セキュリティへの投資には経営陣の賛同が必要です。セキュリティプログラムの更新を正当化するのに役立つ主要な啓発の動機を学びましょう。
開発速度が飛躍的に向上するにつれて、組織はペースを維持できるセキュリティプラクティスを導入または維持するのに苦労することがよくあります。さらに、セキュリティチームは、セキュリティのオーバーホールに必要な経営陣の賛同とサポートを得ることが難しい場合があります。そこで、組織のセキュリティのアップグレードの必要性を正当化するために使える、セキュリティの速度を向上させるための主な推進要因と動機についてご紹介します。
既存のセキュリティプログラムの評価から始めます。これにより、セキュリティの必要性と、その優先度を理解することができます。セキュリティプログラムの最も弱い部分を特定すると、変更と、それに関連するコストや必要なリソースをより容易に守ることができます。
次に、既存の問題点を徹底的に特定して分析することで、主要な阻害要因を明らかにし、それらの修正に優先順位を付けることができます。開発とセキュリティの遅延の根本的な原因、既存のプロセスのギャップ、および手作業よって引き起こされた遅延を調べます。開発パイプラインに可能な限りいつでもどこでも統合と自動化を導入することに焦点を当てる必要があります。
コスト、リスク、および手戻りの労力を削減することも重要です。ベースラインを定義し、リワークの量と、チームがリワークチケットを閉じるのにかかる時間を測定することが重要です。 重大なチケットと低リスクのチケットを区別し、定義したリスクポリシーをそれらに適用することで、リスクを判断できます。
弱点を理解したら、組織に固有の動機付けを使用して、それらの弱点に対処するために必要なサポートを受けることができます。会話を進めるために使用できる包括的な動機は3つあります。コンプライアンス要件を満たすこと、顧客と市場の品質基準を満たすこと、品質エンジニアリングを実行することです。
セキュリティ・コンプライアンスは、すべての業界の組織にとって法的な懸念事項です。PCI DSS、HIPAA、ISO 27001などの規制基準は、企業レベルでデータを保護し、情報セキュリティ管理を改善するためのルールを定義しています。組織に関連するコンプライアンスと規制の要求を特定することで、セキュリティの実践と改善をトップダウンでサポートできるようになります。経営陣の賛同を得たら、セキュリティプログラムの規制関連のアップグレードを開始しましょう。始めるのに簡単な場所が2つあります。
顧客と市場自体の競争力の両方から、高品質で安全な製品を製造することが求められます。さもないと評判と成功が深刻なリスクにさらされます。 セキュリティ・ギャップの分析に加えて、ISO / IEC 25010:2011標準に従って、特定のコード品質のニーズをさらに正当化する必要があります。
有形で実績のあるモデルに対して品質基準の議論を組み立てることは、利害関係者の疑いを排除するのに役立ちます。 このISOモデルを使用すると、議論を強化し、セキュリティ・プラクティスを改善する必要性を検証するのに役立ちます。
質の高いエンジニアリング手法を実装するには、QAを開発プロセスに移行する必要があります。 こうすることで、変更や調整をより簡単に行える段階で、欠点を早期に特定するのに役立ちます。 全体的な品質改善のこの推進力は、組織の評判と成功を保護します。
品質エンジニアリングは以下に焦点を当てるべきです:
迅速にセキュリティを確保する必要性が高まっているため、セキュリティ改善の検討が引き続き進んでいますが、データと事実を活用して、セキュリティ・プログラムの改善要求を正当化することが重要です。改善のための業界主導の動機付けの理解を武器に、主要な利害関係者との会話は具体的で揉めることのない議論ができるはずです。