Les meilleures pratiques en matière de cybersécurité dans le secteur financier
Ursprünglich veröffentlicht in Regulierung Asien.
Angesichts der zunehmenden Cyberangriffe, die „jede Art von Organisation in jeder Branche betreffen“, ist die Gefahr teurer, peinlicher und sich negativ auf das Geschäftsergebnis auswirkender Datenschutzverletzungen sehr real. Das Problem wird nicht kleiner, es wächst wie ein Tumor.
Ich werde oft gebeten, Beispiele dafür zu nennen, welche Organisationen dieses Problem bekämpfen und sich mit besonderer Finesse und Meisterschaft im „Wilden Westen“ der Cybersicherheit und der AppSec-Best Practice zurechtfinden. Ich komme öfter als andere zu einer Antwort zurück: Es ist die Finanzbranche, die es besser macht als die meisten anderen.
Regulierung: Ein treibender Faktor für die führende Rolle der Finanzbranche im Bereich Cybersicherheit
Einer der Gründe, warum der Finanzsektor im AppSec-Bereich so gut spielt, ist, dass er (zumindest teilweise) von den Bedenken der globalen, regionalen und nationalen Regulierungsbehörden über die universellen „ganz zu schweigen von katastrophalen“ Auswirkungen getrieben wird, die sich aus einem erfolgreichen Cybersicherheitsangriff oder Datendiebstahl ergeben könnten.
Der BCBS (Basler Ausschuss für Bankenaufsicht) veröffentlichte eine melden im Dezember, in dem die Bandbreite der beobachteten Praktiken der Banken, Aufsichtsbehörden und Aufsichtsbehörden in Bezug auf Cyberresistenz in mehreren Ländern detailliert beschrieben wird. Zu den wichtigsten Ergebnissen zählte der Fachkräftemangel im Bereich Cybersicherheit — ein Faktor, dem sich nur wenige Jurisdiktionen durch die Einführung spezifischer Cyberzertifizierungen stellen.
„In einigen Ländern gibt es IT-spezifische Standards, die sich mit den Verantwortlichkeiten der IT-Mitarbeiter und der Informationssicherheitsfunktionen befassen, wobei der Schulung und den Kompetenzen der Mitarbeiter im Bereich Cybersicherheit besondere Aufmerksamkeit geschenkt wird“, heißt es in dem Bericht. Die meisten Jurisdiktionen befinden sich jedoch in einem „frühen Stadium“ der Einführung von Aufsichtspraktiken zur Überwachung der Fähigkeiten und Ressourcen der Cyber-Belegschaft einer Bank.
In den meisten Fällen verlangen regulatorische Systeme, dass beaufsichtigte Unternehmen Risiken managen, aber es gibt selten einen klaren Weg, um dieses Risiko erfolgreich zu mindern. Sie legen keine spezifischen Anforderungen (oder auch keine Benchmarks) fest, um die Fähigkeiten und Ressourcen der Mitarbeiter im Bereich Cybersicherheit zu verbessern. Die meisten Aufsichtsbehörden bewerten das Cybersicherheitspersonal von Institutionen im Rahmen von Inspektionen vor Ort, bei denen Fragebögen zur Selbsteinschätzung üblich sind und die Schulungsprozesse besonders unter die Lupe genommen werden. Aber nur in wenigen Ländern befassen sich die Vorschriften speziell mit den Rollen und Verantwortlichkeiten des IT-Personals. Einfach ausgedrückt: Die Fehlerquote ist groß und der Schwerpunkt auf der richtigen Schulung und der anschließenden Bewertung der Fähigkeiten ist eher gering.
In Japan und Südkorea haben die Behörden Richtlinien für ein angemessenes Personalmanagement im Bereich Cybersicherheit festgelegt. In den meisten anderen Ländern beschränken sich die regulatorischen Anforderungen an das Cyber-Personalmanagement jedoch auf die Erwartungen der Aufsichtsbehörden, wo die Aufsichtsbehörden häufig keine Bewertung der Cybersicherheitskompetenzen und der Schulung der Mitarbeiter in regulierten Organisationen vornehmen.
Nur Hongkong, Singapur und das Vereinigte Königreich haben spezielle Rahmenbedingungen zur Zertifizierung der Fähigkeiten und Kompetenzen von Cyber-Mitarbeitern herausgegeben. Während Wörter wie „Compliance“ und „Zertifizierung“ einem durchschnittlichen kreativen, problemlösenden Entwickler, der mit der Entwicklung großartiger Softwarefunktionen beauftragt ist, einen kalten Schauer über den Rücken laufen lassen (bei ihnen wird Sicherheit oft als das Problem eines anderen angesehen, nämlich als das Sicherheitsteam), aber die riesigen Mengen sensibler Daten, die viele regulierte Stellen besitzen, sind einfach zu wertvoll, um sie in die Hände derer zu legen, deren Fähigkeiten „vorausgesetzt“ und nicht ordnungsgemäß überprüft werden.
Zum Glück erkennen viele Bank- und Finanzinstitute dies an, ohne sich unbedingt auf einen offensichtlichen regulatorischen Weg zu verlassen. Die Vorschriften bieten sicherlich einen Überblick über die Erwartungen an das Endergebnis (d. h. sichere Software), aber sie haben festgestellt, dass zur Erreichung dieses Ziels die Umgehung des Fachkräftemangels im Bereich Cybersicherheit erforderlich ist, indem Entwickler geschult, ihre Beziehungen zu bestehenden AppSec-Fachleuten gepflegt und eine positive Sicherheitskultur aufgebaut werden, die Verantwortung und Eigenverantwortung fördert.
Warum hat die Finanzbranche den „X-Faktor“ für Cybersicherheit?
Für Unternehmen im Bankwesen spielen einige Elemente eine Rolle, Finanzdienstleistungen und die Versicherungsbranche, die sich als starke Säulen zusammengeschlossen haben, auf denen ihre Führungsposition in der Cybersicherheitslandschaft basiert.
