Создайте свой собственный: что волна гражданских разработчиков означает для вашей корпоративной ИТ-безопасности

Опубликовано: 5 Апреля, 2023
Создайте свой собственный: что волна гражданских разработчиков означает для вашей корпоративной ИТ-безопасности

Мы живем в эпоху, когда разработка программного обеспечения развилась до такой степени, что ее могут выполнять даже разработчики с очень небольшими техническими ноу-хау.

Это также четко согласуется с тем фактом, что спрос на программистов по-прежнему огромен, а зарплаты программистов являются одними из самых высоких во всех секторах, за исключением тех, которые могут постоянно бить выше 0,270 против подачи Высшей лиги. Этим спортсменам платят еще больше, но я больше не буду на этом отвлекаться!

В то же время сложность современных бизнес-приложений выросла до такой степени, что ряд ИТ-отделов компаний по всему миру не в состоянии создавать необходимые приложения собственными силами.

Появление гражданских разработчиков

Изображение 10290
ZDNet

Несмотря на то, что облачные вычисления позволили сократить этот разрыв, все еще существует большой пробел, который необходимо устранить в отношении разработки пользовательских приложений. Все эти тенденции сливаются в идеальный шторм благоприятной восприимчивости к понятию «гражданские застройщики». Короче говоря, гражданский разработчик — это не профессиональный разработчик, а конечный пользователь-любитель, который создает свои собственные программы, облегчающие его работу. Платформы с низким кодом одновременно набирают обороты, и эта тенденция стала еще более выраженной.

Однако что означает эта волна разработки, ориентированной на гражданских разработчиков, для ИТ-безопасности вашего предприятия? Читай дальше что бы узнать.

Катализаторы, поддерживающие гражданского разработчика

Некоторые факторы имеют первостепенное значение для поддержки развития граждан. Корпоративные ИТ могут сыграть в этом отношении каталитическую роль.

Рост облачных вычислений сыграл важную роль в открытии развития граждан. С появлением облачных платформ доступ к корпоративным данным значительно упростился. В прошлом разработка для конечных пользователей была ограничена ситуациями на основе рабочих групп или одного пользователя.

Теперь в среде, свободной от многих из этих ограничений, конечные пользователи могут свободно создавать корпоративные, ведомственные и общедоступные приложения, используя платформы разработки 4GL, службы облачных вычислений и платформы общих служб.

Изображение 10291
ТрекВиа

Доступность платформ с низким кодом означает, что проекты гражданских разработчиков могут иметь короткое время цикла и обеспечивать большую организационную гибкость. Платформы с низким кодом поддерживают визуальную разработку и быстрое прототипирование.

Крайне важно разрешать гражданским разработчикам только при поддержке ИТ-команды. Если приложения разрешено создавать с использованием инструментов, не одобренных ИТ, то это равносильно теневым ИТ, а не гражданскому развитию.

Тот факт, что используется термин «гражданское развитие» и он указывает на платформу с открытым доступом, не означает, что вы должны позволить своему отделу стать Диким Западом и игнорировать определенные протоколы. ИТ-организации могут сделать шаг вперед в этом отношении, поддерживая открытые системы и технологии, чтобы обеспечить гражданское развитие элегантным и безопасным способом.

Влияние гражданского разработчика на ИТ-безопасность предприятия

Последствия развития граждан для ИТ-безопасности предприятия многообразны и значительны.

Могут возникнуть значительные риски несоблюдения требований и проблем, связанных с безопасностью, если развитие граждан не поддерживается упорядоченной структурой. Инструменты разработки с низким кодом должны быть тщательно оценены перед развертыванием для использования. Инструменты должны поддерживать функции управления и соответствия, такие как контроль доступа.

Даже при наличии контроля доступа гражданское развитие может открывать новые точки атаки для хакеров. Когда ИТ-отдел организации решает обеспечить гражданское развитие, он, по всей вероятности, выберет облачное решение с доступом из любого места и открытыми системами. Существует, к сожалению, вероятность того, что хакеры могут воспользоваться рядом новых точек атаки, о чем следует беспокоиться.

