Menerapkan model SecDevOps – Solusi keamanan informasi untuk organisasi

Pada tanggal 29 November 2024, perwakilan MISA berbagi pengalaman praktis dalam membangun budaya SecDevOps untuk meningkatkan kemampuan dalam menjamin keamanan informasi bagi organisasi di Lokakarya "Pelajari tentang DevSecOps - Teknologi dan Solusi Kontrol Keamanan" yang diselenggarakan oleh BIDV Insurance - BIC.

Lokakarya ini dihadiri oleh para pakar terkemuka di bidang teknologi informasi dan keamanan informasi. Dari pihak MISA , hadir Bapak Nguyen Quang Hoang, Direktur Keamanan Informasi, dan Bapak Bui Duc Truong, Kepala Departemen Keamanan Informasi.

Dalam rangka lokakarya tersebut, Bapak Bui Duc Truong - Kepala Departemen Keamanan Informasi MISA memperkenalkan model SecDevOps, dengan demikian berbagi pengalaman dalam menerapkan SecDevOps pada produk untuk mendukung organisasi dalam meningkatkan kesadaran akan keamanan dan keselamatan informasi.

Menurut Katalog Alokasi Kerentanan dan Paparan Umum (CVE) Paloalto Network dari November 2022 hingga Januari 2023, kerentanan sering muncul dalam aplikasi akibat pemrograman yang tidak aman. Oleh karena itu, organisasi perlu mengintegrasikan keamanan ke dalam keseluruhan proses pengembangan produk perangkat lunak. Secara khusus, penerapan model SecDevOps pada perangkat lunak akan mempercepat proses pengembangan produk, meminimalkan 40-50% kerentanan dalam kode sumber, menurut James Rutt - CIO Insight.

SecDevOps adalah model pengembangan yang menggabungkan keamanan, pengembangan, dan operasional, mirip dengan DevSecOps. Namun, perbedaan pentingnya adalah SecDevOps menempatkan keamanan di garis depan pola pikir setiap individu dan di setiap langkah proses pengembangan perangkat lunak. Selain itu, model ini menekankan proses dan budaya kerja "Satu Tim" yang membantu setiap individu bekerja sama secara erat untuk memastikan keamanan diprioritaskan secara menyeluruh.

Untuk menerapkan model SecDevOps secara efektif, organisasi perlu menerapkan tiga faktor secara ketat: manusia, proses, dan teknologi. Terkait manusia, organisasi perlu meningkatkan keterampilan tim keamanan informasi, menghubungkan tim Sec dengan tim DevOps, menyediakan pelatihan pemrograman, dan penerapan yang aman. Terkait proses, organisasi dapat menerapkan model Siklus Hidup Produk Aman - Siklus Hidup Pengembangan Perangkat Lunak (SSDLC) untuk mengembangkan perangkat lunak yang aman. Terkait teknologi, organisasi dapat menggunakan metode dan alat keamanan berikut untuk mendeteksi dan menangani kerentanan keamanan: Analisis Statis (SAST); Analisis Dinamis (DAST); Analisis Interaktif (IAST); Analisis Komposisi Perangkat Lunak (SCA).

Menurut Tn. Truong, programmer perlu dilatih dalam kesadaran keamanan dan pemrograman yang aman, yang bertujuan untuk mencegah munculnya kerentanan pada langkah selanjutnya dalam proses pengembangan perangkat lunak.

Sebagai perusahaan teknologi terkemuka yang menyediakan perangkat lunak sebagai layanan di Vietnam, dan juga pemrakarsa pembentukan Aliansi CYSEEX, MISA berkomitmen untuk mendampingi organisasi dalam menerapkan solusi keamanan canggih, melindungi data dan sistem informasi dari serangan siber.