보안 문화를 구축하는 방법

성장하는 기업이 문화와 제품에 보안을 통합할 수 있는 5가지 방법

보안과 관련하여 어디서부터 시작할지 결정하는 것은 성장하는 기업에게 어려운 일이 될 수 있습니다.

고통을 완화하기 위해 이달 초 연방 무역 위원회 는 스타트업에 효과적인 데이터 보안을 구현하기 위한 실용적인 팁과 전략을 제공하는 데 초점을 맞춘 컨퍼런스를 주최했습니다(저희가 참석했습니다!). 이 컨퍼런스에는 소프트웨어 엔지니어, 학계 및 변호사를 포함한 업계 전문가들이 모 였습니다 .

Start with Security 는 회사가 직면한 위험에 맞게 정교하게 조정된 전문적으로 개발된 보안 프로그램을 진정으로 대체할 수는 없지만 지금 보안 프로그램 개발을 시작하는 데 도움이 되는 무료 또는 저렴한 리소스가 많이 있다는 것을 배웠습니다. 중요한 고객 및 기업 데이터에 대한 무단 액세스 또는 위반으로 인한 위험을 줄이는 데 도움이 되도록 직원을 참여시키는 방법입니다.

지난 10년 동안 스타트업에서 대기업에 이르기까지 다양한 규모의 회사에서 제품을 엔지니어링한 사람으로서 저는 이 이벤트에서 제공되는 콘텐츠와 리소스가 매우 관련성이 높다는 것을 알았습니다. 다음은 기업 문화와 제품에 보안을 구축해야 하는 기업을 위한 제가 가장 좋아하는 내용입니다.

보안으로 시작

보안 및 기타 위험을 평가하고 완화하기 위해 시스템과 작업 공간을 분석할 보안 컨설턴트를 고용할 예산이 없다면 어떻게 하시겠습니까? 완벽을 선의 적이 되게 하지 마십시오!

보안 프로그램을 구축하는 데 도움이 되는 무료 리소스가 많이 있습니다. 이 이벤트의 보충 자료인 Start with Security, a Guide for Business 를 포함하여 여러 무료 리소스를 게시한 FTC부터 시작하십시오 . 비즈니스와 관련된 보안 문제에 대해 생각하는 데 도움이 되는 좋은 출발점이 됩니다.

파이프라인에 보안 구축

프로세스 및 개발 파이프라인에 보안을 제공하기 위한 훌륭하고 테스트를 거친 무료 리소스는 Microsoft의 보안 개발 수명 주기 프레임워크입니다. 이 프레임워크는 모든 규모와 성장 단계의 회사에서 애플리케이션의 보안 및 개인 정보를 개선하기 위해 채택했습니다.

Microsoft는 SDL 프레임워크와 함께 SDL 위협 모델링 도구 를 제공합니다. 이 도구는 개발자나 소프트웨어 설계자가 프로세스 초기에 잠재적인 보안 문제를 식별하고 완화하는 데 사용할 수 있으며, 이 도구는 해결하는 데 비용이 더 효율적입니다.

소프트웨어 보안 향상

Open Web Application Security Project는 소프트웨어 보안 개선에 중점을 둔 전 세계 비영리 단체입니다. 상위 10개 애플리케이션 보안 결함을 강조하는 OWASP 상위 10개는 업계 표준과 비교하여 귀하의 관행이 어디에 쌓여 있는지에 대한 빠른 평가를 제공할 수 있습니다. OWASP 10에는 취약성 및 공격의 예, 이러한 보안 위험을 피하는 방법에 대한 지침 및 관련 리소스에 대한 참조와 함께 각 위험에 대한 설명이 포함되어 있습니다. 지식을 테스트하는 데 도움이 되는 풍요의 뿔 카드 게임도 있습니다.

조직에서 OWASP Top 10을 해결하면 애플리케이션에 가장 큰 영향을 미칠 수 있는 취약점을 완화하는 데 큰 도움이 될 수 있습니다. OWASP는 전 세계 여러 지역에서 지역 챕터 를 개최합니다. 이는 엔지니어링 직원이 커뮤니티의 다른 사람들과 가르치고 배우고 영감을 줄 수 있는 기회를 제공할 수도 있습니다.

엔지니어 교육

보다 구조화된 보안 엔지니어링 교육 도구 세트를 위해 안전하고 안정적인 소프트웨어, 하드웨어 및 서비스를 제공하기 위한 모범 사례를 식별하고 홍보하는 데 전념하는 업계 주도의 글로벌 비영리 단체인 SAFECode에서 환상적인 옵션을 제공합니다. 그들은 주문형 웹캐스트를 통해 무료 소프트웨어 보안 교육 과정을 제공하고 공식적인 엔지니어링 교육 이니셔티브에 대한 보충 자료로 사용할 수 있는 기업 보안 엔지니어링 교육 프로그램을 설정하기 위한 프레임워크를 게시합니다.

모든 SAFECode 과정은 무료이며 Creative Commons 라이선스에 따라 게시됩니다. 즉, 소스를 적절하게 표시하기만 하면 이러한 과정을 기존 교육 프레임워크에 통합할 수 있습니다.

보안을 재미있게 만드세요

문화에 보안을 구축할 때 접근하기 쉽고 매력적인 방식으로 보안 위험과 모범 사례를 도입하는 것이 중요합니다. 보안 프로그램에서 게임을 도구로 사용하는 것은 보안 교육을 재미있고 접근 가능하게 만들고 위협적이지 않은 방식으로 문화에 보안을 구축할 수 있는 좋은 방법입니다. 보안을 게임화하는 한 가지 방법은 모범 사례를 수용하는 직원에게 인센티브를 제공하고 보상하는 것입니다. 이러한 인센티브는 물리적 액세스, 사회 공학, 소프트웨어 및 기술 스택 취약성과 같은 보안 위험을 해결하기 위한 교육에 포함될 수 있습니다.

Microsoft의 Elevation of Privilege Card Game은 엔지니어링 팀이 Microsoft SDL의 핵심 구성 요소인 위협 모델링과 유사한 보안 프로그램 및 프레임워크에 익숙해지도록 하는 쉬운 방법입니다. EoP는 엔지니어에게 STRIDE 위협 범주(스푸핑, 변조, 부인, 정보 공개, 서비스 거부 및 권한 상승)를 소개합니다. 이 게임은 Microsoft에서 개발했으며 크리에이티브 커먼즈 라이선스에 따라 퍼블리싱되었습니다. 무료 다운로드 또는 구매 가 가능합니다 .

진행 상황 측정

조직의 교육 및 프로세스를 처리한 후 제품에 보안을 구축할 수 있는 또 다른 기회는 정적 및 동적 분석 도구를 사용하는 것입니다. 도구 선택은 사용 중인 기술 스택에 따라 크게 달라지지만 코드 기반에 대한 분석을 수행하여 보안 기술이 올바르게 구현되었는지 확인할 수 있는 많은 무료 오픈 소스 도구를 사용할 수 있습니다. 이러한 분석 도구는 만병 통치약은 아니지만 보안 프로그램에 추가 보호 계층을 제공합니다.

결론: 보안을 최우선으로 하십시오

더 큰 고객의 신뢰와 비즈니스를 확보하려고 하든 퇴장을 준비하려고 하든 보안 문화를 구축하는 것은 장기적인 성장과 비즈니스 전략의 핵심 부분이 되어야 하는 자산입니다. 보안을 책임지는 사람을 만들고 보안 및 데이터 거버넌스에 중점을 둔 조직을 구축하는 것이 중요합니다.

기업 비즈니스의 성공은 종종 고객에게 올바른 보안 관행을 제공하고 상세한 보안 감사 및 질문을 통해 이를 확인하는 것을 의미합니다. 처음부터 개발 파이프라인에 보안이 포함되어 있으면 이 감사 및 조사 프로세스가 훨씬 쉬워집니다.

회사가 성숙해지고 인수가 중요해짐에 따라 강력한 보안 프로그램을 보유하면 실사 프로세스를 탐색하는 데 도움이 되고 투자자에게 더 매력적으로 보일 것입니다. 나중에가 아니라 지금 보안을 시작해야 하는 또 다른 이유입니다. 데이터 유출과 같은 재앙적인 일의 가능성을 미연에 방지하는 데 필요한 작업을 수행하게 됩니다. 물론 우리 모두는 은행 및 소매 침해의 세계에서 고객이 강력한 보안 관행을 갖춘 조직을 선호한다는 것을 알고 있습니다.

TUNE 데이터 서약을 포함하여 TUNE 데이터 및 개인 정보 보호 에 대한 모든 것을 알아보세요 . 이 기사가 마음에 드시나요? 블로그 다이제스트 이메일에 가입하세요.