Statisch Vs. Dynamisches Cybersicherheitstraining: Impulsive Compliance, zukünftige Probleme
Es fühlt sich an, als ob „Cybersicherheits-Compliance“ seit Jahren im Trend liegt. In endlosen Artikeln, Initiativen und Ausschüssen wird diskutiert, wie die Welt am besten gegen die riesige, vielfältige Bedrohung, die Cyberkriminalität, vorgehen sollte.
Das Problem ist, wir scheinen es nicht gemacht zu haben Das viel Fortschritt. Weltweit sind die Kosten von Datenschutzverletzungen stetig gestiegen. Innerhalb von fünf Jahren sind sie um 12% gestiegen und haben sich auf ca. $3.92 Millionen USD pro Verstoß im Jahr 2019. Als unsere Internetnutzung in nur wenigen Jahrzehnten explosionsartig zunahm, mussten viele Unternehmen einfach ungeschützt kämpfen, da sie schnell online gingen, Geschäfte einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen des Missbrauchs des Kundenvertrauens auseinandersetzten.
Heutzutage sind wir unwiderlegbar reifer. Wir verstehen und erörtern ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis haben kann, und viele Unternehmen versuchen aktiv, die Softwaresicherheit durch Compliance-Schulungen, die Einstellung qualifizierter Mitarbeiter und zunehmend durch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte werden wir den Kampf nicht gewinnen — auch nicht annähernd. Es gab mindestens vier Milliarden Datensätze gestohlen allein im Jahr 2019 bei Datenschutzverletzungen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) in Bezug auf Cybersicherheitsstandards, Erwartungen und Folgen eines Verstoßes. Das Aufkommen von DSGVO hat zumindest in Europa einige Blicke auf sich gezogen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu erblühten Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürmen rein (zum falschen Training)
Solide Richtlinien in Form von NIST, neue Vorschriften für Bundesstaat New York und die Bildung der Britischer Cybersicherheitsrat waren allesamt monumentale Siege für diejenigen, die den guten Kampf für den Schutz unserer Daten führen. Sie erkennen die Probleme der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen bei den Standards zu unterstützen, die sie jetzt erfüllen müssen, um im Hinblick auf bewährte Sicherheitsverfahren als ethisch und konform angesehen zu werden.
Leider sind einige der wichtigsten Elemente zum jetzigen Zeitpunkt etwas zu offen für Interpretationen. Eines der Mandate in der Gesetzgebung des britischen Cybersicherheitsrates lautet beispielsweise:
„Eine definierte Liste von Zertifizierungen und einen leicht verständlichen Rahmen dafür zu erstellen, wie sie alle miteinander verknüpft sind und welche Fähigkeiten sie vermitteln, aufbauend auf den bereits geleisteten Karrierewegen“.
Ihre Initiativen werden sich im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Die Cybersicherheitsanforderungen eines Unternehmens ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen die Flut unsicherer Software in dem erforderlichen Tempo eindämmen werden. Die Landschaft ändert sich schneller, als ein herkömmlicher Kurs aktualisiert werden kann, was dazu führen kann, dass einige Unternehmen in die „Häkchen“ -Compliance-Falle geraten. Entwickler, Auftragnehmer und andere Sicherheitsexperten werden nicht ausreichend geschult, und wir sind wieder leichte Beute.
Statisches Training und statische Tools haben die gleichen Probleme
Statische Analysetools sind ein integraler Bestandteil des SDLC und erfüllen ihre Aufgabe als Scan-Arbeitspferde für die knappen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen zu finden sind. Sie machen einen guten Job, aber es gibt einen Fehler: Kein „einziges“ Tool kann nach jeder einzelnen Sicherheitslücke suchen und unterstützt die riesige Bandbreite an Programmier-Frameworks, die es gibt. Es ist auch ein langsamer Prozess, und es braucht nur eine Sicherheitslücke, die es durch die Ritzen schafft, um einem Angreifer die Tür offen zu lassen.
Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler die Sicherheitsschulung in Form eines starren, „einmaligen“ Kurses erhalten, ist es sehr unwahrscheinlich, dass sie mit den in diesem Zeitraum am häufigsten vorkommenden Sicherheitsproblemen Schritt gehalten haben. Es ist eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt. Es wird in der bevorzugten Sprache und dem von den Teilnehmern bevorzugten Framework abgehalten. Sie ist auch nicht kontextuell zu den Sicherheitslücken, mit denen sie bei ihrer täglichen Arbeit konfrontiert sein werden. Stellen Sie sich vor, Sie versuchen, sich an eine wichtige Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie gleichzeitig versuchen, Lieferfristen einzuhalten und den Code vor die Tür zu bringen... es ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, müssen Sie sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (insbesondere solche, die auf Sicherheitslücken zurückzuführen sind, die wir seit Jahrzehnten beim Programmieren vermeiden können). wie SQL-Injection) um zu erkennen, dass wir einen anderen Weg ausprobieren müssen.
Wir brauchen Schulungen, die über die Grenzen eines einzelnen, linearen Kurses hinausgehen, der flexibel ist und sich an die sich ständig ändernden Anforderungen der Best Practices im Bereich Cybersicherheit anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die schnell an das Unternehmen, das individuelle Qualifikationsniveau und allgemeine Branchenbewegungen angepasst werden kann, bieten Sie ihnen die beste Grundlage für sicheres Programmieren, wobei Sicherheit im Vordergrund steht und sicherheitsbewusstes Handeln im Vordergrund steht.
Eine Schulung, die für alle passt, nie wiederholt wird und die nicht von Anfang an durchgeführt werden, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, um die Einhaltung der Vorschriften zu gewährleisten. Es könnte veraltet sein, bevor Sie es überhaupt eingeführt haben, oder kaum mit den Anforderungen ihrer täglichen Arbeit in Verbindung gebracht werden können.
Dynamisches Training ist ein lebendiges, lebendiges Instrument, das ständig aktualisiert wird, um den täglichen Bedürfnissen gerecht zu werden. Es regt die Benutzer zum kritischen Denken an und befähigt sie tatsächlich, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Es wird sein:
- Bissgerecht: Entwickler können Fähigkeiten in überschaubaren Abschnitten erlernen, die sich viel leichter merken (und, was noch wichtiger ist, anzuwenden) sind als langatmige Trainingsunterlagen und Videos
- Relevant: Was nützt generisches Sicherheitstraining, bei dem die Beispiele beispielsweise in C# stehen, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Programmieren finden und korrigieren (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft verändert sich ständig, und mit mehr Code geht auch mehr Verantwortung einher. Damit Entwickler Ihre erste Verteidigungslinie sein können, benötigen sie Schulungen, die stets auf dem neuesten Stand der bewährten Sicherheitsmethoden sind.
- Engagierend: Es ist kein Geheimnis, dass Entwickler „Sicherheit“ als lästige Pflicht empfinden können, insbesondere wenn sie ihren kreativen Fluss beeinträchtigt. Die richtige Schulung zeigt ihnen, welche Macht sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, und fördert so eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Lustig: Dynamisches Training ist selten langweilig, es soll zumindest von Natur aus etwas aufregend sein. Denke darüber nach, was Entwickler lieben: Probleme zu lösen, sich mit Gleichaltrigen zu messen und — wie viele von uns — in der Belegschaft Belohnungen und Anerkennung. Nutzen Sie ihre Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, Softwareentwickler zu sein. Sie spielen eine wichtige Rolle in der digitalen Innovation, helfen dabei, großartige Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Angesichts der Tatsache, dass Regierungsbehörden und große Unternehmen jedoch erkennen, welche Rolle sie bei der Festlegung von Standards für Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Begeisterung für sicheres Programmieren fördern, und nicht durch bürokratisches Ankreuzen.
Zwar werden sich regulatorische Initiativen im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Es fühlt sich an, als ob „Cybersicherheits-Compliance“ seit Jahren im Trend liegt. In endlosen Artikeln, Initiativen und Ausschüssen wird diskutiert, wie die Welt am besten gegen die riesige, vielfältige Bedrohung, die Cyberkriminalität, vorgehen sollte.
Das Problem ist, wir scheinen es nicht gemacht zu haben Das viel Fortschritt. Weltweit sind die Kosten von Datenschutzverletzungen stetig gestiegen. Innerhalb von fünf Jahren sind sie um 12% gestiegen und haben sich auf ca. $3.92 Millionen USD pro Verstoß im Jahr 2019. Als unsere Internetnutzung in nur wenigen Jahrzehnten explosionsartig zunahm, mussten viele Unternehmen einfach ungeschützt kämpfen, da sie schnell online gingen, Geschäfte einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen des Missbrauchs des Kundenvertrauens auseinandersetzten.
Heutzutage sind wir unwiderlegbar reifer. Wir verstehen und erörtern ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis haben kann, und viele Unternehmen versuchen aktiv, die Softwaresicherheit durch Compliance-Schulungen, die Einstellung qualifizierter Mitarbeiter und zunehmend durch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte werden wir den Kampf nicht gewinnen — auch nicht annähernd. Es gab mindestens vier Milliarden Datensätze gestohlen allein im Jahr 2019 bei Datenschutzverletzungen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) in Bezug auf Cybersicherheitsstandards, Erwartungen und Folgen eines Verstoßes. Das Aufkommen von DSGVO hat zumindest in Europa einige Blicke auf sich gezogen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu erblühten Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürmen rein (zum falschen Training)
Solide Richtlinien in Form von NIST, neue Vorschriften für Bundesstaat New York und die Bildung der Britischer Cybersicherheitsrat waren allesamt monumentale Siege für diejenigen, die den guten Kampf für den Schutz unserer Daten führen. Sie erkennen die Probleme der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen bei den Standards zu unterstützen, die sie jetzt erfüllen müssen, um im Hinblick auf bewährte Sicherheitsverfahren als ethisch und konform angesehen zu werden.
Leider sind einige der wichtigsten Elemente zum jetzigen Zeitpunkt etwas zu offen für Interpretationen. Eines der Mandate in der Gesetzgebung des britischen Cybersicherheitsrates lautet beispielsweise:
„Eine definierte Liste von Zertifizierungen und einen leicht verständlichen Rahmen dafür zu erstellen, wie sie alle miteinander verknüpft sind und welche Fähigkeiten sie vermitteln, aufbauend auf den bereits geleisteten Karrierewegen“.
Ihre Initiativen werden sich im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Die Cybersicherheitsanforderungen eines Unternehmens ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen die Flut unsicherer Software in dem erforderlichen Tempo eindämmen werden. Die Landschaft ändert sich schneller, als ein herkömmlicher Kurs aktualisiert werden kann, was dazu führen kann, dass einige Unternehmen in die „Häkchen“ -Compliance-Falle geraten. Entwickler, Auftragnehmer und andere Sicherheitsexperten werden nicht ausreichend geschult, und wir sind wieder leichte Beute.
Statisches Training und statische Tools haben die gleichen Probleme
Statische Analysetools sind ein integraler Bestandteil des SDLC und erfüllen ihre Aufgabe als Scan-Arbeitspferde für die knappen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen zu finden sind. Sie machen einen guten Job, aber es gibt einen Fehler: Kein „einziges“ Tool kann nach jeder einzelnen Sicherheitslücke suchen und unterstützt die riesige Bandbreite an Programmier-Frameworks, die es gibt. Es ist auch ein langsamer Prozess, und es braucht nur eine Sicherheitslücke, die es durch die Ritzen schafft, um einem Angreifer die Tür offen zu lassen.
Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler die Sicherheitsschulung in Form eines starren, „einmaligen“ Kurses erhalten, ist es sehr unwahrscheinlich, dass sie mit den in diesem Zeitraum am häufigsten vorkommenden Sicherheitsproblemen Schritt gehalten haben. Es ist eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt. Es wird in der bevorzugten Sprache und dem von den Teilnehmern bevorzugten Framework abgehalten. Sie ist auch nicht kontextuell zu den Sicherheitslücken, mit denen sie bei ihrer täglichen Arbeit konfrontiert sein werden. Stellen Sie sich vor, Sie versuchen, sich an eine wichtige Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie gleichzeitig versuchen, Lieferfristen einzuhalten und den Code vor die Tür zu bringen... es ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, müssen Sie sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (insbesondere solche, die auf Sicherheitslücken zurückzuführen sind, die wir seit Jahrzehnten beim Programmieren vermeiden können). wie SQL-Injection) um zu erkennen, dass wir einen anderen Weg ausprobieren müssen.
Wir brauchen Schulungen, die über die Grenzen eines einzelnen, linearen Kurses hinausgehen, der flexibel ist und sich an die sich ständig ändernden Anforderungen der Best Practices im Bereich Cybersicherheit anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die schnell an das Unternehmen, das individuelle Qualifikationsniveau und allgemeine Branchenbewegungen angepasst werden kann, bieten Sie ihnen die beste Grundlage für sicheres Programmieren, wobei Sicherheit im Vordergrund steht und sicherheitsbewusstes Handeln im Vordergrund steht.
Eine Schulung, die für alle passt, nie wiederholt wird und die nicht von Anfang an durchgeführt werden, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, um die Einhaltung der Vorschriften zu gewährleisten. Es könnte veraltet sein, bevor Sie es überhaupt eingeführt haben, oder kaum mit den Anforderungen ihrer täglichen Arbeit in Verbindung gebracht werden können.
Dynamisches Training ist ein lebendiges, lebendiges Instrument, das ständig aktualisiert wird, um den täglichen Bedürfnissen gerecht zu werden. Es regt die Benutzer zum kritischen Denken an und befähigt sie tatsächlich, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Es wird sein:
- Bissgerecht: Entwickler können Fähigkeiten in überschaubaren Abschnitten erlernen, die sich viel leichter merken (und, was noch wichtiger ist, anzuwenden) sind als langatmige Trainingsunterlagen und Videos
- Relevant: Was nützt generisches Sicherheitstraining, bei dem die Beispiele beispielsweise in C# stehen, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Programmieren finden und korrigieren (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft verändert sich ständig, und mit mehr Code geht auch mehr Verantwortung einher. Damit Entwickler Ihre erste Verteidigungslinie sein können, benötigen sie Schulungen, die stets auf dem neuesten Stand der bewährten Sicherheitsmethoden sind.
- Engagierend: Es ist kein Geheimnis, dass Entwickler „Sicherheit“ als lästige Pflicht empfinden können, insbesondere wenn sie ihren kreativen Fluss beeinträchtigt. Die richtige Schulung zeigt ihnen, welche Macht sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, und fördert so eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Lustig: Dynamisches Training ist selten langweilig, es soll zumindest von Natur aus etwas aufregend sein. Denke darüber nach, was Entwickler lieben: Probleme zu lösen, sich mit Gleichaltrigen zu messen und — wie viele von uns — in der Belegschaft Belohnungen und Anerkennung. Nutzen Sie ihre Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, Softwareentwickler zu sein. Sie spielen eine wichtige Rolle in der digitalen Innovation, helfen dabei, großartige Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Angesichts der Tatsache, dass Regierungsbehörden und große Unternehmen jedoch erkennen, welche Rolle sie bei der Festlegung von Standards für Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Begeisterung für sicheres Programmieren fördern, und nicht durch bürokratisches Ankreuzen.
