如何建立安全文化

已發表: 2016-03-01

建立安全文化

成長中的公司可以將安全融入其文化和產品的 5 種方式

在安全方面決定從哪裡開始對於成長中的公司來說可能是一個挑戰。

為了減輕痛苦,聯邦貿易委員會本月早些時候舉辦了一次會議,重點為初創公司提供實施有效數據安全的實用技巧和策略(我們在那裡!)。 會議匯集了包括軟件工程師、學者和律師在內的行業專家(更不用說關於為安全制定商業案例的會議,由TUNE 首席隱私官 Saira Nayak主持

Start with Security告訴我們,雖然沒有什麼能真正取代專業開發的安全程序,該程序針對您的公司面臨的風險進行了微調,但現在有許多免費或低成本的資源可幫助您開始開發安全程序 — 在這種方式還可以讓您的員工參與進來,以幫助您降低因未經授權訪問或破壞您寶貴的客戶和公司數據而帶來的風險。

作為過去 10 年與從初創公司到企業的各種規模的公司一起設計產品的人,我發現本次活動提供的內容和資源具有高度相關性。 對於需要開始在其文化和產品中構建安全性的公司,以下是我最喜歡的一些要點。

從安全開始

如果您沒有預算聘請安全顧問來分析您的系統和工作場所以評估和減輕安全和其他風險怎麼辦? 不要讓完美成為美好的敵人!

有許多免費資源可幫助您構建安全程序。 從 FTC 開始,它發布了一些免費資源,包括本次活動的補充,從安全開始,商業指南 它為幫助您開始考慮特定於您的業務的安全問題提供了一個良好的開端。

在您的管道中構建安全性

Microsoft 的安全開發生命週期框架是一個極好的、經過測試且免費的資源,可將安全性引入您的流程和開發管道,該框架已被各種規模和成長階段的公司採用,以提高其應用程序的安全性和隱私性。

除了 SDL 框架,Microsoft 還提供了SDL 威脅建模工具,開發人員或軟件架構師可以使用該工具在流程的早期識別和緩解潛在的安全問題,此時解決這些問題更具成本效益。

提高軟件安全性

Open Web Application Security Project 是一個致力於提高軟件安全性的全球性非營利組織; OWASP Top 10 突出顯示了前 10 個應用程序安全漏洞,可以快速評估您的實踐與行業標準的對比。 OWASP 10 包括對每種風險的描述,以及漏洞和攻擊的示例、如何避免這些安全風險的指南以及對相關資源的引用。 甚至還有一個聚寶盆紙牌遊戲來幫助測試您的知識。

在您的組織中解決 OWASP 前 10 名對於減輕最有可能影響您的應用程序的漏洞大有幫助。 OWASP 在全球許多地區舉辦當地分會——這也可以為您的工程人員提供與社區中其他人一起教學、學習和啟發的機會。

培訓您的工程師

對於一套更結構化的安全工程培訓工具,SAFECode 提供了一個絕佳的選擇,SAFECode 是一家行業領先的全球非營利組織,致力於識別和推廣最佳實踐,以提供安全可靠的軟件、硬件和服務。 他們通過點播網絡廣播提供免費的軟件安全培訓課程,並發布了一個用於建立企業安全工程培訓計劃的框架,該計劃可用作正式工程培訓計劃的補充。

所有 SAFECode 課程都是免費的,並且在知識共享許可下發布,這意味著您可以將這些課程集成到您現有的培訓框架中,只要您正確註明來源即可。

讓安全變得有趣

在您的文化中構建安全性時,以平易近人、引人入勝的方式引入安全風險和最佳實踐非常重要。 在您的安全計劃中使用遊戲作為工具是一種很好的方式,可以讓安全培訓變得有趣且易於訪問,並以一種不具威脅性的方式將安全融入您的文化。 遊戲化安全的一種方法是激勵和獎勵接受最佳實踐的員工。 這些激勵措施可以構建到培訓中,以解決物理訪問、社會工程以及軟件和技術堆棧漏洞等安全風險。

Microsoft 的 Elevation of Privilege Card Game 是讓工程團隊熟悉威脅建模、Microsoft SDL 的核心組件以及類似的安全程序和框架的一種簡單方法。 EoP 向工程師介紹了 STRIDE 威脅類別(欺騙、篡改、否認、信息洩露、拒絕服務和特權提升)。 該遊戲由 Microsoft 開發,並根據知識共享許可發布。 它可以免費下載購買

衡量你的進步

一旦您解決了組織中的培訓和流程,另一個在您的產品中構建安全性的機會是通過靜態和動態分析工具。 您對工具的選擇在很大程度上取決於您使用的技術堆棧,但有許多免費的開源工具可供您對代碼庫執行分析,以驗證安全技術是否已正確實施。 此類分析工具不是萬能藥,而是在您的安全程序中提供了額外的保護層。

結論:將安全放在首位

無論您是試圖獲得大客戶的信任和業務,還是試圖為退出做準備,建立安全文化都是一項資產,需要成為您長期增長和業務戰略的核心部分。 讓某人負責安全,並建立一個專注於安全和數據治理的組織是關鍵。

贏得企業業務通常意味著向您的客戶提供您擁有正確的安全實踐(並通過詳細的安全審計和問卷調查來驗證)。 從一開始就將安全性嵌入到您的開發管道中,使審計和調查過程變得更加容易。

隨著公司的成熟和收購的出現,擁有強大的安全計劃將幫助您在盡職調查過程中導航,並使您對投資者更具吸引力。 現在而不是以後從安全性開始的另一個原因。 您將做您需要的工作,以防止發生諸如數據洩露之類的災難性事件的可能性。 當然,我們都知道,在這個銀行和零售業存在漏洞的世界中,客戶更喜歡具有強大安全實踐的組織。

了解有關TUNE 數據和隱私的所有信息,包括 TUNE 數據承諾。 喜歡這篇文章嗎? 註冊我們的博客摘要電子郵件。