Vor einigen Wochen traf sich das Sicherheitsteam von PagerDuty mit Guy Podjarny aus Der sichere Entwickler für eine Diskussion unserer Sicherheitsphilosophie und einen Blick auf einige der von uns verwendeten Tools.

Eine unserer Leitphilosophien im PagerDuty -Sicherheitsteam ist, dass wir hier sind, um mit allen im Unternehmen zusammenzuarbeiten und nicht nur „Nein“ zu sagen. Sicherheitsteams werden in Technologieunternehmen oft als Blockade angesehen, da Mitarbeiter zögern, Sicherheitsteams zu kontaktieren, da sie bereits wissen, dass die Antwort „Nein“ lautet. Wir bei PagerDuty verfolgen bewusst einen anderen Ansatz. Wir haben mit Guy über unsere Philosophie gesprochen und darüber, wie unsere Aufgabe als Sicherheitsteam darin besteht, Tools und Richtlinien zu entwickeln, die es den Mitarbeitern erleichtern, automatisch das Richtige zu tun.

„Wir sind hier, um es den Menschen leicht zu machen, das Richtige zu tun.“

Wir haben darüber gesprochen, wie wir mit anderen Teams im Unternehmen – von der Entwicklung bis zum Vertrieb – zusammenarbeiten, um herauszufinden, was getan werden muss, um die Arbeit auf sichere Weise zu erledigen, ohne den Leuten im Weg zu stehen.

Eine Möglichkeit, wie wir mit anderen Teams zusammenarbeiten, ist unser internes Sicherheitsschulungsprogramm.

Wir haben einen anderen Ansatz als die üblichen Schulungsprogramme gewählt und unser eigenes Sicherheitstraining entwickelt. Dabei legen wir großen Wert darauf, allen Mitarbeitern Konzepte wie das Knacken von Passwörtern beizubringen. Allen zu zeigen, wie einfach es ist, hat viele für Passwortmanager begeistert und dazu beigetragen, die Daten unserer Mitarbeiter nicht nur am Arbeitsplatz, sondern auch im privaten Online-Leben zu schützen.

Wir diskutieren, wie Sicherheit immer mehr zu einem operativen Problem wird und wie wir beginnen, die gleichen Trends zu sehen wie in der Übergang von Ops zu DevOps vor ein paar Jahren. Die Probleme sind andere, aber die Erkenntnisse sind dieselben. Wir sprechen darüber, wie wir mit diesem veränderten Terrain umgehen und was unsere Pläne für die Zukunft sind.

Tools sind wichtig, und wir haben uns nicht gescheut, verschiedene Tools zu diskutieren, die wir verwendet haben und weiterhin verwenden. Wir erzählen die Geschichte, wie wir die Zwei-Faktor-Authentifizierung für SSH implementiert haben mit Duo Und Yubikeys , wie wir es mit unseren Teams im Betatest getestet und iterativ verbessert haben, um eine für alle funktionierende Lösung zu finden. Wir gehen auch darauf ein, wie wir Tools, die normalerweise für operative Probleme entwickelt wurden, für die Sicherheit einsetzen, wie zum Beispiel Splunk und Chef. Es lief jedoch nicht immer alles reibungslos. Guy fragte uns nach anderen Tools, die wir verwenden, und wir erklärten einige Probleme, die wir bei der Implementierung verschiedener Tools hatten, und welche Faktoren in die Entscheidung einfließen, ob wir ein neues Tool verwenden oder nicht.

Hören Sie unsere gesamte Folge von Der sichere Entwickler: PagerDuty sicher halten   um alles zu erfahren .

Befolgen Sie unbedingt die Anweisungen von The Secure Developer ( @thesecuredev ) und das PagerDuty Sicherheitsteam: Arup Chakrabarti ( @arupchak ), Rich Adams ( @r_adams ) und Kevin Babcock ( LinkedIn ) für die neuesten Updates!