Denken Sie an ein berühmtes Einkaufszentrum, das Sie gerne ab und zu besuchen. Kürzlich haben Sie festgestellt, dass es zu einer Durchgangsstraße geworden ist, d.h. es gibt keine Kontrollen, und jeder kann ohne jegliche Sicherheitskontrolle hineingelangen. Plötzlich gibt es einen Überfall und jeder, der sich im Einkaufszentrum aufhält, ist in Gefahr, egal ob es sich um einen Verkäufer, einen Käufer oder einfach nur um eine Person handelt, die gekommen ist, um das Einkaufszentrum zu genießen. Der Besuch des Einkaufszentrums ist zu einer riskanten Angelegenheit geworden. Es drohen Gefahren für Leben, Eigentum und Geschäft.
Lassen Sie mich diesen Sicherheitsaspekt eines Einkaufszentrums mit dem einer Softwareplattform vergleichen. Auf jeder Plattform gibt es mehrere Konsumenten und Produzenten, die jeweils über sensible Informationen verfügen. Jeder von ihnen würde an einer Transaktion teilnehmen oder sich daran beteiligen. Wenn die Plattform von irgendeiner Art von Malware oder DDoS oder einem böswilligen Agenten angegriffen wird, der sensible Informationen sammelt, würde dies ein riesiges Chaos verursachen und zu Geldverlusten führen. Dies wiederum würde zu einem Vertrauensverlust in die Plattform und schließlich zu einem Verlust des Geschäfts führen. Daher ist es notwendig, die Sicherheit und die Kontrolle auf jeder Plattform zu regeln.
Als ich meine Zertifizierung in MS Azure-Grundlagen absolvierte, stellte ich fest, dass Microsoft einen ganzen Abschnitt der Sicherheit und Governance gewidmet hatte. Das zeigt, wie wichtig es ist, diese beiden Bereiche unter Kontrolle zu haben.
Im Folgenden finden Sie eine Liste von Praktiken, die Sie anwenden können, um die Sicherheit der Software zu gewährleisten:
Implementierung eines Sicherheitsrahmens: Rahmenwerke wie ISO27001 und SOC2 umreißen Richtlinien, Verfahren und Kontrollen, die in Organisationen vorhanden sein müssen, um die Informationen auf der Software und die Software selbst zu schützen.
DevSecOps: Die Erstellung von Codes unter Berücksichtigung der Sicherheit des Endprodukts erfordert ein Umdenken gegenüber den allgemeinen DevOps-Praktiken, die in erster Linie zu einer beschleunigten Integration und Bereitstellung führen.
Sicherheitsanforderungen als Teil des Backlogs: Die Sicherheitsanforderungen an das Endprodukt sollten Teil des Backlogs sein, damit die Entwickler schon zu Beginn der Entwicklung ein Gefühl für die Anforderungen haben. Die Etablierung einer Denkweise ist ein wichtiger Aspekt beim Aufbau einer Sicherheitskultur im Team.
Bedrohungsmodellierung: Die Bedrohungsmodellierung, die in der Regel in der Entwurfsphase durchgeführt wird, hilft den Entwicklern, die Schwachstellen einer neuen Anwendung/eines neuen Produkts/einer neuen Plattform zu erkennen und entsprechende Entscheidungen zu treffen, um Lösungen zu entwickeln, die diesen Schwachstellen entgegenwirken. Je weiter sich der Prozess im Lebenszyklus der Produkt-/Plattformentwicklung nach rechts bewegt (fortschreitet), desto schwieriger und teurer wird es, die Probleme zu bewältigen. Daher ist es umso wichtiger, Bedrohungen bereits zu Beginn des Prozesses zu erkennen.
Durchführung regelmäßiger Sicherheitsbewertungen und Penetrationstests: Die oben erwähnte Implementierung von Sicherheits-Frameworks ist notwendig, aber es ist auch wichtig, sicherzustellen, dass die implementierten Schritte regelmäßig getestet werden, um Vorfälle zu verhindern.
Um die Systeme zu testen, kann ein Penetrationstest verwendet werden. Er wird auch Pen-Test genannt und ist ein autorisierter, simulierter Angriff auf ein Computersystem, um Sicherheitsschwachstellen zu ermitteln. Er kann auch dabei helfen, Bewertungsberichte und Abhilfemaßnahmen für die identifizierten Schwachstellen zu erstellen. Ein wesentlicher Unterschied zwischen der Bedrohungsmodellierung und einem Penetrationstest besteht darin, dass ersterer zur Identifizierung von Designfehlern beiträgt, während letzterer Bugs im System aufdeckt.
Implementierung von Zugriffskontrollen: Zugriffskontrollen, wie z.B. Authentifizierung, Autorisierung und geringste Rechte, können dazu beitragen, dass nur autorisierte Benutzer auf das Produkt/die Plattform und seine Daten zugreifen können. Obwohl Authentifizierung und Autorisierung ähnlich klingen, gibt es einen Unterschied zwischen den beiden. Bei der Authentifizierung wird überprüft, ob der Benutzer derjenige ist, der er vorgibt zu sein, während bei der Autorisierung festgelegt wird, ob ein Benutzer auf eine bestimmte Ressource zugreifen darf. In einer Wohnungsgesellschaft würde Authentifizierung beispielsweise bedeuten, dass festgestellt wird, ob eine Person ein Bewohner ist oder nicht, während Autorisierung bedeuten würde, dass die Person nur ihr eigenes Haus betreten darf und nicht das einer anderen Person.
