แอปพลิเคชัน SecDevOps Model – โซลูชันด้านความปลอดภัยข้อมูลสำหรับองค์กร

เมื่อวันที่ 29 พฤศจิกายน 2024 ตัวแทน MISA ได้แบ่งปันประสบการณ์จริงในการสร้างวัฒนธรรม SecDevOps เพื่อปรับปรุงความปลอดภัยของข้อมูลสำหรับองค์กรในการประชุมเชิงปฏิบัติการ "เรียนรู้เกี่ยวกับ DevSecOps - เทคโนโลยีและโซลูชันการควบคุมความปลอดภัย" จัดโดย BIDV Insurance - BIC

การประชุมเชิงปฏิบัติการครั้งนี้มีผู้เชี่ยวชาญชั้นนำในด้านเทคโนโลยีสารสนเทศและความปลอดภัยของข้อมูลเข้าร่วม ฝ่าย MISA มีนาย Nguyen Quang Hoang ผู้อำนวยการฝ่ายความปลอดภัยข้อมูล และนาย Bui Duc Truong หัวหน้าแผนกความปลอดภัยข้อมูล เข้าร่วม

ภายในกรอบงานสัมมนา คุณ Bui Duc Truong หัวหน้าแผนกความปลอดภัยข้อมูลของ MISA ได้แนะนำโมเดล SecDevOps เพื่อเป็นการแบ่งปันประสบการณ์ในการนำ SecDevOps มาใช้กับผลิตภัณฑ์ เพื่อสนับสนุนให้องค์กรต่างๆ ตระหนักรู้ในเรื่องความปลอดภัยและความมั่นคงของข้อมูลมากขึ้น

ตัวแทน MISA กล่าวในงานสัมมนาเชิงปฏิบัติการ

ตามแค็ตตาล็อกการจัดสรรช่องโหว่และการเปิดเผยทั่วไป (CVE) ของ Paloalto Network ตั้งแต่เดือนพฤศจิกายน 2022 ถึงมกราคม 2023 ช่องโหว่มักปรากฏในแอปพลิเคชันเนื่องจากการเขียนโปรแกรมที่ไม่ปลอดภัย ดังนั้นองค์กรต่างๆ จึงต้องบูรณาการความปลอดภัยเข้ากับกระบวนการพัฒนาผลิตภัณฑ์ซอฟต์แวร์ทั้งหมด โดยเฉพาะอย่างยิ่งการนำโมเดล SecDevOps มาใช้กับซอฟต์แวร์เพื่อเร่งกระบวนการพัฒนาผลิตภัณฑ์ โดยลดความเสี่ยงในโค้ดต้นฉบับลงได้ 40-50% ตามที่ James Rutt - CIO Insight กล่าว

รายการจัดสรรความเสี่ยงสำหรับ CVE ตั้งแต่เดือนพฤศจิกายน 2022 ถึงมกราคม 2023

SecDevOps เป็นรูปแบบการพัฒนาที่รวมการรักษาความปลอดภัย การพัฒนา และการปฏิบัติการ คล้ายกับ DevSecOps อย่างไรก็ตาม ความแตกต่างที่สำคัญคือ SecDevOps ให้ความสำคัญกับความปลอดภัยมาเป็นอันดับแรกในความคิดของทุกคนและในทุกขั้นตอนของกระบวนการพัฒนาซอฟต์แวร์ นอกจากนี้ โมเดลนี้ยังส่งเสริมกระบวนการทำงานและวัฒนธรรม "ทีมเดียว" ช่วยให้ทุกคนทำงานร่วมกันอย่างใกล้ชิดเพื่อให้แน่ใจว่าความปลอดภัยมีความสำคัญเป็นอันดับแรกตลอด

องค์กรต่างๆ ต้องใช้ SecDevOps อย่างใกล้ชิดใน 3 ปัจจัย: บุคลากร - กระบวนการ - เทคโนโลยี

ในการใช้โมเดล SecDevOps ได้อย่างมีประสิทธิผล องค์กรต่างๆ จะต้องนำปัจจัยสามประการนี้มาใช้อย่างใกล้ชิด ได้แก่ บุคลากร กระบวนการ และเทคโนโลยี ในแง่ของบุคลากร องค์กรต่างๆ จำเป็นต้องเพิ่มทักษะให้กับทีมงานด้านความปลอดภัยด้านข้อมูล จัดให้ทีมงาน Sec สอดคล้องกับทีมงาน DevOps และจัดให้มีการฝึกอบรมด้านการเขียนโปรแกรมและการปรับใช้ที่ปลอดภัย ในด้านกระบวนการ องค์กรสามารถนำแบบจำลอง Secure – Software Development Life Cycle (SSDLC) มาใช้เพื่อพัฒนาซอฟต์แวร์ที่ปลอดภัยได้ ในด้านเทคโนโลยี องค์กรต่างๆ สามารถใช้วิธีการและเครื่องมือด้านความปลอดภัยต่อไปนี้เพื่อตรวจจับและจัดการช่องโหว่ด้านความปลอดภัย: การวิเคราะห์แบบคงที่ (SAST); การวิเคราะห์แบบไดนามิก (DAST) การวิเคราะห์เชิงโต้ตอบ (IAST) การวิเคราะห์องค์ประกอบซอฟต์แวร์ (SCA)

นาย Truong กล่าวว่า โปรแกรมเมอร์จำเป็นต้องได้รับการฝึกอบรมเกี่ยวกับความตระหนักด้านความปลอดภัยและการเขียนโปรแกรมอย่างปลอดภัย โดยมุ่งหวังที่จะป้องกันไม่ให้ช่องโหว่ปรากฏในขั้นตอนหลังของกระบวนการพัฒนาซอฟต์แวร์

ในฐานะองค์กรเทคโนโลยีชั้นนำที่ให้บริการซอฟต์แวร์ในเวียดนามและผู้ริเริ่ม CYSEEX Alliance MISA มุ่งมั่นที่จะร่วมมือกับองค์กรต่างๆ ในการปรับใช้โซลูชันความปลอดภัยขั้นสูง ปกป้องข้อมูลและระบบข้อมูลจากการโจมตีทางไซเบอร์

ที่มา: https://www.misa.vn/149771/ung-dung-mo-hinh-secdevops-giai-pap-an-toan-thong-tin-cho-cac-to-hoc/