Рубрики
Uncategorized

Эффективные программы безопасности

Эта статья была первоначально опубликована на https://pbnj.dev. Содержание Обзор C … Теги с безопасностью, дежопами, преречательными.

Эта статья была первоначально опубликована на https://pbnj.dev .

Оглавление

  • Обзор
  • Культура
    • Слушай своих пользователей
    • Держать время офиса, встречи сообществ, события
    • Создать программу чемпиона безопасности
  • Инженер
    • Инвестируйте в инструменты, API, услуги
    • Способствовать инженерии
    • Упражняться Что ты Проповедовать
  • TLDR

Обзор

Когда мы приближаемся к концу года и десятилетие, я решил записать свои размышления о моем опыте в поле информационной безопасности (Infosec).

Это также, отчасти, исходя из кого-то (я), который боролся с тем, как безопасность делается в большинстве мест, и почти выйдет в поле (на более чем 1 случаях) из-за стольких вредных (в лучшем виде) и токсичных (в худшем случае ) Команды безопасности и культуры там.

Все сводится к этому: Безопасность — это услуга, и вы являетесь поставщиком услуг.

Чтобы распутать это, давайте рассмотрим, какие эффективные и успешные программы безопасности выглядят как из культуры и инженерных перспектив.

Если вы хотите Слишком долго; Не читал Версия, пропустите TLDR раздел.

Культура

Информационная безопасность — это не только техническая проблема, это также проблема людей, в частности, охранные люди. Наши восприятия и репутации Preceed нас, и они тоже не хорошие.

Мы часто выходим как Изолированные, эгоистичные, самопоглощаемые связки с богатым цветом Отказ

Итак, как мы можем исправить наше восприятие и репутацию?

Слушай своих пользователей

Наша работа состоит в том, чтобы включить разработчики и операционные команды, чтобы надежно и эффективно выполнять свою работу.

Как таковой, как мы ожидаем помочь им, не прослушивая их, не понимая их бизнес, не спрашивая их, как мы можем помочь им лучше?

Прежде чем идти в офис, думая, что вы собираетесь сэкономить день, остановитесь и проверьте свое эго у двери:

  • Спросите своих пользователей, какова их самая большая проблема или вызов, когда дело доходит до безопасности?
    • Если ответ — это знание, то инвестируйте в Образование Отказ
    • Если ответ является управлением, то работайте с управлением проектами и руководством, чтобы продемонстрировать деловое значение Оплата технического долга и улучшения качества программного обеспечения ( Подсказка: Безопасность — это подмножество качества ).
    • Если ответ — это технология, то инвестируйте в Дружелюбная разработчика Отказ
    • Если ответ — это культура, то смотреть в зеркало И постарайтесь понять, почему ваши пользователи избегают вам нравится чума.
  • Попросите своих пользователей своих отзывов о своей работе. Что работает хорошо? Что не работает хорошо? Как бы они предложили/рекомендую вам улучшить? Вы будете удивлены тем, что говорят, так или иначе.

Держать время офиса, встречи сообществ, события

Большинство инженеров любят изучать новые темы и концепции, чтобы они могли поделиться своими командами или улучшать свою работу.

  • Держите еженедельные, би-еженедельные или ежемесячные заседания обеда и изучения или часы офиса, чтобы погрузиться в тему их выбора.

  • Поместите на участие в квартальной или би-ежегодно захватывающему Флагу (CTF) или Hack-A-Thon вокруг включения, улучшения или автоматизации безопасности безопасности (кто знает, вы можете даже найти несколько инженеров с умелой или страстью Для безопасности, который может захотеть присоединиться к вашей команде?).

Это удваивается как средство для создания или улучшения отношений с вашими пользователями.

Создать программу чемпиона безопасности

Не только безопасность нишевого поля, оно также неблагодарная работа. Тем не менее, я всегда заметил 1 или 2 инженерам на каждой команде разработки продукта, которые всегда идут выше и за пределы их работы, чтобы улучшить безопасность в своих проектах, однако небольшая из улучшений.

Создать Чемпион безопасности Программа для обозначения инженеров в качестве Primariy точки безопасности контакта, чтобы узнать их за свою работу и сформировать группу поддержки для инженеров, которые должны нести эту мантию. Дайте им пространство, чтобы поделиться своими проблемами и их учащими друг с другом и с вами. Нелегко подвергаться постоянному давлению руководства проекта, чтобы поставить приоритеты клиентов в рамках жестких сроков и выполнять внеклассную деятельность.

