सुरक्षा थिंक टैंक: प्रभावी DevSecOps को सहयोग की आवश्यकता है
यह देखना आकर्षक है आवेदन सुरक्षा आईटी सुरक्षा टीम डोमेन के रूप में, यह आज के संगठनों के लिए बहुत संकीर्ण है।
इसके विपरीत, एक एकीकृत जोखिम प्रबंधन दर्शन और देवसेकऑप्स यह दृष्टिकोण उद्यम के दृष्टिकोण से जोखिम को देखते हुए और “बड़ी तस्वीर” पर विचार करके एप्लिकेशन सुरक्षा को ऊपर की ओर फ़िल्टर करके पूरे व्यवसाय को लाभान्वित करता है।
आवेदन सुरक्षा
व्यावसायिक जोखिम को सफलतापूर्वक प्रबंधित करने के लिए पूरे एप्लिकेशन जीवनचक्र में सुरक्षा शामिल करना महत्वपूर्ण है। हालांकि, यह याद रखना महत्वपूर्ण है कि सभी एप्लिकेशन को “बैंक वॉल्ट” की तरह सुरक्षित होने की आवश्यकता नहीं है।
पहला कदम यह समझना है कि एप्लिकेशन व्यवसाय के भीतर कौन से कार्य करता है, इसके माध्यम से बहने वाला डेटा, कनेक्शन और इंटरफेस स्थापित होता है, और यदि एप्लिकेशन अनुपलब्ध या अविश्वसनीय हो जाता है तो प्रभाव।
आदर्श रूप से, अनुबंध पर हस्ताक्षर करने से पहले संभावित समाधानों का मूल्यांकन करने वाली टीम में सुरक्षा विशेषज्ञता शामिल होनी चाहिए। उन अनुप्रयोगों के लिए जो चुस्त तरीके से आंतरिक रूप से विकसित किए जा रहे हैं या बड़े उन्नयन के दौर से गुजर रहे हैं, यह समझने के लिए कि क्या जोखिम बदल गए हैं, मूल्यांकन फिर से चलाया जाना चाहिए।
आईटी सुरक्षा की भूमिका एप्लिकेशन की गोपनीयता, अखंडता और उपलब्धता सुनिश्चित करने के लिए उपयुक्त नियंत्रणों को परिभाषित करना है। महत्वपूर्ण रूप से, जहां संभव हो, ये नियंत्रण उपयोगकर्ता के लिए व्यावहारिक और अदृश्य होने चाहिए। यह लोगों को अपने काम के रास्ते में नहीं आने के लिए प्रोत्साहित करता है और इसके परिणामस्वरूप, नियंत्रणों को बायपास करने के तरीके खोजते हैं। आसानी से ऐसे वर्कअराउंड बनाएं जो सर्वोत्तम प्रथाओं को दरकिनार करते हैं और एप्लिकेशन और सिस्टम से समझौता करते हैं। छाया आईटीदक्षता बढ़ाने के लिए शुरू किए गए लोग किसी संगठन की सुरक्षा को उलट सकते हैं और खतरे में डाल सकते हैं।
अनुप्रयोग शायद ही कभी साइलो में काम करते हैं। अधिकांश इंटरफेस या व्यावसायिक प्रक्रियाओं के माध्यम से अन्य एप्लिकेशन या फ़ाइल सर्वर से जुड़े होते हैं, जिससे वे श्रृंखला के ऊपर या नीचे से हेरफेर या डेटा एक्सफ़िल्टरेशन के प्रति संवेदनशील हो जाते हैं। एक एप्लिकेशन के डेटा को केवल तभी संवेदनशील माना जा सकता है जब दूसरे एप्लिकेशन में डेटा के साथ संयोजन किया जाता है, इसलिए नियंत्रण बाद वाले पर केंद्रित होता है। हालांकि, यह संभावित रूप से पहले एप्लिकेशन से समझौता कर सकता है, ज्ञात नहीं है, और गलती से दूसरे (संवेदनशील) एप्लिकेशन को गलत डेटा के साथ समझौता कर सकता है।
