Einige CISOs nutzen den Mangel an Sicherheitsfachkräften in eine Chance
Da ich diese Woche nach San Francisco reise, um an RSA teilzunehmen, bereite ich mich auf viele Diskussionen mit CISOs vor. Es mag Sie überraschen, aber das Gespräch mit vielen CISOs ist heutzutage nicht gerade erfreulich.
Sie wissen, dass die Sicherheitsrisiken zunehmen, aber viele sehen keine Gelegenheit für Sicherheitsverbesserungen, sondern glauben stattdessen, dass ihre Unternehmen mit größerer Wahrscheinlichkeit Opfer einer Datenschutzverletzung oder eines Cybersicherheitsangriffs werden als je zuvor.
Eines der häufigsten Themen in meinen regelmäßigen CISO-Gesprächen ist ihre Besorgnis über den problematischen Mangel an Cybersicherheitskompetenzen.
„Unser Sicherheitsteam ist nicht groß genug für die Größe unseres Ingenieurteams oder Unternehmens.“
„Unser Sicherheitsteam wird immer wieder von Unternehmen im Ausland abgeworben, die außergewöhnliche Gehaltspakete und die Möglichkeit bieten, zu arbeiten und andere Kontinente zu erkunden.“
„Unsere Sicherheitsexperten sind zu sehr mit der Brandbekämpfung beschäftigt, um ihre Fähigkeiten weiterzuentwickeln“.
Dieses Thema wird durch mehrere Forschungsberichte gestützt, darunter eine Umfrage des Ponemon Institute aus dem Jahr 2017, in der 2018 der „Mangel an kompetenten internen Mitarbeitern“ bei allen anderen Arten von CISO-Cybersicherheitsbedenken an erster Stelle stand.
Diese kritische Lücke bei den Sicherheitskompetenzen wird wahrscheinlich nicht so schnell verschwinden, insbesondere in Märkten wie Australien, wo die besten Talente häufig ins Ausland abwandern und die Einwanderungsgesetze es zunehmend schwieriger machen, ausländische Sicherheitsexperten ins Land zu holen.
Eines der interessanten Dinge am australischen Fachkräftemangel ist, dass die mangelnde Fähigkeit, qualifizierte Experten zu rekrutieren, dazu geführt hat, dass der Aufbau von Fähigkeiten im Bereich der nationalen Sicherheit positiv in den Mittelpunkt gerückt ist. Wie Benjamin Franklin hätte sagen sollen: „Aus Widrigkeiten ergeben sich Chancen.“ Australische Regierungen, Bildungseinrichtungen, Unternehmen und Start-ups arbeiten an Programmen, um vor Ort eine Reihe von Sicherheitskompetenzen aufzubauen.
Ein Bereich, in dem der Mangel an Sicherheitskompetenzen definitiv zu Chancen geführt hat, ist die Entwicklung von Fähigkeiten zur sicheren Codierung innerhalb interner und ausgelagerter Entwicklungsteams. Angesichts der Tatsache, dass die meisten der weltweit größten Sicherheitslücken auf Codierungsfehler zurückzuführen sind und die durchschnittliche Sicherheitsverletzung 3,6 Millionen US-Dollar kostet, ist Softwaresicherheit definitiv ein erheblicher Teil der Sicherheitsherausforderung. Eine der größten (und steigenden) Ausgaben innerhalb der Budgets für Anwendungssicherheit entfällt auf die reaktive Identifizierung und Behebung der Anwendungssicherheit, wobei häufig Jahr für Jahr dieselben alten Fehler auftreten.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Es bedeutet nicht, Sicherheitsexperten durch Entwickler zu ersetzen, aber es bedeutet, Entwickler in Sicherheitsfragen einzubeziehen, Sicherheit zu einem Teil ihrer täglichen Denkweise zu machen und ihnen beizubringen, sicher zu programmieren, und zwar auf unterhaltsame, effektive und effiziente Weise. Das Ergebnis wird sein, dass knappes Sicherheitsexpertise besser darauf verwendet werden kann, die wirklich schwierigen, komplexen Fehler zu finden und zu beheben, als sich mit denselben alten Sicherheitslücken zu befassen.
Für einige CISOs mag das alles zu schön klingen, um wahr zu sein, oder zu schwierig zu implementieren, aber die Wahrheit ist, dass es keines dieser Dinge ist. Bei Secure Code Warrior haben immer mehr CISOs diese Gelegenheit genutzt und dabei das Arbeitsleben sowohl der Sicherheits- als auch der Entwicklungsteams verändert.
