Gwałtowny wzrost liczby aplikacji, wykorzystywanych dzisiaj w świecie biznesu jest związany z tym, w jaki sposób generujemy i odczytujemy dane - czy to przez chmurę obliczeniową, smartfony czy komputery. Z dopiero co opublikowanego raportu wynika, że większe środki finansowe przeznacza się na bezpieczeństwo sieci niż bezpieczeństwo aplikacji, co ma fatalny wpływ na produktywność biznesu.
Tymczasem wydaje się, że nie jest do końca jasne kto ponosi odpowiedzialność za bezpieczeństwo aplikacji. W badaniu, przeprowadzonym ostatnio przez F5 Networks oraz The Ponemeon Institute, 56% ankietowanych odpowiedziało, że odpowiedzialność ta coraz mniej leży po stronie IT i stopniowo spada na użytkowników końcowych bądź twórców aplikacji. Mając to na uwadze należy spytać: kto tak naprawdę jest odpowiedzialny za bezpieczeństwo aplikacji?
Inwazja technologii
Role i obowiązki w zakresie bezpieczeństwa aplikacji są często rozproszone w obrębie organizacji. Chociaż 21% ankietowanych jest zdania, że odpowiedzialni są szefowie działów IT, to z kolei 20% badanych twierdzi, że trudno wskazać konkretną osobę lub dział. Natomiast 20% respondentów mówi, że odpowiedzialne są poszczególne działy firmy, a kolejne 19%, że kierownik ds. rozwoju aplikacji.
Wygląda to na przerzucanie odpowiedzialności. Jednak, wiele firm usiłuje pogodzić się z naporem nowych technologii, między innymi Internetu Rzeczy (Internet of Things, IoT), który przenika wszystkie aspekty naszego prywatnego i zawodowego życia. W efekcie, działy IT często są nieprzygotowane i brakuje im środków na wprowadzenie odpowiednich strategii obronnych dla nowo powstających technologii.
W raporcie zawarto też inne kluczowe wnioski. Połowa ankietowanych uważa, że warstwa aplikacyjna atakowana jest częściej, a 58%, że te ataki są poważniejsze niż w warstwie sieciowej. Co ciekawe, w ciągu ostatnich 12 miesięcy najczęstszymi wypadkami, związanymi z niezabezpieczeniem aplikacji, były: wstrzykiwanie SQL'a (29%), ataki DDoS (25%) oraz oszustwa sieciowe (21%).
Wgląd w słabe punkty
Wobec rosnącej liczby aplikacji, działających w środowisku korporacyjnym, informatycy często nie mają dostępu do wszystkich z nich, ponieważ są one rozmieszczone w różnych działach. Ten brak pełnego wglądu może powodować opóźnienia w walce z cyberprzestępczością, co może szybko doprowadzić do poważnych opóźnień w dostarczaniu usług, czy też wystawić organizacje na kolejne cyberataki. Tylko 35% ankietowanych odpowiedziało, że ich organizacje dysponują licznymi metodami wykrywania luk w zabezpieczeniach aplikacji, a 30%, że posiada dostateczne środki. Istotną kwestią jest tu finansowanie, tymczasem przedsiębiorstwa częściej inwestują w tradycyjne IT, tj. systemy, infrastrukturę oraz urządzenia w niej działające.
Określenie jasnego rozkładu ról w kontekście ochrony aplikacji pomoże firmom zapewnić bezpieczeństwo w całej sieci pracowniczej, wymagającej 24-godzinnego dostępu z każdego urządzenia i miejsca. Współpraca z wyspecjalizowanymi dostawcami okazuje się bezcenna w kwestii zapobiegania przestojom i pozwoli zdecydowanie ograniczyć potencjalne koszty.
Solidniejsza współpraca
Dzisiejsi twórcy aplikacji często nie są przygotowani na odparcie ataków typu Zero-Day. Dodatkowa presja, związana z potrzebą szybkiej sprzedaży i zaspokojenia potrzeb konsumentów, rośnie z roku na rok. W skrócie, deweloperzy są niedofinansowani i często zmuszani są do poszukiwania kompromisowych rozwiązań w kwestii standardów.
Podsumowując, bezpieczeństwo aplikacji jest odpowiedzialnością zbiorową. Optymalna strategia wdrożenia aplikacji powinna uwzględniać kilka podmiotów w firmie m.in. dział IT oraz deweloperów, a także CIO lub CTO, który powinien przeznaczyć odpowiednie środki finansowe na tę kluczową część biznesu. W miarę jak firmy stawiają na elastyczność, stosowanie skutecznych praktyk oraz integrowanie wiedzy specjalistów ze wszystkich działów, pozwolą uniknąć niespodzianek, gdy odpowiedzialność akurat spadnie na ciebie. Taka współpraca zapewnia organizacjom dodatkową możliwość bezpiecznego przetwarzania danych w kluczowych sferach biznesu oraz wzmacnia je w walce ze cyberprzestępcami.
Autor: Ireneusz Wiśniewski, Dyrektor Zarządzający w F5 Networks