आवेदन के प्रबंधन के लिए एक प्रक्रिया भी स्थापित की जानी चाहिए। इनमें शामिल हैं कि कैसे अप-टू-डेट रहें, नए सुरक्षा पैच की निगरानी करें, और अपने संगठन के सभी अनुप्रयोगों और होने वाले परिवर्तनों में आपको पूर्ण दृश्यता प्रदान करने के लिए परिसंपत्ति प्रबंधन टूल के साथ एकीकृत करें।
जोखिम के आधार पर, अन्य मौजूदा उपकरणों में एकीकरण की आवश्यकता हो सकती है। उदाहरण के लिए, एक महत्वपूर्ण अनुप्रयोग है सुरक्षा सूचना और घटना प्रबंधन (एसआईईएम), सुरक्षा संचालन केंद्र (एसओसी) भी सुरक्षा व्यवस्था, स्वचालन और प्रतिक्रिया (SOAR) उनके उल्लंघन का पता लगाने की एक प्रक्रिया। हालाँकि, यह किसी तीसरे पक्ष द्वारा होस्ट की गई किसी चीज़ के साथ संभव नहीं हो सकता है, विशेष रूप से एक सेवा के रूप में सॉफ़्टवेयर (SaaS) के मामले में, अन्य नियंत्रण जैसे कि सेवा संगठन की निगरानी2 (एसओसी2) अनुपालन आवश्यकताओं की पूर्ति सुनिश्चित करने के लिए रिपोर्ट चलाई जानी चाहिए।
पहचान और पहुंच प्रबंधन
अनुप्रयोग सुरक्षा भी अभिगम नियंत्रण पर निर्भर करती है। प्रासंगिक नियंत्रणों को डिजाइन करने के लिए प्रौद्योगिकी प्लेटफार्मों का उपयोग करें ताकि यह सुनिश्चित किया जा सके कि सही लोगों के पास सही समय पर सही एप्लिकेशन तक पहुंच हो ताकि काम को उनकी जरूरत के अनुसार पूरा किया जा सके।
ये है, पहचान और पहुंच प्रबंधन (आईएएम) और विशेषाधिकार पहुंच प्रबंधन (पीएएम) उपकरण। एक्सेस प्रबंधन को अधिक प्रभावी बनाते हुए प्रक्रिया को स्वचालित करने से एक्सेस प्रबंधन की लागत और प्रयास कम हो जाता है। जिन अनुरोधों में पहले सप्ताह लगते थे, वे अब दिनों में पूरे हो गए हैं। यह उस मूल्य को प्रदर्शित करने का एक तरीका है जो आईटी व्यवसाय में लाता है।
साथ ही, अधिक से अधिक संगठन शून्य विश्वास सुरक्षा पर रुख। एक्सेस नियंत्रण दुर्भावनापूर्ण उपयोगकर्ताओं को सिस्टम तक अनधिकृत पहुंच प्राप्त करने से रोक सकता है, यह दृश्यता प्रदान करता है कि किसके पास किस तक पहुंच है, और यह दिखा सकता है कि कर्तव्यों के उल्लंघन के अलगाव से संबंधित जोखिम कैसे कम किए जाते हैं।
जॉइनर्स, मूवर्स एंड लीवर्स (जेएमएल) प्रक्रिया व्यवसाय संचालन के लिए महत्वपूर्ण है, लेकिन अक्सर इसे अनदेखा कर दिया जाता है, एक्सेस कंट्रोल से लाभ होता है। परंपरागत रूप से सिस्टम प्रशासकों और हेल्पडेस्क कर्मियों द्वारा बहुत सारे मैनुअल काम की आवश्यकता होती है, स्वचालन अधिक मूल्यवान कार्यों के लिए संसाधनों को मुक्त करता है।
साइबर सुरक्षा
एप्लिकेशन सुरक्षा को साइबर सुरक्षा पर भी ध्यान देना चाहिए। संगठनों को यह सुनिश्चित करना चाहिए कि अनुप्रयोगों और उनकी तकनीकी संपत्तियों की नियमित रूप से कमजोरियों के लिए परीक्षण किया जाता है ताकि उन खतरों की निगरानी की जा सके जो व्यावसायिक संचालन को प्रभावित कर सकते हैं और हैकर्स को सिस्टम में प्रवेश करने और संगठनात्मक डेटा तक पहुंचने से रोक सकते हैं। यह सुनिश्चित करने के लिए जिम्मेदार हैं कि उन्हें अपडेट और पैच किया गया है।
