如何建立安全文化

已发表: 2016-03-01

建立安全文化

成长中的公司可以将安全融入其文化和产品的 5 种方式

在安全方面决定从哪里开始对于成长中的公司来说可能是一个挑战。

为了减轻痛苦,联邦贸易委员会本月早些时候举办了一次会议,重点为初创公司提供实施有效数据安全的实用技巧和策略(我们在那里!)。 会议汇集了包括软件工程师、学者和律师在内的行业专家(更不用说关于为安全制定商业案例的会议,由TUNE 首席隐私官 Saira Nayak主持

Start with Security告诉我们,虽然没有什么能真正取代专业开发的安全程序,该程序针对您的公司面临的风险进行了微调,但现在有许多免费或低成本的资源可帮助您开始开发安全程序 — 在这种方式还可以让您的员工参与进来,以帮助您降低因未经授权访问或破坏您宝贵的客户和公司数据而带来的风险。

作为过去 10 年与从初创公司到企业的各种规模的公司一起设计产品的人,我发现本次活动提供的内容和资源具有高度相关性。 对于需要开始在其文化和产品中构建安全性的公司,以下是我最喜欢的一些要点。

从安全开始

如果您没有预算聘请安全顾问来分析您的系统和工作场所以评估和减轻安全和其他风险怎么办? 不要让完美成为美好的敌人!

有许多免费资源可帮助您构建安全程序。 从 FTC 开始,它发布了一些免费资源,包括本次活动的补充,从安全开始,商业指南 它为帮助您开始考虑特定于您的业务的安全问题提供了一个良好的开端。

在您的管道中构建安全性

Microsoft 的安全开发生命周期框架是一个极好的、经过测试且免费的资源,可将安全性引入您的流程和开发管道,该框架已被各种规模和成长阶段的公司采用,以提高其应用程序的安全性和隐私性。

除了 SDL 框架,Microsoft 还提供了SDL 威胁建模工具,开发人员或软件架构师可以使用该工具在流程的早期识别和缓解潜在的安全问题,此时解决这些问题更具成本效益。

提高软件安全性

Open Web Application Security Project 是一个致力于提高软件安全性的全球性非营利组织; OWASP Top 10 突出显示了前 10 个应用程序安全漏洞,可以快速评估您的实践与行业标准的对比。 OWASP 10 包括对每种风险的描述,以及漏洞和攻击的示例、如何避免这些安全风险的指南以及对相关资源的引用。 甚至还有一个聚宝盆纸牌游戏来帮助测试您的知识。

在您的组织中解决 OWASP 前 10 名对于减轻最有可能影响您的应用程序的漏洞大有帮助。 OWASP 在全球许多地区举办当地分会——这也可以为您的工程人员提供与社区中其他人一起教学、学习和启发的机会。

培训您的工程师

对于一套更结构化的安全工程培训工具,SAFECode 提供了一个绝佳的选择,SAFECode 是一家行业领先的全球非营利组织,致力于识别和推广最佳实践,以提供安全可靠的软件、硬件和服务。 他们通过点播网络广播提供免费的软件安全培训课程,并发布了一个用于建立企业安全工程培训计划的框架,该计划可用作正式工程培训计划的补充。

所有 SAFECode 课程都是免费的,并且在知识共享许可下发布,这意味着您可以将这些课程集成到您现有的培训框架中,只要您正确注明来源即可。

让安全变得有趣

在您的文化中构建安全性时,以平易近人、引人入胜的方式引入安全风险和最佳实践非常重要。 在您的安全计划中使用游戏作为工具是一种很好的方式,可以让安全培训变得有趣且易于访问,并以一种不具威胁性的方式将安全融入您的文化。 游戏化安全的一种方法是激励和奖励接受最佳实践的员工。 这些激励措施可以构建到培训中,以解决物理访问、社会工程以及软件和技术堆栈漏洞等安全风险。

Microsoft 的 Elevation of Privilege Card Game 是让工程团队熟悉威胁建模、Microsoft SDL 的核心组件以及类似的安全程序和框架的一种简单方法。 EoP 向工程师介绍了 STRIDE 威胁类别(欺骗、篡改、否认、信息泄露、拒绝服务和特权提升)。 该游戏由 Microsoft 开发,并根据知识共享许可发布。 它可以免费下载购买

衡量你的进步

一旦您解决了组织中的培训和流程,另一个在您的产品中构建安全性的机会是通过静态和动态分析工具。 您对工具的选择在很大程度上取决于您使用的技术堆栈,但有许多免费的开源工具可供您对代码库执行分析,以验证安全技术是否已正确实施。 此类分析工具不是万能药,而是在您的安全程序中提供了额外的保护层。

结论:将安全放在首位

无论您是试图获得大客户的信任和业务,还是试图为退出做准备,建立安全文化都是一项资产,需要成为您长期增长和业务战略的核心部分。 让某人负责安全,并建立一个专注于安全和数据治理的组织是关键。

赢得企业业务通常意味着向您的客户提供您拥有正确的安全实践(并通过详细的安全审计和问卷调查来验证)。 从一开始就将安全性嵌入到您的开发管道中,使审计和调查过程变得更加容易。

随着公司的成熟和收购的出现,拥有强大的安全计划将帮助您在尽职调查过程中导航,并使您对投资者更具吸引力。 现在而不是以后从安全性开始的另一个原因。 您将做您需要的工作,以防止发生诸如数据泄露之类的灾难性事件的可能性。 当然,我们都知道,在这个银行和零售业存在漏洞的世界中,客户更喜欢具有强大安全实践的组织。

了解有关TUNE 数据和隐私的所有信息,包括 TUNE 数据承诺。 喜欢这篇文章吗? 注册我们的博客摘要电子邮件。