世界クラスのCISOが2023年に予算と取締役会の信頼をどのように獲得しているか
この記事は最初に掲載されました SC マガジン。ここで更新され、シンジケートされました。
CISOは、より多くの資産を保護し、より多くのコードを発送し、より大きな攻撃対象領域を減らし、それを急速に減少する財源で行うという、ますます困難な状況に陥っています。サイバーセキュリティはコストセンターと見なされていることは避けられない事実です。組織のセキュリティプログラムは、脅威アクターが明日の悲惨な見出しで取り上げるのを妨げるものですが、セキュリティリーダーは、執行機関にとって意味のある言葉で、部門全体のビジネス価値を売り込み、証明するためにより多くのことをしなければなりません。
世界トップクラスのCISOは、顧客の信頼とブランドの評判を高め、利用可能なあらゆるツールを活用して否定できない価値を創造する総合的なセキュリティプログラムを主導しています。まずは、一般的なセキュリティ上の落とし穴に対する戦略的かつ予防的なアプローチから始め、優れたセキュリティを維持するには時間、リソース、人材が足りないという考え方は捨て去ります。
役員室での議論を変えましょう。
現在の経済情勢では、支出額、雇用、およびビジネス目標への戦略的影響について精査を免れている企業や部門はほとんどありません。現代の企業が広範なサイバーセキュリティプログラムを必要とすることは当たり前のように思えるかもしれませんが、それは組織にとって多大なコストであり、投資収益率の観点から正当化するのは簡単ではありません。
経営幹部のリーダーや取締役会の利害関係者は、投資サイバーセキュリティイニシアチブから予測される成果を、スプレッドシートの数字以外にも意味のある言葉で明確に理解する必要があります。CISOは技術的な知識と理解のレベルが異なるため、CISOはわかりやすいメッセージで自分の主張を伝える努力をしなければなりません。クラス最高の例を示すには、プログラムの規模、保護が必要なもの、有効化する必要があるのは誰なのかを説明してください。攻撃は増加傾向にあり、 しかし、予算が追いつかないそして、善戦を戦うには、そのメリットを正当化するための口頭でのキャンペーンが始まります。
業種に関係なく、どの企業も急速にテクノロジー企業になりつつあると長い間言われてきました。ほとんどの組織ではデジタルファーストのアプローチが当たり前となっていますが、これは攻撃対象領域が非常に大きく、その時点で可能な限りの保護を必要としています。セキュリティリーダーは多くの役割を担っていますが、(手遅れになるまで)見過ごされがちなのは、本質的に顧客の信頼を守る側であるということです。これは価値提案としていくら強調してもしすぎることはなく、営業やマーケティングの目標と同じくらい重要です。
セキュリティに対する予防的アプローチの価値を証明してください。
現在のサイバーセキュリティ統計 育毛しているただし、FUDでプレイしてスケアモンガーを行うことは、より多くの予算を獲得することになると、通常は無駄な戦術です。企業の経営陣の中で、サイバーセキュリティは優先事項ではないと主張する人はほとんどいませんが、より良い成果を得るために既存のリソースを活用する進取的な戦略が提唱されれば、予算増額を受け入れる傾向がはるかに高くなります。
ニュースター国際安全保障理事会の最近の調査によると、 わずか 50% の企業 既知のサイバーセキュリティ問題に取り組むのに十分な予算があると感じています。そして、グローバルなサイバー攻撃では 38% 増加しています 2021年から2022年の間に、これは平均的なCISOにとってさらに困難な道のりとなる可能性があります。しかし、真の意味で世界トップクラスのセキュリティリーダーは、こうした課題を乗り越え、逆境を乗り越えてイノベーションを起こすことができます。
多くのシナリオでは、予防は治療よりも簡単でわかりやすく、サイバーセキュリティも例外ではありません。総合的なセキュリティ・プログラムは、事後対応型の対策や脆弱性管理をはるかに超えるものでなければなりません。 多くの CISO が懸念する上位 3 つに、開発者がその運動の不可欠な部分であることは理にかなっています。一般的なセキュリティバグに正面から取り組むための実践的な教育が必要です。そうすることで、これらの問題を根本から排除し、そもそも本番環境に移行できないようにすることができます。私たちは今、低品質で安全でないコードの言い訳を続けるわけにはいきません。開発コホートのスキルアップは、コードレベルの脆弱性に対する最も費用対効果が高く強力な救済策です。
CISOが既存の予算を維持するために戦うことは極めて重要であり、特に開発者にとって、役割ベースのセキュリティスキル向上のメリットを詳しく説明することは、扱いにくいセキュリティ技術スタックに次の「特効薬」を追加するよりも早い成果です。
セキュリティはブランドの基本の一部であるべきです。
ほとんどのCISOは、マーケティングに情熱を傾けるためにその役割を果たしたわけではありませんが、少なくとも財源を持っている人に自分の主張を伝える際には、この分野に取り組むべき分野の1つです。
サイバーセキュリティプログラムが顧客の信頼とブランドロイヤルティに与える影響は、いくら強調してもしすぎることはありません。また、大規模なセキュリティ侵害は、聖書のような規模の大量流出を招きかねません。これとは対照的に、厳格なセキュリティ慣行をコアブランドバリューと整合させることで、データのプライバシーと保護は単に最優先事項ではなく、顧客が信頼できるものであるという明確なメッセージを送ることができます。
現代のCISOが時間をかけてセキュリティ戦略とポリシーの競争上の優位性を強調することは、顧客からの好意的な感情と信頼の継続につながるため、極めて重要です。事後対応型のセキュリティだけでは同じ効果が得られず、利用可能なあらゆるリソースで特権資産を保護することに焦点を当てたバランスの取れたアプローチが究極の差別化要因となり得ます。
これ以上言い訳の余地はありませんが、CISOが真に変革をもたらすセキュリティ戦略のための十分な資金調達を求める際に、説得力のある理由はたくさんあります。
CISOは、より多くの資産を保護し、より多くのコードを発送し、より大きな攻撃対象領域を減らし、それを急速に減少する財源で行うという、ますます困難な状況に陥っています。サイバーセキュリティはコストセンターと見なされていることは避けられない事実です。組織のセキュリティプログラムは、脅威アクターが明日の悲惨な見出しで取り上げるのを妨げるものですが、セキュリティリーダーは、執行機関にとって意味のある言葉で、部門全体のビジネス価値を売り込み、証明するためにより多くのことをしなければなりません。
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa, Sensei Security. A lo largo de su carrera, Matías ha liderado varios proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y ha obtenido más de 10 patentes.Cuando no está frente a su escritorio, Matías imparte cursos avanzados de formación en seguridad de aplicaciones y participa regularmente como ponente en conferencias internacionales como RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías obtuvo un doctorado en Ingeniería Informática en la Universidad de Gante, donde aprendió sobre la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar su funcionamiento interno.
この記事は最初に掲載されました SC マガジン。ここで更新され、シンジケートされました。
CISOは、より多くの資産を保護し、より多くのコードを発送し、より大きな攻撃対象領域を減らし、それを急速に減少する財源で行うという、ますます困難な状況に陥っています。サイバーセキュリティはコストセンターと見なされていることは避けられない事実です。組織のセキュリティプログラムは、脅威アクターが明日の悲惨な見出しで取り上げるのを妨げるものですが、セキュリティリーダーは、執行機関にとって意味のある言葉で、部門全体のビジネス価値を売り込み、証明するためにより多くのことをしなければなりません。
世界トップクラスのCISOは、顧客の信頼とブランドの評判を高め、利用可能なあらゆるツールを活用して否定できない価値を創造する総合的なセキュリティプログラムを主導しています。まずは、一般的なセキュリティ上の落とし穴に対する戦略的かつ予防的なアプローチから始め、優れたセキュリティを維持するには時間、リソース、人材が足りないという考え方は捨て去ります。
役員室での議論を変えましょう。
