但是即使在形勢不明朗的時期,保持敏銳以及對安全知識、計畫和響應的追蹤仍是企業的責任。企業的安全團隊必須以新的方式為這些審計做準備。現在許多都進行遠端管理,團隊必須意識到潛在的缺陷和風險。
某些審計活動可能會疏忽了一些漏洞風險,在報告中予以通過;但是對於企業的安全性而言,風險不會因為報告通過而消失。因為您的審計師疏忽了,不代表黑客會看漏,他們可能在一天之後就嘗試利用這個漏洞進行非法活動。有鑑於此,從開發人員到管理人員,對您的團隊進行必要的安全知識和培訓更加重要,這不僅需要通過合規審計,而且需要超過這個標準。在安全法規和合規方面力爭達到更高標準是保護您的企業、員工和客戶的最佳方法之一。
培訓如何提高合規率?
根據對行業專家的一項調查,針對行業標準和法規如支付卡行業資料安全標準(pci dss)的安全審計的合規率一直在下降。例如,pci dss的合規性自2023年首次下降以來,從2023年的42%下降至2023年的26%。合規下降的原因有很多,但是10%的受訪者表示,導致合規失敗的乙個關鍵因素是合規教育的減少或取消。
同時,其他的法規,比如面向醫療服務行業的hipaa法案,它本身並沒有乙個通過或未通過的規定。但是為了合規,當僱傭員工或者政策/程式傳送重大變化時,他們需要接受有關安全主題的培訓和最佳實踐,包括社會工程、密碼和加密。
然而,在核對清單上打勾的一次性訓練並不能滿足hipaa法案對合規性的要求。儘管hipaa法案沒有規定應該多久進行一次合規培訓以保持合規,負責監督hipaa法案的組織在最近的一則簡訊中表示,每月的安全更新和半年一次的培訓對於許多醫療機構滿足要求都非常有效。
資料洩露成本增加
企業不遵守這些法規的話可能遭受重罰,其中包括罰款和吊銷許可證和證明。
除了因不合規而受到的直接處罰之外,由於不及時了解安全審計培訓而帶來的更大的商業影響還包括資料洩露的增加。因此,培訓不僅使企業能適應最新的法規,而且還減少資訊丟失的可能性。
研究已經量化了這些影響。例如,在過去的14年,完全符合pci dss要求的企業沒有發生過任何一例資料洩露事件。
elearning滿足企業的特定需求
elearning課程可以覆蓋適用於企業的法規或標準的培訓需求內容深度,有與pci dss、《通用資料保護條例》(gdpr)、《加利福尼亞州消費者隱私法案》(ccpa)等等相關的特定合規課程。如果企業需要更具深度或廣度的合規或安全培訓,可以選擇完整的elearning課程目錄或者單點學習課程。完整的安全目錄涵蓋從基礎和防禦策略到特定的程式設計架構/語言和雲平台。
按需elearning合規課程不僅非常適合開發人員,elearning還適用於其他角色。比如gdpr合規培訓適用於開發和專案經理以及cisos和其他高層管理人員。
elearning整合到ide
伴隨著 「向左移」,開發團隊在軟體開發生命週期早期承擔更多的安全責任,他們不得不在**提交之前加入合規性培訓。為了滿足這一需求,按需elearning直接通過新思科技的code sight外掛程式整合到開發人員的整合開發環境(ide)中。elearning還與coverity connect和seeker整合。這些整合使得elearning課程的演示內容能結合團隊的需求。因此,整合直接支援開發團隊「向左移」,並且確保他們可以獲取滿足其安全和合規需求的相關培訓。
不要錯過安全培訓,以備不時之需
隨著許多企業開展遠端辦公,合規審計培訓也發生了變化。遠端辦公場所改變了工作流程並且帶來了新的挑戰,但是安全合規的需求並不會因此而減少。
新思科技 開源風險控制仍需加強
作者 新思科技高階內容策略師 fred bals 開源是軟體設計各個開發階段越來越受歡迎的選擇。這是有道理的。開源具有諸多優勢,例如靈活性 成本效益和共享維護成本。但是,我們需要加強開源漏洞監控,並針對許可問題進行研究。新思科技的黑鴨審計服務團隊每年為其客戶進行數千個 庫的開源審計。這些審計需求主 ...
新思科技最新報告顯示開源安全是首要考慮因素
新思科技 2020 年devsecops 實踐和開源管理報告 發布,40 受訪者表示為解決開源漏洞而拖慢了交付計畫 devsecops是在業界逐步普及的理念。從雲計算到雲原生,再到devops,每一次理念的轉變都可能意味著開發流程的迭代。而安全是重要的基石,無論如何變革,都不容忽視。在不影響安全的情...
2 如何在Linux中加入新驅動
寫在前面 一直都不知道怎麼搞linux驅動,也不知道從何學起,直到做pynq需要自定義ip核時,恰好我又不想學python。於是下決心搞定linux驅動。目測linux驅動有三種方式加入linux系統。方法一 動態載入 方法二 編譯進核心 方法三 編譯核心,這意味著自己做乙個嵌入式linux系統。如...