Эта программа «Чемпион по безопасности» также удваивается в качестве двунаправленного канала связи между командами безопасности и разработки продукта, которая усиливает первую точку, которую я сделал, то есть слушая ваших пользователей.

Инженер

Как упоминалось ранее, разработчики продукта находятся под давлением управления проектами для доставки в рамках жестких сроков и сроков. Если все, что мы делаем, наносятся, мы не можем.

Инженеры, на командах разработки продуктов или операционных команд, часто ближе всего к продукту, чем командам Infosec. Скорее всего, они знают больше о потенциальных проблемах безопасности или уязвимых возможностях в их продуктах, чем мы.

Вы даете им отчет о безопасности, созданный из сканера уязвимостей, является наименее полезной, которую вы можете сделать.

Инвестируйте в инструменты, API, услуги

Это наша работа, чтобы позволить нашим пользователям надежно и эффективно выполнять свою работу.

Это означает, что мы должны сделать их жизнь проще, не сложнее.

Нет абсолютно никаких причин, которые нам необходимо требовать наших пользователей заполнять формы и представить билеты, чтобы выполнить свою работу. Вместо этого мы должны позволять им быть самодостаточным.

Например:

  • Если вам требуется модель угрозы, предоставьте инструменты для автоматизации генерирующих моделей угроз. Если никакой инструментарии не существует, или если существующая оснастка недостаточна, постройте правильную инструмент для вашего бизнеса.
  • Если вам требуются стандарты безопасности или ориентиры, которые необходимо соблюдать, предоставьте инструменты для автоматизации сканирования или анализа возможных ошибок.

Вот некоторые люди, которые намного умнее, чем я на эту тему:

Способствовать инженерии

Помните, что отчет о безопасности, созданный из сканера уязвимости?

Вот несколько сумасшедших идей, что если вы:

  • Проверьте находки (ы), извлекивая ложные позитивы, измерить и оценить риск каждого нахождения в отношении реалий продуктов и бизнеса, а затем работать с соответствующей командой (ыми), чтобы исправить проблему или даже вносить вклад в исправить себя?
  • Способствовать тестам блока безопасности, чтобы предотвратить повторяющуюся ошибку?
  • Предлагайте для Peform Code Code Reviews Если инженеры работают над чувствительными/критическими частями системы (например, пользовательский ввод, управление сертификатом)?
  • Способствовать дополнительные проверки безопасности в трубопроводах CI?

Да, большинство из этих задач потребуют бы, чтобы вы тесно сотрудничали с вашими пользователями … Как будто вы на самом деле один из них; Инженер в своей команде, но с фоном безопасности.

Теперь вы наконец понимаете, что Devsecops и Сдвиг слева Действительно повлечь за собой!

Упражняться Что ты Проповедовать

  • Если вам требуются модели угроз для каждой службы, то начните с вашего собственного.
  • Если вам требуются ошибки безопасности, которые будут исправлены в SLA, затем начните со своими собственными ошибками.
  • Если вы этого не сделаете или не можете, вы не можете сказать инженерам, чтобы сделать эту работу.

Легко и просто.

TLDR

Краткая версия моего бессвязного является это:

  • Безопасность — это услуга. Вы являетесь поставщиком услуг.
  • Исправьте свою культуру
    • Слушайте своих пользователей. Спросите их, что им нужно. Спросите их своими отзывами о вашей работе.
    • Держите рабочие часы, встречи сообществ, события для создания/улучшения отношений с вашими пользователями.
    • Создайте программу Champion Security для обозначения инженеров как точки безопасности, чтобы признать их усилия, и позволить им поделиться знаниями друг с другом и с помощью команды безопасности (возвращаясь к прослушиванию ваших пользователей).
  • Включите инженеры, чтобы надежно и эффективно выполнять свою работу
    • Автоматизировать ручные процессы. Не вводите трение.
    • Способствуйте непосредственно в инженерные команды.
    • Практиковать то, что вы проповедуете.

Оригинал: «https://dev.to/pbnj/effective-security-programs-2aea»

Читайте ещё по теме: