セキュリティの文化を構築する方法

成長中の企業が自社の文化と製品にセキュリティを組み込むための 5 つの方法

セキュリティに関してどこから始めるべきかを決定することは、成長中の企業にとっては困難な場合があります。

痛みを和らげるために、連邦取引委員会は今月初めに、効果的なデータ セキュリティを実装するための実用的なヒントと戦略をスタートアップに提供することに焦点を当てた会議を主催しました (私たちはそこにいました!)。 この会議には、ソフトウェア エンジニア、学者、弁護士などの業界の専門家が集まりました ( TUNE の最高プライバシー責任者であるサイラ ナヤック氏をフィーチャーした、セキュリティのビジネス ケースを作成するセッションは言うまでもありません) 。

「セキュリティから始める」は、会社が直面しているリスクに合わせて細かく調整された、専門的に開発されたセキュリティ プログラムに真に取って代わるものはありませんが、セキュリティ プログラムの開発を今すぐ始めるのに役立つ無料または低コストのリソースがたくさんあることを教えてくれました。また、貴重な顧客データや企業データへの不正アクセスや侵害によるリスクを軽減するために従業員を関与させる方法です。

過去 10 年間、スタートアップからエンタープライズまでさまざまな規模の企業で製品のエンジニアリングに携わってきた者として、このイベントで提供されるコンテンツとリソースは非常に関連性が高いと感じました。 自社の文化や製品にセキュリティを組み込む必要がある企業に向けて、私のお気に入りのポイントをいくつか紹介します。

セキュリティから始める

セキュリティ コンサルタントを雇ってシステムや職場を分析し、セキュリティやその他のリスクを評価して軽減する予算がない場合はどうすればよいでしょうか? 完璧を善の敵にしないでください！

セキュリティ プログラムの構築に役立つ無料のリソースが多数あります。 FTC から始めましょう。FTC は、このイベントの補足資料であるStart with Security, a Guide for Businessなど、いくつかの無料リソースを公開しています。 これは、ビジネスに固有のセキュリティ問題について考え始めるのに役立つ良い出発点となります。

パイプラインにセキュリティを組み込む

プロセスと開発パイプラインにセキュリティを導入するための優れたテスト済みの無料リソースは、マイクロソフトのセキュリティ開発ライフサイクル フレームワークです。このフレームワークは、アプリケーションのセキュリティとプライバシーを向上させるために、あらゆる規模と成長段階の企業によって採用されています。

SDL フレームワークに加えて、Microsoft は、開発者またはソフトウェア アーキテクトが潜在的なセキュリティ問題を特定して緩和するために使用できるSDL Threat Modeling Toolを提供しています。

ソフトウェア セキュリティの向上

Open Web Application Security Project は、ソフトウェア セキュリティの向上に焦点を当てた世界的な非営利団体です。 アプリケーションのセキュリティ上の欠陥のトップ 10 をハイライトする OWASP トップ 10 は、業界標準に対するあなたのプラクティスの積み重ねを迅速に評価することができます。 OWASP 10 には、各リスクの説明、脆弱性と攻撃の例、これらのセキュリティ リスクを回避する方法に関するガイダンス、および関連リソースへの参照が含まれています。 知識を試すのに役立つコルヌコピア カード ゲームもあります。

組織の OWASP トップ 10 に対処することは、アプリケーションに影響を与える可能性が最も高い脆弱性を緩和するのに大いに役立ちます。 OWASP は、世界中の多くの地域で支部を主催しています。これは、エンジニアリング スタッフがコミュニティ内で教え、学び、刺激を与える機会を提供することもできます。

エンジニアのトレーニング

より構造化された一連のセキュリティ エンジニアリング トレーニング ツールについては、安全で信頼性の高いソフトウェア、ハードウェア、およびサービスを提供するためのベスト プラクティスを特定して促進することに専念している、業界主導のグローバルな非営利団体である SAFECode が素晴らしいオプションを提供しています。 彼らは、オンデマンド Web キャストを介して無料のソフトウェア セキュリティ トレーニング コースを提供し、正式なエンジニアリング トレーニング イニシアチブの補足として使用できる企業セキュリティ エンジニアリング トレーニング プログラムを設定するためのフレームワークを公開しています。

すべての SAFECode コースは無料で、Creative Commons ライセンスの下で公開されています。つまり、ソースを適切に示す限り、これらのコースを既存のトレーニング フレームワークに統合できます。

セキュリティを楽しくする

セキュリティを文化に組み込むときは、セキュリティ リスクとベスト プラクティスを親しみやすく魅力的な方法で導入することが重要です。 ゲームをセキュリティ プログラムのツールとして使用することは、セキュリティ トレーニングを楽しくアクセスしやすくし、脅威を与えない方法でセキュリティを文化に組み込むための優れた方法です。 セキュリティをゲーミフィケーションする 1 つの方法は、ベスト プラクティスを採用する従業員にインセンティブを与え、報酬を与えることです。 これらのインセンティブは、物理アクセス、ソーシャル エンジニアリング、ソフトウェアおよびテクノロジー スタックの脆弱性などのセキュリティ リスクに対処するためのトレーニングに組み込むことができます。

Microsoft の Elevation of Privilege Card Game は、エンジニアリング チームが Microsoft SDL のコア コンポーネントである脅威モデリングや、同様のセキュリティ プログラムおよびフレームワークに慣れるための簡単な方法です。 EoP は、エンジニアに STRIDE の脅威カテゴリ (スプーフィング、改ざん、否認、情報漏えい、サービス拒否、特権の昇格) を紹介します。 このゲームはマイクロソフトによって開発され、クリエイティブ コモンズ ライセンスの下で公開されました。 無料でダウンロードまたは購入できます。

進捗状況を測定する

組織内のトレーニングとプロセスに対処したら、製品にセキュリティを組み込むもう 1 つの機会は、静的および動的分析ツールを使用することです。 ツールの選択は、使用しているテクノロジ スタックに大きく依存しますが、コード ベースの分析を実行して、セキュリティ技術が正しく実装されていることを確認できる、多くの無料のオープン ソース ツールを利用できます。 このような分析ツールは万能薬ではありませんが、セキュリティ プログラムに追加の保護層を提供します。

結論: セキュリティを優先する

大規模な顧客の信頼とビジネスを獲得しようとしている場合でも、撤退に備えようとしている場合でも、セキュリティ文化の構築は、長期的な成長とビジネス戦略の中核となる必要がある資産です。 セキュリティの責任者を設定し、セキュリティとデータ ガバナンスに重点を置いた組織を構築することが重要です。

多くの場合、エンタープライズ ビジネスを獲得することは、適切なセキュリティ プラクティスがあることをクライアントに提供することを意味します (そして、詳細なセキュリティ監査とアンケートを通じてそれを検証します)。 最初からセキュリティを開発パイプラインに組み込むことで、この監査と調査のプロセスがはるかに簡単になります。

会社が成熟し、買収が視野に入ってくると、強力なセキュリティ プログラムがあれば、勤勉なプロセスをナビゲートし、投資家にとってより魅力的なものになります。 もう 1 つの理由は、後でではなく、今すぐセキュリティを開始することです。 データ侵害のような壊滅的な事態が発生する可能性を未然に防ぐために必要な作業を行うことになります。 そしてもちろん、この銀行や小売店の侵害の世界では、顧客は強力なセキュリティ慣行を持つ組織を好むことを知っています.

TUNE データ誓約を含む、TUNEデータとプライバシーのすべてをご覧ください。 この記事が好きですか？ ブログ ダイジェスト メールにサインアップしてください。