Wie ein Tier-1-Finanzinstitut ein revolutionäres Sicherheitszertifizierungserlebnis geschaffen hat Könnte ein Spiel der Weg zum Herzen eines Entwicklers sein, wenn es um die Einhaltung von Sicherheitsbestimmungen geht? Mit Millionen von Kunden, einer langen Geschichte als vertrauenswürdiges globales Finanzinstitut und einem Engagement für Innovation und um mit der digitalen Transformation Schritt zu halten, nutzte dieser Tier-1-Bankkunde Secure Code Warrior als Teil einer wirklich einzigartigen Schulungserfahrung in seinem Unternehmen.
Sie haben eine interne Initiative zur Technologieausbildung ins Leben gerufen, die darauf abzielt, Tausende von Mitarbeitern dabei zu unterstützen, praktische, hochmoderne Fähigkeiten in einer Reihe von Disziplinen zu erlernen, darunter maschinelles Lernen und Cybersicherheit.
Die Finanzdienstleistungsbranche befindet sich derzeit in einer Phase des schnellen, radikalen Wandels, in der viele Unternehmen ihr Dienstleistungsangebot ändern, um sie an die rasante Entwicklung neuer Technologien anzupassen. Im Wesentlichen entwickeln sie sich zu vollwertigen Technologieunternehmen mit Schwerpunkt Finanzen. Der Ansatz unserer Kunden hat es ihnen nicht nur ermöglicht, mit diesem Trend Schritt zu halten, sondern auch bessere (und intelligentere) Ergebnisse zu erzielen als die meisten anderen. Sie haben enorm in ihre eigenen Mitarbeiter investiert, um in so wichtigen, aufstrebenden Bereichen auf dem Laufenden zu bleiben, und stehen daher an der Spitze der FinTech-Innovation und -Expertise.
Um dieses Programm erfolgreich durchzuführen, sahen unser Kunde und das gesamte Team die Notwendigkeit, sicherzustellen, dass ihre Entwickler sich mit sicherer Codierung auskennen und über ein hohes Maß an Cybersicherheit verfügen. Der Security Awareness Manager war bestrebt, das Team positiv einzubeziehen und es von Anfang an für Sicherheit zu begeistern.
Die Herausforderung Der Security Awareness Manager unseres Kunden ist seit langem in der Sicherheitsbranche tätig, sodass er in der ersten Reihe die explosionsartige Zunahme der Akzeptanz von Online-Anwendungen in großen und kleinen Unternehmen sowie die schnelle Zunahme digitaler Teams verfolgen kann. Er hat aus erster Hand erlebt, wie unvermeidlich Fachwissen nach einer solchen Hyperexpansion isoliert werden kann, und letztendlich war dies ein Problem für viele Sicherheits- und Entwicklungsteams: „In den frühen Phasen der Online-Einführung dachten Entwickler über Sicherheit nach und wandten sie auf ihre Software-Builds an. In einer zunehmend isolierten Umgebung arbeitet jedoch beispielsweise ein Team an einem Betriebssystem, das dann zur Analyse an ein Sicherheitsteam geschickt wird, das oft mit einer Reihe roter Markierungen und Hinweisen zur Behebung des Problems zurückkommt. Es ist unweigerlich gesichert, aber die Ergebnisse und das Wissen verschwinden in einem schwarzen Loch, nur um immer wieder zu passieren „, sagte er.
Er verwies auf die „Herausforderung der Mitarbeiter“, als er über die Sicherheitsprobleme sprach, die er in seiner Rolle häufig sieht:
Softwareingenieure werden dafür bezahlt, Funktionen zu entwickeln, und Sicherheit kann als großes Hindernis für eine agile Entwicklung angesehen werden. Sie sind mit ihren eigenen Prioritäten beschäftigt und betrachten den Sicherheitsaspekt oft als die Aufgabe anderer. Am äußersten Ende der Skala sind einige der Ansicht: „Nun, es ist noch nichts passiert. Warum machen wir uns solche Sorgen um den Schutz dieser Software und warum unterbricht sie meinen Entwicklungszyklus?“ In einer Welt zunehmender Digitalisierung muss sich diese Einstellung ändern. Anstatt als lästig angesehen zu werden, müssen wir deutlich machen, wie wichtig es ist, die Verantwortung für Softwaresicherheit gemeinsam zu tragen. Angesichts der zunehmenden Abhängigkeit von der Entwicklung, die unser digitales Leben antreibt, sah er die Schrift an der Wand: Als Gesellschaft sind wir leichte Beute für Hacker auf einem zunehmend unfairen Spielfeld für die Guten. Entwickler mussten Sicherheit ernst nehmen, ein ausgeprägtes Interesse entwickeln und die erste Verteidigungslinie in seinem Unternehmen (und in der Tat in der jedes seriösen Technologieunternehmens) werden.
