יגאל כהן >> "הארגונים בארץ מתבגרים ומבינים שעליהם להיערך לאיומי אבטחת מידע לא כשמושמע האיום, אלא כבר בשלב הפיתוח"

חברת אבנת אבטחת מידע מקיימת בימים אלה מס' קורסים מקצועיים ייחודיים העוסקים בפיתוח קוד מאובטח. הקורס המיועד למתכנתים וכבר אומץ ומיושם בפועל אצל מס' ארגונים גדולים.
 
יגאל כהן, מנכ"ל אבנת אבטחת מידע: הבעיה העיקרית בפיתוח מוצרים ושירותים היא בעובדה שמרבית החברות מבצעות את הליך הפיתוח בתוך הארגון ומתבססות על מתודולוגיות וטכנולוגיות פיתוח זהות. דבר זה מוביל כמעט באופן ודאי למימוש בעיות אבטחת מידע שמאותרות רק בשלבים מתקדמים בהליך הפיתוח ואף משליכות על פיתוחים נלווים המשלימים או נתמכים במוצר המקורי".
 
כחברה שעוסקת כל הזמן בבדיקות קוד, תוכנה וחוסן, מגלים הצוותים של אבנת לא פעם כיצד שגיאות בכתיבת הקוד עצמו, מסבכות בפועל את הארגון מאפשרות פגיעה ממשית בנכסי המידע הארגוניים שלו, ועד לעיכובים דרמטיים בהשלמת הפיתוח ומתן המענה לעובדי הארגון דבר שמסתכם לא רק בפגיעה ברצף העבודה, אלא גם בא לידי ביטוי בעלויות כספיות גבוהות. לעיתים אף איתור התקלה בסוף הליך הפיתוח יהיה בלתי הפיך ויחייב את הארגון להתחיל את הכל מההתחלה.
 
בעידן שבו כבר אין צורך להסביר את חשיבות מימוש כל אלמנט אפשרי בתחום אבטחת המידע, יש חלק קריטי להבנת תהליך כתיבת הקוד באופן מאובטח. באבנת גובשה תוכנית עבודה סדורה הכוללת מתודולוגיות מובנות המשתלבות בהליך הפיתוח כבר בשלב האפיון, הניתוח והתכנון באמצעות מודל איומים (STRIDE) ומודל נוסף המחשב את חומרתם (DREAD). במסגרת הקורס לומדים המתכנתים כיצד לשלב מנגנוני הגנה שיתנו מענה לפרצות שעלו בשלב הניתוח ובשלב הבדיקות בוחנים היבטי אבטחת מידע כחלק מובנה בתהליך והתיקונים מבוצעים כחלק משדרוגי הגרסה.
 
כהן: "אין ספק שכשרמת המודעות עולה, עולה גם הצורך לממש תהליכים מתקדמים ומורכבים יותר. פיתוח מאובטח הוא אחד המרכיבים העיקריים בהערכות הנכונה של הארגון למול מתקפות האקינג שמיועדות להשבית אותו או לגנוב ממנו מידע מסחרי יקר ערך. אנחנו בהחלט רואים התבגרות אצל הארגונים העסקיים שמבינים את הצורך להגן על עצמם לא כשמושמע האיום אלא בשלבי הפיתוח הראשוניים וכבר פועלים לממש אותו אצלם. אין לי ספק כי בחודשים הקרובים יצטרפו עוד ועוד ארגונים שיממשו את הקורס הזה אצלם. לא מדובר ב- nice to have אלא ב- must של ממש".

הנתונים, המידע, הדעות והתחזיות המתפרסמות באתר זה מסופקים כשרות לגולשים. אין לראות בהם המלצה או תחליף לשיקול דעתו העצמאי של הקורא, או הצעה או  או שיווק השקעות או ייעוץ השקעות ב: קרנות נאמנות, תעודות סל, קופות גמל, קרנות פנסיה, קרנות השתלמות או כל נייר ערך אחר או נדל"ן– בין באופן כללי וביןבהתחשב בנתונים ובצרכים המיוחדים של כל קורא – לרכישה ו/או ביצוע השקעות ו/או פעולות או עסקאות כלשהן. במידע עלולות ליפול טעויות ועשויים לחול בו שינויי שוק ושינויים אחרים. כמו כן עלולות להתגלות סטיות בין התחזיות המובאות בסקירה זו לתוצאות בפועל. לכותב עשוי להיות עניין אישי במאמר זה, לרבות החזקה ו/או ביצוע עסקה עבור עצמו ו/או עבור אחרים בניירות ערך ו/או במוצרים פיננסיים אחרים הנזכרים במסמך זה. פאנדר אינה מתחייבת להודיע לקוראים בדרך כלשהי על שינויים כאמור, מראש או בדיעבד. פאנדר לא תהיה אחראית בכל צורה שהיא לנזק או הפסד שיגרמו משימוש במאמר/ראיון זה, אם יגרמו, ואינה מתחייבת כי שימוש במידע זה עשוי ליצור רווחים בידי המשתמש.