爱华网幸运的是,企业获取全球范围内熟练开发商和珍贵资源供应的障碍越来越少了。企业几乎可以在任何地方找到人员和服务,这仍然要归功于一个组织的软件开发或网上业务。好消息是资源都摆在那里。坏消息是,对日常商务中经常失控的人员和做法,你得设法维护安全并保持警觉。无论你在外包开发、服务还是维护,底线是你依据他人来写代码或运行服务,这样你的客户会把这些看做是你提供的——这意味着你必须对任何功能问题或安全漏洞负责。外包是否意味着放弃农场?根据Gartner的最新研究,超过60%的外包开发的企业不会采取任何缓解安全危机的措施。一个简单危机的缓解措施的示例将会在合约中规定外包开发商在安全编码方面遵循最佳的做法。允许外部的软件开发商进入你的商店,然而你却不要求他们编写安全代码,这会助长任何编写恶意或不安全代码的行为。当然,一旦你允许外部供应商在你的服务器上运作或集成到你的网上业务时,保障你的程序和数据的安全性就不是一件容易的事。但是有一些方法你可以运用从而尽可能地确保你可以掌控你的企业和客户信息的安全(www.aihuau.org) |/darticle3/list.asp?id=161547 | 55
一个富有责任心的首席信息安全官该做什么?确保你的服务供应商重视安全性的最佳时间是在你签合同之前。确保你在合同里对你可以接受或不接受什么做了有针对性和详细的要求。对代码的处理能力和资源获取能力进行尽职调查。识别对于那些为了提供服务而释放给供应商的最小单位的敏感信息。在你和供应商的每一个规范中约定代码标准和安全性要求。索取关于供应商那些可重复和可核查代码安全性的度量报告。严格执行安全要求,第一次在你的环境中非合规执行代码必须施以惩罚。如有可能,对那些允许在你的服务器上执行的每一段代码开展全面的检查程序。要求供应商使用源代码自动分析仪检查代码的安全性后再把代码提交给你。需要对利用现有服务经营新的对外服务可能产生的漏洞进行全面检查。要求报告指定供应商交付的每项任务的安全问题和应对措施。确保安全程序得以执行,以确保遵循最佳做法,例如加密密钥不传入数据流。帮助就在眼前安全特定公司能够向组织建议:如何让大部分外包合作伙伴确保代码和服务的使用符合风险缓解软件、应用程序漏洞检测和安全的软件开发的最佳做法。通过培训,研究,实践和软件工具,企业可以达到最好的外包,允许生产性和协作开发环境,以及能够维持其数据的完整性和环境安全