Also machte er sich daran, das traditionelle Training auf den Kopf zu stellen.
Die Umsetzung Der Security Awareness Manager hat die allgemeine Philosophie unseres Kunden vorangetrieben, einen neuen Standard in der Softwarequalität zu setzen. Insbesondere die Vorstellung, dass das Sicherheitsniveau, das einer Software innewohnt, ein Indikator für ihre Gesamtqualität und Produktlebensfähigkeit ist. Aus heutiger Sicht ist Sicherheit in den meisten Fällen nicht eng mit Qualitätsmaßstäben verknüpft, und schon gar nicht in der gleichen Weise, wie die allgemeine Benutzeroberfläche, Geschwindigkeit und Wartungsfreundlichkeit bei der Bewertung von Software berücksichtigt werden.
„Sicherheit muss zu einer nicht verhandelbaren Voraussetzung für eine hohe Softwarequalität werden“, sagte er. „Sie korreliert mit Zuverlässigkeit, was für die meisten Unternehmen ein großes Problem darstellt, insbesondere für Unternehmen mit einem sich schnell wandelnden, digitalisierenden Geschäftsmodell.“
Da die Kosten für die Behebung von Sicherheitslücken in festgeschriebenem Code bis zu dreißigmal so hoch sind, als wenn er von Anfang an sicher geschrieben worden wäre, ist es zu einem wichtigen Ziel geworden, eine tragfähige Sicherheitskultur in seinen Entwicklungsteams zu „verankern“. Schließlich gibt es bestimmte Sicherheitslücken, die Scan-Tools nicht erkennen, und die effizienteste Lösung, um sie zu bekämpfen, ist ein sicherheitsbewusstes Entwicklungsteam.
Der Security Awareness Manager erläuterte seine Erfahrungen mit anderen Schulungsformen, von denen viele immer noch häufig genutzt werden, um Entwickler zu „gewinnen“ und darauf vorzubereiten, sich mit wachsenden Sicherheitsproblemen auseinanderzusetzen: „Wenn Entwickler durch eine Menge theoretischer Arbeit etwas über Sicherheit lernen müssen, oder schlimmer noch: Seltene Compliance-Schulungen nach dem Motto „Ankreuzen und weitermachen“, reicht das praktische Lernen oder der Zeitaufwand einfach nicht aus, um eine nachhaltige Wirkung zu erzielen. Ich war entschlossen, dies zu ändern, indem ich eine effektivere Lösung anwende „, sagte er.
Die Vorteile eines hohen Engagements Auf Anraten eines erfahrenen Security Awareness Managers und seines Teams implementierte unser Kunde ein maßgeschneidertes Zertifizierungsprogramm, von dem die Secure Code Warrior-Plattform ein integraler Bestandteil ist.
Ihre Suche nach einer effektiveren und ansprechenderen Lösung für Entwicklerschulungen führte dazu, dass sie Gamification schon früh nutzten und deren Potenz und Potenzial mit ihrem eigenen strukturierten, umfassenden Lehrplan maximierten.
„Es war wichtig, dass wir eine Schulung mit hohem Engagement zu einem Teil der Kultur machten und dafür sorgten, dass die Schüler wiederkamen, um ihr Lernen fortzusetzen. Das System ist ein bewusster Ansatz, um Wissen, Fähigkeiten und ein Gefühl von Wert für Sicherheit zu entwickeln, was letztendlich dazu führt, dass sie mit echtem Quellcode arbeiten, den sie täglich verwenden „, sagte er.
Unser Kunde stellte sicher, dass die Lösung ganzheitlich war und sowohl branchenübliche Sicherheitsstandards als auch interne Richtlinien abdeckte, sodass er schnell Schulungen mobilisieren konnte, was sich positiv auf die Softwaresicherheit innerhalb des Unternehmens auswirkte.
* Stand der Statistiken: Oktober 2019. Das Ergebnis Das Zertifizierungsprogramm unserer Kunden ist ein erfolgreiches, sich ständig weiterentwickelndes Schulungsformat, das sich perfekt für zukunftsorientierte Initiativen wie ihre internen technischen Bildungseinrichtungen eignet. Der eingehende Kurs, der auf so unterhaltsame, interaktive und mit Anreizen versehene Weise angeboten wird, stellt sicher, dass alle Studierenden die besten Chancen haben, ihr Wissen zu behalten, und unterstützt sie dabei, eine Kultur und Denkweise zu entwickeln, bei der Sicherheit wirklich an erster Stelle steht. Obwohl Gamification das Lernen sicherlich schmackhaft macht, blieb der Kern der praktischen Anwendbarkeit des Programms erhalten: Den Entwicklern die Fähigkeiten zu vermitteln, die sie benötigen, um hochriskante Sicherheitslücken in ihren Anwendungen zu erkennen und zu verhindern.
Es ist wichtig zu beachten, dass die Schulung nicht verpflichtend war, sondern ein gewisses Maß an Motivation seitens des Entwicklers erforderte. Dies wurde zweifellos durch Anreize und Belohnungen unterstützt, aber die Akzeptanz des Programms durch das gesamte Team war das Ergebnis einer zunehmenden Unterstützung durch das Team und der Zustimmung zum Prozess.
Neben der kontinuierlichen Weiterentwicklung wichtiger Kompetenzen trägt das Programm auch dazu bei, Beziehungslücken zwischen Entwicklungs- und AppSec-Teams zu überbrücken, sie auf dieselbe Wellenlänge zu bringen, dieselbe Sprache zu sprechen und gegenseitiges Interesse zu wecken.
Dieses Programm ist weit entfernt von einer Compliance-Checkbox und hat sich zu einer Grundvoraussetzung für die kontinuierliche Unterstützung wertvoller Mitarbeiter und ihrer Karriere entwickelt. Es bietet messbare Weiterbildungen in einer der wachstumsstärksten Branchen der Welt: der Cybersicherheit. Es sind Schulungsprogramme wie dieses, die von Anfang an zum Maßstab für die Verbesserung der Softwaresicherheit werden.
Schnelle Fakten Es gab eine beispiellose Resonanz von Studierenden, die die Zertifizierung abgeschlossen und Interesse daran bekundet haben, Ausbilder zu werden. Diese Evangelisation von Grund auf ist ein wichtiger Faktor für die Verbreitung von Mundpropaganda, Akzeptanz und allgemeinem Sicherheitsbewusstsein. Unser Kunde ist gerade dabei, das Programm für mehr als 2500 Entwickler in seinem Unternehmen einzuführen, wobei über 90% bereits im System aktiv sind. Sie nutzen diese Schulung, um die Mitarbeiter bei der allgemeinen Karriereentwicklung zu unterstützen und sicherzustellen, dass sie mit dem Wissen ausgestattet sind, das sie benötigen, um ihre Fähigkeiten in einem sich ständig verändernden Technologiebereich einzusetzen.
Tips for success
→ Take the time to explain the benefits of training, intended roll-out and projected outcomes
to key stakeholders, participants and team leaders. If they are included from the beginning,
it may be easier to get support in vital areas as the program grows.
→ It’s a marathon, not a sprint: any training programs should grow and adapt to the changing
needs of the industry and organization. It doesn’t have to be set in stone from day one.
→ Make it fun! Training doesn’t have to be boring, and a gamified platform like Secure Code
Warrior is the perfect opportunity to turn such an important task into a memorable event.
You will be rewarded with high engagement when you go the extra mile to include prizes,
certificates, and even a theme - the possibilities are endless.
%20(1).avif)