現在の経済情勢では、支出額、雇用、およびビジネス目標への戦略的影響について精査を免れている企業や部門はほとんどありません。現代の企業が広範なサイバーセキュリティプログラムを必要とすることは当たり前のように思えるかもしれませんが、それは組織にとって多大なコストであり、投資収益率の観点から正当化するのは簡単ではありません。
経営幹部のリーダーや取締役会の利害関係者は、投資サイバーセキュリティイニシアチブから予測される成果を、スプレッドシートの数字以外にも意味のある言葉で明確に理解する必要があります。CISOは技術的な知識と理解のレベルが異なるため、CISOはわかりやすいメッセージで自分の主張を伝える努力をしなければなりません。クラス最高の例を示すには、プログラムの規模、保護が必要なもの、有効化する必要があるのは誰なのかを説明してください。攻撃は増加傾向にあり、 しかし、予算が追いつかないそして、善戦を戦うには、そのメリットを正当化するための口頭でのキャンペーンが始まります。
業種に関係なく、どの企業も急速にテクノロジー企業になりつつあると長い間言われてきました。ほとんどの組織ではデジタルファーストのアプローチが当たり前となっていますが、これは攻撃対象領域が非常に大きく、その時点で可能な限りの保護を必要としています。セキュリティリーダーは多くの役割を担っていますが、(手遅れになるまで)見過ごされがちなのは、本質的に顧客の信頼を守る側であるということです。これは価値提案としていくら強調してもしすぎることはなく、営業やマーケティングの目標と同じくらい重要です。
セキュリティに対する予防的アプローチの価値を証明してください。
現在のサイバーセキュリティ統計 育毛しているただし、FUDでプレイしてスケアモンガーを行うことは、より多くの予算を獲得することになると、通常は無駄な戦術です。企業の経営陣の中で、サイバーセキュリティは優先事項ではないと主張する人はほとんどいませんが、より良い成果を得るために既存のリソースを活用する進取的な戦略が提唱されれば、予算増額を受け入れる傾向がはるかに高くなります。
ニュースター国際安全保障理事会の最近の調査によると、 わずか 50% の企業 既知のサイバーセキュリティ問題に取り組むのに十分な予算があると感じています。そして、グローバルなサイバー攻撃では 38% 増加しています 2021年から2022年の間に、これは平均的なCISOにとってさらに困難な道のりとなる可能性があります。しかし、真の意味で世界トップクラスのセキュリティリーダーは、こうした課題を乗り越え、逆境を乗り越えてイノベーションを起こすことができます。
多くのシナリオでは、予防は治療よりも簡単でわかりやすく、サイバーセキュリティも例外ではありません。総合的なセキュリティ・プログラムは、事後対応型の対策や脆弱性管理をはるかに超えるものでなければなりません。 多くの CISO が懸念する上位 3 つに、開発者がその運動の不可欠な部分であることは理にかなっています。一般的なセキュリティバグに正面から取り組むための実践的な教育が必要です。そうすることで、これらの問題を根本から排除し、そもそも本番環境に移行できないようにすることができます。私たちは今、低品質で安全でないコードの言い訳を続けるわけにはいきません。開発コホートのスキルアップは、コードレベルの脆弱性に対する最も費用対効果が高く強力な救済策です。
CISOが既存の予算を維持するために戦うことは極めて重要であり、特に開発者にとって、役割ベースのセキュリティスキル向上のメリットを詳しく説明することは、扱いにくいセキュリティ技術スタックに次の「特効薬」を追加するよりも早い成果です。
セキュリティはブランドの基本の一部であるべきです。
ほとんどのCISOは、マーケティングに情熱を傾けるためにその役割を果たしたわけではありませんが、少なくとも財源を持っている人に自分の主張を伝える際には、この分野に取り組むべき分野の1つです。
サイバーセキュリティプログラムが顧客の信頼とブランドロイヤルティに与える影響は、いくら強調してもしすぎることはありません。また、大規模なセキュリティ侵害は、聖書のような規模の大量流出を招きかねません。これとは対照的に、厳格なセキュリティ慣行をコアブランドバリューと整合させることで、データのプライバシーと保護は単に最優先事項ではなく、顧客が信頼できるものであるという明確なメッセージを送ることができます。
現代のCISOが時間をかけてセキュリティ戦略とポリシーの競争上の優位性を強調することは、顧客からの好意的な感情と信頼の継続につながるため、極めて重要です。事後対応型のセキュリティだけでは同じ効果が得られず、利用可能なあらゆるリソースで特権資産を保護することに焦点を当てたバランスの取れたアプローチが究極の差別化要因となり得ます。
