Wie man eine Kultur der Sicherheit aufbaut
Veröffentlicht: 2016-03-01
5 Möglichkeiten, wie wachsende Unternehmen Sicherheit in ihre Kultur und Produkte integrieren können
Die Entscheidung, wo man in puncto Sicherheit ansetzen soll, kann für wachsende Unternehmen eine Herausforderung darstellen.
Um den Schmerz zu lindern, veranstaltete die Federal Trade Commission Anfang dieses Monats eine Konferenz, bei der es darum ging, Start-ups praktische Tipps und Strategien zur Implementierung effektiver Datensicherheit zu geben (wir waren dabei!). Die Konferenz brachte Branchenexperten zusammen, darunter Software-Ingenieure, Akademiker und Anwälte (ganz zu schweigen von einer Sitzung zur Erstellung eines Business Case für Sicherheit mit Saira Nayak, Chief Privacy Officer von TUNE ) .
Start with Security hat uns gelehrt, dass, obwohl nichts ein professionell entwickeltes Sicherheitsprogramm wirklich ersetzen kann, das genau auf die Risiken Ihres Unternehmens abgestimmt ist, es viele kostenlose oder kostengünstige Ressourcen gibt, die Ihnen helfen, jetzt mit der Entwicklung eines Sicherheitsprogramms zu beginnen – in Ein Weg, der auch Ihre Mitarbeiter einbezieht, um Ihnen zu helfen, die Risiken durch unbefugten Zugriff oder Verletzung Ihrer wertvollen Kunden- und Unternehmensdaten zu verringern.
Als jemand, der die letzten 10 Jahre damit verbracht hat, Produkte für Unternehmen unterschiedlicher Größe vom Startup bis zum Konzern zu entwickeln, fand ich die Inhalte und Ressourcen, die auf dieser Veranstaltung angeboten werden, äußerst relevant. Hier sind einige meiner Lieblings-Imbissbuden für Unternehmen, die damit beginnen müssen, Sicherheit in ihre Kultur und ihre Produkte einzubauen.
Beginnen Sie mit der Sicherheit
Was ist, wenn Sie nicht über das Budget verfügen, um eine Sicherheitsberatung mit der Analyse Ihrer Systeme und Ihres Arbeitsplatzes zu beauftragen, um Sicherheits- und andere Risiken zu bewerten und zu mindern? Lassen Sie das Perfekte nicht der Feind des Guten sein!
Es gibt viele kostenlose Ressourcen, die Ihnen beim Erstellen eines Sicherheitsprogramms helfen. Beginnen Sie mit der FTC, die mehrere kostenlose Ressourcen veröffentlicht hat, darunter eine Ergänzung zu dieser Veranstaltung, Start with Security, a Guide for Business . Es ist ein guter Anfang, um Ihnen zu helfen, über die Sicherheitsprobleme nachzudenken, die für Ihr Unternehmen spezifisch sind.
Bauen Sie Sicherheit in Ihre Pipeline ein
Eine hervorragende, getestete und kostenlose Ressource, um Sicherheit in Ihre Prozess- und Entwicklungspipeline zu bringen, ist Microsofts Security Development Lifecycle-Framework, das von Unternehmen aller Größen und Wachstumsphasen übernommen wurde, um die Sicherheit und den Datenschutz ihrer Anwendungen zu verbessern.
Zusammen mit dem SDL-Framework bietet Microsoft das SDL Threat Modeling Tool an, das von Entwicklern oder Softwarearchitekten verwendet werden kann, um potenzielle Sicherheitsprobleme früher im Prozess zu identifizieren und zu mindern, wenn sie kostengünstiger zu lösen sind.
Verbessern Sie die Softwaresicherheit
Das Open Web Application Security Project ist eine weltweite gemeinnützige Organisation, die sich auf die Verbesserung der Softwaresicherheit konzentriert; Die OWASP Top 10, die die Top 10 der Anwendungssicherheitslücken hervorhebt, kann eine schnelle Einschätzung darüber liefern, wo Ihre Praktiken im Vergleich zu einem Industriestandard stehen. Das OWASP 10 enthält Beschreibungen jedes Risikos zusammen mit Beispielen für Schwachstellen und Angriffe, Anleitungen zur Vermeidung dieser Sicherheitsrisiken und Verweise auf verwandte Ressourcen. Es gibt sogar ein Füllhorn-Kartenspiel, mit dem Sie Ihr Wissen testen können.
Die Adressierung der OWASP Top 10 in Ihrer Organisation kann viel dazu beitragen, die Schwachstellen zu mindern, die sich am wahrscheinlichsten auf Ihre Anwendung auswirken. OWASP beherbergt lokale Ortsgruppen in vielen Regionen weltweit – was auch Möglichkeiten für Ihre technischen Mitarbeiter bieten kann, andere in Ihrer Gemeinde zu lehren, zu lernen und zu inspirieren.
