แอปพลิเคชัน SecDevOps Model – โซลูชันด้านความปลอดภัยข้อมูลสำหรับองค์กร

เมื่อวันที่ 29 พฤศจิกายน 2024 ตัวแทน MISA ได้แบ่งปันประสบการณ์จริงในการสร้างวัฒนธรรม SecDevOps เพื่อปรับปรุงความปลอดภัยของข้อมูลสำหรับองค์กรในการประชุมเชิงปฏิบัติการ "เรียนรู้เกี่ยวกับ DevSecOps - เทคโนโลยีและโซลูชันการควบคุมความปลอดภัย" จัดโดย BIDV Insurance - BIC

การประชุมเชิงปฏิบัติการครั้งนี้มีผู้เชี่ยวชาญชั้นนำด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยสารสนเทศเข้าร่วม ทางด้าน MISA มีคุณเหงียน กวาง ฮวง ผู้อำนวยการฝ่ายความมั่นคงปลอดภัยสารสนเทศ และคุณบุ่ย ดึ๊ก เจื่อง หัวหน้าฝ่ายความมั่นคงปลอดภัยสารสนเทศ เข้าร่วมด้วย

ภายในกรอบงานสัมมนา คุณ Bui Duc Truong หัวหน้าแผนกความปลอดภัยข้อมูลของ MISA ได้แนะนำโมเดล SecDevOps และแบ่งปันประสบการณ์ในการนำ SecDevOps มาใช้กับผลิตภัณฑ์ เพื่อสนับสนุนให้องค์กรต่างๆ ตระหนักรู้ในเรื่องความปลอดภัยและความมั่นคงปลอดภัยของข้อมูลมากขึ้น

ตัวแทน MISA กล่าวในการประชุมเชิงปฏิบัติการ

จากข้อมูลในแค็ตตาล็อกการจัดสรรช่องโหว่และความเสี่ยงทั่วไป (CVE) ของ Paloalto Network ตั้งแต่เดือนพฤศจิกายน 2565 ถึงมกราคม 2566 พบว่าช่องโหว่มักปรากฏในแอปพลิเคชันเนื่องจากการเขียนโปรแกรมที่ไม่ปลอดภัย ดังนั้น องค์กรต่างๆ จึงจำเป็นต้องบูรณาการความปลอดภัยเข้ากับกระบวนการพัฒนาผลิตภัณฑ์ซอฟต์แวร์ทั้งหมด โดยเฉพาะอย่างยิ่งการนำแบบจำลอง SecDevOps มาใช้กับซอฟต์แวร์เพื่อเร่งกระบวนการพัฒนาผลิตภัณฑ์ โดยลดช่องโหว่ในซอร์สโค้ดลงได้ 40-50% ตามข้อมูลของ James Rutt - CIO Insight

รายการจัดสรรช่องโหว่สำหรับ CVE ตั้งแต่เดือนพฤศจิกายน 2022 ถึงมกราคม 2023

SecDevOps เป็นรูปแบบการพัฒนาที่ผสานรวมความปลอดภัย การพัฒนา และการปฏิบัติการ คล้ายกับ DevSecOps อย่างไรก็ตาม ความแตกต่างที่สำคัญคือ SecDevOps ให้ความสำคัญกับความปลอดภัยเป็นอันดับแรกในความคิดของแต่ละคนและในทุกขั้นตอนของกระบวนการพัฒนาซอฟต์แวร์ นอกจากนี้ รูปแบบนี้ยังเน้นกระบวนการทำงานและวัฒนธรรมแบบ “ทีมเดียว” ที่ช่วยให้ทุกคนทำงานร่วมกันอย่างใกล้ชิด เพื่อให้มั่นใจว่าความปลอดภัยได้รับการจัดลำดับความสำคัญตลอดกระบวนการ

องค์กรต่างๆ จำเป็นต้องใช้ SecDevOps อย่างใกล้ชิดใน 3 ปัจจัย: บุคลากร - กระบวนการ - เทคโนโลยี

เพื่อนำแบบจำลอง SecDevOps ไปใช้อย่างมีประสิทธิภาพ องค์กรต่างๆ จำเป็นต้องพิจารณาปัจจัย 3 ประการอย่างเคร่งครัด ได้แก่ บุคลากร กระบวนการ และเทคโนโลยี ในด้านบุคลากร องค์กรจำเป็นต้องพัฒนาทักษะของทีมรักษาความปลอดภัยสารสนเทศ เชื่อมโยงทีม Sec เข้ากับทีม DevOps และจัดฝึกอบรมการเขียนโปรแกรมและการปรับใช้อย่างปลอดภัย ในด้านกระบวนการ องค์กรสามารถนำแบบจำลองวงจรชีวิตผลิตภัณฑ์ Secure – Software Development Life Cycle (SSDLC) มาใช้เพื่อพัฒนาซอฟต์แวร์ที่ปลอดภัยได้ ในด้านเทคโนโลยี องค์กรต่างๆ สามารถใช้วิธีการและเครื่องมือด้านความปลอดภัยต่อไปนี้เพื่อตรวจจับและจัดการช่องโหว่ด้านความปลอดภัย: การวิเคราะห์แบบคงที่ (SAST); การวิเคราะห์แบบไดนามิก (DAST); การวิเคราะห์แบบโต้ตอบ (IAST); การวิเคราะห์องค์ประกอบซอฟต์แวร์ (SCA)

นาย Truong กล่าวว่า โปรแกรมเมอร์จำเป็นต้องได้รับการฝึกอบรมเกี่ยวกับความตระหนักด้านความปลอดภัยและการเขียนโปรแกรมอย่างปลอดภัย โดยมีเป้าหมายเพื่อป้องกันไม่ให้ช่องโหว่ปรากฏในขั้นตอนต่อไปของกระบวนการพัฒนาซอฟต์แวร์

ในฐานะองค์กรเทคโนโลยีชั้นนำที่ให้บริการซอฟต์แวร์ในเวียดนามและผู้ริเริ่ม CYSEEX Alliance MISA มุ่งมั่นที่จะร่วมมือกับองค์กรต่างๆ ในการปรับใช้โซลูชันความปลอดภัยขั้นสูง ปกป้องข้อมูลและระบบสารสนเทศจากการโจมตีทางไซเบอร์

ที่มา: https://www.misa.vn/149771/secdevops-model-application-information-security-solution-for-organizations/