Quali sono alcune tattiche per superare il problema di esternalità degli sviluppatori che non ricevono abbastanza addestramento sulla sicurezza? [chiuso]

1

Quali sono alcuni "toni" per la gestione per superare i problemi relativi alla formazione sulla sicurezza?

    
posta Mike Smyth 16.02.2017 - 18:42
fonte

1 risposta

3

Ottima domanda e molto pertinente!

In primo luogo, riconoscere che la formazione è solo un aspetto del mantenimento e della costruzione di sistemi sicuri. Avere i migliori sviluppatori di app non ti salverà se un utente malintenzionato entra attraverso un server senza patch o se il tuo contabile è agganciato da una e-mail di phishing. La tua organizzazione dovrebbe avere una politica di sicurezza che definisca un piano completo; un aspetto del piano sarebbe probabilmente quello di fornire formazione per sviluppatori. È qui che un CISSP può aiutarti a prepararti.

Detto questo, se ti trovi in un settore regolamentato (PCI DSS, HIPAA, GLBA, SOX, Healthcare, ecc.) un piano di sicurezza che prevede la formazione degli sviluppatori è spesso un requisito per passare l'audit. Questa è probabilmente la vendita più facile, anche se potrebbe essere solo un minimo di allenamento.

I tuoi sistemi sono stati violati? Potresti essere in grado di costruire un caso in cui un software migliore potrebbe aiutare a prevenire la prossima violazione.

Cerca nel tuo settore fornitori di soluzioni simili: sono stati violati? Esegui delle ricerche e mostra alla tua gestione quanto è costato loro quando sono stati violati e in che modo concentrarsi sulla sicurezza (non solo sulla formazione) potrebbe aiutarti a evitare di diventare la prossima vittima.

I tuoi clienti che utilizzano i tuoi sistemi potrebbero essere violati a causa della tua negligenza? Una solida politica di sicurezza non è economica, ma è molto più economica delle cause legali.

Hai una relazione con un fornitore di strumenti che potrebbe offrire un training di sviluppo sicuro? So che Microsoft offre tali corsi; Mi aspetto che anche gli altri lo facciano. Rivolgersi al fornitore del compilatore, al fornitore di analisi del codice statico o ad altre società simili. Pluralsight, Safari, Khan e molte altre società di formazione hanno risorse di formazione on-line. Probabilmente c'è un MOOC che ti farebbe avere un'adeguata educazione alla sicurezza gratuitamente.

Inoltre, controlla con il tuo governo. Possono avere "risorse per la difesa informatica" disponibili che potrebbero includere la formazione. Negli Stati Uniti, NIST ha l' National Initiative for Cybersecurity Education (NICE) , che potrebbe aiutarti a far partire le cose.

C'è un capitolo OWASP nelle vicinanze? Partecipare ad una riunione. Forse il networking con loro potrebbe farti diventare un consulente o un istruttore a un prezzo ragionevole. Inoltre, ci sono molte belle conferenze sulla sicurezza regionale, e sono molto più economiche delle grandi conferenze nazionali e internazionali. Se ce n'è uno vicino alla tua città, la tua azienda non dovrà nemmeno pagare per le camere d'albergo. Con niente da dare alla direzione ma un'ipotesi, immagineranno che un programma di sicurezza costerebbe milioni che non hanno. Avere una stima dei costi rende la discussione con la gestione almeno possibile.

Suppongo che la tua organizzazione non abbia un budget per la sicurezza in questo momento. Hai considerato il volontariato come campione della sicurezza della tua organizzazione? Anche se non sai tutto sulle politiche e le pratiche di sicurezza in questa fase della tua carriera, far sì che le persone parlino di problemi di sicurezza potrebbe spingere la direzione ad agire nel prossimo anno finanziario.

    
risposta data 16.02.2017 - 20:05
fonte

Leggi altre domande sui tag