Güvenlik Kültürü Nasıl İnşa Edilir

Büyüyen Şirketlerin Güvenliği Kültürlerine ve Ürünlerine Dahil Etmesinin 5 Yolu

Güvenlik söz konusu olduğunda nereden başlayacağınıza karar vermek, büyüyen şirketler için zor olabilir.

Acıyı hafifletmeye yardımcı olmak için, Federal Ticaret Komisyonu bu ayın başlarında, yeni başlayanlara etkili veri güvenliğini uygulamak için pratik ipuçları ve stratejiler sağlamaya odaklanan bir konferansa ev sahipliği yaptı (oradaydık!). Konferans, yazılım mühendisleri, akademisyenler ve avukatlar dahil olmak üzere endüstri uzmanlarını bir araya getirdi ( TUNE Gizlilik Baş Sorumlusu Saira Nayak'ın yer aldığı güvenlik için bir iş vakası hazırlama oturumundan bahsetmiyorum bile )

Güvenlikle Başlayın bize, şirketinizin karşı karşıya olduğu risklere göre hassas bir şekilde ayarlanmış, profesyonelce geliştirilmiş bir güvenlik programının yerini hiçbir şeyin gerçekten alamayacağını, ancak şimdi bir güvenlik programı geliştirmeye başlamanıza yardımcı olacak birçok ücretsiz veya düşük maliyetli kaynak olduğunu öğretti. Değerli müşteri ve kurumsal verilerinize yetkisiz erişim veya ihlal risklerini azaltmanıza yardımcı olmak için çalışanlarınızı da dahil eden bir yol.

Son 10 yılını, başlangıçtan işletmeye kadar değişen büyüklükteki şirketlerle mühendislik ürünleriyle geçiren biri olarak, bu etkinlikte sunulan içeriği ve kaynakları oldukça alakalı buldum. Kültürlerine ve ürünlerine güvenlik eklemeye başlaması gereken şirketler için en sevdiğim paketlerden bazıları burada.

Güvenlikle Başlayın

Güvenlik ve diğer riskleri değerlendirmek ve azaltmak için sistemlerinizi ve iş yerinizi analiz etmek üzere bir güvenlik danışmanı tutacak bütçeniz yoksa ne olur? Mükemmelin iyinin düşmanı olmasına izin vermeyin!

Bir güvenlik programı oluşturmanıza yardımcı olacak birçok ücretsiz kaynak vardır. Bu etkinliğe bir ek de dahil olmak üzere birçok ücretsiz kaynak yayınlayan FTC ile başlayın, Güvenlikle Başlayın, İş Rehberi . İşletmenize özgü güvenlik sorunları hakkında düşünmeye başlamanıza yardımcı olmak için iyi bir başlangıç ​​sağlar.

Boru Hattınıza Güvenlik İnşa Edin

Sürecinize ve geliştirme hattınıza güvenlik getirmek için müthiş, test edilmiş ve ücretsiz bir kaynak, uygulamalarının güvenliğini ve gizliliğini geliştirmek için her boyutta ve büyüme aşamasındaki şirketler tarafından benimsenen Microsoft'un Güvenlik Geliştirme Yaşam Döngüsü çerçevesidir.

Microsoft, SDL çerçevesinin yanı sıra, geliştiriciler veya yazılım mimarları tarafından, çözülmeleri daha uygun maliyetli olduklarında, potansiyel güvenlik sorunlarını sürecin başlarında belirlemek ve azaltmak için kullanılabilecek SDL Tehdit Modelleme Aracı'nı sunar.

Yazılım Güvenliğini İyileştirin

Açık Web Uygulama Güvenliği Projesi, yazılım güvenliğini iyileştirmeye odaklanan, dünya çapında kâr amacı gütmeyen bir projedir; En önemli 10 uygulama güvenlik açığını vurgulayan OWASP İlk 10, uygulamalarınızın bir endüstri standardına göre nerede biriktiğine dair hızlı bir değerlendirme sağlayabilir. OWASP 10, güvenlik açıkları ve saldırı örnekleriyle birlikte her bir riskin açıklamasını, bu güvenlik risklerinden nasıl kaçınılacağına ilişkin rehberlik ve ilgili kaynaklara referanslar içerir. Bilginizi test etmenize yardımcı olacak bir Cornucopia kart oyunu bile var.

Kuruluşunuzdaki OWASP İlk 10'u ele almak, uygulamanızı etkileme olasılığı en yüksek olan güvenlik açıklarını azaltmak için uzun bir yol kat edebilir. OWASP , dünya çapında birçok bölgede yerel bölümlere ev sahipliği yapar - bu, mühendislik personelinize topluluğunuzdaki diğer kişilere öğretmek, öğrenmek ve ilham vermek için fırsatlar da sağlayabilir.