स्वचालित अद्यतन सर्वोत्तम सुरक्षा प्रदान करते हैं जबकि मैन्युअल सॉफ़्टवेयर अद्यतन जाँचों की आवश्यकता को कम करते हैं और बाद में उनके कारण होने वाली भ्रम की स्थिति को कम करते हैं। जब भी आवश्यक हो, अपडेट लागू किए जाते हैं, जिससे सॉफ़्टवेयर एप्लिकेशन को बग्स और फिक्स को ठीक करने के लिए जितनी जल्दी हो सके पैच करने की अनुमति मिलती है। अद्यतनों को परिनियोजित करने से पहले महत्वपूर्ण प्रणालियों का परीक्षण सुनिश्चित करने के लिए सावधानी बरती जानी चाहिए।
मजबूत पासवर्ड, बहु-कारक प्रमाणीकरण और पासवर्ड मैनेजर सभी एप्लिकेशन तक पहुंच को सुरक्षित रखने में मदद कर सकते हैं। व्यक्तियों द्वारा सुविचारित डेटा उल्लंघनों और व्यवधानों को रोकने के लिए सुविधाओं का उपयोग कब करना है और डेटा तक महत्वपूर्ण पहुंच पर प्रशिक्षण भी आवश्यक है।
संचार
अनुप्रयोग सुरक्षा और DevSecOps पहलू प्रौद्योगिकी से परे हैं। ऊपरी प्रबंधन के साथ प्रभावी संचार भी एक महत्वपूर्ण भूमिका निभाता है। तकनीकी शब्दजाल से बचा जाना चाहिए और समस्या को व्यावसायिक दृष्टिकोण से तैयार किया जाना चाहिए।
यह भी महत्वपूर्ण है कि आपकी आईटी सुरक्षा टीम को आपके व्यावसायिक लक्ष्यों और उद्देश्यों को सीमित करने के रूप में नहीं देखा जाता है। एक परियोजना को रोकने के बजाय क्योंकि यह संगठन के लिए अधिक जोखिम पैदा कर सकता है, टीम को प्रश्न में शामिल करना और सुरक्षा मुद्दों को कम करने के तरीके खोजना एक अधिक प्रभावी दृष्टिकोण है जो सभी की जरूरतों को पूरा करता है। फिर से, यह सुनिश्चित करना कि आपके सुरक्षा नियंत्रण और प्रक्रियाएं आपके सामने आने वाले जोखिमों के साथ संरेखित हैं, अनावश्यक नियंत्रणों और बाधाओं को दूर करने में मदद करेंगी जो आपके व्यवसाय के संचालन में बाधा उत्पन्न कर सकती हैं।
परियोजनाओं और परिवर्तन प्रबंधकों के साथ काम करते समय, सुरक्षा के दृष्टिकोण से कुछ नियंत्रण गैर-परक्राम्य होते हैं। हालांकि, सुरक्षा टीमों को “अवरोधक” के रूप में देखे जाने से बचने के लिए व्यावसायिक जोखिम के संदर्भ में इसे संप्रेषित करना चाहिए। सुरक्षा टीम, उदाहरण के लिए, व्यापक रणनीतिक परिवर्तन के हिस्से के रूप में इस मुद्दे को संबोधित करने के लिए सहमत हो सकती है, या यह देखने के लिए कि क्या अतिरिक्त कार्रवाई करने की आवश्यकता है, परियोजना की समग्र रूप से निगरानी कर सकती है।
सहयोग
DevSecOps को IT सुरक्षा और व्यावसायिक कार्यों के बीच सहयोग की आवश्यकता होती है, जो व्यवसायों को जोखिम के दृष्टिकोण से उनके व्यावसायिक वातावरण की महत्वपूर्ण समझ प्रदान करता है।
अंततः, आपके संगठन पर लागू होने वाले जोखिमों को समझने के लिए डिज़ाइन के हर पहलू में एप्लिकेशन सुरक्षा का निर्माण किया जाना चाहिए। इस ज्ञान के साथ, आप अपने अनुप्रयोगों, उनके डेटा और अंततः अपने उद्यम की अखंडता की सुरक्षा के लिए उपयुक्त नियंत्रण स्थापित कर सकते हैं।