Eine Gruppe von CISOs, die weltweit die Initiative ergriffen haben, um unter ihren Softwareentwicklern eine starke Sicherheitsmentalität und -kompetenz zu entwickeln, sind die australischen Banken. Die australischen Banken waren bereits 2016 und 2017 die ersten Anwender dieses Ansatzes. Die sechs führenden Banken des Landes ermutigen ihre Entwicklerteams nun aktiv dazu, mithilfe unserer spielerischen Online-Lernumgebung im Selbststudium sichere Programmierkenntnisse zu erwerben. Die Banken überprüfen außerdem regelmäßig Echtzeitkennzahlen und Berichte, um die Stärken und Schwächen ihrer Entwickler und Teams zu überprüfen.
Der Ansatz führt zu greifbaren und positiven Ergebnissen, darunter eine Verringerung des Auftretens häufiger Sicherheitslücken, ein erhöhtes Sicherheitsbewusstsein der Entwickler und eine verbesserte Beziehung zwischen Sicherheits- und Entwicklungsteams. Unternehmen, die ihren Entwicklern das sichere Programmieren beibringen, werden den Druck auf ihr vorhandenes Sicherheitstalent verringern und ihr Risiko durch Softwareunsicherheiten verringern.
Wenn Sie ein CISO sind (oder einen kennen), der sich über die Sicherheitslage in Ihrem Unternehmen deprimiert fühlt, empfehle ich Ihnen, über einen einfachen Weg nachzudenken, um einige positive und greifbare Punkte zur Sicherheitsverbesserung zu erzielen. Ermöglichen Sie Ihren Entwicklern, sicheres Programmieren zu lernen, und zwar auf eine Weise, die relevant, positiv und unterhaltsam ist. Ihre Sicherheits- und Entwicklungsteams werden es Ihnen danken und Sie werden auch Kosten und Verzögerungen bei Produktinnovationen und -entwicklungen vermeiden. Ich wette, das wird den Weg für viele positive Sicherheitsgespräche ebnen _...
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, aus der Sicherheitslücke heraus eine gewisse proaktive Kontrolle zu übernehmen. Hier besteht die Möglichkeit, schnelle, einfache und messbare Verbesserungen sowohl für Sicherheits- als auch für Entwicklungsteams zu erzielen.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Da ich diese Woche nach San Francisco reise, um an RSA teilzunehmen, bereite ich mich auf viele Diskussionen mit CISOs vor. Es mag Sie überraschen, aber das Gespräch mit vielen CISOs ist heutzutage nicht gerade erfreulich.
Sie wissen, dass die Sicherheitsrisiken zunehmen, aber viele sehen keine Gelegenheit für Sicherheitsverbesserungen, sondern glauben stattdessen, dass ihre Unternehmen mit größerer Wahrscheinlichkeit Opfer einer Datenschutzverletzung oder eines Cybersicherheitsangriffs werden als je zuvor.
Eines der häufigsten Themen in meinen regelmäßigen CISO-Gesprächen ist ihre Besorgnis über den problematischen Mangel an Cybersicherheitskompetenzen.
„Unser Sicherheitsteam ist nicht groß genug für die Größe unseres Ingenieurteams oder Unternehmens.“
„Unser Sicherheitsteam wird immer wieder von Unternehmen im Ausland abgeworben, die außergewöhnliche Gehaltspakete und die Möglichkeit bieten, zu arbeiten und andere Kontinente zu erkunden.“
„Unsere Sicherheitsexperten sind zu sehr mit der Brandbekämpfung beschäftigt, um ihre Fähigkeiten weiterzuentwickeln“.
Dieses Thema wird durch mehrere Forschungsberichte gestützt, darunter eine Umfrage des Ponemon Institute aus dem Jahr 2017, in der 2018 der „Mangel an kompetenten internen Mitarbeitern“ bei allen anderen Arten von CISO-Cybersicherheitsbedenken an erster Stelle stand.
Diese kritische Lücke bei den Sicherheitskompetenzen wird wahrscheinlich nicht so schnell verschwinden, insbesondere in Märkten wie Australien, wo die besten Talente häufig ins Ausland abwandern und die Einwanderungsgesetze es zunehmend schwieriger machen, ausländische Sicherheitsexperten ins Land zu holen.
