Blog

Warum wir bei der Cybersicherheit niemals den Faktor Mensch übersehen dürfen

July 22, 2021
Sicherer Codekrieger

Wir haben uns kürzlich sehr gefreut, den ersten zu sehen Beitrag des Forbes-Technologierats von unserem Vorsitzenden und CEO, Pieter Danhieux, live gehen. In dem Beitrag wurde detailliert beschrieben, wie die Weiterbildung von Entwicklern zur Erstellung von sichererem Code der Schlüssel zur Verhinderung von Cyberangriffen und Datenschutzverletzungen ist. Darüber hinaus wurde aufgezeigt, wie dieselben sicherheitsbewussten Entwickler dazu beitragen können, besseren, sichereren Code schneller bereitzustellen, als vielen IT-Abteilungen bewusst ist. Die Notwendigkeit dieses Ansatzes ist sicherlich überzeugend. Eine kürzlich durchgeführte Studie ergab, dass ein Cyberangriff findet jetzt alle 39 Sekunden statt, und wir alle haben die Störung gesehen, die durch nur einen erfolgreichen Ransomware-Angriff auf den Koloniale Pipeline, was im Großen und Ganzen nicht so zerstörerisch war wie die SolarWinds-Hack.


Viele häufige Sicherheitslücken bestehen weiterhin, weil sich niemand die Mühe gemacht hat, Entwicklern zu zeigen, wie schlechte Codierungsmuster durch eine bessere Methode ersetzt werden können, mit der dieselben Funktionen auf sicherere und sicherere Weise ausgeführt werden können. Und die Auswirkungen der Reparatur von Software zu einem späten Zeitpunkt ihrer Entwicklung sind extrem kostspielig, sowohl was die aufgewendeten Stunden als auch die Verzögerungen bei der Bereitstellung angeht. Das Reparieren des Codes nach der Bereitstellung, insbesondere nachdem ein Angreifer eine zuvor unentdeckte Sicherheitslücke ausgenutzt hat, kann manchmal Millionen von Dollar kosten. Und dabei ist noch nicht einmal die Schädigung des Rufs eines Unternehmens nach einem schwerwiegenden Verstoß berücksichtigt.


Sicherheitsgeschulte Entwickler werden auf natürliche Weise zu besseren Programmierern. Sicherlich sollten CISOs ihre Sicherheitstools nicht so schnell aufgeben, aber wenn CISOs einen inklusiven, präventiven Sicherheitsansatz von oben verfolgen, können sie die größte Ressource ihres Unternehmens, den Faktor Mensch, nutzen, insbesondere wenn es um sichere Codierung von Anfang des Softwareentwicklungszyklus an geht.


Zu diesem Zweck sind hier die drei wichtigsten Strategien aufgeführt, die Sie berücksichtigen sollten.


1. Seien Sie proaktiv, nicht reaktiv

Unternehmen geraten oft in die Falle, reaktiv zu sein, indem sie beispielsweise auf die Aktivitäten der Konkurrenz reagieren, anstatt eine einzigartige Vision zu entwickeln und zu verfolgen. Viele verwenden diesen Ansatz auch, wenn es um Sicherheitslücken im Code geht, und nehmen Cybersicherheit nur dann ernst, wenn sie aufgrund eines erfolgreichen Verstoßes dazu gezwungen werden. Leider ist der Schaden bis dahin angerichtet. Bußgelder, Wiederherstellungskosten, Kundenfluktuation und die Wiederherstellung der Marke wirken sich allesamt negativ auf das Geschäftsergebnis aus. Eine andere Form der Reaktion statt des Handelns besteht darin, sich auf automatisches oder manuelles Codescannen zu verlassen, um Schwachstellen in vorhandenem Code zu finden, anstatt sich überhaupt darauf zu konzentrieren, sicheren Code zu erstellen. Leider ist das Scannen von Code keine perfekte Lösung. Das heißt, je mehr Sicherheitslücken der Code enthält, desto größer ist die Wahrscheinlichkeit, dass einige durchrutschen.


Nur wenn Sie einen proaktiven Ansatz verfolgen und mit Entwicklern zusammenarbeiten, um sie von Anfang an bei der Erstellung von sicherem Code zu unterstützen, können Sie einen Softwareentwicklungszyklus einrichten, der die Wahrscheinlichkeit, dass Codierungsschwachstellen für Benutzer veröffentlicht werden, erheblich reduziert.


2. Höherqualifizieren, nicht übertreiben

Sobald Sie sich entschieden haben, Entwicklern das Wissen zur Verfügung zu stellen, das sie zum Erstellen von sicherem Code benötigen, wählen Sie Ihren Ansatz mit Bedacht aus. Interne Schulungsworkshops, die das Programmieren zum Erliegen bringen, frustrieren Entwickler und Manager gleichermaßen. Offsite-Kurse, die am Abend oder am Wochenende besucht werden müssen, sind noch weniger beliebt. Der beste Ansatz besteht darin, die Programmierkenntnisse schrittweise auszubauen. Bereitstellung relevanter Informationen Schritt für Schritt während des Codierungsprozesses — im Wesentlichen Weiterqualifizierung, ohne die Entwickler wesentlich abzulenken oder den Entwicklungsprozess zu verlangsamen.


3. Anreize schaffen, nicht davon ausgehen

Entwickler sollten Sicherheitsverbesserungen nicht als Strafe oder totale Plackerei betrachten. Manager müssen Entwickler inspirieren, indem sie ihnen die wichtige Rolle vermitteln, die sicherer Code für den Erfolg des Unternehmens spielt. Es ist auch wichtig zu vermitteln, dass sichere Programmierer für das Unternehmen wertvoller sind und in Zukunft von erweiterten Karrieremöglichkeiten profitieren werden.


Die Biden-Administration ist willkommen Exekutivverordnung hat den Schwerpunkt verstärkt auf Cybersicherheit und die Notwendigkeit gelegt, „Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Lieferanten selbst aufzunehmen und innovative Tools oder Methoden zum Nachweis der Einhaltung von Sicherheitspraktiken zu identifizieren“. Tools sind zwar unverzichtbar, reichen aber nicht aus. Kein Tool wird jemals die Fähigkeit einer Person vollständig ausschließen, die eingeführten Systeme und Tools irgendwie zu ignorieren, falsch zu verstehen, zu missbrauchen oder auf andere Weise zu umgehen. Um die Sicherheit ihrer Unternehmen zu maximieren, müssen CISOs den Faktor Mensch nutzen und Entwickler dazu ermutigen, bereitwillige Befürworter und Praktiker im Bereich Sicherheit zu werden.

Slogan

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
Slogan

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo