Come costruire una cultura della sicurezza
Pubblicato: 2016-03-01
5 modi in cui le aziende in crescita possono incorporare la sicurezza nella loro cultura e nei loro prodotti
Decidere da dove iniziare quando si tratta di sicurezza può essere una sfida per le aziende in crescita.
Per alleviare il dolore, la Federal Trade Commission all'inizio di questo mese ha ospitato una conferenza incentrata sulla fornitura alle startup di suggerimenti pratici e strategie per implementare un'efficace sicurezza dei dati (eravamo lì!). La conferenza ha riunito esperti del settore tra cui ingegneri del software, accademici e avvocati (per non parlare di una sessione sulla creazione di un business case per la sicurezza, con la partecipazione del Chief Privacy Officer di TUNE Saira Nayak )
Inizia con la sicurezza ci ha insegnato che, mentre nulla può veramente sostituire un programma di sicurezza sviluppato professionalmente e perfettamente adattato ai rischi che la tua azienda sta affrontando, ci sono molte risorse gratuite o a basso costo disponibili per aiutarti a iniziare subito a sviluppare un programma di sicurezza — in un modo che coinvolge anche i tuoi dipendenti per aiutarti a ridurre i rischi derivanti dall'accesso non autorizzato o dalla violazione dei tuoi preziosi dati aziendali e dei clienti.
Come persona che ha trascorso gli ultimi 10 anni a progettare prodotti con aziende di dimensioni variabili, dalla startup all'impresa, ho trovato i contenuti e le risorse offerti in questo evento estremamente rilevanti. Ecco alcuni dei miei takeaway preferiti per le aziende che hanno bisogno di iniziare a creare sicurezza nella loro cultura e nei loro prodotti.
Inizia con la sicurezza
Cosa succede se non hai il budget per assumere una società di consulenza sulla sicurezza per analizzare i tuoi sistemi e il tuo posto di lavoro per valutare e mitigare la sicurezza e altri rischi? Non lasciare che il perfetto sia nemico del bene!
Sono disponibili molte risorse gratuite per aiutarti a creare un programma di sicurezza. Inizia con la FTC, che ha pubblicato diverse risorse gratuite, incluso un supplemento a questo evento, Start with Security, a Guide for Business . Fornisce un buon inizio per aiutarti a iniziare a pensare ai problemi di sicurezza specifici della tua azienda.
Integra la sicurezza nella tua pipeline
Una risorsa eccezionale, testata e gratuita per portare la sicurezza nel processo e nella pipeline di sviluppo è il framework del ciclo di vita dello sviluppo della sicurezza di Microsoft, adottato da aziende di tutte le dimensioni e fasi di crescita per migliorare la sicurezza e la privacy delle loro applicazioni.
Insieme al framework SDL, Microsoft offre SDL Threat Modeling Tool che può essere utilizzato da sviluppatori o architetti software per identificare e mitigare potenziali problemi di sicurezza nelle prime fasi del processo, quando è più conveniente risolverli.
Migliora la sicurezza del software
L'Open Web Application Security Project è un'organizzazione no-profit mondiale focalizzata sul miglioramento della sicurezza del software; la Top 10 di OWASP, che mette in evidenza i 10 principali difetti di sicurezza delle applicazioni, può fornire una rapida valutazione di dove le tue pratiche si sovrappongono a uno standard del settore. L'OWASP 10 include descrizioni di ciascun rischio, insieme a esempi di vulnerabilità e attacchi, indicazioni su come evitare questi rischi per la sicurezza e riferimenti alle risorse correlate. C'è anche un gioco di carte Cornucopia per testare le tue conoscenze.
Affrontare la Top 10 di OWASP nella tua organizzazione può fare molto per mitigare le vulnerabilità che molto probabilmente avranno un impatto sulla tua applicazione. OWASP ospita capitoli locali in molte regioni del mondo, il che può anche fornire opportunità al tuo personale tecnico di insegnare, imparare e ispirare con gli altri nella tua comunità.
