Så hittar du en bra balans

Mellan innovation och riskhantering inom säkerhet

Så länge människor fortsätter att skriva kod kommer sårbarheter i mjukvara att finnas kvar. Att åtgärda dessa innebär dock inte att varje sårbarhet måste korrigeras. Även om något anses vara "100% säkert" bör behovet av säkerhet noga balanseras med kraven på innovation och flexibilitet, vilka båda är förutsättningar för att nå affärsframgång. Företag måste förstå var de ska prioritera skydd och var de ska frigöra arbetsgrupper för att fokusera på kärnverksamheten.

I den ständigt dynamiska cybersäkerhetsmiljön granskas "zero risk"-metoder, där IT-avdelningar enbart fokuserar på att åtgärda samtliga sårbarheter. En ”zero risk”-arkitektur syftar till att avlägsna ett systems alla möjligheter till fel eller dataförlust. Dock måste IT-avdelningarna fråga sig om dess innovationsförmåga och konkurrenskraft kommer att bli lidande. Ett alltför strikt fokus på riskeliminering kan begränsa utrymmet att experimentera med ny teknik för ökad effektivitet. Det kan även fördröja utvecklingen av nya produkter och tjänster. Beakta även hur samarbetspartners ser på din organisations risktolerans.

För att effektivt hantera mjukvarusårbarheter och behålla konkurrenskraften bör IT-team skapa riktlinjer för riskhantering istället för att enbart fokusera på att undvika risker.

Riskhantering kräver transparens
Ett riskbaserat förhållningssätt innebär att företag anpassar säkerhetsåtgärder efter faktiska hot och risker med en grundlig förståelse för affärsmålen. En noggrann riskanalys behövs för att kunna bedöma effekten, sannolikheten, hotbilden, de potentiella kostnaderna samt värdet av säkerhetsåtgärder för att tillföra mervärde.

Det kan hjälpa att tänka i termer kring om något aktivt orsakar skada eller om en skada kan uppstå först om sårbarheten lämnas okontrollerad. Hur bör du då tänka kring sårbarheter med låg risk? Är det allvarligt om det djupt inne i ditt nätverk finns en sårbarhet i en tjänst som knappt används? Ofta är det bättre att fokusera på större sårbarheter som kan bana väg för attacker mot mer kritiska delar av din infrastruktur. Genom att fullt ut förstå din samlade angreppsyta och proaktivt sanera enligt identifierade prioriteringar kan du säkerställa att affärsvärdet inte påverkas av onödiga säkerhetsåtgärder.

Denna riskbedömning kräver transparens. Det måste vara glasklart vilka sårbarheter som finns i din mjukvaruförsörjningskedja och vilka som finns hos dina olika leverantörer. Att förbättra säkerheten i din mjukvaruförsörjningskedja innebär att du använder DevSecOps-riktlinjer, tryggt konsumerar kod och beroenden av tredje part, samt implementerar säkerhetslösningar i mjukvaruutvecklingens livscykel. Det finns lösningar som kan sammanföra pålitliga molntjänster och preskriptiva arbetsflöden som hjälper dig att skydda dina system.

Fördelarna med öppen källkod
Det är här mjukvara med öppen källkod utmärker sig, då dess projekt vanligtvis innefattar öppnare kommunikationskanaler och mer detaljerade ändringsloggar, vilket ger en mer komplett bild av systemets säkerhetsläge.

En studie visar att 89% av de tillfrågade företagsledarna håller med om att mjukvara med öppen källkod är lika säker eller säkrare än proprietär mjukvara. De tillfrågade uppgav att den största fördelen var att deras "arbetsgrupper kan använda väl beprövad öppen källkod för interna applikationer." Andra fördelar uppgavs vara att säkerhetskorrigeringar för öppen källkod är väldokumenterade och kan skannas efter, samt det faktum att leverantörer omgående kan tillgängliggöra möjligheter till sårbarhetskorrigering för företag med öppen källkod.

Säkerställ att din leverantör av företagsanpassad öppen källkod har flera lager av säkerhetsfunktioner runt sina pipelines för kodutveckling och leverans, samt att den dessutom kan hjälpa dig med att integrera säkerhet i dina egna utvecklingsflöden. Enkla tekniker, såsom en signerad mjukvaruförteckning (SBOM), kan hjälpa till att intyga komponenternas säkerhet och eventuella övergående beroenden.

En företagskultur öppnar upp för...
En bra balans mellan säkerhet, regleringar och affärsmässiga överväganden är avgörande. Detta är dock lättare sagt än gjort, då det kräver ett verkligt kulturskifte inom organisationer. Öppen kommunikation, samarbete och personlig interaktion mellan arbetsgrupper behövs för att främja förtroende och effektivt stöd, så att säkerhetsprioriteringar bättre kan anpassas till övergripande affärsmål.

Kontinuerlig utbildning och träning är fortfarande grundläggande för att uppnå detta kulturskifte. Att utbilda arbetsgrupper kring bästa praxis, framväxande hot och ny teknik är lika viktigt som alltid. I takt med att organisationer migrerar till nya teknologier och anammar molnbaserad utveckling, är denna kunskap av yttersta vikt för att garantera en framgångsrik övergång - utan att tumma på säkerheten.

Att ta ansvarsfulla risker
Sårbarheter i mjukvara är oundvikliga, men organisationer kan minimera riskerna genom att anpassa sina säkerhetsåtgärder till reella risker. Transparens, samarbete och kontinuerlig anpassning är viktiga faktorer i denna process. Genom att främja en kultur av öppen kommunikation och utbildning kan organisationer effektivt hantera sårbarheter och hålla jämna steg med förändrade hot och teknologier. Kort sagt, säkerhet bör behandlas som en ständig komponent för en framgångsrik transformation – inte som en blockerare, eller som något som endast ageras på när en kris väl uppstår!

Av: Chris Jenkins, Principal Chief Architect, Cybersecurity Strategy & Adoption, Red Hat

2024-01-16 - Industritorget

Kontaktinformation

Northern Link PR i Sverige AB

070-598 22 82

Se hemsida

Skicka e-post

Kontakter

Karta

Skriv ut
Tipsa

Postadress
Kungsgatan 60
11122 Stockholm

Besöksadress
Kungsgatan 60
11122 Stockholm

Region
Stockholm
Stockholms län
Sverige

Organisationsnummer:
556834-7198

Grundat: Ej angivet
Anställda: Ej angivet

Kontakter

Karta

Välkommen till Northern Link PR.

Vi hjälper företag med nordiska ambitioner.
När det gäller PR och kommunikation, strävar Northern Link PR att vara det bästa valet för företag med svensk eller helt nordiska ambitioner.

Vi ser vikten av meddelanden, strategi och taktik som är nära i linje med dina affärsmål. Därför har vi etablerat kompetens inom en rad tjänster som kan utvecklas och anpassas beroende på din unika situation.

Välkommen att kontakta oss.

Skicka förfrågan