Góc quan điểm: Không ai khác, developer chính là anh hùng bảo mật thời hiện đại

Linh Le

Khi phần mềm trở nên tinh vi hơn thì nhu cầu về văn hóa bảo mật trong các tổ chức trở nên cấp thiết hơn. Tuy nhiên, đội ngũ bảo mật của các tổ chức hếm khi có các nguồn lực và chuyên môn cần thiết để hỗ trợ các developer trong chuyện này.

Trên thực tế, khảo sát của BSIMM (Build Security In Maturity Model) năm 2016 chỉ ra rằng phải có đến 245 kỹ sư phần mềm thì mới có 1 chuyên gia bảo mật. Ngoài việc thực thi chính sách, không chỉ các tổ chức thiếu các nguồn lực và chuyên môn, mà các chuyên gia bảo mật cũng thiếu ảnh hưởng trực tiếp đến các đội ngũ phát triển. Tuy nhiên, các chuyên gia bảo mật có trách nhiệm cải thiện tính bảo mật của phần mềm và các developer không có đủ động lực để quan tâm đến các hoạt động bảo mật vì điều này làm chậm tiến trình làm việc của họ. Vì vậy, mặc dù văn hóa bảo mật trong các tổ chức là điều cần có, nhưng bên cạnh đó cũng cần phải xác định rõ ràng vai trò và trách nhiệm của các cá nhân trong một tổ chức.

Để giải quyết thâm hụt bảo mật trong các tổ chức, một giải pháp đáng được quan tâm là thiết lập chương trình Security Champions. Việc triển khai chương trình như vậy sẽ chỉ định một thành viên từ mỗi đội ngũ phát triển trở thành ‘Security Champion’ – người đóng vai trò là cái tâm của vòng tròn bảo mật trong một tổ chức. Người này chỉ huy tất cả các hoạt động bảo mật về mặt phát triển và đóng vai trò chính trong việc tạo điều kiện cho sự thay đổi văn hóa bảo mật trong toàn bộ tổ chức. Trên thực tế, chúng tôi đã thấy các bằng chứng chứng minh sự thành công khi áp dụng chương trình này tại các tập đoàn lớn, bao gồm Adobe (với chương trình ‘Belt’) và Cisco (với chương trình Security Ninjas). Với thành công trong việc triển khai các chương trình này, Gartner ước tính đến năm 2021, 35% doanh nghiệp sẽ có chương trình Security Champions, tăng đáng kể từ con số 10% trong năm 2017. Vì vậy, chúng ta có thể tự đặt câu hỏi: Làm thế nào để Security Champions có thể lấp đầy khoảng cách an ninh trong các tổ chức, tạo điều kiện để tiến tới thay đổi cả một văn hóa bảo mật?

Họ là người xây dựng cầu nối giữa phát triển và bảo mật. Người đóng vai trò là Security Champion sẽ xây dựng mối quan hệ giữa các thành viên của đội ngũ phát triển và các thành viên của đội ngũ bảo mật. Người này tạo điều kiện giao tiếp cho thành viên hai bên và giúp các developer hiểu thật rõ giá trị cốt lõi mà việc bảo mật mang lại. Và cuối cùng là nâng cao nhận thức về nhu cầu bảo mật của các developer để giúp giữ gìn và nâng cao văn hóa bảo mật trong tổ chức.

Họ là một chuyên gia bảo mật trong đội ngũ phát triển. Security Champion giúp thúc đẩy các cải tiến liên quan đến bảo mật trong đội ngũ phát triển của họ. Đồng thời, hỗ trợ thực hiện các hoạt động bảo mật ứng dụng và đảm bảo rằng bảo mật được tích hợp vào quá trình phát triển. Nếu các developer có câu hỏi liên quan đến bảo mật, họ có thể liên hệ với Security Champion của mình để được hướng dẫn.

Họ được đào tạo để trở thành chuyên gia bảo mật. Sau khi được tuyển dụng, các Champion được cung cấp các tài liệu đào tạo, bao gồm sách, tài nguyên bằng văn bản và các khóa học eLearning. Họ cũng được đăng ký vào khóa đào tạo có giáo viên hướng dẫn, chuyên sâu về bảo mật ứng dụng liên quan đến Top 10 các rủi ro bảo mật ứng dụng lớn nhất (OWASP Top Ten) cũng như đào tạo công cụ bảo mật. Họ thậm chí còn có thể được đào tạo bổ sung dưới hình thức Lunch and Learns (Ăn trưa kết hợp với đào tạo) hoặc các sự kiện khác.

Họ có động lực để trở thành nhân viên chuyên về bảo mật. Các developer tham gia vào vai trò Security Champion khi họ biết rằng điều đó có thể giúp họ phát triển trong sự nghiệp. Họ thường nhận được các chứng nhận do chính công ty cung cấp hoặc chứng nhận do tổ chức khác cung cấp cho từng cấp bậc Security Champion đạt được.

Security Champion trong tầm nhìn lớn hơn. Một người vừa là kỹ sư phần mềm vừa đóng vai trò là Security Champion là một tài sản quý báu đối với các đội ngũ phát triển. Họ là tấm gương sáng cho các developer khác về cách tốt nhất cho vấn đề bảo mật trong khi vẫn đảm bảo rằng mã bảo mật được triển khai.

Cuối cùng, các ứng dụng được bảo mật tích hợp trong giai đoạn đầu của vòng đời phát triển phần mềm sẽ có các framework và thiết kế kiến ​​trúc an toàn hơn, cũng như giảm đi nguy cơ ‘tấn công bề mặt’. Điều này giúp giảm thiểu rủi ro và thiệt hại tiềm ẩn có thể xảy ra trong khi chạy các ứng dụng quan trọng trong môi trường sản xuất.

Có Security Champion trong tổ chức là một cách dễ dàng để nắm bắt các lỗ hổng và lỗi bảo mật trước khi ứng dụng được đưa vào quy trình sản xuất, ngăn chặn tin tặc khai thác phần mềm và bảo vệ các tổ chức tạo ra phần mềm đó.

Song song với các khóa học e-Learning và nền tảng đào tạo bảo mật thích hợp, các chương trình Security Champions đóng một vai trò quan trọng trong việc thay đổi mô hình văn hóa theo hướng môi trường phát triển có ý thức bảo mật.

 

Chia sẻ bài viết ngay

Nguồn bài viết : https://sdtimes.com