首席外科医生启动了脑外科专家培训计划。这意味着员工未来将被委托进行大脑操作的任务——甚至可能取决于他们的倾向和以前的知识。他们为此接受特殊培训,但实际上他们还有另一份工作。
我无法想象你现在愿意接受手术,是吗?
这与 IT 和应用程序安全有什么关系?
当然,脑部手术和安全性之间的比较总是有缺陷的。但也有一些(诚然是抽象的)相似之处:这两种情况都拥有丰富的知识和经验,而且这两种情况都有经过验证的专家。这两个主题也都有一定的复杂性,不可能在短时间内或多或少完全掌握。
这很笼统,为什么我还要进行比较呢?很简单,我们在软件开发中经常做同样的事情。我们将首先任命一名首席信息安全官来发布指导方针和政策。然后我们开始一个培训计划,最后但并非最不重要的一点是我们安装一个安全冠军计划。
这意味着在最后的扩展阶段,即安全冠军计划,我们让技术经验丰富的员工接受了一个特别有依据的培训计划。这个想法是,项目和组织中有足够多的专家在其上下文中“本地”代表安全主题,并澄清重要的安全问题。
这样的程序是可行的,而且总是有很好的例子,它实际上会带来好 商业房地产的潜在客户 的结果。然而,承担这项任务的开发人员或架构师是否也有时间和经验至少在安全问题上足够好地完成他们的项目以提供支持,这仍然取决于机会。
另一种选择是什么?
很简单:提供获得头衔并拥有经验的安全专业人员。这可以集中组织或在部门级别组织。重要的是,这些人是真正的专家,他们对主题进行了更深入的研究,并且随着时间的推移获得了更丰富的经验。
反驳通常是:“这根本不符合标准!”我经常听到这句话。
不幸的是我不认为这是真的。如果您真的想构建安全的应用程序,则需要付出一定的努力。无论这是由安全冠军还是全职安全专家完成的,工作量都不会改变。经验丰富的专家可能速度更快、效率更高,甚至完成相同任务平均需要的时间更少。成本立即变得透明。所以在我看来,结果是不言而喻的。
在这种情况下,全职安全专家可能还会监督多个项目,因此自然有助于确保跨项目实施某些标准。这实际上对于软件开发项目来说是一个好处。更重要的是:有时相当烦人的安全问题可以以可持续的方式得到解决,而无需使用您自己的资源。
剩下的问题是市场上甚至你的公司是否有足够的专家?可能不会,但这并不意味着我们不能解决这个问题。就我们的外科手术而言,这意味着如果没有足够的脑外科医生,就必须投资更多的培训。
在 adesso 我们如何做到这一点?当然,我们为开发人员提供培训课程,并且有文档化的规范。但我们不想让安全主题听之任之,这就是为什么我们拥有一支完全致力于安全软件开发主题的专家团队。通过这个团队,我们支持我们自己的客户开发项目,也支持客户的项目和项目,例如完全由客户自己执行的项目。当然,团队已经拥有了不断发展的经验,例如通过培训和专门培训。
结论
在软件开发中,安全冠军计划通常用于提高安全意识。然而,我更倾向于经验丰富的安全专家,以获得更可持续的结果。这是制定跨行业标准并可持续解决安全问题的唯一途径。缺乏专家的问题可以通过投资培训来解决。
您可以在我们之前发布的博客文章中找到来自 adesso 世界的更多令人兴奋的主题。