การประยุกต์ใช้โมเดล SecDevOps – โซลูชันด้านความปลอดภัยของข้อมูลสำหรับองค์กร

[โฆษณา_1]

เมื่อวันที่ 29 พฤศจิกายน 2024 ตัวแทนจาก MISA ได้แบ่งปันประสบการณ์เชิงปฏิบัติในการสร้างวัฒนธรรม SecDevOps เพื่อเสริมสร้างความปลอดภัยของข้อมูลสำหรับองค์กรต่างๆ ในการประชุมเชิงปฏิบัติการ "ทำความเข้าใจ DevSecOps – เทคโนโลยีและโซลูชันสำหรับการควบคุมความปลอดภัย" ซึ่งจัดโดย BIDV Insurance – BIC

การประชุมเชิงปฏิบัติการครั้งนี้มีผู้เชี่ยวชาญชั้นนำในสาขาเทคโนโลยีสารสนเทศและความปลอดภัยของข้อมูลเข้าร่วม โดยผู้แทนจาก MISA ได้แก่ นาย Nguyen Quang Hoang ผู้อำนวยการฝ่ายความปลอดภัยของข้อมูล และนาย Bui Duc Truong หัวหน้าฝ่ายความปลอดภัยของข้อมูล

ภายในกรอบของการอบรมเชิงปฏิบัติการ คุณบุย ดึ๊ก ตรวง หัวหน้าฝ่ายความปลอดภัยสารสนเทศของ MISA ได้แนะนำโมเดล SecDevOps และแบ่งปันประสบการณ์ในการประยุกต์ใช้ SecDevOps กับผลิตภัณฑ์ต่างๆ เพื่อสนับสนุนองค์กรในการเพิ่มความตระหนักรู้เกี่ยวกับความปลอดภัยและความมั่นคงของข้อมูล

ตัวแทนจาก MISA ได้แบ่งปันข้อมูลนี้ในระหว่างการประชุมเชิงปฏิบัติการ

จากข้อมูลดัชนีช่องโหว่และความเสี่ยงทั่วไป (CVE) ของ Paloalto Network ระหว่างเดือนพฤศจิกายน 2022 ถึงมกราคม 2023 พบว่าช่องโหว่มักปรากฏในแอปพลิเคชันเนื่องจากการเขียนโปรแกรมที่ไม่ปลอดภัย ดังนั้นองค์กรจึงจำเป็นต้องบูรณาการความปลอดภัยเข้ากับกระบวนการพัฒนาซอฟต์แวร์ทั้งหมด โดยเฉพาะอย่างยิ่ง การนำโมเดล SecDevOps มาใช้ในการพัฒนาซอฟต์แวร์สามารถเร่งกระบวนการและลดช่องโหว่ในซอร์สโค้ดได้ 40-50% ตามที่ James Rutt ซีไอโอของ Insight กล่าวไว้

รายการการจัดสรรช่องโหว่สำหรับ CVE ตั้งแต่เดือนพฤศจิกายน 2022 ถึงมกราคม 2023

SecDevOps เป็นโมเดลการพัฒนาที่ผสมผสานความปลอดภัย การพัฒนา และการดำเนินงานเข้าด้วยกัน คล้ายกับ DevSecOps แต่ความแตกต่างที่สำคัญคือ SecDevOps ให้ความสำคัญกับความปลอดภัยในทุกขั้นตอนและทุกความคิดของแต่ละบุคคลในกระบวนการพัฒนาซอฟต์แวร์ นอกจากนี้ โมเดลนี้ยังเน้นกระบวนการทำงานและวัฒนธรรมแบบ "ทีมเดียวกัน" ส่งเสริมความร่วมมืออย่างใกล้ชิดเพื่อให้มั่นใจว่าความปลอดภัยยังคงเป็นสิ่งสำคัญสูงสุดตลอดเวลา

องค์กรจำเป็นต้องนำ SecDevOps ไปใช้อย่างมีประสิทธิภาพในสามองค์ประกอบหลัก ได้แก่ บุคลากร กระบวนการ และเทคโนโลยี

เพื่อให้การนำโมเดล SecDevOps ไปใช้ได้อย่างมีประสิทธิภาพ องค์กรจำเป็นต้องยึดมั่นในสามองค์ประกอบหลัก ได้แก่ บุคลากร กระบวนการ และเทคโนโลยี ในส่วนของบุคลากร องค์กรจำเป็นต้องพัฒนาทักษะของทีมรักษาความปลอดภัยข้อมูล ผสานรวมทีมรักษาความปลอดภัยเข้ากับทีม DevOps และให้การฝึกอบรมเกี่ยวกับการเขียนโปรแกรมและการใช้งานอย่างปลอดภัย ในส่วนของกระบวนการ องค์กรสามารถนำโมเดลวงจรการพัฒนาซอฟต์แวร์ที่ปลอดภัย (SSDLC) มาใช้ในการพัฒนาซอฟต์แวร์ที่ปลอดภัย ในส่วนของเทคโนโลยี องค์กรสามารถใช้วิธีการและเครื่องมือรักษาความปลอดภัยต่อไปนี้เพื่อตรวจจับและแก้ไขช่องโหว่: การวิเคราะห์แบบคงที่ (SAST); การวิเคราะห์แบบไดนามิก (DAST); การวิเคราะห์แบบโต้ตอบ (IAST); และการวิเคราะห์องค์ประกอบซอฟต์แวร์ (SCA)

นายตรวงกล่าวว่า โปรแกรมเมอร์จำเป็นต้องได้รับการฝึกอบรมด้านความตระหนักรู้ด้านความปลอดภัยและการเขียนโปรแกรมอย่างปลอดภัย โดยมีเป้าหมายเพื่อป้องกันช่องโหว่ที่อาจเกิดขึ้นในขั้นตอนต่อๆ ไปของกระบวนการพัฒนาซอฟต์แวร์

ในฐานะบริษัทเทคโนโลยีซอฟต์แวร์as-a-service (SAS) ชั้นนำในเวียดนาม และผู้ริเริ่มพันธมิตร CYSEEX นั้น MISA มุ่งมั่นที่จะร่วมมือกับองค์กรต่างๆ ในการนำโซลูชันด้านความปลอดภัยขั้นสูงมาใช้เพื่อปกป้องข้อมูลและระบบสารสนเทศจากการโจมตีทางไซเบอร์

[โฆษณา_2]
ที่มา: https://www.misa.vn/149771/ung-dung-mo-hinh-secdevops-giai-phap-an-toan-thong-tin-cho-cac-to-chuc/