Jak zbudować kulturę bezpieczeństwa

5 sposobów, w jakie rozwijające się firmy mogą włączyć zabezpieczenia do swojej kultury i produktów

Decyzja, od czego zacząć, jeśli chodzi o bezpieczeństwo, może być wyzwaniem dla rozwijających się firm.

Aby złagodzić ból, Federalna Komisja Handlu na początku tego miesiąca zorganizowała konferencję, której celem było dostarczanie startupom praktycznych wskazówek i strategii wdrażania skutecznego bezpieczeństwa danych (byliśmy tam!). Konferencja zgromadziła ekspertów z branży, w tym inżynierów oprogramowania, naukowców i prawników (nie wspominając o sesji na temat tworzenia uzasadnienia biznesowego dla bezpieczeństwa, z udziałem Sairy Nayak, dyrektora ds. prywatności w TUNE ) .

Start with Security nauczył nas, że chociaż nic nie może naprawdę zastąpić profesjonalnie opracowanego programu zabezpieczającego, który jest precyzyjnie dostosowany do zagrożeń, przed którymi stoi Twoja firma, dostępnych jest wiele bezpłatnych lub tanich zasobów, które pomogą Ci rozpocząć tworzenie programu zabezpieczającego już teraz — w sposób, który angażuje również Twoich pracowników, aby pomóc Ci zmniejszyć ryzyko nieautoryzowanego dostępu lub naruszenia cennych danych klientów i danych korporacyjnych.

Jako osoba, która spędziła ostatnie 10 lat na projektowaniu produktów w firmach o różnej wielkości, od startupu po przedsiębiorstwo, uznałem, że treści i zasoby oferowane podczas tego wydarzenia są bardzo istotne. Oto niektóre z moich ulubionych dań na wynos dla firm, które muszą zacząć budować bezpieczeństwo w swojej kulturze i produktach.

Zacznij od bezpieczeństwa

Co zrobić, jeśli nie masz budżetu na zatrudnienie konsultanta ds. bezpieczeństwa, który przeanalizuje Twoje systemy i miejsce pracy w celu oceny i ograniczenia bezpieczeństwa oraz innych zagrożeń? Nie pozwól, aby doskonałość była wrogiem dobra!

Dostępnych jest wiele bezpłatnych zasobów, które pomogą Ci zbudować program bezpieczeństwa. Zacznij od FTC, która opublikowała kilka bezpłatnych zasobów, w tym dodatek do tego wydarzenia, Start with Security, przewodnik dla biznesu . To dobry początek, który pomoże Ci zacząć myśleć o problemach bezpieczeństwa, które są specyficzne dla Twojej firmy.

Wbuduj zabezpieczenia w swój potok

Wspaniałym, przetestowanym i darmowym zasobem, który zapewni bezpieczeństwo w procesach i procesach rozwojowych, jest platforma Microsoft Security Development Lifecycle, która została przyjęta przez firmy o różnej wielkości i na różnych etapach rozwoju, aby poprawić bezpieczeństwo i prywatność ich aplikacji.

Wraz ze strukturą SDL firma Microsoft oferuje narzędzie SDL Threat Modeling Tool , które może być używane przez programistów lub architektów oprogramowania do identyfikowania i łagodzenia potencjalnych problemów związanych z bezpieczeństwem na wcześniejszym etapie procesu, gdy ich rozwiązanie jest bardziej opłacalne.

Popraw bezpieczeństwo oprogramowania

Open Web Application Security Project to ogólnoświatowa organizacja non-profit, której celem jest poprawa bezpieczeństwa oprogramowania; OWASP Top 10, który podkreśla 10 najczęstszych luk w zabezpieczeniach aplikacji, może zapewnić szybką ocenę tego, gdzie twoje praktyki stosują się do standardów branżowych. OWASP 10 zawiera opisy każdego ryzyka, wraz z przykładami luk w zabezpieczeniach i atakami, wskazówki, jak uniknąć tych zagrożeń bezpieczeństwa oraz odniesienia do powiązanych zasobów. Jest nawet gra karciana Róg obfitości, która pomoże Ci sprawdzić Twoją wiedzę.

Zajęcie się OWASP Top 10 w Twojej organizacji może znacznie przyczynić się do złagodzenia luk, które najprawdopodobniej wpłyną na Twoją aplikację. OWASP gości lokalne oddziały w wielu regionach na całym świecie — co może również zapewnić Twojemu personelowi inżynieryjnemu możliwość nauczania, uczenia się i inspirowania innych członków Twojej społeczności.

Wyszkol swoich inżynierów

Aby uzyskać bardziej ustrukturyzowany zestaw narzędzi szkoleniowych z zakresu inżynierii bezpieczeństwa, SAFECode, globalna organizacja non-profit, której celem jest identyfikowanie i promowanie najlepszych praktyk w zakresie dostarczania bezpiecznego i niezawodnego oprogramowania, sprzętu i usług, oferuje fantastyczną opcję. Oferują bezpłatne kursy szkoleniowe w zakresie bezpieczeństwa oprogramowania za pośrednictwem transmisji internetowych na żądanie i publikują ramy do tworzenia korporacyjnego programu szkoleniowego z zakresu inżynierii bezpieczeństwa, który można wykorzystać jako uzupełnienie formalnej inicjatywy szkoleniowej w zakresie inżynierii bezpieczeństwa.

Wszystkie kursy SAFECode są bezpłatne i publikowane na licencji Creative Commons, co oznacza, że ​​możesz zintegrować te kursy z istniejącymi ramami szkoleniowymi, o ile odpowiednio przypiszesz źródło.

Spraw, aby bezpieczeństwo było zabawne

Wprowadzając zabezpieczenia do swojej kultury, ważne jest, aby wprowadzić zagrożenia bezpieczeństwa i najlepsze praktyki w przystępny i angażujący sposób. Używanie gier jako narzędzia w programie bezpieczeństwa to świetny sposób, aby szkolenie w zakresie bezpieczeństwa było zabawne i dostępne, a także wbudowało bezpieczeństwo w swoją kulturę w sposób niezagrażający. Jednym ze sposobów gamifikowania bezpieczeństwa jest zachęcanie i nagradzanie pracowników, którzy stosują najlepsze praktyki. Zachęty te można wbudować w szkolenia dotyczące zagrożeń bezpieczeństwa, takich jak dostęp fizyczny, inżynieria społeczna oraz luki w oprogramowaniu i stosie technologii.

Gra karciana Microsoft Elevation of Privilege to łatwy sposób na zapoznanie zespołów inżynierskich z modelowaniem zagrożeń, podstawowym składnikiem Microsoft SDL oraz podobnymi programami i platformami bezpieczeństwa. EoP wprowadza inżynierów do kategorii zagrożeń STRIDE (podszywanie się, manipulowanie, odrzucanie, ujawnianie informacji, odmowa usługi i podnoszenie uprawnień). Ta gra została opracowana przez Microsoft i opublikowana na licencji Creative Commons. Jest dostępny do bezpłatnego pobrania lub zakupu .

Mierz swoje postępy

Po zajęciu się szkoleniami i procesami w Twojej organizacji kolejną okazją do wbudowania zabezpieczeń w Twoje produkty są narzędzia do analizy statycznej i dynamicznej. Wybór narzędzi będzie w dużej mierze zależał od używanego stosu technologicznego, ale dostępnych jest wiele bezpłatnych narzędzi typu open source, które umożliwiają przeprowadzanie analiz na podstawie kodu w celu sprawdzenia, czy techniki bezpieczeństwa zostały prawidłowo zaimplementowane. Takie narzędzia analityczne nie są panaceum, ale zapewniają dodatkową warstwę ochrony w Twoim programie zabezpieczającym.

Wniosek: Uczyń bezpieczeństwo priorytetem

Niezależnie od tego, czy starasz się zdobyć zaufanie i biznes większych klientów, czy przygotować się do wyjścia, budowanie kultury bezpieczeństwa jest atutem, który musi być podstawową częścią długoterminowego rozwoju i strategii biznesowej. Kluczem jest uczynienie kogoś odpowiedzialnego za bezpieczeństwo i zbudowanie organizacji, która koncentruje się na bezpieczeństwie i zarządzaniu danymi.

Wygrana w biznesie korporacyjnym często oznacza zapewnienie klientom odpowiednich praktyk w zakresie bezpieczeństwa (i weryfikację tego poprzez szczegółowe audyty bezpieczeństwa i kwestionariusze). Posiadanie zabezpieczeń wbudowanych w proces tworzenia od samego początku znacznie ułatwia ten proces audytu i dochodzenia.

Gdy Twoja firma dojrzeje i pojawi się przejęcie, posiadanie silnego programu bezpieczeństwa pomoże Ci poruszać się po procesie staranności i sprawi, że staniesz się bardziej atrakcyjny dla inwestorów. Kolejny powód, by zacząć od bezpieczeństwa teraz, nie później. Będziesz wykonywać pracę, której potrzebujesz, aby zapobiec prawdopodobieństwu katastrofy, takiej jak wyciek danych. Oczywiście wszyscy wiemy, że w świecie naruszeń bankowych i detalicznych klienci preferują organizacje, które stosują silne praktyki bezpieczeństwa.

Dowiedz się wszystkiego o danych i prywatności TUNE , w tym o zobowiązaniu TUNE do danych. Podoba Ci się ten artykuł? Zarejestruj się, aby otrzymywać e-maile z podsumowaniem naszego bloga.