Comment construire une culture de la sécurité
Publié: 2016-03-01
5 façons dont les entreprises en croissance peuvent intégrer la sécurité dans leur culture et leurs produits
Décider par où commencer en matière de sécurité peut être un défi pour les entreprises en pleine croissance.
Pour aider à soulager la douleur, la Federal Trade Commission a organisé plus tôt ce mois-ci une conférence visant à fournir aux startups des conseils pratiques et des stratégies pour mettre en œuvre une sécurité efficace des données (nous y étions !). La conférence a réuni des experts de l'industrie, notamment des ingénieurs en logiciel, des universitaires et des avocats (sans parler d'une session sur l'analyse de rentabilisation de la sécurité, avec la responsable de la confidentialité de TUNE, Saira Nayak )
Start with Security nous a appris que, bien que rien ne puisse vraiment remplacer un programme de sécurité développé par des professionnels et parfaitement adapté aux risques auxquels votre entreprise est confrontée, il existe de nombreuses ressources gratuites ou à faible coût disponibles pour vous aider à commencer à développer un programme de sécurité maintenant - en une manière qui engage également vos employés à vous aider à réduire les risques d'accès non autorisé ou de violation de vos précieuses données clients et d'entreprise.
En tant que personne qui a passé les 10 dernières années à concevoir des produits avec des entreprises de tailles allant de la startup à l'entreprise, j'ai trouvé le contenu et les ressources proposés dans cet événement très pertinents. Voici quelques-uns de mes plats à emporter préférés pour les entreprises qui doivent commencer à intégrer la sécurité dans leur culture et leurs produits.
Commencez par la sécurité
Que faire si vous n'avez pas le budget pour embaucher un consultant en sécurité pour analyser vos systèmes et votre lieu de travail afin d'évaluer et d'atténuer les risques de sécurité et autres ? Ne laissez pas le parfait être l'ennemi du bien !
De nombreuses ressources gratuites sont disponibles pour vous aider à créer un programme de sécurité. Commencez par la FTC, qui a publié plusieurs ressources gratuites, dont un supplément à cet événement, Start with Security, a Guide for Business . Il constitue un bon point de départ pour vous aider à commencer à réfléchir aux problèmes de sécurité spécifiques à votre entreprise.
Intégrez la sécurité à votre pipeline
Une ressource formidable, testée et gratuite pour sécuriser votre processus et votre pipeline de développement est le cadre du cycle de vie du développement de la sécurité de Microsoft, qui a été adopté par des entreprises de toutes tailles et à tous les stades de croissance pour améliorer la sécurité et la confidentialité de leurs applications.
Outre le cadre SDL, Microsoft propose l' outil de modélisation des menaces SDL qui peut être utilisé par les développeurs ou les architectes logiciels pour identifier et atténuer les problèmes de sécurité potentiels plus tôt dans le processus, lorsqu'ils sont plus rentables à résoudre.
Améliorez la sécurité des logiciels
L'Open Web Application Security Project est une organisation mondiale à but non lucratif axée sur l'amélioration de la sécurité des logiciels. le Top 10 de l'OWASP, qui met en évidence les 10 principales failles de sécurité des applications, peut fournir une évaluation rapide de la position de vos pratiques par rapport à une norme de l'industrie. L'OWASP 10 comprend des descriptions de chaque risque, ainsi que des exemples de vulnérabilités et d'attaques, des conseils sur la manière d'éviter ces risques de sécurité et des références aux ressources associées. Il y a même un jeu de cartes Cornucopia pour vous aider à tester vos connaissances.
Aborder le Top 10 OWASP dans votre organisation peut grandement contribuer à atténuer les vulnérabilités les plus susceptibles d'avoir un impact sur votre application. L'OWASP héberge des chapitres locaux dans de nombreuses régions du monde, ce qui peut également offrir à votre personnel d'ingénierie la possibilité d'enseigner, d'apprendre et d'inspirer avec d'autres membres de votre communauté.
