Κολλήστε με ασφάλεια: Εφαρμόστε πρακτικές ασφαλείας ήχου κατά την ανάπτυξη νέων προϊόντων

Η εταιρεία σας έχει μια ιδέα δολοφόνων για μια καινοτόμο εφαρμογή ή ένα συνδεδεμένο προϊόν και βρίσκεστε σε αυτό το αρχικό στάδιο μπλε-ουρανοειδούς και λευκού. Θα έχετε πολλές ευκαιρίες για να αναπτύξετε την αλυσίδα διανομής σας, να δημιουργήσετε εντυπωσιακές διαφημίσεις και να ξεκινήσετε το buzz των κοινωνικών μέσων. Αλλά υπάρχει ένα καθήκον που δεν μπορεί να περιμένει. Τώρα είναι η ώρα να ξεκινήσετε με την ασφάλεια – και αυτό περιλαμβάνει την εφαρμογή πρακτικών ασφαλείας ήχου κατά την ανάπτυξη νέων προϊόντων.

Οι εμπειρογνώμονες τεχνολογίας θα σας πουν ότι είναι δύσκολο να μεταμοσχεύσετε την ασφάλεια μετά το γεγονός. Η στρατηγική Sounder – και η πιο πιθανό να κερδίσει την εμπιστοσύνη των καταναλωτών – είναι να οικοδομήσουμε ασφάλεια από την αρχή. Μια ματιά στις έρευνες της FTC, στις ενέργειες επιβολής του νόμου και στις εμπειρίες που μοιράστηκαν οι επιχειρήσεις μαζί μας προτείνουν τη σημασία της έναρξης με την ασφάλεια στην ανάπτυξη προϊόντων. Ακολουθούν παραδείγματα που συλλέγονται από αυτές τις πηγές.

Εκπαιδεύστε τους μηχανικούς σας σε ασφαλή κωδικοποίηση.

Το ασφάλιστρο που η εταιρεία σας τοποθετεί στην ασφάλεια δεδομένων ήχου δεν μπορεί να είναι ένα “είναι αυτονόητο. . . ” είδος πράγματος. Πείτε το καθαρά, ειλικρινά και συχνά. Δημιουργήστε ένα εργασιακό περιβάλλον όπου το προσωπικό σας ενθαρρύνεται σε κάθε στάδιο για να υπολογίσει την ασφάλεια στην ανάπτυξη προϊόντων. Από την ιδέα στην αγορά και πέρα ​​από αυτό, διατυπώστε την προσδοκία σας ότι οι εργαζόμενοι διατηρούν την ασφάλεια στην πρώτη γραμμή της λήψης αποφάσεων. Τελικά, είναι η καλύτερη στρατηγική για τους πελάτες σας, την εταιρική σας φήμη και την κερδοφορία σας.

Παράδειγμα: Μια εταιρεία που ξεκινά ένα νέο προϊόν λογισμικού δίνει έμφαση στους μηχανικούς λογισμικού της τη σημασία της κωδικοποίησης γρήγορα για να εξασφαλίσει ότι το προϊόν φτάνει στην αγορά το συντομότερο δυνατό-και οι μηχανικοί πληρούν τις προθεσμίες κωδικοποίησης. Αλλά μόνο αφού το προϊόν βρίσκεται στα χέρια των καταναλωτών, η εταιρεία ανακαλύπτει ότι οι μηχανικοί έχουν επανειλημμένα δημιουργήσει κώδικα που είναι ευαίσθητος σε κοινές και γνωστές ευπάθειες ασφαλείας για τις οποίες υπάρχουν διαθέσιμες λύσεις. Για να διορθώσει το πρόβλημα, η εταιρεία πρέπει να εφαρμόσει μια δαπανηρή επιδιόρθωση μετά το παρελθόν. Η πιο αποτελεσματική-και τελικά, πιο οικονομικά αποδοτική-η πρακτική θα ήταν για την εταιρεία να τονίσει στους μηχανικούς λογισμικού της τη σημασία της ασφαλούς κωδικοποίησης σε όλη τη διαδικασία ανάπτυξης και να τους παράσχει την απαραίτητη εκπαίδευση για να ανταποκριθεί στην προσδοκία αυτή.

Ακολουθήστε τις οδηγίες πλατφόρμας για την ασφάλεια.

