AK SA POZERAŤ NA IT BEZPEČNOSŤ VO FIRMÁCH AJ STARTUPOCH

Jiří Riedl, softvérový architekt a špecialista na bezpečnosť v BOOTIQ

Bezpečnosť je v dnešnej uponáhľanej dobe v rade firiem aj startupov stále podceňovaná disciplína. Dávno už neplatí, že nasadením antivíru a zabezpečením firemnej siete je problém raz a navždy vyriešený. To je však jeden z najklasickejších omylov. Rovnako ako sa menia technológie a spôsob práce, menia sa aj možné hrozby. Ich nájdenie a odstránenie sa tak stáva komplexnou disciplínou, ktorá začína v samotných základoch IT systému a končí pri správaní zamestnancov. V tejto oblasti tak panuje aj v súčasnosti rada mýtov, kvôli ktorým rada šéfov o prípadnom bezpečnostnom audite ani nepremýšľa, či už z obavy z vysokej ceny, alebo z "kostlivcov" skrytých hlboko v neprehľadnom špagetovom kóde.

STAVAJTE NA PEVNÝCH ZÁKLADOCH

Rovnako ako sa zrúti dom bez kvalitných základov, nemôže fungovať žiadny systém alebo aplikácia bez kvalitnej architektúry. S týmto neduhom sa stretávame u niektorých startupov, ktoré sa snažia čo najrýchlejšie vydať MVP (minimum viable product = základný životaschopný produkt), ktorý chcú čo najrýchlejšie predstaviť investorom. Pri tom často nezvažujú, že ich aplikácia pri vyššom nápore spomalí, alebo rovno spadne, a neskôr bude náročnejší jej škálovanie a rozvoj. U cloudových aplikácií sa potom môže kvôli zlej architektúre ich prevádzka aj zásadne predražiť. V neposlednom rade nepoteší zle navrhnutá aplikácia ani investora, ktorý by sa o jej technický stav mal prirodzene zaujímať.

Bezpečnosť a odolnosť je teda priamo úmerná kvalitnej architektúre. Výhoda IT architektov je rozhľad, odporúčanie najspoľahlivejších a najoverenejších praktík a postupov. Startup tak nemusí vynáliezť koleso, ale rovno si vybrať tie najkvalitnejšie diely. A vďaka tomu sa opäť sústrediť na vlastný vývoj. Pri tom IT architekt nemusí byť pri všetkom, bohato stačí jeho prítomnosť na začiatku každej kľúčovej fázy projektu. Výsledkom je tak jeho práca nie je časovo náročná a táto investícia sa do budúcnosti mnohonásobne vyplatí.

PRÍLIŠ ZLOŽITÝ SYSTÉM JE MOŽNÉ ZACHRÁNIŤ

Na trhu stále existuje mnoho firiem, ktoré si udržiavajú svoj archaický IT systém, o ktorý sa stará interné IT oddelenie. Avšak cez roky sa rozrástol do obrovských rozmerov, takže sa nikto iný v ňom nevyzná. To je ilúzia, ktorú si mnohí šéfovia udržiavajú a zatvárajú oči pred možnými problémami. Väčšinou až do momentu, kým sa neobjaví vážnejší problém. Externý konzultant dokáže pomôcť identifikovať najväčšie chyby a pozrieť sa na vec z nového, externého uhla pohľadu. A navrhnúť ideálne riešenie, ako všetko zjednodušiť, prípadne prejsť na moderný a spoľahlivý systém alebo jednotlivé nástroje.

Základný problém často spočíva v tom, že niektoré firmy chcú všetko vyvíjať samy. Aj napriek tomu, že na trhu existuje dostatok výberu napríklad CRM a ERP systémov a vaša aplikácia sa primárne venuje niečomu inému. Niekedy sa oplatí vyvinúť a predávať len samostatný modul do bežnej aplikácie, ktorý je nakoniec bezpečnejší, rýchlejší a lacnejší na údržbu. Skúsený IT architekt tiež dokáže poradiť firme, ktorá zvažuje investíciu do nového nástroja alebo funkcionality. Napríklad s tým, akých vývojárov zamestnať, aké technológie využiť, programovací jazyk a ďalšie parametre.

BEZPEČNOSTNÝ AUDIT UPOZORNÍ NA CHYBY AJ HROZBY

Ak chcete preveriť svoju firmu dôkladne, vyplatí sa vykonať bezpečnostný audit. Ten trvá obvykle dva až tri týždne a na jeho konci dostanete výpis všetkých chýb a bezpečnostných hrozieb – tie väčšinou nepredstavujú akútny problém, ale ich okamžité riešenie je tou najlacnejšou variantou. Typicky ceny opráv aplikácií bývajú vďaka jasným výsledkom a odporúčaniam z napríklad penetračného testovania nízke a realizácia samotná potom pomerne jednoduchá. Súčasťou auditu sú aj audity zraniteľnosti, pri ktorých sa vezme celý projekt a kontroluje sa, či aplikácia nevyužíva nezabezpečené aplikácie tretích strán. U tých bývajú kľúčové sú aktualizácie, napríklad knižníc alebo serveru – radu neaktualizovaných aplikácií je možné hacknúť, aj keď už napríklad existuje bezpečnostná záplata. Teda len preto, že autor odložil aktualizáciu.

Bezpečnosť samotnej aplikácie je však len jedna stránka problému. U SaaS produktu je napríklad oveľa dôležitejšie vykonať audit fungovania firmy, respektíve preveriť zabezpečenie ľudí a tímov. Teda zabezpečiť ich prístupy a otestovať scenáre typu "čo sa stane, keď vývojár príde v električke o notebook". Niekedy zase zostane viac ciest prístupu z testovania, ktoré môže niekto z tímu zabudnúť. 

NEZABUDNITE NA OCHRANU ÚDAJOV KLIENTOV

Kapitola sama o sebe sú potom marketingové nástroje a všeobecne firmy, ktoré spracúvajú osobné údaje. Ich strata potom môže znamenať nielen vysoké pokuty, ale aj kompletné zničenie reputácie a stratu dôvery v produkt. Preto je aj súlad s GDPR a prevencia úniku údajov dôležitou oblasťou, na ktorú by správny bezpečnostný audit nemal zabudnúť.

Bezpečnosť je v dnešnej dobe komplexnou disciplínou, ktorú nemožno podceniť od samého začiatku. Firma tak bude mať pokoj a istotu, že staví svoj produkt od základov kvalitne a neskorší rozvoj a škálovanie vďaka tomu prebehne hladko. IT architekt pomôže s návrhom stratégie a výberom najnovších technológií. A ukáže firme správny smer, pretože sleduje trendy a najlepšie praktiky, ktoré nazbieral počas svojej práce v iných technologických firmách.