Kontinuierliche Sicherheit wird zum kritischen Erfolgsfaktor

Die Autoren: Han Goossens - Commercial Manager Xebia Security & Tom Rijgersberg, Business Unit Manager Xebia Security

Erfolgreiche Unternehmen sind innovativ und diese Innovation wird mehr und mehr durch die schnelle Bereitstellung von Produkten und Dienstleistungen in kleinen Schritten vorangetrieben. Wird das Bestreben, die Zeit bis zur Markteinführung neuer Anwendungen zu verkürzen, mit dem wachsenden Wunsch nach Sicherheit Hand in Hand gehen? Heutzutage empfinden viele Unternehmen Sicherheit als das größte Hindernis bei der Bereitstellung von Innovationen. Um ein erfolgreicher und zuverlässiger Innovator zu werden, wurde die nächste Stufe im Reifegradmodell angekündigt: kontinuierliche Sicherheit. Welcher Zusammenhang besteht zwischen Innovation und Sicherheit, genauer gesagt, Anwendungssicherheit? Wie können Unternehmen Continuous Security erfolgreich anwenden?

Sicherheit versus Innovation: Warum sie miteinander verwoben sind

Bisher haben die Unternehmen noch nicht erkannt, dass erfolgreiche Innovationen eng mit dem Wert der entsprechenden digitalen Assets verbunden sind. Sie haben es sogar versäumt, diese in ihren Bilanzen auszuweisen. Der Verlust dieser Werte durch Sicherheitsangriffe könnte sich jedoch als katastrophal für den Innovationserfolg eines Unternehmens erweisen. Allzu oft wird die IT-Sicherheit erst dann zu einer Top-Priorität, wenn ein Unternehmen einen schädlichen Verstoß erlebt. Cyber-Kriminelle gefährden die Geschäftskontinuität und hacken die IT zum Nutzen anderer. Sie können auf kreative Weise Geheimnisse ausnutzen, Geld stehlen und Vermögenswerte für Erpressungen verschlüsseln. Auch heute noch opfern viele die Sicherheit der Innovation zuliebe. In der Rangfolge der Überlegungen zu Leistung, Sicherheit, Wartbarkeit und Skalierbarkeit rangiert die Sicherheit bei den Unternehmen an zweiter Stelle nach der Anwendungsleistung, und die meisten finden es schwierig, sie einzubinden (DZone Application and Data Security Survey 2016).

Gesetze und Vorschriften werden die Einhaltung von Sicherheits- und Datenschutzbestimmungen zunehmend erzwingen. Auch die Endverbraucher werden sich immer mehr des Themas Datenschutz bewusst und verlangen zuverlässige Produkte, die Sicherheit und Datenschutz berücksichtigen. Es ist nur logisch, dass Unternehmen der Sicherheit bei ihren Innovationsbemühungen Priorität einräumen werden.

Reduzierung von Schwachstellen in Webanwendungen und APIs

Unternehmen sind begierig darauf, jede neue Technologie zu übernehmen, die es ihnen ermöglicht, sich von der Konkurrenz abzuheben, die Markteinführungszeit zu verkürzen und die Kosten zu senken. Wenn die Technologie jedoch nicht mit Blick auf Sicherheit und Datenschutz entwickelt oder angepasst wird, öffnet sie die Tür für Sicherheitsverletzungen und Bedrohungen. Mangelnde Anwendungssicherheit ist bereits die Hauptursache für Sicherheitsverletzungen, und jede Webanwendung und jede API weist ernsthafte Schwachstellen auf(Quelle).

Sicherheit und Innovation sollten Hand in Hand gehen. Wenn Sie Continuous Security richtig anwenden, wird das auch so sein:

• Reduzieren Sie die Kosten;
• Reduzieren Sie Ihre Verbindlichkeiten;
• Reduzieren Sie die Zeit bis zur Markteinführung;
• Stärken Sie Marken als verlässlich.

Wenn die Sicherheit heutzutage die Innovation behindert, wird sie umgangen. Die Behebung von Sicherheitslücken während der Entwicklung kostet nur 1/60 der Kosten für einen Patch nach der Veröffentlichung. Es ist wirklich eine Win-Win-Situation.