Eines der interessanten Dinge am australischen Fachkräftemangel ist, dass die mangelnde Fähigkeit, qualifizierte Experten zu rekrutieren, dazu geführt hat, dass der Aufbau von Fähigkeiten im Bereich der nationalen Sicherheit positiv in den Mittelpunkt gerückt ist. Wie Benjamin Franklin hätte sagen sollen: „Aus Widrigkeiten ergeben sich Chancen.“ Australische Regierungen, Bildungseinrichtungen, Unternehmen und Start-ups arbeiten an Programmen, um vor Ort eine Reihe von Sicherheitskompetenzen aufzubauen.
Ein Bereich, in dem der Mangel an Sicherheitskompetenzen definitiv zu Chancen geführt hat, ist die Entwicklung von Fähigkeiten zur sicheren Codierung innerhalb interner und ausgelagerter Entwicklungsteams. Angesichts der Tatsache, dass die meisten der weltweit größten Sicherheitslücken auf Codierungsfehler zurückzuführen sind und die durchschnittliche Sicherheitsverletzung 3,6 Millionen US-Dollar kostet, ist Softwaresicherheit definitiv ein erheblicher Teil der Sicherheitsherausforderung. Eine der größten (und steigenden) Ausgaben innerhalb der Budgets für Anwendungssicherheit entfällt auf die reaktive Identifizierung und Behebung der Anwendungssicherheit, wobei häufig Jahr für Jahr dieselben alten Fehler auftreten.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Es bedeutet nicht, Sicherheitsexperten durch Entwickler zu ersetzen, aber es bedeutet, Entwickler in Sicherheitsfragen einzubeziehen, Sicherheit zu einem Teil ihrer täglichen Denkweise zu machen und ihnen beizubringen, sicher zu programmieren, und zwar auf unterhaltsame, effektive und effiziente Weise. Das Ergebnis wird sein, dass knappes Sicherheitsexpertise besser darauf verwendet werden kann, die wirklich schwierigen, komplexen Fehler zu finden und zu beheben, als sich mit denselben alten Sicherheitslücken zu befassen.
Für einige CISOs mag das alles zu schön klingen, um wahr zu sein, oder zu schwierig zu implementieren, aber die Wahrheit ist, dass es keines dieser Dinge ist. Bei Secure Code Warrior haben immer mehr CISOs diese Gelegenheit genutzt und dabei das Arbeitsleben sowohl der Sicherheits- als auch der Entwicklungsteams verändert.
Eine Gruppe von CISOs, die weltweit die Initiative ergriffen haben, um unter ihren Softwareentwicklern eine starke Sicherheitsmentalität und -kompetenz zu entwickeln, sind die australischen Banken. Die australischen Banken waren bereits 2016 und 2017 die ersten Anwender dieses Ansatzes. Die sechs führenden Banken des Landes ermutigen ihre Entwicklerteams nun aktiv dazu, mithilfe unserer spielerischen Online-Lernumgebung im Selbststudium sichere Programmierkenntnisse zu erwerben. Die Banken überprüfen außerdem regelmäßig Echtzeitkennzahlen und Berichte, um die Stärken und Schwächen ihrer Entwickler und Teams zu überprüfen.
Der Ansatz führt zu greifbaren und positiven Ergebnissen, darunter eine Verringerung des Auftretens häufiger Sicherheitslücken, ein erhöhtes Sicherheitsbewusstsein der Entwickler und eine verbesserte Beziehung zwischen Sicherheits- und Entwicklungsteams. Unternehmen, die ihren Entwicklern das sichere Programmieren beibringen, werden den Druck auf ihr vorhandenes Sicherheitstalent verringern und ihr Risiko durch Softwareunsicherheiten verringern.
Wenn Sie ein CISO sind (oder einen kennen), der sich über die Sicherheitslage in Ihrem Unternehmen deprimiert fühlt, empfehle ich Ihnen, über einen einfachen Weg nachzudenken, um einige positive und greifbare Punkte zur Sicherheitsverbesserung zu erzielen. Ermöglichen Sie Ihren Entwicklern, sicheres Programmieren zu lernen, und zwar auf eine Weise, die relevant, positiv und unterhaltsam ist. Ihre Sicherheits- und Entwicklungsteams werden es Ihnen danken und Sie werden auch Kosten und Verzögerungen bei Produktinnovationen und -entwicklungen vermeiden. Ich wette, das wird den Weg für viele positive Sicherheitsgespräche ebnen _...
