Ist Ihr Sicherheitsprogramm bereit für den Cybersicherheitsstrategieplan von CISA?
Eine Version dieses Artikels erschien in Forbes. Es wurde hier aktualisiert und syndiziert.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) war seit seiner Gründung im Jahr 2018 nicht nur maßgeblich am Schutz der kritischen Infrastruktur und Computernetzwerke der Vereinigten Staaten beteiligt, sondern sein Einfluss und seine Expertise haben auch weltweit Nachhall gefunden. Die umfassende Beratung, Sicherheitshinweise, Schwachstellenberichte und Cybersicherheitsprogramme haben weltweit Maßstäbe für umsetzbare Best Practices gesetzt und damit die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstrichen.
Der Einfluss und die Errungenschaften von CISA gingen auch weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, insbesondere wenn man bedenkt, dass es das Unternehmen erst seit ein paar Jahren gibt. Das liegt nicht zuletzt an der exponentielles Wachstum der Bedrohungslandschaft und der Tatsache, dass Angreifer bei ihren Angriffen und Ausnutzungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyberkriminelle und andere sogenannte Bedrohungsakteure übernommen. Sie verfolgt methodisch Trends und berät über bewährte Verfahren im Bereich Cybersicherheit.
Trotz all der hilfreichen Ratschläge und Anleitungen der Behörde hat sie jedoch noch nie zuvor einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgeben soll. Dies ist nicht nur eine weitere planen, aber ein Meilenstein, den viele Organisationen untersuchen und letztendlich umsetzen wollen. Die Tatsache, dass der Plan grundlegende Änderungen in der Art und Weise vorsieht, wie Cybersicherheit angegangen wird, könnte die Befolgung dieser Leitlinien erschweren, obwohl die Entwicklungsgemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Tools und Weiterbildungspfade erhält.
Eine Änderung der weltweiten Best Practices für Cybersicherheit steht bevor
Auf den ersten Blick wäre es leicht, ein gewisses Maß an Frustration im CISA-Strategieplan wahrzunehmen, aber CISA erkennt einfach an, dass wir weiterhin dieselben Ergebnisse erzielen werden, wenn wir weiterhin dieselben Dinge tun wie jetzt. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen erforderlich, auch seitens der Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Zumindest teilweise mit dem Finger auf Software zu zeigen, ist ein Konzept, das bereits zuvor eingeführt wurde. In der Tat ist der Nationale Sicherheitsstrategie Aus den Vereinigten Staaten heißt es ausdrücklich, dass „schlechte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht“. Der CISA-Strategieplan enthält eine neue Strategie zur Bewältigung und Lösung dieses Dilemmas.
Die größte Änderung der Cybersicherheit, die von CISA befürwortet wird, besteht darin, diejenigen, die Software herstellen, herauszufordern, sichere Produkte zu liefern. Wenn bewährte Methoden für sichere Codierung etabliert und eingeführt werden, wird es in der Software weitaus weniger Sicherheitslücken geben, insbesondere größere, die von Angreifern ausgenutzt werden können. Ja, hier und da könnte immer noch etwas übersehen werden und es erfordert viel Sorgfalt, um es zu finden und zu beheben, aber das ist im Vergleich zum aktuellen Status Quo ein überschaubares Unterfangen: Hunderte von täglich entdeckten Sicherheitslücken überfordern die Verteidiger der Cybersicherheit. Die CISA stellt in ihrem Plan ganz klar fest, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
„Als Gesellschaft können wir kein Modell mehr akzeptieren, bei dem jedes Technologieprodukt in dem Moment, in dem es veröffentlicht wird, verwundbar ist und bei dem die überwältigende Sicherheitslast bei einzelnen Organisationen und Benutzern liegt“, heißt es im CISA-Strategieplan. „Technologien sollten so konzipiert, entwickelt und getestet werden, dass sie die Anzahl ausnutzbarer Sicherheitslücken minimieren, bevor sie auf den Markt gebracht werden.“
In dem Plan heißt es weiter, dass dieser neue Ansatz letztendlich mehr als suggestiv sein könnte, und besagt, dass die CISA „alle verfügbaren Hebel nutzen wird, um die Risikoentscheidungen der Unternehmensleiter zu beeinflussen“. Es deutet auch darauf hin, dass Gesetze wie der „Cyber Incident Reporting for Critical Infrastructure Act“ von 2022 (CIRCIA), das derzeit die Meldung von Cybervorfällen regelt, könnte als Modell dienen, um die freiwillige Einhaltung dieser neuen Vorschriften irgendwann verpflichtender zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, wenn sie versuchen würden, sich hinter diese neuen Leitlinien zu stellen.
Die Leitlinien von CISA stellen eine wichtige Chance dar
Anstatt angesichts der Aussicht auf weitere potenzielle Vorschriften besorgt zu sein, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan zu nutzen, um bessere, qualitativ hochwertigere Software anzustreben. Dies ist nicht nur ein Aufruf zur Einhaltung gesetzlicher Vorschriften, sondern eine Gelegenheit für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen, auch dem Unternehmen, das sie herstellt, den Benutzern, die sich darauf verlassen, und den Personen, auf deren Daten von dieser Software oder Anwendung zugegriffen oder diese gespeichert wird. Nur die Angreifer gehen leer aus, wenn der Code, aus dem der Großteil der Software und Anwendungen besteht, so sicher wie möglich gemacht wird, bevor sie in eine Produktionsumgebung übergehen.
Angesichts dieser neuen Ausrichtung ist es sinnvoll, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Quellcode verwenden, ein perfekter Ausgangspunkt sind, wenn es darum geht, sicherere Codierung zu implementieren und den CISA-Plan einzuhalten. Entwickler können dies jedoch nicht alleine ohne die Unterstützung des restlichen Unternehmens, insbesondere des oberen Managements, tun. Entwickler zu haben, die Sicherheitslücken verstehen, sicheren Code schreiben und Probleme erkennen, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für den Versand von Code übernehmen und, wie CISA es ausdrückt, „sicherstellen, dass Sicherheitslücken entdeckt und behoben werden, bevor Gegner sie nutzen können, um Schaden anzurichten“.
Eine wichtige Sache, die es zu beachten gilt, ist, dass die Schulung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist für jemanden ein herausforderndes Unterfangen, konsistent sicheren Code zu schreiben, und Check-In-the-Box-Compliance-Maßnahmen sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Sicherheitsbewusstseinsprogramms bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau aufrechtzuerhalten.
Idealerweise sollte die Weiterbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme beinhalten, die Entwickler täglich verwenden, wie z. B. die Prinzipien der agilen Entwicklung. Beispielsweise wird bei der agilen Entwicklung die Arbeit in überschaubare Teile aufgeteilt, wobei Sprints in einem kontinuierlichen Zyklus übereinander gelegt werden. Ein gutes Bildungsprogramm, das beinhaltet Agile Methoden können Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, sodass sie die Vorteile erkennen und fast sofort mit der sicheren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Codierungspraktiken unterstützen und ihren Unternehmen gerne bei der Einhaltung der neuen CISA-Richtlinie helfen möchten. In einem Umfrage Von den über 1.200 professionellen Entwicklern, die auf der ganzen Welt aktiv sind, gab die überwältigende Mehrheit an, das Konzept der Erstellung von sicherem Code und der Etablierung einer besseren Sicherheitskultur in ihren Organisationen zu unterstützen.
Entwickler benötigen präzise Bildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie werden auch ihrer Zeit voraus sein, wenn es darum geht, die im neuen CISA-Cybersicherheitsstrategieplan festgelegten Leitlinien einzuhalten oder zu übertreffen.
