Pages

mardi 14 décembre 2010

Perspectives sur la sécurité des applications et gestion des risques

Dans mon dernier message blog j'ai discuté de la gestion des risques de sécurité informatique et pourquoi le secteur des services financiers agressive adopté la pratique. Ma recommandation est que le segment de l'industrie des soins de santé doit suivre pour accroître l'efficacité et l'efficience de leurs programmes de sécurité de l'information. Il est rafraîchissant de voir la preuve que cela se passe. La semaine dernière, à OWASP AppSec USA conférence des leaders du secteur des soins de santé ont partagé leurs perspectives sur la gestion des risques de sécurité informatique.

La session, intitulée «Caractérisation des logiciels de sécurité, un risque pour Mainstream Business», représentée la sécurité des applications et des experts de gestion des risques et des cadres des secteurs commerciaux et publics, y compris: Tom Brennan, directeur général de Proactive Risk et membre du Conseil de l'OWASP; Ed Pagett, RSSI pour les services de traitement prêteur; Greenberg Richard, ISO pour le Los Angeles County ministère de la Santé publique, et John Sapp, directeur de la sécurité, des risques et de conformité pour McKesson.

Plutôt que de se concentrer sur les questions techniques liées à la sécurité des applications, ce qui vous pourriez vous attendre à une conférence de l'OWASP, le panel s'est concentré sur la discussion des risques et la construction de programmes de gestion des risques. Une grande partie de la discussion a porté sur la façon dont les facteurs clés pour la gestion des risques doivent être exprimés en termes d'affaires comme les résultats des soins aux patients, la satisfaction du client ainsi que les revenus et les profits.

Greenburg, du secteur de la santé publique, a déclaré que pour le ministère de comté de Los Angeles de la santé publique, "C'est une question de faire droit à des soins aux patients. Le ministère n'a pas vraiment s'en soucier, ni comprendre ce que la sécurité des applications est. Ils peuvent cependant , comprendre le risque dans le contexte de leur entreprise, comment un programme de sécurité de l'application peut aider ou de les empêcher de fournir les meilleurs soins possibles ».

Sapp de McKesson a poursuivi: «Lorsque vous travaillez à travers le développement de notre programme de gestion des risques, nous avons examiné comment nos programmes de sécurité des applications nous aident à atteindre nos objectifs commerciaux. Bien sûr, cela ne signifie pas que nous fermer les yeux à la technologie et la sécurité, telle que nous avons mis l'entreprise en danger, nous ne voulons certainement pas à faciliter une infraction Mais, une plongée en profondeur dans la technologie n'est pas la discussion que nous avaient au cours de notre programme de planification de la gestion des risques;. nous avons quitté cette discussion pour l'équipe de sécurité à s'engager dans des opérations en dehors du programme de gestion des risques des discussions. "

La commission a offert quelques conseils pour aider d'autres organisations à accroître leur sécurité propre application et les programmes de gestion des risques:

    * Parler en termes de l'entreprise. Par exemple, mettre l'accent sur la façon de s'assurer que les transactions bancaires sécurisées, comment garantir les soins aux patients privés et très résistant, et la façon de fournir des services de confiance aux employés, partenaires et clients.
    * La réponse n'est jamais simplement «acheter un outil." Évitez d'acheter des produits à l'aveuglette dans l'espoir qu'ils vont résoudre vos problèmes de sécurité des applications et de gestion des risques. Il est important de comprendre d'abord l'objectif du programme de gestion des risques et puis sélectionnez l'outil approprié (s) pour le travail. Comme Sapp a dit, «un imbécile avec un outil est toujours un imbécile."
    * Avoir une large gamme d'alliés, à la fois large et profond - se concentrer d'abord sur ceux qui ont la responsabilité génératrices de revenus, suivis par ceux qui ont la responsabilité d'audit et de conformité.
    * Trouver les dirigeants sur le terrain et les champions d'établir des efforts de la base. Tirez parti de votre équipe de gestion de projet pour réaliser un gain rapide ou deux et puis les utiliser comme des études de cas à l'avancement du programme supplémentaire.
    * Tirer parti des cadres tels que ISO 27002 pour établir un niveau de base de l'orientation de la façon de construire votre programme de gestion du risque et votre programme d'appui à la sécurité des applications.

