Kuruluşların Yazılım Güvenliği Eğitimine Talebi Artırmanın 4 Yolu


YORUM

Her ne kadar siber güvenlik, kendi yazılımlarını yazan kuruluşlar için her zaman kritik bir alan olsa da, bu kuruluşların risk profilini benzeri görülmemiş seviyelere yükselten çeşitli güçlerin mükemmele yakın fırtınasına hızla yaklaşıyoruz. Uygulayarak yanıt vermeyen kuruluşlar tasarım gereği güvenli yarattıkları her şey için taktikler programlamak, yeni tehditler ve tehlikeler okyanusu tarafından sürüklenme riskini taşır.

Hepimiz biliyoruz ki Tehdit ortamı giderek kötüleşiyorOrganize suçlulardan ulus devletlerin desteklediği gruplara kadar her şey artık tek başına ve profesyonel saldırganlarla rekabet ediyor.

Çok az kuruluş, gelişmiş bir tehdidin kendilerine her saldırdığında başarılı bir şekilde tepki verebilir, çok daha az sayıda kuruluş, milyonlarca dolarlık temizlik maliyeti ödeyebilir. Ancak vasıflı siber güvenlik personeli eksikliğinin her zamankinden daha şiddetli olması nedeniyle durum daha da kritik. A Korn Feribotu çalışması 2030 yılına kadar dünya çapında 85 milyon doldurulmamış iş olacağı tahmin ediliyor. Siber güvenlik gibi gelişmiş beceri gerektiren teknik alanlar en çok etkilenenler arasında olacağından, şirketler güvenliklerini artırmak için yeni adayları işe alamayacaklar. duruş.

Son olarak, yasama ortamı kod yazanların aleyhine olma potansiyeli taşıyan şekillerde değişmeye başlıyor. Zayıf güvenlik uygulamaları nedeniyle bilgilerinin çalınmasından bıkmış tüketiciler arasındaki derin ihtiyattan yola çıkan Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yakın zamanda bir rapor yayınladı. 2023–2025 stratejik planı. CISA planı, teknolojinin halka sunulmadan önce güvenlik açıklarının sayısını en aza indirecek şekilde tasarlanmasını gerektiriyor. Plandaki tavsiyeler şu anda sadece öneri olsa da, planın bazı unsurlarının yasaya dönüştürülme ihtimali oldukça yüksek.

Mükemmel Güvenlik Fırtınasının Zorluklarıyla Karşılaşmak

Her ne kadar çeşitli faktörler durumu her zamankinden daha karmaşık hale getirse de, kendi yazılımlarını yaratan şirketler, halihazırda sahip oldukları inanılmaz bir kaynaktan, yani geliştiricilerinden yararlanarak bu yeni zorluğun üstesinden gelebilecek benzersiz bir konumdadır. Kuruluşlar, geliştiricilerini güçlendirerek, becerilerini geliştirerek ve yeniden beceri kazandırarak güvenlik duruşlarını iyileştirmeye, daha az güvenlik açığıyla daha güvenli kod yazmaya ve devlet talimatlarına pazarlık edilemez hale gelmeden önce uymaya yardımcı olabilir.

İşte ilerici, akıllı kuruluşların bu kritik hedefe halihazırda ulaşmasını sağlayan dört yol:

Gerçek Başarı Kriterlerinin Belirlenmesi

İyi tanımlanmış hedefler olmadan yapılan eğitim, becerilerin geliştirilmesinde yalnızca minimum düzeyde etkilidir. İyi bir siber güvenlik eğitim programı uygulanırken, önceden belirlenmiş iş etkenleri ve hedeflere odaklanılmalıdır. Örneğin, deneyimlerimize göre en yaygın üç iş etkeni uyumluluk, risk azaltma ve üretkenliği içermektedir. İyi bir antrenman programının daha iyi tanımlanması için arzu edilen antrenman sonrası hedeflerin iyi tanımlanması gerekir.

Güvenlik Şampiyonlarını Belirleme

Bir güvenlik şampiyonu mutlaka en iyi programcı olmayabilir, ancak bu becerilere sahip olmak yardımcı olabilir. En iyi güvenlik şampiyonları, geliştirme ekibinde güvenliğe aktif ilgi duyan ve diğerlerinin en son en iyi uygulamalar ve teknikler konusunda bilgi edinmelerine yardımcı olma arzusu taşıyan kişilerdir.

En başarılı kuruluşlar, şampiyonlarını belirlemek için zaman harcarlar; bu arada, şampiyonları olmayan programlar, tanımlanmış uzun vadeli iş hedeflerine asla ulaşamama riskiyle karşı karşıyadır.

Teşviklerin Yaygınlaştırılması

Gerçek şu ki, eğitim programları ve beceri geliştirme, en azından başlangıçta, zaten oldukça meşgul olan geliştiriciler için artan bir iş yükünü temsil edecek. Bu, özellikle programın sağlamlaştırılmasına yardımcı olan güvenlik şampiyonları için geçerli olabilir. Bu nedenle teşvik ve ödüllerin sağlanması, geliştiricilerin katkılarının şirkete ne kadar değerli olduğunu ve bunların ne kadar takdir edildiğini gösterir.

Çeşitli teşvikler var. Evet, bütçeler her zaman kısıtlıdır ancak tek bir ihlal veya başarılı bir sonuç göz önüne alındığında Veri ihlalinin maliyeti 4 milyon dolardan fazla olabilir, bu kaderin önlenmesine yardımcı olmak için çalışan insanlara bunun bir kısmını yatırmak akıllıca bir karardır. Ayrıca birçok geliştiricinin, becerileri geliştikçe daha iyi projelere ayrıcalıklı erişim, yeni iş unvanları ve daha az korkulukla daha fazla çalışma özgürlüğü verilmesi gibi şeylere daha da iyi yanıt verdiğini gördük.

Başarıyı Ölçmek

İyi planlanmış bir programda bile beklenmedik tuzaklar veya düzeltilmesi gereken alanlar olabilir. Başlangıçta başarının en iyi ölçümü geliştirici katılımıdır. Programın tamamının zorunlu hale getirilmediğini varsayarsak (bu, geliştiricilerin eğitim almak istemesi ve katılım için teşvikler verilmesini önermiyoruz), o zaman katılım seviyeleri ölçülmesi gereken önemli bir faktör olacaktır.

Bunun ötesinde, açıkça tanımlanmış iş hedeflerine ulaşmada ne kadar başarılı olduğunuzu ölçebilmelisiniz. Örneğin, taramalar eğitimden sonra yazılan kodda daha az güvenlik açığı olduğunu ortaya koyuyorsa ve hedefiniz riski azaltmaksa, eğitim programı temel iş hedeflerinizi karşılıyor demektir.

Bugünlerde, böylesine mükemmel bir fırtınayı atlatmayı neredeyse imkansız hale getirebilecek yazılımlar üreten şirketlerin aleyhine işleyen çeşitli faktörler var. Bununla birlikte, geliştirici topluluklarına bakan ve onları yüksek hedefli eğitim programlarıyla güçlendirenler, diğerlerinin bocaladığı yerde gelişerek fırtınanın üstesinden gelebilirler.





Source link