Kita hidup di masa fluks besar, dan, benar untuk membentuk, industri keamanan siber terus tumbuh dalam kompleksitas dan ruang lingkup. Revolusi AI selama 2 tahun terakhir telah melihat banyak perusahaan berebut untuk melengkapi para pemimpin keamanan dengan alat yang diperlukan untuk memerangi permukaan serangan yang semakin tidak berbatasan, belum lagi meningkatnya tata kelola dan persyaratan peraturan yang menuntut perhatian yang signifikan.
Sedikit yang akan iri pada cisos yang dihadapi dengan keadaan ini. Namun, sementara perubahan dapat menjadi tantangan untuk dinavigasi, iklim keamanan saat ini terasa seperti waktu yang tepat untuk merangkul langkah -langkah yang akan meningkatkan kualitas perangkat lunak dan mengurangi risiko untuk tahun -tahun mendatang.
Saya bekerja dengan beberapa profesional keamanan yang paling berbakat dan tangguh di planet ini, dan banyak dari mereka memperkuat program keamanan mereka untuk melenturkan dengan lanskap ancaman kontemporer, dengan kohort pembangunan mereka diposisikan sebagai jantung pengurangan risiko dan penghapusan kerentanan.
Inilah yang mereka lakukan secara berbeda, berkali -kali.
Chief Customer Officer di Secure Code Warrior.
Salah satu aspek keamanan siber yang jarang dibahas secara mendalam, adalah gagasan bahwa kerentanan tingkat kode, pada intinya, adalah masalah yang didorong oleh manusia. Mereka begitu sering diabadikan oleh pola pengkodean yang buruk dan kebiasaan buruk yang telah diambil pengembang di sepanjang karier mereka, dan jalan pintas ini dapat memiliki konsekuensi yang menghancurkan
Jangan salah: menyalahkan tidak terletak pada tim pengembangan di organisasi mana pun; Ini memang kesalahan industri secara keseluruhan, dan kurangnya respons kita yang cocok untuk kebutuhan mereka yang meningkat.
Program Bug Bounties dan Security Champion melakukan beberapa cara dalam menciptakan pilar -pilar budaya keamanan dalam suatu perusahaan, tetapi ini jarang cukup dengan sendirinya. Setiap hari saya bekerja dengan CISO yang naik di atas status quo, dan mereka memprioritaskan pendekatan yang membawa pengembang dalam perjalanan keamanan, biasanya dengan pembelian eksekutif untuk program internal ini.
Pengembang mereka berkembang di lingkungan di mana jalur pembelajaran yang tepat waktu dan relevan ditekankan, seperti halnya alat yang saling melengkapi dengan tumpukan teknologi mereka. Ini membantu untuk memecah hambatan yang signifikan yang dihadapi pengembang dalam berkontribusi secara bermakna pada tujuan keamanan organisasi, dan membuka jalan bagi hasil KPI terkait keamanan yang adil, juga.
Mereka dinilai pada kesiapan keamanan dan diberi insentif untuk meningkatkan
Agak mengkhawatirkan bahwa hari ini, kita hidup di dunia yang pada dasarnya didukung oleh perangkat lunak. Pemadaman Crowdstrike baru -baru ini membuktikan betapa mudahnya sebuah bug dapat membawa infrastruktur kritis berlutut. Meskipun demikian, pengembang tidak memiliki sertifikasi keamanan formal atau proses verifikasi yang membersihkan mereka untuk bekerja pada sistem vital dan seringkali berbahaya dengan cara yang sama seperti yang mungkin dilakukan oleh arsitek atau insinyur mesin.
Para pemimpin keamanan dalam organisasi yang berkomitmen pada standar ketahanan keamanan perangkat lunak yang lebih tinggi mengambil langkah -langkah tidak hanya untuk meningkatkan kohort pengembangan tetapi secara rutin menilai kesiapan keamanan mereka. Mungkin pengembang Java telah membuktikan diri mereka percaya diri, tetapi mereka ingin dikerahkan pada proyek ruby-on-rails, di mana keterampilan mungkin tidak harus diterjemahkan.
Program keamanan yang dimodernisasi dapat menilai individu, mengidentifikasi kesenjangan pengetahuan, dan berpasangan dengan pengembang dengan peningkatan yang diperlukan untuk menjadi sukses, pada akhirnya memungkinkan mereka untuk memperluas wawasan karir mereka di tempat kerja, yang mengarah pada kepuasan kerja yang lebih tinggi dan hasil keamanan yang lebih baik.
Kita harus sampai ke tempat di mana wawasan berbasis data menginformasikan keputusan perusahaan yang cepat dan berdampak tinggi; Lagi pula, industri keamanan siber tidak tidur, dan para aktor ancaman sudah memiliki keunggulan yang tidak adil dibandingkan para pemimpin keamanan yang berjuang dengan segala sesuatu mulai dari kekurangan keterampilan hingga kode monolit yang merupakan beban yang meningkat dalam basis kode.
Ada fokus seluruh organisasi pada keamanan dan kualitas perangkat lunak
Salah satu dorongan terbesar ke arah standar keamanan perangkat lunak yang lebih tinggi berasal dari pedoman yang aman oleh CISA. Gerakan global ini dibentuk di berbagai pemerintahan dunia, termasuk Amerika Serikat, Inggris, Australia, Kanada, dan Jerman.
Pedoman ini mempromosikan pentingnya pengiriman perangkat lunak yang aman sejak awal, dan berupaya menetapkan kepemilikan tertinggi keamanan dengan vendor perangkat lunak, yang bertentangan dengan pengguna akhir mereka. Ini adalah istirahat yang signifikan dari status quo, tetapi, jika dieksekusi dengan baik, itu akan membantu dalam mengurangi risiko dunia maya di seluruh papan.
Para pemimpin keamanan terbaik mengindahkan panggilan ini, dan menjanjikan komitmen mereka terhadap standar perangkat lunak yang lebih tinggi. Bagi sebagian besar perusahaan, kesuksesan akan membutuhkan perubahan budaya yang memprioritaskan kesadaran keamanan berbasis peran, dan dukungan langsung yang berkelanjutan untuk kohort pembangunan. Namun, tidak ada waktu yang lebih baik untuk serius tentang mengangkat program keamanan internal, dan semakin cepat kita lakukan, semakin cepat kita dapat menunjukkan perbaikan yang berarti.
Kami telah menampilkan perangkat lunak enkripsi terbaik.
Artikel ini diproduksi sebagai bagian dari saluran Wawasan Ahli TechRadarPro di mana kami menampilkan pikiran terbaik dan paling cerdas dalam industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah pandangan penulis dan tidak harus dari TechRadarPro atau Future Plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
