Как ИТ-руководители могут оценить заявления о «запроектированной безопасности» программного обеспечения

Автор На чтение 4 мин Просмотров 36 Опубликовано

Ни для кого не секрет, что киберугрозы растут. По данным Центра рассмотрения жалоб на интернет-преступления ФБР, в прошлом году стоимость зарегистрированных киберпреступлений в США подскочила на 22% и составила более 12,5 миллиардов долларов.1 Одна из проблем — это слабые места, которые сохранились в программном обеспечении благодаря традиционным подходам к кодированию и безопасности. Для борьбы с этими рисками в настоящее время предпринимаются согласованные усилия по созданию программного обеспечения, которое является безопасным по своей конструкции. Например, Агентство кибербезопасности и безопасности инфраструктуры США (CISA) наметило ряд действий, которые поставщики могут предпринять, чтобы доказать, что они принимают принципы безопасного проектирования.2

Но без обязательных стандартов и показателей руководителям ИТ и безопасности сложно оценить, реализуют ли поставщики этот безопасный подход и если да, то каким образом. Вот несколько шагов, которые вы можете предпринять.

Содержание
  1. Включите методы обеспечения безопасности при проектировании в оценку рисков
  2. Оцените практику кодирования
  3. Оцените безопасность благодаря прозрачности дизайна
  4. Итог

Включите методы обеспечения безопасности при проектировании в оценку рисков

Оценка рисков поставщика — это стандартный процесс, с помощью которого предприятия выявляют и оценивают потенциальные опасности, связанные с продукцией и деятельностью поставщика. Руководители ИТ и безопасности могут использовать этот процесс, чтобы сосредоточиться на принципах и методах обеспечения безопасности при проектировании, — говорит Майкл Ример, главный специалист по информационной безопасности компании Ivanti.

«Для нас, как для поставщика программного обеспечения, это означает принятие полной ответственности за наши собственные продукты», — говорит Ример. «Вы смотрите на всю архитектуру решения и учитываете безопасность во всех областях, таких как проектирование архитектуры, хранение, подключение, использование и т. д.».

В рамках оценки рисков предприятиям следует также рассмотреть возможность требования отчета SOC 2 типа 2. Этот тип оценки обеспечивает большую уверенность в том, как поставщик защищает данные и информацию клиентов. Это влечет за собой сторонний аудит кибербезопасности, который оценивает, как внутренние меры и методы безопасности поставщика работают в течение длительного периода времени.

ЧИТАТЬ  Новый бутик товаров для дома и розничной торговли открывается в Сьюикли

Вот несколько ключевых вопросов, на которые должен ответить каждый продавец:

  • Как часто вы проводите тестирование на проникновение?
  • Какие виды тестирования на проникновение проводятся?
  • Вы выполняете статический и динамический анализ кода?

Оцените практику кодирования

Традиционные методы кодирования являются последовательными: одна команда работает над модулем, затем передает его следующей команде и так далее. Но при этом сохраняются слабые места, присутствующие в кодовой базе, говорит Ример из Ivanti. Реструктурируя команды в «подразделения» или группы, каждая из которых имеет выделенного архитектора безопасности, можно с самого начала устранить слабые места. «Это было серьезное изменение для Иванти», — говорит Ример. Поставщики должны иметь возможность продемонстрировать эти организационные изменения и новые практики.

Оцените безопасность благодаря прозрачности дизайна

Поставщики должны иметь возможность публично раскрывать свои цели в области безопасности и демонстрировать, что они сообщают или будут сообщать о показателях на регулярной основе. Клиенты также должны иметь возможность отслеживать прогресс поставщика с помощью его программных модулей.

«Мы поставили конкретные цели, установили базовые показатели и показатели и будем публиковать ежеквартальные обновления этих показателей, начиная с октября 2024 года», — говорит Ример. «Мы берем на себя ответственность за нашу безопасность благодаря прогрессу в разработке. Эти показатели покажут, какие программные модули мы проанализировали и насколько глубокий анализ позволил выявить и исправить слабые практики кодирования».

Итог

Руководители бизнеса и ИТ-компаний могут использовать принципы безопасности по своей конструкции, чтобы оценить прогресс, достигнутый их поставщиками программного обеспечения в создании кода, который по своей сути является более безопасным. Задуманная безопасность позволяет этим лидерам минимизировать бизнес-риски.

кликните сюда чтобы узнать больше о стремлении Ivanti обеспечить безопасность дизайна продукции.

ЧИТАТЬ  Дизайн Nintendo Switch 2, как сообщается, раскрыт производителем чехлов — возможно, это он

12023_IC3Отчет.pdf

2Изменение баланса рисков кибербезопасности: принципы и подходы к разработке безопасного программного обеспечения (cisa.gov)

Source

Похожие записи:

  1. В отчете говорится, что организации могут существенно снизить уровень уязвимостей с помощью методов обеспечения безопасности при проектировании.
  2. Эксклюзив | Китайская звезда программного обеспечения для проектирования микросхем сокращает штат на фоне рыночных трудностей
  3. Пресс-релиз: Panasonic Avionics открывает центр разработки программного обеспечения в Пуне
  4. Как штаты могут разработать эффективные стимулы для стимулирования преобразования офисных помещений в жилые
безопасности запроектированной заявления ИТруководители Как могут обеспечения оценить программного
Оцените статью
( Пока оценок нет )
Строительство. Ремонт. Садоводство
© 2025 Строительство. Ремонт. Садоводство. Запрещено использование материалов сайта без согласия его авторов