Natürlich sind sie die Torwächter der weltweiten Finanzen (ganz zu schweigen von Millionen hochsensibler Datensätze) in der Regel sehr auf die Einhaltung gesetzlicher Vorschriften ausgerichteter und regulierter Organisationen. „Aktualisierte Richtlinien, Vorschriften und Anforderungen werden erwartet und sinnvoll eingeplant. Infolgedessen haben sie die sich wandelnden Anforderungen an die Minderung von Cyberrisiken wie Enten ins Wasser genommen und verfügen über einige der strengsten Best Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Reduzierung ihrer Gefahr potenzieller Angriffe.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach haben sie den Grundstein dafür gelegt, sicherheitsbewusster zu sein als andere. Sie haben festgestellt, dass ganzheitliche Schulungsprogramme nicht nur für AppSec-Experten und Penetrationstester, sondern auch für deren (in der Regel sehr große und global verstreute) Entwicklungsteams erforderlich sind, und entsprechende Ressourcen bereitgestellt.
Da Cybersicherheit in den meisten Unternehmen noch relativ neu ist, ist es erfrischend, dass Finanzinstitute in ihrem Bestreben, sichere Software bereitzustellen, wirklich aufgeschlossen und innovativ sind. Viele haben die Vorteile einer Weiterbildung der Entwicklungskohorte mit folgenden Aspekten gesehen fesselndes Training das führt sie aus dem Klassenzimmer in eine praktische, relevante Lernerfahrung, die ihnen hilft, nicht nur Probleme zu lösen, sondern auch zu verstehen, wie wichtig sichere Codierung im Allgemeinen ist.
Schließlich ist sichere Codierung ein wichtiger Bestandteil, um eine solide, funktionale Beziehung zwischen Entwicklern und dem AppSec-Team aufzubauen und eine robuste Sicherheitskultur innerhalb des Unternehmens aufrechtzuerhalten. Ein weiterer wichtiger Faktor für ein erfolgreiches Sicherheitsprogramm besteht darin, sicherzustellen, dass wichtige Stakeholder mit an Bord sind und die Vorteile erkennen, auch wenn sie selbst keine Sicherheitsexperten sind.
Finanzinstitute kommunizieren in der Regel gut mit der Geschäftsleitung und stellen sicher, dass die Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Das mag jetzt Zeit und Geld kosten, aber angesichts der Tatsache, dass die Behebung von Sicherheitslücken in festgeschriebenem Code dreißigmal so teuer ist, spart ein gut abgerundetes Sicherheitsprogramm, „das Schulungen von Grund auf beinhaltet“, langfristig Geld: Es ist weitaus billiger, wenn Sicherheitsprobleme behoben werden, während sie von sicherheitsbewussten Entwicklern geschrieben werden.
Sicherheitsstandards beginnen, mit dem wachsenden Risiko Schritt zu halten
Ein wichtiger Faktor für die Cyber-Compliance in der Finanzbranche ist die Rat für PCI-Sicherheitsstandards, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Umsetzung tragfähiger Sicherheitsrichtlinien und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Es muss jedoch gesagt werden, dass viele unserer Kunden aus der Finanzbranche sogar die aktuellen Richtlinien des PCI Security Standards Council übertroffen haben. In diesen Richtlinien werden zwar Schulungen für Entwickler empfohlen (wie bereits bei anderen Beispielen für regulatorische Informationen erwähnt), aber sie geben keinen bestimmten Typ oder eine bestimmte Benchmark an, die erfüllt werden müssten, um zu belegen, dass die Schulung wirksam war.
Mit vielen Sicherheitslücken wie SQL Injection und Cross-Site Scripting (XSS), die schon länger bestehen als zwanzig Jahre (und verursachen auch 2019 noch Probleme), es ist klar, dass nicht alle Schulungen gleich oder effektiv sind. Durch die Einführung praktischer, spielerischer Sicherheitsschulungen erzielen Banken und andere Finanzdienstleistungsunternehmen weitaus bessere Ergebnisse und eine echte Verringerung der Sicherheitslücken, die verheerende Folgen haben können, wenn sie ausgenutzt werden.
Ein gutes Beispiel dafür ist, wie das US-Bankinstitut Capital One im Rahmen seines innovativen Tech College- und Zertifizierungssystems spielerische Ausbildungstechniken eingesetzt hat. Laut Russell Wolfe, ihrem Direktor für Cybersicherheit und Cloud-Computing-Ausbildung, kürzlich Webinar, die freiwilligen Trainingsprogramme und Programmierturniere gewannen sehr schnell an Bedeutung, und die Kollegen waren von einer noch nie dagewesenen Nachfrage und einer organischen Motivation, sich zertifizieren zu lassen und andere bei der Weiterbildung zu unterstützen.
Was können die Aufsichtsbehörden tun, um sicherzustellen, dass die Mitarbeiter im Bereich Cybersicherheit angemessen geschult werden?
Aufsichtsbehörden auf der ganzen Welt können ihre bestehenden Richtlinien und Richtlinien zur Cyberregulierung wirklich noch „verbessern“, indem sie einfach anerkannte Schulungsmethoden und Standards skizzieren, die diejenigen, die für den Schutz unserer Daten verantwortlich sind, einhalten müssen. Gegenwärtig scheint es in den meisten regulatorischen Richtlinien einen allgemeinen Hinweis auf eine Schulungspflicht zu geben, aber es gibt kaum Folgemaßnahmen, um sicherzustellen, dass diejenigen, die eine vorgeschriebene Schulung absolvieren, die Inhalte und Techniken erlernen, die erforderlich sind, um wirklich bei der Bekämpfung von Cyberbedrohungen zu helfen.
Der jüngste Schritt der MAS (Monetary Authority of Singapore), die Einführung von Schulungsprogrammen für das Sicherheitsbewusstsein und bewährte Verfahren zur sicheren Softwareentwicklung in die neueste Iteration ihrer Technologierisikorichtlinien sind jedoch ermutigend. Sobald die Leitlinien in Kraft treten, werden sie Finanzinstitute dazu verpflichten, sicherzustellen, dass ihre Softwareentwickler darin geschult werden, bei der Entwicklung von Software Standards für sichere Codierung, Quellcodeüberprüfung und AppSec-Tests anzuwenden, was einen großen Beitrag zur Minimierung von Fehlern und Sicherheitslücken leisten sollte.
Für mich ist es bei weitem am interessantesten und relevantesten, die Entwicklungskohorte mit praktischen, realen Techniken auszubilden und gleichzeitig die Grundlagen für die robuste Sicherheitskultur zu legen, die jedes Unternehmen schaffen muss, bevor es zu spät ist.