Es fühlt sich an, als ob „Cybersicherheits-Compliance“ seit Jahren im Trend liegt. In endlosen Artikeln, Initiativen und Ausschüssen wird diskutiert, wie die Welt am besten gegen die riesige, vielfältige Bedrohung, die Cyberkriminalität, vorgehen sollte.
Das Problem ist, wir scheinen es nicht gemacht zu haben Das viel Fortschritt. Weltweit sind die Kosten von Datenschutzverletzungen stetig gestiegen. Innerhalb von fünf Jahren sind sie um 12% gestiegen und haben sich auf ca. $3.92 Millionen USD pro Verstoß im Jahr 2019. Als unsere Internetnutzung in nur wenigen Jahrzehnten explosionsartig zunahm, mussten viele Unternehmen einfach ungeschützt kämpfen, da sie schnell online gingen, Geschäfte einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen des Missbrauchs des Kundenvertrauens auseinandersetzten.
Heutzutage sind wir unwiderlegbar reifer. Wir verstehen und erörtern ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis haben kann, und viele Unternehmen versuchen aktiv, die Softwaresicherheit durch Compliance-Schulungen, die Einstellung qualifizierter Mitarbeiter und zunehmend durch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte werden wir den Kampf nicht gewinnen — auch nicht annähernd. Es gab mindestens vier Milliarden Datensätze gestohlen allein im Jahr 2019 bei Datenschutzverletzungen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) in Bezug auf Cybersicherheitsstandards, Erwartungen und Folgen eines Verstoßes. Das Aufkommen von DSGVO hat zumindest in Europa einige Blicke auf sich gezogen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu erblühten Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürmen rein (zum falschen Training)
Solide Richtlinien in Form von NIST, neue Vorschriften für Bundesstaat New York und die Bildung der Britischer Cybersicherheitsrat waren allesamt monumentale Siege für diejenigen, die den guten Kampf für den Schutz unserer Daten führen. Sie erkennen die Probleme der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen bei den Standards zu unterstützen, die sie jetzt erfüllen müssen, um im Hinblick auf bewährte Sicherheitsverfahren als ethisch und konform angesehen zu werden.
Leider sind einige der wichtigsten Elemente zum jetzigen Zeitpunkt etwas zu offen für Interpretationen. Eines der Mandate in der Gesetzgebung des britischen Cybersicherheitsrates lautet beispielsweise:
„Eine definierte Liste von Zertifizierungen und einen leicht verständlichen Rahmen dafür zu erstellen, wie sie alle miteinander verknüpft sind und welche Fähigkeiten sie vermitteln, aufbauend auf den bereits geleisteten Karrierewegen“.
Ihre Initiativen werden sich im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Die Cybersicherheitsanforderungen eines Unternehmens ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen die Flut unsicherer Software in dem erforderlichen Tempo eindämmen werden. Die Landschaft ändert sich schneller, als ein herkömmlicher Kurs aktualisiert werden kann, was dazu führen kann, dass einige Unternehmen in die „Häkchen“ -Compliance-Falle geraten. Entwickler, Auftragnehmer und andere Sicherheitsexperten werden nicht ausreichend geschult, und wir sind wieder leichte Beute.
Statisches Training und statische Tools haben die gleichen Probleme
Statische Analysetools sind ein integraler Bestandteil des SDLC und erfüllen ihre Aufgabe als Scan-Arbeitspferde für die knappen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen zu finden sind. Sie machen einen guten Job, aber es gibt einen Fehler: Kein „einziges“ Tool kann nach jeder einzelnen Sicherheitslücke suchen und unterstützt die riesige Bandbreite an Programmier-Frameworks, die es gibt. Es ist auch ein langsamer Prozess, und es braucht nur eine Sicherheitslücke, die es durch die Ritzen schafft, um einem Angreifer die Tür offen zu lassen.
Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler die Sicherheitsschulung in Form eines starren, „einmaligen“ Kurses erhalten, ist es sehr unwahrscheinlich, dass sie mit den in diesem Zeitraum am häufigsten vorkommenden Sicherheitsproblemen Schritt gehalten haben. Es ist eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt. Es wird in der bevorzugten Sprache und dem von den Teilnehmern bevorzugten Framework abgehalten. Sie ist auch nicht kontextuell zu den Sicherheitslücken, mit denen sie bei ihrer täglichen Arbeit konfrontiert sein werden. Stellen Sie sich vor, Sie versuchen, sich an eine wichtige Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie gleichzeitig versuchen, Lieferfristen einzuhalten und den Code vor die Tür zu bringen... es ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, müssen Sie sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (insbesondere solche, die auf Sicherheitslücken zurückzuführen sind, die wir seit Jahrzehnten beim Programmieren vermeiden können). wie SQL-Injection) um zu erkennen, dass wir einen anderen Weg ausprobieren müssen.
Wir brauchen Schulungen, die über die Grenzen eines einzelnen, linearen Kurses hinausgehen, der flexibel ist und sich an die sich ständig ändernden Anforderungen der Best Practices im Bereich Cybersicherheit anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die schnell an das Unternehmen, das individuelle Qualifikationsniveau und allgemeine Branchenbewegungen angepasst werden kann, bieten Sie ihnen die beste Grundlage für sicheres Programmieren, wobei Sicherheit im Vordergrund steht und sicherheitsbewusstes Handeln im Vordergrund steht.
Eine Schulung, die für alle passt, nie wiederholt wird und die nicht von Anfang an durchgeführt werden, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, um die Einhaltung der Vorschriften zu gewährleisten. Es könnte veraltet sein, bevor Sie es überhaupt eingeführt haben, oder kaum mit den Anforderungen ihrer täglichen Arbeit in Verbindung gebracht werden können.
Dynamisches Training ist ein lebendiges, lebendiges Instrument, das ständig aktualisiert wird, um den täglichen Bedürfnissen gerecht zu werden. Es regt die Benutzer zum kritischen Denken an und befähigt sie tatsächlich, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Es wird sein:
- Bissgerecht: Entwickler können Fähigkeiten in überschaubaren Abschnitten erlernen, die sich viel leichter merken (und, was noch wichtiger ist, anzuwenden) sind als langatmige Trainingsunterlagen und Videos
- Relevant: Was nützt generisches Sicherheitstraining, bei dem die Beispiele beispielsweise in C# stehen, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Programmieren finden und korrigieren (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft verändert sich ständig, und mit mehr Code geht auch mehr Verantwortung einher. Damit Entwickler Ihre erste Verteidigungslinie sein können, benötigen sie Schulungen, die stets auf dem neuesten Stand der bewährten Sicherheitsmethoden sind.
- Engagierend: Es ist kein Geheimnis, dass Entwickler „Sicherheit“ als lästige Pflicht empfinden können, insbesondere wenn sie ihren kreativen Fluss beeinträchtigt. Die richtige Schulung zeigt ihnen, welche Macht sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, und fördert so eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Lustig: Dynamisches Training ist selten langweilig, es soll zumindest von Natur aus etwas aufregend sein. Denke darüber nach, was Entwickler lieben: Probleme zu lösen, sich mit Gleichaltrigen zu messen und — wie viele von uns — in der Belegschaft Belohnungen und Anerkennung. Nutzen Sie ihre Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, Softwareentwickler zu sein. Sie spielen eine wichtige Rolle in der digitalen Innovation, helfen dabei, großartige Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Angesichts der Tatsache, dass Regierungsbehörden und große Unternehmen jedoch erkennen, welche Rolle sie bei der Festlegung von Standards für Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Begeisterung für sicheres Programmieren fördern, und nicht durch bürokratisches Ankreuzen.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Es fühlt sich an, als ob „Cybersicherheits-Compliance“ seit Jahren im Trend liegt. In endlosen Artikeln, Initiativen und Ausschüssen wird diskutiert, wie die Welt am besten gegen die riesige, vielfältige Bedrohung, die Cyberkriminalität, vorgehen sollte.
