ยินดีด้วยสำหรับคนที่มีความคิดดีๆ สำหรับฟินเทคยุคถัดไปไป มีนักพัฒนา มีเงินทุน และพร้อมที่จะเดินหน้าต่อไป แต่คุณจะมีวิธีหลีกเลี่ยงความผิดพลาดอื่นๆ และการปล่อยแอพออกสู่ตลาดโดยไม่ให้ถูกโจมตีเป็นครั้งแรกได้อย่างไร ซึ่งอาจมีผลถึงขั้นทำลายความมุ่งหวังทางธุรกิจและความไว้วางใจของลูกค้าของคุณก็เป็นได้ ต่อไปนี้คือ 10 ขั้นตอนสำคัญที่ผู้นำในอุตสาหกรรมใช้ในการช่วยแก้ไขปัญหาดังกล่าว
1. หาคนมารับผิดชอบงานด้านการรักษาความปลอดภัย
การที่จะปล่อยรหัสโปรแกรมที่มีความปลอดภัยหรือให้บริการออนไลน์ที่เชื่อถือได้แก่ทุกคนในองค์กรของคุณจำเป็นต้องซื้อแนวคิดที่ว่า ‘การรักษาความปลอดภัยเป็นกระบวนการ” ก่อน และกระบวนการเหล่านั้นจะเกิดขึ้นได้จำเป็นต้องอาศัยความร่วมมือจากทุกคน การพูดอย่างเดียวแต่ไม่ทำไม่ควรเกิดขึ้น ที่จริงแล้วความต้องการของคุณคือการดูแลเกี่ยวกับการส่งมอบแอพหรือบริการที่น่าเชื่อถือซึ่งจะไม่ก่อให้เกิดปัญหากับผู้ใช้งาน และธุรกิจของคุณ คนที่จะเข้ามารับผิดชอบงานในด้านนี้ต้องมีความเป็นผู้นำและสามารถสื่อสารให้เห็นถึงความสำคัญของการรักษาความปลอดภัยไปทั่วทั้งองค์กร
2. กำหนดหน้าที่ในการป้องกันข้อมูลส่วนบุคคลให้ชัดเจน
มีกฎหมายและกฎระเบียบที่แตกต่างกันมากมายซึ่งธุรกิจจำเป็นต้องปฏิบัติตาม อย่างไรก็ตามหากมีบางส่วนเพียงเล็กน้อยไม่ปฏิบัติตามก็อาจมีผลถึงขั้นทำลายชื่อเสียงธุรกิจของคุณ และหากคุณไม่สามารถปกป้องข้อมูลส่วนบุคคลก็อาจทำให้สูญเสียลูกค้าที่มีอยู่แล้ว หรือลูกค้ารายใหม่ๆ ได้ คุณจำเป็นต้องมีความเข้าใจที่กระจ่างชัดเกี่ยวกับนโยบายด้านข้อมูลส่วนบุคคล และจะต้องมีขั้นตอนในการนำเอานโยบายเหล่านั้นมาบังคับใช้อย่างมีประสิทธิภาพ
3. จัดอบรมให้กับผู้ที่มีหน้าที่ในการรักษาความปลอดภัยโดยเฉพาะ
คุณจะต้องจัดทำหลักสูตรที่มากกว่าแค่การสร้างความตระหนักถึงความปลอดภัยทั่วไปๆ แบบที่เคยทำกันมา ซึ่งการที่จะทำเช่นนั้นได้ ทีมงานของคุณจะต้องมีความรู้และชุดของทักษะที่จำเป็นสำหรับบทบาทนี้ และการแก้ปัญหาทั้งหมดด้วยการใช้วิธีการแบบเดียวกันเป็นเรื่องที่เป็นไปไม่ได้ คุณต้องมั่นใจว่านักพัฒนาและทีมงานด้านเทคนิคของคุณจะมีทักษะที่เหมาะสม และสามารถไล่ตามทันการเปลี่ยนแปลงใหม่ได้อยู่เสมอ
4. หมั่นติดตามวิธีการโจมตีแบบใหม่ๆ
การโจมตีมีหลากหลายวิธี แต่จะมีการโจมตีบางวิธีที่ได้รับความนิยมสูง หรือส่งผลกระทบมากกว่าวิธีอื่นๆ ใช้ความรู้ทางธุรกิจของคุณและคำแนะนำจากผู้เชี่ยวชาญด้านความปลอดภัยเพื่อระบุรายชื่อของ 10 อันดับสุดยอดการโจมตีที่อาจมีผลต่อแอพหรือบริการของคุณเพื่อใช้ในการออกแบบและติดตั้งระบบป้องกันการโจมตีของคุณ
5. ฝังระบบรักษาความปลอดภัยเข้าไปในผลิตภัณฑ์ของคุณ
สิ่งนี้หมายความว่าให้หยุดคิดว่าระบบการรักษาความปลอดภัยเป็นบางสิ่งที่คุณเพิ่มเติมเข้ามาในระบบ และให้เริ่มคิดว่าเป็นส่วนหนึ่งของวิธีการสร้างสรรค์ และนำเสนอผลิตภัณฑ์ หรือบริการของคุณ แน่นอนว่าไม่ใช่เรื่องง่าย และทำได้โดยไม่มีค่าใช้จ่าย แต่มันเป็นวิธีเดียวที่จะทำให้เป็นไปอย่างถูกต้อง
6. นำมาตรฐานการเขียนรหัสโปรแกรมที่ปลอดภัยมาใช้
การทำวิศวกรรมระบบที่มีความปลอดภัยเป็นเรื่องที่มีความซับซ้อน อย่างไรก็ตามควรนำกฎ 80/20 มาใช้ การใช้รหัสโปรแกรมจากแหล่งที่มาในอุตสาหกรรมเช่น OWASP Top 10, CWE และอื่นๆ จะช่วยหลีกเลี่ยงข้อผิดพลาดได้ ทำให้มั่นใจว่าหลักสูตรการอบรมที่สร้างขึ้นเป็นไปตามมาตรฐาน และความต้องการเหล่านี้ พิมพ์ออกมาเป็นเอกสารแล้วแปะไว้บนผนังเลย
7. ตรวจสอบคุณสมบัติด้านการรักษาความปลอดภัยของคุณ
ไม่มีอะไรมาแทนที่ผู้มีความเชี่ยวชาญเฉพาะด้ารการรักษาความปลอดภัยได้ จะมีอะไรเกิดขึ้นหากคุณเอาโซลูชั่นด้านการรักษาความปลอดภัยที่ได้รับการยอมรับไปให้ใครสักคนที่ไม่คุ้นเคยกับภัยคุกคามความปลอดภัยในปัจจุบัน ซึ่งอาจทำให้เกิดช่องโหว่ขึ้นในระบบรักษาความปลอดภัยได้ ควรให้ใครสักคนที่มีคุณสมบัติเหมาะสมมาทำหน้าที่ตรวจทานการออกแบบและสถาปัตยกรรมของคุณ และนำบทเรียนที่ได้เรียนรู้ไปปรับปรุงการออกแบบในอนาคตของคุณ
8. รู้ว่าบั๊กตัวไหนที่มีความหมายสำหรับคุณ
การตรวจสอบรหัสโปรแกรมอาจจะเป็นเรื่องงานที่ท้าทาย และเสียค่าใช้จ่ายสูง แม้ว่าจะมีเครื่องมือที่ดีที่สุดให้คุณเลือกใช้งาน แต่ก็ไม่ได้รับการประกันว่าจะหาบั๊กทั้งหมดในรหัสโปรแกรมของคุณได้ สิ่งที่คุณสามารถทำได้ก็คือหาบั๊กที่อาจก่อให้เกิดความเสียหายกับรหัสโปรแกรม และธุรกิจของคุณให้พบ และมุ่งเน้นไปที่การการระบุ และแก้ไขบั๊กเหล่านั้นโดยเฉพาะ
9. ทดสอบระบบรักษาความปลอดภัยที่ฝังไว้
การทดสอบการรับประกันคุณภาพจะต้องถูกรวมไว้ในการทดสอบคุณสมบัติด้านการรักษาความปลอดภัยของระบบ บ่อยครั้งที่คุณสมบัติด้านการรักษาความปลอดภัยที่สามารถผ่านการทดสอบได้ในลักษณะเดียวกับคุณสมบัติต่างๆ ที่มีอยู่ในของซอฟต์แวร์อื่นๆ กลไกการรักษาความปลอดภัยที่อิงกับข้อกำหนดต่างๆ เช่นการออกจากบัญชีเข้าใช้ระบบ การจำกัดการทำธุร กรรมสิทธิ ฯลฯ ควรจะได้รับการทดสอบ
10. ทดสอบเจาะระบบทุกครั้งหลังมีการเปลี่ยนแปลงที่สำคัญ
การทดสอบการเจาะระบบเป็นหนึ่งในกิจกรรมเกี่ยวกับการรับประกันความปลอดภัยที่สำคัญที่สุด แต่มักจะถูกละเลย การทดสอบการเจาะระบบไม่สามารถถูกแทนที่ด้วยขั้นตอนอื่นๆ ได้ หรือแม้แต่รายงานผลการทดสอบเจาะระบบจะแสดงให้เห็นระบบหรือโปรแกรมมีความปลอดภัย แต่ก็ไม่ได้รับประกันว่ารหัสโปรแกรมของคุณจะไม่มีปัญหาเมื่อตกอยู่ภายใต้การโจมตี
