Sistematična zaščita: Kako SSI SCHAEFER ščiti programsko opremo in podatke
Kako lahko razvoj programske opreme ostane varen v vse bolj digitaliziranem svetu? V družbi SSI SCHAEFER celovit varnostni koncept zagotavlja, da se informacijska varnost dosledno izvaja na vseh področjih podjetja. Sistem upravljanja varnosti informacij (ISMS) je v središču tega procesa. Ne vključuje le vseh tehničnih ukrepov na vseh ravneh in na vseh področjih, temveč se uporablja tudi kot vodilna organizacijska struktura z ustrezno razvitimi varnostnimi cilji in strategijami. Ta sistem temelji na zanesljivem obvladovanju tveganja in se redno optimizira s stalnim ocenjevanjem dejavnosti in nenehnim razvojem varnostnih ukrepov.
Pomemben poudarek je na razvoju programske opreme za intralogistične rešitve podjetja SSI SCHAEFER. Poleg vključevanja varnostnih ukrepov v proces razvoja programske opreme je pomembno, da med izvajanjem in vzdrževanjem sistemov strank ter ustrezno izmenjavo podatkov vedno ohranjamo nadzor nad varnostjo.
Osredotočenost na cilje zaščite
Družba SSI SCHAEFER pripisuje velik pomen tesnemu usklajevanju s strankami, da bi ohranila cilje zaščite razpoložljivosti, zaupnosti, celovitosti in avtentičnosti na področju informacijske varnosti. Ti cilji zaščite so tudi ključne zahteve direktive NIS2, katere cilj je izboljšati standarde kibernetske varnosti po vsej Evropi. Izvajanje teh standardov ščiti pred kibernetskimi grožnjami in krepi odpornost informacijskih sistemov. Konkretno to pomeni:
Razpoložljivost: Informacije in sistemi so vedno na voljo.
Zaupnost: Podatki so obravnavani zaupno in zaščiteni pred nepooblaščenim dostopom.
Integriteta:
Spremembe podatkov so sledljive in varne pred nepooblaščenimi posegi.
Avtentičnost:Podatki očitno izvirajo iz navedenega vira.
Zato je bistveno, da so informacije in podatki vedno pravilno na voljo, da se z njimi ravna zaupno, da je vsako dejanje mogoče pripisati subjektu, da so spremembe sledljive in da je zagotovljeno, da podatki ali informacije prihajajo iz določenega vira. Izvajanje teh standardov je namenjeno zaščiti pred kibernetskimi grožnjami in krepi odpornost informacijskih sistemov.
Pomembno je skupno zavedanje
Ciljno usmerjeno usposabljanje zagotavlja, da zaposleni prepoznajo nevarnosti ter pri vsakdanjem delu varno uporabljajo obstoječe zaščitne ukrepe in postopke. Za vse zaposlene so na voljo splošna usposabljanja, ki zajemajo teme, kot so varno ravnanje z gesli, prepoznavanje zlonamerne programske opreme in poročanje o njej ter podobne osnovne informacije.
Na področju razvoja programske opreme pa so na voljo tudi posebna znanja, kot je varno kodiranje, ki preprečujejo varnostne ranljivosti med programiranjem.Dopolnjuje ga obsežen seznam ukrepov na ravni komponent, podatkov, sistemov in procesov. Posebno pozornost namenjamo tehničnim sistemom, v katerih se informacije shranjujejo, obdelujejo ali prenašajo. Delovati morajo nemoteno in biti učinkovito zaščiteni pred številnimi grožnjami.
Nekateri ključni elementi razvoja programske opreme so:
V fazi razvoja se uporabljajo modeliranje groženj, varno kodiranje in pregledi kode.
V vseh sistemih in aplikacijah družbe SSI SCHAEFER se izvajajo kontrole, ki omejujejo dostop samo na pooblaščene uporabnike.To se upošteva tudi pri razvoju programske opreme, kjer se pravice dostopa dodeljujejo na podlagi potrebe po uporabi/znanja, odvisno od zahtev za zaščito informacij.To na primer pomeni, da imajo zaposleni v podjetju SSI SCHAEFER dostop do sistema stranke le, če je to potrebno za izvajanje storitvenih nalog ali operacij.
Varnostne arhitekture zagotavljajo sledljivost in celovitost glede varnostnih ciljev v aplikacijah in sistemih.
Orodja za statično analizo kode se uporabljajo za izvajanje statičnega varnostnega testiranja aplikacij ter za zgodnje odkrivanje in odpravljanje morebitnih ranljivosti.
Uporabljene komponente tretjih oseb se redno preverjajo in posodabljajo glede znanih ranljivosti.
Celoviti penetracijski testi neodvisnih zunanjih partnerjev simulirajo napade ter pomagajo najti in odpraviti varnostne vrzeli.
Zahtevane varnostne prakse se izvajajo in dokumentirajo na strukturiran način. Cilj je doseči ravnovesje med visoko varnostjo in prijaznostjo do uporabnika, da se ne poslabša funkcionalnost programske opreme.
Zakaj je varnost več kot le tehnologija
Varnostne tehnologije družbe SSI SCHAEFER presegajo tehnične ukrepe. Ključno je skupno zavedanje vseh vpletenih. Od modeliranja groženj in usposabljanja zaposlenih do testiranja sistemov IT: Zaščita občutljivih podatkov in sistemov je skupna naloga.
O avtorju