これ以上言い訳の余地はありませんが、CISOが真に変革をもたらすセキュリティ戦略のための十分な資金調達を求める際に、説得力のある理由はたくさんあります。
この記事は最初に掲載されました SC マガジン。ここで更新され、シンジケートされました。
CISOは、より多くの資産を保護し、より多くのコードを発送し、より大きな攻撃対象領域を減らし、それを急速に減少する財源で行うという、ますます困難な状況に陥っています。サイバーセキュリティはコストセンターと見なされていることは避けられない事実です。組織のセキュリティプログラムは、脅威アクターが明日の悲惨な見出しで取り上げるのを妨げるものですが、セキュリティリーダーは、執行機関にとって意味のある言葉で、部門全体のビジネス価値を売り込み、証明するためにより多くのことをしなければなりません。
世界トップクラスのCISOは、顧客の信頼とブランドの評判を高め、利用可能なあらゆるツールを活用して否定できない価値を創造する総合的なセキュリティプログラムを主導しています。まずは、一般的なセキュリティ上の落とし穴に対する戦略的かつ予防的なアプローチから始め、優れたセキュリティを維持するには時間、リソース、人材が足りないという考え方は捨て去ります。
役員室での議論を変えましょう。
現在の経済情勢では、支出額、雇用、およびビジネス目標への戦略的影響について精査を免れている企業や部門はほとんどありません。現代の企業が広範なサイバーセキュリティプログラムを必要とすることは当たり前のように思えるかもしれませんが、それは組織にとって多大なコストであり、投資収益率の観点から正当化するのは簡単ではありません。
経営幹部のリーダーや取締役会の利害関係者は、投資サイバーセキュリティイニシアチブから予測される成果を、スプレッドシートの数字以外にも意味のある言葉で明確に理解する必要があります。CISOは技術的な知識と理解のレベルが異なるため、CISOはわかりやすいメッセージで自分の主張を伝える努力をしなければなりません。クラス最高の例を示すには、プログラムの規模、保護が必要なもの、有効化する必要があるのは誰なのかを説明してください。攻撃は増加傾向にあり、 しかし、予算が追いつかないそして、善戦を戦うには、そのメリットを正当化するための口頭でのキャンペーンが始まります。
業種に関係なく、どの企業も急速にテクノロジー企業になりつつあると長い間言われてきました。ほとんどの組織ではデジタルファーストのアプローチが当たり前となっていますが、これは攻撃対象領域が非常に大きく、その時点で可能な限りの保護を必要としています。セキュリティリーダーは多くの役割を担っていますが、(手遅れになるまで)見過ごされがちなのは、本質的に顧客の信頼を守る側であるということです。これは価値提案としていくら強調してもしすぎることはなく、営業やマーケティングの目標と同じくらい重要です。
セキュリティに対する予防的アプローチの価値を証明してください。
現在のサイバーセキュリティ統計 育毛しているただし、FUDでプレイしてスケアモンガーを行うことは、より多くの予算を獲得することになると、通常は無駄な戦術です。企業の経営陣の中で、サイバーセキュリティは優先事項ではないと主張する人はほとんどいませんが、より良い成果を得るために既存のリソースを活用する進取的な戦略が提唱されれば、予算増額を受け入れる傾向がはるかに高くなります。
ニュースター国際安全保障理事会の最近の調査によると、 わずか 50% の企業 既知のサイバーセキュリティ問題に取り組むのに十分な予算があると感じています。そして、グローバルなサイバー攻撃では 38% 増加しています 2021年から2022年の間に、これは平均的なCISOにとってさらに困難な道のりとなる可能性があります。しかし、真の意味で世界トップクラスのセキュリティリーダーは、こうした課題を乗り越え、逆境を乗り越えてイノベーションを起こすことができます。
多くのシナリオでは、予防は治療よりも簡単でわかりやすく、サイバーセキュリティも例外ではありません。総合的なセキュリティ・プログラムは、事後対応型の対策や脆弱性管理をはるかに超えるものでなければなりません。 多くの CISO が懸念する上位 3 つに、開発者がその運動の不可欠な部分であることは理にかなっています。一般的なセキュリティバグに正面から取り組むための実践的な教育が必要です。そうすることで、これらの問題を根本から排除し、そもそも本番環境に移行できないようにすることができます。私たちは今、低品質で安全でないコードの言い訳を続けるわけにはいきません。開発コホートのスキルアップは、コードレベルの脆弱性に対する最も費用対効果が高く強力な救済策です。
