fbpx

Yeni ve güvenilir bir yazılım istendiğinde ve bunu yaparken açık ve net olarak ortaya konmuş bir yazılım güvenliği yönetim yaklaşımından yoksun olunduğunda, yeniden düşünmek gerekebilir.

Güvenlik yönetimi kısaca, karar verirken ve beklentileri tanımlarken kullanılacak bir yapı oluşturulmasını sağlayan politikalar, standartlar ve işleyişler bütünüdür.

Bazı organizasyonlar bu konuyu tamamen görmezden gelirken, bazıları bu çerçeveyi başka bir merkezi yapı tarafından şart koşulan resmi politikalar, zorunlu standartlar ve katı süreçler olarak çizerler. Formalite icabı çizilen bu çerçeve, yazılım ekipleri üzerinde de istenen etkiyi ve ciddiyeti yaratamaz. Bu sebeple, yazılım güvenliği yönetiminin istenen etkiyi yaratabilmesi için, gerekliliği kavranarak uygulanması gerekir.

 

Peki, bu gerekliliğin sebepleri nelerdir?

 

Politikalar belli senaryolarda, işin nasıl yürüyeceğini belirler

Gereklilik, sorumluluk, kural ya da kültür…Tanımlamalar farklı organizasyonlarda değişse de, neredeyse hepsinin güvenlik konusuyla ilgili bir karar seti bulunur. İsmi değişse de, yazılım güvenliği meselesi önemle ele alınmalıdır ve organizasyonun bu konuda bir bütün olarak nasıl hareket edeceği belirlenmelidir. Bu yaklaşımların belirlenmesi, herkesi aynı noktaya getirerek, tek kişinin tüm yapıyı riske atma ihtimalini azaltacaktır.

 

Standartlar belli eforla elde edilecek kaliteyi ya da başarıyı belirler

Belirlenen standartların bağlayıcı olması gerekir. Bu şekilde belgelenen yazılım güvenlik standartları, yazılımcılara net bir rehberlik hizmeti sunarak, organizasyonun belli güvenlik tehditlerinden korunmasını sağlayacaktır. Bu standartlar, yazılımın sahibinin neyi kabul edip neyi etmeyeceğini de netleştirir. Böylece hangi güvenlik problemiyle karşılaşmamak için ne yapılması ya da ne yapılmaması gerektiği belli olur. Çünkü, deneyimler yazılım güvenliği ile ilgili çoğu konunun binde bir rastlanan durumlardan ziyade, bilinen, sık karşılaşılan ve önlem alınabilir durumlar olduğunu göstermektedir.

 

İyi çizilmiş iş süreçleri organizasyona şeffaflık, kültür ve değer kazandırır.

İyi ve detaylıca çizilmiş iş süreçleri, zararlı çıktıların, organizasyon için hasar yaratacak noktaya ulaşmasını engeller. Yazılım güvenliği ile ilgili yapılması ya da yapılmaması gerekenlerin bulunduğu süreç de bunlardan biridir. Bunun, kimin neyi nasıl yapacağı ile ilgili beklentileri şeffaf şekilde çizmesi ve güvenlik söz konusu olduğunda kabul edilebilir olanın tanımının net olarak ortaya konması gerekir. Bunların yalnızca çalışanlar için değil, iş ortakları ve diğer paydaşlar için de geçerliliği olmalıdır.

 

Kaynak

Synopsys