Pe 29 noiembrie 2024, reprezentanții MISA au împărtășit experiențe practice în construirea unei culturi SecDevOps pentru a îmbunătăți securitatea informațiilor pentru organizații în cadrul atelierului „Înțelegerea DevSecOps – Tehnologie și soluții pentru controlul securității” organizat de BIDV Insurance – BIC.
La atelier au participat experți de renume în domeniile tehnologiei informației și securității informațiilor. MISA a fost reprezentată de dl. Nguyen Quang Hoang – Director al Securității Informațiilor, și dl. Bui Duc Truong – Șef al Securității Informațiilor.
În cadrul atelierului, dl. Bui Duc Truong – Șeful Departamentului de Securitate a Informațiilor la MISA – a prezentat modelul SecDevOps și a împărtășit experiența sa în aplicarea SecDevOps în produse pentru a sprijini organizațiile în creșterea gradului de conștientizare a acestora cu privire la securitatea și siguranța informațiilor.
Conform indicelui Common Vulnerabilities and Exposures (CVE) al Paloalto Network din noiembrie 2022 până în ianuarie 2023, vulnerabilitățile apar frecvent în aplicații din cauza programării nesigure. Prin urmare, organizațiile trebuie să integreze securitatea în întregul proces de dezvoltare software. Mai exact, aplicarea modelului SecDevOps la dezvoltarea de software poate accelera procesul și reduce vulnerabilitățile codului sursă cu 40-50%, potrivit lui James Rutt, director IT al Insight.
SecDevOps este un model de dezvoltare care combină securitatea, dezvoltarea și operațiunile, similar cu DevSecOps. Cu toate acestea, diferența cheie este că SecDevOps prioritizează securitatea în mentalitatea fiecărui individ și în fiecare etapă a procesului de dezvoltare software. În plus, acest model pune accent pe un proces de lucru și o cultură de tip „One Team”, încurajând o colaborare strânsă pentru a se asigura că securitatea rămâne o prioritate absolută pe tot parcursul procesului.
Pentru a implementa eficient modelul SecDevOps, organizațiile trebuie să respecte îndeaproape trei elemente cheie: oameni, procese și tehnologie. În ceea ce privește oamenii, organizațiile trebuie să își îmbunătățească abilitățile echipelor de securitate a informațiilor, să integreze echipa Sec cu echipa DevOps și să ofere instruire în programare și implementare securizată. În ceea ce privește procesele, organizațiile pot aplica modelul Secure Software Development Life Cycle (SSDLC) pentru a dezvolta software securizat. În ceea ce privește tehnologia, organizațiile pot utiliza următoarele metode și instrumente de securitate pentru a detecta și aborda vulnerabilitățile: Analiza Statică (SAST); Analiza Dinamică (DAST); Analiza Interactivă (IAST); și Analiza Compoziției Software (SCA).
Potrivit domnului Truong, programatorii trebuie să fie instruiți în ceea ce privește conștientizarea securității și programarea în siguranță, cu scopul de a preveni apariția vulnerabilităților în etapele ulterioare ale procesului de dezvoltare software.
În calitate de companie lider în tehnologia software-as-a-service (SAS) din Vietnam și inițiatoare a Alianței CYSEEX, MISA se angajează să colaboreze cu organizații în implementarea de soluții avansate de securitate pentru a proteja datele și sistemele informatice de atacurile cibernetice.
Sursă: https://www.misa.vn/149771/ung-dung-mo-hinh-secdevops-giai-phap-an-toan-thong-tin-cho-cac-to-chuc/
Comentariu (0)