Stkifactory # 3
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Stkifactory # 3 as PDF for free.
More details
- Words: 661
- Pages: 2
נקודת המבט של הנודניק פיני כהן ,אנליסט בכיר לתשתיות .שחר מאור ,אנליסט לשירותי תשתיותכל אחד מושך לכיוון שלו...אבטחת מידע לצד אחד (אבטחה ,רגולציות) ואנשי הפיתוח לצד השני (נוחות, זריזות) .איך מנוהלת אבטחת מידע בכל תהליך פיתוח ? האם יש נכונות ארגונית לשים דגש על אבטחת מידע או שנושא זה נתפס כנטל? באיזו מידה ובאיזה שלב ,אם בכלל ,מעורבים אנשי אבטחת מידע בכל פרויקט פיתוח ?
ברוב הפרוייקטים האפליקטיביים קיימים מספר קבועים במשוואת הפרוייקט :בצד אחד עומד לקוח המערכת שמייצג ברוב המקרים את "העסק" .לו חשוב לקבל ומהר מערכת נוחה לשימוש .בצד השני עומדים מפתחי המערכת מאגף מערכות המידע (מנהלי הפרוייקט) שמטרתם לספק בזמן מערכת יציבה ,נוחה ואמינה ללקוח .בין הלקוח למפתחים נמצא גורם שלישי חשוב :אנשי אבטחת המידע ,שתפקידם לבדוק שכל אפליקציה עומדת בסף מינימאלי של דרישות אבטחת מידע .באופן טבעי מושך כל גורם לכיוון שלו :המפתחים מושכים לפיתוח זריז ומהיר ואילו אנשי אבטחת המידע מעלים הסתייגויות בכל פעם שיש חשש לחוסן האבטחתי של המערכת .כתוצאה מכך נתפסים ,לא פעם ,אנשי אבטחת המידע כגורם מעכב או אפילו כנודניקים .בארגונים מסויימים ,גם כאלה שנתונים לרגולציה בנושאי אבטחת מידע ,אין מתודולוגיה מסודרת להתמודדות עם סוגיות אבטחתיות בתהליך הפיתוח ,מה שמגדיל את החיכוך הארגוני ולא תורם לשיפור חוסנן של האפליקציות הארגוניות . אם תשאלו את מנהל אבטחת המידע ,בתהליך הפיתוח צריך לקחת בחשבון את אבטחת המידע כבר בשלב ייזום הפרוייקט ,כל פרוייקט! .רצון זה קשה יותר ליישום ,כשהפיתוח נעשה ע"י גורמי חוץ וקשה לאכוף מדיניות או לבצע שינויים במוצר ללא עלויות גבוהות .בנוסף ,מערכות אפליקטיביות רבות הן מערכות מדף ,כך שקשה להכניס בהן התאמות ברוח מדיניות אבטחת המידע של הארגון .מכל מקום ,מטרת מנהל אבטחת המידע היא להקפיד על דרישות אבטחה בסיסיות מכל מערכת או פרוייקט חדשים בארגון. במקרים רבים העימות בלתי נמנע :חלק מלקוחותינו סיפרו ,כי קיימים חילוקי דיעות בינם לבין אנשי הפיתוח לגבי נוקשות ההגבלות האבטחתיות בעיקר כתנאי סף במכרזים .לדעתם של אנשי הפיתוח ,הוספת תנאים נוספים בתחומי אבטחת המידע גורמת לא פעם להסרה של מתמודדים ממכרזים ולבחירה במוצר נחות טכנולוגית. במידה ופיתוח המערכת נעשה בארגון מתחילתו ,קל יותר לשלב את דרישות אבטחת המידע בתוך תהליך הפיתוח בצורה נוחה יותר והקוד נכתב בראייה יותר אבטחתית .במקרה כזה ,שיתוף הפעולה בין אנשי הפיתוח ומנהלי הפרוייקט לאנשי אבטחת המידע טוב יותר. רובד אחר של פיתוח מאובטח הוא ביצוע בדיקות חדירות לכל מערכת במספר שלבים במהלך מחזור הפיתוח. במידה ואת המערכת מתכנן ספק חיצוני ,הוא צריך להיות מחוייב בעלות תיקון הליקויים .לקוחות שלנו סיפרו ,כי קרו מקרים בעבר בהם ממצאי בדיקת חדירות הועברו לספק ולא תוקנו כראוי מספר פעמים .המחיר שהארגון עלול לשלם במקרה כזה הוא חריגה בלוחות הזמנים ואיחור בעליה לאויר .איחור בלוחות זמנים של פרוייקט ליבה בארגון יכול להביא להתערבות מנהלים בכירים וללחץ גדול על המפתחים ובעיקר על אנשי אבטחת המידע להתגמש בדרישות .מצב כזה יכול להביא לעליית מערכת עם פרצות אבטחה לאוויר ולפגיעה ביחסי האמון בין אבטחת המידע למנהלי הפרויקטים .בחלק מהארגונים בארץ המצב חמור במיוחד בפרויקטים שמתומחרים מראש (– )fix costקשה מאוד להביא את הספק לתקן טעויות קוד עם משמעות אבטחתית .כדי להתגבר על כך חייבים
