통해 자신의 업무에서도 혜택을 얻고 있으며, 이는 매우 중요한 사실입니다.”
Game of Codes는 단순히 '단순한 게임'이라거나 부서 관리자가 규정 준수 교육을 더 즐겁게 수강할 수 있는 방법과는 거리가 멀고 유지율이 높고 참여도가 높은 솔루션을 제공합니다. 이는 보안 초보자를 신속하게 보안 챔피언으로 탈바꿈시킬 수 있습니다. 이는 대규모 보안 침해 위험을 최소화하는 데 필수적입니다.
그리고 비앙카 자신의 궁극적인 조언은 다음과 같습니다.
“어떤 프로그램을 출시하고 사람들이 그냥 사용하기를 기대한다면 효과가 없을 것입니다.이를 중심으로 변화된 행동을 시작하고 동기를 부여하는 프로그램을 설계해야 합니다.우리가 만든 것은 기본적으로 보안에 초점을 맞춘 개발자 변경 관리 프로그램이었습니다.”
“Game of Codes 교육 세션을 마친 후 보안에 더 관심을 갖고 자동화 테스트를 만들 때 보안에 대해 생각하게 되었습니다. 저는 애자일 팀에서 선임 테스터로 일하고 있는데 이러한 교육 세션을 통해 보안 테스트에 대해 더 많이 배우고 이를 가능한 전문화라고 생각하게 되었습니다.” A, IAG 시니어 테스터
요약 정보
- IAG는 게임화된 학습 외에도 개발자 채용 시 Secure Code Warrior를 기술 테스트 도구로 사용하고 있습니다.
- 현재 개발 팀의 100% 를 대상으로 프로그램을 배포하고 있으며, 55% 가 이미 시스템에서 활동하고 있습니다.
- 이들은 시간이 지남에 따라 위험을 최소화하고 비용을 절감하는 데 있어 프로그램의 성공 여부를 측정할 수 있는 주요 내부 지표 세트를 개발했습니다.
%20(1).avif)
.avif)
