還在煩惱如何進行企業資安人才培訓嗎? 全球 RPA 領導者 Blue Prism 導入資安學習平台 讓培訓更彈性
一分鐘看問題
受訪者
面臨挑戰
- Blue Prism 受到全球前 2000 強的企業選擇與信賴,也伴隨著巨大的責任
- 如何於企業內部真正落實 Shift Left
- 如何讓資安成為每個流程與決策的優先考量,同時還能遵循法規
- 如何確保開發人員修補漏洞的安全能力能不斷與時俱進
導入效益
- Secure Code Warrior 線上安全程式培訓平台
- 利用課程模組能針對特定議題搭配課程內容,迅速讓團隊獲得學習資源,在與日常工作內容高度相關的領域快速提升資安技能
- 有別於傳統的資安課程培訓方式,靈活且需實際動手操作的線上培訓平台,促成對於合規性的安全意識與提升撰寫安全程式之能力,也十分符合 Blue Prism 的技術卓越理念,效果遠勝於無法展現成果或降低風險的傳統填鴨式訓練
Blue Prism 是領先全球產業智能自動化的企業,這間蒸蒸日上的科技公司開發先進的軟體與工具,幫助企業無時無刻保持敏捷、高效且擁有高度競爭力。二十年來,Blue Prism 協助許多具有突破性的世界頂尖公司迎戰全球與商業挑戰,同時高速革新並成長。如今, Blue Prism 依然維持勢頭,並且即將創下一個新的里程碑。
身為 Blue Prism 的資深應用程式資安工程師 Maria Morris 的職責為實現 Blue Prism 最重視的資安目標。她致力於確立涵蓋資安最佳實踐、跨職能團隊及重視資安意識的職場文化,而這正是在企業內有效佈署資安軟體的核心關鍵。Maria 的行動理念包含:尋求能實際操作的培訓方案,並以原始碼為素材,不斷激勵研發團隊增進資安意識與安全程式開發技能。
挑戰
Blue Prism 將客戶的成功視為自身的使命。由於對資安極其重視,加上領先且加入 AI 機器人流程自動化(RPA)等優勢,不難想像為什麼有如此多名列全球前 2000 強的企業會選擇 Blue Prism 的產品與服務。理所當然地,高信賴也伴隨著巨大的責任,讓資安成為每個流程與決策的優先考量,無庸置疑是必須達成的重要目標。
除 了 確 保 資 安 監 管 法 遵 循 涵 蓋 PCIDSS、 HIPAA、 FISMA 和 FIPS 等法規,能夠修補 OWASP TOP 10 常見且高風險的漏洞,以及 SANS Top 25 軟體安全缺陷 (CWE) 的能力至關重要。想要一蹴而就,開發人員必須不斷精進自身
的資安技能。
Maria 表示「我們招募人員的目標,是找到能將資安放在首位的人才。我們每位員工對資安都抱持極大的熱誠;在會議上,資安總是大家最想討論的前三名議題之一。下達任何決策之前,都會先反問自己:『 這樣夠安全嗎?我們還有辦法更安全嗎?』資安永遠都是我們思考的第一步。」
如何實現?
Maria 及團隊提倡以「Shift Left」的方式處理軟體資安問題,即在軟體開發生命週期的每個階段於早期就優先考量資安,「如果最一開始就已經確定是安全的,就不需要事後再想辦法讓它『變得安全』,事後再想辦法『變安全』的難度可是高上許多。一開始就確定安全,開發人員的工作量與工時也會減輕,減少當軟體已經導入客戶作業環境時,還必須嘗試補救各種問題的風險。這種方法的關鍵,在於打從一開始就堅持正確的選擇。」
Maria 的開發團隊是由一群對資安富有熱誠的人所組成,而 Blue Prism 內部盛行的資安思維文化則讓團隊的資安技能更上一層樓。Maria 採用 Secure CodeWarrior 線上安全程式學習平台,有助於衡量基準指標與強化既有技能,同時可以累積學習的知識與經驗,並實際於平台中演練各種安全挑戰,而這些挑戰是以日常工作熟悉的程式碼呈現。
「開發人員對 Secure Code Warrior 愛不釋手,不須熟悉磨合就可以立刻上手,很快能盡情操作並與平台互動。」 Maria 表示。「在加強既有知識外,使用者還能學習到新的東西,這真是再好不過的方法了。」
同時,透過 Secure Code Warrior 自訂學程模組,還可為開發人員提供更進一步的學習方式,讓 Maria 得以為組織開發人員精確地搭配與公司大方向策略一致的課程,為實現企業的資安目標帶來助力。
「開發人員真的很喜歡我搭配的課程,這點尤其令人高興。我會試著讓課程貼合目前的專案,例如我們先前有上過『個人資料保護法』的課程,於平台中可直接選擇相關性教材,透過影片教學方式講解與摘錄重點,然後設計相關的挑戰,最後直接評估學習成果。就我們的觀察,開發人員喜歡這種新型態的培訓方式,因為開發人員時間很有限,需要一些實際的幫助,才能獲得完成重要任務的成就感。」Maria如此說明。
成果
六個月內於 Secure Code Warrior 完成的培訓指標:
● 共執行 224 項安全程式撰寫的挑戰任務
● 開發人員平均每月投入約 2.5 小時來提升安全開發技能
● 投入課程的時間共達 139 小時
● 共投入 35.5 小時測驗學習成果
Blue Prism 為其開發團隊導入有效、互動式的新型態培訓平台,更加精進開發人員的技能,也成功帶動 Blue Prism 所期望建立的資安思維文化。而對於積極面對資安議題的 Blue Prism 而言, Secure CodeWarrior 就是最佳選擇:此產品同時實現合規性與撰寫安全程式碼之紮實培訓。與其他平淡無奇、過目即忘的傳統訓練方式形成鮮明的對比,也進一步突顯 Blue Prism 追求資安人才培訓的品質和客戶至上的堅定理念。
「我們真的很幸運,因為我們的開發人員也奉行科技卓越的理念。他們不想只是照本宣科,而是想做正確的事,並極力想確認我們的產品是安全的。他們想確保即使出現任何問題,事故的原因絕不會是 BluePrism 。正是這種對產品的信念,讓我們與眾不同。」Maria 說道。
「謝謝公司導入 Secure Code Warrior 線上培訓平台,這非常的棒!若非實際挽起袖子動手修改,我們根本很難想像安全漏洞會在哪些狀況中出現。這種學習方式確實非常有效,我本來就對這些理論都有涉獵了,但是能夠實際透過平台真實演練修補漏洞,並確認修補後的結果,讓我收穫更加豐富了。」Ben, Blue Prism 開發人員反饋。
