Blue Prism 是領先全球產業智能自動化的企業。這間蒸蒸日上的科技公司開發先進的軟體與工具,幫助企業無時無刻保持敏捷、高效且擁有高度競爭力。二十年來, Blue Prism 協助許多具有突破性的世界頂尖公司迎戰全球與商業挑戰,同時高速革新並成長。如今, Blue Prism 依然維持勢頭,並且即將創下一個新的里程碑。身為 Blue Prism 的資深應用程式資安工程師,Maria Morris 的職責為實現 Blue Prism 最重視的資安目標。她致力於確立涵蓋資安最佳實踐、跨職能團隊及重視資安意識的職場文化,而這正是在企業內有效佈署資安軟體的核心關鍵。Maria 的行動理念包含:尋求能實際操作的培訓方案,並以原始碼為素材,不斷激勵研發團隊增進資安意識與安全程式開發技能。
挑戰
Blue Prism 將客戶的成功視為自身的使命。由於對資安極其重視,加上領先且加入 AI 的機器人流程自動化(RPA)等優勢,不難想像為什麼有如此多名列全球前 2000 強的企業會選擇 Blue Prism 的產品與服務。理所當然地,高信賴也伴隨著巨大的責任,讓資安成為每個流程與決策的優先考量,無庸置疑是必須達成的重要目標。
除了確保資安監管法遵循涵蓋 PCI-DSS、HIPAA、FISMA 和 FIPS 等法規,能夠修補 OWASP TOP 10 常見且高風險的漏洞,以及 SANS Top 25 軟體安全缺陷(CWE) 的能力至關重要。想要一蹴而就,開發人員必須不斷精進自身的資安技能。
「我們招募人員的目標是找到能將資安放在首位的人才。每位員工對資安都抱持極大的熱誠;在會議上,資安總是大家最想討論的前三名議題之一。下達任何決策之前,我們會先反問自己:『 這樣夠安全嗎?我們還有辦法更安全嗎?』。考量到資安的重要性,資安永遠都是我們思考的第一步,我們本來就該這麼做。」 Maria 表示。
執行 (實現)
Maria 及團隊提倡以「shift left」的方式處理軟體資安問題,即在軟體開發生命週期的每個階段於早期就優先考量資安:「如果最一開始就已經確定是安全的,我們就不需要事後再想辦法讓它『變得』安全 — 後者的難度可是高上許多。如此一來,開發人員的工作量與工時也會減輕,減少當軟體已經導入客戶作業環境時,還必須嘗試補救各種問題的風險。這種方法的關鍵,在於打從一開始就堅持正確的選擇。」
Maria 的開發團隊是由一群對資安富有熱誠的人所組成,而 Blue Prism 中盛行的資安思維文化則讓團隊的資安技能更上一層樓。Maria 採用 Secure Code Warrior 的學習平臺,有助於衡量基準指標與強化既有技能,同時可以累積學習的知識與經驗,並實際於平台中演練各種安全挑戰,而這些挑戰是以日常工作熟悉的程式碼呈現:
「開發人員對 Secure Code Warrior 愛不釋手,不須熟悉磨合就可以立刻上手,很快能盡情操作並與平台互動,在加強既有知識之外,使用者還能學習到新的東西,這真是再好不過的方法了。」Maria 表示。
同時,透過自訂學程模組,Blue Prism 還可為開發人員提供更進一步的學習方式,讓 Maria 得以為組織開發人員精確地搭配與公司大方向策略一致的課程,為企業的資安目標的實現帶來助力。
「開發人員真的很喜歡我搭配的課程,這點尤其令人高興。我會試著讓課程貼合目前的專案,例如我們先前有上過『個人敏感資料管理』的課程,將會採用高度相關的教材,以影片方式來摘錄重點,然後設計相關的挑戰,最後再評估成果。開發人員喜歡這種方式上課,因為他們本身的時間很有限。需要一些實際的成果,才能獲得完成重要任務的成就感。」Maria 如此說明。
成果
Blue Prism 團隊為其開發團隊推出有效、互動式的培訓和課程,更加精進學員的技能,成功推動 Blue Prism 的安全計畫。而對於積極面對資安議題的 Blue Prism 而言,Secure Code Warrior 就是最佳選擇:此產品同時實現合規性與撰寫安全程式碼之紮實培訓,並在那些被全球最大規模的公司所採用的眾多產品與服務中,迅速地拓展與落實資安。Maria 採用組織搭配學習地圖的方法,與其他公司平淡無奇、過目即忘的鬆散式訓練形成鮮明的對比,也因此讓她在安全策略的教育獲得更大規模的成功,進一步突顯 Blue Prism 追求的品質和客戶至上的堅定理念。
「我們真的很幸運,因為我們的開發人員也奉行科技卓越的理念。他們不想只是照本宣科, 而是想做正確的事,並極力想確認我們的產品是安全的。他們想確保即使出現任何問題,事故的原因絕不會是 Blue Prism。正是這種對產品的信念,讓我們與眾不同。」Maria 說道。
「謝謝公司舉辦這場活動,這非常的棒!若非實際挽起袖子動手做,我們根本很難想像安全漏洞會在哪些狀況中出現。這種學習方式確實非常有效,我本來就對這些理論都有涉獵了,但是能夠實際透過平台真實演練修補漏洞,並確認修補後的結果,讓我收穫更加豐富了。」Ben ( Blue Prism 開發人員) 活動後的反饋。
Maria 精心自訂的學程計畫,與其他公司平淡無奇、
過目即忘的一次性訓練形成鮮明的對比。
重點快訊
關於 BLUE PRISM
Blue Prism 支援企業智能自動化的全球領導者,並正在將產業改頭換面。Blue Prism 的使用者來自超過 170 國 2000 間以上的企業,其中包括全球 2000 強企業與公部門單位,這些企業以嶄新的工作模式創造價值、提升效率,並讓數百萬工作能再度回歸於本身。 數位勞動力不僅智慧化、安全、具可擴展性,且人人適用,讓您能夠自由重新定義工作的樣貌。
Secure Code Warrior 是讓開發人員增進並強化安全程式開發技能的解決方案。我們將資安打造為積極且參與式的體驗,採用以人為本的方式,激勵每一位開發者成為安全冠軍,使開發團隊能夠更迅速地合作交付高品質的程式。為了鼓勵全球具有資安意識的開發者社群擁抱預防性安全程式開發,我們的使命是開創以人為核心的解決方案以提升安全程式開發技能,同時徹底杜絕劣質的開發作業模式。