«Ασφαλίστε» τις εφαρμογές σας

Η επίτευξη της ασφάλειας σε επίπεδο εφαρμογών, επιτρέπει την προστασία ευαίσθητων δεδομένων και, ταυτόχρονα, ικανοποιεί της προϋποθέσεις για συμμόρφωση με κανονιστικά πλαίσια. Σε ποιο βαθμό επιτυγχάνεται;

Οι διαρκώς αυξανόμενες απαιτήσεις για συμμόρφωση, σε συνδυασμό με την ανάγκη για προστασία του εταιρικού ονόματος και διασφάλισης της επιχειρησιακής συνέχειας, ωθούν ολοένα και περισσότερες επιχειρήσεις στην εγκατάσταση εφαρμογών ασφάλειας. Αναλύοντας τα δεδομένα που συγκέντρωσε από 120 διεθνείς οργανισμούς η πρόσφατη έρευνα της Aberdeen Group αποδεικνύει ότι το 70% των επιχειρήσεων θεωρεί τη διασφάλιση των ευαίσθητων δεδομένων θέμα «υψηλής προτεραιότητας», ενώ το 50% παραδέχεται ότι οι υφιστάμενες πρακτικές είναι ανεπαρκείς για την κάλυψη των περισσότερων αναγκών στον τομέα της ασφάλειας.

Από την έρευνα προκύπτει επίσης, ότι οι εταιρείες που τα καταφέρνουν καλύτερα στο θέμα της ασφάλειας (“Best-inClass”) χαρακτηρίζονται βάσει των ακόλουθων: 1) πλήττονται από λιγότερα περιστατικά ασφαλείας που καταλήγουν σε απώλεια δεδομένων,
2) δέχονται μειωμένο αριθμό επιτυχημένων επιθέσεων,
3) έχουν αυξημένα ποσοστά επιτυχούς συμμόρφωσης και
4) έχουν αυξημένο uptime εφαρμογών.

Η έρευνα κατέδειξε ακόμα ότι οι εταιρείες που κατατάσσονται στην “Best-in-Class” κατηγορία όσον αφορά τη διαχείριση θεμάτων ασφάλειας, έχουν κάποια κοινά χαρακτηριστικά: το 94% αυτών χρησιμοποιεί μεθοδολογία ανάπτυξης ασφάλειας εφαρμογών, το 89% έχουν σε ισχύ ένα πρόγραμμα ή διαδικασία για τη διαχείριση των «ευάλωτων» σημείων από άποψη ασφάλειας και το 79% διαθέτουν πλάνο για απόκριση σε περιστατικό που αφορά την ασφάλεια.

Η στρατηγική των καλύτερων
Οι εταιρείες της κατηγορίας “Best-in-Class” κατανοούν ότι, προκειμένου να διασφαλίσουν την ασφάλεια των εφαρμογών τους, θα πρέπει να ευθυγραμμίσουν τις οικονομικές και λειτουργικές προσπάθειες καθ’ όλο το μήκος της εταιρείας. Αντιλαμβάνονται επίσης, ότι δεν αρκεί η διασφάλιση των υφιστάμενων εφαρμογών, αλλά και η ενσωμάτωση της διαδικασίας ανάπτυξης ασφαλών εφαρμογών στις σχετικές πολιτικές τους. Οι εταιρείες αυτές κατανοούν τη χρησιμότητα της ασφαλούς ανάπτυξης εφαρμογών εξαρχής και, στη συνέχεια, τη διασφάλιση του ότι οι εγκατέστημένες εφαρμογές διατηρούνται ασφαλείς.

Ανάγκη για ολιστική προσέγγιση
Από την έρευνα της Aberdeen Group προκύπτει ότι η ασφάλεια των εφαρμογών επιτυγχάνεται σε μεγαλύτερο βαθμό όταν το θέμα αντιμετωπίζεται με τρόπο ολιστικό, «ζωντανό» και ενσωματωμένο στην πολιτική ασφαλείας. Η ολιστική αντιμετώπιση περιλαμβάνει τους τομείς των διαδικασιών, της οργάνωσης, της διαχείρισης γνώσης, της τεχνολογίας και της διαχείρισης απόδοσης.

