Bagaimana Membangun Budaya Keamanan
Diterbitkan: 2016-03-01
5 Cara Perusahaan Berkembang Dapat Memasukkan Keamanan ke dalam Budaya dan Produk Mereka
Memutuskan harus mulai dari mana dalam hal keamanan dapat menjadi tantangan bagi perusahaan yang sedang berkembang.
Untuk membantu meringankan rasa sakit, Komisi Perdagangan Federal awal bulan ini menyelenggarakan konferensi yang berfokus pada penyediaan tips dan strategi praktis bagi para pemula untuk menerapkan keamanan data yang efektif (kami ada di sana!). Konferensi ini mempertemukan pakar industri termasuk insinyur perangkat lunak, akademisi, dan pengacara (belum lagi sesi membuat kasus bisnis untuk keamanan, menampilkan Chief Privacy Officer TUNE Saira Nayak )
Start with Security mengajarkan kami bahwa, meskipun tidak ada yang benar-benar dapat menggantikan program keamanan yang dikembangkan secara profesional yang disesuaikan dengan risiko yang dihadapi perusahaan Anda, ada banyak sumber daya gratis atau berbiaya rendah yang tersedia untuk membantu Anda mulai mengembangkan program keamanan sekarang — di cara yang juga melibatkan karyawan Anda untuk membantu Anda mengurangi risiko dari akses tidak sah, atau pelanggaran, data pelanggan dan perusahaan Anda yang berharga.
Sebagai seseorang yang menghabiskan 10 tahun terakhir merancang produk dengan perusahaan mulai dari perusahaan rintisan hingga perusahaan, saya menemukan konten dan sumber daya yang ditawarkan dalam acara ini sangat relevan. Berikut adalah beberapa takeaways favorit saya untuk perusahaan yang perlu mulai membangun keamanan ke dalam budaya dan produk mereka.
Mulai dengan Keamanan
Bagaimana jika Anda tidak memiliki anggaran untuk menyewa konsultan keamanan untuk menganalisis sistem dan tempat kerja Anda guna menilai dan mengurangi risiko keamanan dan lainnya? Jangan biarkan kesempurnaan menjadi musuh kebaikan!
Ada banyak sumber daya gratis yang tersedia untuk membantu Anda membangun program keamanan. Mulailah dengan FTC, yang telah menerbitkan beberapa sumber daya gratis, termasuk suplemen untuk acara ini, Start with Security, a Guide for Business . Ini memberikan awal yang baik untuk membantu Anda mulai berpikir tentang masalah keamanan yang khusus untuk bisnis Anda.
Bangun Keamanan Ke Saluran Anda
Sumber daya yang hebat, teruji, dan gratis untuk menghadirkan keamanan ke dalam proses dan alur pengembangan Anda adalah kerangka kerja Siklus Hidup Pengembangan Keamanan Microsoft, yang telah diadopsi oleh perusahaan dari semua ukuran dan tahap pertumbuhan untuk meningkatkan keamanan dan privasi aplikasi mereka.
Bersama dengan kerangka kerja SDL, Microsoft menawarkan Alat Pemodelan Ancaman SDL yang dapat digunakan oleh pengembang atau arsitek perangkat lunak untuk mengidentifikasi dan mengurangi potensi masalah keamanan di awal proses, ketika masalah tersebut lebih hemat biaya untuk diselesaikan.
Tingkatkan Keamanan Perangkat Lunak
Proyek Keamanan Aplikasi Web Terbuka adalah organisasi nirlaba di seluruh dunia yang berfokus pada peningkatan keamanan perangkat lunak; OWASP Top 10, yang menyoroti 10 kelemahan keamanan aplikasi teratas, dapat memberikan penilaian cepat tentang di mana praktik Anda menumpuk terhadap standar industri. OWASP 10 mencakup deskripsi setiap risiko, bersama dengan contoh kerentanan dan serangan, panduan tentang cara menghindari risiko keamanan ini, dan referensi ke sumber daya terkait. Bahkan ada permainan kartu Cornucopia untuk membantu menguji pengetahuan Anda.
Mengatasi OWASP 10 Teratas di organisasi Anda dapat membantu mengurangi kerentanan yang paling mungkin berdampak pada aplikasi Anda. OWASP menyelenggarakan cabang lokal di banyak wilayah di seluruh dunia — yang juga dapat memberikan kesempatan bagi staf teknik Anda untuk mengajar, belajar, dan menginspirasi dengan orang lain di komunitas Anda.
