среда, 25 февраля 2015 г.

Как избежать ошибок в области ИБ

Продолжая предыдущий пост про ошибки ИБ приведем практику избегания этих ошибок (в большей степени для разработчиков софта).
Итак, что нужно делать, чтобы не допускать ошибок:

  1. Проводите самооценку
    • Делать ее на каждом этапе жизненного цикла разработки ПО
    • Это очень недорогая и эффективная мера (чеклист), которая позволит увидеть разрыв между целевым уровнем и текущим, а также понять уровень зрелости ИБ
    • Однако, важно сначала сформировать модель угроз и отталкивать от нее при самооценке
  2. Относитесь внимательнее к историям в области безопасности приложений
    • Производители и СМИ создают много шума, который часто не имеет отношения к реальности, однако, когда речь заходит о нарушения безопасности приложений, к этому стоит прислушаться (пример, Heartbleed и др.)
  3. Задавайте больше жестких вопросов
    • Каков процесс реагирования на уязвимости?
    • Какова стратегия разворачивания патчей?
    • Какие способы вы используете для информирования клиентов об уязвимостях?
    • Занимаетесь ли вопросами ИБ безопасности на каждом этапе вашего жизненного цикла разработки программного обеспечения (формирование требований, проектирование, разработка, тестирование и развертывание)?
    • и др.
  4. Создайте свою группу ("Red team") этичных хакеров
    • Таким образом, можно моделировать внешние атаки
  5. Повышайте осведомленность своей команды
Такие, довольно общие, рекомендации даются в статье Biggest Information Security Mistakes that Organizations Make, но, в целом они могут быть полезны.

Secure your life!