ارزش یک تغییر فرهنگی

پل سانتاپائو، مدیر ارشد فناوری پلتفرم مدل‌سازی تهدیدات سایبری می‌نویسد، رفع مشکل امنیتی نرم‌افزار نیازمند یک تغییر فرهنگی C-suite است. IriusRisk.

همانطور که چشم انداز تهدیدات سایبری در حال تکامل است، نیاز به امنیت نرم افزاری یکپارچه و جامع و حفاظت از داده ها بیش از هر زمان دیگری ضروری است. امنیت اغلب به عنوان یک فکر بعدی توسط توسعه دهندگان در نظر گرفته می شود – محصولات، خدمات و داده های با ارزش بالا در بخش عمومی و خصوصی در برابر نقض آسیب پذیر می شوند.

در حالی که اخیرا گارتنر مطالعه نشان داد که 88 درصد از مدیران C-suite در حال حاضر امنیت سایبری را به عنوان یک خطر تجاری می بینند، یک تغییر فرهنگی هنوز لازم است تا اطمینان حاصل شود که شیوه های امنیتی در مسیر رشد کسب و کار از بین نمی روند.

به زبان ساده، امنیت نرم افزار در مورد کاهش ریسک و محافظت از سیستم های نرم افزاری در برابر آسیب پذیری ها است. همانطور که شرکت‌ها رشد می‌کنند و پلتفرم‌های خود را افزایش می‌دهند، اطمینان از ایمن بودن نرم‌افزار بسیار مهم است. کیفیت نرم‌افزاری که کسب‌وکارها ایجاد می‌کنند تنها زمانی ارزشمند است که آسیب‌پذیری‌ها در اوایل چرخه عمر توسعه نرم‌افزار (SDLC) برطرف شوند. در غیر این صورت، داده های حساس در معرض خطر قرار می گیرند که به نوبه خود می تواند منجر به زیان های مالی شود.

‘قطع اتصال DevSec’

پدیده ای مربوط به قطع ارتباط بین تیم های امنیتی و تیم های توسعه دهنده وجود دارد که “قطع اتصال DevSec” ابداع شده است. «قطع ارتباط» عمدتاً به این دلیل است که توسعه‌دهندگان نرم‌افزار پیش‌برنده مرز حل‌کننده مشکل هستند، که می‌تواند باعث ایجاد اصطکاک با تیم‌های امنیتی شود که اغلب از خطر کردن بیزارند.

شیوه‌های امنیتی اغلب به‌عنوان مسدودکننده در جهت نوآوری توسعه‌دهندگان در نظر گرفته می‌شوند که تقریباً نیمی از روز کاری یک توسعه‌دهنده صرف نگهداری از زیرساخت‌های سازگار (ایمن) می‌شود. روش‌های امنیتی تاریخی، مانند مدل‌سازی دستی تهدید، توسط تیم‌های توسعه‌دهنده به عنوان یک مانع در هنگام ایجاد برنامه‌های کاربردی پیچیده دیده می‌شود. «قطع ارتباط» با این واقعیت تشدید می‌شود که نیمی از متخصصان امنیتی تلاش می‌کنند تا توسعه‌دهندگان را وادار کنند تا اصلاح آسیب‌پذیری‌ها را در اولویت قرار دهند.

این «قطع ارتباط» زمانی تقویت می‌شود که رهبری C-suite به جای انتشار برنامه‌های ایمن، استراتژی «مسابقه با بازار» را در اولویت قرار دهد. توسعه دهندگان برای ساخت برنامه های کاربردی غنی و مبتنی بر ویژگی در بازه های زمانی کوتاه با فشار فزاینده ای مواجه هستند. این منجر به نبرد برنامه ها می شود – افزایش تهدیدات امنیتی علیه رقابت پذیری بازار.

در حالی که توسعه‌دهندگان معمولاً می‌دانند که ساخت کد قوی و ایمن پیش‌نیاز این کار است، انتظارات فرهنگی از C-suite به این معنی است که اغلب باید کد را با سرعت سرسام‌آور تولید کنند. این می تواند منجر به ایجاد شکاف آسیب پذیری شود زیرا امنیت در مبادله سهم بازار از بین می رود.

