مثل الكثيرين في مهنة أمن تكنولوجيا المعلومات ، رحبت بـ ملاحظات حديثة صنعت من قبل المنتهية ولايته CISA Chief Jen Easterly ، والتي أشارت فيها إلى أن جعل البرامج أكثر أمانًا قد لا يكون سهلاً أو رخيصًا ، ولكنه الطريقة الوحيدة لحماية أنظمة تكنولوجيا المعلومات حقًا.
إن مقارنة شركة Easterly لصناعة البرمجيات اليوم مع صناعة السيارات “قبل المقعد” في الستينيات من القرن الماضي ، أدهشني ذلك بشكل خاص. غير آمن في أي سرعة ، نشرت في عام 1965 من قبل رالف نادر ، التغير التحويلي المترسب في صناعة السيارات ، بحكم طالما سمح لمصانع السيارات بالتنظيم ذاتيا ، فإنهم سيستمرون في إعطاء الأولوية للتكلفة والتكلفة والأداء والتقدم المحسوب على السلامة والمصالح الفضلى للمستهلك.
سيستمرون أيضًا في الدوران عندما يتعلق الأمر بالحوادث ، حيث قاموا بإلقاء السائقين في دور “الجوز خلف العجلة” ، بدلاً من مسؤولية سيارات سيئة بطبيعتها.
بعد مرور ستين عامًا ، هناك أوجه تشابه واضحة مع منتجات البرمجيات الحديثة. مع المطورين في السعي الساخن للأناقة والسرعة والأولويات الأخرى ، لا تزال الحشرات ونقاط الضعف. وهناك قدر لا بأس به من تهيئة الأصابع على المستخدمين أيضًا. قيل لنا إنهم لا يعرفون كيفية استخدام هذه الأنظمة بأمان أو لحمايتها بشكل كاف. ينقل هذا الرواية المريحة رسالة مفادها أنه مع وجود مستخدمين مثل هذه ، هل من عجب أن تحدث “حوادث” مثل هجمات الفدية وانتهاكات البيانات؟
ولكن كما أشار Easterly ، هذا ليس عادلاً. لا يمكننا الاستمرار في قبول البرمجيات الخطرة ونحتاج إلى التعمق في القضايا والعيوب التي تؤدي إلى انتهاكات. العمل الذي تقوم به CISA مع آمنة حسب التصميم تعد المبادرة خطوة مهمة بشكل لا يصدق وبناءة في محاسبة صناعة البرمجيات.
ولكن كعملاء ، نحتاج أيضًا إلى لعب دورنا في الضغط من أجل التغيير. في العام أو نحو ذلك بعد نشر كتاب نادر ، اعتمدت الولايات المتحدة قوانين لسلامة السيارات وأنشأت الوكالة الوطنية للسلامة المرورية. على مدار العقود منذ ذلك الحين ، ساعد ضغط العملاء في دفع المقدمة الواسعة لأحزمة المقاعد والفرامل المضادة للانغلاق والأكياس الهوائية.
مطالب أفضل من الموردين
كمشترين للبرامج ، يجب على المؤسسات أن تطلب بشكل أفضل من الموردين – ويجب أن يلعب فريق أمان تكنولوجيا المعلومات دورًا نشطًا في أي وجميع المفاوضات معهم. في الواقع ، ينبغي أن يشارك من المراحل الأولى ، والدخول خلال عملية المشتريات والدفاع عن رسالة الأمن.
بدون هذه المشاركة ، يتمثل المخاطرة في أن يتم شراء وتثبيت جزء غير آمن بطبيعته وتثبيته ، مما يؤدي لاحقًا إلى مجموعة كاملة من المشكلات لأمن تكنولوجيا المعلومات: الكثير من البقع ، والكثير من التحديثات ، والكثير من التدريبات على الحريق والاستجابات الطارئة. باختصار ، لديك جزء من البرنامج يمثل استنزافًا كبيرًا للموارد ومصدر ثابت للانقطاع لفريق أمان تكنولوجيا المعلومات. من حيث تشبيه السيارة ، لقد اشتريت للتو ليمون.