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Da ich diese Woche nach San Francisco reise, um an RSA teilzunehmen, bereite ich mich auf viele Diskussionen mit CISOs vor. Es mag Sie überraschen, aber das Gespräch mit vielen CISOs ist heutzutage nicht gerade erfreulich.
Sie wissen, dass die Sicherheitsrisiken zunehmen, aber viele sehen keine Gelegenheit für Sicherheitsverbesserungen, sondern glauben stattdessen, dass ihre Unternehmen mit größerer Wahrscheinlichkeit Opfer einer Datenschutzverletzung oder eines Cybersicherheitsangriffs werden als je zuvor.
Eines der häufigsten Themen in meinen regelmäßigen CISO-Gesprächen ist ihre Besorgnis über den problematischen Mangel an Cybersicherheitskompetenzen.
„Unser Sicherheitsteam ist nicht groß genug für die Größe unseres Ingenieurteams oder Unternehmens.“
„Unser Sicherheitsteam wird immer wieder von Unternehmen im Ausland abgeworben, die außergewöhnliche Gehaltspakete und die Möglichkeit bieten, zu arbeiten und andere Kontinente zu erkunden.“
„Unsere Sicherheitsexperten sind zu sehr mit der Brandbekämpfung beschäftigt, um ihre Fähigkeiten weiterzuentwickeln“.
Dieses Thema wird durch mehrere Forschungsberichte gestützt, darunter eine Umfrage des Ponemon Institute aus dem Jahr 2017, in der 2018 der „Mangel an kompetenten internen Mitarbeitern“ bei allen anderen Arten von CISO-Cybersicherheitsbedenken an erster Stelle stand.
Diese kritische Lücke bei den Sicherheitskompetenzen wird wahrscheinlich nicht so schnell verschwinden, insbesondere in Märkten wie Australien, wo die besten Talente häufig ins Ausland abwandern und die Einwanderungsgesetze es zunehmend schwieriger machen, ausländische Sicherheitsexperten ins Land zu holen.
Eines der interessanten Dinge am australischen Fachkräftemangel ist, dass die mangelnde Fähigkeit, qualifizierte Experten zu rekrutieren, dazu geführt hat, dass der Aufbau von Fähigkeiten im Bereich der nationalen Sicherheit positiv in den Mittelpunkt gerückt ist. Wie Benjamin Franklin hätte sagen sollen: „Aus Widrigkeiten ergeben sich Chancen.“ Australische Regierungen, Bildungseinrichtungen, Unternehmen und Start-ups arbeiten an Programmen, um vor Ort eine Reihe von Sicherheitskompetenzen aufzubauen.
Ein Bereich, in dem der Mangel an Sicherheitskompetenzen definitiv zu Chancen geführt hat, ist die Entwicklung von Fähigkeiten zur sicheren Codierung innerhalb interner und ausgelagerter Entwicklungsteams. Angesichts der Tatsache, dass die meisten der weltweit größten Sicherheitslücken auf Codierungsfehler zurückzuführen sind und die durchschnittliche Sicherheitsverletzung 3,6 Millionen US-Dollar kostet, ist Softwaresicherheit definitiv ein erheblicher Teil der Sicherheitsherausforderung. Eine der größten (und steigenden) Ausgaben innerhalb der Budgets für Anwendungssicherheit entfällt auf die reaktive Identifizierung und Behebung der Anwendungssicherheit, wobei häufig Jahr für Jahr dieselben alten Fehler auftreten.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Es bedeutet nicht, Sicherheitsexperten durch Entwickler zu ersetzen, aber es bedeutet, Entwickler in Sicherheitsfragen einzubeziehen, Sicherheit zu einem Teil ihrer täglichen Denkweise zu machen und ihnen beizubringen, sicher zu programmieren, und zwar auf unterhaltsame, effektive und effiziente Weise. Das Ergebnis wird sein, dass knappes Sicherheitsexpertise besser darauf verwendet werden kann, die wirklich schwierigen, komplexen Fehler zu finden und zu beheben, als sich mit denselben alten Sicherheitslücken zu befassen.
Für einige CISOs mag das alles zu schön klingen, um wahr zu sein, oder zu schwierig zu implementieren, aber die Wahrheit ist, dass es keines dieser Dinge ist. Bei Secure Code Warrior haben immer mehr CISOs diese Gelegenheit genutzt und dabei das Arbeitsleben sowohl der Sicherheits- als auch der Entwicklungsteams verändert.
