企業導入安全軟體開發的五大理由

企業導入安全軟體開發的五大理由

轉載至 http://www.uuu.com.tw/public/content/article/110704tips.htm

作　　者：唐任威 精誠資訊 恆逸教育訓練中心 資深講師
技術分類：資訊安全

一直以來人們對於安全問題的態度常常都是：「說起來重要、做起來次要、忙起來不要。」深究其中的道理，其實不難發現人們對於安全，往往都存在了一種僥倖的心態，認為最倒楣的事應該不會發生在自己的身上；亦或者認為，等一切都出了事再說吧！何必為了不確定的事而多費心力呢。這樣的心態其實無可厚非，因為畢竟要人們為了不確定的事付出代價，這本來就是一種奢望。

當然這樣的心態也反應在企業所開發的資訊系統中。對於企業而言，在開發資訊系統時，通常在意的都是品質指標，而類似像安全這樣看不見的東西，當然就是能免則免，以求徹底降低成本。但問題往往就像是冰山的一角，人們永遠無法想像水面下的冰山到底有多大。根據（ISC）2在三月份所公布的2011年全球資安人力調查指出，應用程式漏洞已經成為所有資安從業人員最在意的資安問題。這樣的結果其實就像是冰山的一角，它是一種警訊，在警告企業問題已經逼近臨界，所有的專家們都已經嗅出不尋常的味道。

但問題的癥結在於，企業導入安全軟體開發究竟可以帶來什麼樣的效益？又或者如果不導入，那又會造成什麼危害？這其中的利弊得失，其實可以透過以下幾點來做說明：

1. 保護企業聲譽
根據統計，有70%的資安事件，都是由軟體漏洞所造成。而倘若這些事件發生在企業當中，則將有可能對企業形象造成傷害、進而形成負面影響、危害企業商機。因此企業最好能夠評估自身的資訊系統如果發生資安問題時，其結果是否會影響到企業的商譽並危害商機。

2. 確保資訊安全
如果企業發生資安事件且會造成重大影響，那麼企業該如何防護資訊安全，將成為該企業的重要課題。如前所述，70%的資安事件是由軟體漏洞所造成，因此企業在建構資安防護措施時，也務必要將自身資訊系統的安全性納入考量，以避免因資訊系統漏洞對企業造成重大危害。

3. 提升軟體品質
開發高品質軟體是所有軟體開發的終極目標。然而在眾多的品質指標中，安全常常是被忽略的一個。缺乏安全性，看似對系統功能不造成影響，但實則當系統因安全問題而停擺時，其對企業所造成的衝擊將無法估算。因此在設計系統時，如果可以將安全性納入考量，則其所可以帶來的潛在效益，將令人感到驚喜。其實加入安全性是一種逆向思考的模式。因為要加入安全性的關係，所以在設計系統時，以往一些不會考量的部分，這個時候都會納入考慮，藉此系統基礎將會變得更為穩固，而品質也終將獲得提升。

4. 保障客戶權益
對於某些組織而言，其資訊系統的運作如果涉及到顧客權益，則其對於品質及安全性的要求，就應當要更為嚴謹，切莫因資訊系統問題，而侵犯顧客權益。因為在這個消費者意識抬頭的時代，政府或主管機關往往會因為要保障消費者權益，因而制定出許多的法令、法規。而這些法令、法規對於企業而言，其實就像是一顆顆的地雷，一不小心踏上就可能對企業造成危害。當事件發生時，損害商譽已經事小，嚴重者將可能被處以高額罰金，甚至還需負起法律責任。

5. 落實法規遵循
如前所述，法令、法規的遵循對於企業而言，其實事關重大。而且除了法令、法規的遵循外，如何遵循國際或業界中的標準也是重要課題。例如在ISO 27001或PCI DSS等國際標準中，其對資訊系統的安全開發都有相關規範，因此企業如何明確展現作為，也將成為企業遵守相關法令、法規或標準的具體表現。倘若企業在進行軟體開發時，可以將安全流程導入開發週期，則此將可作為企業落實法規遵循的明確證據。 對於企業而言，安全開發的導入其實並不困難，其重點在於企業如何將安全元素加入既有的開發流程，如此便可達到提升資訊系統安全性的目標。如需更多資訊，由當今最被各大企業與政府單位所信賴的公正組織–（ISC）2國際資訊系統安全核準聯盟，所推出與軟體安全開發有關的準則及認證–CSSLP®資訊安全軟體開發專家認證（Certified Secure Software Lifecycle Professional），藉此期望降低軟體開發在安全上的問題。在（ISC）2所提出的準則中，其將軟體安全開發所需具備的知識，劃分為七大知識體系（CBK），藉由取得CSSLP®認證，將可視為軟體開發人員對於安全軟體開發七大知識領域專業程度的展現。在台灣，（ISC）2獨家授權恆逸教育訓練中心為（ISC）2於台灣的教育聯屬機構，可提供台灣資安人員與全球同步的CSSLP資安認證教育訓練及考試服務，請參考恆逸獨家推出的「CSSLP-資安軟體開發專家認證課程」。