في عالم اليوم الرقمي ، برنامج آمن ليست مجرد ميزة – إنها مطلب. يستلزم خطر التهديدات المتقدمة والهجمات الإلكترونية المشترين الذين يحملون موردي البرمجيات والبائعين مسؤولين عن الأمن. يمكن أن يؤدي الفشل في القيام بذلك إلى زيادة المخاطر والانتهاك الأمني والأضرار المحتملة للنظام الإيكولوجي الرقمي.
فهم مسؤوليات موردي البرامج أمر ضروري. يجب بناء الأمن، لم يضاف لاحقًا. وهذا يتطلب اتباع نهج استباقي لتنفيذ عناصر التحكم في الأمان والعمليات قبل تطوير الكود. تعد مقاييس مثل مراجعة التصميم الآمنة ونمذجة التهديدات وممارسات الترميز الآمنة والاختبار الصارم وإدارة الضعف المستمرة كلها جزءًا من دورة حياة تطوير البرمجيات الآمنة. يجب أن يطمئن هذا النهج الاستباقي للمشترين بأن موردي البرمجيات ملتزمون بالأمان. يجب أن يكون موردو البرامج شفافين حول اعتماد فواتير المواد للمواد (SBOMS)-قوائم مفصلة لجميع المكونات ، بما في ذلك التبعيات مفتوحة المصدر. تتيح هذه الشفافية للمؤسسات فهم المخاطر المرتبطة بمكتبات الطرف الثالث واتخاذ قرارات مستنيرة بشأن المخاطر التي يرغبون في قبولها.
دعنا نناقش سبب أهمية المساءلة. أولاً ، يمكن أن تؤدي نقاط الضعف المتأصلة في برامج البائع إلى التنازل عن البيانات الحساسة للمؤسسات والعمليات الحرجة. ثانياً ، يمكن أن يؤدي استغلال نقاط الضعف بنجاح إلى انتهاكات أمنية ، وتعريض المنظمات للغرامات الضخمة ، والالتزامات القانونية والأضرار السمعة. ثالثًا ، يضيف معالجة نقاط الضعف في بيئة الإنتاج تكاليف كبيرة إلى سياسات أمن الشركات ، وممارسات التحديث ، وأي نقاط ضعف أو انتهاكات تم اكتشافها بعد الإصدار. تعد المخاطر المالية والسمعة المتمثلة في عدم محاسبة موردي البرامج على الأمن ، مما يجعلها جانبًا مهمًا من شراء البرامج.
هناك العديد من الخطوات التي يمكن للعملاء اتخاذها لجعل المساءلة.
- يجب أن يتضمن المشترين متطلبات أمان صريحة في العقود ، وتفرض الامتثال لأفضل الممارسات ، ومراجعة الأمن العادية ، وبروتوكولات الكشف عن الضعف. يجب أن يكون لعمل هذه المعايير عواقب وخيمة ، مثل العقوبات المالية أو إنهاء العقد.
- يجب على المشترين طلب شهادات أو عمليات تدقيق مستقلة للتحقق من مطالبات أمنية البائع. شهادات مثل SOC2و FedRamp ، أو PCI DSS إثبات أن المورد خضع لتقييم دقيق. يجب على المشترين أيضًا طلب الوصول في الوقت الفعلي إلى لوحات معلومات الأمان أو التقارير لمراقبة صحة أنظمة البائع الخاصة بهم مع مرور الوقت.
- يجب على المشترين تقييم الموقف الأمني للبائع ، تاريخ الانتهاكات والقدرة على تلبية متطلبات الامتثال. إنفاذ متطلبات البائعين للكشف عن عمليات دورة حياة تطوير البرمجيات الآمنة (SDLC) وتدابير الأمان.
- لوائح مثل لائحة حماية البيانات العامة للاتحاد الأوروبي (GDPR) والولايات المتحدة شهادة نموذج نضج الأمن السيبراني (CMMC) قم بإنشاء أطر عمل تفرض المساءلة عبر سلاسل التوريد. يجب على المشترين الاستفادة من هذه اللوائح لضمان الامتثال وتشجيع الموردين على التوافق مع المعايير القانونية الأوسع.
البرامج الآمنة لم تعد اختيارية. لدى المشترين السلطة – والالتزام – بمساءلة الموردين والبائعين من خلال المطالبة بمعايير أعلى ، وفرض الامتثال من خلال العقود ، والاستفادة من الأطر التنظيمية. من خلال القيام بذلك ، فإنهم يحميون مصالحهم ويساهمون في عالم رقمي آمن.
Aditya K Sood هي نائبة رئيس هندسة الأمن واستراتيجية الذكاء الاصطناعي في أرياكا.
اقرأ المزيد عن متطلبات أمان التطبيق والترميز
