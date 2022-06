Più soldi, meno problemi?

Le persone fanno parte del processo di sicurezza

La buona notizia è che, in recessione o meno,, almeno secondo i nuovi dati di Morgan Stanley Research. La cattiva notizia è che la sicurezza non funzionerà se quegli stessi CIOIl vicepresidente di AWSha assolutamente ragione quando afferma: “È responsabilità del consumatore di software distribuito in sistemi critici per la sicurezza o l’affidabilità patcharlo in modo sicuro”. Dopotutto il software senza patch, open source o altro,Questo è forse un problema più grande per l’open source, non perché non sia intrinsecamente sicuro (il contrario è più vicino alla verità),. Pertanto, possiamo continuare a investire nella sicurezza open source, ma se le aziende non si preoccupano di applicare patch al software da cui dipendono, quanto sarà di aiuto la sicurezza?Innanzitutto, la buona notizia: i CIO, una volta reattivi nel dare priorità alla spesa per la sicurezza,Secondo le ultime stime di Gartner,Sono un sacco di soldi e non sembra che diminuiranno nel 2022 o oltre. Alla domanda “quali progetti IT sarebbero più o meno propensi a finanziare se l’economia cadesse in recessione”,. Questo segna un vero progresso, dato che la cyber security era qualcosa di cui le aziendeMa esattamente dove spendono le aziende? Secondo alcuni report,test automatici delle applicazioni e altro ancora. Qui entra in gioco anche l’automazione, che può aiutare a ridurre la probabilità che sviluppatori o addetti alle operazioni non applichino le patch per un determinato software. Questo aspetto diventa ancora più critico poiché le aziende utilizzano livelli crescenti di software open source. Il software open source offre probabilmente un processo superiore per la protezione del software,Non è l’uso dell’open source che crea rischi per la sicurezza: il problema è il suo uso irresponsabile.Come affermadi Ivanti, “gli attori delle minacce si muoveranno sempre più velocemente nella creazione di exploit di sicurezza rispetto alla maggior parte delle aziende che prendono di mira”. Quanto più velocemente? Secondo una ricerca di RAND , sebbene occorrano solo 22 giorni prima che un attore di una minaccia possa trarre vantaggio da una minaccia nota,Ciò può essere dovuto al codice non mantenuto ancora in uso (cosa abbastanza comune), o semplicemente perché l’azienda non riesce a correggere una vulnerabilità.

Con tutto questo ritrovato interesse nel finanziamento di software di sicurezza, mi chiedo se non dovremmo investire più soldi nello sviluppo di una mentalità di sicurezza. La posizione di sicurezza di un’azienda è valida quanto lo sono le persone che la amministrano. La Open Software Security Foundation ha ragione a mettere l’educazione alla sicurezza al primo posto nell’elenco delle aree che devono essere affrontate per migliorare la sicurezza per l’open source, sebbene gli stessi principi si applichino in gran parte a qualsiasi software.

Di recente, alcune grandi aziende hanno fatto importanti scommesse sulla sicurezza open source, impegnando 150 milioni di dollari per aiutare a proteggere l’infrastruttura open source chiave. È una iniziativa lodevole e significativa, ma credo che non andrà abbastanza lontano. La sicurezza riguarda sempre le persone e i processi che possono essere entrambi assistiti con l’automazione, ma a meno che le persone incaricate di proteggere il proprio software aziendale non siano addestrate su come pensare alla sicurezza, nessuna somma di denaro ci farà dormire sonni tranquilli.

In effetti, come scrive Alissa Irei, ci vogliono formazione e accordo in tutta l’azienda su quali sistemi dovrebbero avere la priorità per il mantenimento della sicurezza. Nell’articolo della Irei, Doug Cahill, analista senior di Enterprise Strategy Group, sottolinea che “c’è una marea di patch. Più grande ed eterogenea è l’organizzazione, meno pratico è che tutti i sistemi siano sempre aggiornati”. Con questo “diluvio” di sistemi che necessitano di patch, le aziende intelligenti faranno un passo indietro, valuteranno e daranno priorità al software che supporta le applicazioni più critiche.

Può anche accadere che una patch possa creare più problemi di quanti ne risolva, interrompendo la compatibilità e portando offline le applicazioni rivolte ai clienti. Ma in questi casi, come sempre, la chiave è formare le persone e costruire processi. Ecco perché, prima di iniziare a vantarsi di spendere molto per la sicurezza, bisogna spendere nelle aree giuste.