Tegenwoordig zijn de meeste bedrijven niet naïef genoeg om zich voor te stellen dat ze het zonder de meest elementaire cyberbeveiliging kunnen redden. Ze zullen echter eerder in dergelijke voorzieningen investeren nadat ze een directe dreiging hebben ervaren of horen dat een nauw verwant bedrijf is geschonden.
Deze reactieve benadering van cyberbeveiliging is kostbaar en heeft niet alleen gevolgen voor het bedrijfsresultaat, maar ook voor het geluk van medewerkers en zelfs voor het vertrouwen van de klant. In werkelijkheid kan zelfs een kleine investering in beveiliging tijdens de vroege stadia van de levenscyclus van softwareontwikkeling echter enorme besparingen opleveren en een groot verschil maken als het gaat om het welzijn van werknemers.
Kwetsbaarheden kunnen ernstige gevolgen hebben
Als beveiliging niet voorop staat, kunnen zelfs de meest ervaren ontwikkelaars kwetsbare code produceren. Dit is niet verwonderlijk, aangezien ontwikkelaars worden opgeleid en betaald om oplossingen te vinden voor toepassingsproblemen, en het bijscholen van beveiliging vaak geen prioriteit heeft of ontbreekt. Het komt maar al te vaak voor dat goedbedoelende ontwikkelaars (die weinig weten over veelvoorkomende kwetsbaarheden zoals injectiefouten) ze herhaaldelijk in hun code introduceren, volledig onbewust. Wat erger is, is de mentaliteit die AppSec- en InfoSec-teams als uitsluitend verantwoordelijk beschouwt voor beveiliging, terwijl in werkelijkheid de beste praktijken beveiliging intrinsiek moeten maken aan het ontwikkelingsproces, en die verantwoordelijkheid moet worden gedeeld.
Dit lijkt misschien geen probleem voor de C-suite om mee te kampen. De mogelijke gevolgen van kwetsbare code zijn echter te wijdverbreid om over het hoofd te zien – leidinggevenden moeten proactieve maatregelen nemen om het probleem aan te pakken voordat zich een probleem voordoet en risico’s te beperken. Herhaalde kwetsbaarheden vergroten niet alleen de wrijving tussen ontwikkel- en beveiligingsteams, maar verlengen ook de ontwikkelingslevenscyclus, waardoor de applicatie-release wordt vertraagd en de kosten stijgen. In het ergste geval leidt de kwetsbaarheid tot een datalek. Dan wordt niet alleen de frustratie vergroot, maar de verstrekkende gevolgen zullen tientallen tot honderden werknemers raken als de organisatie te maken krijgt met winstderving, boetes van de regelgevende instanties, onderzoeken, rechtszaken, klantverloop en merkschade.
De vrede bewaren
Het dichten van de beveiligingskloof is absoluut essentieel, maar het mag niet ten koste gaan van uw ontwikkelaars. Het is mogelijk om iedereen blij te maken, en dit begint met te erkennen dat er geen schurken in je verdedigingsteams zijn – alleen een kennistekort dat met een goed proces kan worden aangepakt.
Het bevorderen van een culturele verschuiving in de softwareontwikkelingsindustrie is essentieel om kwetsbaarheden uit te bannen. Dit begint aan de top: leidinggevenden hebben de kracht om een bottom-up transformatie te inspireren die veilige code aanstuurt zodra deze voor het eerst wordt geschreven. Leiders kunnen ontwikkelaars machtigen door hen te helpen begrijpen welke impact hun veilige coderingspraktijken kunnen hebben op het algehele succes van het bedrijf. Organisaties zouden ook moeten overwegen om hun ontwikkelaars te stimuleren om veilige code te maken – het is belangrijk om te laten zien hoe deze vaardigheden hun carrière een boost zullen geven en hen beter inzetbaar maken.
Daar stopt het niet. Het bevorderen van de relatie ontwikkelaar/AppSec kan harmonie creëren, waarbij elk individu zijn of haar rol in het beschermen van de beveiligingshouding van de organisatie heeft en het gevoel heeft deel uit te maken van een team dat elkaar steunt in het geval dat er incidenteel iets misgaat.
Ten slotte zijn er verschillende benaderingen om ervoor te zorgen dat uw ontwikkelteam een volledig geïntegreerd onderdeel is van de beveiligingsoplossing. Dit kan het betalen van teams omvatten om relevante conferenties bij te wonen of het ontwikkelen van op maat gemaakte interne trainingsprogramma’s. Over het algemeen is het belangrijk om een meer agile en dynamische aanpak te omarmen om de juiste reactie en oplossing voor uw organisatie te vinden. Dit is afhankelijk van een aantal factoren, waaronder de grootte en het tempo van uw ontwikkelteam en hun huidige ervaring.
De echte waarde van investeren in veilige ontwikkelaars
Het vinden van de juiste manier om te investeren in beveiligingsbewustzijn en praktische bijscholing voor uw ontwikkelaars kan het verschil maken voor zowel individuen als de organisatie, met gevolgen voor: