29 listopada 2024 r. przedstawiciele MISA podzielili się praktycznymi doświadczeniami w zakresie budowania kultury SecDevOps w celu poprawy zdolności organizacji do zapewniania bezpieczeństwa informacji podczas warsztatów „Dowiedz się więcej o DevSecOps – technologiach i rozwiązaniach kontroli bezpieczeństwa” zorganizowanych przez BIDV Insurance – BIC.
W warsztatach wzięli udział czołowi eksperci z dziedziny technologii informatycznych i bezpieczeństwa informacji. Ze strony MISA udział wzięli: pan Nguyen Quang Hoang – Dyrektor ds. Bezpieczeństwa Informacji, pan Bui Duc Truong – Kierownik Działu Bezpieczeństwa Informacji.
W ramach warsztatów pan Bui Duc Truong – Kierownik Działu Bezpieczeństwa Informacji MISA – przedstawił model SecDevOps, dzieląc się doświadczeniami w stosowaniu SecDevOps w produktach, aby pomóc organizacjom zwiększać świadomość bezpieczeństwa informacji.
Według katalogu alokacji CVE (Common Vulnerabilities and Exposures) firmy Paloalto Network z listopada 2022 r. do stycznia 2023 r., luki w zabezpieczeniach często pojawiają się w aplikacjach z powodu niebezpiecznego programowania. Dlatego organizacje muszą zintegrować bezpieczeństwo z całym procesem rozwoju oprogramowania. W szczególności, stosując model SecDevOps w oprogramowaniu, można przyspieszyć proces rozwoju produktu, minimalizując 40-50% luk w zabezpieczeniach kodu źródłowego, według Jamesa Rutta, CIO Insight.
SecDevOps to model rozwoju oprogramowania, który łączy bezpieczeństwo, rozwój i operacje, podobnie jak DevSecOps. Istotną różnicą jest jednak to, że SecDevOps stawia bezpieczeństwo na pierwszym miejscu w podejściu każdego pracownika i na każdym etapie procesu tworzenia oprogramowania. Ponadto model ten kładzie nacisk na proces pracy i kulturę „jednego zespołu”, która pomaga pracownikom ściśle ze sobą współpracować, aby zapewnić priorytetowe traktowanie bezpieczeństwa.
Aby skutecznie wdrożyć model SecDevOps, organizacje muszą ściśle uwzględniać 3 czynniki: ludzi, procesy i technologię. W odniesieniu do ludzi, organizacje muszą rozwijać umiejętności zespołu ds. bezpieczeństwa informacji, integrować zespół ds. bezpieczeństwa z zespołem DevOps, zapewniać szkolenia programistyczne i bezpieczne wdrażanie. W odniesieniu do procesu, organizacje mogą stosować bezpieczny model cyklu życia produktu – cykl życia oprogramowania (SSDLC) w celu tworzenia bezpiecznego oprogramowania. W odniesieniu do technologii, organizacje mogą wykorzystywać następujące metody i narzędzia bezpieczeństwa do wykrywania i obsługi luk w zabezpieczeniach: analiza statyczna (SAST); analiza dynamiczna (DAST); analiza interaktywna (IAST); analiza kompozycji oprogramowania (SCA).
Według pana Truonga programiści muszą zostać przeszkoleni w zakresie świadomości bezpieczeństwa i bezpiecznego programowania, aby zapobiec pojawianiu się luk w zabezpieczeniach na późniejszych etapach procesu tworzenia oprogramowania.
Jako wiodące przedsiębiorstwo technologiczne oferujące oprogramowanie jako usługę w Wietnamie i inicjator utworzenia sojuszu CYSEEX, MISA zobowiązuje się do wspierania organizacji we wdrażaniu zaawansowanych rozwiązań bezpieczeństwa, chroniących dane i systemy informatyczne przed atakami cybernetycznymi.
Źródło: https://www.misa.vn/149771/secdevops-information-security-solution-for-organizations/
Komentarz (0)