كيفية بناء ثقافة الأمن

5 طرق يمكن للشركات المتنامية دمج الأمن في ثقافتها ومنتجاتها

يمكن أن يمثل تحديد من أين تبدأ عندما يتعلق الأمر بالأمن تحديًا للشركات النامية.

للمساعدة في تخفيف الألم ، استضافت لجنة التجارة الفيدرالية في وقت سابق من هذا الشهر مؤتمرًا ركز على تزويد الشركات الناشئة بنصائح واستراتيجيات عملية لتنفيذ أمان البيانات الفعال (كنا هناك!). جمع المؤتمر بين خبراء الصناعة بما في ذلك مهندسو البرمجيات والأكاديميون والمحامون (ناهيك عن جلسة حول تقديم حالة عمل للأمان ، والتي تضمنت كبير مسؤولي الخصوصية في TUNE ، سايرا ناياك )

علمتنا Start with Security أنه على الرغم من أنه لا يوجد شيء يمكن حقًا أن يحل محل برنامج أمان تم تطويره بشكل احترافي تم ضبطه بدقة وفقًا للمخاطر التي تواجهها شركتك ، إلا أن هناك العديد من الموارد المجانية أو منخفضة التكلفة المتاحة لمساعدتك في البدء في تطوير برنامج أمان الآن - في وهي طريقة تُشرك موظفيك أيضًا لمساعدتك في تقليل المخاطر الناجمة عن الوصول غير المصرح به أو الخرق لبيانات العملاء والشركات القيمة الخاصة بك.

بصفتي شخصًا أمضى السنوات العشر الماضية في هندسة المنتجات مع شركات تتراوح في الحجم من بدء التشغيل إلى المؤسسة ، وجدت أن المحتوى والموارد المقدمة في هذا الحدث وثيقة الصلة للغاية. فيما يلي بعض النقاط المفضلة لدي للشركات التي تحتاج إلى بدء بناء الأمان في ثقافتها ومنتجاتها.

ابدأ بالأمان

ماذا لو لم يكن لديك الميزانية اللازمة لتوظيف شركة استشارية أمنية لتحليل أنظمتك ومكان عملك لتقييم وتخفيف المخاطر الأمنية وغيرها من المخاطر؟ لا تدع الكمال يكون عدو الخير!

هناك العديد من الموارد المجانية المتاحة لمساعدتك في إنشاء برنامج أمان. ابدأ بـ FTC ، التي نشرت العديد من الموارد المجانية ، بما في ذلك ملحق لهذا الحدث ، Start with Security ، دليل للأعمال . إنه يوفر بداية جيدة لمساعدتك على البدء في التفكير في مشكلات الأمان الخاصة بعملك.

بناء الأمن في خط الأنابيب الخاص بك

يعد إطار عمل دورة حياة تطوير الأمان من Microsoft أحد الموارد الرائعة والمُختبرة والمجانية لتحقيق الأمان في عملياتك وخط أنابيب التطوير ، والتي اعتمدتها الشركات من جميع الأحجام ومراحل النمو لتحسين أمان وخصوصية تطبيقاتها.

إلى جانب إطار عمل SDL ، تقدم Microsoft أداة SDL Threat Modeling Tool التي يمكن للمطورين أو مهندسي البرامج استخدامها لتحديد مشكلات الأمان المحتملة والتخفيف من حدتها في وقت مبكر من العملية ، عندما يكون حلها أكثر فعالية من حيث التكلفة.

تحسين أمان البرامج

مشروع أمان تطبيق الويب المفتوح هو منظمة غير ربحية في جميع أنحاء العالم تركز على تحسين أمان البرامج ؛ يمكن أن يوفر OWASP Top 10 ، الذي يسلط الضوء على أهم 10 ثغرات أمنية للتطبيقات ، تقييمًا سريعًا لمكانة ممارساتك مقابل معايير الصناعة. يتضمن OWASP 10 أوصافًا لكل خطر ، إلى جانب أمثلة على نقاط الضعف والهجمات ، وإرشادات حول كيفية تجنب هذه المخاطر الأمنية ، وإشارات إلى الموارد ذات الصلة. حتى أن هناك لعبة بطاقة Cornucopia للمساعدة في اختبار معلوماتك.

يمكن أن تقطع معالجة OWASP Top 10 في مؤسستك شوطًا طويلاً نحو التخفيف من نقاط الضعف التي من المرجح أن تؤثر على تطبيقك. تستضيف OWASP الفروع المحلية في العديد من المناطق حول العالم - والتي يمكن أن توفر أيضًا فرصًا لموظفي الهندسة لديك للتدريس والتعلم والإلهام مع الآخرين في مجتمعك.

