Продолжая предыдущий пост про ошибки ИБ приведем практику избегания этих ошибок (в большей степени для разработчиков софта).
Итак, что нужно делать, чтобы не допускать ошибок:
Итак, что нужно делать, чтобы не допускать ошибок:
- Проводите самооценку
- Делать ее на каждом этапе жизненного цикла разработки ПО
- Это очень недорогая и эффективная мера (чеклист), которая позволит увидеть разрыв между целевым уровнем и текущим, а также понять уровень зрелости ИБ
- Однако, важно сначала сформировать модель угроз и отталкивать от нее при самооценке
- Относитесь внимательнее к историям в области безопасности приложений
- Производители и СМИ создают много шума, который часто не имеет отношения к реальности, однако, когда речь заходит о нарушения безопасности приложений, к этому стоит прислушаться (пример, Heartbleed и др.)
- Задавайте больше жестких вопросов
- Каков процесс реагирования на уязвимости?
- Какова стратегия разворачивания патчей?
- Какие способы вы используете для информирования клиентов об уязвимостях?
- Занимаетесь ли вопросами ИБ безопасности на каждом этапе вашего жизненного цикла разработки программного обеспечения (формирование требований, проектирование, разработка, тестирование и развертывание)?
- и др.
- Создайте свою группу ("Red team") этичных хакеров
- Таким образом, можно моделировать внешние атаки
- Повышайте осведомленность своей команды
Такие довольно общие рекомендации даются в статье Biggest Information Security Mistakes that Organizations Make, но, в целом они могут быть полезны.
Secure your life!
