Tehnografi.com - Технологические новости, обзоры и советы
[adinserter block="67"]
Советы по SEO

Риски утечки данных при аутсорсинге разработки программного обеспечения

Следующая статья поможет вам: Риски утечки данных при аутсорсинге разработки программного обеспечения

Громкие кибератаки вызывают растущую озабоченность у современного бизнеса. Даже такой глобальный бухгалтерский и аудиторский гигант, как Deloitte, может стать жертвой утечки данных, как и другие гиганты, такие как Yahoo и Equifax, которые в этом году пострадали от крупных взломов, получивших резонанс во всем мире. Только в этом году были скомпрометированы три миллиарда учетных записей пользователей Yahoo и 143 миллиона учетных записей Equifax.

Эти массовые утечки данных могли послужить тревожным сигналом для других бизнес-структур. Однако, несмотря на потенциальную угрозу, 19-е Глобальное исследование информационной безопасности EY, 2016–2017 гг. показало, что 62% предприятий вряд ли будут инвестировать больше денег в кибербезопасность после того, как они столкнулись с утечкой данных, которая не привела к причинению вреда. Кроме того, 68% опрошенных предприятий не стали бы увеличивать свои расходы на безопасность, даже если бы они пострадали от атаки.

Тем не менее, исследование Gartner утверждает, что не все организации так безразлично относятся к этому вопросу. Действительно, некоторые понимают, что политики безопасности нуждаются в серьезном пересмотре, чтобы противостоять различным типам нарушений безопасности данных. К сожалению, риски различны и многочисленны: неполные соглашения о неразглашении, хрупкие облачные сервисы, вредоносные программы, небрежная политика BYOD (Bring Your Own Device), ненадежные аутсорсинговые поставщики программного обеспечения и многое другое.

Тем не менее, решения по обеспечению безопасности данных при разработке программного обеспечения на заказ требуют соблюдения нескольких важных мер предосторожности при утечке данных. Читайте дальше, чтобы изучить их и узнать, как укрепить сотрудничество с аутсорсинговыми компаниями.

Вопросы предотвращения потери данных, которые следует учитывать

При аутсорсинге услуг по разработке программного обеспечения затраты и соглашения об уровне обслуживания (SLA) — не единственные аспекты, влияющие на успех взаимодействия, поскольку безопасность данных также остается важным фактором. Тем не менее, обнаружение нарушений безопасности оффшорных данных может быть обнаружено не сразу из-за несоблюдения нормативных требований и/или плохой политики безопасности поставщика. Кроме того, в некоторых странах действуют разные политики в отношении выдачи уведомлений об утечке данных, поскольку в некоторых может потребоваться немедленное уведомление, в то время как в стране, где находится аутсорсинговая компания, такие строгие стандарты могут отсутствовать.

Из-за этих опасений передача конфиденциальных данных клиентов третьим сторонам должна быть хорошо продуманным решением с наличием надежной системы предотвращения потери данных (система DLP).

Во-первых, рекомендуется определить, какими данными компания собирается делиться с третьими лицами, чтобы обеспечить надлежащую оценку всех рисков. В то время как один набор данных может подпадать под действие законов о персональных данных, другой может подпадать под защиту прав интеллектуальной собственности (ИС).

Мы также рекомендуем иметь соглашение об обработке данных (DPA), в котором описывается, как данные должны обрабатываться, храниться, передаваться и защищаться. При подготовке документа крайне важно учитывать правила, ограничения или обязательства, налагаемые на продавца, поскольку законодательство может сильно различаться. Например, если аутсорсинговая компания-разработчик программного обеспечения находится в государстве-члене ЕС, владелец данных должен учитывать правила GDPR. DPA также могут включать информацию о субподрядчиках или аффилированных лицах, которым будет разрешен доступ к данным. Здесь компании должны четко определить права доступа и обязанности всех сторон, чтобы было понятно, в какой степени данные могут быть обработаны и кто имеет право на это.

Наличие под рукой работоспособного плана восстановления — еще одно проверенное решение для обеспечения безопасности данных. Большинство организаций предпочитают хранить конфиденциальные данные на корпоративных серверах с регулярным резервным копированием, а не в облаке. Эксперты по безопасности данных в Semrush также поддерживают это решение и предлагают придерживаться этого плана:

  • Делаем резервные копии данных
  • Архивирование данных
  • Делаем резервные копии проекта
  • Безопасное хранение данных

Чтобы обеспечить безопасную передачу данных, Светла также советует использовать выделенное соединение виртуальной частной сети (VPN). Это будет отличным дополнением к вашим мерам безопасности.

Консультации по безопасности разработки программного обеспечения

Правда в том, что многие аутсорсинговые компании по разработке программного обеспечения устанавливают безопасные принципы работы, но не все из них действительно применяют эти политики, что может затруднить выбор поставщика. Комплексная проверка, включая оценку правовых методов и методов обеспечения безопасности данных, является важным элементом этого процесса, и при правильном выполнении уровень доверия между двумя сотрудничающими сторонами значительно возрастет. Что же делает подрядчика надежным?

