अच्छी खरीद प्रथाएं ऐप सुरक्षा का मार्ग प्रशस्त करती हैं
कंपनी की आईटी अवसंरचना को अनधिकृत घुसपैठ और दुर्भावनापूर्ण गतिविधि से सुरक्षित और संरक्षित रखना हमेशा एक चुनौती होती है।क्लाउड कंप्यूटिंग के बढ़ते उपयोग के साथ, नई क्षमताओं को पहले से कहीं अधिक तेज गति से विकसित करना जारी रखना चाहिए चुस्त तकनीकअच्छी सुरक्षा बनाए रखना और भी जटिल हो गया है।
का सॉफ्टवेयर और सॉफ्टवेयर सेवाओं की खरीद संभावित उत्पादों और सेवाओं की खोज की सुविधा के लिए खरीदारों को उनके व्यवसाय, तकनीकी और परिचालन आवश्यकताओं की समझ के आधार पर विकसित प्रमुख आवश्यकताओं की एक चेकलिस्ट की आवश्यकता है।
एक बार संभावित आपूर्तिकर्ताओं और उत्पादों/सेवाओं की सूची बन जाने के बाद, कंपनी की पहचान की गई प्रमुख आवश्यकताओं के आधार पर सूचना के लिए अनुरोध (आरएफआई) या समकक्ष जारी किया जा सकता है।
उस RFI के जवाब कुछ अच्छे उम्मीदवारों के लिए आपूर्तिकर्ताओं और उत्पादों या सेवाओं की सूची को सीमित करने में मदद करते हैं, और आप आवश्यकताओं के विस्तृत सेट के आधार पर एक उद्धरण का अनुरोध कर सकते हैं।
एंडगेम एक चयनित आपूर्तिकर्ता के लिए एक अनुबंध रेंटल है, जहां अनुबंध स्वयं कंपनी की आवश्यकताओं को विस्तार से बताता है। इन आवश्यकताओं को मुख्य अनुबंध के अनुलग्नक के रूप में संबोधित किया जाएगा, मुख्य अनुबंध को फिर से बातचीत करने की आवश्यकता के बिना भविष्य में बदलाव की अनुमति होगी। यह प्रक्रिया लंबी और कठिन लग सकती है, लेकिन अंततः यह सुरक्षा के बारे में है, और यदि आप सभी आधारों को कवर नहीं करते हैं तो आप अपनी कंपनी के भविष्य को दांव पर लगा सकते हैं।
यहां उल्लिखित व्यापक सिद्धांत आंतरिक विकास समूहों वाले बड़े संगठनों पर लागू होते हैं। यह अनिवार्य रूप से व्यावसायिक क्षेत्र और विकास और संचालन समूह के बीच एक अनुबंध है।
1990 के दशक की शुरुआत में, मैं यूरोप के प्रमुख अंतरराष्ट्रीय बैंकों के लिए आंतरिक आईटी ऑडिट कर रहा था। मैंने देखा कि इसे नहीं लाया गया था।
आईटी सुरक्षा समूह हमारे मुख्यालय में हजारों मील दूर स्थित दो लोगों का एक छोटा समूह था। नेटवर्किंग और आईटी में मेरी पृष्ठभूमि ने मुझे हमारे यूरोपीय विकास समूह राइस फील्ड के लिए एक छोटे, संक्षिप्त दस्तावेज़ में विभिन्न सुरक्षा, ऑडिट और सॉफ़्टवेयर अभ्यास संबंधी दस्तावेज़ों को एक साथ लाने की अनुमति दी।
प्रारंभिक प्रतिरोध जल्दी से कम हो गया, और ऑडिट विकास चक्र के दौरान सॉफ्टवेयर परियोजनाओं के लिए एक स्वागत योग्य अतिरिक्त बन गया, जिससे शुरुआती और सार्थक प्रतिक्रिया का द्वार खुल गया।
यह फायदे का सौदा है क्योंकि यह समय बचाता है और विकास और लेखा परीक्षा दोनों में कम संसाधनों की बर्बादी करता है।बेशक आज देवसेकऑप्सDevOps का एक विस्तार, जो नियमित परीक्षण और प्रतिक्रिया के साथ सॉफ़्टवेयर विकास चक्र में सुरक्षा आवश्यकताओं को शामिल करता है, जिसके परिणामस्वरूप कम बर्बाद संसाधन होते हैं।
DevSecOps को कंपनी के आईटी बुनियादी ढांचे के समग्र सुरक्षा रुख को बेहतर बनाने में एक प्रमुख तत्व के रूप में देखा जा सकता है, लेकिन पैचिंग और मेहनती पहुंच और प्रमाणीकरण तंत्र जैसी बुनियादी बातों पर बहुत कम ध्यान दिया जाता है। इसका मतलब यह नहीं है कि आप नहीं कर सकते।
बेशक, सभी कंपनियों की अपनी इन-हाउस डेवलपमेंट टीम नहीं होती है, जो ऑफ-द-शेल्फ एप्लिकेशन और सेवाओं को खरीदना पसंद करते हैं।
जब कोई सेवा प्राप्त की जाती है, तो सुरक्षा प्रक्रियाएं क्रय कंपनी के सीधे नियंत्रण में नहीं होती हैं। दूसरे शब्दों में, क्रय करने वाली कंपनी अपने उत्पादों या सेवाओं की सुरक्षा पर निर्भर करती है।
यह निर्भरता काफी हद तक इस बात पर आधारित है कि खरीद अनुबंध में क्या शामिल है, और यहाँ शैतान निश्चित रूप से विवरण में है।
उदाहरण के लिए, आप सोच सकते हैं कि ISO27001 प्रमाणन और वार्षिक परीक्षाओं की आवश्यकता आपकी आवश्यकताओं को पूरा करेगी, लेकिन जब तक आप आवश्यक खंड और विनिर्देश के स्तर (दायरा और प्रयोज्यता विवरण) निर्दिष्ट नहीं करते हैं, आप सुरक्षा के स्तर की गारंटी नहीं दे सकते। आप नहीं कर सकते।
सॉफ़्टवेयर खरीदते समय, इस बात पर विचार करें कि क्या अनुबंध सुरक्षा विशेषज्ञों द्वारा कोड विश्लेषण को कवर करता है, क्या कंपनी की सुरक्षा आवश्यकताओं को निर्दिष्ट किया गया है, और क्या वे व्यापक हैं।
तेजी से बदलते परिवेश में, जहां क्लाउड कंप्यूटिंग और तृतीय-पक्ष सॉफ़्टवेयर विकास होता है, आपको सुरक्षा आवश्यकताओं को परिभाषित करने में कुशल कर्मियों तक पहुंच की आवश्यकता होती है। इन लोगों को व्यावसायिक जोखिमों की अच्छी समझ सहित जोखिम और जोखिम विश्लेषण कौशल की आवश्यकता होती है।
अनुबंध अनुबंध इन संविदात्मक आवश्यकताओं को संभालने का सबसे अच्छा तरीका है क्योंकि उन्हें पूर्ण अनुबंध पर फिर से बातचीत किए बिना आवश्यकतानुसार अद्यतन किया जा सकता है।
