إعطاء الأولوية للأمن السيبراني
ممارسات تطوير برمجيات آمنة، بالإضافة إلى التخطيط والتدريب الأمني متعدد الوظائف.
“اشحن البرنامج الآن.” هذا هو التفويض من العديد من الأجنحة التنفيذية.
لسوء الحظ، فإن السعي لأن تكون الشركة الأولى في السوق بمنتجات وميزات جديدة يؤدي أحيانًا إلى قيام المؤسسات بتقليص عملية تطوير البرمجيات.
ونتيجة لذلك، تقوم الشركات في كثير من الأحيان بإصدار الوظائف دون إجراء اختبارات أمنية شاملة.
على الرغم من التهديدات السيبرانية المتزايدة، فإن العديد من أصحاب المشاريع يعتبرون الأمن مطلبًا ذو أولوية منخفضة. ولا تخصص ميزانية وموارد كافية لتلبية الاحتياجات الأمنية.
عادةً، تحتاج الشركات الناشئة إلى تحقيق الإيرادات بسرعة من أجل جذب المستثمرين والاحتفاظ بهم. ومع ذلك، يمكن أن تستمر عقلية السرعة أولاً مع نمو الشركة.
على سبيل المثال، هل تقوم بتحفيز فريقك لتوصيل المنتجات إلى أيدي العملاء بسرعة؟
يمكن للميزانيات والجداول الزمنية المقيدة أن تدفع الشركات إلى إعطاء الأولوية للميزات الأمنية “المرئية” على حساب الميزات الأمنية “غير المرئية”.
يمكنك رؤية هذا التحيز في ممارسة مراقبة الجودة والاختبار الآلي.
في كثير من الأحيان، تركز خطة الاختبار على ما يفترض أن يكون المستخدم قادرًا على القيام به، بدلاً مما قد يفعله في أسوأ السيناريوهات. ماذا لو أساء شخص ما استخدام البرنامج عن طريق إدخال بيانات غير صالحة أو ضارة عن عمد؟
باختصار، يتطلب إعطاء الأولوية للأمن السيبراني اعتماد عمليات تطوير برمجيات آمنة.
“إن أفضل الممارسات الأمنية توازن بين الحاجة إلى السرعة واليقظة.” – فرانك ريتا
لقد حان الوقت لكسر الصوامع.
يمكن أن يؤدي هيكل مؤسسة كبيرة وعزلها إلى إحباط الجهود الأمنية. على سبيل المثال، غالبًا ما يقع الأمن تحت مظلة تكنولوجيا المعلومات، بينما يعد تطوير البرمجيات جزءًا من البحث والتطوير.
علاوة على ذلك، قد تستخدم المنظمات مجموعة من الموارد التقنية – الداخلية والخارجية والداخلية والخارجية – وجميعها تقدم تقاريرها إلى أشخاص مختلفين، لديهم أهداف عمل مختلفة.
لتحقيق الأمان الأمثل، تحتاج فرق الأمان والتطوير في المؤسسة إلى العمل معًا بشكل وثيق.
يوضح فرانك ريتا، الذي يقوم بتدريس نمذجة التهديدات والتشفير الآمن وإدارة المشاريع الأمنية في DevelopIntelligence ، “لا يمكن للأمن أن يحقق هدفه دون إشراك أولئك الذين يمكنهم بالفعل تغيير التعليمات البرمجية”.
“إذا نظر قسم البحث والتطوير إلى المجموعة الأمنية على أنها “غرباء” أو “مصابون بجنون العظمة”، وذهبوا إلى الإنتاج متجاهلين الأمن بشكل فعال، فلن تنجح المؤسسة في الحد من المخاطر التنظيمية.”
بالإضافة إلى ذلك، تتطلب استراتيجية الأمان الشاملة التعاون بين جميع الأقسام في المؤسسة. يمكن أن تكون الموارد البشرية وخدمة العملاء والمجالات الأخرى نقاط دخول للهجمات السيبرانية.
يتطلب تأمين الأنظمة والمنتجات اتباع نهج متعدد التخصصات.
يشير فيكاس ريواني، الذي يقود دورات DevelopIntelligence في نمذجة التهديدات، وأهم 10 نقاط ضعف في OWASP، وهندسة الأمان، “إن كل مجال ومؤسسة وقسم وفريق لديه احتياجات أمنية محددة”.
“على الرغم من وجود بعض القواسم المشتركة بين المجموعات، فمن المهم مراعاة المواضيع التالية عند تصميم إستراتيجيتك الأمنية.” غالبًا ما تختلف تفاصيل كل موضوع حسب المنظمة وحتى حسب القسم:
- المتطلبات التنظيمية
- متطلبات التوافق
- متطلبات الشبكة/البنية التحتية
- متطلبات الأمن المادي
- أمن المعلومات/البيانات
- متطلبات تطهير البيانات والنسخ الاحتياطي
- متطلبات أمن الويب
تحتاج فرق تطوير البرمجيات إلى التخطيط للأمان أثناء مرحلة المتطلبات في دورة حياة تطوير البرمجيات (SDLC).
