Cum să construiți o cultură a securității

5 moduri în care companiile în creștere pot încorpora securitatea în cultura și produsele lor

A decide de unde să începi când vine vorba de securitate poate fi o provocare pentru companiile în creștere.

Pentru a ameliora durerea, Comisia Federală pentru Comerț a găzduit la începutul acestei luni o conferință axată pe oferirea startup-urilor cu sfaturi practice și strategii pentru implementarea securității eficiente a datelor (noi am fost acolo!). Conferința a reunit experți din industrie, inclusiv ingineri software, academicieni și avocați (ca să nu mai vorbim de o sesiune despre realizarea unui caz de afaceri pentru securitate, cu Saira Nayak, Chief Privacy Officer TUNE )

Începeți cu securitatea ne-a învățat că, deși nimic nu poate înlocui cu adevărat un program de securitate dezvoltat profesionist care este adaptat fin la riscurile cu care se confruntă compania dvs., există multe resurse gratuite sau la costuri reduse disponibile pentru a vă ajuta să începeți acum să dezvoltați un program de securitate - în un mod care implică și angajații dvs. pentru a vă ajuta să reduceți riscurile legate de accesul neautorizat sau încălcarea datelor dvs. valoroase ale clienților și ale companiei.

În calitate de persoană care și-a petrecut ultimii 10 ani proiectând produse cu companii de dimensiuni variate, de la startup la întreprindere, am considerat că conținutul și resursele oferite în acest eveniment sunt extrem de relevante. Iată câteva dintre concluziile mele preferate pentru companiile care trebuie să înceapă să construiască securitate în cultura și produsele lor.

Începeți cu securitatea

Ce se întâmplă dacă nu aveți bugetul necesar pentru a angaja o consultanță de securitate pentru a vă analiza sistemele și locul de muncă pentru a evalua și a atenua securitatea și alte riscuri? Nu lăsa perfectul să fie dușmanul binelui!

Există multe resurse gratuite disponibile pentru a vă ajuta să construiți un program de securitate. Începeți cu FTC, care a publicat mai multe resurse gratuite, inclusiv un supliment la acest eveniment, Start with Security, a Guide for Business . Acesta oferă un început bun pentru a vă ajuta să începeți să vă gândiți la problemele de securitate specifice afacerii dvs.

Construiți securitate în conducta dvs

O resursă extraordinară, testată și gratuită pentru a aduce securitate în procesele și pipelinele dvs. de dezvoltare este cadrul Microsoft Security Development Lifecycle, care a fost adoptat de companii de toate dimensiunile și stadiile de creștere pentru a îmbunătăți securitatea și confidențialitatea aplicațiilor lor.

Împreună cu cadrul SDL, Microsoft oferă Instrumentul de modelare a amenințărilor SDL care poate fi utilizat de dezvoltatori sau arhitecți software pentru a identifica și a atenua potențialele probleme de securitate mai devreme în proces, când acestea sunt mai rentabile de rezolvat.

Îmbunătățiți securitatea software-ului

Proiectul Open Web Application Security este o organizație non-profit la nivel mondial axată pe îmbunătățirea securității software; OWASP Top 10, care evidențiază primele 10 deficiențe de securitate a aplicațiilor, poate oferi o evaluare rapidă a situației în care practicile dvs. sunt comparate cu un standard din industrie. OWASP 10 include descrieri ale fiecărui risc, împreună cu exemple de vulnerabilități și atacuri, îndrumări cu privire la modul de evitare a acestor riscuri de securitate și referințe la resurse aferente. Există chiar și un joc de cărți Cornucopia pentru a vă ajuta să vă testați cunoștințele.

Abordarea topului OWASP 10 din organizația dvs. poate contribui în mare măsură la atenuarea vulnerabilităților cel mai probabil să vă afecteze aplicația. OWASP găzduiește capitole locale în multe regiuni din întreaga lume - care poate oferi, de asemenea, oportunități pentru personalul dvs. de inginerie de a preda, de a învăța și de a inspira cu alții din comunitatea dvs.

