Пламя безопасности
Нужен новый подход, который поможет поднять культуру безопасности в масштабах всей организации
В течение многих лет CISO пытались повлиять на разработку, заявляя, что безопасность должна быть на первом месте. Многие добились этого. Но что пришло с влиянием? Вопросики про ROI, уточнения про бюджеты, и вот директора по ИБ находятся под пристальным вниманием, чтобы доказать ценность своих усилий по обеспечению кибербезопасности, а также эффективность инвестиций в перспективе.
Теперь любой директор по безопасности, желающий остановить новый релиз для проверки кода, как минимум должен доказать экономическое обоснование от задержки апдейта или новой функции.
Что же дальше? Нужен новый подход, который поможет поднять культуру безопасности в масштабах всей организации, одновременно обеспечивая профессионалов и разработчиков AppSec всем необходимым для снижения. Директора по ИБ выступают часто в роли ментора для СТО, вдохновляя на мышление, ориентированное на безопасность, и при этом открывая доступ к передовым инструментам измерения.
С 2010-х годов существует противостояние между разработчиками и их коллегами из AppSec, где ни у одной из сторон нет сочувствия к тяжелому положению другой. Разработчики строят, AppSec ломает. Существует серьезная необходимость в согласовании работы обеих команд для достижения одной общей цели, а именно – поддержания качества кода и безопасности. Пока разработчики не получат возможность брать на себя ответственность за результаты безопасности, это трение, скорее всего, сохранится. Будущее цифровой безопасности зависит от ИБ – как более широкой отрасли, – чтобы найти правильный баланс.
В рамках разработки сложных цифровых продуктов атаки на цепочки поставок представляют собой путь к серьезным сбоям и, возможно, огромной прибыли для злоумышленников, поэтому неудивительно, что такие типы нарушений становятся все более частыми. Неправильно настроенные API и успешное повышение привилегий могут привести к многолетним существующим уязвимостям, которые могут повлиять на миллионы людей.
Однако передовые руководители служб информационной безопасности больше не оставляют это на волю случая и поднимают планку разработки, используя ключевые тактики.
- Вовлеченность руководства. Руководители ИБ традиционно сталкивались с некоторым сопротивлением в обсуждениях в советах директоров, в основном из-за представления о том, что кибербезопасность рассматривается как центр затрат, а не окупаемость инвестиций. Теперь это в прошлом (не везде, увы), но учиться защищать бюджет и обосновывать стратегию надо всем. Лучшие директора по ИБ ищут места в борде и предлагают видение, которое могут одобрить их коллеги – члены совета директоров.
- Целевые программы безопасной разработки. Ориентированные на разработчиков, программы безопасности учитывают человеческий фактор в снижении уязвимостей, реализуются директорами по информационной безопасности, которые делают разработчиков звездами своего шоу.
- Непрерывная оптимизация посредством сравнительного анализа, обучения и проверки навыков: то, что нельзя измерить, нельзя улучшить, и лучшие CISO принимают продуманную стратегию для измерения каждой части своих программ и разработки путей улучшения.
Разработчики в обучении ИБ должны воспроизводить работу, которую они выполняют в своей повседневной деятельности. Их следует оценивать до и после программ обучения, и только тем, у кого будут подтверждены навыки безопасной разработки, следует предоставлять доступ к более конфиденциальным проектам и репозиториям. Дальновидные CISO бюджетируют обучающие мероприятия и проверку навыков, а также внедряют более безопасные методы разработки и контроль доступа к репозиториям.
