Vivemos em um tempo de grande fluxo e, fiel à forma, a indústria de segurança cibernética continua crescendo em complexidade e escopo. A revolução da IA dos últimos 2 anos viu muitas empresas lutando para equipar os líderes de segurança com as ferramentas necessárias para combater uma superfície de ataque cada vez mais sem fronteiras, sem mencionar a crescente governança e requisitos regulatórios exigindo atenção significativa.
Poucos invejariam Cisos diante dessas circunstâncias. Ainda assim, embora a mudança possa ser desafiadora para navegar, o clima de segurança atual parece o momento perfeito para adotar medidas que melhorem a qualidade do software e reduzirão o risco nos próximos anos.
Trabalho com alguns dos profissionais de segurança mais talentosos e resilientes do planeta, e muitos deles estão reforçando seus programas de segurança para flexionar com o cenário de ameaças contemporâneas, com suas coortes de desenvolvimento posicionadas como coração de redução de risco e eliminação de vulnerabilidades.
Aqui está o que eles fazem de maneira diferente, uma e outra vez.
Diretor de Cliente Chefe da Segura Code Warrior.
Um aspecto da segurança cibernética raramente discutida em profundidade é a noção de que as vulnerabilidades no nível de código são, em sua essência, uma questão orientada para o ser humano. Eles são muitas vezes perpetuados por maus padrões de codificação e maus hábitos que os desenvolvedores pegaram ao longo de suas carreiras, e esses atalhos podem ter consequências devastadoras
Não se engane: a culpa não está com as equipes de desenvolvimento em nenhuma organização; De fato, é culpa da indústria como um todo e nossa falta de resposta adequada à sua necessidade de upskilling.
Os programas de recompensas de insetos e campeões de segurança são de alguma maneira na criação de pilares da cultura de segurança dentro de uma empresa, mas isso raramente é suficiente por conta própria. Todos os dias, trabalho com CISOs que estão subindo acima do status quo, e eles priorizam uma abordagem que leva os desenvolvedores na jornada de segurança, normalmente com a adesão de executivos para esses programas internos.
Seus desenvolvedores prosperam em um ambiente em que são enfatizadas vias de aprendizado relevantes e justas, assim como as ferramentas complementares às suas pilhas de tecnologia. Isso ajuda a quebrar as barreiras significativas que os desenvolvedores enfrentam para contribuir de maneira significativa para as metas de segurança organizacional e abre o caminho para os resultados justos de KPI relacionados à segurança.
Eles são avaliados quanto à prontidão de segurança e incentivados para melhorar
É bastante alarmante que hoje vivemos em um mundo que é essencialmente alimentado pelo software. A recente interrupção do crowdstrike provou o quão facilmente um bug pode trazer infraestrutura crítica de joelhos. Apesar disso, os desenvolvedores não possuem um processo formal de certificação ou verificação de segurança que os limpe para trabalhar nesses sistemas vitais e geralmente precários da mesma maneira que um arquiteto ou engenheiro mecânico.
Os líderes de segurança das organizações que se comprometem com um padrão mais alto de resiliência de segurança de software estão tomando medidas não apenas para aumentar a coorte de desenvolvimento, mas também avaliará rotineiramente sua prontidão de segurança. Talvez um desenvolvedor de Java tenha se mostrado confiante em segurança, mas eles querem ser implantados em um projeto de rubi-se-haste, onde as habilidades podem não ser necessariamente traduzidas.
Um programa de segurança modernizado pode avaliar o indivíduo, identificar lacunas de conhecimento e emparelhar esse desenvolvedor com o upskilling necessário para ser bem -sucedido, permitindo que eles expandam seus horizontes de carreira no trabalho, levando a uma maior satisfação no trabalho e melhores resultados de segurança.
Devemos chegar a um local onde as idéias orientadas a dados informam decisões rápidas e de alto impacto da empresa; Afinal, a indústria de segurança cibernética não dorme, e os atores de ameaças já têm uma vantagem injusta sobre os líderes de segurança que lutam com tudo, desde a escassez de habilidades até os monólitos de codificar que são um ônus crescente dentro da base de código.
Existe um foco em toda a organização na segurança e qualidade do software
Um dos maiores impulsos para padrões mais altos de segurança de software veio das diretrizes seguras por design da CISA. Esse movimento global foi formado em vários governos mundiais, incluindo Estados Unidos, Reino Unido, Austrália, Canadá e Alemanha.
Essas diretrizes promovem a importância do envio de software seguro desde o início e procuram estabelecer a propriedade definitiva da segurança com os fornecedores de software, em oposição aos seus usuários finais. Esta é uma quebra significativa do status quo, mas, se executado bem, ajudará a reduzir o risco cibernético em geral.
Os melhores líderes de segurança estão atendendo a essa chamada e comprometendo seu compromisso com maiores padrões de software. Para a maioria das empresas, o sucesso exigirá uma mudança cultural que priorize a conscientização de segurança baseada em papéis e o suporte prático em andamento para a coorte de desenvolvimento. No entanto, não há melhor momento para levar a sério os programas de segurança interna e mais cedo que o fizemos, mais cedo podemos apontar para melhorias significativas.
Apresentamos o melhor software de criptografia.
Este artigo foi produzido como parte do canal especialista da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes do setor de tecnologia hoje. As opiniões expressas aqui são as do autor e não são necessariamente as do TechRadarpro ou do Future Plc. Se você estiver interessado em contribuir, descubra mais aqui:
Fique conectado