Mapeamento da Segurança Terrain aplicativo - Parte Um

O número eo tipo de medidas de proteção para estas aplicações é crescente. A seleção de uma solução adequada gestão de riscos de segurança do aplicativo deve levar em conta diversos requisitos do negócio e fatores. Não há uma solução única que irá atender às necessidades de cada empresa.

Os responsáveis ​​pela segurança de seus ambientes precisa entender o que os riscos estão presentes em suas aplicações, como cada vulnerabilidade tem uma criticidade associados que se baseia em vários fatores . Armado com este conhecimento, uma estratégia de gestão de risco adequada pode ser desenvolvida com a ação prioritária para reduzir essas ameaças.

ASTECH Consulting tem mais de 10 anos de experiência da avaliação dos pedidos de internet usando métodos manuais e automatizados para ambos 'caixa branca' e avaliações de "caixa preta". Nós desenvolvemos uma gama de níveis de serviço que utilizam esses métodos para atender às necessidades de negócios de nossos clientes e requisitos de segurança.

Então, qual é o nível requerido de avaliação de segurança do aplicativo?

Como os requisitos de segurança de aplicativo empresarial são considerados, é útil para colocá-los no mesmo contexto como vários outros softwares atributos que costumamos lidar com:

A funcionalidade
Usabilidade
Desempenho
Confiabilidade
Segurança

No entanto, não podemos lidar com as características das nossas aplicações em isolamento; nós considerá-los no contexto de requisitos de negócio e fatores de negócios do mundo real, incluindo viabilidade, financiamento, retorno sobre o investimento, e custo de oportunidade.

Enquanto melhor é sempre desejável, não podemos avaliar o que é melhor, sem compreender o status quo. Precisamos responder a "melhor do que o quê?" questão. Isso requer suficiente análise /avaliação para identificar uma linha de base comparativa

Por exemplo:. Página de inscrição boletim informativo voltado para a web de uma empresa é encontrado para ter uma vulnerabilidade de script cross-site. Dirigindo-se esse risco pode exigir US $ 20.000 em custos de desenvolvimento. É este o melhor uso de fundos para esta empresa?

Em termos teóricos, queremos segurança absoluta. Em termos práticos, queremos um nível "razoável ou melhor" de segurança. A definição de "razoável" só é significativa dentro do contexto de uma aplicação e de negócios específico. A definição poderá basear-se do governo (por exemplo, níveis de classificação do DOD), requisitos do grupo indústria (Payment Card Industry), e domínio do negócio.

O próprio ato de medir a segurança, desempenho, confiabilidade ou tem um custo variável associada com base na precisão e do rigor na análise, as habilidades dos analistas, etc.

Um processo de avaliação de segurança do aplicativo é o método de identificação de vulnerabilidades de segurança do aplicativo para que a empresa possa tomar decisões informadas de gestão de risco que incluem o avaliação dos custos financeiros e de oportunidade associados à mitigação dos riscos de segurança identificados. A rigor, profundidade e custo de um processo de avaliação de segurança do aplicativo deve razoavelmente variam de acordo com os requisitos de negócios.

Fique atento para a parte dois, onde veremos quais os tipos de riscos de segurança a considerar.
.