Сегодня, Воин безопасного кода опубликовал новые результаты о развитии разработчиков и его влиянии на инициативы организаций по обеспечению безопасности при проектировании (SBD).
С апреля 2024 года более 200 компанийвключая Secure Code Warrior, подписали обязательство Secure-by-Design. Новый анализ показывает, что организации в критически важных инфраструктурных отраслях, таких как финансовые услуги, оборона, здравоохранение и ИТ, добиваются прогресса в подготовке своих разработчиков к продвижению своих инициатив SBD. Secure Code Warrior обнаружил, что команды разработчиков в этих отраслях имеют средний уровень безопасности, измеряемый Оценка доверия SCWглобальный эталон, который количественно оценивает навыки команд разработчиков в области безопасности, превосходящие навыки в других секторах.
Руководителям информационной безопасности (CISO) становится все труднее продемонстрировать истинную рентабельность инвестиций на ранних этапах своих инициатив SBD. В последние годы отсутствие критериев для оценки соответствия организаций отраслевым стандартам стало серьезной проблемой. Ключом к успеху инициатив Secure-by-Design является не только предоставление разработчикам навыков обеспечения безопасности кода, но и обеспечение отраслевых и государственных регулирующих органов наличием этих навыков.
«Сейчас, как никогда, на нас лежит национальная ответственность за обеспечение наличия программ повышения квалификации SBD», — сказал Крис Инглис, старший стратегический советник Paladin Capital Group и бывший национальный директор по кибербезопасности. «Снижение рисков лежит в основе этого последнего анализа, и Secure Code Warrior возглавляет работу по улучшению знаний разработчиков о безопасности, предотвращению кибератак и укреплению критически важной инфраструктуры нашей страны.
Основные выводы: Анализ повышения квалификации разработчиков в критически важных инфраструктурных отраслях, проведенный Secure Code Warrior, основан на информации из более чем 20 миллионов точек данных, полученных от 600 корпоративных клиентов и более 250 000 активных разработчиков по всему миру. Анализ показал, что:
- Общее количество разработчиков, в настоящее время участвующих в инициативах повышения квалификации SBD, ориентированных на разработчиков, составляет менее 4% от всех разработчиков во всем мире.
- Некоторые секторы критически важной инфраструктуры, такие как сектор финансовых услуг, имели самый высокий уровень безопасности, согласно измерениям SCW TrustScore, по сравнению со средним показателем для некритической инфраструктуры. Например, средний балл доверия к финансовым услугам составил 336.
- Удивительно, но, несмотря на соответствие и нормативные требования, в отрасли финансовых услуг уровень безопасности был такой же, как и в некоторых других критически важных отраслях.
- Инициативы по развитию навыков, разработанные с учетом требований безопасности, как большие, так и малые, могут быть успешными, а исследования показывают, что инициативы меньшего масштаба могут расти и реализовываться быстрее. Но для того, чтобы эти инициативы увенчались успехом и быстрее обеспечили измеримую окупаемость инвестиций (ROI), исследования показывают, что необходимо наличие мандата.
- Когда инициативы по повышению квалификации твердо реализованы, риски, вносимые разработчиками в приложения, значительно снижаются. Анализ показал, что разработчики, участвующие в крупных инициативах по повышению квалификации (более 7000 разработчиков в одной компании), могут предсказуемо снизить количество уязвимостей на 47–53 процента.
Проектная безопасность набирает обороты во всем мире, поскольку страны включают аналогичные рекомендации в свои более широкие стратегии кибербезопасности. Однако предоставление разработчикам безопасных настроек по умолчанию и формирование рабочей силы разработчиков программного обеспечения, которая разбирается в безопасности, будет затруднительно без правильных данных для оценки навыков разработчиков. Гибкая программа повышения квалификации может найти отклик у разработчиков, если она построена на прочной основе и включает практические занятия, посвященные реальным проблемам, с которыми сталкиваются разработчики.
«Во времена беспрецедентных глобальных киберугроз эти новые результаты демонстрируют необходимость улучшения инициатив SBD в нашей цифровой инфраструктуре для уменьшения критических уязвимостей», — сказал Кемба Уолден, президент Глобального института Paladin и бывший исполняющий обязанности директора национальной кибербезопасности. «Это исследование дает четкий призыв к действию по улучшению навыков персонала и созданию критериев для достижения важнейших целей кибербезопасности. »
«Базовые показатели и тесты могут значительно оптимизировать состояние безопасности организации, сделав безопасное кодирование важной частью ее ДНК», — сказал Матиас Маду, соучредитель и технический директор Secure Code Warrior. «Чтобы узнать, добивается ли инициатива SBD реального прогресса, вам нужны количественные доказательства того, что усилия разработчиков по повышению квалификации эффективны и что они интегрируют передовые методы обеспечения безопасности в свои рабочие привычки. Вы должны быть уверены, что разработчики действительно заслужили свою лицензию на код.
Многие руководители службы безопасности постоянно отмечают сложность масштабирования большинства элементов программы корпоративной безопасности, особенно тех, которые предполагают постоянное повышение квалификации и индивидуальную оценку персонала. Это законная проблема, но после нескольких законодательных реформ и глобальных руководящих принципов, требующих от разработчиков наличия проверенных навыков в области безопасности, ее необходимо преодолеть. Многие организации по всему миру принимают меры и реализуют крупномасштабные инициативы по повышению квалификации, которые оказывают значительное влияние.
Чтобы узнать больше о последнем анализе Secure Code Warrior и рейтинге доверия SCW, кликните сюда.