Η εκκίνηση με την ασφάλεια δεν σημαίνει απαραίτητα να ξεκινάτε από το μηδέν. Κάθε σημαντική πλατφόρμα έχει κατευθυντήριες γραμμές για τους προγραμματιστές για να βοηθήσουν να διατηρήσουν ασφαλή τα ευαίσθητα δεδομένα. Οι σοφές εταιρείες λαμβάνουν υπόψη αυτές τις συμβουλές για το σχεδιασμό νέων προϊόντων.

Παράδειγμα: Μια εταιρεία Δημιουργεί μια εφαρμογή για κινητά για δύο διαφορετικές πλατφόρμες εφαρμογών. Και οι δύο πλατφόρμες απαιτούν κρυπτογραφημένα δεδομένα κατά τη διαμετακόμιση και οι δύο διαθέτουν διεπαφές προγραμματισμού εφαρμογών (APIs) που παρέχουν κρυπτογράφηση βιομηχανικών προτάσεων. Χρησιμοποιώντας σωστά τα API των πλατφορμών, οι μηχανικοί της εταιρείας μπορούν να βοηθήσουν να διατηρήσουν τα δεδομένα ασφαλή.

Βεβαιωθείτε ότι τα χαρακτηριστικά ασφαλείας λειτουργούν.

Κρατώντας μια ομπρέλα στο αυτοκίνητό σας είναι μια συνετή ιδέα, αλλά δοκιμάστε την ενώ ο ήλιος λάμπει. Μην περιμένετε μέχρι μια καταρρακτώδη βίαιη για να μάθετε ότι οι νευρώσεις είναι λυγισμένες ή η λαβή έχει σπάσει. Σε παρόμοιο πνεύμα, είναι σοφό να οικοδομήσουμε χαρακτηριστικά ασφαλείας στα προϊόντα σας, αλλά προτού κατευθυνθείτε στην αγορά, βεβαιωθείτε ότι είναι ενεργοποιημένες και λειτουργούν σωστά.

Επιπλέον, εάν κάνετε αξιώσεις στους καταναλωτές σχετικά με τη φύση της ασφάλειας που παρέχει το προϊόν σας, αυτές οι αναπαραστάσεις πρέπει να είναι ειλικρινείς και να υποστηρίζονται από την απόδειξη που έχετε στο χέρι πριν αρχίσετε να πωλείτε. “Αλλά δεν κάνουμε αξιώσεις που σχετίζονται με την ασφάλεια.” Ίσως έτσι, αλλά είστε σίγουροι; Σύμφωνα με το νόμο FTC, οι εταιρείες είναι υπεύθυνες για όλες τις παραστάσεις – ρητές και σιωπηρές – ότι οι καταναλωτές ενεργούν λογικά υπό τις συνθήκες από τις συνθήκες που λαμβάνουν από τα υλικά μάρκετινγκ μιας εταιρείας. Αυτό περιλαμβάνει δηλώσεις ή απεικονίσεις που μεταφέρονται στην τηλεόραση ή το ραδιόφωνο, σε έντυπη μορφή, στον ιστότοπό σας, στις διαφημίσεις στο διαδίκτυο, στη συσκευασία, μέσω των κοινωνικών μέσων, στις πολιτικές απορρήτου ή σε ένα κατάστημα εφαρμογών. Οι επιχειρήσεις είναι ελεύθερες να θέσουν τα χαρακτηριστικά ασφαλείας μπροστά και στο κέντρο του υλικού μάρκετινγκ, εφόσον τιμούν τα καθιερωμένα πρότυπα αλήθειας. Έτσι, προτού προσφέρετε τα οφέλη ασφαλείας του προϊόντος σας, βεβαιωθείτε ότι ανταποκρίνονται στις διαφημιζόμενες υποσχέσεις σας.

Παράδειγμα: Μια εταιρεία που πωλεί μια εφαρμογή για τον προϋπολογισμό οικιακής χρήσης εκτελεί μια διαφήμιση υποστηρίζοντας ότι το προϊόν της έχει “ασφάλεια τραπεζικής βαθμολογίας”. Αλλά η εταιρεία δεν διαθέτει γραπτό πρόγραμμα ασφαλείας, δεν διεξάγει αξιολογήσεις κινδύνου, δεν εκπαιδεύει τους υπαλλήλους της σε ασφαλείς πρακτικές πληροφόρησης και δεν εφαρμόζει άλλες πρακτικές που συνδέονται συνήθως με την “ασφάλεια τραπεζών”. Κάνοντας παραστάσεις που είναι ψευδείς ή αβάσιμες, η εταιρεία πιθανότατα παραβίασε τα καθιερωμένα πρότυπα της αλήθειας.

Δοκιμή για κοινά τρωτά σημεία.

