Сегодня, Воин безопасного кода опубликовал новые выводы о повышении квалификации разработчиков и его влиянии на инициативы организаций по обеспечению безопасности при проектировании (SBD).
С апреля 2024 года более 200 компанийвключая Secure Code Warrior, подписали обязательство Secure-by-Design. Новый анализ показывает, что организации в критически важных инфраструктурных отраслях, таких как финансовые услуги, оборона, здравоохранение и ИТ, добиваются прогресса в подготовке своих разработчиков к продвижению своих инициатив SBD. Secure Code Warrior обнаружил, что команды разработчиков в этих отраслях имеют средний уровень безопасности, измеряемый Оценка доверия SCWглобальный эталон, который количественно определяет компетентность команд разработчиков в области безопасности, которая выше, чем в других отраслях.
Руководителям информационной безопасности (CISO) становится все труднее доказать истинную рентабельность инвестиций на ранних этапах своих инициатив SBD. В последние годы отсутствие эталона для оценки соответствия организаций отраслевым стандартам стало ключевой проблемой. Ключом к тому, чтобы инициативы Secure-by-Design работали, является не только предоставление разработчикам навыков для обеспечения безопасности кода, но и уверенность отраслевых и государственных регулирующих органов в том, что эти навыки внедрены.
«Сейчас, как никогда, на нас лежит национальная ответственность за обеспечение наличия программ повышения квалификации SBD», — сказал Крис Инглис, старший стратегический советник Paladin Capital Group и бывший национальный кибер-директор. «Снижение рисков лежит в основе этого последнего анализа, и Secure Code Warrior возглавляет работу по улучшению обучения разработчиков безопасности, предотвращению кибератак и укреплению критически важной инфраструктуры нашей страны».
Основные выводы: Анализ Secure Code Warrior повышения квалификации разработчиков в критически важных инфраструктурных отраслях основан на анализе более 20 миллионов точек данных от 600 корпоративных клиентов и более чем 250 000 активных разработчиков по всему миру. Анализ показал, что:
- Общее количество разработчиков, в настоящее время участвующих в инициативах по повышению квалификации SBD, ориентированных на разработчиков, составляет менее 4% от общего числа разработчиков во всем мире.
- Определенные секторы критически важной инфраструктуры, такие как индустрия финансовых услуг, имели самый высокий уровень безопасности, согласно измерениям SCW TrustScore, по сравнению со средним показателем некритических инфраструктур. Например, средний балл доверия финансовых услуг составил 336.
- Удивительно, но даже с учетом требований соответствия и регулирования сектор финансовых услуг имел такой же уровень безопасности, как и некоторые другие критически важные отрасли.
- Крупномасштабные и меньшие инициативы по повышению квалификации Secure-by-Design могут быть успешными, а исследования показывают, что более мелкие инициативы могут быстро нарастать и работать быстрее. Но для того, чтобы эти инициативы были успешными и быстрее обеспечили измеримую отдачу от инвестиций (ROI), как показывают исследования, необходимо принять соответствующий мандат.
- Когда инициативы по повышению квалификации твердо реализованы, риски, создаваемые разработчиками приложений, значительно уменьшаются. Анализ показал, что разработчики в рамках крупных инициатив по повышению квалификации (более 7000 разработчиков в одной компании) могут предсказуемо снизить количество уязвимостей на 47–53%.
Проектная безопасность набирает обороты во всем мире, поскольку страны внедряют аналогичные рекомендации в свои более широкие стратегии кибербезопасности. Однако обеспечить безопасные настройки по умолчанию для разработчиков и создать команду разработчиков программного обеспечения, разбирающуюся в вопросах безопасности, будет трудно достичь без правильных данных для оценки навыков разработчиков. Программа гибкого повышения квалификации может найти отклик у разработчиков, если она построена на основе установленных базовых показателей и содержит практические занятия, посвященные реальным проблемам, с которыми сталкиваются разработчики.
«Во времена беспрецедентных глобальных киберугроз эти новые результаты демонстрируют необходимость расширения инициатив SBD в нашей цифровой инфраструктуре для уменьшения критических уязвимостей», — сказал Кемба Уолден, президент Глобального института Paladin и бывший исполняющий обязанности национального кибер-директора. «Это исследование дает четкий призыв к действию по повышению квалификации персонала и созданию эталонов для достижения важнейших целей кибербезопасности».
«Базовые показатели и тесты могут значительно оптимизировать состояние безопасности организации, сделав безопасное кодирование неотъемлемой частью ее ДНК», — сказал Матиас Маду, соучредитель и технический директор Secure Code Warrior. «Чтобы узнать, добивается ли инициатива SBD реального прогресса, вам нужны количественные доказательства того, что усилия по повышению квалификации разработчиков эффективны и что они внедряют лучшие практики безопасности в свои рабочие привычки. Вы должны быть полностью уверены в том, что разработчики действительно заслужили лицензию на кодирование».
Многие руководители служб безопасности настойчиво подчеркивают сложность масштабирования большинства элементов программы обеспечения безопасности предприятия, особенно тех, которые связаны с постоянным повышением квалификации и оценкой отдельного персонала. Это серьезная проблема, но после нескольких глобальных реформ законодательства и руководящих принципов, требующих от разработчиков подтверждения навыков безопасности, ее необходимо преодолеть. Многие организации по всему миру принимают меры и реализуют крупномасштабные инициативы по повышению квалификации, которые оказывают значительное влияние.
Чтобы узнать больше о последнем анализе Secure Code Warrior и рейтинге доверия SCW, кликните сюда.
