מי אחראי על אבטחת יישומים בארגון ובעסק?
מאת:
שושי ליבוביץ, 28.1.17, 19:42
העובדה שאין תמיד גורם, שאחראי לאבטחת יישומים בארגון, גורמת לעיכובים בתגובה לפשעי סייבר ובשירות לקוחות וחשיפה מתמשכת להתקפות נוספות. מפתחי היישומים לבדם לרוב אינם מצוידים בכלים להתמודדות עם התקפות zero-day.
יישומים קובעים את האופן, שבו אנו יוצרים מידע וניגשים אליו, בין אם דרך הענן, המובייל או הלפטופ. יחד עם זאת, האחריות על אבטחת היישומים בארגון משתנה כל הזמן וכך גם התקציבים, שהיא מקבלת. דו"ח, שפורסם לאחרונה חושף,
שאבטחת יישומים ממשיכה לקבל תקציבים נמוכים מאבטחת רשת בארגונים, דבר שיש לו השפעה משמעותית על ביצועי העסק בשורה התחתונה.
בסקר שפורסם לאחרונה ע"י
F5 ו-
The Pnemeon Institute, שכלל 605 אנשי מערכות מידע ואבטחת מידע, נמצא, ש-56% מאמינים, שהאחריות לאבטחת היישומים זזה מתחום מערכות המידע לעבר משתמשי הקצה או בעלי היישום. אז, מי בפועל לוקח אחריות על אבטחת היישומים?
הסתערות טכנולוגית
בעלי התפקידים האחראיים על אבטחת יישומים מפוזרים פעמים רבות ברחבי הארגון:
בעוד 21% טוענים, שסמנכ"ל מערכות המידע וסמנכ"ל הטכנולוגיות אחראיים עליה.
20% אחרים אמרו, שאין אדם או מחלקה האחראיים עליה באופן מלא.
עוד עולה מהדו"ח, ש-20% מהמשיבים אומרים, שהיחידות העסקיות אחראיות,
ו-19% גורסים, שראש פיתוח היישומים אחראי עליה.
זה נראה כמו משחק של "מעבירים חבילה". למרות שאין גורם אחראי ודאי לאבטחת היישומים, חברות רבות ממשיכות לשלב ולהטמיע שטף של טכנולוגיות חדשות, דוגמת האינטרנט של הדברים -
IoT, שמחלחל לכל ההיבטים של חיינו המקצועיים והפרטיים. בפועל, מחלקות מערכות המידע חסרות משאבים ואינן מוכנות דיו כדי ליישם אסטרטגיות הגנה יעילות לתחומים טכנולוגיים חדשים אלה.
הדו"ח הדגיש ממצאים נוספים:
50% מהמשיבים אמרו כי יישומים מותקפים יותר,
ו-58% מהמשיבים טענו, שמתקפות על יישומים חמורות יותר ממתקפות בשכבת התשתית.
מעניין, שבמהלך השנה האחרונה, אירועי האבטחה השכיחים ביותר, שהתרחשו כתוצאה מיישומים לא מאובטחים, היו הזרקות
SQL (29%),
DDoS (25%) והונאת רשת (21%).
ראייה הוליסטית בנוף היישומים
למרות שגשוג היישומים במקום העבודה, חסרה ראייה הוליסטית לתוכם בארגון. העובדה, שאין גורם אחראי לנושא, גורמת לעיכובים בתגובה לפשעי סייבר, שתוצאתם עיכובים חמורים בשירות לקוחות וחשיפה מתמשכת להתקפות נוספות.
רק 35% מהמשיבים בדו"ח אמרו, שהארגון שלהם הגדיל את המשאבים כדי לזהות פגיעויות ביישומים,
ו- 30% אמרו, שיש להם מספיק משאבים למטרת תיקון פגיעויות.
תקציב הוא סוגיה משמעותית בפני עצמה, שכן ארגונים נוטים להשקיע בתחומים מסורתיים במערכות מידע, כולל חומרה, תשתית והתקנים.
קביעת אסטרטגיה ברת קיימא לאחריות לאבטחת יישומים תעזור לחברות לפרוס אבטחת יישומים בכל רחבי רשת העובדים למתן גישה בטוחה 24 שעות ביממה, בכל התקן ומכל מקום. עבודה עם ספקים מתמחים הוכיחה עצמה כרבת ערך במניעת זמן דמימה ויכולה לצמצם הפסדים המשפיעים על שורת הרווח.
שיתוף פעולה טוב יותר
מפתחי היישומים לבדם לרוב אינם מצוידים בכלים להתמודדות עם התקפות
zero-day. בנוסף, מידי שנה עולה עליהם הלחץ לתכנן ולהנפיק מוצרים לשוק במהירות כדי לעמוד בדרישות הלקוחות. בקיצור,
מפתחים חסרים במשאבים ועלולים להימצא במצב, שבו יתפשרו על הסטנדרטים של אבטחת המידע.
בסופו של דבר, אבטחת יישומים היא תחת אחריות קולקטיבית. קובעי אסטרטגית פריסת היישומים צריכים לקחת בחשבון את מחלקת מערכות המידע,
המפתחים, ה-
DevOps וכן, גם את סמנכ"ל מערכות המידע וסמנכ"ל הטכנולוגיות, שצריכים לתרום יותר משאבים לתחום זה בעסק.
ככל שחברות שואפות להיות גמישות יותר, אימוץ
best practice ושילוב מומחיות מהתחומים המגוונים בעסק ימנעו הפתעות כאשר תפוח האדמה החם של אבטחת היישומים ינחת על ברכן. בתמורה, עבודה יחד תאפשר לתחומי מפתח בעסק להשתמש במידע חיוני באופן מאובטח יותר ותמריץ את הארגון לבלום פשעי סייבר זדוניים.
מאת:
שושי ליבוביץ, ינואר 2017.
מנהלת הפעילות של
F5 ישראל, יוון וקפריסין