세계적 수준의 CISO가 2023년에 더 많은 예산과 이사회 신뢰를 얻는 방법
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
