วิธีสร้างวัฒนธรรมความปลอดภัย

5 วิธีที่บริษัทที่กำลังเติบโตสามารถรวมการรักษาความปลอดภัยเข้ากับวัฒนธรรมและผลิตภัณฑ์ของตน

การตัดสินใจว่าจะเริ่มจากจุดใดในเรื่องความปลอดภัยอาจเป็นเรื่องท้าทายสำหรับบริษัทที่กำลังเติบโต

เพื่อช่วยบรรเทาความเจ็บปวด คณะกรรมาธิการการค้าแห่งสหพันธรัฐ เมื่อต้นเดือนนี้ได้จัดการประชุมโดยเน้นที่การให้เคล็ดลับและกลยุทธ์ที่ใช้งานได้จริงแก่สตาร์ทอัพในการปรับใช้การรักษาความปลอดภัยข้อมูลอย่างมีประสิทธิภาพ (เราอยู่ที่นั่นด้วย!) การประชุมครั้งนี้เป็นการรวมตัวกันของผู้เชี่ยวชาญในอุตสาหกรรม รวมถึงวิศวกรซอฟต์แวร์ นักวิชาการ และนักกฎหมาย (ไม่ต้องพูดถึงเซสชั่นเรื่องการทำธุรกิจเพื่อความปลอดภัย โดยมีคุณ Saira Nayak ประธานเจ้าหน้าที่ฝ่ายความเป็นส่วนตัวของ TUNE )

เริ่มต้นด้วยการรักษาความปลอดภัย สอนเราว่า แม้ว่าจะไม่มีสิ่งใดมาแทนที่โปรแกรมความปลอดภัยที่พัฒนาขึ้นอย่างมืออาชีพอย่างแท้จริง ซึ่งได้รับการปรับให้เข้ากับความเสี่ยงที่บริษัทของคุณเผชิญอยู่อย่างละเอียด แต่ก็มีแหล่งข้อมูลฟรีหรือต้นทุนต่ำมากมายที่พร้อมช่วยให้คุณเริ่มพัฒนาโปรแกรมความปลอดภัยได้ในตอนนี้ — ใน วิธีการที่ดึงดูดพนักงานของคุณให้ช่วยลดความเสี่ยงจากการเข้าถึงโดยไม่ได้รับอนุญาตหรือการละเมิดข้อมูลลูกค้าและองค์กรที่มีค่าของคุณ

ในฐานะที่เป็นคนที่ใช้เวลา 10 ปีที่ผ่านมาด้านวิศวกรรมผลิตภัณฑ์กับบริษัทที่มีขนาดตั้งแต่เริ่มต้นไปจนถึงระดับองค์กร ฉันพบว่าเนื้อหาและทรัพยากรที่นำเสนอในงานนี้มีความเกี่ยวข้องสูง ต่อไปนี้คือสิ่งที่ฉันโปรดปรานสำหรับบริษัทที่ต้องการเริ่มสร้างความปลอดภัยในวัฒนธรรมและผลิตภัณฑ์ของตน

เริ่มต้นด้วยการรักษาความปลอดภัย

จะเป็นอย่างไรหากคุณไม่มีงบประมาณในการจ้างที่ปรึกษาด้านความปลอดภัยเพื่อวิเคราะห์ระบบและสถานที่ทำงานของคุณเพื่อประเมินและบรรเทาความปลอดภัยและความเสี่ยงอื่นๆ อย่าให้ความสมบูรณ์แบบเป็นศัตรูของความดี!

มีแหล่งข้อมูลฟรีมากมายที่จะช่วยคุณสร้างโปรแกรมความปลอดภัย เริ่มต้นด้วย FTC ซึ่งได้เผยแพร่แหล่งข้อมูลฟรีมากมาย รวมถึงส่วนเสริมของกิจกรรมนี้ Start with Security, a Guide for Business เป็นการเริ่มต้นที่ดีที่จะช่วยให้คุณเริ่มคิดเกี่ยวกับปัญหาด้านความปลอดภัยที่เฉพาะเจาะจงสำหรับธุรกิจของคุณ

สร้างความปลอดภัยให้กับท่อของคุณ

ทรัพยากรที่ยอดเยี่ยม ทดสอบแล้ว และฟรีเพื่อนำการรักษาความปลอดภัยมาสู่กระบวนการและไปป์ไลน์การพัฒนาของคุณคือเฟรมเวิร์ก Security Development Lifecycle ของ Microsoft ซึ่งได้รับการรับรองโดยบริษัททุกขนาดและทุกระยะของการเติบโตเพื่อปรับปรุงความปลอดภัยและความเป็นส่วนตัวของแอปพลิเคชันของตน