Latih Insinyur Anda
Untuk seperangkat alat pelatihan teknik keamanan yang lebih terstruktur, opsi fantastis ditawarkan oleh SAFECode, organisasi nirlaba global yang dipimpin industri yang didedikasikan untuk mengidentifikasi dan mempromosikan praktik terbaik untuk menghadirkan perangkat lunak, perangkat keras, dan layanan yang aman dan andal. Mereka menawarkan kursus pelatihan keamanan perangkat lunak gratis melalui webcast sesuai permintaan dan menerbitkan kerangka kerja untuk menyiapkan program pelatihan teknik keamanan perusahaan yang dapat digunakan sebagai suplemen untuk inisiatif pelatihan teknik formal.
Semua kursus SAFECode gratis dan diterbitkan di bawah lisensi Creative Commons, yang berarti Anda dapat mengintegrasikan kursus-kursus ini ke dalam kerangka pelatihan yang ada selama Anda mengaitkan sumbernya dengan benar.
Jadikan Keamanan Menyenangkan
Saat membangun keamanan ke dalam budaya Anda, penting untuk memperkenalkan risiko keamanan dan praktik terbaik dengan cara yang menarik dan mudah didekati. Menggunakan game sebagai alat dalam program keamanan Anda adalah cara yang bagus untuk membuat pelatihan keamanan menjadi menyenangkan dan dapat diakses serta membangun keamanan ke dalam budaya Anda dengan cara yang tidak mengancam. Salah satu cara untuk meningkatkan keamanan adalah dengan memberi insentif dan penghargaan kepada karyawan yang menerapkan praktik terbaik. Insentif ini dapat dimasukkan ke dalam pelatihan untuk mengatasi risiko keamanan seperti akses fisik, rekayasa sosial, dan kerentanan perangkat lunak dan tumpukan teknologi.
Elevation of Privilege Card Game dari Microsoft adalah cara mudah untuk membiasakan tim teknik dengan pemodelan ancaman, komponen inti Microsoft SDL, serta program dan kerangka kerja keamanan serupa. EoP memperkenalkan para insinyur ke kategori ancaman STRIDE (spoofing, tampering, repudiation, information disclosure, denial of service, dan elevasi hak istimewa). Game ini dikembangkan oleh Microsoft dan diterbitkan di bawah lisensi creative commons. Ini tersedia untuk diunduh atau dibeli secara gratis .
Ukur Kemajuan Anda
Setelah Anda membahas pelatihan dan proses di organisasi Anda, peluang lain untuk membangun keamanan ke dalam produk Anda adalah melalui alat analisis statis dan dinamis. Pilihan alat Anda akan sangat bergantung pada tumpukan teknologi yang Anda gunakan, tetapi banyak alat sumber terbuka gratis tersedia yang memungkinkan Anda melakukan analisis pada basis kode Anda untuk memverifikasi bahwa teknik keamanan telah diterapkan dengan benar. Alat analisis semacam itu bukanlah obat mujarab, tetapi memberikan lapisan perlindungan tambahan dalam program keamanan Anda.
Kesimpulan: Jadikan Keamanan sebagai Prioritas
Baik Anda mencoba untuk mendapatkan kepercayaan dan bisnis dari pelanggan yang lebih besar atau mencoba mempersiapkan diri untuk keluar, membangun budaya keamanan adalah aset yang perlu menjadi bagian inti dari pertumbuhan jangka panjang dan strategi bisnis Anda. Menjadikan seseorang yang bertanggung jawab atas keamanan, dan membangun organisasi yang berfokus pada keamanan dan tata kelola data adalah kuncinya.
Memenangkan bisnis perusahaan sering kali berarti memberikan kepada klien Anda bahwa Anda memiliki praktik keamanan yang tepat (dan memverifikasinya melalui audit keamanan dan kuesioner terperinci). Memiliki keamanan yang tertanam dalam alur pengembangan Anda sejak awal membuat proses audit dan investigasi ini jauh lebih mudah.
Saat perusahaan Anda matang dan akuisisi muncul, memiliki program keamanan yang kuat akan membantu Anda menavigasi proses ketekunan, dan membuat Anda lebih menarik bagi investor. Alasan lain untuk memulai dengan keamanan sekarang, bukan nanti. Anda akan melakukan pekerjaan yang Anda perlukan untuk mencegah kemungkinan terjadinya bencana seperti pembobolan data. Dan tentu saja, kita semua tahu bahwa di dunia pelanggaran bank dan ritel ini, pelanggan lebih memilih organisasi yang memiliki praktik keamanan yang kuat.
Pelajari semua tentang data dan privasi TUNE, termasuk janji data TUNE. Suka artikel ini? Mendaftar untuk email intisari blog kami.