torsdag 9 juni 2011

AppSec EU 2011: Keynote från Brad Arkin på Adobe

Hej,

Vi är ett fåtal svenskar som sitter här på AppSec EU, och jag (Carl-Johan Bostorp) är en av dem tack vare min arbetsgivare Cybercom. Jag kommer blogga från konferens med sammanfattningar från de presentationer jag går på.
Länk
Först ut var en keynote från Brad Arkin på Adobe. Min första tanke när jag såg det var om Adobe som har så många säkerhetsproblem verkligen har något att lära ut, men Brads keynote var faktiskt mycket intressant.

Adobe utgår från affärsmålet att de vill att deras kunder ska vara nöjda över säkerheten i Adobes produkter. För att komma dit har Adobe antagit en strategi med tre mål vad gäller säkerhet:
  1. Håll kunderna uppdaterade. Ifall en patch inte når ut till alla maskiner spelar det ingen roll att en patch har utvecklats. En förkrossande majoritet av de datorer som exploitas sker med gamla kända hål där en patch finns ute, inte 0-day.
  2. Säker kod.
  3. Kontakt med omvärlden. Svara bra på rapporter.

Återigen har vi också fått höra om vikten av stöd från organisationstoppen för att det ska gå att nå ut med säkerhet i organisationen. Brad har ett stående möte med CEO en gång i månaden, och varje gång styrelsen har möte finns en slide med om säkerhet. Det är mycket jobb att nå ut till hela organisationen, och stöter man på några problem med det så kommer det lösa sig ifall stödet kommer från tillräckligt hög ort.

Det är även konstaterat ännu en gång att säkerhet måste ut i organisationen. Det är de som verkligen producerar som behöver ha kunnande och känna sig engagerade för att det ska ge resultat. Och utifrån det var det inte så förvånande att Brad spenderade en stor del av tiden att prata om hur Adobes utbildningsprogram såg ut. Det fanns en klar betoning i att utbildningen skulle vara positivt betonad och utbildningen är INTE obligatorisk. IStället har fokus legat på att skapa positiva fördelar för de som går utbildningarna - som för övtigt inte är i klassrum utan istället är uppdelade i moduler som finns tillgängliga via intranätet.

En särskilt intressant sak tyckte jag var att man på Adobe kan uppnå olika nivåer efter att man antingen utbildat sig eller för de högre nivåerna - engagerat sig i projekt och åstadkommit något över en längre period. De tidigare nivåerna var relativt lätta att uppnå, men de högre krävde en signifikant investering för att nå. Dessa nivåer syntes dessutom på individernas profiler på intranätet/det sociala nätverket.

På det hela var det en intressant keynote med mycket matnyttigt. Ska man implementera säker utveckling i en stor organisation är det högst rekommenderat att se den inspelade presentationen.

Inga kommentarer: