So führen Sie effektive Sicherheitsschulungen für Entwickler ein: 5 wichtige Lektionen
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Warum erzielt ein Schulungsprogramm zur Anwendungssicherheit für Entwickler bessere Ergebnisse als ein anderes?
In meinen über 10 Jahren als SANS-Trainer und in den letzten drei Jahren bei der Gründung und Entwicklung von Secure Code Warrior (SCW) habe ich erkannt, wie wichtig es ist, Zeit und Ressourcen zu investieren, um Trainingsprogramme zu den besten Ergebnissen zu führen.
In unserem ersten Verkaufsjahr beschäftigte unser Unternehmen über 10.000 Entwickler sicheres Codetraining, und ich habe bei denjenigen, die am effektivsten eingeführt wurden, eine Reihe von Trends festgestellt. Ihre Ergebnisse sind herzerwärmend: großes Engagement, Steigerung des Sicherheitsbewusstseins und hoher ROI des Programms, da Sicherheitslücken früher erkannt werden, bevor sie teuer werden.
Ich gebe es nur ungern zu, aber es gab auch einige, die den Ansatz „mit geringem Aufwand“ gewählt haben und versucht haben, ein Programm einzuführen, indem sie eine E-Mail mit einem Link zum Training geschickt haben. Es überrascht nicht, dass es nicht so gut läuft und wir diese Rollouts korrigieren mussten.
Im Folgenden teile ich fünf meiner Meinung nach wichtige Lektionen mit, die das Engagement, die Wirkung und den Erfolg aller Sicherheitsschulungsprogramme für Entwickler, einschließlich unseres, erheblich verbessern werden.
1. Bringen Sie etwas Spaß in den Kick-Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
Eine besondere Auftaktveranstaltung zu veranstalten oder Ihrem Programm ein Film-/Geeky-/Gaming-Thema zu geben, kann von Anfang an einen großen Unterschied in Bezug auf Spannung und Teilnahme ausmachen. Einer unserer großen Kunden hat ein ganzes Fantasy-Programm rund um eine beliebte TV-Serie mit T-Shirts, Abzeichen und Aufklebern kreiert, sodass das gesamte Schulungsprogramm zu einem Erlebnis wird, das kein Entwickler missen möchte. Eine weitere Themenveranstaltung rund um Star Wars, die passenderweise am 4. Mai stattfand. Ein bisschen Spaß hilft den Mitarbeitern sehr dabei, sich einzuarbeiten, sodass sich kurze Phasen wichtiger Sicherheitscode-Schulungen für Entwickler wie eine Pause von der Arbeit anfühlen und nicht wie eine weitere Aufgabe, die erledigt werden muss. Wenn Sie den Meilenstein #1 erreicht haben, haben wir ihre Aufmerksamkeit geweckt und sie wissen über das Programm Bescheid.
2. Finden Sie den richtigen Experte für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen eher Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
In der Lage zu sein, in jedem Scrum-Team die richtigen Sicherheitsexperten zu finden, ist entscheidend für den kontinuierlichen Erfolg des Programms, insbesondere in größeren Organisationen. Meiner Erfahrung nach verfügen nicht alle hochqualifizierten Sicherheits- oder Entwicklerexperten über hoch entwickelte Mitarbeiter und/oder Kommunikationsfähigkeiten. Die besten Experten im Bereich Sicherheit, also diejenigen, die Ihrem Programm eine positive und kontinuierliche Wirkung verleihen, sind diejenigen, die sich für Sicherheit begeistern und über ausgeprägte Fähigkeiten in den Bereichen Personal, Beeinflussung und Kommunikation verfügen. Wählen Sie mit Bedacht und berücksichtigen Sie Persönlichkeit und Kommunikationsfähigkeit.
3. Erhalte coole Belohnungen, die Fähigkeiten anerkennen
Im Allgemeinen möchte jeder Computerfreak - einschließlich Entwickler - für seine Intelligenz und Fähigkeiten anerkannt werden. Wenn Sie sie mit bestimmten Status-Aufklebern, geekigen Gadgets, speziellen Abzeichen oder individuell bedruckten T-Shirts belohnen, die ihre Fähigkeiten anerkennen, werden sie sie mit Stolz tragen oder zur Schau stellen. Wenn jemand im Trainingsprogramm etwas Wichtiges erreicht, ist es wichtig, über Möglichkeiten nachzudenken, ihm Anerkennung und Bekanntheit zu verschaffen. Ich habe eine großartige Initiative mit einem Kunden gesehen, der regelmäßig Fotos von seinen Secure Code Warrior-Champions machte und diese zusammen mit einem Foto und einer Nachricht des CISO des Unternehmens im Mitarbeiter-Newsletter veröffentlichte.
4. Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
Sie möchten Ihre Entwickler zwar zur „ersten Verteidigungslinie“ in Ihrem Sicherheitsprogramm machen, indem Sie ihnen helfen, sicher zu programmieren, aber das bedeutet nicht, dass sie die umfassendsten Sicherheitsexperten in Ihrem Unternehmen sein müssen; oder dass Sie ihnen kontinuierlich neue Sicherheitslücken und Beispiele für Datenschutzverletzungen mitteilen sollten. Sicherheit ist zwar wichtig, aber ihr primäres Ziel besteht oft darin, ein hervorragendes Produkt oder eine hervorragende Dienstleistung zu entwickeln und dem Tempo des Unternehmens zu folgen. Wenn Sie jemanden mit zu viel Sicherheit überfordern, laufen Sie Gefahr, ihn zu unterbinden. Die wichtigsten Erkenntnisse sind, dass sie grundlegende Sicherheitshygiene verstehen und sie mit Tools unterstützen müssen, um sicher zu programmieren, aber sie müssen nicht der Sicherheitsexperte des Unternehmens sein.
5. Messen Sie nicht das Training, messen Sie die Wirkung
Messen Sie nicht, wie viele Trainingsstunden Ihre Entwickler absolvieren oder wie viele Videos sie sich ansehen, messen Sie die Anzahl der Schwachstellen, die im Entwicklungszyklus durch Codeanalysen, Bug-Bounties oder klassische Schwachstellentests aufgedeckt werden, bevor Sie das Programm in jedem Team starten. Wenn Ihr Schulungsprogramm funktioniert, sinkt die Anzahl der identifizierten Sicherheitslücken. Die zweite Sache, die gemessen werden muss, ist die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben. Wenn ein Entwickler einen Monat braucht, um das Problem zu beheben, zeigt das deutlich, dass er nicht versteht, wie das geht, aber wenn er es in einer Stunde beheben kann, wissen Sie, dass er die Fähigkeiten beherrscht. Dies sind die beiden Kennzahlen, mit denen clevere Unternehmen die Wirkung ihrer Schulungen zur sicheren Codierung von Entwicklern messen.
5 wichtige Lektionen zur Einführung effektiver Sicherheitsschulungen für Entwickler:
- Bringen Sie Spaß in den Kick Off, wenn Sie möchten, dass Ihr Programm Wirkung zeigt
- Finden Sie den richtigen Champion für das Sicherheitstraining für Entwickler (Hinweis: Sie benötigen mehr Kommunikationsfähigkeiten als Sicherheitskenntnisse!)
- Erhalte coole Belohnungen, die Fähigkeiten anerkennen
- Versuchen Sie nicht, Ihre Entwickler zu Sicherheitsexperten zu machen
- Messen Sie nicht das Training, messen Sie die Wirkung
Índice
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