Dieser vorgeschlagene Wandel der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Gelegenheit, die Natur der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben verbessert, nicht auch von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen schändlichen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Forbes. Es wurde hier aktualisiert und syndiziert.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) war seit seiner Gründung im Jahr 2018 nicht nur maßgeblich am Schutz der kritischen Infrastruktur und Computernetzwerke der Vereinigten Staaten beteiligt, sondern sein Einfluss und seine Expertise haben auch weltweit Nachhall gefunden. Die umfassende Beratung, Sicherheitshinweise, Schwachstellenberichte und Cybersicherheitsprogramme haben weltweit Maßstäbe für umsetzbare Best Practices gesetzt und damit die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstrichen.
Der Einfluss und die Errungenschaften von CISA gingen auch weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, insbesondere wenn man bedenkt, dass es das Unternehmen erst seit ein paar Jahren gibt. Das liegt nicht zuletzt an der exponentielles Wachstum der Bedrohungslandschaft und der Tatsache, dass Angreifer bei ihren Angriffen und Ausnutzungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyberkriminelle und andere sogenannte Bedrohungsakteure übernommen. Sie verfolgt methodisch Trends und berät über bewährte Verfahren im Bereich Cybersicherheit.
Trotz all der hilfreichen Ratschläge und Anleitungen der Behörde hat sie jedoch noch nie zuvor einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgeben soll. Dies ist nicht nur eine weitere planen, aber ein Meilenstein, den viele Organisationen untersuchen und letztendlich umsetzen wollen. Die Tatsache, dass der Plan grundlegende Änderungen in der Art und Weise vorsieht, wie Cybersicherheit angegangen wird, könnte die Befolgung dieser Leitlinien erschweren, obwohl die Entwicklungsgemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Tools und Weiterbildungspfade erhält.
Eine Änderung der weltweiten Best Practices für Cybersicherheit steht bevor
Auf den ersten Blick wäre es leicht, ein gewisses Maß an Frustration im CISA-Strategieplan wahrzunehmen, aber CISA erkennt einfach an, dass wir weiterhin dieselben Ergebnisse erzielen werden, wenn wir weiterhin dieselben Dinge tun wie jetzt. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen erforderlich, auch seitens der Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Zumindest teilweise mit dem Finger auf Software zu zeigen, ist ein Konzept, das bereits zuvor eingeführt wurde. In der Tat ist der Nationale Sicherheitsstrategie Aus den Vereinigten Staaten heißt es ausdrücklich, dass „schlechte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht“. Der CISA-Strategieplan enthält eine neue Strategie zur Bewältigung und Lösung dieses Dilemmas.
Die größte Änderung der Cybersicherheit, die von CISA befürwortet wird, besteht darin, diejenigen, die Software herstellen, herauszufordern, sichere Produkte zu liefern. Wenn bewährte Methoden für sichere Codierung etabliert und eingeführt werden, wird es in der Software weitaus weniger Sicherheitslücken geben, insbesondere größere, die von Angreifern ausgenutzt werden können. Ja, hier und da könnte immer noch etwas übersehen werden und es erfordert viel Sorgfalt, um es zu finden und zu beheben, aber das ist im Vergleich zum aktuellen Status Quo ein überschaubares Unterfangen: Hunderte von täglich entdeckten Sicherheitslücken überfordern die Verteidiger der Cybersicherheit. Die CISA stellt in ihrem Plan ganz klar fest, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
„Als Gesellschaft können wir kein Modell mehr akzeptieren, bei dem jedes Technologieprodukt in dem Moment, in dem es veröffentlicht wird, verwundbar ist und bei dem die überwältigende Sicherheitslast bei einzelnen Organisationen und Benutzern liegt“, heißt es im CISA-Strategieplan. „Technologien sollten so konzipiert, entwickelt und getestet werden, dass sie die Anzahl ausnutzbarer Sicherheitslücken minimieren, bevor sie auf den Markt gebracht werden.“
In dem Plan heißt es weiter, dass dieser neue Ansatz letztendlich mehr als suggestiv sein könnte, und besagt, dass die CISA „alle verfügbaren Hebel nutzen wird, um die Risikoentscheidungen der Unternehmensleiter zu beeinflussen“. Es deutet auch darauf hin, dass Gesetze wie der „Cyber Incident Reporting for Critical Infrastructure Act“ von 2022 (CIRCIA), das derzeit die Meldung von Cybervorfällen regelt, könnte als Modell dienen, um die freiwillige Einhaltung dieser neuen Vorschriften irgendwann verpflichtender zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, wenn sie versuchen würden, sich hinter diese neuen Leitlinien zu stellen.
