Является ли надежная защита решением для достижения коллективного успеха в 2022?

Сегодня большинство предприятий не настолько наивны, чтобы полагать, что они могут обойтись без самых элементарных средств защиты кибербезопасности. Однако они, скорее всего, будут вкладывать средства в такие меры после того, как столкнутся с прямой угрозой или узнают о нарушении, произошедшем в близких компаниях.

Такой реактивный подход к кибербезопасности дорого обходится — он влияет не только на конечный результат, но и на уровень жизни сотрудников и даже на доверие клиентов. Однако в действительности даже небольшие инвестиции в безопасность на ранних этапах жизненного цикла разработки программного обеспечения могут принести огромную экономию и значительно улучшить благосостояние сотрудников.

Надежная защита. Уязвимости могут иметь серьезные последствия

Когда безопасность не стоит на первом месте, даже самые опытные разработчики могут создавать уязвимый код. Это неудивительно, поскольку разработчиков обучают и платят им за поиск решений проблем приложений, а повышению уровня безопасности часто не уделяется должного внимания или оно вообще отсутствует. Слишком часто бывает, что благонамеренные разработчики (которые мало знают о таких распространенных уязвимостях, как инъекционные уязвимости) неоднократно внедряют их в свой код, совершенно не подозревая об этом. Что еще хуже, так это мышление, которое считает команды AppSec и InfoSec исключительно ответственными за безопасность, в то время как на самом деле лучшая практика должна сделать безопасность неотъемлемой частью процесса разработки, и эта ответственность должна быть разделена.

Может показаться, что это не является проблемой для руководства компании. Однако потенциальные последствия уязвимого кода слишком масштабны, чтобы их игнорировать — руководители должны принимать упреждающие меры, чтобы решить проблему до ее возникновения и снизить риск. Повторяющиеся уязвимости не только усиливают трения между командами разработчиков и службы безопасности, но и удлиняют жизненный цикл разработки, что, в свою очередь, задерживает выпуск приложения и увеличивает затраты. В худшем случае уязвимость приводит к утечке данных. Тогда не только усиливается разочарование, но и далеко идущие последствия коснутся десятков и сотен сотрудников, поскольку организация столкнется с потерей прибыли, штрафами регулирующих органов, расследованиями, судебными исками, оттоком клиентов и повреждением бренда.

Сохраняя мир

Ликвидация пробелов в безопасности абсолютно необходима, но она не должна достигаться за счет ваших разработчиков. Можно сделать всех счастливыми, и это начинается с признания того, что в ваших защитных командах нет злодеев — только дефицит знаний, который можно устранить с помощью правильного процесса.

Для искоренения уязвимостей важно обеспечить культурный сдвиг в индустрии разработки программного обеспечения. Это начинается с самого верха — руководители высшего звена способны вдохновить на преобразования снизу вверх, которые обеспечивают безопасность кода с самого начала его написания. Руководители могут расширить возможности разработчиков, помогая им понять, какое влияние их методы безопасного кодирования могут оказать на общий успех компании. Организациям также следует подумать о стимулировании разработчиков к созданию безопасного кода — важно показать, как этот набор навыков будет способствовать их карьерному росту и сделает их более трудоспособными.

Но на этом дело не заканчивается. Укрепление отношений между разработчиками и службой безопасности приложений может создать гармонию, когда каждый человек осознает свою роль в обеспечении безопасности организации и чувствует себя частью команды, которая прикроет друг друга в случае случайной ошибки.

Наконец, существует несколько различных подходов к обеспечению того, чтобы ваша команда разработчиков была полностью интегрированной частью решения по безопасности. Это может включать оплату участия команды в соответствующих конференциях или разработку индивидуальных программ обучения внутри компании. В целом, важно применять более гибкий и динамичный подход, чтобы найти подходящий ответ и решение для вашей организации. Это будет зависеть от ряда факторов, включая размер и темпы работы вашей команды разработчиков и их текущий опыт.

Истинная ценность инвестиций в надежную защиту разработчиков

Поиск подходящего способа инвестирования в повышение осведомленности о безопасности и практическое повышение квалификации ваших разработчиков может иметь огромное значение как для отдельных сотрудников, так и для организации, оказывая влияние на:

• Жизненный цикл разработки программного обеспечения — улучшение мер безопасности с самого начала делает процесс более быстрым и экономически эффективным, что в конечном итоге открывает путь к более частым инновациям.
• Удовлетворенность сотрудников — более счастливые и продуктивные разработчики создают более безопасное программное обеспечение, требующее меньше доработок.
• Соответствие нормативным требованиям — снижение вероятности утечки данных означает снижение вероятности штрафов или других судебных разбирательств.
• Репутация — утечка данных может вызвать плохую прессу, серьезно повлиять на доверие клиентов, отношения с партнерами и в конечном итоге нанести ущерб бренду.

При такой высокой окупаемости инвестиций, чего же вы ждете?

Pieter Danhieux — является соучредителем и главным архитектором платформы Secure Code Warrior — геймифицированной среды, в которой разработчики и тестировщики безопасности могут научиться правильно выявлять и устранять слабые места в программном обеспечении. До января 2015 года он был частью руководства BAE Systems APAC в должности руководителя направления прикладной разведки. До этого в течение семи лет Питер работал в европейской компании Ernst & Young в качестве одного из экспертов по информационной безопасности, управляя группой специалистов по атакам и проникновениям, работающей в финансовой отрасли и телекоммуникационном пространстве. Питер был одним из самых молодых людей в Бельгии, получивших сертификат Certified Information Systems Security Professional (CISSP).