Как создать культуру безопасности

5 способов, которыми растущие компании могут внедрить безопасность в свою культуру и продукты

Решение о том, с чего начать, когда дело доходит до безопасности, может стать проблемой для растущих компаний.

Чтобы облегчить эту боль, Федеральная торговая комиссия в начале этого месяца провела конференцию, посвященную предоставлению стартапам практических советов и стратегий по обеспечению эффективной защиты данных (мы были там!). В конференции приняли участие отраслевые эксперты, в том числе инженеры-программисты, ученые и юристы (не говоря уже о заседании, посвященном бизнес-обоснованию безопасности, с участием директора по конфиденциальности TUNE Сайры Наяк ) .

« Начните с безопасности » научили нас тому, что, хотя ничто не может по-настоящему заменить профессионально разработанную программу безопасности, точно настроенную на риски, с которыми сталкивается ваша компания, существует множество доступных бесплатных или недорогих ресурсов, которые помогут вам начать разработку программы безопасности прямо сейчас — в способ, который также привлекает ваших сотрудников, чтобы помочь вам снизить риски от несанкционированного доступа или взлома ваших ценных клиентских и корпоративных данных.

Как человек, который провел последние 10 лет, разрабатывая продукты для компаний разного размера, от стартапа до крупного предприятия, я нашел содержание и ресурсы, предлагаемые на этом мероприятии, очень актуальными. Вот некоторые из моих любимых выводов для компаний, которым необходимо начать внедрять безопасность в свою культуру и продукты.

Начните с безопасности

Что делать, если у вас нет бюджета, чтобы нанять консультанта по безопасности для анализа ваших систем и рабочего места, чтобы оценить и смягчить безопасность и другие риски? Не позволяйте совершенству быть врагом хорошего!

Существует множество бесплатных ресурсов, которые помогут вам создать программу безопасности. Начните с FTC, которая опубликовала несколько бесплатных ресурсов, в том числе приложение к этому мероприятию Start with Security, руководство для бизнеса . Это хорошее начало, чтобы помочь вам начать думать о проблемах безопасности, характерных для вашего бизнеса.

Встройте безопасность в свой конвейер

Потрясающий, проверенный и бесплатный ресурс для обеспечения безопасности вашего процесса и конвейера разработки — это платформа Microsoft Security Development Lifecycle, которая была принята компаниями всех размеров и стадий роста для повышения безопасности и конфиденциальности своих приложений.

Наряду с инфраструктурой SDL корпорация Майкрософт предлагает инструмент моделирования угроз SDL , который может использоваться разработчиками или архитекторами программного обеспечения для выявления и устранения потенциальных проблем безопасности на более ранних этапах процесса, когда их решение является экономически более эффективным.

Улучшить безопасность программного обеспечения

Open Web Application Security Project — всемирная некоммерческая организация, занимающаяся повышением безопасности программного обеспечения; OWASP Top 10, который выделяет 10 основных недостатков безопасности приложений, может дать быструю оценку того, насколько ваши методы соответствуют отраслевому стандарту. OWASP 10 включает описание каждого риска, а также примеры уязвимостей и атак, рекомендации о том, как избежать этих рисков безопасности, и ссылки на соответствующие ресурсы. Есть даже карточная игра «Рог изобилия», чтобы проверить свои знания.

Решение OWASP Top 10 в вашей организации может иметь большое значение для устранения уязвимостей, которые, скорее всего, повлияют на ваше приложение. OWASP имеет местные отделения во многих регионах мира, что также может предоставить вашему инженерному персоналу возможность учить, учиться и вдохновлять других в вашем сообществе.

Обучите своих инженеров

Для более структурированного набора учебных инструментов по технике безопасности фантастический вариант предлагает SAFECode, глобальная некоммерческая организация, занимающаяся выявлением и продвижением лучших практик для предоставления безопасного и надежного программного обеспечения, оборудования и услуг. Они предлагают бесплатные учебные курсы по безопасности программного обеспечения через веб-трансляции по запросу и публикуют структуру для создания корпоративной программы обучения инженерной безопасности, которую можно использовать в качестве дополнения к официальной инициативе по обучению инженеров.

Все курсы SAFECode бесплатны и публикуются под лицензией Creative Commons, что означает, что вы можете интегрировать эти курсы в существующую структуру обучения, если правильно указываете источник.

Сделайте безопасность веселой

При встраивании безопасности в вашу культуру важно представить риски безопасности и передовые методы в доступной и увлекательной форме. Использование игр в качестве инструмента в вашей программе безопасности — отличный способ сделать обучение по безопасности увлекательным и доступным и внедрить безопасность в вашу культуру безопасным способом. Один из способов геймифицировать безопасность — поощрять и вознаграждать сотрудников, применяющих передовой опыт. Эти стимулы могут быть встроены в тренинги по устранению рисков безопасности, таких как физический доступ, социальная инженерия и уязвимости программного и технологического стека.

Карточная игра Microsoft «Повышение привилегий» — это простой способ познакомить инженерные группы с моделированием угроз, основным компонентом Microsoft SDL и аналогичными программами и платформами безопасности. EoP знакомит инженеров с категориями угроз STRIDE (спуфинг, фальсификация, непризнание, раскрытие информации, отказ в обслуживании и повышение привилегий). Эта игра была разработана Microsoft и опубликована под лицензией Creative Commons. Он доступен для бесплатного скачивания или покупки .

Измеряйте свой прогресс

После того, как вы разобрались с обучением и процессами в своей организации, у вас появится еще одна возможность обеспечить безопасность ваших продуктов с помощью инструментов статического и динамического анализа. Ваш выбор инструментов будет во многом зависеть от используемого вами стека технологий, но доступно множество бесплатных инструментов с открытым исходным кодом, которые позволяют вам выполнять анализ вашей кодовой базы, чтобы убедиться, что методы безопасности были правильно реализованы. Такие инструменты анализа не являются панацеей, но обеспечивают дополнительный уровень защиты вашей программы безопасности.

Вывод: сделайте безопасность приоритетом

Независимо от того, пытаетесь ли вы завоевать доверие и бизнес крупных клиентов или пытаетесь подготовиться к выходу, создание культуры безопасности — это актив, который должен стать основной частью вашей долгосрочной стратегии роста и бизнеса. Ключевым моментом является назначение ответственного за безопасность и построение организации, ориентированной на безопасность и управление данными.

Выигрыш в корпоративном бизнесе часто означает предоставление вашим клиентам правильных методов обеспечения безопасности (и подтверждение этого с помощью подробных аудитов безопасности и опросов). Наличие системы безопасности, встроенной в конвейер разработки с самого начала, значительно упрощает этот процесс аудита и расследования.

По мере того, как ваша компания будет развиваться и наступит время приобретения, наличие надежной программы безопасности поможет вам ориентироваться в процессе осмотрительности и сделает вас более привлекательным для инвесторов. Еще одна причина начать с безопасности сейчас, а не позже. Вы будете выполнять необходимую работу, чтобы предотвратить вероятность чего-то катастрофического, например утечки данных. И, конечно же, все мы знаем, что в этом мире банковских и розничных взломов клиенты предпочитают организации, которые применяют надежные методы обеспечения безопасности.

Узнайте все о данных и конфиденциальности TUNE, в том числе об обещании данных TUNE. Нравится эта статья? Подпишитесь на рассылку дайджеста нашего блога.