Διαδικασίες: Οι εταιρείες τύπου “Best-in-Class” είναι 62% πιθανότερο να ενσωματώσουν την πολιτική τους για την ασφάλεια των εφαρμογών στη συνολική τους πολιτική ασφάλειας, απ’ ότι οι υπόλοιπες εταιρείες. Μία σχετική πολιτική περιγράφει το πώς θα πρέπει να σχεδιάζεται, να αναπτύσσεται, να δοκιμάζεται, να εγκαθίσταται, να ελέγχεται και να συντηρείται μία εφαρμογή, ώστε να διασφαλίζεται η σωστή της λειτουργία. Καθορίζει ακόμα τον τρόπο με τον οποίο θα πρέπει να αντιμετωπίζονται οι παραβιάσεις ασφαλείας και το ποιος φέρει την τελική ευθύνη για την ασφάλεια των εφαρμογών. Με τον τρόπο αυτό, όχι μόνο προλαμβάνουν σχετικά συμβάντα, αλλά και αυξάνουν τον χρόνο του uptime κατά 15%.

Οργάνωση: Οι εταιρείες “Best-in-Class” είναι κατά 25% πιθανότερο να έχουν μία κεντρική αρχή που φέρει την ευθύνη για την ασφάλεια των εφαρμογών ως μέρος της ευρύτερης πολιτικής ασφαλείας. Η πλειοψηφία τους αναθέτει την ευθύνη σε ένα C-level executive (53%), στην ομάδα ανάπτυξης εφαρμογών (32%) ή στην ομάδα διαχείρισης κινδύνου και πολιτικών (11%). Η έρευνα της Aberdeen υποδεικνύει ότι η ανάθεση σε C-level executive, όπως στον Chief Security Officer, αποτελεί την καλύτερη επιλογή όσον αφορά την τελική ασφάλεια.

Οι αλληλεπιδράσεις στη σύνθετη υποδομή του ΙΤ θα πρέπει να αποφασίζονται από ένα άτομο που, όχι μόνο κατανοεί το οικοσύστημα της Πληροφορικής και τις διακλαδώσεις του με άλλα συστήματα, αλλά και αναφέρει άμεσα στη Διοίκηση. Η εμπλοκή της Διοίκησης σε όλα τα θέματα που αφορούν την ασφάλεια των δεδομένων είναι κρίσιμη γιατί αυτή φέρει τόσο την οικονομική όσο και τη νομική ευθύνη για όλες τις εταιρικές δραστηριότητες.

Διαχείριση γνώσης: Οι εταιρείες τύπου “ Best-in-Class” κατανοούν ότι η επιτυχής διαχείριση της ασφάλειας των εφαρμογών διευκολύνεται σημαντικά όταν υπάρχουν οι ακόλουθες δύο κρίσιμες δυνατότητες: 1) εξειδίκευση στην αξιολόγηση του κινδύνου των εφαρμογών (72%) και 2) πλάνο απόκρισης σε περιστατικό που αφορά την ασφάλεια των εφαρμογών (79%). Ο στόχος γι’ αυτές, είναι να καταλάβουν τον κίνδυνο από τη δυνητική έκθεση λόγω αποτυχίας της εφαρμογής ασφαλείας. Η κατοχή μιας ολοκληρωμένης σειράς εργαλείων ασφαλείας τους επιτρέπει να μειώνουν τον αριθμό των επιτυχημένων επιθέσεων ασφαλείας κατά 12%.

Τεχνολογία: Το 100% των εταιρειών “Best-in-Class” χρησιμοποιούν firewalls δικτύου για να διαχειριστούν την ασφάλεια των εφαρμογών. Τα firewalls των εφαρμογών web (84%), τα οποία και αποτελούν βασικό συστατικό της διασφάλισης των εφαρμογών παραγωγής, μαζί με τους ανιχνευτές ευάλωτων σημείων του δικτύου (84%) είναι άλλες δύο επιπρόσθετες τεχνολογίες που οι εταιρείες τύπου “Best-in-Class” χρησιμοποιούν συχνά. Μία πλήρης θεώρηση όλων των τεχνολογιών που χρησιμοποιούνται δείχνει ότι οι περισσότερες από αυτές έρχονται μετά την ανάπτυξη. Οι τεχνολογίες που αφορούν την ανάπτυξη ασφαλούς λογισμικού εμφανίζονται στο δεύτερο μισό της λίστας.

Διαχείριση της απόδοσης: Η διαχείριση της απόδοσης αποτελεί την κρίσιμη βάση για την εγκατάσταση εφαρμογής που αφορά την ασφάλεια. Οι εταιρείες “Best-in-Class” αντιλαμβάνονται την αξία της στενής παρακολούθησης του βαθμού της επιτυχίας τους όσον αφορά τη συμμόρφωση (95%) και το συνολικό αριθμό των επιθέσεων σε εφαρμογές ασφαλείας (88%). Επιπρόσθετα, έχουν 3,5 φορές μεγαλύτερες πιθανότητες να διαθέτουν εγκαταστεστημένη παρακολούθηση της ασφάλειας των εφαρμογών παραγωγής σε πραγματικό χρόνο. Οι μετρήσεις αυτές επιτρέπουν την ευθυγράμμιση της εγκατάστασης εφαρμογών ασφαλείας με τους επιχειρησιακούς στόχους. Η διάθεση των δυνατοτήτων αυτών είναι κρίσιμη όταν επιδιώκεται ένας από τους πιο κρίσιμους επιχειρησιακούς στόχους: η συμμόρφωση με κανονιστικά πλαίσια. Η διάθεση των κατάλληλων εργαλείων επιτρέπει την αύξηση του σχετικού ποσοστού επιτυχίας κατά 11%.

Σημαντικά περιθώρια για βελτίωση
Η Aberdeen καταλήγει ότι παραμένουν ακόμα σημαντικά περιθώρια βελτιώσεων όσον αφορά την ολοκλήρωση των εφαρμογών ασφαλείας. Το παραπάνω είναι ιδιαίτερα αληθές -ειδικά αν αναλογιστεί κανείς ότι οι περισσότερες εταιρείες δεν έχουν επίγνωση, ούτε αναθεωρούν βέλτιστες πρακτικές για την ασφάλεια των εφαρμογών πριν σπεύσουν να επιλύσουν με ταχύτητα κάποιο φλέγον πρόβλημα. Η ασφάλεια των εφαρμογών δεν αποτελεί μία απλή λύση ή διαδικασία. Απαιτεί αλλαγές στη διαδικασία ανάπτυξης λογισμικού, αύξηση του βαθμού της παρακολούθησης της ασφάλειας σε πραγματικό χρόνο και συνεχή διαχείριση του ρίσκου.

Οι επιθέσεις στοχεύουν ολοένα και περισσότερο στο επίπεδο των εφαρμογών, καθώς ο εύκολος στόχος των ευάλωτων σημείων του δικτύου φεύγει από το προσκήνιο. Ανεξάρτητα από την πορεία του συνολικού προϋπολογισμού Πληροφορικής, οι επενδύσεις σε προγράμματα ασφαλείας βρίσκονται σε άνοδο. Μία σωστά σχεδιασμένη διαδικασία ασφάλειας εφαρμογών μειώνει δραματικά την έκθεση της εταιρείας και παρέχει μια σταθερή υποδομή, ικανή να στηρίξει σωστά τις δραστηριότητές της.

«Ασφαλίστε» τις εφαρμογές σας

Τεχνολογίες 5G και ΑΙ δοκιμάστηκαν στο λιμάνι του Πειραιά

Cosmote: Τέσσερα specializations από τη Microsoft

Στην Indigital έργο ψηφιοποίησης του δήμου Νέας Φιλαδέλφειας - Νέας Χαλκηδόνας

BOUSSIAS NETWORK