راه حل هایی از بالا

با افزایش فعالیت‌های مجرمانه مرتبط با سایبری، نیاز به افسران ارشد امنیت اطلاعات (CISO) برای داشتن یک صندلی در میز C-suite افزایش می‌یابد. در حالی که CISO ها مزایای تعبیه اقدامات امنیتی را در اوایل SDLC درک می کنند، مشکلات زمانی به وجود می آیند که این در رویه های داخلی سازمان منعکس نشود. یک تغییر فرهنگی در C-suite برای رفع مشکل امنیتی نرم افزار مورد نیاز است. رهبری نیاز به ارزیابی مجدد معیارهایی دارد که برای تیم‌های توسعه‌دهنده اعمال می‌کنند. به جای ارزش گذاری کمیت خروجی، تمرکز باید روی کیفیت کد باشد.

یک مثال عالی از این که چگونه C-suite می تواند رویکرد خود را به تیم های توسعه دهنده مجددا ارزیابی کند، رویکرد “جاده سنگفرش” نتفلیکس است. این مجموعه ای از انتظارات و تعهدات بین کسب و کار متمرکز و مهندسان نرم افزار آنها است. تیم پلتفرم نتفلیکس به عنوان یک سرویس، با ارائه اجزای استاندارد و سازگار، یک پلت فرم از پیش مونتاژ و اتوماسیون و ابزار گسترده، یک پلتفرم “جاده سنگفرش” قابل تنظیم و قابل تنظیم را برای توسعه دهندگان فراهم می کند. نتفلیکس ادعا می کند که این به سازمان کمک می کند تا به اهداف “سرعت و قابلیت اطمینان” خود دست یابد. “جاده سنگفرش” همکاری بیشتر در کسب و کار را تضمین می کند و مسئولیت مشترک امنیت را توسط همه تیم ها تضمین می کند.

اگر فقط چکش داشته باشید همه چیز شبیه میخ است

اگر قرار است این تغییر فرهنگی ریشه دوانده باشد، ابزارهای امنیتی موجود باید کمک کننده باشند نه مانع. آنها باید به گونه ای ساخته شوند که با فرآیندهای موجود ادغام شوند و به زبان توسعه دهندگان صحبت کنند.

به همین دلیل است که مؤثرترین راه برای اطمینان از امنیت نرم افزار، امنیت «شروع چپ» است. شروع به سمت چپ به سادگی به معنای معرفی امنیت در مراحل ابتدایی SDLC است و هنگامی که با DevSecOps (مانند مدل‌سازی تهدید) ترکیب می‌شود، بررسی‌هایی را در هر مرحله توسعه به کار می‌گیرد تا اطمینان حاصل شود که برنامه قبل از انتشار برای کاربران نهایی کاملاً ایمن است. نتیجه این است که تیم های توسعه مسئولیت بیشتری در قبال امنیت کد خود دارند و در نهایت هزینه کل تحویل نرم افزار امن کاهش می یابد. خروجی برنامه نویس نیز ممکن است به دلیل اطمینان بیشتر در امنیت طراحی نرم افزار افزایش یابد.

روش‌های امنیتی زمانی موفق هستند که خرید از بالا به پایین وجود داشته باشد. همانطور که تهدیدات سایبری به تکامل و بلوغ خود ادامه می دهند، بیش از هر زمان دیگری ضروری است که امنیت نرم افزار را در کل SDLC یکپارچه کنیم. تغییر فرهنگ شرکت به سمت یک محیط امنیتی مشارکتی تر به این معنی است که امنیت به یک فکر بعدی تبدیل نمی شود، بلکه فرآیندی است که از بالا آغاز شده و به تیم های توسعه دهنده منتقل می شود. سود نهایی این است که سازمان‌ها نرم‌افزار امن‌تری را طراحی و منتشر می‌کنند.