นอกเหนือจากเฟรมเวิร์ก SDL แล้ว Microsoft ยังเสนอ เครื่องมือสร้างแบบจำลองภัยคุกคาม SDL ที่นักพัฒนาหรือสถาปนิกซอฟต์แวร์สามารถใช้เพื่อระบุและบรรเทาปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นก่อนหน้านี้ในกระบวนการ เมื่อปัญหาเหล่านี้คุ้มค่ากว่าในการแก้ไข

ปรับปรุงความปลอดภัยของซอฟต์แวร์

โครงการ Open Web Application Security เป็นองค์กรไม่แสวงหาผลกำไรทั่วโลกที่มุ่งเน้นการปรับปรุงความปลอดภัยของซอฟต์แวร์ OWASP Top 10 ซึ่งเน้นย้ำถึงข้อบกพร่องด้านความปลอดภัยของแอปพลิเคชัน 10 อันดับแรก สามารถให้การประเมินอย่างรวดเร็วว่าแนวปฏิบัติของคุณอยู่ในระดับใดเมื่อเทียบกับมาตรฐานอุตสาหกรรม OWASP 10 ประกอบด้วยคำอธิบายของแต่ละความเสี่ยง พร้อมด้วยตัวอย่างช่องโหว่และการโจมตี คำแนะนำในการหลีกเลี่ยงความเสี่ยงด้านความปลอดภัยเหล่านี้ และการอ้างอิงถึงแหล่งข้อมูลที่เกี่ยวข้อง มีแม้กระทั่งเกมไพ่ Cornucopia เพื่อช่วยทดสอบความรู้ของคุณ

การจัดการกับ OWASP Top 10 ในองค์กรของคุณสามารถช่วยลดจุดอ่อนที่มีแนวโน้มว่าจะส่งผลกระทบต่อแอปพลิเคชันของคุณได้อย่างมาก OWASP โฮสต์ บท ในท้องถิ่นในหลายภูมิภาคทั่วโลก — ซึ่งสามารถให้โอกาสเจ้าหน้าที่วิศวกรรมของคุณในการสอน เรียนรู้ และสร้างแรงบันดาลใจกับผู้อื่นในชุมชนของคุณ

ฝึกอบรมวิศวกรของคุณ

สำหรับชุดเครื่องมือฝึกอบรมด้านวิศวกรรมความปลอดภัยที่มีโครงสร้างมากขึ้น SAFECode เสนอตัวเลือกที่ยอดเยี่ยม ซึ่งเป็นองค์กรไม่แสวงผลกำไรระดับโลกที่เป็นผู้นำในอุตสาหกรรม ซึ่งทุ่มเทให้กับการระบุและส่งเสริมแนวทางปฏิบัติที่ดีที่สุดในการนำเสนอซอฟต์แวร์ ฮาร์ดแวร์ และบริการที่ปลอดภัยและเชื่อถือได้ พวกเขาเสนอหลักสูตรการฝึกอบรมด้านความปลอดภัยของซอฟต์แวร์ฟรีผ่านการออกอากาศทางเว็บแบบออนดีมานด์และเผยแพร่กรอบงานสำหรับการตั้งค่าโปรแกรมการฝึกอบรมด้านวิศวกรรมความปลอดภัยขององค์กร ซึ่งสามารถใช้เป็นส่วนเสริมของโครงการฝึกอบรมด้านวิศวกรรมที่เป็นทางการได้

หลักสูตร SAFECode ทั้งหมดนั้นฟรีและเผยแพร่ภายใต้ใบอนุญาต Creative Commons ซึ่งหมายความว่าคุณสามารถรวมหลักสูตรเหล่านี้เข้ากับเฟรมเวิร์กการฝึกอบรมที่มีอยู่ได้ตราบใดที่คุณระบุแหล่งที่มาอย่างเหมาะสม

ทำให้การรักษาความปลอดภัยเป็นเรื่องสนุก

เมื่อสร้างการรักษาความปลอดภัยในวัฒนธรรมของคุณ สิ่งสำคัญคือต้องเพิ่มความเสี่ยงด้านความปลอดภัยและแนวทางปฏิบัติที่ดีที่สุดด้วยวิธีที่เข้าถึงได้และมีส่วนร่วม การใช้เกมเป็นเครื่องมือในโปรแกรมความปลอดภัยของคุณเป็นวิธีที่ยอดเยี่ยมในการทำให้การฝึกอบรมด้านความปลอดภัยเป็นเรื่องสนุกและเข้าถึงได้ และสร้างความปลอดภัยในวัฒนธรรมของคุณในแบบที่ไม่คุกคาม วิธีหนึ่งในการเพิ่มความปลอดภัยคือการจูงใจและให้รางวัลพนักงานที่ยอมรับแนวปฏิบัติที่ดีที่สุด สิ่งจูงใจเหล่านี้สามารถสร้างขึ้นในการฝึกอบรมเพื่อจัดการกับความเสี่ยงด้านความปลอดภัย เช่น การเข้าถึงทางกายภาพ วิศวกรรมสังคม และช่องโหว่ด้านซอฟต์แวร์และเทคโนโลยี

Elevation of Privilege Card Game ของ Microsoft เป็นวิธีที่ง่ายในการทำความคุ้นเคยกับทีมวิศวกรรมด้วยการสร้างแบบจำลองภัยคุกคาม ซึ่งเป็นองค์ประกอบหลักของ Microsoft SDL และโปรแกรมและเฟรมเวิร์กการรักษาความปลอดภัยที่คล้ายคลึงกัน EoP แนะนำวิศวกรเกี่ยวกับหมวดหมู่ภัยคุกคาม STRIDE (การปลอมแปลง การปลอมแปลง การปฏิเสธ การเปิดเผยข้อมูล การปฏิเสธการบริการ และการยกระดับสิทธิ์) เกมนี้พัฒนาโดย Microsoft และเผยแพร่ภายใต้ใบอนุญาตครีเอทีฟคอมมอนส์ สามารถ ดาวน์โหลด หรือ ซื้อ ได้ฟรี

วัดความก้าวหน้าของคุณ

เมื่อคุณได้กล่าวถึงการฝึกอบรมและกระบวนการในองค์กรของคุณแล้ว โอกาสอื่นในการสร้างการรักษาความปลอดภัยให้กับผลิตภัณฑ์ของคุณก็คือการใช้เครื่องมือวิเคราะห์แบบคงที่และแบบไดนามิก เครื่องมือที่คุณเลือกจะขึ้นอยู่กับกลุ่มเทคโนโลยีที่คุณใช้เป็นส่วนใหญ่ แต่มีเครื่องมือโอเพ่นซอร์สฟรีมากมายที่ให้คุณทำการวิเคราะห์บนฐานรหัสของคุณเพื่อตรวจสอบว่ามีการใช้เทคนิคความปลอดภัยอย่างถูกต้อง เครื่องมือวิเคราะห์ดังกล่าวไม่ใช่ยาครอบจักรวาล แต่ให้ชั้นการป้องกันเพิ่มเติมในโปรแกรมความปลอดภัยของคุณ

บทสรุป: ทำให้การรักษาความปลอดภัยมีความสำคัญ

ไม่ว่าคุณจะพยายามดึงเอาความไว้วางใจและธุรกิจของลูกค้ารายใหญ่หรือพยายามเตรียมพร้อมสำหรับการออกจากธุรกิจ การสร้างวัฒนธรรมการรักษาความปลอดภัยถือเป็นสินทรัพย์ที่จำเป็นต้องเป็นส่วนสำคัญของการเติบโตระยะยาวและกลยุทธ์ทางธุรกิจของคุณ การทำให้ผู้รับผิดชอบด้านความปลอดภัย และการสร้างองค์กรที่เน้นการรักษาความปลอดภัยและการกำกับดูแลข้อมูลเป็นกุญแจสำคัญ

ความสำเร็จของธุรกิจระดับองค์กรมักจะหมายถึงการให้ลูกค้าของคุณมีแนวทางปฏิบัติด้านความปลอดภัยที่ถูกต้อง (และยืนยันผ่านการตรวจสอบความปลอดภัยโดยละเอียดและแบบสอบถาม) การมีระบบความปลอดภัยที่ฝังอยู่ในขั้นตอนการพัฒนาของคุณตั้งแต่เริ่มต้น ทำให้กระบวนการตรวจสอบและสอบสวนง่ายขึ้นมาก

เมื่อบริษัทของคุณเติบโตเต็มที่และเข้าซื้อกิจการมา การมีโปรแกรมความปลอดภัยที่เข้มงวดจะช่วยให้คุณสำรวจกระบวนการความขยันและทำให้คุณน่าสนใจยิ่งขึ้นสำหรับนักลงทุน อีกเหตุผลหนึ่งที่ควรเริ่มต้นด้วยการรักษาความปลอดภัยตอนนี้ ไม่ใช่ในภายหลัง คุณจะต้องทำงานที่จำเป็นเพื่อป้องกันไม่ให้เกิดภัยพิบัติ เช่น การละเมิดข้อมูล และแน่นอน เราทุกคนทราบดีว่าในโลกของการฝ่าฝืนธนาคารและการค้าปลีก ลูกค้าชอบองค์กรที่มีแนวปฏิบัติด้านความปลอดภัยที่เข้มงวด

เรียนรู้ทั้งหมดเกี่ยวกับ ข้อมูล TUNE และความเป็นส่วนตัว รวมถึงการจำนำข้อมูล TUNE ชอบบทความนี้? ลงทะเบียนเพื่อรับอีเมลสรุปบล็อกของเรา