Kesalahan umum dalam Organisasi terkait Security dan Compliance
Berikut ada beberapa poin yang sudah saya rangkum tentang “Kesalahan umum dalam Organisasi terkait Security dan Compliance” dari sumber artikel berjudul “Why Security Engineer Need “Shift-Left” to DevSecOps?” yang di tulis oleh Najib Radzuan
Artikel ini cocok untuk teman-teman security engineer di luar sana yang tertarik untuk berpindahan dari role Security Engineer ke DevSecOps, dan beberapa poin dibawah ini menurut saya memang sering terjadi pada organisasi/perusahaan.
1. Company:
A. Kegagalan untuk mengenali dasar-dasar Cybersecurity:
- Mengandalkan antivirus sebagai satu lapisan keamanan.
- Gagal mengenkripsi data sensitif yang merupakan sasaran empuk bagi penyerang.
B. Kurangnya Kebijakan Keamanan Siber:
- Penjahat dunia maya tidak hanya menargetkan perusahaan di sektor keuangan atau teknologi. Mereka mengancam setiap perusahaan di luar sana.
- Oleh karena itu, standar keamanan adalah suatu keharusan bagi perusahaan mana pun.
C. Manajemen IT Security Tidak Cukup bahkan tidak ada:
- Sebagian besar peringatan keamanan siber yang penting mungkin terlewat, dan serangan yang berhasil mungkin tidak dihilangkan tepat waktu untuk meminimalkan kerusakan.
2.Application Developer
A. Menggunakan Library open source yang memiliki banyak risiko bug keamanan:
- Sebagian besar developer menggunakan software dan library open source. Tidak semua komponen open-source tidak dibuat sama; beberapa dari mereka tetap rentan sejak awal sementara yang lain menjadi lebih buruk dari waktu ke waktu.
B. Mereka tidak memiliki pelatihan keamanan Aplikasi formal:
- Sebagian besar developer tidak memiliki pengetahuan dasar tentang security dan selalu menempatkan tindakan keamanan pada tim security engineering internal atau eksternal untuk mengakses aplikasi mereka.
C. Tidak memiliki rencana perbaikan berdasarkan risiko kerentanan:
- Sering kali, ketika sesuatu yang buruk terjadi di lingkungan Production, mereka tidak tahu apa-apa dan tidak tahu siapa atau bagaimana mereka dapat menyelesaikan masalah keamanan.
3. Application / Information Security Engineer
A. Tidak terlibat dalam desain / pengembangan produk:
- Dalam struktur tim DevOps atau Agile, mereka adalah tim yang berbeda atau konsultan eksternal dan dengan pendekatan DevOps mereka hampir sepanjang waktu tidak terlibat sejak awal desain / pengembangan produk.
B. Orang terakhir yang menangani masalah security dan compliance:
- Keterlibatan mereka selalu di akhir proses atau setiap kali tim memiliki masalah keamanan.
C. Tidak dapat bersaing dengan tim Agility dan Speed of DevOps; ditambahkan ke rasa sakit karena kurangnya pengetahuan CI / CD:
- Dengan pipeline CI / CD DevSecOps, sebagian besar AppSec / InfoSec tidak terbiasa dengan Alat Integrasi Berkelanjutan (CI) dan membuat mereka sulit untuk berkolaborasi dengan tim DevOps.
Jika kita melihat kembali ke pendekatan Pengujian Keamanan Tradisional, itu selalu dilakukan antara status Rilis dan Deploy, atau akan dilakukan setelah kita deploy ke production.
Saat ini, saya pikir kita memiliki 2 solusi untuk semua masalah yang saya sebutkan di poin ke 3, dan kita dapat menggunakan 2 pendekatan Shift-Left DevSecOps atau Secure SDLC.
mungkin di lain waktu saya akan membagikan artikel yang akan relate dengan pembahasan DevSecOps ataupun SDLC, spoilerr :D saya sendiri sedang belajar mengenai DevSecOps entah saya akan shifting kesana atau cukup mempunyai pengetahuan disana. Nantikan.
Website : https://kitabantu.co.id
Linkedin : https://www.linkedin.com/in/anggi-gunawan17/
