Seyahat söz konusu olduğunda, bireyler genellikle bir destinasyondan diğerine olumlu deneyimler nedeniyle tercih ettikleri havayolunu seçerler. Gerçek marka güveni ve sadakati geliştirdiler. Çoğu zaman, yolcuları seyahat alışkanlıklarına ve marka güvenlerine göre çeşitli avantajlarla ödüllendiren sık uçan yolcu programlarına katılırlar. Mil biriktirdikçe ve belirli bir havayolu şirketinde daha yüksek statü seviyelerine ulaştıkça ayrıcalıklara erişim kazanırsınız: öncelikli güvenlik hatları, erken uçağa biniş, ücretsiz yükseltmeler ve özel dinlenme salonları gibi. Bu teşvikler bireylerin statülerini yükseltmenin yanı sıra seyahatlerini daha keyifli, verimli ve hızlı hale getiriyor.
Yazılım geliştirme endüstrisi, özellikle geliştiriciler arasında “önce güvenlik” zihniyetini teşvik etmek söz konusu olduğunda “sık uçan yolcu durumu” sistemi gibi bir şey kullanabilir. Herhangi bir teşvik programı olmadan kuruluşların ve geliştirici ekiplerinin güvenlik yeterliliklerini değerlendirmesi ve yetkinliklerini benzerleriyle karşılaştırması neredeyse imkansızdır. Araştırmamıza göre, geliştiricilerin neredeyse üçte ikisi güvenlik açıklarından arınmış kod yazmanın zor olduğunu söylediğinden, bu değerlendirmelere her zamankinden daha fazla ihtiyaç duyulduğunu gördük. Daha da rahatsız edici olanı, yaklaşık yarısı kodlarında güvenlik açıklarını isteyerek bıraktığını itiraf ediyor. Bu güvenlik denetimi neden her yıl bu kadar yaygın olmaya devam ediyor?
Bu sorunu çözmeye yardımcı olmak için geliştirme ekipleri, güvenlik becerilerini artırmak ve en iyi uygulamaları oluşturmak için gerekli sertifikasyon ve uyumluluk programlarının yanı sıra anlamlı güvenlik becerilerine de katılıyor. Birleşik Krallık’ta bir kuruluş, eğitim ve gelişim amacıyla her çalışan için ortalama 3.000 £ civarında yatırım yapacaktır. Bununla birlikte, eğitim yaklaşımları (temel olarak kademeli olarak yürütüldüğünde) katılımcıların beceri ve ilerlemelerinin kurumsal güvenlik hedefleriyle nasıl uyumlu olduğuna dair kapsamlı bir görünüm sağlama konusunda sınırlı kalmaktadır.
İster iş başında işbirliğine dayalı eğitim fırsatlarını ister etkileşimli, uygulamalı laboratuvar oturumlarını tercih etsinler, izledikleri eğitim yaklaşımına bakılmaksızın, ekipler başarıyı ölçmek için bir standarttan yararlanacaktır. Bu tür geliştirici kıyaslaması, sadakat programlarında olduğu gibi geliştiricileri güvenlik hedeflerine ulaşmaya teşvik edecek ve iyileştirme için açık yollar sunacak bir “güven puanına” yol açabilir. Bu aynı zamanda geliştiricinin katılımını, heyecanını ve beceri geliştirmeye yönelik ilgiyi de destekler.
Bununla birlikte, kuruluşlar etkili sektör kıyaslaması ve bilgilendirici, eyleme geçirilebilir bir güven puanı geliştirirken hangi kriterlere öncelik vermelidir? İşte bu “sık uçan yolcu” yaklaşımının altı temel değerlendirme alanı:
Yeterlilik düzeyi. Ekip üyelerinin güvenli kodlama ilkelerine ilişkin anlayışlarını değerlendirmek için verileri kullanın. Şunu sorun: Ürünün güvenlik açıklarına karşı korunmasını proaktif olarak etkileyen çeşitli diller ve eğilimler konusunda günceller mi? Reaktif bir yaklaşım yerine proaktif, “önce güvenlik” kültürünü desteklemek için doğru araçları ve metodolojileri kullanıyorlar mı?
Endüstri standartları. Ekip üyelerinin sektörde saygı duyulan güvenlik çerçevelerini takip etme motivasyonunun nabzını tutmak çok önemlidir. Bunlar arasında, geliştiricilerin kritik risklerdeki en son gelişmeleri takip etmelerine yardımcı olan OWASP Top 10; bölgesel yönergeler; ve tutarlı, güvenli yazılım geliştirme yaşam döngülerini sağlamak için doğru yönde atılmış gerekli bir adım olan “Tasarım Yoluyla Güvenlik” ilkeleri. Mayıs 2024’te yüzden fazla teknoloji tedarikçisi, yazılımdaki olası kusurları azaltma taahhüdünde bulunan Tasarım Yoluyla Güvenlik taahhüdünü imzaladı. Her hafta daha fazla satıcının bu taahhüdü imzaladığını görmeye devam ediyoruz. Zaman içinde amaç, geliştiricilerin güvenli kodlama becerilerini doğrulayarak hesap verebilirliği sağlama konusunda kendilerini güçlendirilmiş hissetmeleridir.