Eine Gruppe von CISOs, die weltweit die Initiative ergriffen haben, um unter ihren Softwareentwicklern eine starke Sicherheitsmentalität und -kompetenz zu entwickeln, sind die australischen Banken. Die australischen Banken waren bereits 2016 und 2017 die ersten Anwender dieses Ansatzes. Die sechs führenden Banken des Landes ermutigen ihre Entwicklerteams nun aktiv dazu, mithilfe unserer spielerischen Online-Lernumgebung im Selbststudium sichere Programmierkenntnisse zu erwerben. Die Banken überprüfen außerdem regelmäßig Echtzeitkennzahlen und Berichte, um die Stärken und Schwächen ihrer Entwickler und Teams zu überprüfen.
Der Ansatz führt zu greifbaren und positiven Ergebnissen, darunter eine Verringerung des Auftretens häufiger Sicherheitslücken, ein erhöhtes Sicherheitsbewusstsein der Entwickler und eine verbesserte Beziehung zwischen Sicherheits- und Entwicklungsteams. Unternehmen, die ihren Entwicklern das sichere Programmieren beibringen, werden den Druck auf ihr vorhandenes Sicherheitstalent verringern und ihr Risiko durch Softwareunsicherheiten verringern.
Wenn Sie ein CISO sind (oder einen kennen), der sich über die Sicherheitslage in Ihrem Unternehmen deprimiert fühlt, empfehle ich Ihnen, über einen einfachen Weg nachzudenken, um einige positive und greifbare Punkte zur Sicherheitsverbesserung zu erzielen. Ermöglichen Sie Ihren Entwicklern, sicheres Programmieren zu lernen, und zwar auf eine Weise, die relevant, positiv und unterhaltsam ist. Ihre Sicherheits- und Entwicklungsteams werden es Ihnen danken und Sie werden auch Kosten und Verzögerungen bei Produktinnovationen und -entwicklungen vermeiden. Ich wette, das wird den Weg für viele positive Sicherheitsgespräche ebnen _...
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Da ich diese Woche nach San Francisco reise, um an RSA teilzunehmen, bereite ich mich auf viele Diskussionen mit CISOs vor. Es mag Sie überraschen, aber das Gespräch mit vielen CISOs ist heutzutage nicht gerade erfreulich.
Sie wissen, dass die Sicherheitsrisiken zunehmen, aber viele sehen keine Gelegenheit für Sicherheitsverbesserungen, sondern glauben stattdessen, dass ihre Unternehmen mit größerer Wahrscheinlichkeit Opfer einer Datenschutzverletzung oder eines Cybersicherheitsangriffs werden als je zuvor.
Eines der häufigsten Themen in meinen regelmäßigen CISO-Gesprächen ist ihre Besorgnis über den problematischen Mangel an Cybersicherheitskompetenzen.
„Unser Sicherheitsteam ist nicht groß genug für die Größe unseres Ingenieurteams oder Unternehmens.“
„Unser Sicherheitsteam wird immer wieder von Unternehmen im Ausland abgeworben, die außergewöhnliche Gehaltspakete und die Möglichkeit bieten, zu arbeiten und andere Kontinente zu erkunden.“
„Unsere Sicherheitsexperten sind zu sehr mit der Brandbekämpfung beschäftigt, um ihre Fähigkeiten weiterzuentwickeln“.
Dieses Thema wird durch mehrere Forschungsberichte gestützt, darunter eine Umfrage des Ponemon Institute aus dem Jahr 2017, in der 2018 der „Mangel an kompetenten internen Mitarbeitern“ bei allen anderen Arten von CISO-Cybersicherheitsbedenken an erster Stelle stand.
Diese kritische Lücke bei den Sicherheitskompetenzen wird wahrscheinlich nicht so schnell verschwinden, insbesondere in Märkten wie Australien, wo die besten Talente häufig ins Ausland abwandern und die Einwanderungsgesetze es zunehmend schwieriger machen, ausländische Sicherheitsexperten ins Land zu holen.
Eines der interessanten Dinge am australischen Fachkräftemangel ist, dass die mangelnde Fähigkeit, qualifizierte Experten zu rekrutieren, dazu geführt hat, dass der Aufbau von Fähigkeiten im Bereich der nationalen Sicherheit positiv in den Mittelpunkt gerückt ist. Wie Benjamin Franklin hätte sagen sollen: „Aus Widrigkeiten ergeben sich Chancen.“ Australische Regierungen, Bildungseinrichtungen, Unternehmen und Start-ups arbeiten an Programmen, um vor Ort eine Reihe von Sicherheitskompetenzen aufzubauen.