Compte tenu de l'augmentation des cyberattaques qui touchent tous les types d'entreprises dans tous les secteurs, le risque de violations de données coûteuses, embarrassantes et ayant un impact négatif sur les résultats financiers est bien réel. Le problème ne diminue pas, il se développe comme une tumeur.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Ursprünglich veröffentlicht in Regulierung Asien.
Angesichts der zunehmenden Cyberangriffe, die „jede Art von Organisation in jeder Branche betreffen“, ist die Gefahr teurer, peinlicher und sich negativ auf das Geschäftsergebnis auswirkender Datenschutzverletzungen sehr real. Das Problem wird nicht kleiner, es wächst wie ein Tumor.
Ich werde oft gebeten, Beispiele dafür zu nennen, welche Organisationen dieses Problem bekämpfen und sich mit besonderer Finesse und Meisterschaft im „Wilden Westen“ der Cybersicherheit und der AppSec-Best Practice zurechtfinden. Ich komme öfter als andere zu einer Antwort zurück: Es ist die Finanzbranche, die es besser macht als die meisten anderen.
Regulierung: Ein treibender Faktor für die führende Rolle der Finanzbranche im Bereich Cybersicherheit
Einer der Gründe, warum der Finanzsektor im AppSec-Bereich so gut spielt, ist, dass er (zumindest teilweise) von den Bedenken der globalen, regionalen und nationalen Regulierungsbehörden über die universellen „ganz zu schweigen von katastrophalen“ Auswirkungen getrieben wird, die sich aus einem erfolgreichen Cybersicherheitsangriff oder Datendiebstahl ergeben könnten.
Der BCBS (Basler Ausschuss für Bankenaufsicht) veröffentlichte eine melden im Dezember, in dem die Bandbreite der beobachteten Praktiken der Banken, Aufsichtsbehörden und Aufsichtsbehörden in Bezug auf Cyberresistenz in mehreren Ländern detailliert beschrieben wird. Zu den wichtigsten Ergebnissen zählte der Fachkräftemangel im Bereich Cybersicherheit — ein Faktor, dem sich nur wenige Jurisdiktionen durch die Einführung spezifischer Cyberzertifizierungen stellen.
„In einigen Ländern gibt es IT-spezifische Standards, die sich mit den Verantwortlichkeiten der IT-Mitarbeiter und der Informationssicherheitsfunktionen befassen, wobei der Schulung und den Kompetenzen der Mitarbeiter im Bereich Cybersicherheit besondere Aufmerksamkeit geschenkt wird“, heißt es in dem Bericht. Die meisten Jurisdiktionen befinden sich jedoch in einem „frühen Stadium“ der Einführung von Aufsichtspraktiken zur Überwachung der Fähigkeiten und Ressourcen der Cyber-Belegschaft einer Bank.
In den meisten Fällen verlangen regulatorische Systeme, dass beaufsichtigte Unternehmen Risiken managen, aber es gibt selten einen klaren Weg, um dieses Risiko erfolgreich zu mindern. Sie legen keine spezifischen Anforderungen (oder auch keine Benchmarks) fest, um die Fähigkeiten und Ressourcen der Mitarbeiter im Bereich Cybersicherheit zu verbessern. Die meisten Aufsichtsbehörden bewerten das Cybersicherheitspersonal von Institutionen im Rahmen von Inspektionen vor Ort, bei denen Fragebögen zur Selbsteinschätzung üblich sind und die Schulungsprozesse besonders unter die Lupe genommen werden. Aber nur in wenigen Ländern befassen sich die Vorschriften speziell mit den Rollen und Verantwortlichkeiten des IT-Personals. Einfach ausgedrückt: Die Fehlerquote ist groß und der Schwerpunkt auf der richtigen Schulung und der anschließenden Bewertung der Fähigkeiten ist eher gering.
In Japan und Südkorea haben die Behörden Richtlinien für ein angemessenes Personalmanagement im Bereich Cybersicherheit festgelegt. In den meisten anderen Ländern beschränken sich die regulatorischen Anforderungen an das Cyber-Personalmanagement jedoch auf die Erwartungen der Aufsichtsbehörden, wo die Aufsichtsbehörden häufig keine Bewertung der Cybersicherheitskompetenzen und der Schulung der Mitarbeiter in regulierten Organisationen vornehmen.
Nur Hongkong, Singapur und das Vereinigte Königreich haben spezielle Rahmenbedingungen zur Zertifizierung der Fähigkeiten und Kompetenzen von Cyber-Mitarbeitern herausgegeben. Während Wörter wie „Compliance“ und „Zertifizierung“ einem durchschnittlichen kreativen, problemlösenden Entwickler, der mit der Entwicklung großartiger Softwarefunktionen beauftragt ist, einen kalten Schauer über den Rücken laufen lassen (bei ihnen wird Sicherheit oft als das Problem eines anderen angesehen, nämlich als das Sicherheitsteam), aber die riesigen Mengen sensibler Daten, die viele regulierte Stellen besitzen, sind einfach zu wertvoll, um sie in die Hände derer zu legen, deren Fähigkeiten „vorausgesetzt“ und nicht ordnungsgemäß überprüft werden.
Zum Glück erkennen viele Bank- und Finanzinstitute dies an, ohne sich unbedingt auf einen offensichtlichen regulatorischen Weg zu verlassen. Die Vorschriften bieten sicherlich einen Überblick über die Erwartungen an das Endergebnis (d. h. sichere Software), aber sie haben festgestellt, dass zur Erreichung dieses Ziels die Umgehung des Fachkräftemangels im Bereich Cybersicherheit erforderlich ist, indem Entwickler geschult, ihre Beziehungen zu bestehenden AppSec-Fachleuten gepflegt und eine positive Sicherheitskultur aufgebaut werden, die Verantwortung und Eigenverantwortung fördert.
Warum hat die Finanzbranche den „X-Faktor“ für Cybersicherheit?
Für Unternehmen im Bankwesen spielen einige Elemente eine Rolle, Finanzdienstleistungen und die Versicherungsbranche, die sich als starke Säulen zusammengeschlossen haben, auf denen ihre Führungsposition in der Cybersicherheitslandschaft basiert.
Natürlich sind sie die Torwächter der weltweiten Finanzen (ganz zu schweigen von Millionen hochsensibler Datensätze) in der Regel sehr auf die Einhaltung gesetzlicher Vorschriften ausgerichteter und regulierter Organisationen. „Aktualisierte Richtlinien, Vorschriften und Anforderungen werden erwartet und sinnvoll eingeplant. Infolgedessen haben sie die sich wandelnden Anforderungen an die Minderung von Cyberrisiken wie Enten ins Wasser genommen und verfügen über einige der strengsten Best Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Reduzierung ihrer Gefahr potenzieller Angriffe.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach haben sie den Grundstein dafür gelegt, sicherheitsbewusster zu sein als andere. Sie haben festgestellt, dass ganzheitliche Schulungsprogramme nicht nur für AppSec-Experten und Penetrationstester, sondern auch für deren (in der Regel sehr große und global verstreute) Entwicklungsteams erforderlich sind, und entsprechende Ressourcen bereitgestellt.
Da Cybersicherheit in den meisten Unternehmen noch relativ neu ist, ist es erfrischend, dass Finanzinstitute in ihrem Bestreben, sichere Software bereitzustellen, wirklich aufgeschlossen und innovativ sind. Viele haben die Vorteile einer Weiterbildung der Entwicklungskohorte mit folgenden Aspekten gesehen fesselndes Training das führt sie aus dem Klassenzimmer in eine praktische, relevante Lernerfahrung, die ihnen hilft, nicht nur Probleme zu lösen, sondern auch zu verstehen, wie wichtig sichere Codierung im Allgemeinen ist.
Schließlich ist sichere Codierung ein wichtiger Bestandteil, um eine solide, funktionale Beziehung zwischen Entwicklern und dem AppSec-Team aufzubauen und eine robuste Sicherheitskultur innerhalb des Unternehmens aufrechtzuerhalten. Ein weiterer wichtiger Faktor für ein erfolgreiches Sicherheitsprogramm besteht darin, sicherzustellen, dass wichtige Stakeholder mit an Bord sind und die Vorteile erkennen, auch wenn sie selbst keine Sicherheitsexperten sind.
Finanzinstitute kommunizieren in der Regel gut mit der Geschäftsleitung und stellen sicher, dass die Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Das mag jetzt Zeit und Geld kosten, aber angesichts der Tatsache, dass die Behebung von Sicherheitslücken in festgeschriebenem Code dreißigmal so teuer ist, spart ein gut abgerundetes Sicherheitsprogramm, „das Schulungen von Grund auf beinhaltet“, langfristig Geld: Es ist weitaus billiger, wenn Sicherheitsprobleme behoben werden, während sie von sicherheitsbewussten Entwicklern geschrieben werden.
Sicherheitsstandards beginnen, mit dem wachsenden Risiko Schritt zu halten
Ein wichtiger Faktor für die Cyber-Compliance in der Finanzbranche ist die Rat für PCI-Sicherheitsstandards, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Umsetzung tragfähiger Sicherheitsrichtlinien und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Es muss jedoch gesagt werden, dass viele unserer Kunden aus der Finanzbranche sogar die aktuellen Richtlinien des PCI Security Standards Council übertroffen haben. In diesen Richtlinien werden zwar Schulungen für Entwickler empfohlen (wie bereits bei anderen Beispielen für regulatorische Informationen erwähnt), aber sie geben keinen bestimmten Typ oder eine bestimmte Benchmark an, die erfüllt werden müssten, um zu belegen, dass die Schulung wirksam war.
Mit vielen Sicherheitslücken wie SQL Injection und Cross-Site Scripting (XSS), die schon länger bestehen als zwanzig Jahre (und verursachen auch 2019 noch Probleme), es ist klar, dass nicht alle Schulungen gleich oder effektiv sind. Durch die Einführung praktischer, spielerischer Sicherheitsschulungen erzielen Banken und andere Finanzdienstleistungsunternehmen weitaus bessere Ergebnisse und eine echte Verringerung der Sicherheitslücken, die verheerende Folgen haben können, wenn sie ausgenutzt werden.
Ein gutes Beispiel dafür ist, wie das US-Bankinstitut Capital One im Rahmen seines innovativen Tech College- und Zertifizierungssystems spielerische Ausbildungstechniken eingesetzt hat. Laut Russell Wolfe, ihrem Direktor für Cybersicherheit und Cloud-Computing-Ausbildung, kürzlich Webinar, die freiwilligen Trainingsprogramme und Programmierturniere gewannen sehr schnell an Bedeutung, und die Kollegen waren von einer noch nie dagewesenen Nachfrage und einer organischen Motivation, sich zertifizieren zu lassen und andere bei der Weiterbildung zu unterstützen.
Was können die Aufsichtsbehörden tun, um sicherzustellen, dass die Mitarbeiter im Bereich Cybersicherheit angemessen geschult werden?
Aufsichtsbehörden auf der ganzen Welt können ihre bestehenden Richtlinien und Richtlinien zur Cyberregulierung wirklich noch „verbessern“, indem sie einfach anerkannte Schulungsmethoden und Standards skizzieren, die diejenigen, die für den Schutz unserer Daten verantwortlich sind, einhalten müssen. Gegenwärtig scheint es in den meisten regulatorischen Richtlinien einen allgemeinen Hinweis auf eine Schulungspflicht zu geben, aber es gibt kaum Folgemaßnahmen, um sicherzustellen, dass diejenigen, die eine vorgeschriebene Schulung absolvieren, die Inhalte und Techniken erlernen, die erforderlich sind, um wirklich bei der Bekämpfung von Cyberbedrohungen zu helfen.
Der jüngste Schritt der MAS (Monetary Authority of Singapore), die Einführung von Schulungsprogrammen für das Sicherheitsbewusstsein und bewährte Verfahren zur sicheren Softwareentwicklung in die neueste Iteration ihrer Technologierisikorichtlinien sind jedoch ermutigend. Sobald die Leitlinien in Kraft treten, werden sie Finanzinstitute dazu verpflichten, sicherzustellen, dass ihre Softwareentwickler darin geschult werden, bei der Entwicklung von Software Standards für sichere Codierung, Quellcodeüberprüfung und AppSec-Tests anzuwenden, was einen großen Beitrag zur Minimierung von Fehlern und Sicherheitslücken leisten sollte.