بعد كل شيء ، ليس من المعروف أن يقوم فريق تنفيذي باتخاذ قرار لشراء البرامج بناءً على ما تفعله المؤسسات الأخرى ، وما هو المنتج الذي يعتبر “رائدًا في السوق” ، وعلاقة موجودة بين المؤسسة ومورد معين ، أو العديد من الاعتبارات الأخرى-ولكن جميعها لاستبعاد ما هو أفضل لبيئة المنظمة وأمنها.
في الواقع ، فإن CISO وفريقهم مسؤولون عن التأكد من أن كل جزء من التكنولوجيا التي يتم إحضارها إلى المنظمة تتماشى مع وضعها للمخاطر وضوابطها الأمنية المحددة جيدًا. باختصار ، يتعين عليهم تحديد ما إذا كان هذا الشراء المقترح سيفي بنفس المتطلبات التي من المتوقع أن تلبيها كل جزء آخر من البرامج.
في تجربتي ، هذا هو المكان “الأعمى” الرسمي طلب اقتراح (RFP) يمكن أن تدفع العملية أرباحًا ، مما يضمن عدم تأثر قرارات شراء البرامج بسمعة العلامة التجارية أو نفوذ التسويق. من هناك ، يجب أن يشارك فريق أمان تكنولوجيا المعلومات بنشاط في إثبات المفاهيم (POCs) التي تتضمن تجربة عناصر من البرامج الجديدة داخل البيئة الحالية ، والتأكد من أنها تعمل وتحديد أي مشكلات محتملة ، وأخذ البرنامج “للاختبار” ، إذا صح التعبير.
سيمنح ذلك فريق أمن تكنولوجيا المعلومات أساسًا متينًا لإشراك الزملاء من أماكن أخرى من العمل في محادثة قوية حول المخاطر. نادراً ما تكون (إن وجدت) حالة من فريق أمن تكنولوجيا المعلومات الذي يحاول حق النقض ضد عملية شراء. يتعلق الأمر بهم أكثر من مساعدة المؤسسة على فهم كيفية التخفيف من المخاطر المحددة – أو قبولها ، إذا تبين أن المنظمة مرتاحًا لتلك المخاطر. قبل كل شيء ، يتعلق الأمر بفهم appetite المخاطر داخل المنظمة وكيف يتم تشغيل ذلك في سياق ما تحاول العمل تحقيقه.
حذار المشتري
ولكن قبل كل شيء ، يجب أن يكون فريق أمان تكنولوجيا المعلومات جزءًا من الجهد التنظيمي الأوسع لتوقع المزيد من الموردين – جهدنا الخاص للإصرار على “الآمنة حسب التصميم” ، ضمن الشكل المصغر للشراء الفردي.
ببساطة ، فإن مشهد المخاطر الذي تواجهه فرق تكنولوجيا المعلومات اليوم ، مع العديد من انتهاكات البيانات وهجماتها ، هو النتيجة المباشرة لعدم توقع المزيد ، لقبول ببساطة أن اللوائح ومتطلبات الامتثال حول أمن تكنولوجيا المعلومات يجب أن يتحملها المشترين للبرامج ، وليس منشئيها.
يجب أن يتغير. يجب أن نرفع توقعاتنا وتحويل المساءلة ، لأنه حتى يحدث ذلك ، سيستمر العملاء في تولي العمل بعد التنفيذ الذي تفشله شركات البرمجيات في تنفيذ المنتجات. إذا لم يكن لدى العملاء هذا العمل الذي يتعين عليهم القيام به ، فيمكنهم قضاء المزيد من الوقت في البحث في كيفية تشغيل بيئاتهم بشكل أفضل ، وتوفير تجارب أفضل للعملاء ، ومساعدة الشركات على تحقيق أهدافها المالية ذات الخلاص القاع.
بالنسبة لصناعة السيارات ، كان يجب أن تكون الأولوية الأولى سيارة أكثر أمانًا وأكثر عجزًا عن الحوادث. بالنسبة لنا ، يجب أن تكون أكثر أمانًا ، وبرمجيات أكثر مقاومة للانتهاك.
