Ασφάλεια στο τέλος έναντι ασφάλειας από την αρχή: η απόφαση που καθορίζει τον κίνδυνο παράδοσης

Δύο ομάδες. Ο ίδιος στόχος. Πολύ διαφορετικά αποτελέσματα.

Η Ομάδα Α δημιουργεί τη λύση σε απομόνωση και εμπλέκει τον Υπεύθυνο Ασφάλειας μόνο όταν η ανάπτυξη έχει σε μεγάλο βαθμό ολοκληρωθεί, ενώ η Ομάδα Β φέρνει την Ασφάλεια στη συζήτηση τη στιγμή που η λύση ακόμη διαμορφώνεται, ενώ η αρχιτεκτονική, οι ροές δεδομένων και τα μοντέλα πρόσβασης καθορίζονται.

Σε επιφανειακό επίπεδο, και οι δύο ομάδες φαίνεται να ακολουθούν τον ίδιο στόχο, δηλαδή την παράδοση λειτουργικού λογισμικού που τελικά θα πληροί τις απαιτήσεις ασφάλειας, αλλά στην πράξη η διαδρομή που ακολουθούν έχει άμεση και μετρήσιμη επίδραση στο κόστος, τον κίνδυνο και τα χρονοδιαγράμματα παράδοσης.

Όταν η ασφάλεια έρχεται στο τέλος

Η Ομάδα Α συνήθως επιδεικνύει υψηλή αρχική ταχύτητα, επειδή οι αποφάσεις λαμβάνονται χωρίς περιορισμούς, η αρχιτεκτονική ορίζεται γρήγορα και οι λειτουργίες υλοποιούνται χωρίς να απαιτείται να ληφθεί υπόψη εξωτερική επικύρωση· αυτή όμως η αντιλαμβανόμενη ταχύτητα είναι προσωρινή, επειδή μόλις το σύστημα εκτεθεί σε επίσημη ανασκόπηση ασφάλειας αρχίζουν να εμφανίζονται βαθύτερα ζητήματα που δεν είναι επιφανειακά αλλά δομικά στον τρόπο με τον οποίο έχει σχεδιαστεί το σύστημα.

Τα μοντέλα αυθεντικοποίησης μπορεί να μην πληρούν τα απαιτούμενα πρότυπα, οι προσεγγίσεις διαχείρισης δεδομένων μπορεί να εισάγουν κινδύνους συμμόρφωσης, οι μηχανισμοί ελέγχου πρόσβασης μπορεί να είναι ανεπαρκείς και σε πολλές περιπτώσεις δεν πρόκειται για μεμονωμένα ελαττώματα αλλά για ζητήματα σχεδιασμού που απαιτούν επαναεργασία σε πολλαπλά στοιχεία του συστήματος αντί για απλές διορθώσεις.

Σε αυτό το στάδιο, η ασφάλεια συχνά θεωρείται εμπόδιο, αλλά στην πραγματικότητα λειτουργεί ως διορθωτική δύναμη, εντοπίζοντας κενά που εισήχθησαν νωρίτερα όταν οι αποφάσεις ελήφθησαν χωρίς πλήρες πλαίσιο· η συνέπεια είναι προβλέψιμη: καθυστερήσεις, αυξημένο κόστος, διπλή προσπάθεια και αυξανόμενη τριβή μεταξύ των ομάδων ανάπτυξης και ασφάλειας καθώς αυξάνεται η πίεση για παράδοση.

Όταν η ασφάλεια διαμορφώνει τον σχεδιασμό

Η Ομάδα Β λειτουργεί με ένα θεμελιωδώς διαφορετικό μοντέλο, ενσωματώνοντας την Ασφάλεια στη φάση του σχεδιασμού και εξασφαλίζοντας ότι η μοντελοποίηση απειλών, η ταξινόμηση δεδομένων, τα όρια πρόσβασης και οι απαιτήσεις συμμόρφωσης αντιμετωπίζονται μαζί με τις λειτουργικές απαιτήσεις και όχι εκ των υστέρων.

Αυτό δεν μειώνει την ταχύτητα ανάπτυξης με ουσιαστικό τρόπο, αλλά αλλάζει τη φύση της ίδιας της ανάπτυξης, επειδή οι αποφάσεις λαμβάνονται με πλήρη κατανόηση των περιορισμών, οι συμβιβασμοί είναι ρητοί αντί για τυχαίοι και οι αρχιτεκτονικές επιλογές ευθυγραμμίζονται από την αρχή τόσο με τις επιχειρησιακές όσο και με τις απαιτήσεις ασφάλειας.

Ως αποτέλεσμα, η παράδοση γίνεται πιο προβλέψιμη, η επαναεργασία μειώνεται σημαντικά και το σύστημα που φτάνει στην παραγωγή δεν είναι μόνο λειτουργικό αλλά και ανθεκτικό, ελέγξιμο και ικανό να λειτουργεί υπό πραγματικές συνθήκες χωρίς να εισάγει περιττό οργανωσιακό κίνδυνο.

Η διαφορά είναι η ωριμότητα του λειτουργικού μοντέλου

Η διάκριση ανάμεσα στις δύο προσεγγίσεις δεν αφορά προτίμηση διαδικασίας, αλλά την ωριμότητα του λειτουργικού μοντέλου, όπου η Ομάδα Α αντιμετωπίζει την Ασφάλεια ως τελικό σημείο ελέγχου που επικυρώνει ό,τι έχει ήδη κατασκευαστεί, ενώ η Ομάδα Β αντιμετωπίζει την Ασφάλεια ως εταίρο σχεδιασμού που διαμορφώνει αυτό που κατασκευάζεται.

Μόνο ένα από αυτά τα μοντέλα κλιμακώνεται αποτελεσματικά καθώς τα συστήματα αυξάνονται σε πολυπλοκότητα και οι οργανισμοί εξαρτώνται όλο και περισσότερο από την αξιοπιστία και την ακεραιότητα του λογισμικού τους.

Αν ο οργανισμός σας εξακολουθεί να λειτουργεί όπως η Ομάδα Α, το ερώτημα δεν είναι αν αυτό θα επηρεάσει την παράδοση, αλλά πότε.

Επικοινωνήστε με τη Libertas Software Research για να δείτε πώς μπορούμε να σας βοηθήσουμε να μεταβείτε σε ένα μοντέλο που παραδίδει με ασφάλεια, προβλεψιμότητα και κλίμακα.