Das Problem ist, wir scheinen es nicht gemacht zu haben Das viel Fortschritt. Weltweit sind die Kosten von Datenschutzverletzungen stetig gestiegen. Innerhalb von fünf Jahren sind sie um 12% gestiegen und haben sich auf ca. $3.92 Millionen USD pro Verstoß im Jahr 2019. Als unsere Internetnutzung in nur wenigen Jahrzehnten explosionsartig zunahm, mussten viele Unternehmen einfach ungeschützt kämpfen, da sie schnell online gingen, Geschäfte einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen des Missbrauchs des Kundenvertrauens auseinandersetzten.
Heutzutage sind wir unwiderlegbar reifer. Wir verstehen und erörtern ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis haben kann, und viele Unternehmen versuchen aktiv, die Softwaresicherheit durch Compliance-Schulungen, die Einstellung qualifizierter Mitarbeiter und zunehmend durch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte werden wir den Kampf nicht gewinnen — auch nicht annähernd. Es gab mindestens vier Milliarden Datensätze gestohlen allein im Jahr 2019 bei Datenschutzverletzungen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) in Bezug auf Cybersicherheitsstandards, Erwartungen und Folgen eines Verstoßes. Das Aufkommen von DSGVO hat zumindest in Europa einige Blicke auf sich gezogen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu erblühten Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürmen rein (zum falschen Training)
Solide Richtlinien in Form von NIST, neue Vorschriften für Bundesstaat New York und die Bildung der Britischer Cybersicherheitsrat waren allesamt monumentale Siege für diejenigen, die den guten Kampf für den Schutz unserer Daten führen. Sie erkennen die Probleme der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen bei den Standards zu unterstützen, die sie jetzt erfüllen müssen, um im Hinblick auf bewährte Sicherheitsverfahren als ethisch und konform angesehen zu werden.
Leider sind einige der wichtigsten Elemente zum jetzigen Zeitpunkt etwas zu offen für Interpretationen. Eines der Mandate in der Gesetzgebung des britischen Cybersicherheitsrates lautet beispielsweise:
„Eine definierte Liste von Zertifizierungen und einen leicht verständlichen Rahmen dafür zu erstellen, wie sie alle miteinander verknüpft sind und welche Fähigkeiten sie vermitteln, aufbauend auf den bereits geleisteten Karrierewegen“.
Ihre Initiativen werden sich im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Die Cybersicherheitsanforderungen eines Unternehmens ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen die Flut unsicherer Software in dem erforderlichen Tempo eindämmen werden. Die Landschaft ändert sich schneller, als ein herkömmlicher Kurs aktualisiert werden kann, was dazu führen kann, dass einige Unternehmen in die „Häkchen“ -Compliance-Falle geraten. Entwickler, Auftragnehmer und andere Sicherheitsexperten werden nicht ausreichend geschult, und wir sind wieder leichte Beute.
Statisches Training und statische Tools haben die gleichen Probleme
Statische Analysetools sind ein integraler Bestandteil des SDLC und erfüllen ihre Aufgabe als Scan-Arbeitspferde für die knappen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen zu finden sind. Sie machen einen guten Job, aber es gibt einen Fehler: Kein „einziges“ Tool kann nach jeder einzelnen Sicherheitslücke suchen und unterstützt die riesige Bandbreite an Programmier-Frameworks, die es gibt. Es ist auch ein langsamer Prozess, und es braucht nur eine Sicherheitslücke, die es durch die Ritzen schafft, um einem Angreifer die Tür offen zu lassen.
Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler die Sicherheitsschulung in Form eines starren, „einmaligen“ Kurses erhalten, ist es sehr unwahrscheinlich, dass sie mit den in diesem Zeitraum am häufigsten vorkommenden Sicherheitsproblemen Schritt gehalten haben. Es ist eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt. Es wird in der bevorzugten Sprache und dem von den Teilnehmern bevorzugten Framework abgehalten. Sie ist auch nicht kontextuell zu den Sicherheitslücken, mit denen sie bei ihrer täglichen Arbeit konfrontiert sein werden. Stellen Sie sich vor, Sie versuchen, sich an eine wichtige Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie gleichzeitig versuchen, Lieferfristen einzuhalten und den Code vor die Tür zu bringen... es ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, müssen Sie sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (insbesondere solche, die auf Sicherheitslücken zurückzuführen sind, die wir seit Jahrzehnten beim Programmieren vermeiden können). wie SQL-Injection) um zu erkennen, dass wir einen anderen Weg ausprobieren müssen.
Wir brauchen Schulungen, die über die Grenzen eines einzelnen, linearen Kurses hinausgehen, der flexibel ist und sich an die sich ständig ändernden Anforderungen der Best Practices im Bereich Cybersicherheit anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die schnell an das Unternehmen, das individuelle Qualifikationsniveau und allgemeine Branchenbewegungen angepasst werden kann, bieten Sie ihnen die beste Grundlage für sicheres Programmieren, wobei Sicherheit im Vordergrund steht und sicherheitsbewusstes Handeln im Vordergrund steht.
Eine Schulung, die für alle passt, nie wiederholt wird und die nicht von Anfang an durchgeführt werden, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, um die Einhaltung der Vorschriften zu gewährleisten. Es könnte veraltet sein, bevor Sie es überhaupt eingeführt haben, oder kaum mit den Anforderungen ihrer täglichen Arbeit in Verbindung gebracht werden können.
Dynamisches Training ist ein lebendiges, lebendiges Instrument, das ständig aktualisiert wird, um den täglichen Bedürfnissen gerecht zu werden. Es regt die Benutzer zum kritischen Denken an und befähigt sie tatsächlich, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Es wird sein:
- Bissgerecht: Entwickler können Fähigkeiten in überschaubaren Abschnitten erlernen, die sich viel leichter merken (und, was noch wichtiger ist, anzuwenden) sind als langatmige Trainingsunterlagen und Videos
- Relevant: Was nützt generisches Sicherheitstraining, bei dem die Beispiele beispielsweise in C# stehen, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Programmieren finden und korrigieren (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft verändert sich ständig, und mit mehr Code geht auch mehr Verantwortung einher. Damit Entwickler Ihre erste Verteidigungslinie sein können, benötigen sie Schulungen, die stets auf dem neuesten Stand der bewährten Sicherheitsmethoden sind.
- Engagierend: Es ist kein Geheimnis, dass Entwickler „Sicherheit“ als lästige Pflicht empfinden können, insbesondere wenn sie ihren kreativen Fluss beeinträchtigt. Die richtige Schulung zeigt ihnen, welche Macht sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, und fördert so eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Lustig: Dynamisches Training ist selten langweilig, es soll zumindest von Natur aus etwas aufregend sein. Denke darüber nach, was Entwickler lieben: Probleme zu lösen, sich mit Gleichaltrigen zu messen und — wie viele von uns — in der Belegschaft Belohnungen und Anerkennung. Nutzen Sie ihre Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, Softwareentwickler zu sein. Sie spielen eine wichtige Rolle in der digitalen Innovation, helfen dabei, großartige Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Angesichts der Tatsache, dass Regierungsbehörden und große Unternehmen jedoch erkennen, welche Rolle sie bei der Festlegung von Standards für Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Begeisterung für sicheres Programmieren fördern, und nicht durch bürokratisches Ankreuzen.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