Υπάρχει κάποιος τρόπος να φτιάξετε το προϊόν σας 100% hack-proof; Χωρίς να επιστρέφει στις ημέρες των κουτιών κασσίτερου που συνδέονται με τη συμβολοσειρά, η απάντηση είναι όχι. Αλλά υπάρχουν βήματα που μπορείτε να λάβετε για να προστατεύσετε τους πελάτες σας από γνωστά τρωτά σημεία που μπορούν να προληφθούν με δοκιμασμένα εργαλεία ασφαλείας. Τα καλά νέα είναι ότι πολλά από αυτά τα εργαλεία είναι δωρεάν ή διαθέσιμα με χαμηλό κόστος. Πριν απελευθερώσετε το προϊόν σας, βεβαιωθείτε ότι είναι έτοιμο για πρωταρχικό χρόνο. Δοκιμάστε το για να βεβαιωθείτε ότι έχετε δημιουργήσει άμυνες ενάντια στους γνωστούς κινδύνους.

Φυσικά, οι νέες απειλές αναδύονται περιοδικά, γι ‘αυτό και η ασφάλεια πρέπει να είναι μια δυναμική διαδικασία στην επιχείρησή σας. Τα πρωτόκολλα ασφαλείας που δημιουργήσατε για το προϊόν του περασμένου έτους ενδέχεται να μην επαρκούν για την έκδοση 2.0. Πώς μπορείτε να κρατήσετε το αυτί σας στο έδαφος για την υπεράσπιση των τελευταίων απειλών; Υπάρχει ισχυρή δημόσια διασταύρωση μεταξύ ερευνητών, τεχνολογικών εμπειρογνωμόνων, μελών της βιομηχανίας, κυβερνητικών υπηρεσιών και άλλων που δεσμεύονται να κολλήσουν με την ασφάλεια. Ακολουθήστε τις συζητήσεις τους σχετικά με αξιόπιστους ιστότοπους, λάβετε υπόψη τις προειδοποιήσεις τους σχετικά με τους νέους κινδύνους και αναθεωρήστε τις αποφάσεις σχεδιασμού σας ανάλογα.

Παράδειγμα: Μια αίτηση αγώνα 10K απαιτεί από τους καταχωρίζοντες να εισαγάγουν το όνομα, τη διεύθυνση, την ημερομηνία γέννησης, τον αριθμό της πιστωτικής κάρτας και τον ταχύτερο χρόνο 10k. Τα δεδομένα αποθηκεύονται σε μια βάση δεδομένων SQL που συνδυάζει δεδομένα από γεγονότα αγώνα σε όλη τη χώρα. Οι διοργανωτές της εκδήλωσης δεν συμβουλεύτηκαν τους δωρεάν πόρους για να παραμείνουν τρέχοντες σε κινδύνους ασφαλείας και δεν πραγματοποίησαν ποτέ δοκιμές ανάλυσης κώδικα ή διείσδυσης για να αξιολογήσουν εάν η αίτησή τους ήταν ευάλωτη σε επίθεση έγχυσης SQL. Με την παραμονή σας με δωρεάν πόρους – για παράδειγμα, το Top Ten Project του OWASP – ο διοργανωτής των εκδηλώσεων θα μπορούσε να μειώσει τον κίνδυνο να εκθέσει τα προσωπικά στοιχεία των δρομέων σε μη εξουσιοδοτημένη πρόσβαση.

Παράδειγμα: Μια εταιρεία εφαρμογών συμβουλεύει τακτικά τους δημόσιους πόρους όπως η US-CERT για ενημερωμένες πληροφορίες σχετικά με την Cyberthreats. Η εταιρεία συνειδητοποιεί ότι το προϊόν που αναπτύσσεται περιλαμβάνει ένα ελάττωμα ασφαλείας που έχουν αρχίσει να εκμεταλλεύονται ορισμένοι χάκερ. Παίρνοντας το πρόβλημα νωρίς και εφαρμόζοντας μια κατάλληλη λύση, η εταιρεία έχει προστατεύσει τους πελάτες της και τη φήμη της.

Τι μπορούν να μάθουν οι εταιρείες από αυτά τα παραδείγματα; Η οικοδόμηση ασφάλειας από το έδαφος είναι μια οικονομικά αποδοτική προσέγγιση της καινοτομίας.

Στη συνέχεια στη σειρά: Βεβαιωθείτε ότι οι πάροχοι υπηρεσιών σας εφαρμόζουν εύλογα μέτρα ασφαλείας