Die Leitlinien von CISA stellen eine wichtige Chance dar
Anstatt angesichts der Aussicht auf weitere potenzielle Vorschriften besorgt zu sein, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan zu nutzen, um bessere, qualitativ hochwertigere Software anzustreben. Dies ist nicht nur ein Aufruf zur Einhaltung gesetzlicher Vorschriften, sondern eine Gelegenheit für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen, auch dem Unternehmen, das sie herstellt, den Benutzern, die sich darauf verlassen, und den Personen, auf deren Daten von dieser Software oder Anwendung zugegriffen oder diese gespeichert wird. Nur die Angreifer gehen leer aus, wenn der Code, aus dem der Großteil der Software und Anwendungen besteht, so sicher wie möglich gemacht wird, bevor sie in eine Produktionsumgebung übergehen.
Angesichts dieser neuen Ausrichtung ist es sinnvoll, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Quellcode verwenden, ein perfekter Ausgangspunkt sind, wenn es darum geht, sicherere Codierung zu implementieren und den CISA-Plan einzuhalten. Entwickler können dies jedoch nicht alleine ohne die Unterstützung des restlichen Unternehmens, insbesondere des oberen Managements, tun. Entwickler zu haben, die Sicherheitslücken verstehen, sicheren Code schreiben und Probleme erkennen, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für den Versand von Code übernehmen und, wie CISA es ausdrückt, „sicherstellen, dass Sicherheitslücken entdeckt und behoben werden, bevor Gegner sie nutzen können, um Schaden anzurichten“.
Eine wichtige Sache, die es zu beachten gilt, ist, dass die Schulung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist für jemanden ein herausforderndes Unterfangen, konsistent sicheren Code zu schreiben, und Check-In-the-Box-Compliance-Maßnahmen sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Sicherheitsbewusstseinsprogramms bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau aufrechtzuerhalten.
Idealerweise sollte die Weiterbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme beinhalten, die Entwickler täglich verwenden, wie z. B. die Prinzipien der agilen Entwicklung. Beispielsweise wird bei der agilen Entwicklung die Arbeit in überschaubare Teile aufgeteilt, wobei Sprints in einem kontinuierlichen Zyklus übereinander gelegt werden. Ein gutes Bildungsprogramm, das beinhaltet Agile Methoden können Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, sodass sie die Vorteile erkennen und fast sofort mit der sicheren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Codierungspraktiken unterstützen und ihren Unternehmen gerne bei der Einhaltung der neuen CISA-Richtlinie helfen möchten. In einem Umfrage Von den über 1.200 professionellen Entwicklern, die auf der ganzen Welt aktiv sind, gab die überwältigende Mehrheit an, das Konzept der Erstellung von sicherem Code und der Etablierung einer besseren Sicherheitskultur in ihren Organisationen zu unterstützen.
Entwickler benötigen präzise Bildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie werden auch ihrer Zeit voraus sein, wenn es darum geht, die im neuen CISA-Cybersicherheitsstrategieplan festgelegten Leitlinien einzuhalten oder zu übertreffen.