להגדיר בצורה ברורה מה הן דרישות האבטחה הנדרשות מספק התוכנה ולהסדיר את תהליך הפיקוח על התוכנה לפני תחילת הפרוייקט .אם לא תהיה הגדרה מדוייקת בחוזה ,הארגון ימצא את עצמו בישיבות אינסופיות עם הספק שנועדו "להוכיח" שנמצאו פרצות אבטחה על מנת לחייב את הספק בעלות התיקון. למרות כל האמור לעיל ,לא בכל הארגונים יש בעיות תיאום בין אבטחת המידע לפיתוח .קיימים לא מעט ארגונים בישראל שיש בהם מתודולוגיה מסודרת לנושא הפיתוח המאובטח .מנהל אבטחת המידע בארגון כזה אחראי על ההנחיות וההמלצות בהיבטי אבטחת מידע לפני כל פרוייקט שיוצא לדרך .יחסי הגומלין בין אנשי הפיתוח (לסביבות החיצוניות) לאנשי אבטחת המידע מאוד טובים ויעילים .רמת המודעות לנושאי אבטחת המידע של המפתחים בארגונים אלה גבוהה מאוד .בארגונים רבים קיימים פורומים לענייני אבטחת מידע שבהם יושבים מנהלים בכירים .בפורום הזה מתקבלות החלטות לגבי עליית פרויקטים לאוויר גם במחיר התפשרות בסעיף אבטחת המידע .מדובר לא אחת בהחלטות קשות ,אבל בארגון דימני ותחרותי יש צורך בפורום שייתן גב חזק להחלטות שמשמעותן לחיות עם חלק מהסיכונים .בארגון שיש בו מתודולוגיה סדורה לפיתוח מאובטח אין נודניקים. עוד על אבטחת מידע אפליקטיבית:
http://shaharmaor.blogspot.com/
ברוב הפרוייקטים האפליקטיביים קיימים מספר קבועים במשוואת הפרוייקט :בצד אחד עומד לקוח המערכת שמייצג ברוב המקרים את "העסק" .לו חשוב לקבל ומהר מערכת נוחה לשימוש .בצד השני עומדים מפתחי המערכת מאגף מערכות המידע (מנהלי הפרוייקט) שמטרתם לספק בזמן מערכת יציבה ,נוחה ואמינה ללקוח .בין הלקוח למפתחים נמצא גורם שלישי חשוב :אנשי אבטחת המידע ,שתפקידם לבדוק שכל אפליקציה עומדת בסף מינימאלי של דרישות אבטחת מידע .באופן טבעי מושך כל גורם לכיוון שלו :המפתחים מושכים לפיתוח זריז ומהיר ואילו אנשי אבטחת המידע מעלים הסתייגויות בכל פעם שיש חשש לחוסן האבטחתי של המערכת .כתוצאה מכך נתפסים ,לא פעם ,אנשי אבטחת המידע כגורם מעכב או אפילו כנודניקים .בארגונים מסויימים ,גם כאלה שנתונים לרגולציה בנושאי אבטחת מידע ,אין מתודולוגיה מסודרת להתמודדות עם סוגיות אבטחתיות בתהליך הפיתוח ,מה שמגדיל את החיכוך הארגוני ולא תורם לשיפור חוסנן של האפליקציות הארגוניות . אם תשאלו את מנהל אבטחת המידע ,בתהליך הפיתוח צריך לקחת בחשבון את אבטחת המידע כבר בשלב ייזום הפרוייקט ,כל פרוייקט! .רצון זה קשה יותר ליישום ,כשהפיתוח נעשה ע"י גורמי חוץ וקשה לאכוף מדיניות או לבצע שינויים במוצר ללא עלויות גבוהות .בנוסף ,מערכות אפליקטיביות רבות הן מערכות מדף ,כך שקשה להכניס בהן התאמות ברוח מדיניות אבטחת המידע של הארגון .