ליווי אבטחת מידע אפליקטיבית

אבטחת מידע אפליקטיבית היא חלק מההגנות שניתן וצריך לעשות בארגון המפתח בין היתר אפליקציות חדשות. בהרבה ארגונים אבטחת מידע נוגע בפרויקט בסיומו, כאשר צריך לבדוק את האפליקציה ולאשר עליה לאוויר. וגישה זו הינה בעייתית. מכוון  שבבדיקות אבטחת מידע (בדיקות חדירה, סקר קוד, סקר אפליקטיבי) אפשר לגלות פערים אשר היה אפשר למנוע אילו אבטחת מידע היו בודקים את הפרויקט עוד בשלב האפיון. במקומות בהן אני נותן שירות, השתדלתי שכל פרויקט חדש שמתחיל, יהיה חייב לעבור ליווי של מומחה אבטחת מידע  אפליקטיבי בשביל להגדיר דרישות אבטחת מידע שיכנסו לפרויקט טרם תחילת הפיתוח. גישה זו מונעת בנית ארכיטקטורה לקויה, ופיתוח לא נכון.

למשאל באחד הפרויקטים שליוויתי, הדגשתי צורך בבדיקות מסוימות בקלט אשר המאפיינים לא חשבו כי מבחינתם היה חשוב לעלות את הפרויקט בזמן. אך בבדיקות קבלה של אבטחת מידע זה בטח היה עולה והיו צריכים לשנות את הפרויקט לאחר סיומו. 

במקרה אחר בו עשיתי רק בדיקות לפני עליה לאוויר, לא היה ליווי אפליקטיבי. ובבדיקות של API התגלו דברים אשר היו יכולים לחשוף מידע רב לפי ת.ז. אחר הצגת הממצאים והמלצות לפתרון, התקבלה ההחלטה אכן לתקן את הליקויים והמפתחים נשארו לעבוד עד הלילה כדי לעלות את הפרויקט בזמן עם התיקונים. דבר זה היה אפשר למנוע במעבר על האפיון של איש אבטחת מידע אפליקטיבי.

בעקבות זה חשוב מאוד גם להעביר הדרכות פיתוח מאובטח, לא רק למפתחים, אלה גם למאפיינים ולמנהלי הפרויקטים. ככל שיש יותר מודעות בנושא אבטחת מידע כך ניתן למנוע חדירות או הוצאת מידע עקב תכנון לא נכון.


לקבלת שירות בנושא אבטחת מידע אפליקטיבי ניתן לפנות אלי דרך האתר  
לקבל הדרכת פיתוח מאובטח גם ניתן לצור איתי קשר דרך האתר

תגובות

פוסטים פופולריים מהבלוג הזה

גישה פיסית - game over

הגנה על Web services 2

הגנה על WEB SERVICES