Dieser vorgeschlagene Wandel der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Gelegenheit, die Natur der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben verbessert, nicht auch von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen schändlichen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
Eine Version dieses Artikels erschien in Forbes. Es wurde hier aktualisiert und syndiziert.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) war seit seiner Gründung im Jahr 2018 nicht nur maßgeblich am Schutz der kritischen Infrastruktur und Computernetzwerke der Vereinigten Staaten beteiligt, sondern sein Einfluss und seine Expertise haben auch weltweit Nachhall gefunden. Die umfassende Beratung, Sicherheitshinweise, Schwachstellenberichte und Cybersicherheitsprogramme haben weltweit Maßstäbe für umsetzbare Best Practices gesetzt und damit die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstrichen.
Der Einfluss und die Errungenschaften von CISA gingen auch weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, insbesondere wenn man bedenkt, dass es das Unternehmen erst seit ein paar Jahren gibt. Das liegt nicht zuletzt an der exponentielles Wachstum der Bedrohungslandschaft und der Tatsache, dass Angreifer bei ihren Angriffen und Ausnutzungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyberkriminelle und andere sogenannte Bedrohungsakteure übernommen. Sie verfolgt methodisch Trends und berät über bewährte Verfahren im Bereich Cybersicherheit.
Trotz all der hilfreichen Ratschläge und Anleitungen der Behörde hat sie jedoch noch nie zuvor einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgeben soll. Dies ist nicht nur eine weitere planen, aber ein Meilenstein, den viele Organisationen untersuchen und letztendlich umsetzen wollen. Die Tatsache, dass der Plan grundlegende Änderungen in der Art und Weise vorsieht, wie Cybersicherheit angegangen wird, könnte die Befolgung dieser Leitlinien erschweren, obwohl die Entwicklungsgemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Tools und Weiterbildungspfade erhält.
Eine Änderung der weltweiten Best Practices für Cybersicherheit steht bevor
Auf den ersten Blick wäre es leicht, ein gewisses Maß an Frustration im CISA-Strategieplan wahrzunehmen, aber CISA erkennt einfach an, dass wir weiterhin dieselben Ergebnisse erzielen werden, wenn wir weiterhin dieselben Dinge tun wie jetzt. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen erforderlich, auch seitens der Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Zumindest teilweise mit dem Finger auf Software zu zeigen, ist ein Konzept, das bereits zuvor eingeführt wurde. In der Tat ist der Nationale Sicherheitsstrategie Aus den Vereinigten Staaten heißt es ausdrücklich, dass „schlechte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht“. Der CISA-Strategieplan enthält eine neue Strategie zur Bewältigung und Lösung dieses Dilemmas.
Die größte Änderung der Cybersicherheit, die von CISA befürwortet wird, besteht darin, diejenigen, die Software herstellen, herauszufordern, sichere Produkte zu liefern. Wenn bewährte Methoden für sichere Codierung etabliert und eingeführt werden, wird es in der Software weitaus weniger Sicherheitslücken geben, insbesondere größere, die von Angreifern ausgenutzt werden können. Ja, hier und da könnte immer noch etwas übersehen werden und es erfordert viel Sorgfalt, um es zu finden und zu beheben, aber das ist im Vergleich zum aktuellen Status Quo ein überschaubares Unterfangen: Hunderte von täglich entdeckten Sicherheitslücken überfordern die Verteidiger der Cybersicherheit. Die CISA stellt in ihrem Plan ganz klar fest, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
„Als Gesellschaft können wir kein Modell mehr akzeptieren, bei dem jedes Technologieprodukt in dem Moment, in dem es veröffentlicht wird, verwundbar ist und bei dem die überwältigende Sicherheitslast bei einzelnen Organisationen und Benutzern liegt“, heißt es im CISA-Strategieplan. „Technologien sollten so konzipiert, entwickelt und getestet werden, dass sie die Anzahl ausnutzbarer Sicherheitslücken minimieren, bevor sie auf den Markt gebracht werden.“
In dem Plan heißt es weiter, dass dieser neue Ansatz letztendlich mehr als suggestiv sein könnte, und besagt, dass die CISA „alle verfügbaren Hebel nutzen wird, um die Risikoentscheidungen der Unternehmensleiter zu beeinflussen“. Es deutet auch darauf hin, dass Gesetze wie der „Cyber Incident Reporting for Critical Infrastructure Act“ von 2022 (CIRCIA), das derzeit die Meldung von Cybervorfällen regelt, könnte als Modell dienen, um die freiwillige Einhaltung dieser neuen Vorschriften irgendwann verpflichtender zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, wenn sie versuchen würden, sich hinter diese neuen Leitlinien zu stellen.
