¿Cuáles son algunos 'lanzamientos' a la administración para superar los problemas de capacitación en seguridad?
¿Cuáles son algunos 'lanzamientos' a la administración para superar los problemas de capacitación en seguridad?
¡Gran pregunta y muy relevante!
Primero, reconozca que la capacitación es solo una faceta del mantenimiento y la creación de sistemas seguros. Tener los mejores desarrolladores de aplicaciones no lo salvará si un atacante ingresa a través de un servidor sin parches, o si su contador está enganchado por un correo electrónico de phishing. Su organización debe tener una política de seguridad que explique un plan completo; Un aspecto del plan probablemente sería proporcionar capacitación para desarrolladores. Aquí es donde un CISSP podría ayudarlos a prepararse.
Dicho esto, si se encuentra en un campo regulado (PCI DSS, HIPAA, GLBA, SOX, Healthcare, etc.), un plan de seguridad que incluya capacitación para desarrolladores es a menudo un requisito para aprobar la auditoría. Esa es probablemente la forma más fácil de vender, aunque puede que solo consiga un mínimo de entrenamiento.
¿Han sido violados sus sistemas? Es posible que pueda crear un caso en el que un mejor software pueda ayudar a prevenir la próxima infracción.
Mire alrededor de su industria a proveedores de soluciones similares: ¿han sido violados? Investigue y muestre a su gerencia lo que les costó cuando fueron violados, y cómo un enfoque en la seguridad (no solo la capacitación) podría ayudarlo a evitar convertirse en la próxima víctima.
¿Podrían violarse sus clientes que usan sus sistemas como resultado de su negligencia? Una política de seguridad sólida no es barata, pero es mucho más barata que las demandas judiciales.
¿Tiene una relación con un proveedor de herramientas que podría ofrecer capacitación de desarrollo seguro? Sé que Microsoft ofrece tales cursos; Espero que otros lo hagan también. Consulte con su proveedor de compiladores, su proveedor de análisis de código estático u otra compañía similar. Pluralsight, Safari, Khan y muchas otras compañías de capacitación tienen recursos de capacitación en línea. Probablemente haya un MOOC por ahí que te brindará una educación de seguridad adecuada y gratuita.
También, consulte con su gobierno. Pueden tener "recursos de defensa cibernética" disponibles que podrían incluir capacitación. En los EE. UU., El NIST tiene la Iniciativa nacional para la educación en ciberseguridad (NICE) , que podría ayudarlo a impulsar las cosas.
¿Hay un capítulo de OWASP cerca? Asistir a una reunión. Tal vez la creación de redes con ellos pueda conseguirle un consultor o instructor por un precio razonable. Además, hay muchas conferencias regionales de seguridad excelentes y son mucho más baratas que las conferencias nacionales e internacionales de renombre. Si hay uno cerca de su ciudad, su empresa ni siquiera tendrá que pagar las habitaciones de hotel. Sin nada que dar a la administración, solo una conjetura, van a imaginar que un programa de seguridad costaría millones que no tienen. Tener una estimación de costos hace que la discusión con la gerencia sea al menos posible.
Supongo que su organización no tiene un presupuesto de seguridad en este momento. ¿Ha considerado ofrecerse como voluntario para ser el Campeón de Seguridad de su organización? Incluso si no sabe todo acerca de las políticas y prácticas de seguridad en esta etapa de su carrera, solo hacer que las personas hablen sobre temas de seguridad podría incitar a la administración a actuar en el próximo año presupuestario.
Lea otras preguntas en las etiquetas programming