Снижение рисков

Настоятельно рекомендуется, чтобы организации провели всесторонний аудит безопасности, прежде чем разрешить гражданское развитие. Такой аудит безопасности полностью проанализирует все точки атаки и выявит все уязвимые пути доступа к приложениям, которые необходимо запечатать или защитить.

Соблюдение процессов может быть слабым местом развития граждан, что может привести к возникновению хакерских атак и потере данных. Это особенно верно для функций, связанных с идентификатором пользователя и паролем. Например, иногда, когда приложения разрабатываются в модели гражданской разработки, стандарты хеширования и шифрования не соблюдаются. Это может привести к компрометации большого количества идентификаторов пользователей и паролей. Это также может привести к потере данных.

Крайне важно, чтобы проекты развития граждан запускались, выполнялись и администрировались в соответствии со стандартами процессов, имеющими такую же строгость, как и для всех проектов в целом. ISO и британские стандарты наряду с CMM обеспечивают прекрасную основу для разработки приложений.

Гражданским разработчикам необходимо предоставить такое же обучение, как и обычным разработчикам. Обучение должно быть сосредоточено не только на аспектах безопасности и соответствия, но также должно подчеркивать соблюдение надлежащих стандартов для сбора требований, анализа, проектирования, кодирования и тестирования.

Простота — важный аспект ИТ-среды, о котором необходимо позаботиться, чтобы гражданские разработчики могли соблюдать надлежащие стандарты соответствия. Конечно, простота не означает слабые стандарты. Платформа разработки должна по-прежнему включать надежные меры безопасности, а ключевые службы безопасности должны быть доступны через простую структуру API.

Единственный аспект простоты относится к тому, как элементы управления сделаны доступными и интуитивно понятными для выполнения.

Включение гражданского разработчика с собственными разработчиками

Редко бывает разумно доверить всю ИТ-работу вашей организации гражданским разработчикам. Всегда поддерживайте значительное присутствие штатных программистов. Привлечение штатных программистов необходимо для различных целей. Вот некоторые из них:

  • Программисты, работающие полный рабочий день, способны понять общую картину среды приложения. Это делает их бесценными, особенно во время анализа, проектирования и тестирования. Во время анализа и проектирования программистам, работающим полный рабочий день, должны быть поставлены задачи по просмотру документов, кода и проектов. Их экспертные знания необходимы для обеспечения надежности приложений.
  • Программисты, работающие полный рабочий день, имеют решающее значение для руководства и поддержки гражданских разработчиков там, где это необходимо. Они составляют важнейшую часть интерфейса и модели управления, которую ИТ-отдел использует для работы с разработчиками-гражданами. Они также могут помочь обеспечить соблюдение стандартов процессов в проектах.

Некоторые ключевые моменты, касающиеся развития граждан:

  • Шифрование данных имеет решающее значение. Всегда применяйте стандарты шифрования для передачи и хранения данных.
  • Предоставьте мобильные SDK, которые можно использовать для правильного управления приложениями.
  • Настоятельно рекомендуется поддерживать языки, управляемые памятью, такие как Java, насколько это касается гражданской разработки.
  • Иметь специальную и назначенную команду, подходящую для проектов, ориентированных на гражданское развитие, и гарантировать, что любое приложение, развернутое без ведома ИТ-отдела или этой команды, проверено на предмет потенциальных рисков и включено в компетенцию интерфейса гражданского разработчика в соответствии с надлежащей процедурой.

Используй возможность

Появление гражданской разработки предоставило ИТ-отделам огромные возможности для оптимизации и ускорения процесса разработки приложений.

Как и в случае с большинством основных тенденций, таких как BYOD, гражданское развитие представляет огромные возможности в сочетании со средним и высоким уровнем риска. Рисками можно тщательно управлять, чтобы обеспечить полное использование возможностей, предоставляемых развитием граждан.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023