Für mich ist es bei weitem am interessantesten und relevantesten, die Entwicklungskohorte mit praktischen, realen Techniken auszubilden und gleichzeitig die Grundlagen für die robuste Sicherheitskultur zu legen, die jedes Unternehmen schaffen muss, bevor es zu spät ist.
Ursprünglich veröffentlicht in Regulierung Asien.
Angesichts der zunehmenden Cyberangriffe, die „jede Art von Organisation in jeder Branche betreffen“, ist die Gefahr teurer, peinlicher und sich negativ auf das Geschäftsergebnis auswirkender Datenschutzverletzungen sehr real. Das Problem wird nicht kleiner, es wächst wie ein Tumor.
Ich werde oft gebeten, Beispiele dafür zu nennen, welche Organisationen dieses Problem bekämpfen und sich mit besonderer Finesse und Meisterschaft im „Wilden Westen“ der Cybersicherheit und der AppSec-Best Practice zurechtfinden. Ich komme öfter als andere zu einer Antwort zurück: Es ist die Finanzbranche, die es besser macht als die meisten anderen.
Regulierung: Ein treibender Faktor für die führende Rolle der Finanzbranche im Bereich Cybersicherheit
Einer der Gründe, warum der Finanzsektor im AppSec-Bereich so gut spielt, ist, dass er (zumindest teilweise) von den Bedenken der globalen, regionalen und nationalen Regulierungsbehörden über die universellen „ganz zu schweigen von katastrophalen“ Auswirkungen getrieben wird, die sich aus einem erfolgreichen Cybersicherheitsangriff oder Datendiebstahl ergeben könnten.
Der BCBS (Basler Ausschuss für Bankenaufsicht) veröffentlichte eine melden im Dezember, in dem die Bandbreite der beobachteten Praktiken der Banken, Aufsichtsbehörden und Aufsichtsbehörden in Bezug auf Cyberresistenz in mehreren Ländern detailliert beschrieben wird. Zu den wichtigsten Ergebnissen zählte der Fachkräftemangel im Bereich Cybersicherheit — ein Faktor, dem sich nur wenige Jurisdiktionen durch die Einführung spezifischer Cyberzertifizierungen stellen.
„In einigen Ländern gibt es IT-spezifische Standards, die sich mit den Verantwortlichkeiten der IT-Mitarbeiter und der Informationssicherheitsfunktionen befassen, wobei der Schulung und den Kompetenzen der Mitarbeiter im Bereich Cybersicherheit besondere Aufmerksamkeit geschenkt wird“, heißt es in dem Bericht. Die meisten Jurisdiktionen befinden sich jedoch in einem „frühen Stadium“ der Einführung von Aufsichtspraktiken zur Überwachung der Fähigkeiten und Ressourcen der Cyber-Belegschaft einer Bank.
In den meisten Fällen verlangen regulatorische Systeme, dass beaufsichtigte Unternehmen Risiken managen, aber es gibt selten einen klaren Weg, um dieses Risiko erfolgreich zu mindern. Sie legen keine spezifischen Anforderungen (oder auch keine Benchmarks) fest, um die Fähigkeiten und Ressourcen der Mitarbeiter im Bereich Cybersicherheit zu verbessern. Die meisten Aufsichtsbehörden bewerten das Cybersicherheitspersonal von Institutionen im Rahmen von Inspektionen vor Ort, bei denen Fragebögen zur Selbsteinschätzung üblich sind und die Schulungsprozesse besonders unter die Lupe genommen werden. Aber nur in wenigen Ländern befassen sich die Vorschriften speziell mit den Rollen und Verantwortlichkeiten des IT-Personals. Einfach ausgedrückt: Die Fehlerquote ist groß und der Schwerpunkt auf der richtigen Schulung und der anschließenden Bewertung der Fähigkeiten ist eher gering.
In Japan und Südkorea haben die Behörden Richtlinien für ein angemessenes Personalmanagement im Bereich Cybersicherheit festgelegt. In den meisten anderen Ländern beschränken sich die regulatorischen Anforderungen an das Cyber-Personalmanagement jedoch auf die Erwartungen der Aufsichtsbehörden, wo die Aufsichtsbehörden häufig keine Bewertung der Cybersicherheitskompetenzen und der Schulung der Mitarbeiter in regulierten Organisationen vornehmen.
Nur Hongkong, Singapur und das Vereinigte Königreich haben spezielle Rahmenbedingungen zur Zertifizierung der Fähigkeiten und Kompetenzen von Cyber-Mitarbeitern herausgegeben. Während Wörter wie „Compliance“ und „Zertifizierung“ einem durchschnittlichen kreativen, problemlösenden Entwickler, der mit der Entwicklung großartiger Softwarefunktionen beauftragt ist, einen kalten Schauer über den Rücken laufen lassen (bei ihnen wird Sicherheit oft als das Problem eines anderen angesehen, nämlich als das Sicherheitsteam), aber die riesigen Mengen sensibler Daten, die viele regulierte Stellen besitzen, sind einfach zu wertvoll, um sie in die Hände derer zu legen, deren Fähigkeiten „vorausgesetzt“ und nicht ordnungsgemäß überprüft werden.
Zum Glück erkennen viele Bank- und Finanzinstitute dies an, ohne sich unbedingt auf einen offensichtlichen regulatorischen Weg zu verlassen. Die Vorschriften bieten sicherlich einen Überblick über die Erwartungen an das Endergebnis (d. h. sichere Software), aber sie haben festgestellt, dass zur Erreichung dieses Ziels die Umgehung des Fachkräftemangels im Bereich Cybersicherheit erforderlich ist, indem Entwickler geschult, ihre Beziehungen zu bestehenden AppSec-Fachleuten gepflegt und eine positive Sicherheitskultur aufgebaut werden, die Verantwortung und Eigenverantwortung fördert.
Warum hat die Finanzbranche den „X-Faktor“ für Cybersicherheit?
Für Unternehmen im Bankwesen spielen einige Elemente eine Rolle, Finanzdienstleistungen und die Versicherungsbranche, die sich als starke Säulen zusammengeschlossen haben, auf denen ihre Führungsposition in der Cybersicherheitslandschaft basiert.
