Quanto dovremmo spendere per migliorare la sicurezza del software?

2

Esiste un metodo "scientifico" per determinare la quantità di risorse / denaro da spendere per migliorare la sicurezza di un software?

Lavoro in un team in cui il nostro lavoro ha la priorità del proprietario del prodotto (ala Scrum). Il proprietario del prodotto è un tipo guidato dalle vendite e si concentra sulle nuove funzionalità richieste dai clienti e meno sull'infrastruttura. Penso di aver bisogno di un modo per convincerlo che dobbiamo dedicare più tempo al miglioramento della sicurezza.

Ovviamente non voglio convincerlo diffondendo la paura e non sono sicuro di me stesso quanti soldi dovremmo spendere per migliorare la sicurezza. Certo, la sicurezza del nostro software è migliorata continuamente ma sospetto - senza saperlo con certezza - che sarebbe saggio raddoppiare gli sforzi nell'area.

Ho una memoria debole a proposito di questo, dove è stato suggerito qualcosa del tipo:

  1. Pensa a un punto debole nella sicurezza del sistema
  2. Valuta quale sarebbe un costo un attacco di successo in termini di clienti persi / dis-soddisfatti (X)
  3. Stima la probabilità che ciò si verifichi in un determinato anno. (Y)
  4. Calcola quanto dovrebbe spendere per correggere i punti deboli, in base a X e Y. Non dobbiamo risolvere immediatamente il problema, ma dovremmo spendere Z per cento su di esso.
posta Nitra 14.08.2013 - 16:55
fonte

1 risposta

3

Probabilmente dovresti spendere tanto denaro nell'analisi come faresti per correggere i noti problemi di sicurezza in primo luogo, e seguendo una buona progettazione del programma e le migliori pratiche di sicurezza.

  1. Considera l'universo di informazioni che potresti non sapere mai. Quando gli attacchi di sovraccarico del buffer sono stati scoperti nel software scritto in C, nessuno ha previsto che ciò accada (eccetto gli aggressori). Chi si aspetta che qualcuno riempia un buffer di caratteri in modo che possano iniettare codice al di fuori dei suoi confini? Come hai potuto prevederlo, se non l'avessi mai visto prima?

  2. La tua più grande minaccia non sono gli attacchi informatici altamente sofisticati, ma i fattori banali della gente. gente che scrivi le loro password da qualche parte dove sono facilmente accessibili , perché non possono ricordarle . Attacchi di ingegneria sociale. Uso casuale di unità flash USB. Phishing. Non puoi difenderti da questi con la tecnologia, a meno che tu ...

  3. Scollega. In che modo le agenzie governative gestiscono questo tipo di incertezza? Scollegano . I computer con informazioni classificate su di essi sono tenuti isolati fisicamente ed elettricamente da Internet e da altri computer. Bene, cioè, fino a recentemente .

  4. Non sei qualificato per affrontare il problema. La tua esperienza è non sicurezza del computer (beh, a meno che non lo sia.) probabilmente non scrivere applicazioni, a meno che non siano programmi di tipo difensore come i virus scanner).

Quindi cosa fai? Invia il tuo personale a corsi di sicurezza orientati alla programmazione. Seguire le migliori pratiche di sicurezza e progettazione del software. Impara tutto ciò che puoi sugli attacchi di sicurezza comuni e su come difenderci. E incrocia le dita.

Se desideri ancora l'analisi, assumi un consulente in possesso delle competenze necessarie.

    
risposta data 14.08.2013 - 17:18
fonte

Leggi altre domande sui tag