"I mange tilfælde oplever vi, at topledelsen ikke er klar over de virkelige sikkerhedsrisici. Derimod oplever vi, at ledelsen presser på for at lancere webløsninger, selvom de ikke er testet ordentligt."
Der er ikke tale om en tilfældig utilfreds web-udvikler, der brokker sig over manglende tid til at udvikle sikre webløsninger.
Det er Marc Vael, direktør i it-sikkerhedsorganisationen ISACA, der med mere end 95.000 medlemmer globalt er en af de toneangivende sikkerhedsorganisationer i verden. ISACA kritiserer ledelsen i store internationale virksomheder for at fokusere for meget på hurtig lancering frem for en sikker lancering af webløsninger.
ISACA har udarbejdet et white paper "Web Application Security: Business and Risk Considerations", der blandt andet ser på ofte forekommende sårbarheder i web-applikationer. Det er ting som SQL Injection, Cross-site scripting og andet, som Computerworld desværre ofte kan skrive om.
I white paperet kommer ISACA også ind på, hvordan man kan undgå de mange sårbarheder, som eksisterer i webapplikationer.
Ikke nok ressourcer til at udvikle sikre applikationer
I rapporten refererer ISACA blandt andet en undersøgelse fra Ponemon Instituttet.
Her blev sikkerhedsfolk i multinationale selskaber spurgt om sikkerhedspraksis i deres organisation.
70 procent af deltagerne i undersøgelsen mener, at deres virksomhed ikke tildelte nok ressourcer til at sikre forretningsvigtige web-applikationer.
Ifølge ISACA handler det om, at ledelsen ikke giver udviklerne tid nok til at indbygge sikkerhed i softwaren. Det underbygges af Ponemon-undersøgelsen.
Her siger 55 procent af de adspurgte, at udviklerne har for travlt til at tage sig af sikkerhedsproblemer.
Ifølge Ponemon Institutets undersøgelse bliver 34 procent af presserende sårbarheder i webapplikationer da heller ikke fjernet.
Indbyg sikkerhed fra start - Ikke når softwaren er i drift
Det handler selvfølgelig om penge, når årsagen til de mange sårbarheder skal findes.
Det tager tid at sikre en webapplikation. Eksempelvis mener 38 procent fra Ponemon-undersøgelsen, at det vil tage mere end 20 timer at afhjælpe en sårbarhed.
Det behøves dog ikke at være sådan, forsikrer ISACA.
Hvis man har en udviklingsmodel hvor sikkerhed indbygges i applikationen som en naturlig del af udviklingen, så behøves sikkerhed ikke at være dyr.
Sikkerhed skal være en del af udviklingsprocessen fra det indledende design til systemet sættes i drift. Og når systemet er i drift, skal det løbende overvåges for sårbarheder.
Læs mere om ISACA's anbefalinger i white paperet, der kan downloades gratis her.