Natürlich sind sie die Torwächter der weltweiten Finanzen (ganz zu schweigen von Millionen hochsensibler Datensätze) in der Regel sehr auf die Einhaltung gesetzlicher Vorschriften ausgerichteter und regulierter Organisationen. „Aktualisierte Richtlinien, Vorschriften und Anforderungen werden erwartet und sinnvoll eingeplant. Infolgedessen haben sie die sich wandelnden Anforderungen an die Minderung von Cyberrisiken wie Enten ins Wasser genommen und verfügen über einige der strengsten Best Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Reduzierung ihrer Gefahr potenzieller Angriffe.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach haben sie den Grundstein dafür gelegt, sicherheitsbewusster zu sein als andere. Sie haben festgestellt, dass ganzheitliche Schulungsprogramme nicht nur für AppSec-Experten und Penetrationstester, sondern auch für deren (in der Regel sehr große und global verstreute) Entwicklungsteams erforderlich sind, und entsprechende Ressourcen bereitgestellt.
Da Cybersicherheit in den meisten Unternehmen noch relativ neu ist, ist es erfrischend, dass Finanzinstitute in ihrem Bestreben, sichere Software bereitzustellen, wirklich aufgeschlossen und innovativ sind. Viele haben die Vorteile einer Weiterbildung der Entwicklungskohorte mit folgenden Aspekten gesehen fesselndes Training das führt sie aus dem Klassenzimmer in eine praktische, relevante Lernerfahrung, die ihnen hilft, nicht nur Probleme zu lösen, sondern auch zu verstehen, wie wichtig sichere Codierung im Allgemeinen ist.
Schließlich ist sichere Codierung ein wichtiger Bestandteil, um eine solide, funktionale Beziehung zwischen Entwicklern und dem AppSec-Team aufzubauen und eine robuste Sicherheitskultur innerhalb des Unternehmens aufrechtzuerhalten. Ein weiterer wichtiger Faktor für ein erfolgreiches Sicherheitsprogramm besteht darin, sicherzustellen, dass wichtige Stakeholder mit an Bord sind und die Vorteile erkennen, auch wenn sie selbst keine Sicherheitsexperten sind.
Finanzinstitute kommunizieren in der Regel gut mit der Geschäftsleitung und stellen sicher, dass die Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Das mag jetzt Zeit und Geld kosten, aber angesichts der Tatsache, dass die Behebung von Sicherheitslücken in festgeschriebenem Code dreißigmal so teuer ist, spart ein gut abgerundetes Sicherheitsprogramm, „das Schulungen von Grund auf beinhaltet“, langfristig Geld: Es ist weitaus billiger, wenn Sicherheitsprobleme behoben werden, während sie von sicherheitsbewussten Entwicklern geschrieben werden.
Sicherheitsstandards beginnen, mit dem wachsenden Risiko Schritt zu halten
Ein wichtiger Faktor für die Cyber-Compliance in der Finanzbranche ist die Rat für PCI-Sicherheitsstandards, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Umsetzung tragfähiger Sicherheitsrichtlinien und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Es muss jedoch gesagt werden, dass viele unserer Kunden aus der Finanzbranche sogar die aktuellen Richtlinien des PCI Security Standards Council übertroffen haben. In diesen Richtlinien werden zwar Schulungen für Entwickler empfohlen (wie bereits bei anderen Beispielen für regulatorische Informationen erwähnt), aber sie geben keinen bestimmten Typ oder eine bestimmte Benchmark an, die erfüllt werden müssten, um zu belegen, dass die Schulung wirksam war.
Mit vielen Sicherheitslücken wie SQL Injection und Cross-Site Scripting (XSS), die schon länger bestehen als zwanzig Jahre (und verursachen auch 2019 noch Probleme), es ist klar, dass nicht alle Schulungen gleich oder effektiv sind. Durch die Einführung praktischer, spielerischer Sicherheitsschulungen erzielen Banken und andere Finanzdienstleistungsunternehmen weitaus bessere Ergebnisse und eine echte Verringerung der Sicherheitslücken, die verheerende Folgen haben können, wenn sie ausgenutzt werden.
Ein gutes Beispiel dafür ist, wie das US-Bankinstitut Capital One im Rahmen seines innovativen Tech College- und Zertifizierungssystems spielerische Ausbildungstechniken eingesetzt hat. Laut Russell Wolfe, ihrem Direktor für Cybersicherheit und Cloud-Computing-Ausbildung, kürzlich Webinar, die freiwilligen Trainingsprogramme und Programmierturniere gewannen sehr schnell an Bedeutung, und die Kollegen waren von einer noch nie dagewesenen Nachfrage und einer organischen Motivation, sich zertifizieren zu lassen und andere bei der Weiterbildung zu unterstützen.
Was können die Aufsichtsbehörden tun, um sicherzustellen, dass die Mitarbeiter im Bereich Cybersicherheit angemessen geschult werden?
Aufsichtsbehörden auf der ganzen Welt können ihre bestehenden Richtlinien und Richtlinien zur Cyberregulierung wirklich noch „verbessern“, indem sie einfach anerkannte Schulungsmethoden und Standards skizzieren, die diejenigen, die für den Schutz unserer Daten verantwortlich sind, einhalten müssen. Gegenwärtig scheint es in den meisten regulatorischen Richtlinien einen allgemeinen Hinweis auf eine Schulungspflicht zu geben, aber es gibt kaum Folgemaßnahmen, um sicherzustellen, dass diejenigen, die eine vorgeschriebene Schulung absolvieren, die Inhalte und Techniken erlernen, die erforderlich sind, um wirklich bei der Bekämpfung von Cyberbedrohungen zu helfen.
Der jüngste Schritt der MAS (Monetary Authority of Singapore), die Einführung von Schulungsprogrammen für das Sicherheitsbewusstsein und bewährte Verfahren zur sicheren Softwareentwicklung in die neueste Iteration ihrer Technologierisikorichtlinien sind jedoch ermutigend. Sobald die Leitlinien in Kraft treten, werden sie Finanzinstitute dazu verpflichten, sicherzustellen, dass ihre Softwareentwickler darin geschult werden, bei der Entwicklung von Software Standards für sichere Codierung, Quellcodeüberprüfung und AppSec-Tests anzuwenden, was einen großen Beitrag zur Minimierung von Fehlern und Sicherheitslücken leisten sollte.
Für mich ist es bei weitem am interessantesten und relevantesten, die Entwicklungskohorte mit praktischen, realen Techniken auszubilden und gleichzeitig die Grundlagen für die robuste Sicherheitskultur zu legen, die jedes Unternehmen schaffen muss, bevor es zu spät ist.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Ursprünglich veröffentlicht in Regulierung Asien.