מכל מקום ,מטרת מנהל אבטחת המידע היא להקפיד על דרישות אבטחה בסיסיות מכל מערכת או פרוייקט חדשים בארגון. במקרים רבים העימות בלתי נמנע :חלק מלקוחותינו סיפרו ,כי קיימים חילוקי דיעות בינם לבין אנשי הפיתוח לגבי נוקשות ההגבלות האבטחתיות בעיקר כתנאי סף במכרזים .לדעתם של אנשי הפיתוח ,הוספת תנאים נוספים בתחומי אבטחת המידע גורמת לא פעם להסרה של מתמודדים ממכרזים ולבחירה במוצר נחות טכנולוגית. במידה ופיתוח המערכת נעשה בארגון מתחילתו ,קל יותר לשלב את דרישות אבטחת המידע בתוך תהליך הפיתוח בצורה נוחה יותר והקוד נכתב בראייה יותר אבטחתית .במקרה כזה ,שיתוף הפעולה בין אנשי הפיתוח ומנהלי הפרוייקט לאנשי אבטחת המידע טוב יותר. רובד אחר של פיתוח מאובטח הוא ביצוע בדיקות חדירות לכל מערכת במספר שלבים במהלך מחזור הפיתוח. במידה ואת המערכת מתכנן ספק חיצוני ,הוא צריך להיות מחוייב בעלות תיקון הליקויים .לקוחות שלנו סיפרו ,כי קרו מקרים בעבר בהם ממצאי בדיקת חדירות הועברו לספק ולא תוקנו כראוי מספר פעמים .המחיר שהארגון עלול לשלם במקרה כזה הוא חריגה בלוחות הזמנים ואיחור בעליה לאויר .איחור בלוחות זמנים של פרוייקט ליבה בארגון יכול להביא להתערבות מנהלים בכירים וללחץ גדול על המפתחים ובעיקר על אנשי אבטחת המידע להתגמש בדרישות .מצב כזה יכול להביא לעליית מערכת עם פרצות אבטחה לאוויר ולפגיעה ביחסי האמון בין אבטחת המידע למנהלי הפרויקטים .בחלק מהארגונים בארץ המצב חמור במיוחד בפרויקטים שמתומחרים מראש (– )fix costקשה מאוד להביא את הספק לתקן טעויות קוד עם משמעות אבטחתית .כדי להתגבר על כך חייבים
להגדיר בצורה ברורה מה הן דרישות האבטחה הנדרשות מספק התוכנה ולהסדיר את תהליך הפיקוח על התוכנה לפני תחילת הפרוייקט .אם לא תהיה הגדרה מדוייקת בחוזה ,הארגון ימצא את עצמו בישיבות אינסופיות עם הספק שנועדו "להוכיח" שנמצאו פרצות אבטחה על מנת לחייב את הספק בעלות התיקון. למרות כל האמור לעיל ,לא בכל הארגונים יש בעיות תיאום בין אבטחת המידע לפיתוח .קיימים לא מעט ארגונים בישראל שיש בהם מתודולוגיה מסודרת לנושא הפיתוח המאובטח .מנהל אבטחת המידע בארגון כזה אחראי על ההנחיות וההמלצות בהיבטי אבטחת מידע לפני כל פרוייקט שיוצא לדרך .יחסי הגומלין בין אנשי הפיתוח (לסביבות החיצוניות) לאנשי אבטחת המידע מאוד טובים ויעילים .רמת המודעות לנושאי אבטחת המידע של המפתחים בארגונים אלה גבוהה מאוד .בארגונים רבים קיימים פורומים לענייני אבטחת מידע שבהם יושבים מנהלים בכירים .בפורום הזה מתקבלות החלטות לגבי עליית פרויקטים לאוויר גם במחיר התפשרות בסעיף אבטחת המידע .מדובר לא אחת בהחלטות קשות ,אבל בארגון דימני ותחרותי יש צורך בפורום שייתן גב חזק להחלטות שמשמעותן לחיות עם חלק מהסיכונים .בארגון שיש בו מתודולוגיה סדורה לפיתוח מאובטח אין נודניקים. עוד על אבטחת מידע אפליקטיבית:
http://shaharmaor.blogspot.com/
Related Documents
Stkifactory # 3
May 2020 6
Stkifactory # 2
May 2020 14
Stkifactory # 4
May 2020 8
3-3-3
December 2019 138
3*3
November 2019 147
3:3
June 2020 93More Documents from ""
Stkifactory # 2
May 2020 14
Jimmy Schwarzkopf Israel It Market 2009-10
April 2020 9
Drp Rt May08 V9
May 2020 16
Shahar Maor Infrastructure Services Market 2009
April 2020 5