Formez vos ingénieurs
Pour un ensemble plus structuré d'outils de formation en ingénierie de la sécurité, une option fantastique est offerte par SAFECode, une organisation mondiale à but non lucratif dirigée par l'industrie qui se consacre à l'identification et à la promotion des meilleures pratiques pour fournir des logiciels, du matériel et des services sécurisés et fiables. Ils proposent des cours de formation gratuits sur la sécurité des logiciels via des webémissions à la demande et publient un cadre pour la mise en place d'un programme de formation en ingénierie de la sécurité d'entreprise qui peut être utilisé en complément d'une initiative formelle de formation en ingénierie.
Tous les cours SAFECode sont gratuits et publiés sous une licence Creative Commons, ce qui signifie que vous pouvez intégrer ces cours dans votre cadre de formation existant tant que vous attribuez correctement la source.
Rendre la sécurité amusante
Lorsque vous intégrez la sécurité dans votre culture, il est important d'introduire les risques de sécurité et les meilleures pratiques d'une manière accessible et engageante. Utiliser le jeu comme outil dans votre programme de sécurité est un excellent moyen de rendre la formation à la sécurité amusante et accessible et d'intégrer la sécurité dans votre culture d'une manière non menaçante. Une façon de gamifier la sécurité est d'inciter et de récompenser les employés qui adoptent les meilleures pratiques. Ces incitations peuvent être intégrées dans des formations pour faire face aux risques de sécurité tels que l'accès physique, l'ingénierie sociale et les vulnérabilités des logiciels et des piles technologiques.
Le jeu de cartes Elevation of Privilege de Microsoft est un moyen simple de familiariser les équipes d'ingénierie avec la modélisation des menaces, un composant central de Microsoft SDL et des programmes et cadres de sécurité similaires. EoP présente aux ingénieurs les catégories de menaces STRIDE (usurpation d'identité, falsification, répudiation, divulgation d'informations, déni de service et élévation de privilèges). Ce jeu a été développé par Microsoft et publié sous une licence Creative Commons. Il est disponible en téléchargement gratuit ou en achat .
Mesurez vos progrès
Une fois que vous avez abordé la formation et les processus dans votre organisation, une autre possibilité d'intégrer la sécurité dans vos produits consiste à utiliser des outils d'analyse statiques et dynamiques. Votre choix d'outils dépendra en grande partie de la pile technologique que vous utilisez, mais de nombreux outils open source gratuits sont disponibles qui vous permettent d'effectuer des analyses sur votre base de code pour vérifier que les techniques de sécurité ont été correctement mises en œuvre. De tels outils d'analyse ne sont pas une panacée, mais fournissent une couche de protection supplémentaire dans votre programme de sécurité.
Conclusion : Faites de la sécurité une priorité
Que vous essayiez de gagner la confiance et les affaires de clients plus importants ou que vous essayiez de vous préparer à une sortie, la création d'une culture de la sécurité est un atout qui doit être au cœur de votre croissance à long terme et de votre stratégie commerciale. Il est essentiel de désigner une personne responsable de la sécurité et de créer une organisation axée sur la sécurité et la gouvernance des données.
Gagner des affaires d'entreprise signifie souvent fournir à vos clients que vous avez les bonnes pratiques de sécurité (et vérifier cela par des audits de sécurité détaillés et des questionnaires). L'intégration de la sécurité dans votre pipeline de développement dès le départ facilite grandement ce processus d'audit et d'enquête.
Au fur et à mesure que votre entreprise mûrit et que l'acquisition entre en jeu, un programme de sécurité solide vous aidera à naviguer dans le processus de diligence et vous rendra plus attrayant pour les investisseurs. Une autre raison de commencer avec la sécurité maintenant, pas plus tard. Vous ferez le travail dont vous avez besoin pour prévenir la probabilité de quelque chose de catastrophique comme une violation de données. Et bien sûr, nous savons tous que dans ce monde de violations des banques et des commerces de détail, les clients préfèrent les organisations qui ont de solides pratiques de sécurité.
Apprenez tout sur les données et la confidentialité de TUNE , y compris l'engagement de données TUNE. Vous aimez cet article ? Inscrivez-vous pour recevoir nos e-mails de résumé de blog.