Angesichts der zunehmenden Cyberangriffe, die „jede Art von Organisation in jeder Branche betreffen“, ist die Gefahr teurer, peinlicher und sich negativ auf das Geschäftsergebnis auswirkender Datenschutzverletzungen sehr real. Das Problem wird nicht kleiner, es wächst wie ein Tumor.
Ich werde oft gebeten, Beispiele dafür zu nennen, welche Organisationen dieses Problem bekämpfen und sich mit besonderer Finesse und Meisterschaft im „Wilden Westen“ der Cybersicherheit und der AppSec-Best Practice zurechtfinden. Ich komme öfter als andere zu einer Antwort zurück: Es ist die Finanzbranche, die es besser macht als die meisten anderen.
Regulierung: Ein treibender Faktor für die führende Rolle der Finanzbranche im Bereich Cybersicherheit
Einer der Gründe, warum der Finanzsektor im AppSec-Bereich so gut spielt, ist, dass er (zumindest teilweise) von den Bedenken der globalen, regionalen und nationalen Regulierungsbehörden über die universellen „ganz zu schweigen von katastrophalen“ Auswirkungen getrieben wird, die sich aus einem erfolgreichen Cybersicherheitsangriff oder Datendiebstahl ergeben könnten.
Der BCBS (Basler Ausschuss für Bankenaufsicht) veröffentlichte eine melden im Dezember, in dem die Bandbreite der beobachteten Praktiken der Banken, Aufsichtsbehörden und Aufsichtsbehörden in Bezug auf Cyberresistenz in mehreren Ländern detailliert beschrieben wird. Zu den wichtigsten Ergebnissen zählte der Fachkräftemangel im Bereich Cybersicherheit — ein Faktor, dem sich nur wenige Jurisdiktionen durch die Einführung spezifischer Cyberzertifizierungen stellen.
„In einigen Ländern gibt es IT-spezifische Standards, die sich mit den Verantwortlichkeiten der IT-Mitarbeiter und der Informationssicherheitsfunktionen befassen, wobei der Schulung und den Kompetenzen der Mitarbeiter im Bereich Cybersicherheit besondere Aufmerksamkeit geschenkt wird“, heißt es in dem Bericht. Die meisten Jurisdiktionen befinden sich jedoch in einem „frühen Stadium“ der Einführung von Aufsichtspraktiken zur Überwachung der Fähigkeiten und Ressourcen der Cyber-Belegschaft einer Bank.
In den meisten Fällen verlangen regulatorische Systeme, dass beaufsichtigte Unternehmen Risiken managen, aber es gibt selten einen klaren Weg, um dieses Risiko erfolgreich zu mindern. Sie legen keine spezifischen Anforderungen (oder auch keine Benchmarks) fest, um die Fähigkeiten und Ressourcen der Mitarbeiter im Bereich Cybersicherheit zu verbessern. Die meisten Aufsichtsbehörden bewerten das Cybersicherheitspersonal von Institutionen im Rahmen von Inspektionen vor Ort, bei denen Fragebögen zur Selbsteinschätzung üblich sind und die Schulungsprozesse besonders unter die Lupe genommen werden. Aber nur in wenigen Ländern befassen sich die Vorschriften speziell mit den Rollen und Verantwortlichkeiten des IT-Personals. Einfach ausgedrückt: Die Fehlerquote ist groß und der Schwerpunkt auf der richtigen Schulung und der anschließenden Bewertung der Fähigkeiten ist eher gering.
In Japan und Südkorea haben die Behörden Richtlinien für ein angemessenes Personalmanagement im Bereich Cybersicherheit festgelegt. In den meisten anderen Ländern beschränken sich die regulatorischen Anforderungen an das Cyber-Personalmanagement jedoch auf die Erwartungen der Aufsichtsbehörden, wo die Aufsichtsbehörden häufig keine Bewertung der Cybersicherheitskompetenzen und der Schulung der Mitarbeiter in regulierten Organisationen vornehmen.
Nur Hongkong, Singapur und das Vereinigte Königreich haben spezielle Rahmenbedingungen zur Zertifizierung der Fähigkeiten und Kompetenzen von Cyber-Mitarbeitern herausgegeben. Während Wörter wie „Compliance“ und „Zertifizierung“ einem durchschnittlichen kreativen, problemlösenden Entwickler, der mit der Entwicklung großartiger Softwarefunktionen beauftragt ist, einen kalten Schauer über den Rücken laufen lassen (bei ihnen wird Sicherheit oft als das Problem eines anderen angesehen, nämlich als das Sicherheitsteam), aber die riesigen Mengen sensibler Daten, die viele regulierte Stellen besitzen, sind einfach zu wertvoll, um sie in die Hände derer zu legen, deren Fähigkeiten „vorausgesetzt“ und nicht ordnungsgemäß überprüft werden.
Zum Glück erkennen viele Bank- und Finanzinstitute dies an, ohne sich unbedingt auf einen offensichtlichen regulatorischen Weg zu verlassen. Die Vorschriften bieten sicherlich einen Überblick über die Erwartungen an das Endergebnis (d. h. sichere Software), aber sie haben festgestellt, dass zur Erreichung dieses Ziels die Umgehung des Fachkräftemangels im Bereich Cybersicherheit erforderlich ist, indem Entwickler geschult, ihre Beziehungen zu bestehenden AppSec-Fachleuten gepflegt und eine positive Sicherheitskultur aufgebaut werden, die Verantwortung und Eigenverantwortung fördert.
Warum hat die Finanzbranche den „X-Faktor“ für Cybersicherheit?
Für Unternehmen im Bankwesen spielen einige Elemente eine Rolle, Finanzdienstleistungen und die Versicherungsbranche, die sich als starke Säulen zusammengeschlossen haben, auf denen ihre Führungsposition in der Cybersicherheitslandschaft basiert.