Mühendislerinizi Eğitin

Daha yapılandırılmış bir güvenlik mühendisliği eğitim araçları seti için, kendini güvenli ve güvenilir yazılım, donanım ve hizmetler sunmaya yönelik en iyi uygulamaları belirlemeye ve desteklemeye adamış, endüstri liderliğindeki küresel kar amacı gütmeyen SAFECode tarafından harika bir seçenek sunulmaktadır. İsteğe bağlı web yayınları aracılığıyla ücretsiz yazılım güvenliği eğitimi kursları sunarlar ve resmi bir mühendislik eğitimi girişimine ek olarak kullanılabilecek bir kurumsal güvenlik mühendisliği eğitim programı oluşturmak için bir çerçeve yayınlarlar.

Tüm SAFECode kursları ücretsizdir ve bir Creative Commons lisansı altında yayınlanır; bu, bu kursları, kaynağı uygun şekilde ilişkilendirdiğiniz sürece mevcut eğitim çerçevenize entegre edebileceğiniz anlamına gelir.

Güvenliği Eğlenceli Hale Getirin

Kültürünüze güvenlik eklerken, güvenlik risklerini ve en iyi uygulamaları ulaşılabilir ve ilgi çekici bir şekilde sunmak önemlidir. Oyun oynamayı güvenlik programınızda bir araç olarak kullanmak, güvenlik eğitimini eğlenceli ve erişilebilir hale getirmenin ve kültürünüze tehdit edici olmayan bir şekilde güvenlik katmanın harika bir yoludur. Güvenliği oyunlaştırmanın bir yolu, en iyi uygulamaları benimseyen çalışanları teşvik etmek ve ödüllendirmektir. Bu teşvikler, fiziksel erişim, sosyal mühendislik ve yazılım ve teknoloji yığını güvenlik açıkları gibi güvenlik risklerini ele almak için eğitimlere dahil edilebilir.

Microsoft'un Ayrıcalık Yükselişi Kart Oyunu, mühendislik ekiplerini Microsoft SDL'nin temel bir bileşeni olan tehdit modelleme ve benzer güvenlik programları ve çerçeveleri ile tanıştırmak için kolay bir yoldur. EoP, mühendisleri STRIDE tehdit kategorileriyle tanıştırır (sahtecilik, kurcalama, reddetme, bilgi ifşası, hizmet reddi ve ayrıcalık yükselmesi). Bu oyun Microsoft tarafından geliştirildi ve bir yaratıcı ortak lisans altında yayınlandı. Ücretsiz olarak indirilebilir veya satın alınabilir .

İlerlemenizi Ölçün

Kuruluşunuzdaki eğitim ve süreci ele aldıktan sonra, ürünlerinize güvenlik eklemek için başka bir fırsat, statik ve dinamik analiz araçlarıdır. Araç seçiminiz büyük ölçüde kullandığınız teknoloji yığınına bağlı olacaktır, ancak güvenlik tekniklerinin doğru bir şekilde uygulandığını doğrulamak için kod tabanınızda analiz yapmanıza izin veren birçok ücretsiz açık kaynak aracı mevcuttur. Bu tür analiz araçları her derde deva değildir, ancak güvenlik programınızda ek bir koruma katmanı sağlar.

Sonuç: Güvenliği Önceliklendirin

İster daha büyük müşterilerin güvenini ve işlerini yakalamaya ister bir çıkışa hazırlanmaya çalışıyor olun, bir güvenlik kültürü oluşturmak, uzun vadeli büyüme ve iş stratejinizin temel bir parçası olması gereken bir varlıktır. Güvenlikten birini sorumlu kılmak ve güvenlik ve veri yönetimine odaklanan bir organizasyon oluşturmak çok önemlidir.

Kurumsal işletmeyi kazanmak, genellikle müşterilerinize doğru güvenlik uygulamalarına sahip olduğunuzu sağlamak (ve bunu ayrıntılı güvenlik denetimleri ve anketlerle doğrulamak) anlamına gelir. Geliştirme hattınıza baştan itibaren güvenliğin dahil edilmesi, bu denetim ve araştırma sürecini çok daha kolay hale getirir.

Şirketiniz olgunlaştıkça ve satın alma devreye girdikçe, güçlü bir güvenlik programına sahip olmak, titizlik sürecinde gezinmenize yardımcı olacak ve sizi yatırımcılar için daha çekici hale getirecektir. Güvenlikle daha sonra değil, şimdi başlamak için başka bir neden. Veri ihlali gibi feci bir şey olasılığını önlemek için ihtiyacınız olan işi yapacaksınız. Ve elbette hepimiz biliyoruz ki, bu banka ve perakende ihlalleri dünyasında, müşteriler güçlü güvenlik uygulamalarına sahip kuruluşları tercih ediyor.

TUNE veri taahhüdü de dahil olmak üzere TUNE verileri ve gizliliği hakkında her şeyi öğrenin . Bu makaleyi beğendiniz mi? Blog özet e-postalarımız için kaydolun.