CISOが既存の予算を維持するために戦うことは極めて重要であり、特に開発者にとって、役割ベースのセキュリティスキル向上のメリットを詳しく説明することは、扱いにくいセキュリティ技術スタックに次の「特効薬」を追加するよりも早い成果です。
セキュリティはブランドの基本の一部であるべきです。
ほとんどのCISOは、マーケティングに情熱を傾けるためにその役割を果たしたわけではありませんが、少なくとも財源を持っている人に自分の主張を伝える際には、この分野に取り組むべき分野の1つです。
サイバーセキュリティプログラムが顧客の信頼とブランドロイヤルティに与える影響は、いくら強調してもしすぎることはありません。また、大規模なセキュリティ侵害は、聖書のような規模の大量流出を招きかねません。これとは対照的に、厳格なセキュリティ慣行をコアブランドバリューと整合させることで、データのプライバシーと保護は単に最優先事項ではなく、顧客が信頼できるものであるという明確なメッセージを送ることができます。
現代のCISOが時間をかけてセキュリティ戦略とポリシーの競争上の優位性を強調することは、顧客からの好意的な感情と信頼の継続につながるため、極めて重要です。事後対応型のセキュリティだけでは同じ効果が得られず、利用可能なあらゆるリソースで特権資産を保護することに焦点を当てたバランスの取れたアプローチが究極の差別化要因となり得ます。
これ以上言い訳の余地はありませんが、CISOが真に変革をもたらすセキュリティ戦略のための十分な資金調達を求める際に、説得力のある理由はたくさんあります。
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa, Sensei Security. A lo largo de su carrera, Matías ha liderado varios proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y ha obtenido más de 10 patentes.Cuando no está frente a su escritorio, Matías imparte cursos avanzados de formación en seguridad de aplicaciones y participa regularmente como ponente en conferencias internacionales como RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías obtuvo un doctorado en Ingeniería Informática en la Universidad de Gante, donde aprendió sobre la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar su funcionamiento interno.
この記事は最初に掲載されました SC マガジン。ここで更新され、シンジケートされました。
CISOは、より多くの資産を保護し、より多くのコードを発送し、より大きな攻撃対象領域を減らし、それを急速に減少する財源で行うという、ますます困難な状況に陥っています。サイバーセキュリティはコストセンターと見なされていることは避けられない事実です。組織のセキュリティプログラムは、脅威アクターが明日の悲惨な見出しで取り上げるのを妨げるものですが、セキュリティリーダーは、執行機関にとって意味のある言葉で、部門全体のビジネス価値を売り込み、証明するためにより多くのことをしなければなりません。
世界トップクラスのCISOは、顧客の信頼とブランドの評判を高め、利用可能なあらゆるツールを活用して否定できない価値を創造する総合的なセキュリティプログラムを主導しています。まずは、一般的なセキュリティ上の落とし穴に対する戦略的かつ予防的なアプローチから始め、優れたセキュリティを維持するには時間、リソース、人材が足りないという考え方は捨て去ります。
役員室での議論を変えましょう。
現在の経済情勢では、支出額、雇用、およびビジネス目標への戦略的影響について精査を免れている企業や部門はほとんどありません。現代の企業が広範なサイバーセキュリティプログラムを必要とすることは当たり前のように思えるかもしれませんが、それは組織にとって多大なコストであり、投資収益率の観点から正当化するのは簡単ではありません。