  1. Поставщик создает задокументированную Систему управления информационной безопасностью, чтобы гарантировать предотвращение потери данных клиентов, и уделяет особое внимание обеспечению соблюдения этой политики как важного компонента своего бизнеса. Политика должна охватывать следующие пункты:
    • сети с авторизацией по паролю/доступу;
    • входной трафик с трехуровневым брандмауэром;
    • доменная авторизация для клиентских серверов и клиентских машин;
    • расширенное ведение журнала для мониторинга как входящего, так и исходящего трафика;
    • конкретная подсеть проекта, защищенная брандмауэром от остальной части организации;
    • изолированная сетевая архитектура VLAN;
    • обнаружение вторжений, а также мониторинг спама и вирусов.
  2. Поставщик аутсорсинга хранит весь исходный код на внутренних серверах с доступом к VPN или частной сети, а пользователи имеют индивидуальные логины и пароли для регистрации своей деятельности. Если использование облачных сервисов является неотъемлемой частью разработки программного обеспечения, наиболее эффективным способом предотвращения утечки данных является применение утвержденных алгоритмов шифрования, таких как AES, RSA и SHA-256.
  3. Поставщик получил сертификаты, такие как ISO 2700, что гарантирует ответственное обращение с данными клиентов и принятие необходимых мер для предотвращения риска утечки данных. Помимо этого, следует также оценить, как реализуются политики безопасности данных внутри компании-вендора и какое обучение персонала проводится.
  4. У провайдера есть специально обученные подразделения для дальнейшего мониторинга и контроля взаимодействия с вендорами. Как правило, регулярные проверки проводятся в рамках политики снижения рисков, о которой мы подробнее расскажем ниже.

Эффективное управление рисками на месте

Оценка рисков при аутсорсинговой разработке программного обеспечения — это непрерывный процесс. Составляя документы о стратегии снижения рисков, директора по информационным технологиям (CIO) уверяют, что их компании не оставляют двери открытой для кибератак, и поэтому делают все возможное, чтобы избежать утечек данных, ущерба для бренда и финансовых потерь.

Планирование должно начинаться как можно раньше с выявления, оценки и приоритизации рисков, а также с поиска подходящих подходов к снижению рисков и мониторингу.

Методы защиты данных, применяемые в стратегиях снижения риска, часто основаны на оценке возникновения риска и возможных последствий. Как правило, ИТ-директора используют следующие методы управления рисками:

Принятие. Признание наличия риска, влияющего на проект, без принятия дальнейших мер по его контролю или устранению. Для этого требуется одобрение высшего руководства.
Избегание. Корректировка графика, целей и объема проекта для снижения потенциальных рисков.
Контроль. Принятие мер по устранению рисков или минимизации их негативного воздействия.
Передача. Изменение стейкхолдеров, которые согласились бы принять риск и нести ответственность за принятие этого решения.
Смотрю. Мониторинг изменений в среде проекта, которые могут увеличить риски или изменить их характер.

Что касается управления рисками, ИТ-директора рекомендуют дальновидный подход: учитывать местные законы об интеллектуальной собственности, заранее готовить планы управления рисками и оценивать меняющиеся условия. Для успешной реализации стратегии предотвращения потери данных специалисты по информационной безопасности «Свитлы» рекомендуют составить список наиболее серьезных рисков для мониторинга и сообщать о потенциальных угрозах подрядчикам.

Помимо документа по снижению рисков, крайне важно проверить планы обеспечения непрерывности бизнеса, политики информационной безопасности, сертификаты безопасности данных и способы, которыми аутсорсинговые компании работают с интеллектуальной собственностью своих клиентов. Кроме того, убедитесь, что положения основного соглашения об обслуживании (MSA) соответствуют стандартам компании и политикам безопасности данных.

Доверяй, но проверяй

Безопасность при разработке программного обеспечения всегда будет оставаться на первом месте при взаимодействии с компаниями-разработчиками программного обеспечения. Без должной осмотрительности зарубежного провайдера DLP-решения не будут работать так эффективно, как должны. Однако после тщательной оценки возможностей безопасности поставщика и согласования плана действий этот план должен быть задокументирован в договоре найма, чтобы обе стороны четко понимали свои обязанности и обязательства.

Чтобы уменьшить риски третьих сторон, компаниям необходимо постоянно участвовать в процессе разработки программного обеспечения. Даже если производитель предпримет все необходимые меры, чтобы избежать потери данных, все равно существует вероятность того, что какие-то уязвимости все же могут появиться. Очевидно, что мероприятия по защите от потери данных должны включать не только систематический мониторинг безопасности, но и регулярное тестирование на проникновение, которое поможет выявить существующие и новые подводные камни задолго до того, как ими воспользуются киберпреступники. Это особенно важно при добавлении новой инфраструктуры или использовании программного обеспечения с открытым исходным кодом.

Никогда нельзя недооценивать вероятность взлома. Поначалу меры безопасности могут показаться излишними, но они помогут предотвратить дорогостоящее исправление кода или, что еще хуже, восстановление после утечки данных.