Küçük Şirketlerin vCISO'lara Benzer Kesirli AppSec Ekiplerine İhtiyacı Var mı? - Dünyadan Güncel Teknoloji Haberleri

Küçük Şirketlerin vCISO'lara Benzer Kesirli AppSec Ekiplerine İhtiyacı Var mı? - Dünyadan Güncel Teknoloji Haberleri
Elbette şube korumamız var, tabii ki bunları yapıyoruz çünkü ilk günden beri oradaydılar, oysa güvenlik ekibi daha sonra gelip onlardan bazı şeyleri değiştirmelerini talep ediyordu Kendisi ve Callas’ın şu anda şirketi kendilerinin yönettiğini ancak Zatik’in ölçeklenmesiyle daha fazla personel getirmeyi planladıklarını ve aynı zamanda müşterileri için gerekli alanlarda ek uzmanlık sağlamak üzere bir ortaklar ağından faydalanmayı planladıklarını söylüyor

Bu asırlık bir sorundur ve küçük işletme sahiplerine veya küçük geliştirme ekiplerine vaaz vermek kesinlikle pratik değildir ”



siber-1

Sonuçta amaç, küçük şirketlerin tasarım gereği güvenlik anlayışını en başından itibaren geliştirmelerine yardımcı olmaktır Ancak bunlar genellikle kurumsal odaklı ve uyumluluk odaklıdır Strateji belirlemek için belki çeyreklik bir tek boynuzlu ata ihtiyaçları var ve ardından yılın geri kalanında bir tek boynuzlu atın %10’una ihtiyaçları var” diyor Bu yüzden diğer alanlara burnumuzu sokmayız birini çok uzun süre meşgul etmeye yetecek kadar iş Ve böylece, küçük şirketler, güvenliği pek fazla düşünmeden, çoğu zaman tüm iş modellerinin dayandığı yenilikçi uygulamalar olan yazılımı oluşturur ve gönderir

Sadece sınıfının en iyisi ürün güvenliği uzmanları ve güvenlik bilincine sahip geliştiricilerin hâlâ yazılım mühendisliği pazarının “tek boynuzlu atları” olduğunu değil, aynı zamanda çoğu küçük işletmenin bunu yapabilecek kadar büyük olmadığını da anlayacak kadar etrafta dolaştı ”

Bazı şirketler, eğer yeterince erken davranırlarsa, eksiksiz bir siber güvenlik programı oluşturma paketine ihtiyaç duyabilirler; kendisi ve Callas’ın bu konuda onlara yardımcı olacak donanıma sahip olduğu bir şey



Tasarım gereği güvenli yazılım geliştirmenin temel ilkelerinden biri, kuruluşların güvenlik kaygılarını daha ilk andan itibaren hesaba katma zorunluluğudur Zatik, şirketlerin bir güvenlik programını çalışır duruma getirmek için ihtiyaç duydukları tek boynuzlu at düzeyindeki AppSec uzmanlığının küçük bir yüzdesinden yararlanmasına yardımcı olan kısmi bir güvenlik danışmanlık firmasıdır Ayrıca daha çok tasarım, DevOps hattı, CI/CD, güvenlik kontrolleri ve benzeri şeylerle ürününüzü nasıl güvenli bir şekilde oluşturabileceğinize bakıyoruz Yazılım geliştiren küçük şirketlerin sorunu, bu tür bir sorumluluğu mühendislik veya DevOps sürecine dahil etmek için gerekli olan uygulama güvenliği uzmanlığına erişmenin ve bunun için ödeme yapmanın gerçekten zor olabilmesidir “Büyüdükçe, işe aldıkları ve yönettikleri mühendislerin bunun ‘biz bunu böyle yapıyoruz’ olduğunu anladığı, tasarımı itibarıyla güvenli bir platformla büyüyorlar

“Deneyimli uygulama güvenliği personeli yetersiz ve büyük şirketler, dünyanın Microsoft’ları, Amazon’ları, Apple’ları ve Google’ları tarafından eziliyorlar ve eğer daha küçük bir şirketseniz, rekabet etmiyorsunuz demektir Ürün güvenliği ve AppSec ekiplerine liderlik eden Kymberlee Price, güvenlik araştırmacısı olarak çalıştığını ve Microsoft, Amazon ve Bugcrowd gibi şirketler için kırmızı ekip ve olay müdahale operasyonlarını yürüttüğünü açıkladı Pahalı bir yeniden düzenlemeye gerek kalmadan, çoğu zaman yapabilecekleri tek şey, güvenlik kontrollerini devreye sokmak veya çok derinlere gidebilecek güvenlik sorunlarına yara bandı uygulamaktır Price, PGP ve Silent Circle’ı kurmasıyla tanınan bir başka güvenlik yıldızı olan kurucu ortağı Jon Callas ile birlikte, yeni kurulan şirketler ve küçük işletmeler için yazılım güvenliği oyun alanını eşitlemeyi umuyor

“Konuştuğumuz küçük şirketlerin sevdiğim yönlerinden biri de onların olgunluk döngüsüne erken girmemizdir” diyor Price şöyle açıklıyor: “Yani bu kesirli modele gerçekten güzel bir tamamlayıcı Bunu yalnızca harika bir iş fırsatı olarak değil, aynı zamanda teknoloji dünyasında güvenlik konusunda ilerleme kaydetmenin bir yolu olarak görüyor Bu yeni AppSec ekibi, daha başlamadan sekiz topun arkasında

Price, “Bizim en önemli noktamız gerçekten geliştirici deneyimini güvence altına almak, ancak onların teknoloji yığınlarına bakmalarına, bazı önerilerde bulunmalarına ve diğer ortaklara bazı tanıtımlar yapmalarına yardımcı olabiliriz” diyor “Demek istediğim, çalışanların erişim kontrolü yoksa ürününüzün güvenliğini sağlamanıza yardımcı olamam

Price’ın yeni danışmanlık şirketi Zatik ile hafifletmeyi umduğu temel sorun da bu

Bir startup “büyüdüğünde” ve işini bazı uygulama güvenliği profesyonellerini uygun şekilde işe alabilecek kadar büyüttüğünde, tasarım gereği güvenlik çoktan pencereden uçup gitmişti

“Sanal CISO’ları seviyoruz Yazılım yığınında halihazırda bir ton güvenlik teknik borcu birikmiş durumda Biraz farklı bir odağa sahip, sanal bir CISO ile aynı kalıpta oluşturulmuştur

“Tam zamanlı bir tek boynuzlu ata ihtiyaçları yok Uygulamaların tasarlandığı, tasarlandığı ve kodlandığı şekilde yerleşiktir