Trzy filary bezpieczeństwa usług aplikacji

27-07-2018, 16:28

Zarówno w przypadku firm oferujących usługi finansowe, jak i sklepów detalicznych, aplikacje są kluczowym elementem transformacji biznesowej. Mimo to, wiele przedsiębiorstw wciąż naraża swoje biznesy na zbedne ryzyko. Według danych raportu o Stanie Dostarczania Aplikacji (SOAD) z 2018 roku, 36% organizacji planuje zabezpieczyć mniej niż jedną czwartą swoich aplikacji - to niewiele. Ekspert radzi, jak chronić firmę lepiej.

Bezpieczeństwo aplikacji ma bezpośredni wpływ na reputację organizacji. Wraz z wejściem RODO użytkownicy zdobyli nowe prawa dotyczące swoich danych, a na firmy spadła większa odpowiedzialność za zapewnienie ich ochrony. Instytucje muszą teraz jeszcze skuteczniej zarządzać ryzykiem dotyczącym wrażliwych danych.  Od firm oczekuje się dostarczania usług aplikacji, zapewniających szybkość działania, elastyczność oraz bezpieczeństwo. Organizacje powinny podjąć następujące kroki, aby zapewnić lepszą ochronę swoich aplikacji.

1. Wprowadź nowoczesne techniki uwierzytelniania

Aplikacje odpowiedzialne za usługi biznesowe coraz częściej wykorzystują rozwiązania chmurowe i stają się częścią złożonych ekosystemów. Tym bardziej, firmy powinny wprowadzić bardziej rygorystyczne zasady uwierzytelniania użytkowników przy projektowaniu, rozwoju i wdrażaniu oprogramowania.   

Podczas gdy hasła i tokeny były kiedyś podstawą identyfikacji i zarządzania dostępem, obecnie wieloczynnikowa weryfikacja, wystandaryzowane rozwiązania, biometryka i uwierzytelnianie za pomocą smartfonów stanowią preferowane alternatywy.

Szacuje się, że botnety takie jak Mirai czy Reaper będą rosły w siłę. Zgodnie z ostatnimi informacjami udostępnionymi przez Symantec, zarządzający botnetami walczą między sobą o przejęcie tych samym grup urządzeń – identyfikując i usuwając złośliwe oprogramowanie pochodzące od konkurentów. Aby chronić się przed rosnącymi zagrożeniami, firmy nie powinny polegać jedynie na loginach i hasłach, lecz wprowadzić zaawansowane, zintegrowane rozwiązania bezpieczeństwa.

2. Zautomatyzuj tam, gdzie to koniecznie

Dzięki technologiom NSA, które wyciekły do publicznej domeny, hakerzy mają dostęp do wysoce zaawansowanych narzędzi. Mimo to, według raportu Verizon 2017 Data Breach Investigations Report, 88% naruszeń bezpieczeństwa wpisuje się w dziewięć schematów działania zidentyfikowanych już w 2014 roku. Oznacza to, że podczas gdy cyberprzestępcy wykorzystują nowe taktyki, ich strategie pozostają niezmienione. Tym samym, zrozumienie w jaki sposób przeprowadzane są ataki skierowane przeciwko aplikacjom, pomaga wprowadzić skuteczną ochronę.

Zewnętrzne aplikacje są typowo celem ataków na API, typu credential stuffing czy DDoS, natomiast programy wewnętrzne są na celowniku złośliwego oprogramowania ransomware, malware oraz ataków na adresy IP. Niezależnie od miejsca utrzymywania oprogramowania, firmy muszą zapewnić ochronę aplikacji, systemów operacyjnych i przeglądarek przed najnowszymi zagrożeniami.

Przemyślane inwestycje powinny minimalizować konieczność manualnej interwencji i konfiguracji. Rozwiązania, które potrafią automatycznie dostosowywać się do zmieniających się warunków, pomogą ograniczyć wymagane nakłady na zarządzanie infrastrukturą bezpieczeństwa.

Z raportu SOAD 2018 wynika, że 53% organizacji już korzysta z automatyzacji w pełni lub częściowo na etapie produkcji. Ponadto, tego typu rozwiązania pomagają firmom spełniać wymogi prawne. Regulacje RODO wymagają, aby naruszenia bezpieczeństwa danych były bezzwłocznie zgłaszane odpowiednim organom, a zaawansowane technologie pomagają sprostać temu zadaniu w przypadku ataku hakera.

3. Współpracuj w ramach całego przedsiębiorstwa

Od zarządu aż do szeregowych pracowników, dbałość o bezpieczeństwo powinna być kluczowym elementem kultury organizacyjnej firmy. Kadra zarządzająca musi blisko współpracować z działem odpowiedzialnym za bezpieczeństwo – od dyrektora, przez architektów aż po specjalistów. Natomiast dla pracowników należy zorganizować regularne szkolenia z zakresu cyfrowej ochrony danych. Inwestycje w nowe technologie powinny już na samym etapie planowania uwzględniać aspekt ochrony danych i zasobów, a w ramach potrzeb zasadne jest również zaangażowanie niezależnych konsultantów, którzy mają się upewnić, że firmowa strategia przyniesie optymalne rezultaty.

Organizacje muszą też zadbać o to, aby postępująca automatyzacja i cyfryzacja przebiegały zgodnie z wymogami prawnymi. Według najnowszych regulacji firmy muszą mianować Inspektora Ochrony Danych, odpowiedzialnego za wszelkie kwestie związane z ochroną i przetwarzaniem danych osobowych. W takiej rzeczywistości współpraca między działem prawnym, sprzedaży, marketingu i operacyjnym jest kluczowa dla wprowadzenia odpowiednich procedur mitygowania i reagowania na zagrożenia.   

Autor: Ireneusz Wiśniewski, Dyrektor Zarządzający w F5 Networks


Źródło: materiał nadesłany do redakcji
To warto przeczytać


fot. Oracle





fot. yto



Komentarze
comments powered by Disqus
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Sierpień 2018»
PoWtŚrCzwPtSbNd
 12345
6789101112
13141516171819
20212223242526
2728293031 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.