Die Leitlinien von CISA stellen eine wichtige Chance dar
Anstatt angesichts der Aussicht auf weitere potenzielle Vorschriften besorgt zu sein, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan zu nutzen, um bessere, qualitativ hochwertigere Software anzustreben. Dies ist nicht nur ein Aufruf zur Einhaltung gesetzlicher Vorschriften, sondern eine Gelegenheit für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen, auch dem Unternehmen, das sie herstellt, den Benutzern, die sich darauf verlassen, und den Personen, auf deren Daten von dieser Software oder Anwendung zugegriffen oder diese gespeichert wird. Nur die Angreifer gehen leer aus, wenn der Code, aus dem der Großteil der Software und Anwendungen besteht, so sicher wie möglich gemacht wird, bevor sie in eine Produktionsumgebung übergehen.
Angesichts dieser neuen Ausrichtung ist es sinnvoll, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Quellcode verwenden, ein perfekter Ausgangspunkt sind, wenn es darum geht, sicherere Codierung zu implementieren und den CISA-Plan einzuhalten. Entwickler können dies jedoch nicht alleine ohne die Unterstützung des restlichen Unternehmens, insbesondere des oberen Managements, tun. Entwickler zu haben, die Sicherheitslücken verstehen, sicheren Code schreiben und Probleme erkennen, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für den Versand von Code übernehmen und, wie CISA es ausdrückt, „sicherstellen, dass Sicherheitslücken entdeckt und behoben werden, bevor Gegner sie nutzen können, um Schaden anzurichten“.
Eine wichtige Sache, die es zu beachten gilt, ist, dass die Schulung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist für jemanden ein herausforderndes Unterfangen, konsistent sicheren Code zu schreiben, und Check-In-the-Box-Compliance-Maßnahmen sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Sicherheitsbewusstseinsprogramms bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau aufrechtzuerhalten.
Idealerweise sollte die Weiterbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme beinhalten, die Entwickler täglich verwenden, wie z. B. die Prinzipien der agilen Entwicklung. Beispielsweise wird bei der agilen Entwicklung die Arbeit in überschaubare Teile aufgeteilt, wobei Sprints in einem kontinuierlichen Zyklus übereinander gelegt werden. Ein gutes Bildungsprogramm, das beinhaltet Agile Methoden können Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, sodass sie die Vorteile erkennen und fast sofort mit der sicheren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Codierungspraktiken unterstützen und ihren Unternehmen gerne bei der Einhaltung der neuen CISA-Richtlinie helfen möchten. In einem Umfrage Von den über 1.200 professionellen Entwicklern, die auf der ganzen Welt aktiv sind, gab die überwältigende Mehrheit an, das Konzept der Erstellung von sicherem Code und der Etablierung einer besseren Sicherheitskultur in ihren Organisationen zu unterstützen.
Entwickler benötigen präzise Bildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie werden auch ihrer Zeit voraus sein, wenn es darum geht, die im neuen CISA-Cybersicherheitsstrategieplan festgelegten Leitlinien einzuhalten oder zu übertreffen.