経営幹部のリーダーや取締役会の利害関係者は、投資サイバーセキュリティイニシアチブから予測される成果を、スプレッドシートの数字以外にも意味のある言葉で明確に理解する必要があります。CISOは技術的な知識と理解のレベルが異なるため、CISOはわかりやすいメッセージで自分の主張を伝える努力をしなければなりません。クラス最高の例を示すには、プログラムの規模、保護が必要なもの、有効化する必要があるのは誰なのかを説明してください。攻撃は増加傾向にあり、 しかし、予算が追いつかないそして、善戦を戦うには、そのメリットを正当化するための口頭でのキャンペーンが始まります。
業種に関係なく、どの企業も急速にテクノロジー企業になりつつあると長い間言われてきました。ほとんどの組織ではデジタルファーストのアプローチが当たり前となっていますが、これは攻撃対象領域が非常に大きく、その時点で可能な限りの保護を必要としています。セキュリティリーダーは多くの役割を担っていますが、(手遅れになるまで)見過ごされがちなのは、本質的に顧客の信頼を守る側であるということです。これは価値提案としていくら強調してもしすぎることはなく、営業やマーケティングの目標と同じくらい重要です。
セキュリティに対する予防的アプローチの価値を証明してください。
現在のサイバーセキュリティ統計 育毛しているただし、FUDでプレイしてスケアモンガーを行うことは、より多くの予算を獲得することになると、通常は無駄な戦術です。企業の経営陣の中で、サイバーセキュリティは優先事項ではないと主張する人はほとんどいませんが、より良い成果を得るために既存のリソースを活用する進取的な戦略が提唱されれば、予算増額を受け入れる傾向がはるかに高くなります。
ニュースター国際安全保障理事会の最近の調査によると、 わずか 50% の企業 既知のサイバーセキュリティ問題に取り組むのに十分な予算があると感じています。そして、グローバルなサイバー攻撃では 38% 増加しています 2021年から2022年の間に、これは平均的なCISOにとってさらに困難な道のりとなる可能性があります。しかし、真の意味で世界トップクラスのセキュリティリーダーは、こうした課題を乗り越え、逆境を乗り越えてイノベーションを起こすことができます。
多くのシナリオでは、予防は治療よりも簡単でわかりやすく、サイバーセキュリティも例外ではありません。総合的なセキュリティ・プログラムは、事後対応型の対策や脆弱性管理をはるかに超えるものでなければなりません。 多くの CISO が懸念する上位 3 つに、開発者がその運動の不可欠な部分であることは理にかなっています。一般的なセキュリティバグに正面から取り組むための実践的な教育が必要です。そうすることで、これらの問題を根本から排除し、そもそも本番環境に移行できないようにすることができます。私たちは今、低品質で安全でないコードの言い訳を続けるわけにはいきません。開発コホートのスキルアップは、コードレベルの脆弱性に対する最も費用対効果が高く強力な救済策です。
CISOが既存の予算を維持するために戦うことは極めて重要であり、特に開発者にとって、役割ベースのセキュリティスキル向上のメリットを詳しく説明することは、扱いにくいセキュリティ技術スタックに次の「特効薬」を追加するよりも早い成果です。
セキュリティはブランドの基本の一部であるべきです。
ほとんどのCISOは、マーケティングに情熱を傾けるためにその役割を果たしたわけではありませんが、少なくとも財源を持っている人に自分の主張を伝える際には、この分野に取り組むべき分野の1つです。
サイバーセキュリティプログラムが顧客の信頼とブランドロイヤルティに与える影響は、いくら強調してもしすぎることはありません。また、大規模なセキュリティ侵害は、聖書のような規模の大量流出を招きかねません。これとは対照的に、厳格なセキュリティ慣行をコアブランドバリューと整合させることで、データのプライバシーと保護は単に最優先事項ではなく、顧客が信頼できるものであるという明確なメッセージを送ることができます。
現代のCISOが時間をかけてセキュリティ戦略とポリシーの競争上の優位性を強調することは、顧客からの好意的な感情と信頼の継続につながるため、極めて重要です。事後対応型のセキュリティだけでは同じ効果が得られず、利用可能なあらゆるリソースで特権資産を保護することに焦点を当てたバランスの取れたアプローチが究極の差別化要因となり得ます。
これ以上言い訳の余地はありませんが、CISOが真に変革をもたらすセキュリティ戦略のための十分な資金調達を求める際に、説得力のある理由はたくさんあります。
Índice
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
