根据Troy Hunt,Pluralsight Ander和Security Expert,创建安全文化可以缓解开发人员和安全专业人员之间的紧张局势,并提高组织的网络防御能力。
“安全必须是一个组织中所有技术专业人员的头脑,而不仅仅是指定的安全团队,”他每周告诉计算机。
“几乎每天发生新的黑客或违规行动,组织必须通过使担保规范而不是例外,制定保护和管理安全威胁所需的技能。”
但是,组织通常挣扎,为每个人提供网络安全性,使其成为一个普遍的组织行为,说狩猎。
“甚至安全的组织都意识到各种相关主题的培训员工不一定知道如何制定组织文化的艰难技能,”他说。
他说,这一实现导致了一个课程,为企业技术学习平台公司创造了一个以保证为中心的PlullaIght文化。
该课程旨在帮助技术专业人员和管理层了解如何在他们的组织中嵌入安全文化。
他说,部分问题是,许多组织的发展和安全团队倾向于在单独的孤岛上工作。
通常,开发组在传递给安全团队之前构建软件,但这在这些组之间创建了一个逻辑。
开发人员往往害怕安全人士,因为如果在软件代码中识别出任何关键安全漏洞,那么安全人员可以停止软件项目。
“结果,这两组之间经常有紧张,”他说。“我在银行,电子商务公司等一年内完成了大约20个讲习班,我一遍又一遍地看到这种摩擦。”
追求安全培训的第一件事就是在安全培训方面是观众。“经常安全团队进行培训,但使用对开发人员不熟悉的条款和工具,”他说。
“因此,创造以安全为中心的文化的关键是确保这些群体共同努力,并了解开发商和IT专业人员以不同的方式工作到安全优势。”
另一件重要的是要注意的是,开发人员往往不明白为什么他们正在编写代码弹性到SQL注入,例如说明。
“经常,他们还没有看到它出错了。但是当他们看到SQLMAP [SQL注射和数据库收购工具]指向他们的应用程序和所有数据都撕掉了系统时,然后他们会看到问题。也许我们应该改变我们编写代码的方式。所以显示而不只是说的真的很重要,“他说。
移动组织的另一种有用的方法以及他们内部的辛西斯,远离假设的安全方法是指狩猎的行业先例。
“突出突出了推动安全思想和方法的发生。例如,良好的安全实践是通过HTTPS加载登录页面,这是因为Facebook是由突尼斯政府的中间人攻击袭击,“他说。
“政府希望收集Facebook用户的登录,因为Facebook正在加载HTTP,突尼斯政府能够将密钥记录器与SIPHON OFF凭证一起使用,并且这是我们需要遵循最佳实践的真正良好的先例对于登录页面。“
许多旨在创建一个以保证为中心的文化在整个组织的各个团队中提名“安全冠军”。
“因此,负责软件交付的团队中的某个人被提名为安全冠军,因为它们对其感兴趣或做好安全,”狩猎说。
通常情况下,这些安全冠军都有额外的安全培训和参加安全会议的机会。它们甚至可以获得额外的安全相关的KPI(关键绩效指标)和激励措施。
除了对组织中每个人的定期安全培训外,HUNT还建议引入内部BUG赏金计划。
“这让组织内的人们寻找漏洞,以及一些组织赌博过程并使它具有竞争力和乐趣,但具有内部,可信赖的受众,”他说。
确保安全性是从顶部生活的东西,是创建一个以保证为中心文化的另一个关键部分。
“如果顶级管理人员未被示例领导,则创造安全文化是极其困难的,”他说,参考英国MP Nadine Dorries在12月份的启示,她的员工可以访问她的电脑密码。
“那是什么留言?”他说。“相反,我们希望看到领导者证明信息安全性很重要。虽然他们可能会代表他们的员工的员工的商业目标,但我们希望看到他们会发现它找到一种安全的方式,例如委派访问。
“我们必须看到顶部设置的正确示例。他们需要被视为遵循并支持安全政策和最佳实践。他们需要过上组织中其他人的行为。“
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。