Dieser vorgeschlagene Wandel der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Gelegenheit, die Natur der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben verbessert, nicht auch von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen schändlichen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Forbes. Es wurde hier aktualisiert und syndiziert.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) war seit seiner Gründung im Jahr 2018 nicht nur maßgeblich am Schutz der kritischen Infrastruktur und Computernetzwerke der Vereinigten Staaten beteiligt, sondern sein Einfluss und seine Expertise haben auch weltweit Nachhall gefunden. Die umfassende Beratung, Sicherheitshinweise, Schwachstellenberichte und Cybersicherheitsprogramme haben weltweit Maßstäbe für umsetzbare Best Practices gesetzt und damit die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstrichen.
Der Einfluss und die Errungenschaften von CISA gingen auch weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, insbesondere wenn man bedenkt, dass es das Unternehmen erst seit ein paar Jahren gibt. Das liegt nicht zuletzt an der exponentielles Wachstum der Bedrohungslandschaft und der Tatsache, dass Angreifer bei ihren Angriffen und Ausnutzungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyberkriminelle und andere sogenannte Bedrohungsakteure übernommen. Sie verfolgt methodisch Trends und berät über bewährte Verfahren im Bereich Cybersicherheit.
Trotz all der hilfreichen Ratschläge und Anleitungen der Behörde hat sie jedoch noch nie zuvor einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgeben soll. Dies ist nicht nur eine weitere planen, aber ein Meilenstein, den viele Organisationen untersuchen und letztendlich umsetzen wollen. Die Tatsache, dass der Plan grundlegende Änderungen in der Art und Weise vorsieht, wie Cybersicherheit angegangen wird, könnte die Befolgung dieser Leitlinien erschweren, obwohl die Entwicklungsgemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Tools und Weiterbildungspfade erhält.
Eine Änderung der weltweiten Best Practices für Cybersicherheit steht bevor
Auf den ersten Blick wäre es leicht, ein gewisses Maß an Frustration im CISA-Strategieplan wahrzunehmen, aber CISA erkennt einfach an, dass wir weiterhin dieselben Ergebnisse erzielen werden, wenn wir weiterhin dieselben Dinge tun wie jetzt. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen erforderlich, auch seitens der Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Zumindest teilweise mit dem Finger auf Software zu zeigen, ist ein Konzept, das bereits zuvor eingeführt wurde. In der Tat ist der Nationale Sicherheitsstrategie Aus den Vereinigten Staaten heißt es ausdrücklich, dass „schlechte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht“. Der CISA-Strategieplan enthält eine neue Strategie zur Bewältigung und Lösung dieses Dilemmas.
Die größte Änderung der Cybersicherheit, die von CISA befürwortet wird, besteht darin, diejenigen, die Software herstellen, herauszufordern, sichere Produkte zu liefern. Wenn bewährte Methoden für sichere Codierung etabliert und eingeführt werden, wird es in der Software weitaus weniger Sicherheitslücken geben, insbesondere größere, die von Angreifern ausgenutzt werden können. Ja, hier und da könnte immer noch etwas übersehen werden und es erfordert viel Sorgfalt, um es zu finden und zu beheben, aber das ist im Vergleich zum aktuellen Status Quo ein überschaubares Unterfangen: Hunderte von täglich entdeckten Sicherheitslücken überfordern die Verteidiger der Cybersicherheit. Die CISA stellt in ihrem Plan ganz klar fest, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
„Als Gesellschaft können wir kein Modell mehr akzeptieren, bei dem jedes Technologieprodukt in dem Moment, in dem es veröffentlicht wird, verwundbar ist und bei dem die überwältigende Sicherheitslast bei einzelnen Organisationen und Benutzern liegt“, heißt es im CISA-Strategieplan. „Technologien sollten so konzipiert, entwickelt und getestet werden, dass sie die Anzahl ausnutzbarer Sicherheitslücken minimieren, bevor sie auf den Markt gebracht werden.“
In dem Plan heißt es weiter, dass dieser neue Ansatz letztendlich mehr als suggestiv sein könnte, und besagt, dass die CISA „alle verfügbaren Hebel nutzen wird, um die Risikoentscheidungen der Unternehmensleiter zu beeinflussen“. Es deutet auch darauf hin, dass Gesetze wie der „Cyber Incident Reporting for Critical Infrastructure Act“ von 2022 (CIRCIA), das derzeit die Meldung von Cybervorfällen regelt, könnte als Modell dienen, um die freiwillige Einhaltung dieser neuen Vorschriften irgendwann verpflichtender zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, wenn sie versuchen würden, sich hinter diese neuen Leitlinien zu stellen.
