Jak poprawić bezpieczeństwo aplikacji

Niech każdy liczy po swojemu

Mnogie możliwości powstania błędu lub niedopatrzenia konfiguracyjnego na dowolnym poziomie sprawiają, że firmy starają się testować poziom bezpieczeństwa w pełni wdrożonego rozwiązania. Biorąc pod uwagę poziom złożoności współczesnych rozwiązań, to bardzo dobry pomysł. Organizacje zlecające takie testy zwykle doskonale rozumieją związek między jakością zabezpieczeń środowiska aplikacyjnego jako całości a długofalowymi efektami finansowymi swojej działalności.

Testowanie środowiska metodami penetracyjnymi nie może być jednak traktowane jako zwolnienie z działań podstawowych, a więc: właściwie przygotowanych wymagań, dobrego projektu, preferencji dla komponentów posiadających wysokie poziomy certyfikacji bezpieczeństwa, czy wreszcie testowania kodu i binariów. Testowanie ostatecznego rozwiązania powinno być raczej ukoronowaniem powyższych działań, prowadzonych świadomie i rzetelnie od początku, a więc od zlecenia wykonania rozwiązania.

Zobacz również:

• Dzięki temu standardowi będziemy wiedzieć, że śledzi nas jakieś obce urządzenie Bluetooth
• KE zamierza oskarżyć kolejny raz Microsoft o złamanie ustawy antymonopolowej
• Uwierzytelnianie bez haseł – 10 rozwiązań

Powyższe podejście, nazwijmy je systematycznym, to jedyny sposób, by faktyczne koszty związane z bezpieczeństwem mogły maleć. Faktyczne, czyli obejmujące inwestycję pierwotną, rozwój funkcjonalny i utrzymanie w perspektywie 3–5 lat, i to nie samej aplikacji, lecz całego jej środowiska. W przeciwieństwie do dostawców, klienci na rozwiązania informatyczne są zainteresowani, by rozwiązania powstawały jako możliwie bezpieczne już od wersji 1.0. Zależy im także na tym, aby kalkulacje TCO dla rozwiązań uwzględniały koszty zapewnienia im należytego bezpieczeństwa.

Usługi zmieniają percepcję

Alternatywną (i wcale nie gorszą perspektywą dla podwyższenia jakości i bezpieczeństwa oprogramowania) jest dalsze upowszechnianie się oprogramowania w formie usługi. Oferując oprogramowanie jako usługę, dostawca jest dobrze zmotywowany, by rozwiązanie spełniało wysokie wymagania w dziedzinie bezpieczeństwa. Ponadto model biznesowy, w którym klient wnosi opłaty co miesiąc, pomaga uczynić z bezpieczeństwa dziedzinę systematycznie planowaną i zarządzaną, z jasno przypisanymi osobami i zakresami obowiązków.

Inwestycje w wysoki poziom bezpieczeństwa są łatwiejsze do „przełknięcia” ze względu na współużytkowanie jednego środowiska przez wielu klientów, z powodu jednoznacznych zapisów SLA w umowach z klientami, a także z oczywistych powodów wizerunkowych. Taki model korzystania z oprogramowania z pewnością nie będzie pasował wszystkim organizacjom, zwłaszcza dużym i posiadającym własne działy deweloperskie. Mimo to model rozwija się i już teraz wpływa na oczekiwania klientów – także tych, którzy ostatecznie nie korzystają z oprogramowania w formie usługi.