En termes d'indications pour ceux dans le secteur de la santé, Sapp de McKesson a pris note des quelques points saillants de leur programme de gestion des risques.

Les quatre principaux objectifs ont été axés sur McKesson:

    * L'harmonisation des processus et des investissements liés à la gestion des risques
    * Améliorer le processus de gestion globale des risques
    * Établissement d'une gouvernance application
    * Fournir la transparence et la visibilité à travers le programme de gestion des risques

Pour atteindre ces objectifs, McKesson a défini un ensemble complet de catégories de gestion des risques visant à aider à définir, mettre en œuvre et mesurer les progrès accomplis. Certaines catégories d'échantillon de gestion des risques comprennent la sécurité, la qualité, la vie privée, les aspects juridiques et des tiers. Chacune de ces catégories jouent un rôle dans la gestion des risques, et en les définissant à l'avance, McKesson a été en mesure d'établir un programme complet et formalisé de gestion des risques pour toute l'entreprise. programme de McKesson est conçue pour englober ses risques propres affaires ainsi que les risques associés aux produits, services et solutions qu'elle propose à ses clients.

Dans chaque catégorie, McKesson serait aller au-delà du risque pour la sécurité et le risque d'entreprise, ce serait faire une plongée en profondeur dans l'analyse de risque / récompense et de se concentrer sur la façon de gagner la plus grande récompense pour tout en réduisant ou en évitant le plus de risques. Un exemple de cette analyse comprennent comment réduire le coût total de propriété d'un système ou l'application par rapport à l'atténuation des risques afin d'éviter une augmentation des coûts opérationnels. Un autre exemple serait la façon dont il pourrait atteindre de hauts niveaux de qualité des applications et la résilience comme une récompense, tout en atténuant les risques liés à des défaillances d'application et d'autres erreurs critiques. Un dernier exemple serait de savoir comment McKesson pourrait augmenter la probabilité et la vitesse à proximité de ses propres efforts de vente tout en réduisant le coût d'acquisition de clients par rapport à atténuer le risque d'avoir des désavantages concurrentiels (comme la sécurité et la qualité des pauvres mauvaise application).

Avec son programme-cadre en place, en s'appuyant sur l'OCEG (Open conformité & éthique du Groupe) en tant que cadre de référence, McKesson a commencé à se concentrer sur la mise en œuvre d'un programme d'application de sécurité intégrée. L'ordre avec lesquelles la société a effectué l'analyse de sécurité des applications a été:

   1. Les applications qui étaient à la recherche de certification sur HITECH (technologies de la santé de l'information pour la santé économique et clinique).
   2. De nouvelles applications qui étaient en développement ou sur la feuille de route pour le développement.
   3. Les applications héritées qui possèdent la valeur des revenus élevés pour la société.

Cette analyse et la hiérarchisation permet McKesson à préciser, les décisions calculé sur la façon de procéder avec la sécurité des TI et la sécurité des applications par rapport à son programme de gestion du risque global. Une telle décision s'articule autour de laquelle les demandes de mettre à jour ou en fin de vie. Sans cette analyse, McKesson pourrait être la prise de décisions fondées sur des données limitées ou pauvres, investir potentiellement des millions dans les systèmes et applications qui auraient autrement été reconstruits ou remplacés.

Avec le programme en place et l'analyse effectuée en priorité, McKesson a été en mesure de sélectionner un ensemble de produits de sécurité des applications, des outils d'analyse de code et de services de consultation pour évaluer les risques de routine, prescrire des tâches d'atténuation des risques, mettre en œuvre le développement d'applications sécurisé des meilleures pratiques au sein de son développement de logiciels cycle de vie et donner de la visibilité dans la gestion de l'état d'un programme de gestion efficace des risques qui est la sécurité des applications Java.

cet article est traduisé en francais
l'origine de cet article (en anglai): http://ezinearticles.com/?Perspectives-on-Application-Security-and-Risk-Management&id=5160231

0 commentaires

Enregistrer un commentaire