Die Leitlinien von CISA stellen eine wichtige Chance dar
Anstatt angesichts der Aussicht auf weitere potenzielle Vorschriften besorgt zu sein, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan zu nutzen, um bessere, qualitativ hochwertigere Software anzustreben. Dies ist nicht nur ein Aufruf zur Einhaltung gesetzlicher Vorschriften, sondern eine Gelegenheit für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen, auch dem Unternehmen, das sie herstellt, den Benutzern, die sich darauf verlassen, und den Personen, auf deren Daten von dieser Software oder Anwendung zugegriffen oder diese gespeichert wird. Nur die Angreifer gehen leer aus, wenn der Code, aus dem der Großteil der Software und Anwendungen besteht, so sicher wie möglich gemacht wird, bevor sie in eine Produktionsumgebung übergehen.
Angesichts dieser neuen Ausrichtung ist es sinnvoll, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Quellcode verwenden, ein perfekter Ausgangspunkt sind, wenn es darum geht, sicherere Codierung zu implementieren und den CISA-Plan einzuhalten. Entwickler können dies jedoch nicht alleine ohne die Unterstützung des restlichen Unternehmens, insbesondere des oberen Managements, tun. Entwickler zu haben, die Sicherheitslücken verstehen, sicheren Code schreiben und Probleme erkennen, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für den Versand von Code übernehmen und, wie CISA es ausdrückt, „sicherstellen, dass Sicherheitslücken entdeckt und behoben werden, bevor Gegner sie nutzen können, um Schaden anzurichten“.
Eine wichtige Sache, die es zu beachten gilt, ist, dass die Schulung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist für jemanden ein herausforderndes Unterfangen, konsistent sicheren Code zu schreiben, und Check-In-the-Box-Compliance-Maßnahmen sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Sicherheitsbewusstseinsprogramms bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau aufrechtzuerhalten.
Idealerweise sollte die Weiterbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme beinhalten, die Entwickler täglich verwenden, wie z. B. die Prinzipien der agilen Entwicklung. Beispielsweise wird bei der agilen Entwicklung die Arbeit in überschaubare Teile aufgeteilt, wobei Sprints in einem kontinuierlichen Zyklus übereinander gelegt werden. Ein gutes Bildungsprogramm, das beinhaltet Agile Methoden können Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, sodass sie die Vorteile erkennen und fast sofort mit der sicheren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Codierungspraktiken unterstützen und ihren Unternehmen gerne bei der Einhaltung der neuen CISA-Richtlinie helfen möchten. In einem Umfrage Von den über 1.200 professionellen Entwicklern, die auf der ganzen Welt aktiv sind, gab die überwältigende Mehrheit an, das Konzept der Erstellung von sicherem Code und der Etablierung einer besseren Sicherheitskultur in ihren Organisationen zu unterstützen.
Entwickler benötigen präzise Bildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie werden auch ihrer Zeit voraus sein, wenn es darum geht, die im neuen CISA-Cybersicherheitsstrategieplan festgelegten Leitlinien einzuhalten oder zu übertreffen.
Dieser vorgeschlagene Wandel der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Gelegenheit, die Natur der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben verbessert, nicht auch von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen schändlichen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