Bilden Sie Ihre Ingenieure aus
Für einen strukturierteren Satz von Schulungstools für Sicherheitstechnik bietet SAFECode eine fantastische Option, eine branchengeführte globale gemeinnützige Organisation, die sich der Identifizierung und Förderung von Best Practices für die Bereitstellung sicherer und zuverlässiger Software, Hardware und Dienste verschrieben hat. Sie bieten kostenlose Schulungskurse zur Softwaresicherheit über On-Demand-Webcasts an und veröffentlichen einen Rahmen für die Einrichtung eines Schulungsprogramms für Sicherheitstechnik im Unternehmen, das als Ergänzung zu einer formalen Schulungsinitiative für Ingenieure verwendet werden kann.
Alle SAFECode-Kurse sind kostenlos und werden unter einer Creative Commons-Lizenz veröffentlicht, was bedeutet, dass Sie diese Kurse in Ihren bestehenden Schulungsrahmen integrieren können, solange Sie die Quelle ordnungsgemäß angeben.
Machen Sie Sicherheit zum Vergnügen
Wenn Sie Sicherheit in Ihre Kultur integrieren, ist es wichtig, Sicherheitsrisiken und Best Practices auf zugängliche und ansprechende Weise einzuführen. Die Verwendung von Spielen als Werkzeug in Ihrem Sicherheitsprogramm ist eine großartige Möglichkeit, Sicherheitsschulungen unterhaltsam und zugänglich zu gestalten und Sicherheit auf nicht bedrohliche Weise in Ihre Kultur einzubauen. Eine Möglichkeit, Sicherheit zu spielen, besteht darin, Mitarbeiter zu motivieren und zu belohnen, die Best Practices annehmen. Diese Anreize können in Schulungen integriert werden, um Sicherheitsrisiken wie physischen Zugriff, Social Engineering und Sicherheitslücken in Software und Technologie-Stacks anzugehen.
Microsofts Elevation of Privilege Card Game ist eine einfache Möglichkeit, Ingenieurteams mit der Bedrohungsmodellierung, einer Kernkomponente von Microsoft SDL und ähnlichen Sicherheitsprogrammen und -frameworks vertraut zu machen. EoP führt Ingenieure in die STRIDE-Bedrohungskategorien ein (Spoofing, Manipulation, Zurückweisung, Offenlegung von Informationen, Denial-of-Service und Elevation of Privilege). Dieses Spiel wurde von Microsoft entwickelt und unter einer Creative-Commons-Lizenz veröffentlicht. Es kann kostenlos heruntergeladen oder gekauft werden .
Messen Sie Ihren Fortschritt
Nachdem Sie sich mit Schulungen und Prozessen in Ihrem Unternehmen befasst haben, bieten statische und dynamische Analysetools eine weitere Möglichkeit, Sicherheit in Ihre Produkte einzubauen. Ihre Wahl der Tools hängt weitgehend von dem von Ihnen verwendeten Technologie-Stack ab, aber es sind viele kostenlose Open-Source-Tools verfügbar, mit denen Sie Ihre Codebasis analysieren können, um zu überprüfen, ob Sicherheitstechniken korrekt implementiert wurden. Solche Analysetools sind kein Allheilmittel, sondern bieten eine zusätzliche Schutzebene in Ihrem Sicherheitsprogramm.
Fazit: Machen Sie Sicherheit zur Priorität
Ganz gleich, ob Sie versuchen, das Vertrauen und Geschäft größerer Kunden zu gewinnen oder sich auf einen Ausstieg vorzubereiten, der Aufbau einer Sicherheitskultur ist ein Vermögenswert, der ein zentraler Bestandteil Ihrer langfristigen Wachstums- und Geschäftsstrategie sein muss. Es ist von entscheidender Bedeutung, jemanden für die Sicherheit verantwortlich zu machen und eine Organisation aufzubauen, die sich auf Sicherheit und Data Governance konzentriert.
Um Geschäftsabschlüsse zu erzielen, müssen Sie Ihren Kunden oft die richtigen Sicherheitspraktiken zur Verfügung stellen (und dies durch detaillierte Sicherheitsaudits und Fragebögen verifizieren). Wenn Sicherheit von Anfang an in Ihre Entwicklungspipeline eingebettet ist, wird dieser Prüfungs- und Untersuchungsprozess erheblich vereinfacht.
Wenn Ihr Unternehmen reift und Übernahmen ins Spiel kommen, hilft Ihnen ein starkes Sicherheitsprogramm, den Sorgfaltsprozess zu steuern, und macht Sie für Investoren attraktiver. Ein weiterer Grund, jetzt und nicht später mit der Sicherheit zu beginnen. Sie erledigen die Arbeit, die Sie benötigen, um der Wahrscheinlichkeit einer Katastrophe wie einer Datenschutzverletzung vorzubeugen. Und natürlich wissen wir alle, dass Kunden in dieser Welt der Bank- und Einzelhandelsverstöße Unternehmen bevorzugen, die über starke Sicherheitspraktiken verfügen.
Erfahren Sie alles über TUNE-Daten und Datenschutz , einschließlich des TUNE-Datenversprechens. Gefällt Ihnen dieser Artikel? Melden Sie sich für unsere Blog-Digest-E-Mails an.