Der Grundsatz des geringstmöglichen Zugangs bedeutet, dass die Anzahl der Personen und die Anzahl der zugänglichen Bereiche so gering wie möglich gehalten werden muss, um eine minimale Gefährdung zu gewährleisten.
Daten verschlüsseln: Die Verschlüsselung sensibler Daten, sowohl im Ruhezustand als auch bei der Übertragung, kann dazu beitragen, sie vor unberechtigtem Zugriff und Offenlegung zu schützen. Bei der Datenverschlüsselung wird eine lesbare Nachricht in eine unlesbare Form umgewandelt, um zu verhindern, dass Unbefugte sie lesen können.
Verwaltung des Zugriffs durch Dritte: Es gibt mehrere Anbieter, die jederzeit auf die Vermögenswerte eines Unternehmens zugreifen können. Dabei kann es sich um physischen Zugriff handeln, wie z.B. Gebäudewartung, Auftragnehmer und Berater, oder um Software-Zugriff über eine Fernverbindung zu einem beliebigen Anbieter zur Unterstützung der Organisation. Einige Software-Risiken könnten darin bestehen, sich nach getaner Arbeit nicht abzumelden, keine sicheren Passwörter zu verwenden und Zugang zu mehr Ressourcen zu erhalten als vom Anbieter verlangt. Jeder negative Akteur könnte solche Schlupflöcher nutzen, um das Unternehmen zu bedrohen. Daher ist es notwendig, den Zugriff von Drittanbietern streng zu kontrollieren und die Sicherheit zu verwalten.
Kontinuierliche Überwachung und Protokollierung: Mehrere Softwareprodukte bieten kontinuierliche Prüfungen auf Anomalien und melden diese sofort. Dies hilft, rechtzeitig darauf zu reagieren.
Einen Plan für die Reaktion auf einen Vorfall haben: Jetzt, wo Sie die Aktivitäten kontinuierlich überwachen und ein Zwischenfall auftritt, was tun Sie dann? Ein Plan zur Reaktion auf einen Vorfall kann Ihnen helfen, in einem solchen Fall schnell und effektiv zu reagieren. Außerdem ist dies eine zwingende Voraussetzung für die Bewertung/Zertifizierung eines Informationssicherheits- und Managementsystems.
Regelmäßiges Überprüfen und Aktualisieren von Richtlinien und Verfahren: Mit der Zeit werden alte Richtlinien und Verfahren veraltet und böswillige Akteure können Schlupflöcher in solchen Richtlinien ausnutzen. Daher ist es wichtig, Richtlinien und Verfahren regelmäßig bzw. bei Bedarf zu überprüfen und zu aktualisieren, damit sie wirksam bleiben und mit den Zielen des Unternehmens übereinstimmen.
Schulungen zum Sicherheitsbewusstsein: Schulungen zum Sicherheitsbewusstsein für Mitarbeiter und andere Benutzer tragen dazu bei, dass sie sich der möglichen Sicherheitsrisiken bewusst sind und wissen, wie sie im Falle eines solchen Ereignisses reagieren müssen.
Governance hingegen sind Praktiken, die von Organisationen angewandt werden, um die verschiedenen Prozesse innerhalb der Organisation mit ihrer Vision in Einklang zu bringen und gleichzeitig die verschiedenen Vorschriften des Landes zu bestätigen.
Governance kommt von oben nach unten und fördert die Ethik und Transparenz in der Arbeitsweise der Organisation. Ein gutes Governance-Modell fördert die Zusammenarbeit, das Vertrauen und die Kreativität.
Die folgenden Best Practices können Sie verwenden, um die Kontrolle der Governance in Ihrem Unternehmen sicherzustellen:
Einhaltung von Vorschriften und Standards: Unternehmen sollten die einschlägigen Vorschriften und Standards wie GDPR, CCPA, HIPAA und PCI DSS einhalten. Die Geschäfts- und IT-Prozesse innerhalb der Organisation sollten mit den jeweiligen Vorschriften übereinstimmen.
Strenge Kontrolle der Richtlinien für Fernarbeit:
Ein großer Teil der IT-Mitarbeiter zieht es heute vor, von zu Hause aus zu arbeiten. Auch wenn Unternehmen ihre Strategie zur Verwaltung solcher Mitarbeiter geändert haben, ist es wichtig sicherzustellen, dass die Daten, die früher auf ihren internen Servern gesichert waren, auch in dem vorgesehenen Cloud-Speicher sicher sind. Richtlinien, die die angemessene Nutzung der Cloud kontrollieren, sind ein Muss.
Entscheidungskontrolle
Während des Betriebs muss entschieden werden, wie viel Kontrolle an Drittentwickler abgegeben wird, um sicherzustellen, dass Innovationen nicht abgewürgt werden und die Kontrolle nicht aus den Händen des Produkt-/Plattformbesitzers verloren geht. Dies ist auch erforderlich, um sicherzustellen, dass die Rechenschaftspflicht der verschiedenen Beteiligten im Falle eines unvorhergesehenen Ereignisses gewährleistet ist.
Bei coMakeIT setzen wir alle oben genannten Praktiken ein, um sicherzustellen, dass die Produkte und Plattformen, die wir für unsere Kunden entwickeln, sowohl der Sicherheit als auch der Governance gerecht werden. Wenn Sie mehr darüber erfahren möchten, wie wir unsere Produkte nicht nur gut, sondern auch sicher machen, können Sie uns gerne kontaktieren.
Verfasst von
Saurabh MIshra
Unsere Ideen
Weitere Blogs
Contact