تدريب مهندسينك

للحصول على مجموعة أكثر تنظيماً من أدوات التدريب على هندسة الأمن ، يتم تقديم خيار رائع بواسطة SAFECode ، وهي منظمة غير ربحية عالمية رائدة في الصناعة ومكرسة لتحديد وتعزيز أفضل الممارسات لتقديم برامج وأجهزة وخدمات آمنة وموثوقة. يقدمون دورات تدريبية مجانية في مجال أمن البرمجيات عبر البث الشبكي عند الطلب وينشرون إطار عمل لإعداد برنامج تدريب هندسي لأمن الشركات يمكن استخدامه كمكمل لمبادرة تدريب هندسية رسمية.

جميع دورات SAFECode مجانية ويتم نشرها بموجب ترخيص Creative Commons ، مما يعني أنه يمكنك دمج هذه الدورات التدريبية في إطار العمل التدريبي الحالي الخاص بك طالما أنك تنسب المصدر بشكل صحيح.

اجعل الأمان ممتعًا

عند بناء الأمان في ثقافتك ، من المهم تقديم مخاطر الأمان وأفضل الممارسات بطريقة ودودة وجذابة. يعد استخدام الألعاب كأداة في برنامج الأمان الخاص بك طريقة رائعة لجعل التدريب الأمني ​​ممتعًا ويمكن الوصول إليه وبناء الأمان في ثقافتك بطريقة غير مهددة. تتمثل إحدى طرق استخدام الأمان في الألعاب في تحفيز الموظفين الذين يتبنون أفضل الممارسات ومكافأتهم. يمكن دمج هذه الحوافز في التدريبات لمعالجة المخاطر الأمنية مثل الوصول المادي والهندسة الاجتماعية ونقاط الضعف في البرمجيات والتكنولوجيا.

تعد لعبة Elevation of Privilege Card Game من Microsoft طريقة سهلة لتعريف الفرق الهندسية بنمذجة التهديدات ، وهي مكون أساسي في Microsoft SDL وبرامج وأطر أمان مماثلة. تقدم EoP المهندسين إلى فئات التهديد STRIDE (الانتحال ، العبث ، التنصل ، الكشف عن المعلومات ، رفض الخدمة ورفع الامتياز). تم تطوير هذه اللعبة بواسطة Microsoft وتم نشرها بموجب ترخيص المشاع الإبداعي. إنه متاح للتنزيل أو الشراء مجانًا .

قياس تقدمك

بمجرد معالجة التدريب والعملية في مؤسستك ، هناك فرصة أخرى لبناء الأمان في منتجاتك من خلال أدوات التحليل الثابتة والديناميكية. سيعتمد اختيارك للأدوات إلى حد كبير على مجموعة التكنولوجيا التي تستخدمها ، ولكن تتوفر العديد من الأدوات المجانية مفتوحة المصدر التي تتيح لك إجراء تحليل على قاعدة التعليمات البرمجية الخاصة بك للتحقق من أن تقنيات الأمان قد تم تنفيذها بشكل صحيح. أدوات التحليل هذه ليست حلاً سحريًا ، ولكنها توفر طبقة إضافية من الحماية في برنامج الأمان الخاص بك.

الخلاصة: اجعل الأمن أولوية

سواء كنت تحاول الحصول على ثقة العملاء الأكبر حجمًا وأعمالهم أو تحاول الاستعداد للخروج ، فإن بناء ثقافة أمنية هو أحد الأصول التي يجب أن تكون جزءًا أساسيًا من إستراتيجيتك للنمو والعمل على المدى الطويل. إن جعل شخصًا ما مسؤولاً عن الأمن ، وبناء مؤسسة تركز على الأمن وحوكمة البيانات أمر أساسي.

غالبًا ما يعني الفوز بأعمال مؤسسية تزويد عملائك بممارسات الأمان الصحيحة (والتحقق من ذلك من خلال عمليات تدقيق واستبيانات أمنية مفصلة). إن تضمين الأمان في خط أنابيب التطوير منذ البداية يجعل عملية التدقيق والتحقيق هذه أسهل كثيرًا.

عندما تنضج شركتك ويظهر الاستحواذ في الصورة ، سيساعدك وجود برنامج أمان قوي على التنقل في عملية الاجتهاد ، ويجعلك أكثر جاذبية للمستثمرين. سبب آخر لبدء الأمان الآن ، وليس لاحقًا. ستؤدي العمل الذي تحتاجه لمنع احتمالية حدوث شيء كارثي مثل خرق البيانات. وبالطبع ، نعلم جميعًا أنه في هذا العالم من انتهاكات البنوك والتجزئة ، يفضل العملاء المؤسسات التي لديها ممارسات أمنية قوية.

تعرف على كل شيء عن بيانات TUNE والخصوصية ، بما في ذلك تعهد بيانات TUNE. مثل هذا المقال؟ اشترك في مدونتنا رسائل البريد الإلكتروني.