Har produkteiere, prosjektledere og styringsgruppen nok fokus på sikkerhet i utvikling av nye applikasjoner? Hvordan reduserer du risikoen for at appen, portalen, nettsiden eller systemet ditt blir tatt over av noen fremmede? Avisoverskrifter med cyberangrep, kundedata på avveie, svarte skjermer har store konsekvenser for kunder, medarbeidere og eiere. Jeg har derfor satt opp tre konkrete tips på sikkerhet, slik at du kan sove bedre om natten.
Offentlige anskaffelser stiller krav til informasjonssikkerhet og personvern. Bedrifter har retningslinjer og prosedyrer. Ulike risikovurderinger gjennomføres med fokus på sannsynlighet og konsekvens for uønsket hendelse. Ut fra disse planlegges det tiltak for å forhindre og redusere konsekvensen. Etablerte standarder og sertifiseringer finnes som ISO 27001. Sikkerhet må settes på agendaen, ikke bare for IT sjefer og utviklere.
Under finner du tre konkrete tips for sikkerhet knyttet til applikasjoner.
Når teamet settes sammen fra design, utviklere, testere og andre deltakere må også eksperter på sikkerhet med. Ved vurdering av tekniske muligheter, arkitektur og løsningsforslag må sikkerheten settes på agendaen. Kommer sikkerhet for sent inn, kan det påvirke løsningen og få konsekvenser. Nye eller endrede sikkerhetskrav kan påvirke design, tekniske valg og byggingen av løsningen. Bruk heller mer tid i planleggingsfasen enn senere på sikkerhet. Dersom utviklingen må rykke tilbake til start på grunn av endringer i sikkerhetskravene får det konsekvenser for tid og kostnad.
I utdanningen og opplæringen av utviklere skal sikkerhet ligge i ryggmargen. Det er menneskelig å gjøre feil. Er det ikke etablert gode tiltak for å redusere risikoen for feil ut i produksjon, kan det få fatale konsekvenser. Det finnes ulike mekanismer for å redusere sårbarheten. Fra helt grunnleggende prinsipper i kodingen med kilder til sjekklister som OWASP (Open Web Application Security Project) til skyplattformenes sikkerhetsrutiner og bedriftens egne kontrollmekanismer. Gode rutiner med struktur, kontinuerlig forbedring og oppfølging må ikke bli nedprioritert i en hektisk hverdag. Kontinuerlig leveranser ut til produksjon må også inneholde sikkerhetsmekanismer med gode rutiner ved pull request, slik at man reduserer risikoen ved å legge ut kode med sikkerhetshull. Vær engasjert og still spørsmål til teamet.
Trusselbilde endrer seg kontinuerlig, og derfor er det viktig å ha en løpende prosess for å identifisere og prioritere trusselbilde. Før produksjonssetting gjør sikkerhetsreview, penetrasjonstester og sårbarhetstester. Sørg for riktig sikkerhetsløsning og overvåkning i produksjon. Hold den oppdatert og ikke tro at gårdagens løsning fungerer i morgen. Kostnaden ved ikke å gjøre dette kan bli stor.
Det er alltid en risiko for cyberangrep. Sørg for at din organisasjon er bedre rustet mot et angrep ved å ta sikkerheten på alvor.