来源:https://about.gitlab.com/blog/2020/10/14/why-security-champions/
https://www.neuralegion.com/blog/what-is-a-security-champion/
虽然成功的 DevOps 和 AppSec 计划的安全文化很重要,但要取得成功,安全性需要成为整个管道中每个人的首要考虑。
您的开发人员、QA 和安全团队必须建立密切的合作伙伴关系,以打破孤岛并提高安全知识。
实现这一目标的一种有效方法是创建安全冠军security champion,作为整个团队的安全代言人。
一、什么是安全冠军,他们做什么?
由于开发人员与安全专业人员的比例分别约为 50:1,您的安全团队,说得客气一点,就是分散——他们根本无法弥补开发人员安全经验的不足,也无法为您的开发人员提供安全保障结果需要。
安全冠军可以通过宣传、管理和实施安全态势,让您的开发团队作为安全团队的扩展成员来帮助弥合这一差距。
他们的职责包括:
知情——知识是关键,您的安全冠军将受益于持续的培训,以跟上最新的实践、方法和工具来分享这些知识。
提高意识——传播安全最佳实践,提高和保持对开发组织的问题/威胁的持续安全意识,并回答安全相关问题。
成为安全的一部分——对安全问题进行扫描,并在将问题上报以供安全团队审查、帮助进行 QA 和测试之间充当中间人。这也将使他们能够参与风险和威胁评估,以及架构和工具审查,以识别早期修复安全问题的机会。
获得并维持支持——在项目内在并使用开发人员的语言,您的安全冠军可以通过以他们理解的方式传达安全问题来获得他们同事的支持,从而在 SDLC 的早期生产安全产品。这提高了 AppSec 计划的有效性和效率,同时加强了多功能团队之间的关系,同时最大限度地减少了下游的安全测试瓶颈,因此您的安全团队可以专注于其他关键任务。
协作——与其他安全拥护者和参与者建立联系和合作,参加每周会议以分享想法和技巧,同时协助制定安全决策
二、您是否已经在酝酿一位安全冠军?
安全冠军的完美候选人很可能已经是您团队的一部分。他们是一名同事,参与并熟悉您的产品,同时对安全问题表现出兴趣。他们可以是开发人员、QA、架构师或 DevOps 同事。
他们不需要是资深人士,但管理层需要看到让安全冠军为他们提供正确支持的价值。将需要额外的工作,因此有一个对这个角色有浓厚兴趣的自愿“志愿者”对于确保他们有效并保持参与很重要。
https://www.globalsign.com/en/blog/bringing-gamification-to-cybersecurity-training
将游戏化(gamification)引入网络安全培训
这里有一些需要考虑的事情:根据当前的研究,人为错误是数据泄露的三大原因之一 - 只有在恶意或犯罪攻击之前。虽然大多数员工并没有打算造成伤害,但他们中的许多人无意中造成了伤害——通过不良的密码习惯、无限制的网页浏览或使用恶意电子邮件。因此,员工(以及他们的雇主)很快就会成为社会工程或网络钓鱼攻击的受害者,甚至更糟。
虽然许多雇主声称已经制定了有效的政策来帮助员工管理网络威胁,但现实描绘了一幅不同的画面, 一些研究 表明,多达三分之二的网络漏洞是由员工的疏忽或渎职造成的。随着网络犯罪不断加剧,尽管面临诸多挑战,某些组织和政府机构正在寻找方法让员工更好地参与真正有效的网络安全培训,并招募合格的网络安全候选人。越来越依赖的一种策略是游戏化。
一、什么是网络安全游戏化?
游戏化gamification是使用游戏机制和游戏思维来吸引用户解决问题并通过引入竞争和奖励元素来激励他们。许多公司已经在使用游戏化来协助入职和客户参与,但现在他们意识到游戏化也可能对公司范围的网络安全培训带来好处。
根据Pulse Learning 的一项 研究,79% 的参与者(包括企业学习者和大学生)表示,如果他们的学习环境更像一场游戏,他们的工作效率和动力会更高。同一项研究指出,游戏化的好处包括提高动力、增加参与度、更好的绩效反馈和提高生产力。
二、公司如何将游戏化用于网络安全培训
Price Waterhouse Cooper 开发了 Game of Threats™ 以帮助高级管理人员和董事会测试和加强他们的网络防御技能。“就其核心而言,《威胁游戏》是一款关键的决策游戏,旨在奖励玩家的正确决策并惩罚做出错误决策的团队。玩家离开时会更好地了解他们需要采取哪些步骤来更好地保护他们的公司,” 普华永道解释道。该游戏自推出以来一直非常成功,以至于该公司现在正在考虑开发专门针对金融犯罪和危机管理的其他游戏。
Beaumont Health Systems 于 2014 年引入了基于游戏的学习,当时它意识到需要一种更好的方式来吸引员工。Beaumont Health Systems 网络安全运营和架构经理 Scott Larsen告诉 Mobi Health News: “我们之前的安全培训被 PowerPoint扼杀了。” “这是非常非互动的,非常枯燥和无趣的。它没有抓住最终用户的兴趣。” Beaumont 将游戏化、互动内容和传统教学相结合,提高了网络安全培训的有效性,现在发现员工在处理网络安全问题时更加积极主动。
游戏化还被用于在竞争异常激烈的市场中招募网络人才。Cyber Security Challenge 是一家总部位于英国的组织,每年都会举办竞赛,以寻找、测试和招募网络安全候选人。“我们已经看到,其他行业使用的传统招聘方法在网络安全领域不起作用,” 英国网络安全挑战赛的首席执行官斯蒂芬妮·达曼告诉 Tech Crunch。“然而,游戏玩家和那些在行业中表现出重要技能的人之间存在明显的模式。”
三、成功游戏化战略的要素
对于希望将游戏化融入其网络安全培训的企业来说,了解什么是最成功的基于游戏的培训会很有帮助。
1、使用视觉教具
图片和视频有助于快速传达观点,同时保持员工的参与度。
2、保持培训简短而切中要害
最有效的培训是短期的。连续 6 周每隔一天进行 10 分钟的训练比单次三小时的训练有效得多。
3、注入乐趣
游戏本应该是有趣的,但当你如此专注于设计一个全面的训练策略时,很容易忽略这个关键因素。
4、使用奖励
使用奖励是基于游戏的方法中最重要的元素之一,因为奖励可以保持用户的积极性和激励性。
5、考虑使用人工智能和机器学习
随着黑客学习新的、更复杂的方法,网络安全世界也在不断发展。为了跟上网络犯罪的步伐,一些公司正在利用人工智能和机器学习等先进技术加强网络培训。
6、了解观众
为了获得参与度,设计一款能够与目标受众产生共鸣的游戏非常重要。研究员工喜欢什么、激励他们的因素以及他们最常使用的设备,将为设计有效的培训奠定坚实的基础。
7、确保培训持续进行
培训应该是连续的,而不是仅限于一次性事件。跟踪员工在游戏中的进步,并在某些里程碑时获得奖励,有助于保持员工的长期敬业度。
游戏化正在改变组织思考和推出网络安全培训的方式。企业不仅在内部培训中使用基于游戏的方法,而且有些企业甚至使用游戏化来启动“漏洞赏金计划”。这些计划奖励能够发现和报告组织系统中错误的道德黑客和研究人员。
网友评论