Natürlich sind sie die Torwächter der weltweiten Finanzen (ganz zu schweigen von Millionen hochsensibler Datensätze) in der Regel sehr auf die Einhaltung gesetzlicher Vorschriften ausgerichteter und regulierter Organisationen. „Aktualisierte Richtlinien, Vorschriften und Anforderungen werden erwartet und sinnvoll eingeplant. Infolgedessen haben sie die sich wandelnden Anforderungen an die Minderung von Cyberrisiken wie Enten ins Wasser genommen und verfügen über einige der strengsten Best Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Reduzierung ihrer Gefahr potenzieller Angriffe.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach haben sie den Grundstein dafür gelegt, sicherheitsbewusster zu sein als andere. Sie haben festgestellt, dass ganzheitliche Schulungsprogramme nicht nur für AppSec-Experten und Penetrationstester, sondern auch für deren (in der Regel sehr große und global verstreute) Entwicklungsteams erforderlich sind, und entsprechende Ressourcen bereitgestellt.
Da Cybersicherheit in den meisten Unternehmen noch relativ neu ist, ist es erfrischend, dass Finanzinstitute in ihrem Bestreben, sichere Software bereitzustellen, wirklich aufgeschlossen und innovativ sind. Viele haben die Vorteile einer Weiterbildung der Entwicklungskohorte mit folgenden Aspekten gesehen fesselndes Training das führt sie aus dem Klassenzimmer in eine praktische, relevante Lernerfahrung, die ihnen hilft, nicht nur Probleme zu lösen, sondern auch zu verstehen, wie wichtig sichere Codierung im Allgemeinen ist.
Schließlich ist sichere Codierung ein wichtiger Bestandteil, um eine solide, funktionale Beziehung zwischen Entwicklern und dem AppSec-Team aufzubauen und eine robuste Sicherheitskultur innerhalb des Unternehmens aufrechtzuerhalten. Ein weiterer wichtiger Faktor für ein erfolgreiches Sicherheitsprogramm besteht darin, sicherzustellen, dass wichtige Stakeholder mit an Bord sind und die Vorteile erkennen, auch wenn sie selbst keine Sicherheitsexperten sind.
Finanzinstitute kommunizieren in der Regel gut mit der Geschäftsleitung und stellen sicher, dass die Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Das mag jetzt Zeit und Geld kosten, aber angesichts der Tatsache, dass die Behebung von Sicherheitslücken in festgeschriebenem Code dreißigmal so teuer ist, spart ein gut abgerundetes Sicherheitsprogramm, „das Schulungen von Grund auf beinhaltet“, langfristig Geld: Es ist weitaus billiger, wenn Sicherheitsprobleme behoben werden, während sie von sicherheitsbewussten Entwicklern geschrieben werden.
Sicherheitsstandards beginnen, mit dem wachsenden Risiko Schritt zu halten
Ein wichtiger Faktor für die Cyber-Compliance in der Finanzbranche ist die Rat für PCI-Sicherheitsstandards, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Umsetzung tragfähiger Sicherheitsrichtlinien und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Es muss jedoch gesagt werden, dass viele unserer Kunden aus der Finanzbranche sogar die aktuellen Richtlinien des PCI Security Standards Council übertroffen haben. In diesen Richtlinien werden zwar Schulungen für Entwickler empfohlen (wie bereits bei anderen Beispielen für regulatorische Informationen erwähnt), aber sie geben keinen bestimmten Typ oder eine bestimmte Benchmark an, die erfüllt werden müssten, um zu belegen, dass die Schulung wirksam war.
Mit vielen Sicherheitslücken wie SQL Injection und Cross-Site Scripting (XSS), die schon länger bestehen als zwanzig Jahre (und verursachen auch 2019 noch Probleme), es ist klar, dass nicht alle Schulungen gleich oder effektiv sind. Durch die Einführung praktischer, spielerischer Sicherheitsschulungen erzielen Banken und andere Finanzdienstleistungsunternehmen weitaus bessere Ergebnisse und eine echte Verringerung der Sicherheitslücken, die verheerende Folgen haben können, wenn sie ausgenutzt werden.
Ein gutes Beispiel dafür ist, wie das US-Bankinstitut Capital One im Rahmen seines innovativen Tech College- und Zertifizierungssystems spielerische Ausbildungstechniken eingesetzt hat. Laut Russell Wolfe, ihrem Direktor für Cybersicherheit und Cloud-Computing-Ausbildung, kürzlich Webinar, die freiwilligen Trainingsprogramme und Programmierturniere gewannen sehr schnell an Bedeutung, und die Kollegen waren von einer noch nie dagewesenen Nachfrage und einer organischen Motivation, sich zertifizieren zu lassen und andere bei der Weiterbildung zu unterstützen.
Was können die Aufsichtsbehörden tun, um sicherzustellen, dass die Mitarbeiter im Bereich Cybersicherheit angemessen geschult werden?
Aufsichtsbehörden auf der ganzen Welt können ihre bestehenden Richtlinien und Richtlinien zur Cyberregulierung wirklich noch „verbessern“, indem sie einfach anerkannte Schulungsmethoden und Standards skizzieren, die diejenigen, die für den Schutz unserer Daten verantwortlich sind, einhalten müssen. Gegenwärtig scheint es in den meisten regulatorischen Richtlinien einen allgemeinen Hinweis auf eine Schulungspflicht zu geben, aber es gibt kaum Folgemaßnahmen, um sicherzustellen, dass diejenigen, die eine vorgeschriebene Schulung absolvieren, die Inhalte und Techniken erlernen, die erforderlich sind, um wirklich bei der Bekämpfung von Cyberbedrohungen zu helfen.
Der jüngste Schritt der MAS (Monetary Authority of Singapore), die Einführung von Schulungsprogrammen für das Sicherheitsbewusstsein und bewährte Verfahren zur sicheren Softwareentwicklung in die neueste Iteration ihrer Technologierisikorichtlinien sind jedoch ermutigend. Sobald die Leitlinien in Kraft treten, werden sie Finanzinstitute dazu verpflichten, sicherzustellen, dass ihre Softwareentwickler darin geschult werden, bei der Entwicklung von Software Standards für sichere Codierung, Quellcodeüberprüfung und AppSec-Tests anzuwenden, was einen großen Beitrag zur Minimierung von Fehlern und Sicherheitslücken leisten sollte.
Für mich ist es bei weitem am interessantesten und relevantesten, die Entwicklungskohorte mit praktischen, realen Techniken auszubilden und gleichzeitig die Grundlagen für die robuste Sicherheitskultur zu legen, die jedes Unternehmen schaffen muss, bevor es zu spät ist.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
