סקר בחסות CA: שילוב אבטחת מידע בפיתוח תוכנה דורש דפוס חשיבה חדש

CA Technologies הודיעה על תוצאות סקר גלובלי שכותרתו "שילוב אבטחת מידע בדנ"א של מחזור החיים של התוכנה". הסקר נערך על ידי חברת האנליסטים Freeform Dynamics בקרב למעלה מ -1,200 מנהלי IT ומנהלים עסקיים. הסקר מתמקד בהשפעה של תרבות הארגון על יכולתו לשלב את אבטחת המידע ביוזמות לפיתוח תוכנה (DevSecOps).

NessPRO, קבוצת מוצרי התוכנה של נס, היא מפיצת מוצרי CA Technologies בישראל.

הכלכלה הדיגיטלית של ימינו מונעת על ידי תוכנה. כאשר אבטחת המידע משולבת מלכתחילה בפיתוח התוכנה, הסיכון של פריצה לנתונים מאוד פוחת. הדבר מאפשר למשתמשים רמה גבוהה של ביטחון ואמון בעת שימוש באפליקציות ושירותים הנפוצים בעולם המקוון.

רוב המרואיינים בסקר אישרו כי פיתוח תוכנה תומך בצמיחה והתרחבות, מסייע לעסקים להתחרות ומביא לטרנספורמציה דיגיטלית. עם זאת, הממצאים מראים כי כאשר התוכנה הופכת לקריטית יותר להצלחה עסקית בכלכלה הדיגיטלית, החששות בתחום אבטחת המידע נמצאים בעלייה אקספוננציאלית. למעשה, 74% מהנשאלים הסכימו כי איומי אבטחה הנובעים מבעיות תוכנה וקוד הם דאגה גוברת.

דו"ח של CA Veracode על מצב אבטחת המידע לשנת 2017 מצא כי נקודות התורפה ממשיכות לצוץ בשיעורים מדאיגים בתוכנות שלא נבדקו בעבר, כאשר ל-77% מהאפליקציות יש לפחות נקודת תורפה אחת בסריקה ראשונית.

על פי ממצאי הסקר, יצירת תרבות של פיתוח תוכנה מאובטחת היא אתגר גדול. 58% מהנשאלים ציינו את התרבות הקיימת ואת היעדר הכישורים כמשוכות לשיבוץ בדיקות אבטחת מידע בתוך תהליכי פיתוח התוכנה. רק 24% הסכימו בתוקף שהתרבות והפרקטיקות של הארגון תומכים בשיתוף פעולה בין הפיתוח, התפעול ואבטחת המידע. בנוסף על מגבלות תרבותיות, פחות מרבע מהנשאלים הסכימו שעל ההנהלה הבכירה "להקריב" את זמן ההגעה לשוק כדי לאפשר מספיק זמן להעריך ולתקן נקודות תורפה בתחום אבטחת התוכנה.

מהי החשיבה התרבותית הנחוצה כדי להסתגל ולשגשג בשוק?

"אבטחת המידע היא עקרון מרכזי בכל מפעל תוכנה מודרני. ממצאי הסקר שלנו מאשרים את ההכרה בחשיבות של בניית ותחזוקת הנתונים והמערכות בצורה מאובטחת, אך עדיין יש חוסר באימוץ תרבותי בתוך ארגונים סביב נושא זה", אמר איימן סייד, נשיא ומנהל המוצרים הראשי של CA Technologies. "שילוב של אבטחת מידע עם Intelligent IT (השימוש בבינה מלאכותית, למידת מכונה ואנליטיקה לקבלת החלטות טובות ומושכלות יותר) יכול לשנות באופן דרמטי את האופן שבו העסק פועל".

הדו"ח מציג את המאפיינים של Software Security Masters (34% מהנשאלים), שהם ארגונים שהצליחו לשלב את אבטחת המידע באופן מלא במחזור החיים של פיתוח התוכנה. הדבר כולל ביצוע בדיקות מוקדמות ורציפות של אפליקציות לאיתור נקודות תורפה בתחום אבטחת המידע וכן אימוץ של DevSecOps.

למעשה, בהשוואה למיינסטרים, ה-Software Security Masters הסכימו (בסבירות גבוהה פי שניים) כי הם רואים באבטחת המידע גורם המאפשר הזדמנויות עסקיות חדשות. ארגונים אלה הציגו גם את המאפיינים הבאים:

● גידול של 50% ברווח.
● גידול של 40% בהכנסות.
● סבירות של פי 2.6 לביצוע בדיקות אבטחה מידע בעדכונים תכופים של אפליקציות.
● סבירות של פי 2.5 להקדים את המתחרים.

"ארגונים שהם Software Security Masters הם מקור לתקווה בכלכלה הדיגיטלית של ימינו, לא זו בלבד שהם מדגימים ומייצגים את החשיבה התרבותית הנחוצה כדי להסתגל ולשגשג בשוק הדינאמי של היום, אלא הם גם משפיעים על השינוי בענף תוך עיצוב מקום העבודה של העתיד", אמר סייד.