有什么策略可以克服开发人员没有得到足够的安全培训的外部性问题呢？

Question

为了克服安全培训问题，管理层需要做些什么？

Answer 1

很棒的问题，而且非常相关！

首先，认识到培训只是维护和建立安全系统的一个方面。如果攻击者通过未修补的服务器进入，或者您的簿记员被网络钓鱼邮件所吸引，拥有最好的应用程序开发人员将不会拯救您。您的组织应该有一个详细说明完整计划的安全策略；该计划的一个方面可能是提供开发人员培训。这是一个CISSP可以帮助你们做好准备的地方。

也就是说，如果你在一个受监管的领域(PCI DSS、HIPAA、GLBA、SOX、保健等等)具有开发人员培训功能的安全计划通常是通过审核的一项要求。这可能是最简单的销售，虽然它可能只得到一个最起码的训练。

你的系统被攻破了吗？您可能会建立一个更好的软件可以帮助防止下一个漏洞的情况。

环顾你的行业，看看类似的解决方案提供商:他们被攻破了吗？做一些研究，向你的管理层展示当他们被破坏时他们付出了什么代价，以及关注安全(不仅仅是培训)如何帮助你避免成为下一个受害者。

你的客户使用你的系统会因为你的疏忽而被破坏吗？强有力的安全政策并不便宜，但它比诉讼便宜得多。

您与可能提供安全开发培训的工具供应商有关系吗？我知道微软提供这样的课程，我希望其他人也这样做。与编译器供应商、静态代码分析供应商或其他类似公司进行检查。Pluralsight，Safari，Khan等许多培训公司都有在线培训资源.可能会有一个MOOC免费为你提供适当的安全教育。

还有，问问你的政府。他们可能拥有包括培训在内的“网络防御资源”。在美国，NIST有国家网络安全教育倡议(尼斯)，它可以帮助你启动一些事情。

附近有OWASP分会吗？参加一个会议。也许与他们建立关系网可以让你以合理的价格找到一位顾问或指导员。此外，还有许多优秀的区域安全会议，而且它们比著名的国家和国际会议便宜得多。如果在你的城市附近有一个，你的公司甚至不需要支付旅馆房间的费用。除了猜测之外，没有什么可供管理的，他们会想象一个安全程序将花费数百万美元，而他们却没有。有了成本估算，至少有可能与管理层进行讨论。

我猜你的组织目前还没有安全预算。你有没有考虑过志愿成为你的组织的安全冠军？即使你在职业生涯的这个阶段并不了解安全政策和实践，仅仅是让人们谈论安全问题可能会促使管理层在下一个预算年度采取行动。