Sürekli öğrenme ve beceri geliştirme. Kuruluşların, ekiplerin sürekli olarak gelişmesine yardımcı olmak için her zaman öğrenme fırsatlarına yatırım yapması gerekirken, üyelerin koruma kapasitelerini sürekli olarak geliştirmeye yönelik kararlılıklarını ölçen ölçümlere sahip olmak kritik öneme sahiptir. Bu, geliştiricilerin yetersiz kaldığı alanların belirlenmesine yardımcı olarak ekiplerin geliştirme ve azaltma programı odaklarını yeniden düşünmelerine olanak tanır. Sonuçta, bu programlar yüksek düzeyde hedefli, veri odaklı olmalı ve geliştirici riskini yönetmek için kasıtlı bir çabayla geliştirme grubunu beslemeye çalışmalıdır.
Takım çalışması ve üretkenlik. Karşılaştırma ve güven puanları, öğrenme programlarının gerçek etkisini ve etkililiğini ve geliştirici ekibinin genel güvenlik duruşunu analiz etmek için bir temel oluşturmak amacıyla gereklidir. Daha da önemlisi, bir kıyaslama, geliştirme, mühendislik ve güvenlik ekipleri arasında potansiyel güvenlik açıklarını kapatmak ve yazılım tedarik zincirinde çözümler önermek amacıyla daha derin konuşmalar ve işbirlikleri için uygun bir başlangıç noktası sağlar.
Gerçek zamanlı performans takibi. Geliştiricilerin güvenlik yeteneklerini gerçek anlamda ölçmek için herhangi bir değerlendirme, kod üretimi sırasındaki davranışlarını analiz etmeye yönelik salt eğitim ve beceri değerlendirmelerinin ötesine geçmelidir. Bu kıyaslamalar geçerliyken geliştiriciler hâlâ kaç hata yapıyor? Hatalarından ders alıp güvenlik hatalarını düzeltiyorlar mı? CISO’lar katı bir iyileştirme ve inceleme süreci uyguluyor mu? Akran değerlendirme grupları, güvenlik kusurlarını belirlemek için dahili incelemeler sağlıyor mu?
Piyasa analizi. Bu, şu kapsamlı soruyu yanıtlayacaktır: “Sektörümüzdeki diğer kuruluşlarla nasıl kıyaslanırız?” Belirli beceriler veya alanlar rakiplerimizin gerisinde kalıyor ve acil dikkat ve eğitim gerektiriyor mu?”
Geliştirici ekiplerinin sayısının az olduğunu ancak hızlı bir şekilde daha güvenli kod üretme konusunda her zamankinden daha fazla baskı altında olduklarını hepimiz biliyoruz. Bu nedenle güvenliği inovasyonun önünde bir engel olarak görebilirler, bu da onları süreçler için kısayollar bulmaya veya güvenlik açıklarını tamamen görmezden gelmeye yönlendirebilir. Geliştiricilere sağlanan mevcut güvenlik kültürünü ve mentorluk yollarını değerlendirmek için bireylerin, akranlarına koçluk yapıp yapmadıklarını, rehberliklerinin derinliğini ve etkililiğini ve bunun kendi güvenlik uygulamalarını nasıl etkilediğini değerlendirmeleri gerekir.
Güvenlik ekipleri, geliştiricilerin güvenli kodlama becerilerini doğrulamak ve çapraz kontrol etmek için bir ölçüm oluşturarak nasıl performans gösterdikleri konusunda net bir fikir edinecek. “Önce güvenlik” anlayışının genel olarak daha sağlam ürünlere nasıl katkıda bulunduğunu daha iyi anlayacaklar ve sorunları düzeltmek için sürecin sonlarında “geriye doğru çalışmak” zorunda kalmayacakları için uzun vadede onlara zaman kazandıracak. .
Ayrıca, kıyaslama/güven puanına dayalı sürekli iyileştirmenin onları profesyonel düzeyde daha yetenekli ve pazarlanabilir hale getireceğini, bunun da iş fırsatlarına ve terfilere yol açacağını anlayacaklardır. Başka bir deyişle bu, kuruluş, bireysel geliştirici ve genel olarak daha güvenli yazılımlar için bir “kazan-kazan” girişimidir.
Reklam