مثلما أنه من المهم وجود ضمان الجودة على الطاولة عند تحديد متطلبات البرامج، فأنت تريد خبيرًا أمنيًا يشارك في الطابق الأرضي من كل مشروع برمجي.
بالنسبة لكل متطلب (أو قصة مستخدم)، يجب على الفريق أن يسأل نفسه، “ما هو أسوأ شيء يمكن أن يحدث؟” بعد ذلك، يتعين عليهم التأكد من أن معايير القبول تتناول هذا السيناريو الأسوأ.
“تذكر أن الفريق الأمني لا يمكن أن ينجح إذا كان يفتقر إلى التعاون من الفرق الأخرى.
في المؤسسات الكبيرة، يمكن أن تؤدي الصوامع والمصالح المتنافسة بين أولئك الذين يتمتعون بسلطة الميزانية إلى سياسات مؤسسية غير منتجة وتترك المؤسسات في خطر. – فرانك ريتا
يحتاج جميع مطوري البرامج إلى أن يصبحوا خبراء في مجال الأمان.
يعد إعطاء الأولوية للأمن السيبراني مطلبًا غير وظيفي بالغ الأهمية في جميع جهود التنمية.
من الأسهل بكثير بناء الأمان في بداية المشروع بدلاً من إصلاح الثغرة الأمنية بعد أن يصبح المنتج في أيدي العملاء بالفعل، أو ما هو أسوأ من ذلك، بعد حدوث الاختراق.
يوضح فيكاس ريواني: “يحتاج المطورون إلى أن يكونوا قادرين على توقع الثغرات الأمنية والتهديدات المحتملة”. “بعد ذلك، يتعين عليهم إنشاء البرنامج مع أخذ هذه الاعتبارات الأمنية في الاعتبار.”
جميع الموظفين لديهم دور في مجال الأمن، وليس فقط المتخصصين في مجال التكنولوجيا.
بالإضافة إلى ذلك، تحتاج مؤسستك بأكملها إلى فهم أساسي للمشهد الأمني العام. يقول فيكاس ريواني: “إن إعطاء الأولوية للأمن هو مسؤولية كل موظف”.
لذلك، تحتاج إلى إجراء فحص نبضي في كل قسم لقياس مدى وعي أعضاء الفريق واهتمامهم بالقضايا الأمنية. “
هل يعرف أعضاء الفريق ما هي القضايا التي يجب البحث عنها وسبب أهميتها؟” سأل. “هل يبحثون كثيرًا وفي الأماكن الصحيحة؟ والأهم من ذلك، إذا اكتشف أحد أعضاء الفريق مشكلة ما، فهل يعرف هذا الشخص خطوات الاستجابة؟
تشمل خطة التدريب الأمني الشاملة جميع المواضيع المذكورة أعلاه، والتي تم تصميمها حسب القسم. يحتاج التدريب أيضًا إلى تسليط الضوء على أفضل ممارسات الأمان المتعلقة بالصناعة والمجال.
يحتاج جميع الموظفين إلى فهم أهمية الأمن وعواقب تجاهله.
قم بدمج نماذج التهديدات في ممارساتك الأمنية.
توفر نماذج التهديدات فهمًا جيدًا لفريق الأمان لكيفية حدوث الهجمات. باختصار، تتضمن عملية نمذجة التهديدات تحديد أسطح الهجوم المحتملة وحدود الثقة والأصول ونقاط الوصول والتهديدات.
بعد ذلك، يحتاج فريق الأمان إلى تحديد أولويات هذه التهديدات وتأمين نقاط دخول سطح الهجوم.
تتمتع المنظمات الأكبر حجمًا بسطح هجوم أكبر، مما يعني المزيد من التهديدات المحتملة. تفتقر منهجيات وأطر نمذجة التهديدات إلى الأتمتة وتتطلب جهودًا يدوية بالإضافة إلى اليقظة المستمرة.
يتطلب تحديد أولويات الأمن السيبراني دعم C-suite.
ذات مرة، ركزت العديد من المؤسسات على جدران الحماية والمنتجات الأمنية الأخرى لحماية أصول البيانات الخاصة بها.
ومع ذلك، فإن معظم الهجمات الإلكترونية تحدث بسبب أخطاء بشرية وعمليات تجارية معطلة بدلاً من عدم كفاية الأدوات.
لذا، فإن تزويد شركتك بمزيد من أدوات الأمان لن يوفر الحماية التي تحتاجها. البشر المدربون جيدًا هم محور دفاعك. إن إعطاء الأولوية للأمن السيبراني يتعلق في النهاية بالأشخاص والعمليات والتكنولوجيا (بهذا الترتيب).
المصدر: pluralsight
قد يهمك:
