De ce empatia este cheia pentru o mai bună modelare a amenințărilor

Modelarea amenințărilor este un mijloc extrem de eficient de a securiza software-ul și aplicațiile, dar foarte puține organizații o fac efectiv. În mediul de calcul și securitate de astăzi, totuși, modelarea amenințărilor este mai necesară ca niciodată.

Sistemele distribuite bazate pe cloud și echipele de dezvoltare software agile și interfuncționale au înlocuit sistemele monolitice construite și operate de echipe izolate. Pe parcurs, software-ul a devenit mult mai complex – la fel și amenințările. Actorii amenințărilor și-au schimbat tactica pentru a ocoli mijloacele tradiționale de detectare. Multe atacuri nu mai furnizează malware, de exemplu, concentrându-se în schimb pe compromisuri de acreditări. Iar atacatorii pot sta în rețelele companiei luni de zile înainte de a acționa. IBM „Costul unui raport de încălcare a datelor” a constatat că este nevoie în medie de 287 de zile pentru ca organizațiile să identifice și să limiteze o încălcare.

Companiile recunosc nevoia. A Studiu 2021 Security Compass a constatat că 79% dintre întreprinderile mijlocii și mari consideră că modelarea amenințărilor este o prioritate, dar doar 25% efectuează modelarea în fazele incipiente de proiectare. Și doar 10% realizează modelarea amenințărilor pentru 90% dintre aplicațiile pe care le dezvoltă.

Ca industrie, trebuie să facem din modelarea amenințărilor o practică standard în dezvoltarea de software, introdusă într-un mod cu care pot lucra atât echipele de dezvoltare, cât și echipele de securitate și implementată într-un mod care arată rezultate pozitive și îmbunătățiri în timp. Și totul începe cu un cuvânt pe care s-ar putea să nu-l auzi prea multe în operațiunile IT și cercurile de securitate: empatie.

O schimbare culturală

Există o serie de motive pentru deconectarea dintre a vedea valoarea în modelarea amenințărilor și a o face efectiv, inclusiv o lipsă de comunicare între echipele de securitate și de dezvoltare și o tendință de a renunța la modelarea amenințărilor dacă eforturile inițiale devin încurcate și nu produce rezultatele dorite.

De prea multe ori, echipele de securitate pot privi aplicarea controalelor de securitate ca pe o stradă cu sens unic între ele și echipele de dezvoltare, ca o simplă chestiune de a spune dezvoltatorilor ce să facă. Dar asta înseamnă să începi cu piciorul greșit. Organizațiile trebuie să recunoască faptul că fiecare echipă are abilități de la care cealaltă poate învăța. La urma urmei, dacă puneți un profesionist al securității în spațiul dezvoltatorului, acesta ar fi pierdut.

Schimbarea acestei mentalități necesită o schimbare culturală și începe prin a vedea empatia ca pe o propunere de valoare. Latura umană a acestui lucru trebuie să vină în prim-plan, implicând mai mulți oameni în îmbogățirea cunoștințelor noastre. Echipele de securitate trebuie apreciați mediul în care lucrează dezvoltatorii, sub presiune pentru a dezvolta și livra software rapid. Echipele de dezvoltare pot ajuta echipele de securitate să înțeleagă cadre precum containerele și cum să controleze accesul, cunoștințe care pot fi aplicate politicilor de securitate.

Când echipele obțin colaborare mergând înainte și înapoi, ele învață unele de la altele. Va dura timp pentru a ajunge la acel punct. S-ar putea să înceapă în întâlniri sau într-o integrare a unui proces, poate lucrând printr-un pic de încercare și eroare și, în cele din urmă, să treacă la integrarea instrumentelor. Când ajung la nivelul de maturitate în care toată lumea are o înțelegere de bază a domeniilor celuilalt, ei pot trece apoi la niveluri mai avansate de modelare a amenințărilor, cum ar fi modelarea bazelor de cunoștințe și crearea de grafice de concepte care se mapează împreună.

Dar are nevoie de un proces stabil, sau devine scump și haotic, rezultând probleme dezordonate cu oamenii.

3 pași pentru o mai bună modelare a amenințărilor

Există trei elemente cheie pentru a crea o atmosferă de colaborare.

Coaching: Acest lucru îi ajută pe dezvoltatori să înțeleagă importanța modelării amenințărilor. Poate începe cu integrarea de noi angajați. Indiferent de antecedentele și certificările lor, nu presupuneți că știu cum este gestionată securitatea în compania dvs. Asigurați-vă că înțeleg cultura.

Colaborare: O cultură a cooperării și colaborării începe cu conducerea unei companii, cu un CISO având atitudinea de a dori să servească echipele. Poate dura timp, dar ar trebui modelat la nivel de conducere.

Integrare: Elementele de cooperare se reunesc lucrând la integrări, care este un proces continuu. Scopul nu este perfecțiunea, ci să se îmbunătățească și să evolueze în timp.

O cheie pentru ca această abordare să funcționeze este aplicarea valorilor, în special prin analizarea rezultatelor, cum ar fi „reducerea vulnerabilităților” – spre deosebire de încercarea de a evalua detaliile modului în care lucrează indivizii. Rezultatele nu sunt o problemă de dezvoltator sau de securitate, ci este lucrul tuturor.

Din experiența mea, am descoperit că este util să aveți planuri clare pe 30, 60 și 90 de zile, care să descrie rezultatul așteptat în fiecare etapă. Planurile ar trebui să demonstreze o creștere progresivă și să fie realizate în colaborare. Dacă aceste rezultate ar trebui măsurate, sau ajungi să devii fără scop.

Empatia este cheia

Ca comunitate de securitate, este responsabilitatea noastră să ajutați dezvoltatorii să adopte modelarea amenințărilor. Nu suntem noi împotriva lor. Trebuie să-i facem să se gândească la securitate și la modelarea amenințărilor, ca parte a unei abordări integrate care evoluează în timp.

Empatia ca tehnică de management poate ajuta la crearea acestui mediu. Unii oameni ar putea crede că empatia înseamnă lipsa de responsabilitate - că înțelegerea poziției și gândurilor cuiva este oarecum blândă - dar de fapt produce rezultatul opus. Dezvoltă colaborarea de care avem atât de disperată nevoie.