Nem kis mértékben sérül az IT-rendszerek biztonsága a fejlesztésre nehezedő határidős nyomás miatt. Egy kutatás szerint a fejlesztők többsége negligálja a biztonsági szempontokat.

Egy kiterjedt kutatás szerint a fejlesztőcsapatok 70 százaléka (!) mindig vagy legalábbis gyakran átugorja a biztonsági lépéseket a projekthatáridő kényszere miatt. Ez a magyarázata annak, hogy a szervezeteknél átlagosan a biztonsági problémák harmada (33 százalék) vezethető vissza a termékkódra.

A biztonsági és fejlesztői csapatok folyamatosan egy 22-es csapdája helyzetet kell megéljenek. Folyamatosan időnyomás alatt dolgoznak, hogy kielégítsék a szervezet egyre mohóbb digitális innovációs igényét, de ezzel egyre nagyobb lesz a vállalatok kiberbiztonságát veszélyeztető támadási felület. És bár vannak mindenféle módszerek az innováció és a biztonság összehangolására, a fejlesztők a rájuk nehezedő stressz miatt sokszor hoznak rossz döntéseket. A problémakört egy fiatal amerikai biztonsági startup, a 2018-ban alapított Invicti Security kutatta.

A cég idei AppSec Indicatora nem szűken ezt a helyzetet vizsgálta, hanem azt is, hogy milyen hatást gyakorol a biztonsági szakemberek, fejlesztők és vezetőik gondolkodására. Bár a minta az amerikai piacról állt össze (200 IT- és biztonsági vezetőt, kb. ugyanennyi fejlesztőt és DevOps mérnököt, valamint szintén 200 biztonsági szakembert kérdeztek meg), a szakma nemzetközisége miatt – egy fejlesztő például szinte a világ bármely szegletéből végezheti a munkáját – a megállapítások bárhol megállják a helyüket.

 
Invicti Security: Dev/DevOps Sec 2021
Infogram


Látszik a kultúraváltás iránya

Jóllehet az első adat talán sokkoló, ugyanakkor az is látszik, hogy elindult ezen a téren a kultúraváltás. A szervezetek 86 százaléka az elmúlt egy évben már fokozottan figyelt a webalkalmazások biztonságára, amelyért a fejlesztő csapatot kiemelt felelősség terheli. A szervezetek 57 százalékában pedig bevezették azt, hogy a fejlesztő csapat biztonsági teljesítményét ugyanazokkal a KPI-kkel mérték, mint a biztonsági csapatét. Ez elsőre talán durvának hangzik, de ha jól belegondolunk, a megközelítés érthető: a biztonsági csapatnak azokat a rendszereket kell megvédeniük, melyeket a fejlesztők leszállítanak.

Nagyon érdekes ugyanakkor, hogy ez az újfajta megközelítés közel hozta egymáshoz a két területet. A biztonsági és fejlesztési szakemberek 41 százaléka familiárisnak ítélte a két terület viszonyát (az árnyaltabb adatokra kíváncsiaknak: a fejlesztők 55, míg a biztonsági szakemberek 37 százaléka választotta ezt az értékelést). Közös pontként a biztonság iránti elkötelezettséget és az egy csapatként végzett munkát jelölték meg. További 36 százalék szerint pedig az jellemzi legjobban az együttműködésüket, hogy ők a "legjobbak", akik gyakran együttműködnek a biztonsági kérdések megoldása érdekében.

Az már más kérdés, hogy bár a biztonsági szakemberek általában magasra értékelik a fejlesztők IT-biztonsági felkészültségét, a fejlesztők még felkészültebbnek tartják magukat. Arra a kérdésre, hogy mennyire hatékony a fejlesztői csapat a biztonsági problémák kezelésében, a biztonsági szakemberek fele mondta azt, hogy nagyon, 48 százalékuk pedig, hogy valamennyire felkészültek. Ezzel szemben a fejlesztők 66 százaléka értékelte saját csapatát nagyon, és csak 33 százalék valamennyire felkészültnek.

Mindezzel együtt az általános az, hogy az innováció prioritást élvez a biztonsággal szemben, és csupán a szervezetek 20 százaléka integrálta teljes mértékben a biztonságot a fejlesztésbe. Értelemszerűen itt kiemelt a vezetők szerepe. Ha maguk is felismerik például a webes alkalmazások biztonságának fontosságát, akkor engednek annak a lentről érkező kezdeményezésnek, hogy a biztonsági és a fejlesztési csapat mélyrehatóan szeretne együttműködni. Azt kell felismerniük, hogy ezáltal például jobban kalkulálhatóvá (és kivédhetőbbé) válnak a kockázatok.

A tanulmány innen (PDF) tölthető le.

Biztonság

Linus Torvalds eligazította a generatív mesterséges intelligenciát

Már nagyon hiányzott a megfelelő iránymutatás a linuxos közösségnek.
 
Hirdetés

Rendszerek és emberek: a CIO választásai egy új magyar felmérés tükrében

"Nehéz informatikusnak lenni egy olyan cégben, ahol sok az IT-s" – jegyezte meg egy egészségügyi technológiákat fejlesztő cég informatikai vezetője, amikor megkérdeztük, milyennek látja házon belül az IT és a többi osztály közötti kommunikációt.

Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.

a melléklet támogatója a Clico Hungary

Hirdetés

Így lehet sok önálló kiberbiztonsági eszközéből egy erősebbet csinálni

A kulcsszó a platform. Ha egy cég jó platformot választ, akkor az egyes eszközök előnyei nem kioltják, hanem erősítik egymást, és még az üzemeltetés is olcsóbb lesz.

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.