Datenschutz durch Design

Datenschutz durch Technik basiert auf 7 "Grundprinzipien":

1. Proaktiv statt reaktiv; Vorbeugend statt behebend
2. Datenschutz als Standardeinstellung
3. Datenschutz in das Design integriert
4. Volle Funktionalität - Positivsumme, nicht Nullsumme
5. End-to-End-Sicherheit - Schutz über den gesamten Lebenszyklus
6. Sichtbarkeit und Transparenz - halten Sie sie offen
7. Respekt für die Privatsphäre der Benutzer - behalten Sie den Benutzer im Mittelpunkt
   
   

Erhöhte Nachfrage nach Compliance

Methoden wie Agile & DevOps haben die traditionellen Softwareentwicklungsansätze übertroffen und ihre Versprechen gehalten, wie viele erfolgreiche Unternehmen bestätigen können. Sie gehören in die Kategorie "Effizienz und Effektivität des Betriebs" des weit verbreiteten internen Kontrollrahmens von COSO (The Committee of Sponsoring Organizations of the Treadway Commission @ http://www.coso.org/IC.htm). Es überrascht nicht, dass dieses Modell auch die Kategorie "Einhaltung von Gesetzen und Vorschriften" enthält. Diese Kategorie wird, wie gesagt, in Organisationen immer deutlicher werden.

Ein perfektes Beispiel, neben den bestehenden niederländischen Vorschriften, ist die kommende Allgemeine Datenschutzverordnung (GDPR). Es handelt sich um eine Verordnung, mit der das Europäische Parlament, der Europäische Rat und die Europäische Kommission den Datenschutz für Einzelpersonen innerhalb der Europäischen Union stärken und vereinheitlichen wollen. Diese Verordnung wurde am 27. April 2016 verabschiedet. Sie tritt nach einer zweijährigen Übergangsfrist am 25. Mai 2018 in Kraft.

Auch die Bedenken der Kunden hinsichtlich des Datenschutzes holen auf, da die Mainstream-Medien täglich über Hacks berichten. Das wird die Forderung nach einer Regulierung noch weiter vorantreiben. Heutzutage beginnen auch Versicherungsgesellschaften, Sicherheitsversicherungen anzubieten, aber sie werden im Gegenzug angemessene Sicherheitsmaßnahmen verlangen.

Fünf Prinzipien für kontinuierliche Sicherheit

Wir sehen kontinuierliche Sicherheit als eine Disziplin, die aus den folgenden fünf Prinzipien besteht:

1. Klare Rollen und Verantwortlichkeiten für Sicherheitsverantwortliche und Produktverantwortliche;
2. Sicherheit durch Design (siehe Sicherheit durch Design);
3. Datenschutz durch Design (siehe Datenschutz durch Design);
4. Softwareentwickler wissen, wie man bewährte Sicherheitspraktiken in Bezug auf Beispiele wie Kryptographie und Datenvalidierung implementiert;
5. Software-Sicherheitstests werden durch den Einsatz von Automatisierung optimiert, wo dies sinnvoll und möglich ist.

Secure by Design bedeutet in der Softwareentwicklung, dass die Software von Grund auf sicher konzipiert wurde. Böswillige Praktiken werden als gegeben hingenommen und es wird darauf geachtet, die Auswirkungen zu minimieren, wenn eine Sicherheitslücke oder eine ungültige Benutzereingabe entdeckt wird. Die Modellierung von Bedrohungen ist dabei ein wichtiger Bestandteil.

Entwicklung von kontinuierlicher Sicherheit

Innovation setzt auf moderne Entwicklungsframeworks, die stark auf Automatisierung und eine "Alles ist Code"-Philosophie angewiesen sind. Sicherheit und Datenschutz hingegen hängen immer noch stark von Menschen und manuellen Tätigkeiten ab. Vorreiter halten nicht an den "Tick-in-a-Box"-Sicherheitschecks der alten Schule fest, sondern entwickeln kontinuierliche Sicherheit auf die Art und Weise, wie sie neue Geschäftserfolge entwickeln: durch Erkundung und schrittweise Anpassung von Menschen, Prozessen und Technologie mit einer agilen und pragmatischen Einstellung.

Seien Sie versichert, dass Sie nicht versuchen sollten, alles auf einmal zu erfassen. Lassen Sie sich von den fünf Grundsätzen der kontinuierlichen Sicherheit leiten und unternehmen Sie kleine pragmatische und kluge Schritte, und Sie werden der Zeit voraus sein.

Dieser Artikel ist Teil des Urgent Future IT Forecast 2017.

{{cta('b89d0ce0-d977-48b9-b7c5-96354d8e52e4','justifycenter')}}