Ein Bereich, in dem der Mangel an Sicherheitskompetenzen definitiv zu Chancen geführt hat, ist die Entwicklung von Fähigkeiten zur sicheren Codierung innerhalb interner und ausgelagerter Entwicklungsteams. Angesichts der Tatsache, dass die meisten der weltweit größten Sicherheitslücken auf Codierungsfehler zurückzuführen sind und die durchschnittliche Sicherheitsverletzung 3,6 Millionen US-Dollar kostet, ist Softwaresicherheit definitiv ein erheblicher Teil der Sicherheitsherausforderung. Eine der größten (und steigenden) Ausgaben innerhalb der Budgets für Anwendungssicherheit entfällt auf die reaktive Identifizierung und Behebung der Anwendungssicherheit, wobei häufig Jahr für Jahr dieselben alten Fehler auftreten.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Es bedeutet nicht, Sicherheitsexperten durch Entwickler zu ersetzen, aber es bedeutet, Entwickler in Sicherheitsfragen einzubeziehen, Sicherheit zu einem Teil ihrer täglichen Denkweise zu machen und ihnen beizubringen, sicher zu programmieren, und zwar auf unterhaltsame, effektive und effiziente Weise. Das Ergebnis wird sein, dass knappes Sicherheitsexpertise besser darauf verwendet werden kann, die wirklich schwierigen, komplexen Fehler zu finden und zu beheben, als sich mit denselben alten Sicherheitslücken zu befassen.
Für einige CISOs mag das alles zu schön klingen, um wahr zu sein, oder zu schwierig zu implementieren, aber die Wahrheit ist, dass es keines dieser Dinge ist. Bei Secure Code Warrior haben immer mehr CISOs diese Gelegenheit genutzt und dabei das Arbeitsleben sowohl der Sicherheits- als auch der Entwicklungsteams verändert.
Eine Gruppe von CISOs, die weltweit die Initiative ergriffen haben, um unter ihren Softwareentwicklern eine starke Sicherheitsmentalität und -kompetenz zu entwickeln, sind die australischen Banken. Die australischen Banken waren bereits 2016 und 2017 die ersten Anwender dieses Ansatzes. Die sechs führenden Banken des Landes ermutigen ihre Entwicklerteams nun aktiv dazu, mithilfe unserer spielerischen Online-Lernumgebung im Selbststudium sichere Programmierkenntnisse zu erwerben. Die Banken überprüfen außerdem regelmäßig Echtzeitkennzahlen und Berichte, um die Stärken und Schwächen ihrer Entwickler und Teams zu überprüfen.
Der Ansatz führt zu greifbaren und positiven Ergebnissen, darunter eine Verringerung des Auftretens häufiger Sicherheitslücken, ein erhöhtes Sicherheitsbewusstsein der Entwickler und eine verbesserte Beziehung zwischen Sicherheits- und Entwicklungsteams. Unternehmen, die ihren Entwicklern das sichere Programmieren beibringen, werden den Druck auf ihr vorhandenes Sicherheitstalent verringern und ihr Risiko durch Softwareunsicherheiten verringern.
Wenn Sie ein CISO sind (oder einen kennen), der sich über die Sicherheitslage in Ihrem Unternehmen deprimiert fühlt, empfehle ich Ihnen, über einen einfachen Weg nachzudenken, um einige positive und greifbare Punkte zur Sicherheitsverbesserung zu erzielen. Ermöglichen Sie Ihren Entwicklern, sicheres Programmieren zu lernen, und zwar auf eine Weise, die relevant, positiv und unterhaltsam ist. Ihre Sicherheits- und Entwicklungsteams werden es Ihnen danken und Sie werden auch Kosten und Verzögerungen bei Produktinnovationen und -entwicklungen vermeiden. Ich wette, das wird den Weg für viele positive Sicherheitsgespräche ebnen _...
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, eine proaktive Kontrolle aus der Sicherheitslage herauszuholen, und wo die Chance auf schnelle, einfache und messbare Verbesserungen besteht — sowohl für die Sicherheits- als auch für die Entwicklungsteams.
Inhaltsverzeichniss
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