Antrenează-ți inginerii

Pentru un set mai structurat de instrumente de instruire în inginerie de securitate, SAFECode oferă o opțiune fantastică, o organizație non-profit globală condusă de industrie, care este dedicată identificării și promovării celor mai bune practici pentru furnizarea de software, hardware și servicii sigure și de încredere. Ei oferă cursuri gratuite de instruire în domeniul securității software prin intermediul webcast-urilor la cerere și publică un cadru pentru crearea unui program de formare în inginerie de securitate corporativă care poate fi folosit ca supliment la o inițiativă formală de formare în inginerie.

Toate cursurile SAFECode sunt gratuite și publicate sub o licență Creative Commons, ceea ce înseamnă că puteți integra aceste cursuri în cadrul de formare existent, atâta timp cât atribuiți corect sursa.

Faceți securitatea distractiv

Când construiți securitatea în cultura dvs., este important să introduceți riscurile de securitate și cele mai bune practici într-un mod accesibil și antrenant. Folosirea jocurilor ca instrument în programul dvs. de securitate este o modalitate excelentă de a face antrenamentul de securitate distractiv și accesibil și de a construi securitatea în cultura dvs. într-un mod neamenințător. O modalitate de a optimiza securitatea este de a stimula și recompensa angajații care adoptă cele mai bune practici. Aceste stimulente pot fi incluse în cursuri de formare pentru a aborda riscurile de securitate, cum ar fi accesul fizic, ingineria socială și vulnerabilitățile stivei de software și tehnologie.

Jocul de cărți Microsoft Elevation of Privilege este o modalitate ușoară de a familiariza echipele de ingineri cu modelarea amenințărilor, o componentă de bază a Microsoft SDL și programe și cadre de securitate similare. EoP introduce inginerii în categoriile de amenințări STRIDE (falsificarea, falsificarea, repudierea, dezvăluirea informațiilor, refuzul serviciului și creșterea privilegiilor). Acest joc a fost dezvoltat de Microsoft și publicat sub o licență Creative Commons. Este disponibil pentru descărcare sau cumpărare gratuită .

Măsurați-vă progresul

Odată ce ați abordat instruirea și procesul în organizația dvs., o altă oportunitate de a construi securitatea produselor dvs. este prin instrumente de analiză statică și dinamică. Alegerea instrumentelor dvs. va depinde în mare măsură de tehnologia pe care o utilizați, dar sunt disponibile multe instrumente open source gratuite care vă permit să efectuați analize pe baza codului pentru a verifica dacă tehnicile de securitate au fost implementate corect. Astfel de instrumente de analiză nu sunt un panaceu, dar oferă un strat suplimentar de protecție în programul dumneavoastră de securitate.

Concluzie: faceți din securitate o prioritate

Indiferent dacă încercați să captați încrederea și afacerile clienților mai mari sau încercați să vă pregătiți pentru o ieșire, construirea unei culturi de securitate este un atu care trebuie să fie o parte esențială a creșterii pe termen lung și a strategiei dvs. de afaceri. A face pe cineva responsabil pentru securitate și a construi o organizație care se concentrează pe securitate și guvernanța datelor este esențială.

Câștigarea afacerilor de întreprindere înseamnă adesea să le oferi clienților tăi că aveți practicile de securitate potrivite (și să le verificați prin audituri și chestionare de securitate detaliate). Având securitatea încorporată în pipeline de dezvoltare încă de la început, acest proces de audit și investigație este mult mai ușor.

Pe măsură ce compania dumneavoastră se maturizează și achiziția intră în imagine, un program de securitate puternic vă va ajuta să navigați în procesul de diligență și vă va face mai atractiv pentru investitori. Un alt motiv pentru a începe cu securitatea acum, nu mai târziu. Veți face munca de care aveți nevoie pentru a preveni probabilitatea unui ceva catastrofal, cum ar fi o încălcare a datelor. Și, desigur, știm cu toții că în această lume a încălcărilor bancare și de retail, clienții preferă organizațiile care au practici de securitate puternice.

Aflați totul despre datele și confidențialitatea TUNE, inclusiv despre angajamentul de date TUNE. Vă place acest articol? Înscrieți-vă pentru e-mailurile cu rezumatul blogului nostru.