Forma i tuoi ingegneri
Per un insieme più strutturato di strumenti di formazione sull'ingegneria della sicurezza, SAFECode offre un'opzione fantastica, un'organizzazione no-profit globale guidata dal settore che si dedica all'identificazione e alla promozione delle migliori pratiche per la fornitura di software, hardware e servizi sicuri e affidabili. Offrono corsi di formazione sulla sicurezza del software gratuiti tramite webcast on-demand e pubblicano un framework per la creazione di un programma di formazione di ingegneria della sicurezza aziendale che può essere utilizzato come supplemento a un'iniziativa formale di formazione ingegneristica.
Tutti i corsi SAFECode sono gratuiti e pubblicati sotto una licenza Creative Commons, il che significa che puoi integrare questi corsi nel tuo framework di formazione esistente purché tu attribuisca correttamente la fonte.
Rendi divertente la sicurezza
Quando si integra la sicurezza nella propria cultura, è importante introdurre i rischi per la sicurezza e le best practice in modo accessibile e coinvolgente. L'uso del gioco come strumento nel tuo programma di sicurezza è un ottimo modo per rendere la formazione sulla sicurezza divertente e accessibile e creare sicurezza nella tua cultura in modo non minaccioso. Un modo per ludicizzare la sicurezza è incentivare e premiare i dipendenti che adottano le migliori pratiche. Questi incentivi possono essere integrati nei corsi di formazione per affrontare i rischi per la sicurezza come l'accesso fisico, l'ingegneria sociale e le vulnerabilità dello stack software e tecnologico.
Il gioco di carte Elevation of Privilege di Microsoft è un modo semplice per familiarizzare i team di ingegneri con la modellazione delle minacce, un componente fondamentale di Microsoft SDL e programmi e framework di sicurezza simili. EoP introduce gli ingegneri alle categorie di minacce STRIDE (spoofing, manomissione, ripudio, divulgazione di informazioni, negazione del servizio ed elevazione dei privilegi). Questo gioco è stato sviluppato da Microsoft e pubblicato con licenza Creative Commons. È disponibile per il download o l' acquisto gratuito .
Misura i tuoi progressi
Dopo aver affrontato la formazione e il processo nella tua organizzazione, un'altra opportunità per creare sicurezza nei tuoi prodotti è attraverso strumenti di analisi statici e dinamici. La tua scelta di strumenti dipenderà in gran parte dallo stack tecnologico che stai utilizzando, ma sono disponibili molti strumenti open source gratuiti che ti consentono di eseguire analisi sulla tua base di codice per verificare che le tecniche di sicurezza siano state implementate correttamente. Tali strumenti di analisi non sono una panacea, ma forniscono un ulteriore livello di protezione nel tuo programma di sicurezza.
Conclusione: fai della sicurezza una priorità
Che tu stia cercando di conquistare la fiducia e il business di clienti più grandi o di prepararti a un'uscita, la creazione di una cultura della sicurezza è una risorsa che deve essere una parte fondamentale della tua crescita a lungo termine e della tua strategia aziendale. È fondamentale rendere qualcuno responsabile della sicurezza e creare un'organizzazione incentrata sulla sicurezza e sulla governance dei dati.
Vincere il business aziendale spesso significa fornire ai tuoi clienti le giuste pratiche di sicurezza (e verificarle attraverso audit di sicurezza e questionari dettagliati). Avere la sicurezza incorporata nella pipeline di sviluppo fin dall'inizio rende questo processo di audit e indagine molto più semplice.
Man mano che la tua azienda matura e l'acquisizione entra in gioco, avere un forte programma di sicurezza ti aiuterà a navigare nel processo di diligenza e ti renderà più attraente per gli investitori. Un altro motivo per iniziare con la sicurezza ora, non dopo. Farai il lavoro necessario per prevenire la probabilità di qualcosa di catastrofico come una violazione dei dati. E, naturalmente, sappiamo tutti che in questo mondo di violazioni bancarie e al dettaglio, i clienti preferiscono le organizzazioni che hanno solide pratiche di sicurezza.
Scopri tutto sui dati e sulla privacy di TUNE , incluso l'impegno sui dati di TUNE. Ti piace questo articolo? Iscriviti alle nostre e-mail di riepilogo del blog.