随着云技术的不断发展,很多公司开始将传统的面对面进行的新员工入职培训和老员工的再学习逐渐的转变成基于云的网络培训,那么这种转变会给我们带来什么样的好处呢?企业又将从中得到什么样的便捷呢?
不管是新员工的入职培训还是老员工的再学习,开发行业中的培训很难做到一刀切。除了要精心制作相关且适时的课程(这在安全意识培训中本就是一个巨大的挑战)你还需要应对繁杂的组织工作。正如 Varacode 中一篇名为《应用安全和安全意识培训》的文章指出的那样:花在传统培训上的每一分钟都是对现有项目投入市场的无情耽搁。基于云的网络培训帮助解决了这其中的很多问题,它能提供专家定制打造的培训模块,且着眼于真实世界的安全话题。下面是安全培训服务能够增强软件质量和安全的四个方面,且先不管它们具体是什么。
1、目标明确
安全并不是产品设计线路图(road map)上的单一环节,它更不是某个后见之明。真正的安全意识必须在每个发展决策中都考虑到,它是面对大多数安全威胁和诸如行业或联邦监管单位规定的特定规章制度的一份有效声明。
为了实现这一目标,上文链接的文章提到,Veracode 的平台“只关注于安全意识和应用安全培训”。在实践中,这意味着新入职员工和现有员工都会按其需求获得由应用安全行业领导者设计的培训模块。网络培训方法能够确保员工针对重要的安全主题得到培训,进而防止因安全知识匮乏而出现重大问题。
2、可拓展
员工越多,培训也就越难“有效地”展开。虽然将多个团队塞到会议室里让他们开展工作并非难事,但是对于职业培训来说,小班授课通常会产出更好的效果。
这时,在线培训对那些想为员工提供安全培训的上升期企业而言,优势明显。不管多少人,也不管他们身兼何职,一对一的培训就在鼠标点击之间。因为这些课程旨在服务个体用户,距离并不是问题。不管是需要培训一个团队还是分散的多个第一或第三方的团队机构,你都能在不影响现有项目生命周期的前提下开展个性化的安全培训。正如文章所言,在这个被“残酷的软件交付时间表”统治的行业中,一个不论是质量还是实现方式都最好的解决办法是很难被忽视的。
3、灵活性好
不同的开发者有着不同的需求,也因此传统的实地培训实践变得越发效率低下。为了最大限度地利用好培训,开发者必须得到与其切实相关的信息。安全意识培训平台通过让员工按照自己速度和偏好开展学习实现了这一目标;另一方面,它允许管理层基于员工个体的优势和劣势来定制课程。
第二点对于管制严格的金融、医疗行业的开发者(或是软件设计)而言,尤为重要。不同的应用或应用的不同部件会触及不同的规章制度。在开发流程的早期引入产品相关的培训课程能帮助员工开发出更加安全的产品;同样地,为每个员工提供培训相关的文档对很多情况也有帮助,比如审计、合同续签等等。
4、有效性高
大多数安全概念并不是只适用于特定的情形。工程师和其他开发人员所接受的培训能在许多产品设计和安全情形中起到作用。从 OWASP 前十大攻击的相关知识到如威胁建模(threat modeling)之类的安全研发实践,给员工提供研发更稳健产品的教育工具意味着他们以后做出的贡献也会更加安全牢靠。
真正有效的安全始于开发的早期阶段。通过安全意识培训加强安全意识,企业能够提供(同时也受益于)涵盖安全基础以及应用层最新威胁更新的培训。另一方面,员工获得了成为真正多用途贡献者所需的培训和技能。
保障现在,保障未来
培训,对于任何像软件开发一样瞬息万变的行业而言,都是至关重要的。这使得一个适应性强,可扩展,更新迅速的安全意识培训工具的价值不可估量。安全状态总是处于变化之中的,阅读文章全文了解应对这些挑战需要的武器。
原文地址:https://www.veracode.com/blog/2015/10/security-awareness-training-4-benefits-only-cloud-can-bring-sw
如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想阅读更多技术文章,请访问 OneAPM 官方技术博客。
本文转自 OneAPM 官方博客
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。