L'importance de la sécurité ne peut jamais être sous-estimée à l'âge d'aujourd'hui des violations de sécurité à grande échelle, où les cyber-criminels frappent à volonté. Cependant, l'équipe de développement d'applications d'entreprise doit s'assurer que la sécurité n'entrave pas la convivialité, ou en d'autres termes, la sécurité n'est pas auto-destructrice.
gérer les données sensibles, y compris les informations personnelles identifiables. Les implications d'une violation peuvent être ruineuses et même sonner le glas de l'entreprise. Cependant, en même temps, la main-d'œuvre exigeante d'aujourd'hui et les clients très choyés recherchent des applications intuitives et faciles à utiliser. La satisfaction du client est essentielle à la survie de l'application.
L'approche conventionnelle de la sécurité s'apparente à l'ajout d'un plus grand nombre de serrures à la porte d'une maison. Bien qu'il soit difficile pour les voleurs de pénétrer dans une telle maison, il est également difficile pour les occupants eux-mêmes d'y entrer. Dans le monde numérique, obligé de se connecter à chaque fois, obligé de se connecter d'abord dans l'appareil, puis connectez-vous au logiciel, puis entrez un mot de passe de transaction, obligé de changer tous ces mots de passe une fois toutes les deux semaines, étant dit le mot de passe n'est pas assez long ou a été utilisé auparavant, et plus, tous renforcent la sécurité, mais sont des irritants majeurs et entravent considérablement la facilité d'utilisation.
Voici quelques façons d'équilibrer l'énigme sécurité-utilisabilité, ou d'assurer que la sécurité ne finisse pas
Mettre en œuvre la sécurité par conception
La meilleure approche de la sécurité est la «sécurité par conception» ou la cooptation de la sécurité pendant le processus de développement lui-même.
Lorsque la sécurité est intégrée dans la planification phases de conception, de conception et de mise en œuvre, les développeurs peuvent coder en pensant à la sécurité, utiliser des frameworks sécurisés et co-opter les tests de sécurité dans le processus de développement d'une application
et entrave la facilité d'utilisation. Souvent, les réglages doivent être affectés, et le code bien écrit doit être refait. L'analogie est de fabriquer une porte avec un seul verrou anti-vandalisme intégré, contrairement à l'ajout de plusieurs verrous après l'installation de la porte, pour obtenir la même résistance.
Collaborer avec tous
Les développeurs d'applications doivent collaborer avec des experts en sécurité et des chefs d'entreprise pour évaluer les risques de sécurité et déterminer les meilleures solutions pour résoudre les problèmes de sécurité sous-jacents. est un défi encore plus grand. Les développeurs cherchent à rendre les choses aussi faciles que possible pour leurs clients ou utilisateurs. L'équipe de sécurité reste obsédée par la sécurité des données, souvent avec l'attitude si quelqu'un doit attendre quelques secondes supplémentaires pour accéder aux données, ainsi soit-il. Ils restent inconscients des implications du client pressé qui se déplace ailleurs plutôt que d'attendre ou de supporter un système alambiqué. Les études d'utilisabilité de Google révèlent même qu'un retard de dixième de seconde dans la performance d'une application nuit à l'expérience de l'utilisateur
Un travail d'équipe collaborative où chaque partie prenante fait partie des tâches de prototype, de conception et de test. trouver un terrain commun et des solutions de contournement faciles. Par exemple, avec une équipe de sécurité dans le mélange, les développeurs n'auront plus à comprendre comment se connecter en toute sécurité à l'entreprise chaque fois qu'ils construisent une application. Les intrants de l'équipe de sécurité les aideraient à établir une connexion sécurisée, VPN ou autre, qui pourrait même être réutilisée pour d'autres applications. De la même manière, la sécurité pourrait concevoir un moyen sécurisé pour les utilisateurs de se connecter à ces applications.
Opter pour l'authentification matérielle
Les développements de la technologie matérielle offrent un antidote efficace aux vulnérabilités de sécurité sans compromettre la convivialité. Un exemple en est scanner d'empreintes digitales Touch ID d'Apple et les systèmes Android compatibles. En déployant une telle sécurité et authentification matérielle, les utilisateurs n'ont pas à se débattre avec des mots de passe irritants, et les développeurs sont épargnés par le travail fastidieux de sécurisation des données et d'authentification des utilisateurs via le code de l'application. Cela permet également un cycle de développement plus rapide et un code beaucoup plus propre.
Limitation de la disponibilité des données sensibles
Si les données ne sont pas volées, elles ne seront pas volées. feraient bien de reconsidérer leur modèle d'affaires et de limiter la disponibilité des données en ligne seulement dans la mesure minimale requise. Les données hypersensibles peuvent être stockées dans des silos imprenables, en utilisant l'authentification de qualité militaire, tout à fait contraire à la logique tant vantée d'éradiquer les silos pour faciliter l'analyse des données volumineuses. Seules les données requises pour l'analyse peuvent être diffusées, en fonction des besoins.
Les développeurs peuvent également utiliser Informations de sécurité et gestion des événements (SIEM) . SIEM collecte les événements du journal de sécurité à partir de nombreux hôtes connectés aux serveurs d'entreprise, afin d'identifier les modèles normaux. Un modèle d'utilisation anormal déclenche des alertes, voire des verrouillages, protégeant les données. Dans le même temps, une utilisation normale et routinière est autorisée discrètement. Le défi réside dans la complexité de la configuration du SIEM
Tirer parti de la puissance de la simplicité
Tirer parti de la puissance de la simplicité. Les applications simples, avec un design minimaliste, et le codage Lean ne sont pas seulement faciles pour les utilisateurs mais contiennent des vulnérabilités moindres. Une telle configuration minimise également le risque que les utilisateurs fassent quoi que ce soit pour compromettre la sécurité. C'est le cas d'Usabilla basé à Amsterdam, qui met en place la sécurité minimale nécessaire, et rien de plus pour son service de retour d'information des consommateurs. La simplification des services et des fonctionnalités a encouragé les utilisateurs à suivre la bonne voie plutôt que de prendre des mesures ayant des implications potentielles sur la sécurité.
Embaucher des développeurs compétents
Souvent, les lacunes de compétences, une mauvaise planification et une mauvaise compréhension du modèle économique par le développeur aggravent énigme de sécurité. Embaucher des développeurs d'applications d'entreprise compétents qui ont une expérience et une expérience considérables de l'entreprise, qui sont capables de travailler en étroite collaboration avec les chefs d'entreprise et qui sont capables de déployer les meilleurs outils et techniques du métier. développer des applications hautement intuitives, hautement sécurisées en même temps.
Source link